Vor kurzem berichteten wir über die Vivy-App. Eine Gesundheits-App, die nun über 13 Millionen Versicherten aus 16 Krankenkassen zur Verfügung gestellt wird. Die App soll zum Beispiel an bevorstehende Untersuchungen erinnern, Befunde per App mit Ärzten teilen, Informationen über Medikamente bereitstellen sowie Gesundheits-Daten von weiteren Apps und anderen Stellen sammeln und einen kompletten Überblick über Ihre Werte vermitteln. Eigentlich eine gute Sache, Sicherheitsforscher schlagen allerdings Alarm und raten von der Nutzung der App ab.
Foto: Vivy GmbH
Der IT-Sicherheitsforscher Mike Kuketz hat die Vivy-App auf seinem Blog geprüft und kam zu dem vernichtenden Urteil: „Danke nein, dürft ihr behalten“. Dabei war es nicht einmal ein recht ausführlicher Test, den er für die App durchgeführt hatte. Auf Wunsch seiner Leser hatte er sich die App einmal angesehen. Und bereits nach dem Start der App sowie der Registrierung, brach Kuketz ab. Die Daten reichten für den Sicherheitsexperten bereits aus, um der App das Label „bedenklich“ aufzudrücken.
Schon gleich nach dem Start schickt die App unterschiedliche Daten an mehrere Analysefirmen in den USA. Etwa Informationen zum Gerät, den Installationszeitpunkt, ob Wlan verfügbar ist und welcher Mobilfunkanbieter genutzt wird.
Mike Kuketz sieht die App als eine „Datenschutz Bruchlandung“ und schreibt dazu: „Eine App, die sensible Gesundheitsdaten verarbeitet, sollte die höchsten Anforderungen und (Nutzer-)Ansprüche an Datenschutz und Sicherheit erfüllen – bei Vivy kann ich das leider nicht erkennen. Denn noch bevor der Nutzer überhaupt die Möglichkeit hat, in die Datenschutzerklärung einzuwilligen, werden zahlreiche Informationen an Drittanbieter (Tracking-Unternehmen im Ausland) übermittelt“. Der Sicherheitsforscher führt weiterhin aus:
Sind unsere Ansprüche an einen sicheren, sensiblen und datenschutzfreundlichen Umgang mit unseren (Gesundheits-)Daten wirklich schon auf so einem Tiefpunkt angekommen? Wie kann es sein, dass solche Anbieter / Apps dazu autorisiert werden, die Verwaltung von aktuell 13,5 Millionen Krankenversicherten zu ermöglichen?
Die App wirft etliche Fragen auf – persönlich kann ich von einer Nutzung nur abraten. Dazu muss man die App eigentlich gar nicht installieren, denn ein kritischer Blick in die Datenschutzerklärung reicht dazu eigentlich schon aus. Danke nein, dürft ihr behalten“.
Auf die Frage: „Warum unterliegen solche Apps keiner strengen staatlichen Kontrolle?“, sagte Kuketz, dass Ihm für diese Beurteilung leider das nötige Know-How fehle, ging auf die Frage aber anders ein: „Wir können die Frage allerdings von einer anderen Seite beleuchten. Die Gesundheits-App Vivy gehört zu 70 Prozent der Allianz SE, dem Mutterkonzern der Allianz Krankenversicherung, der ich an dieser Stelle gewinnorientierte Absichten unterstelle. Wäre für die Verwaltung bzw. Verarbeitung von Gesundheitsdaten nicht jemand besser geeignet, der keine Gewinnabsichten hat bzw. seine Stakeholder nicht bei Laune halten muss? Auch wenn viele unserem Staat die IT-gestützte Verwaltung von Gesundheitsdaten ebensowenig zutrauen, so hätte ich persönlich mehr vertrauen in unseren Staat, als in ein gewinnorientiertes Privatunternehmen“.
Und für Mike Kuketz ist mit Blick auf die Vivy-App eine Frage besonders wichtig: „Ist ein (unsicheres) Smartphone wirklich der geeignete Rahmen, für die Verarbeitung von sensiblen Gesundheitsdaten?“
(PC-Welt)