Vivy News

Informationen zur aktuellen Berichterstattung

15:57 Uhr | 29.10.2018 (Aktualisiert 23:28)

 

Sicherheit auf höchstem Niveau ist im Umgang mit den hochsensiblen Daten unserer Nutzer ein Grundpfeiler des Selbstverständnisses der Vivy GmbH. Darum arbeitet unser Unternehmen fortlaufend an der Verbesserung der Sicherheitsarchitektur und lässt die Vivy-App, die Vivy-Browser-Applikation und die Backend-Systeme regelmäßig durch externe IT-Sicherheitsexperten überprüfen. Im Rahmen sogenannter Bug Bounty-Programme lädt die Vivy GmbH zudem unabhängig agierende IT-Fachleute dazu ein, die Sicherheit ihrer Systeme auf Schwachstellen zu testen.

Bei einer Untersuchung unserer Apps und Systeme hat die modzero GmbH mehrere hypothetische Angriffsvektoren aufgezeigt und Vivy in Form eines Vorberichts am 22. September und eines ausführlichen Berichts am 04. Oktober zur Verfügung gestellt. Vivy hat die dort aufgeführten potentiellen Angriffsvektoren jeweils innerhalb von 24 Stunden gemäß standardisierter Incident- und Change-Prozesse behoben.

 

Alle im Nachgang durchgeführten Analysen zeigen, dass nie reale Patientendaten in Vivy kompromittiert wurden, weder durch die modzero GmbH noch durch andere Angreifer. Es war Dritten zu keinem Zeitpunkt möglich, auf die elektronische Gesundheitsakte zuzugreifen.

Der Großteil der beseitigten Angriffsmöglichkeiten hat gezeigt, dass sie entweder:

  • einen kompromittierten Computer des Arztes oder
  • ein kompromittiertes Smartphone des Nutzers (umgangssprachlich auch jailbroken oder rooted genannt)

voraussetzen.

Selbst im Falle erfolgreicher Angriffe wären maximal fragmentierte Datensätze einzelner Nutzer, nie jedoch größere Datenbestände einsehbar gewesen. Einige Kombinationen von Angriffen waren auch im Analysezeitraum in der von der modzero GmbH dargestellten Form in der Realität nicht umsetzbar.

Vivy basiert auf einer vielschichtigen Sicherheitsarchitektur, die auf dem neuesten Stand der Technik beruht und fortlaufend erweitert wird, um den Nutzern bestmögliche Sicherheit Ihrer persönlichen Daten zu gewährleisten (https://www.vivy.com/sicherheit/).

 

Weiterführende Informationen:

 

Wie wird Sicherheit bei Vivy kontinuierlich weiterentwickelt?

Bei der Entwicklung der Systeme für ein Produkt wie Vivy spielen die Themen Sicherheit und Qualitätssicherung bereits in der Konzeption eine zentrale Rolle. Dazu gehören umfassende Testkonzepte, eine Sicherheitsarchitektur auf dem Stand der Technik, die fortlaufende Aktualisierung der Datenschutzfolgenabschätzung und vieles mehr.

Doch die höchste Qualität bei technischen Produkten ist nur durch die kontinuierliche Verbesserung in standardisierten Prozessen erreichbar. Elementar hierfür ist die rasche Verbesserung der Software. Vivy stellt dies durch definierte Incident- und Change-Prozesse sicher. Für den Incident-Prozess stehen Experten 24 Stunden in Bereitschaft.

Diese sind in der Lage, kritische Incidents rasch zu analysieren, zu priorisieren und ein Change-Ticket zu erstellen. Der darauf angestoßene Change-Prozess folgt einer definierten Vorgehensweise für die rasche und einwandfreie Verbesserung der Software.

Incidents können hierbei von Mitarbeitern, Nutzern, Ärzten und anderen Personen gemeldet werden. Für die Bewertung der Priorität stellt die Datensicherheit einen wesentlichen Eckpfeiler dar. Stellt sich heraus, dass es bei dem Incident eine Softwareänderung notwendig ist, wird ein Ticket im Change-Prozess erstellt und die Verbesserung umgesetzt.

Vivys Entwickler setzen Verbesserungen abhängig von ihrer Kritikalität innerhalb von wenigen Stunden um. Jede Änderung bei Vivy unterliegt dabei einem Qualitätssicherungsprozess, der Sicherheitsüberprüfungen beinhaltet und dem Vier-Augen-Prinzip folgt. Zusätzlich werden Vivy-App und Vivy-Server von externen Experten routinemäßig getestet.

Als Entwickler einer der ersten digitalen Gesundheitsakten unterstützt von gesetzlichen und privaten Krankenversicherungen in Deutschland, weiß die Vivy GmbH um ihre Verantwortung und ist überzeugt, dass Vertrauen und Sicherheit die unverhandelbare Grundlage für die Digitalisierung im deutschen Gesundheitssystem bilden. Darum wertschätzt das Unternehmen ausdrücklich die Bemühungen modzero GmbH und die daraus resultierenden Hinweise, da sie helfen, die Daten der Nutzer noch besser vor dem Zugriff unberechtigter Dritter zu schützen.