Geringe Sicherheitsstandards im Ärztenetz
Die ePA, die elektronische Patientenakte, wurde schon mehrmals durch die Hacker des CCC "gerettet", in dem sie auf ihre Lücken aufmerksam gemacht haben. Auf dem diesjährgen 39C3, dem Kongress des CCC in Hamburg wurde neben der ePA über andere Sicherheitslücken im Ärztenetz der Gematik berichtet. Ihre Kritik richtet sich gegen KIM, die "Kommunikation im Medizinwesen".
Damit sollen sich Ärzte und Krankenhäuser untereinander Diagnosen, Laborbefunde oder Medikationsanweisungen mit E-Mails zusenden. Die Mails sind verschlüsselt und werden im Netz der Gematik verschickt. Der IT-Sicherheitsforscher Christoph Saatjohann hat die verwendeten Standards untersucht und darüber gestern auf dem 39C3 berichtet.
So würden Mails mit KIM zwar verschlüsselt und weisen eine Signatur auf. Diese bestätigt jedoch nur, dass sie im Netz der Gematik unterwegs war. Sie stellt jedoch nicht sicher, dass der angegebene Absender auch der wirkliche Absender sei. So kann mit solchen Mails Spam und Pishing versendet werden. Dazu werden im Darknet gehandelte Daten von Kliniken und Arztpraxen genutzt.
Eine Zeitlang waren auch KIM Mails über das Internet von außen lesbar gewesen. Das lag an falsch konfigurierten KIM Modulen. Die gravierendsten Lücken hat die Gematik mit einem Hotfix geschlossen. Es kann jedoch dauern bis die Software auch in jeder Arztpraxis aktualisiert werden kann.
Nach den Worten des Sicherheitsforscher Saatjohann gibt es jedoch noch ein weiteres Problem. Tagesschau.de schreibt: "Ohne viel Aufwand konnte er sich im KIM-System eine E-Mail-Adresse auf den Namen der Gematik erstellen. Seine Vermutung: Neu registrierte E-Mail-Adressen würden nicht auf Plausibilität geprüft, nur ein Ausweis für medizinische Einrichtungen sei notwendig." Nun muss man wissen, dass mehrere hunderttausend Personen in Deutschland so einen Ausweis besitzen, denn oft muss die Bearbeitung und der Versand von Arztbriefen von Hilfskräften durchgeführt werden. Die Gematik steht vor der Aufgabe die Vergabe von neuen E-Mail Adressen für das System besser zu kontrollieren ohne zusätzliche Bürokratie zu generieren ...
Mehr dazu bei https://www.tagesschau.de/investigativ/ndr/ccc-sicherheitsluecken-arztpraxen-100.html
Kommentar: RE: 20251230 KIM - "Kommunikation im Medizinwesen"
Technische Hürden bei der ePA
Um die eigene Akte einsehen zu können, müssen Versicherte sich mit ihrem Personalausweis identifizieren, eine App herunterladen und sich von der Krankenkasse freischalten lassen. Das ist nicht mal eben eingerichtet und für viele zu komplex...
https://www.mdr.de/nachrichten/deutschland/gesellschaft/epa-elektronische-patienenakte-start-kritik-krankenkasse-102.html
Lu., 10.01.26 08:12
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3Mc
Link zu dieser Seite: https://www.a-fsa.de/de/articles/9391-20251230-kim-kommunikation-im-medizinwesen.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/9391-20251230-kim-kommunikation-im-medizinwesen.htm
Tags: #CCC #Kongress #39C3 #Hamburg #ChaosComputerClub #Themen #Arbeitnehmerdatenschutz #Verbraucherdatenschutz #KIM #email #Gematik #Verschlüsselung #intern #Nutzung #Ausweis #Spam #Pishing #Vertrauen
Erstellt: 2025-12-30 09:06:13 Aufrufe: 448
Kommentar abgeben
