Der E-Mail-Dienst „Kommunikation im Medizinwesen“ (KIM) der Gesellschaft für Telematikanwendungen der Gesundheitskarte (Gematik) hat gravierende Sicherheitsmängel. Das deckten Sicherheitsexperten des Fraunhofer-Institut für Sichere Informationstechnologie (SIT) und der FH Münster auf.
KIM soll die sichere Kommunikation im Gesundheitswesen und Ende-zu-Ende verschlüsselten Versand sensibler Daten und Unterlagen ermöglichen. Unverschlüsselte Nachrichten werden ausschließlich auf einem lokalen Server in der Arztpraxis gespeichert. Der sog. TI-Connector, eine ebenfalls lokale Hardware-Komponente übernimmt dabei zertifikatsbasiert die Verschlüsselung ausgehender und Entschlüsselung eingehender Nachrichten.
Auch wenn – so die Forscher in ihrem Vortrag auf dem Chaos Communication Kongress (37C3) – KIM auf einem weit höheren Sicherheitsstandard operiert als beispielsweise das „besondere elektronische Anwaltspostfach“ (beA), wurden grundlegende Sicherheitsmängel entdeckt. So werden beispielsweise alle E-Mails in unverschlüsselter Form Bestandteil regelmäßiger Backups ohne die Möglichkeit, Löschverpflichtungen (bspw. auf Basis der DSGVO) nachzukommen.
Erhebliche Mängel im Update-Prozess des Partners T-Systems führten dazu, dass beispielsweise eine Log4J-Schwachstelle auf einem großen Teil der angeschlossenen Systeme monatelang nicht behoben wurde. Updates des von T-Systems bereitgestellten Clients müssen durch den Anwender (die Arztpraxen) manuell durchgeführt werden, nachdem diese gemäß den AGB des Anbieters selbst (ständig) aktiv recherchierten müssen, ob überhaupt Updates zur Verfügung stehen. T-Systems stellt weder automatische Updates bereit noch werden die Kunden informiert, dass Updates vorliegen. Dass ein solcher Prozess, der nach Auffassung des Autors nicht zuletzt gravierend gegen die Privacy by Design-Vorgaben aus Art. 25 DSGVO verstößt, in der Praxis nicht funktionieren kann, ist offensichtlich.
Noch gravierender ist die relativ einfache Möglichkeit, Signaturen von Versicherungen zu fälschen oder die Zuteilung identischer S/MIME-Keys zu mehreren Versicherungen, was dazu führte, dass die E2E-Sicherheit des gesamten Systems kompromittiert und im Ergebnis die Verschlüsselung zwischen insgesamt 8 Krankenkassen aufgehoben war. Vom letztgenannten Fehler waren 28% aller Versicherten in Deutschland potenziell betroffen.
Die Forscher legten ihre Erkenntnisse im Rahmen eines „Responsible Disclosure“-Prozesses vor der Veröffentlichung gegenüber der Gematik und ihren Technologiepartnern offen. Die Gematik und ihre Partner hat bereits erste Abhilfemaßnahmen ergriffen. So soll beispielsweise eine regelmäßige monatliche Doublettenprüfung das Risiko mehrfach vergebener Schlüssel senken. Zudem werden die Hinweisgeber nun auf der Website der Gematik als „Security Heroes“ geführt 
.
Quelle:
Sprechen wir miteinander!
Haben Sie Fragen zu Digitalisierung oder Compliance für Ihr Unternehmen? Sind Sie Projektverantwortlicher, betrieblicher Datenschutzbeauftragter oder Compliancebeauftragter und möchten mit einem Sparrings-Partner auf Augenhöhe diskutieren? Und das Ganze am Besten ohne Panikmache und mit einem gesunden Schuss Pragmatismus? Dann sollten wir miteinander sprechen.
Der Autor
Falk Schmidt ist Projektberater für digitale Geschäftsprozesse und Compliance sowie zertifizierter Datenschutzbeauftragter und Datenschutz-Auditor. Als Lehrbeauftragter an der Technischen Hochschule Mittelhessen (THM) vermittelt er Datenschutz-Themen an Studierende.
Die hier erscheinenden Artikel illustrieren seine private und/oder berufliche Meinung, stellen jedoch keine Rechtsberatung im Sinne des RDG dar.
Sie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr Informationen