Der E-Mail-Dienst „Kommunikation im Medizinwesen“ (KIM) der Gesellschaft für Telematikanwendungen der Gesundheitskarte (Gematik) hat gravierende Sicherheitsmängel. Das deckten Sicherheitsexperten des Fraunhofer-Institut für Sichere Informationstechnologie (SIT) und der FH Münster auf.
KIM soll die sichere Kommunikation im Gesundheitswesen und Ende-zu-Ende verschlüsselten Versand sensibler Daten und Unterlagen ermöglichen. Unverschlüsselte Nachrichten werden ausschließlich auf einem lokalen Server in der Arztpraxis gespeichert. Der sog. TI-Connector, eine ebenfalls lokale Hardware-Komponente übernimmt dabei zertifikatsbasiert die Verschlüsselung ausgehender und Entschlüsselung eingehender Nachrichten.
Auch wenn – so die Forscher – KIM auf einem weit höheren Sicherheitsstandard operiert als beispielsweise das Besondere elektronische Anwaltspostfach (beA), wurden grundlegende Sicherheitsmängel entdeckt. So werden beispielsweise alle E-Mails in unverschlüsselter Form Bestandteil regelmäßiger Backups ohne die Möglichkeit, Löschverpflichtungen (bspw. auf Basis der DSGVO) nachzukommen.
Die Forscher legten ihre Erkenntnisse im Rahmen eines „Responsible Disclosure“-Prozesses vor der Veröffentlichung gegenüber der Gematik und ihren Technologiepartnern offen. Die Gematik und ihre Partner hat bereits erste Abhilfemaßnahmen ergriffen. So soll beispielsweise eine regelmäßige monatliche Doublettenprüfung das Risiko mehrfach vergebener Schlüssel senken.
Quellen:
- https://www.sit.fraunhofer.de/de/presse/details/news-article/show/unsichere-schluessel-im-e-mail-system-des-gesundheitswesens-gefunden/
- https://www.heise.de/news/37C3-Schluessel-fuer-E-Mail-Dienst-KIM-fuer-das-Medizinwesen-mehrfach-vergeben-9583275.html
- Vortrag auf dem Chaos Communication Congress 2023 (37C3) vom 27.12.2023: https://streaming.media.ccc.de/37c3/relive/12030
- Gematik: https://www.gematik.de/datensicherheit/security-heroes