Entdeckung des E-Health-Teams des Fraunhofer-Instituts

Fehlerhafte Schlüssel sorgen für Sicherheitslücke bei KIM

28.12.2023, 16:45 Uhr

Das E-Health-Team des Fraunhofer-Instituts für Sichere Informationstechnologie SIT hat die Gematik auf eine Sicherheitslücke bei KIM hingewiesen. (Foto: IMAGO / snowfieldphotography)

Das E-Health-Team des Fraunhofer-Instituts für Sichere Informationstechnologie SIT hat die Gematik auf eine Sicherheitslücke bei KIM hingewiesen. (Foto: IMAGO / snowfieldphotography)


Das Mailsystem KIM soll für sichere Kommunikation zwischen den verschiedenen Playern im Gesundheitswesen über die Telematikinfrastruktur (TI) sorgen. Das E-Health-Team des Fraunhofer-Instituts für Sichere Informationstechnologie SIT hat aber nun eine Sicherheitslücke entdeckt. Offenbar wurde derselbe Schlüssel bei verschiedenen Krankenkassen verwendet.

Die Abkürzung KIM steht für Kommunikation im Medizinwesen. Dahinter steckt eine Art sicheres E-Mail-System für das Gesundheitswesen, das innerhalb der Telematikinfrastruktur läuft. Für Arztpraxen ist KIM bereits Pflicht. Sie nutzen das System beispielsweise, um elektronische Arbeitsunfähigkeitsbescheinigungen oder Heil- und Kostenpläne an Krankenkassen zu schicken. Apotheken müssen ab April 2024 über eine KIM-Adresse verfügen. Über diese können dann Rückfragen zu E-Rezepten gestellt oder, falls eine Neuausstellung notwendig ist, das neue Rezept über KIM an die Apotheke gesendet werden. Zudem sollen prospektiv in der Heimversorgung Rezepte vom Heim an die Apotheke übermittelt werden.

Forschende des Fraunhofer-Instituts für Sichere Informationstechnologie SIT und der FH Münster haben nun allerdings gravierende Prozessfehler gefunden, wie Fraunhofer SIT diese Woche mitteilte. Offenbar war die Verschlüsselung für das Mailsystem bei mehreren Krankenkassen fehlerhaft eingerichtet. Konkret benutzten der Mitteilung zufolge insgesamt acht Krankenkassen die gleichen Schlüssel für die Ver- und Entschlüsselung sowie das digitale Signieren ihres KIM-Mailverkehrs und konnten so theoretisch auch die Mails anderer Krankenkassen entschlüsseln und lesen, falls diese fehlgeleitet wurden. Der Gematik wurden die Sicherheitslücken bereits gemeldet, heißt es.

Spezifikation wurde angepasst

Auch wie das Problem zustande kam, ist offenbar geklärt: Das KIM-Mailsystem wurde bei den betroffenen Kassen von externen Dienstleistern betrieben. Die hatten kryptografische Schlüssel generiert. Diese Schlüssel wurden dann aber für mehrere Krankenkassen verwendet. Die Ursache für das Sicherheitsproblem lag also nicht an der Struktur von KIM. Allerdings können, wie das Beispiel zeigt, bei der Einrichtung Fehler passieren, die zu Sicherheitsrisiken führen. Die betroffenen Schlüssel sollen mittlerweile neu generiert und ausgetauscht worden sein. Zudem soll die Gematik die Meldung zum Anlass genommen haben, die Spezifikation zur Konfiguration von KIM zu überarbeiten. Jetzt muss demnach vor der Ausstellung eines Zertifikats geprüft werden, ob der Schlüssel schon einmal verwendet wurde.


Julia Borsch, Apothekerin, Chefredakteurin DAZ
jborsch@daz.online


Diesen Artikel teilen:


2 Kommentare

Schneller als gedacht,

von ratatosk am 29.12.2023 um 9:36 Uhr

Es war klar, daß so etwas hier und auch bei der Patientenakte passieren wird. Es wurde noch alles gehackt.
Daß es so schnell geht, liegt sicher am Bund, da dieser noch nie Software richtig hinbekommen hat ( Maut, Herkules etc. etc.) Fürchte nur, daß die offensichtlichen Lügen dazu von Karl auch hier keine Konsequenzen haben wird, er selbst wird diese aufgrund seines Charakters auch nicht ziehen.

» Auf diesen Kommentar antworten | 0 Antworten

Sichere Systeme?

von Franz am 28.12.2023 um 20:48 Uhr

Wer glaubt eigentlich wirklich, dass diese "lernenden Organisationen" die Daten unser Kunden oder auch unsere ganz persönlichen Karankheitsdaten auf der eigenen Gesunsheitskarte tatsächlich vor dem Zugriff Dritter verwahren werden? Also immer.

Denn einmal geleakt oder abgegriffen reicht ja schon. Die mantraartige Wiederholung der Mär von den den angeblich "sicheren Systemen" lullt sicherlich manche ein. Kann nur jedem empfehlen, sehr gründlich u.a. darüber nachzudenken, ob er der Speicherung auf seiner eGesundheitskarte nicht von vorneherein widersprechen möchte, bevor die Daten sogar via Karte kursieren.

» Auf diesen Kommentar antworten | 0 Antworten

Das Kommentieren ist aktuell nicht möglich.