Home » News » Gesundheitswesen durch unsichere Schlüssel im E-Mail-System bedroht

Gesundheitswesen durch unsichere Schlüssel im E-Mail-System bedroht

Forscher des Fraunhofer SIT und der FH Münster haben Ende letzten Jahres gravierende Prozessfehler in der Telematikinfrastruktur des Gesundheitswesens gefunden. Nachdem diese im Rahmen des Chaos Communication Congress in Hamburg gemeldet wurden, sollen sie inzwischen behoben worden sein.

1 Min. Lesezeit
E-Mail
Foto: ©AdobeStock/Kiattisak

Arztpraxen nutzen das Mailsystem der Telematikinfrastruktur, um Dokumente wie Arbeitsunfähigkeitsbescheinigungen und Heil- sowie Kostenpläne an Krankenkassen zu versenden. Das E-Health-Team des Fraunhofer-Instituts für Sichere Informationstechnologie SIT hat kürzlich entdeckt, dass bei mehreren Krankenkassen Fehler bei der Verschlüsselung des Mailsystems auftraten. Insgesamt verwendeten acht Krankenkassen die gleichen Schlüssel, was theoretisch bedeutete, dass sie auch die E-Mails anderer Krankenkassen entschlüsseln konnten. Die Forscher präsentieren ihre Erkenntnisse in Hamburg auf dem Chaos Communication Congress (37c3) des Chaos Computer Clubs (CCC) Ende Dezember 2023. Vorab wurden alle Schwachstellen im Coordinated-Vulnerability-Disclosure-Verfahren der Gematik gemeldet.

Das E-Mail-System KIM (Kommunikation im Medizinwesen) dient dazu, eine sichere Kommunikation zwischen medizinischen Einrichtungen, Psychotherapeuten, Apotheken, Krankenkassen, Kliniken und anderen im Gesundheitswesen tätigen Parteien zu gewährleisten. In den letzten beiden Jahren wurden über KIM mehr als 200 Millionen E-Mails versandt. Somit ist das System eine der am häufigsten genutzten Anwendungen im deutschen Gesundheitswesen. KIM verspricht eine sichere Ende-zu-Ende-Verschlüsselung zwischen allen Gesundheitseinrichtungen in Deutschland, indem sichere kryptografische Schlüssel (S/MIME-Zertifikate) an alle Beteiligten ausgegeben werden, um eine verschlüsselte E-Mail-Kommunikation zu ermöglichen.

Festgestellt wurde, dass mehrere große Krankenkassen denselben Schlüssel für die Ver- und Entschlüsselung sowie das digitale Signieren ihres KIM-Mailverkehrs verwendeten. Das bedeutete, dass jede betroffene Krankenkasse potenziell alle E-Mails lesen konnte, die für eine andere dieser betroffenen Kassen bestimmt waren. Dies widerspricht dem eigentlichen Zweck der Verschlüsselung, um beispielsweise bei fehlgeleiteten E-Mails die Sicherheit zu gewährleisten.

Das Problem entstand bei der Einrichtung von KIM: Die betroffenen Krankenkassen hatten externe IT-Dienstleister beauftragt, das KIM-Mailsystem zu betreiben und kryptografische Schlüssel zu generieren. Diese Schlüssel wurden dann für mehrere Krankenkassen verwendet. Die eigentliche technische Struktur von KIM war nicht das Sicherheitsproblem, doch bei der praktischen Umsetzung des Systems wurden Fehler gemacht. Die Forscher haben diese Schwachstellen der zuständigen Stelle, der Gematik, gemeldet. Alle betroffenen Schlüssel wurden inzwischen neu generiert und ausgetauscht. Als Reaktion darauf hat die Gematik die Spezifikation zur Konfiguration von KIM verbessert und erweitert: Vor der Ausstellung eines Zertifikats wird nun überprüft, ob der Schlüssel bereits verwendet wurde.

Andere interessante News

intelligentes Gebäude

In modernen Gebäuden wird Cybersicherheit Herausforderung Nummer 1

Die E-Handwerke erweitern ihr umfangreiches Programm auf der „Light + Building“ um ein zusätzliches Highlight: Das "Forum Cybersecurity" thematisiert die Gewährleistung von Cyber-Sicherheit in intelligenten Gebäuden und die Herausforderungen der Digitalisierung für die E-Handwerke im Gebäudebereich. Besucher erwartet ein spannendes Vortragsprogramm.

Munition

Mit neuer Munitionsfabrik will Rheinmetall nationalen Sicherheitsvorsorge stärken

Rheinmetall plant einen bedeutenden strategischen Schritt zur Stärkung der nationalen Sicherheitsvorsorge. Der Technologiekonzern wird eine neue Fabrik am Standort Unterlüß in der Lüneburger Heide errichten, um die staatliche Unabhängigkeit bei der Munitionsversorgung weiter zu festigen.

Münchner Sicherheitskonferenz

MSC mit kontaktlosen Zugangskontrollsystemen von Veridos gesichert

Veridos präsentierte zum fünften Mal in Folge innovative Zugangskontrolltechnologien für die Münchner Sicherheitskonferenz (MSC), die vom 16. bis 18. Februar 2024 im Hotel Bayerischer Hof stattfand. Das Konzept umfasste komfortable Walk-Through-Portale sowie Zugangskarten der neuesten Generation. Optional wurde auch eine eigens entwickelte App für Smartphones angeboten.