Um wenig sorgen sich Menschen so sehr wie um ihre Gesundheit. Womöglich ähnlich besorgt sind sie um die Sicherheit ihrer persönlichen Daten. Kommt beides zusammen, wird es für viele zu einem existenziellen Thema. Anders lässt sich zum Beispiel kaum erklären, wie heftig die Debatte jahrelang darum verlief, welche Patientendaten auf dem Chip der Gesundheitskarte gespeichert werden dürfen, die jeder Krankenversicherte besitzt.

Dass die meisten Leute heutzutage erheblich mehr Informationen über sich selbst auf ihrem Smartphone mit sich herumtragen, wenn auch nicht unbedingt so sensible wie etwa über zurückliegende Krankheiten, scheinen viele nicht ganz so bedenklich zu empfinden. Das Smartphone ist halt auch ein naheliegender Ort zur Speicherung von persönlichen Daten: Es ist für manche der ihnen wohl nächste Gegenstand, den sie besitzen, und Speicherplatz ist darauf reichlich vorhanden. Weshalb die Idee einleuchtet, dass auch Krankenversicherungen ihren Kundinnen und Kunden Smartphone-Apps anbieten, um allerlei Dienstleistungen abzuwickeln.

Vor knapp sechs Wochen ist mit der Gesundheits-App Vivy diejenige gelauncht worden, die der bislang größte Kreis an Menschen in Deutschland nutzen könnte: 13,5 Millionen Menschen sind versichert bei den beteiligten gesetzlichen wie privaten Krankenversicherungen, die sie anbieten. Darunter sind die DAK, verschiedene Innungskrankenkassen, die BertelsmannBKK, Gothaer, Barmenia und Allianz. Letztere ist auch als Gesellschafter mit 70 Prozent beteiligt an der Betreiberfirma der App, der in Berlin ansässigen Vivy GmbH.

Eine E-Mail am Morgen

Die hat am 22. September, fünf Tage nach dem Start der App, morgens um 9.45 Uhr eine Mail der schweizerisch-deutschen IT-Sicherheitsfirma modzero erhalten. Der Inhalt des Schreibens musste alarmierend sein: Die Vivy-App, verfügbar für die Smartphone-Betriebssysteme Android und iOS enthalte nach einer Analyse von modzero schwerwiegende Schwachstellen in Sachen Datensicherheit. Schon 75 Minuten später, um 11 Uhr, sprachen Vertreterinnen und Vertreter beider Unternehmen erstmals miteinander während einer Telefonkonferenz.

Die Kommunikation ging in den Wochen seither weiter, am 24. September zum Beispiel traf man sich zu einem Gespräch in Berlin. Währenddessen war die App die ganze Zeit herunterladbar und anwendbar, ohne dass Nutzerinnen und Nutzer von der laufenden Sicherheitsanalyse und möglichen Schwachstellen erfuhren.

Es ging ja nicht um einen tatsächlichen Hack. Niemand Unbefugtes war erkennbar von außen in das System hinter der App eingedrungen. Dort wo Versicherte ihre gesamte elektronische Gesundheitsakte speichern und Dokumente daraus beispielsweise an ihre Ärzte weiterleiten können. Es ging um die Frage, ob jemand hätte eindringen können, wenn er denn gewollt hätte.

Die Antwort der IT-Firma lautet: Gleich an mehreren Stellen wäre das möglich gewesen. Martin Tschirsich, ein bei modzero beschäftigter IT-Security-Analyst, hatte kurz nach dem Launch der App im September "schwere Sicherheitsmängel sowohl in der Smartphone-App als auch in der Cloud-Plattform und der Browser-Anwendung für Ärzte" gefunden – mithin also an allen nur erdenklichen Punkten, an denen Hacker ansetzen könnten. Dabei wirbt die Vivy GmbH offensiv damit, dass Patientendaten in der App durch sichere Authentifizierungsmethoden und Verschlüsselung vor unberechtigtem Zugriff geschützt seien.

Am 25. Oktober verfasste Thorsten Schröder, Geschäftsführer von modzero, die finale Version eines 35-seitigen Berichtes, den seine Firma umgehend an die Vivy GmbH sandte. Die Mängelliste, die modzero zur Vivy-App erstellt hat, ist lang. So seien etwa Informationen darüber, wer wann mit welchem Arzt Gesundheitsdaten geteilt hatte, "ungeschützt für jede Person lesbar im Internet" gewesen. Versicherte seien identifizierbar gewesen "anhand von Namen, Foto, E-Mailadresse, Geburtsdatum und Versichertennummer", auch die Namen der von ihnen kontaktierten Medizinerinnen und Ärzte seien auslesbar gewesen. Schlimmer noch: "Unbefugte konnten über das Internet alle Dokumente, die an einen Arzt gesendet werden sollten, abfangen und entschlüsseln."