Auf dem 37. Chaos Communication Congress (37C3) in Hamburg deckten die Sicherheitsforscher Christoph Saatjohann und Sebastian Schinzel gravierende Probleme in der digitalen Gesundheitsinfrastruktur auf. Insbesondere die Schlüsselverwaltung des Kommunikationsdienstes im Medizinwesen (KIM) stand im Fokus ihrer Untersuchung. Dieser Blog-Beitrag beleuchtet die entdeckten Schwachstellen und ihre Auswirkungen.

Schlüsselverwaltung im KIM: Ein Sicherheitsrisiko: Der KIM gilt als sicherer E-Mail-Dienst im Gesundheitswesen, der Ende-zu-Ende-Verschlüsselung durch individuelle S/MIME-Zertifikate ermöglicht. Jeder Teilnehmer, darunter Ärzte und Krankenkassen, erhält solche Zertifikate für sichere Kommunikation. Trotz Lob für den höheren Standard im Vergleich zu anderen Systemen wiesen die Münsteraner Sicherheitsforscher auf wiederholte Probleme hin.

Identische Schlüssel bei Krankenkassen: Der GAU in der PKI: Die Forscher enthüllten einen schwerwiegenden Implementierungsfehler, bei dem Dienstleister dieselben S/MIME-Keys an insgesamt acht Krankenkassen vergaben. Dies führte dazu, dass die Verschlüsselung zwischen den Parteien aufgehoben wurde. Jeder der Beteiligten hätte mit dem gleichen Schlüssel Nachrichten signieren können. Dieser GAU in der Public Key Infrastructure (PKI) betraf 28 Prozent der Bürgerinnen und Bürger, die über diese Krankenkassen versichert waren.

Verantwortung und Maßnahmen: Die Sicherheitsforscher informierten die Gesellschaft für Telematikanwendungen der Gesundheitskarte (Gematik) im Rahmen eines „Responsible Disclosure“-Prozesses über ihre Ergebnisse. Die betroffenen Keys wurden zurückgezogen, und die Spezifikationen des Systems wurden angepasst. Nun erfolgt monatlich eine Überprüfung auf Schlüsseldopplungen.

Log4J-Schwachstelle im KIM-Clientmodul: Die Forscher deckten auch eine Log4J-Schwachstelle im KIM-Clientmodul von T-Systems auf. Obwohl ein Update veröffentlicht wurde, gab es Probleme mit der Informationsweitergabe an die Betroffenen. Fragen zu fehlenden automatischen Updates und zur Kostentragung für notwendige Sicherheitsupdates blieben offen.

Ausblick und offene Fragen: Der Blog-Beitrag schließt mit einem Ausblick auf Informationsdefizite bei Updates und der ungeklärten Kostenverantwortung für Sicherheitsupdates der Software-Hersteller im Gesundheitswesen. Rückfragen aus dem Publikum und die Rolle der verschiedenen Akteure, darunter Krankenversicherungen und das Bundesgesundheitsministerium, werden thematisiert.

Dieser Beitrag bietet einen detaillierten Überblick über die Sicherheitsprobleme im KIM, die auf dem 37C3-Kongress enthüllt wurden.