Kolumne Geht’s noch?

Och, nur Laborwerte…

Die Gesundheitsdaten-App Vivy hat Sicherheitsmängel. Das an sich ist kein Skandal – die unprofessionelle Reaktion der Macher dagegen schon.

Auf einem Smartphone ist die App "Vivy" geöffnet

Mit der App können NutzerInnen Laborwerte, Röntgenbilder und Medikationspläne verwalten Foto: dpa

Eine App. Ein paar Sicherheits­lücken. Und ein Hersteller, der, nachdem er darauf aufmerksam gemacht wurde, nicht etwa die App vom Markt nimmt und die Nutzer davor warnt, sie weiter zu verwenden, während er an der Fehlerbehebung arbeitet. Sondern die App laufen lässt, aber hinterher mitteilt, es habe ja nur ein hypothetisches Angriffsrisiko bestanden. Was Nutzer mit dieser App verwalten und austauschen sollen? Och, nur Gesundheitsdaten. Laborwerte, Röntgenbilder, Medikationspläne und so.

Das Problem ist nicht eine Sicherheitslücke an sich. Menschen machen Fehler, Menschen schreiben Software, also hat Software Fehler, und selbst wenn eines Tages standardmäßig Software neue Software schreibt, wird es Fehler geben, weil irgendwann mal jemand im Ursprungscode Mist gebaut hat.

Das Problem im aktuellen Fall der Gesundheitsdaten-App Vivy, die von mehreren Krankenkassen gefeatured wird, ist: Es waren Mängel, die auf einen eher entspannten Umgang mit Sicherheitsfragen schließen lassen. Ähnlich übrigens wie bei dem Facebook-Hack, der Ende September bekannt wurde.

Und: Statt die App erst mal zurückzuziehen, wie man es von einem Unternehmen erwarten sollte, das zum Start offensiv mit der Sicherheit warb, wiegelt der Hersteller hinterher ab. „Selbst im Falle erfolgreicher Angriffe wären maximal fragmentierte Datensätze einzelner Nutzer“ einsehbar gewesen.

Nicht die einzige App mit Mängeln

Würde es jemanden beruhigen, wenn es sich statt einer kompletten Patientenakte beispielsweise nur um einen Krankenhausbericht handelte? Oder kommen im Medikationsplan dann Schmerztabletten dazu, weil es dazu verleitet, den Kopf noch einmal mehr gegen die Wand zu schlagen, aus Fassungslosigkeit?

Dieser Text stammt aus der taz am wochenende. Immer ab Samstag am Kiosk, im eKiosk oder gleich im praktischen Wochenendabo. Und bei Facebook und Twitter.

Vivy – so deutet es das Unternehmen, das die Lücken entdeckt hat, an – ist erwartbarerweise nicht die einzige Gesundheitsapp mit gravierenden Sicherheitsmängeln. Die erste naheliegende Konsequenz wäre also: Finger weg. Die zweite: Software in derart sensiblen Bereichen muss Open Source sein. Damit möglichst viele kenntnisreiche Menschen sie überprüfen und Mängel entdecken können.

Die dritte: eine Verpflichtung – dazu, das Produkt temporär zurückzuziehen und die Nutzer umgehend zu informieren, egal, ob ein Angriffsszenario als hypothetisch, realistisch oder schon geschehen betrachtet wird. Im besten Fall schafft das mehr Vertrauen als die Ungewissheit, ob der letzte MRT-Befund vielleicht doch in unbefugte Hände gelangt ist.

.

Ihre inhaltlichen Schwerpunkte sind Themen aus dem Bereich Netzökonomie und Verbraucherschutz. Zuvor hat sie unter anderem für den MDR als Multimedia-Redakteurin gearbeitet.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de