Gesundheits-Apps mit geringer Verbreitung sind für Angreifer weniger interessant als große
Diese Seite des Erfolges muss man anerkennen: 16 Krankenkassen, unter ihnen DAK, Allianz und Barmenia, haben sich zusammengetan, um ihren Versicherten die gemeinsame App „Vivy“ anzubieten. Sie soll einen direkten digitalen Datenaustausch zwischen Patienten und behandelnden Ärzten möglich machen, Notfalldaten speichern, Röntgenbilder und Laborberichte übertragen und auch Gesundheitsdaten aus Smartwatch und Co. übernehmen. AOK und die Techniker Krankenkasse sowie private Anbieter haben ihrerseits ähnliche Projekte gestartet.
Doch kaum war Vivy veröffentlicht, äußerten IT-Sicherheitsexperten und Datenschützer massive Bedenken. Sie kritisierten insbesondere die Integration einer Analytik-Software, die Nutzungsdaten in die USA leitet. Sören Schönnagel, Marketing-Manager bei der Vivy GmbH, erklärte dazu, dass es bei den kritisierten Analyse-Tools nur um technische Informationen wie das verwendete Betriebssystem oder die Displayauflösung des genutzten Endgeräts ginge. Die Übertragung enthalte in keinem Fall Gesundheitsinformationen der Nutzer. Zudem sei die App von Institutionen wie dem TÜV Rheinland oder den IT-Spezialisten ePrivacy und Blue Frost Security geprüft worden.
Große Lösungen sind für Angreifer vielversprechender
Doch die Kritik reißt nicht ab. Vor Kurzem meldeten Forscher der Firma Modzero, dass sie Sicherheitsmängel in dem Mechanismus entdeckt hatten, mit dem Vivy Dokumente mit dem behandelnden Arzt teilt. Auch auf diese Kritik reagierte der Anbieter schnell. Die Programmierer hätten die Schwachstellen binnen 24 Stunden behoben, erklärte das Unternehmen und sprach zudem von allenfalls hypothetischen Angriffsszenarien.
Zu den Sicherheitsproblemen beitragen könnte der auf große Verbreitung ausgelegte Ansatz von Apps wie Vivy. Diese Ansicht vertritt zumindest Dr. Andreas Zollmann, Geschäftsführer der Jenaer Firma Zollsoft. Als Anbieter einer kleinen Praxissoftware kennt sich das Softwarehaus mit der Entwicklung und Pflege von Nischenlösungen aus. „Wir haben uns in den letzten Monaten auf die Entwicklung unserer eigenen Patienten-App Gesundakte.de konzentriert“, berichtet Dr. Zollmann. Auch sie sei für den digitalen Dokumentenaustausch zwischen Arzt und Praxis ausgelegt. Dafür müsse aber kein persönliches Profil angelegt werden, die Verbindung zur Arztpraxis lasse sich einfach durch Abscannen eines QR-Codes einrichten.
Cyberangriffe konzentrieren sich auf jeden Fall gern auf die Großen einer Branche. Dass das so ist, liege in der Natur der Sache, erklärt Sebastian Fritsch, Experte des Sicherheitsdienstleisters Secuvera. „Es gibt auch erheblich mehr bekannte Angriffe auf das Betriebssystem Windows mit über 80 % Marktanteil als auf Apples Mac OS“, so Fritsch. Angreifer konzentrierten sich auf die Plattformen, von denen sie sich den meisten Gewinn versprechen.
Mehr Anbieter heißt auch mehr Schwarmintelligenz
Deswegen plädieren viele Experten für offene Schnittstellen und öffentlich dokumentierte Übertragungsprotokolle. Damit könnten mehrere kleinere Apps unterschiedlicher Anbieter an die Stelle großer Lösungen mit maximaler Verbreitung treten. Sie würden dann im Wettbewerb miteinander stehen – um Funktionalität, Komfort und eben auch Zuverlässigkeit und Sicherheit. Gleichzeitig müssten die Anbieter kooperieren, um sichere Standards und Schnittstellen zu schaffen und diese gemeinsam gegen Angriffe und Sicherheitslücken zu schützen.