Home » News » Gesundheitswesen durch unsichere Schlüssel im E-Mail-System bedroht

Gesundheitswesen durch unsichere Schlüssel im E-Mail-System bedroht

Forscher des Fraunhofer SIT und der FH Münster haben Ende letzten Jahres gravierende Prozessfehler in der Telematikinfrastruktur des Gesundheitswesens gefunden. Nachdem diese im Rahmen des Chaos Communication Congress in Hamburg gemeldet wurden, sollen sie inzwischen behoben worden sein.

1 Min. Lesezeit
E-Mail
Foto: ©AdobeStock/Kiattisak

Arztpraxen nutzen das Mailsystem der Telematikinfrastruktur, um Dokumente wie Arbeitsunfähigkeitsbescheinigungen und Heil- sowie Kostenpläne an Krankenkassen zu versenden. Das E-Health-Team des Fraunhofer-Instituts für Sichere Informationstechnologie SIT hat kürzlich entdeckt, dass bei mehreren Krankenkassen Fehler bei der Verschlüsselung des Mailsystems auftraten. Insgesamt verwendeten acht Krankenkassen die gleichen Schlüssel, was theoretisch bedeutete, dass sie auch die E-Mails anderer Krankenkassen entschlüsseln konnten. Die Forscher präsentieren ihre Erkenntnisse in Hamburg auf dem Chaos Communication Congress (37c3) des Chaos Computer Clubs (CCC) Ende Dezember 2023. Vorab wurden alle Schwachstellen im Coordinated-Vulnerability-Disclosure-Verfahren der Gematik gemeldet.

Das E-Mail-System KIM (Kommunikation im Medizinwesen) dient dazu, eine sichere Kommunikation zwischen medizinischen Einrichtungen, Psychotherapeuten, Apotheken, Krankenkassen, Kliniken und anderen im Gesundheitswesen tätigen Parteien zu gewährleisten. In den letzten beiden Jahren wurden über KIM mehr als 200 Millionen E-Mails versandt. Somit ist das System eine der am häufigsten genutzten Anwendungen im deutschen Gesundheitswesen. KIM verspricht eine sichere Ende-zu-Ende-Verschlüsselung zwischen allen Gesundheitseinrichtungen in Deutschland, indem sichere kryptografische Schlüssel (S/MIME-Zertifikate) an alle Beteiligten ausgegeben werden, um eine verschlüsselte E-Mail-Kommunikation zu ermöglichen.

Festgestellt wurde, dass mehrere große Krankenkassen denselben Schlüssel für die Ver- und Entschlüsselung sowie das digitale Signieren ihres KIM-Mailverkehrs verwendeten. Das bedeutete, dass jede betroffene Krankenkasse potenziell alle E-Mails lesen konnte, die für eine andere dieser betroffenen Kassen bestimmt waren. Dies widerspricht dem eigentlichen Zweck der Verschlüsselung, um beispielsweise bei fehlgeleiteten E-Mails die Sicherheit zu gewährleisten.

Das Problem entstand bei der Einrichtung von KIM: Die betroffenen Krankenkassen hatten externe IT-Dienstleister beauftragt, das KIM-Mailsystem zu betreiben und kryptografische Schlüssel zu generieren. Diese Schlüssel wurden dann für mehrere Krankenkassen verwendet. Die eigentliche technische Struktur von KIM war nicht das Sicherheitsproblem, doch bei der praktischen Umsetzung des Systems wurden Fehler gemacht. Die Forscher haben diese Schwachstellen der zuständigen Stelle, der Gematik, gemeldet. Alle betroffenen Schlüssel wurden inzwischen neu generiert und ausgetauscht. Als Reaktion darauf hat die Gematik die Spezifikation zur Konfiguration von KIM verbessert und erweitert: Vor der Ausstellung eines Zertifikats wird nun überprüft, ob der Schlüssel bereits verwendet wurde.

Andere interessante News

Geschäftsmann berührt die Verbindung zu Informationssicherheit, Dateninformationen im Cyberspace

CISPA-Neubau startet

Der Neubau des CISPA Helmholtz-Zentrums für Informationssicherheit auf dem Neumann-Gelände in St. Ingbert rückt näher: Im Dezember 2024 haben Bund und Saarland mit einem Konsortial...

Private Sicherheitskraft

Private Sicherheitswirtschaft: Fast 290.000 Beschäftigte

Die private Sicherheitswirtschaft in Deutschland boomt: Laut aktuellen Zahlen des Statistischen Bundesamtes beschäftigt die Branche mittlerweile beeindruckende 289.509 Menschen. Mi...

Abstrakter Hintergrund mit leuchtend blauen Linien und einem Netzwerk miteinander verbundener Knoten um Energienetze zu symbolisieren.

telent bringt effektive Schutzkonzepte für resiliente Energienetze

Die digitale Transformation im Energiesektor treibt die Energiewende voran. Die zunehmende Vernetzung erfordert höhere Standards in Netzstabilität, Cybersecurity und Kommunikations...