Geringe Sicherheitsstandards im Ärztenetz
Die ePA, die elektronische Patientenakte, wurde schon mehrmals durch die Hacker des CCC "gerettet", in dem sie auf ihre Lücken aufmerksam gemacht haben. Auf dem diesjährgen 39C3, dem Kongress des CCC in Hamburg wurde neben der ePA über andere Sicherheitslücken im Ärztenetz der Gematik berichtet. Ihre Kritik richtet sich gegen KIM, die "Kommunikation im Medizinwesen".
Damit sollen sich Ärzte und Krankenhäuser untereinander Diagnosen, Laborbefunde oder Medikationsanweisungen mit E-Mails zusenden. Die Mails sind verschlüsselt und werden im Netz der Gematik verschickt. Der IT-Sicherheitsforscher Christoph Saatjohann hat die verwendeten Standards untersucht und darüber gestern auf dem 39C3 berichtet.
So würden Mails mit KIM zwar verschlüsselt und weisen eine Signatur auf. Diese bestätigt jedoch nur, dass sie im Netz der Gematik unterwegs war. Sie stellt jedoch nicht sicher, dass der angegebene Absender auch der wirkliche Absender sei. So kann mit solchen Mails Spam und Pishing versendet werden. Dazu werden im Darknet gehandelte Daten von Kliniken und Arztpraxen genutzt.
Eine Zeitlang waren auch KIM Mails über das Internet von außen lesbar gewesen. Das lag an falsch konfigurierten KIM Modulen. Die gravierendsten Lücken hat die Gematik mit einem Hotfix geschlossen. Es kann jedoch dauern bis die Software auch in jeder Arztpraxis aktualisiert werden kann.
Nach den Worten des Sicherheitsforscher Saatjohann gibt es jedoch noch ein weiteres Problem. Tagesschau.de schreibt: "Ohne viel Aufwand konnte er sich im KIM-System eine E-Mail-Adresse auf den Namen der Gematik erstellen. Seine Vermutung: Neu registrierte E-Mail-Adressen würden nicht auf Plausibilität geprüft, nur ein Ausweis für medizinische Einrichtungen sei notwendig." Nun muss man wissen, dass mehrere hunderttausend Personen in Deutschland so einen Ausweis besitzen, denn oft muss die Bearbeitung und der Versand von Arztbriefen von Hilfskräften durchgeführt werden. Die Gematik steht vor der Aufgabe die Vergabe von neuen E-Mail Adressen für das System besser zu kontrollieren ohne zusätzliche Bürokratie zu generieren ...
Mehr dazu bei https://www.tagesschau.de/investigativ/ndr/ccc-sicherheitsluecken-arztpraxen-100.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3Mc
Link zu dieser Seite: https://www.a-fsa.de/de/articles/9391-20251230-kim-kommunikation-im-medizinwesen.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/9391-20251230-kim-kommunikation-im-medizinwesen.htm
Tags: #CCC #Kongress #39C3 #Hamburg #ChaosComputerClub #Themen #Arbeitnehmerdatenschutz #Verbraucherdatenschutz #KIM #email #Gematik #Verschlüsselung #intern #Nutzung #Ausweis #Spam #Pishing #Vertrauen
Erstellt: 2025-12-30 09:06:13
Kommentar abgeben
