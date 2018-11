Kolumne Geht’s noch?

Och, nur Laborwerte…

Die Gesundheitsdaten-App Vivy hat Sicherheitsmängel. Das an sich ist kein Skandal – die unprofessionelle Reaktion der Macher dagegen schon.

Eine App. Ein paar Sicherheits­lücken. Und ein Hersteller, der, nachdem er darauf aufmerksam gemacht wurde, nicht etwa die App vom Markt nimmt und die Nutzer davor warnt, sie weiter zu verwenden, während er an der Fehlerbehebung arbeitet. Sondern die App laufen lässt, aber hinterher mitteilt, es habe ja nur ein hypothetisches Angriffsrisiko bestanden. Was Nutzer mit dieser App verwalten und austauschen sollen? Och, nur Gesundheitsdaten. Laborwerte, Röntgenbilder, Medikationspläne und so.

Das Problem ist nicht eine Sicherheitslücke an sich. Menschen machen Fehler, Menschen schreiben Software, also hat Software Fehler, und selbst wenn eines Tages standardmäßig Software neue Software schreibt, wird es Fehler geben, weil irgendwann mal jemand im Ursprungscode Mist gebaut hat.

Das Problem im aktuellen Fall der Gesundheitsdaten-App Vivy, die von mehreren Krankenkassen gefeatured wird, ist: Es waren Mängel, die auf einen eher entspannten Umgang mit Sicherheitsfragen schließen lassen. Ähnlich übrigens wie bei dem Facebook-Hack, der Ende September bekannt wurde.

Und: Statt die App erst mal zurückzuziehen, wie man es von einem Unternehmen erwarten sollte, das zum Start offensiv mit der Sicherheit warb, wiegelt der Hersteller hinterher ab. „Selbst im Falle erfolgreicher Angriffe wären maximal fragmentierte Datensätze einzelner Nutzer“ einsehbar gewesen.

Nicht die einzige App mit Mängeln

Würde es jemanden beruhigen, wenn es sich statt einer kompletten Patientenakte beispielsweise nur um einen Krankenhausbericht handelte? Oder kommen im Medikationsplan dann Schmerztabletten dazu, weil es dazu verleitet, den Kopf noch einmal mehr gegen die Wand zu schlagen, aus Fassungslosigkeit?

taz am wochenende Angela Merkels Tage sind gezählt. Was bleibt von ihr? Was kommt nach ihr? – In der taz am wochenende vom 3./4. November. Außerdem: Midterm Elections in den USA. Und: Von alten Gärten und alten Lieben. Ab Samstag am Kiosk, im eKiosk, im praktischen Wochenendabo und rund um die Uhr bei Facebook und Twitter.

Vivy – so deutet es das Unternehmen, das die Lücken entdeckt hat, an – ist erwartbarerweise nicht die einzige Gesundheitsapp mit gravierenden Sicherheitsmängeln. Die erste naheliegende Konsequenz wäre also: Finger weg. Die zweite: Software in derart sensiblen Bereichen muss Open Source sein. Damit möglichst viele kenntnisreiche Menschen sie überprüfen und Mängel entdecken können.

Die dritte: eine Verpflichtung – dazu, das Produkt temporär zurückzuziehen und die Nutzer umgehend zu informieren, egal, ob ein Angriffsszenario als hypothetisch, realistisch oder schon geschehen betrachtet wird. Im besten Fall schafft das mehr Vertrauen als die Ungewissheit, ob der letzte MRT-Befund vielleicht doch in unbefugte Hände gelangt ist.