Sicherheit auf höchstem Niveau sei im Umgang mit den hochsensiblen Daten der Nutzer ein Grundpfeiler des Selbstverständnisses der Vivy GmbH, so das Unternehmen in einer Stellungnahme. Das Unternehmen arbeite fortlaufend an der Verbesserung der Sicherheitsarchitektur und lasse die Vivy-App, die Vivy-Browser-Applikation und die Backend-Systeme regelmäßig durch externe IT-Sicherheitsexperten überprüfen.
Bei einer Untersuchung dieser Apps und Systeme hatte die modzero GmbH mehrere hypothetische Angriffsvektoren aufgezeigt und Vivy in Form eines Vorberichts am 22. September 2018 und eines ausführlichen Berichts am 4. Oktober zur Verfügung gestellt. Vivy habe die dort aufgeführten potenziellen Angriffsvektoren jeweils innerhalb von 24 Stunden gemäß standardisierter Incident- und Change-Prozesse behoben.
Zu keinem Zeitpunkt sei ein Zugriff auf die Gesundheitsakte von einem oder mehreren Nutzern möglich gewesen. Modzero habe in einer Testumgebung des Unternehmens mit vielen speziellen spezifischen Annahmen Angriffsmöglichkeiten simuliert. Der Großteil der - nach Angaben von Vivy beseitigten - Vektoren habe gezeigt, dass sie entweder einen kompromittierten Computer des Arztes oder ein von den Nutzern selbst kompromittiertes Smartphone – auch jailbreaked oder rooted genannt – des Nutzers voraussetzten.
Die generelle Ende-zu-Ende-Verschlüsselung der Gesundheitsakte sei zu keinem Zeitpunkt durch die Modzero GmbH ausgehebelt worden. Der Bericht dokumentiere lediglich eine punktuelle Kompromittierung der Verschlüsselung bei der Übertragung eines einzelnen Dokumentes vom Patienten an den Arzt, ausschließlich wenn mehrere spezifische Umstände gleichzeitig bestünden. Dies sei aufgrund der erfolgten Gegenmaßnahmen nun nicht mehr möglich. Generell bestünden Vivy-Sicherheitsmaßnahmen, die derartige Brute Force-Attacken auch in der Vergangenheit unterbunden hätten. Diese seien bei dieser Simulation nicht getestet worden.
Selbst im Falle erfolgreicher Angriffe seien lediglich fragmentierte Datensätze einzelner Nutzer, nie jedoch größere Datenbestände einsehbar gewesen. Ein reales Risiko für die Sicherheit der Gesundheitsakten der Nutzer hätte zu keinem Zeitpunkt bestanden, da im realen Betrieb der App viele Vivy-Sicherheitsmaßnahmen existierten, die nicht getestet worden seien.
Vivy gehe aktiv und transparent mit dem Thema um, teilte das Unternehmen mit. Vivy hat auf seiner Homepage am 18. Oktober ein White Paper zum Thema Sicherheit und am 29. Oktober einen umfassenden Bericht zu den aufgeworfenen Punkten veröffentlicht. Zudem fordert die Vivy GmbH in einem Bug Bounty-Programm IT-Experten weltweit auf, das Unternehmen auf mögliche Angriffsvektoren aufmerksam zu machen.