Stellungnahme Vivy: Auf dem “35C3” präsentierte Angriffsszenarien waren seit längerem geschlossen


Am 27. Dezember 2018 wurden im Rahmen des sogenannten “35C3”, dem 35. Kongress des Chaos Computer Clubs, mehrere Gesundheits-Apps thematisiert, darunter auch Vivy. Die präsentierten Angriffsszenarien waren bereits zum Zeitpunkt der Präsentation seit längerem nicht mehr durchführbar. Daten von Nutzern sind zu keinem Zeitpunkt abgeflossen. Kein Vivy Nutzer ist zu Schaden gekommen. Wir sind überzeugt von den Potenzialen der Digitalisierung für die Gesundheit der Menschen in Deutschland und suchen den Dialog.


In Bezug auf die im Rahmen des sogenannten “35C3” im Dezember präsentierten Szenarien möchten wir festhalten: Keines der beiden präsentierten Szenarien war zum Zeitpunkt der Präsentation noch durchführbar. Konkret bedeutet das, dass zum Zeitpunkt der Präsentation sowohl der präsentierte Angriff via Cross-Site-Scripting unter der Domain app.vivy.com, als auch das gezeigte Überschreiben des temporären privaten SubtleCrypto-Schlüssels nicht mehr möglich waren. In der Präsentation wurden offenbar frühere Aufzeichnungen davon genutzt. Daten von Nutzern sind zu keinem Zeitpunkt abgeflossen. Kein Vivy Nutzer ist zu Schaden gekommen.


Vivy ist Pionier bei der Digitalisierung im Gesundheitsbereich. Diese Position nehmen wir ernst und reagieren auf Kritik. Verbesserungspotenziale wurden und werden bei uns durch einen standardisierten Prozess zeitnah geprüft und umgesetzt. Dies ist im Zuge eines kontinuierlichen IT-Sicherheitsmanagements üblich.


Externe Hinweise sind struktureller Bestandteil unseres Sicherheitsmanagements. Wir betrachten Sicherheit als nie abgeschlossen, sondern als ständigen Prozess der Verbesserung. Wir arbeiten kontinuierlich daran, auch zukünftige Angriffsszenarien frühzeitig zu erkennen und zu unterbinden. So haben wir beispielsweise ein Bug-Bounty-Programm aufgesetzt, wo Externe von uns dafür belohnt werden, wenn sie uns Hinweise auf mögliche Angriffsvektoren geben und haben Vivy kürzlich verschiedenen Penetrations-Tests unterzogen. Regelmäßige Penetrations-Tests von unabhängigen Experten sind wesentlicher Aspekt unserer kontinuierlichen Sicherheitsarbeit.


Der teils emotional geführte Diskurs rund um Potenziale und Gestaltung der Digitalisierung des Gesundheitswesens in Deutschland ist enorm wichtig. In den nächsten Monaten wird es hier wichtige Weichenstellungen durch den Gesetzgeber geben. Wir möchten mit zusätzlichen Fakten gerne zur Versachlichung dieser Thematik beitragen.


Wir sind offen für produktive Kritik und suchen den Dialog. Wir denken, dass jeder Mensch befähigt werden sollte, seine eigene Gesundheit in die Hand zu nehmen. Die Potenziale der Digitalisierung für ihre persönliche Gesundheit sollte man den Menschen in Deutschland nicht vorenthalten. Unserer Ansicht nach muss es darum gehen, diese an den höchsten Anforderungen ausgerichtet zu ermöglichen. Daran arbeiten wir jeden Tag.

 

Pressekontakt:
Maria Steinhöfel
presse@vivy.com
+49 157 92355094