Sie sind hier: Startseite News Vivy Sicherheitskonzept bewährt sich

Vivy Sicherheitskonzept bewährt sich

Sicherheit auf höchstem Niveau ist im Umgang mit den hochsensiblen Daten unserer Nutzer ein Grundpfeiler des Selbstverständnisses der Vivy GmbH. Darum arbeitet unser Unternehmen fortlaufend an der Verbesserung der Sicherheitsarchitektur und lässt die Vivy-App, die Vivy-Browser-Applikation und die Backend-Systeme regelmäßig durch externe IT-Sicherheitsexperten überprüfen.
Vivy Sicherheitskonzept bewährt sich

Bei einer Untersuchung unserer Apps und Systeme hat die modzero GmbH mehrere hypothetische Angriffsvektoren aufgezeigt und Vivy in Form eines Vorberichts am 22. September und eines ausführlichen Berichts am 04. Oktober zur Verfügung gestellt. Vivy hat die dort aufgeführten potentiellen Angriffsvektoren jeweils innerhalb von 24 Stunden gemäß standardisierter Incident- und Change-Prozesse behoben.

Zu keinem Zeitpunkt war ein Zugriff auf die Gesundheitsakte von einem oder mehreren Nutzern möglich. Modzero hat in einer Testumgebung des Unternehmens mit vielen speziellen spezifischen Annahmen Angriffsmöglichkeiten simuliert. Der Großteil der - mittlerweile beseitigten - Vektoren hat gezeigt, dass sie entweder einen kompromittierten Computer des Arztes oder ein von den Nutzern selbst kompromittiertes Smartphone (umgangssprachlich auch jailbreaked oder rooted genannt) des Nutzers voraussetzen.

Die generelle Ende-zu-Ende-Verschlüsselung der Gesundheitsakte wurde zu keinem Zeitpunkt durch die Modzero GmbH ausgehebelt. Der Bericht dokumentiert lediglich eine punktuelle Kompromittierung der Verschlüsselung bei der Übertragung eines einzelnen Dokumentes vom Patienten an den Arzt, ausschließlich wenn mehrere spezifische Umstände gleichzeitig bestehen. Dies ist aufgrund unserer Gegenmaßnahmen nun nicht mehr möglich. Generell bestehen Vivy-Sicherheitsmaßnahmen, die derartige Brute Force-Attacken auch in der Vergangenheit unterbunden hätten. Diese wurden bei dieser Simulation nicht getestet.

Selbst im Falle erfolgreicher Angriffe wären lediglich fragmentierte Datensätze einzelner Nutzer, nie jedoch größere Datenbestände einsehbar gewesen. Ein reales Risiko für die Sicherheit der Gesundheitsakten der Nutzer bestand zu keinem Zeitpunkt, da im realen Betrieb der App viele Vivy-Sicherheitsmaßnahmen existieren, die nicht getestet wurden. Darüber hinaus nutzte die modzero GmbH ausschließlich für diesen Test angelegte Testnutzer.

Vivy geht aktiv und transparent mit dem Thema um. Vivy hat auf seiner Homepage am 18. Oktober ein White Paper zum Thema Sicherheit und am 29. Oktober einen umfassenden Bericht zu den aufgeworfenen Punkten veröffentlicht. Außerdem fordern wir in einem Bug Bounty-Programm IT-Experten weltweit auf, uns auf mögliche Angriffsvektoren aufmerksam zu machen.

Zu den aktuellen Meldungen von Vivy zum Thema Datenschutz und Datensicherheit finden Sie weitere Informationen unter: https://www.vivy.com/presse

Anhänge