Home » News » Gesundheitswesen durch unsichere Schlüssel im E-Mail-System bedroht

Gesundheitswesen durch unsichere Schlüssel im E-Mail-System bedroht

Forscher des Fraunhofer SIT und der FH Münster haben Ende letzten Jahres gravierende Prozessfehler in der Telematikinfrastruktur des Gesundheitswesens gefunden. Nachdem diese im Rahmen des Chaos Communication Congress in Hamburg gemeldet wurden, sollen sie inzwischen behoben worden sein.

1 Min. Lesezeit
E-Mail
Foto: ©AdobeStock/Kiattisak

Arztpraxen nutzen das Mailsystem der Telematikinfrastruktur, um Dokumente wie Arbeitsunfähigkeitsbescheinigungen und Heil- sowie Kostenpläne an Krankenkassen zu versenden. Das E-Health-Team des Fraunhofer-Instituts für Sichere Informationstechnologie SIT hat kürzlich entdeckt, dass bei mehreren Krankenkassen Fehler bei der Verschlüsselung des Mailsystems auftraten. Insgesamt verwendeten acht Krankenkassen die gleichen Schlüssel, was theoretisch bedeutete, dass sie auch die E-Mails anderer Krankenkassen entschlüsseln konnten. Die Forscher präsentieren ihre Erkenntnisse in Hamburg auf dem Chaos Communication Congress (37c3) des Chaos Computer Clubs (CCC) Ende Dezember 2023. Vorab wurden alle Schwachstellen im Coordinated-Vulnerability-Disclosure-Verfahren der Gematik gemeldet.

Das E-Mail-System KIM (Kommunikation im Medizinwesen) dient dazu, eine sichere Kommunikation zwischen medizinischen Einrichtungen, Psychotherapeuten, Apotheken, Krankenkassen, Kliniken und anderen im Gesundheitswesen tätigen Parteien zu gewährleisten. In den letzten beiden Jahren wurden über KIM mehr als 200 Millionen E-Mails versandt. Somit ist das System eine der am häufigsten genutzten Anwendungen im deutschen Gesundheitswesen. KIM verspricht eine sichere Ende-zu-Ende-Verschlüsselung zwischen allen Gesundheitseinrichtungen in Deutschland, indem sichere kryptografische Schlüssel (S/MIME-Zertifikate) an alle Beteiligten ausgegeben werden, um eine verschlüsselte E-Mail-Kommunikation zu ermöglichen.

Festgestellt wurde, dass mehrere große Krankenkassen denselben Schlüssel für die Ver- und Entschlüsselung sowie das digitale Signieren ihres KIM-Mailverkehrs verwendeten. Das bedeutete, dass jede betroffene Krankenkasse potenziell alle E-Mails lesen konnte, die für eine andere dieser betroffenen Kassen bestimmt waren. Dies widerspricht dem eigentlichen Zweck der Verschlüsselung, um beispielsweise bei fehlgeleiteten E-Mails die Sicherheit zu gewährleisten.

Das Problem entstand bei der Einrichtung von KIM: Die betroffenen Krankenkassen hatten externe IT-Dienstleister beauftragt, das KIM-Mailsystem zu betreiben und kryptografische Schlüssel zu generieren. Diese Schlüssel wurden dann für mehrere Krankenkassen verwendet. Die eigentliche technische Struktur von KIM war nicht das Sicherheitsproblem, doch bei der praktischen Umsetzung des Systems wurden Fehler gemacht. Die Forscher haben diese Schwachstellen der zuständigen Stelle, der Gematik, gemeldet. Alle betroffenen Schlüssel wurden inzwischen neu generiert und ausgetauscht. Als Reaktion darauf hat die Gematik die Spezifikation zur Konfiguration von KIM verbessert und erweitert: Vor der Ausstellung eines Zertifikats wird nun überprüft, ob der Schlüssel bereits verwendet wurde.

Andere interessante News

Ball im Netz

Fußball-EM 2024: Faeser stellt Sicherheit in den Fokus

Bundesinnen- und Sportministerin Nancy Faeser sieht Bund, Länder und Ausrichterstädte gut vorbereitet für die Fußball-Europameisterschaft UEFA EURO 2024 in Deutschland.

Fire extinguisher, A close-up view of a red fire extinguisher tank in a building, representing concepts of fire safety equipment for security protection, prevention of emergencies,

Der bvfa auf der FeuerTrutz in Nürnberg

Der bvfa – Bundesverband Technischer Brandschutz e.V. teilt sein Wissen zu verschiedenen Brandschutzthemen auf der Fachmesse FeuerTrutz am 26. und 27. Juni 2024 in Nürnberg.

Megaphone used for emergency alarms on the ship

Fachwissen und Kompetenz für die Planung und Projektierung von Sprachalarmanlagen

Die Arbeit an einer Sprachalarmanlage (SAA) erfordert höchste Fachkompetenz, um die Anforderungen der DIN 14675 zu erfüllen. Planer, Errichter und Betreiber können sich bei der Unternehmensberatung Wenzel beraten lassen. Die DIN-14675-Experten unterstützen bei der Zertifizierung und bieten passende Online-Schulungen an.