„So sicher wie beim Onlinebanking?“
Elektronische Gesundheitsakten zwischen Nutzen und Datenschutz
Absolute Datensicherheit gibt es nirgends – auch nicht bei der elektronischen Gesundheits- oder Patientenakte. Martin Tschirsich zeigte auf dem Chaos Communication Congress Schwachstellen in bestehenden Gesundheits-Apps auf. Sein Ausblick stimmt nachdenklich.
Zu einer gesellschaftlichen Debatte über das Für und Wider von elektronischen Gesundheits- und Patientenakten ruft der Sicherheitsexperte Martin Tschirsich auf. Bereits im September analysierte er für die Sicherheitsfirma Modzero die elektronische Gesundheitsakte Vivy. Dabei entdeckte Tschirsich gravierende Sicherheitsmängel. Auf dem 35. Chaos Communication Congress hielt er darüber den Talk „All Your Gesundheitsdaten Are Belong to Us“, Untertitel: „‚So sicher wie beim Onlinebanking?’: Die elektronische Patientenakte kommt – für alle“. Darin führte er nicht nur Lücken aus, die er bei Vivy und anderen Anbietern fand, sondern stellte seine Erkenntnisse in einen größeren Kontext.
Die Mängel in Vivy, die Tschirsich im Talk demonstrierte, sind seit Ende Oktober öffentlich bekannt. So ließ sich im Gesundheitsaktenmodul der App die Session-ID für den Zugriff auf Dokumente im Patientenkonto anfangs leicht erraten. Hinzu kamen Schwächen gegenüber Cross Site Scripting sowie die Möglichkeit von Phishing-Angriffen. Vivys gleichnamiger Hersteller nahm zu Modzeros Bericht ausführlich Stellung und überarbeitete die App in der Zwischenzeit. Für Tschirsich bleiben dennoch Fragen offen, wie er im Talk und im Gespräch mit c’t ausführte.