«Nicht nur Patienten oder Ärzte, auch Unbefugte konnten Gesundheitsdaten lesen», teilte Modzero am Dienstag mit. Vivy wiederum erklärte, es sei zu keinem Zeitpunkt möglich gewesen, auf die elektronische Gesundheitsakte zuzugreifen.

Modzero habe potenzielle Angriffsszenarien getestet, die «nur unter sehr speziellen Voraussetzungen» möglich gewesen seien, hieß es bei Vivy. Gleichzeitig erklärten die Betreiber der App, alle Angriffswege seien binnen 24 Stunden geschlossen worden. Zudem seien sämtliche vorgeschlagenen Verbesserungen umgesetzt worden.

Sicherheitsunternehmen soll Verschlüsselung ausgehebelt haben

Vivy war im September an den Start gegangen. Über diese Plattform können Befunde, Laborwerte und Röntgenbilder gespeichert und mit dem Arzt geteilt werden. Die App, an der sich zahlreiche Krankenkassen beteiligen, richtet sich als Angebot an bis zu 13,5 Millionen Versicherte.

Nach Angaben von Modzero ist es dem Sicherheitsunternehmen gelungen, die Verschlüsselung der Plattform auszuhebeln. Bei der Ende-zu-Ende-Verschlüsselung sollen Inhalte nur für Absender und Empfänger im Klartext sichtbar sein. Allerdings habe man die geheimen Schlüssel der Ärzte auslesen können, hieß es bei Modzero. Als zweiten Schritt habe man daraufhin Patientendaten abrufen und diese mit dem Schlüssel entsperren können.

In die Rolle des Angreifers geschlüpft

«Wir haben nicht auf die Daten echter Patienten zugegriffen, sondern eigene Accounts registriert und eigene Dokumente eingestellt. Dann sind wir in die Rolle des Angreifers geschlüpft, um diese Daten wieder abzugreifen», erklärt Modzero-Chef Thorsten Schröder. Sie hätten aber auch ohne Probleme die Dokumente anderer Patienten abgreifen können. Auch der Chaos Computer Club sprach von Sicherheitsproblemen.