Unsichere Schlüssel im E-Mail-System des Gesundheitswesens gefunden

Forscher des Fraunhofer SIT und der FH Münster haben unsichere Schlüssel im E-Mail-System des Gesundheitswesens gefunden.
(c) Fraunhofer SIT

Forscher des Fraunhofer SIT und der FH Münster haben gravierende Prozessfehler gefunden – Unsicherheit wurde jetzt behoben.

Über das Mailsystem der Telematikinfrastruktur verschicken Arztpraxen beispielsweise elektronische Arbeitsunfähigkeitsbescheinigungen oder Heil- und Kostenpläne an Krankenkassen. Jetzt hat das E-Health-Team des Fraunhofer-Instituts für Sichere Informationstechnologie SIT herausgefunden, dass die Verschlüsselung für das Mailsystem bei mehreren Krankenkassen fehlerhaft eingerichtet war – insgesamt acht Krankenkassen benutzten die gleichen Schlüssel und konnten so theoretisch auch die Mails anderer Krankenkassen entschlüsseln.

Die Forscher stellen heute, 27.12.23, ab 16:00 in Hamburg ihre Erkenntnisse auf dem diesjährigen Chaos Communication Congress (37c3) des Chaos Computer Clubs (CCC) vor. Alle Lücken sind vorab im Coordinated-Vulnerability-Disclosure-Verfahren der Gematik gemeldet worden.

Das E-Mail-System KIM – Kommunikation im Medizinwesen – soll eine sichere Kommunikation zwischen medizinischen und psychotherapeutischen Praxen, Apotheken, Krankenkassen, Kliniken und anderen Teilnehmenden des Gesundheitswesens gewährleisten. Allein in den vergangenen zwei Jahren wurden über KIM mehr als 200 Millionen E-Mails verschickt. Damit ist das System eine der am meisten genutzten Anwendungen in der Infrastruktur des deutschen Gesundheitswesens. KIM verspricht sichere Ende-zu-Ende-Verschlüsselung zwischen allen Einrichtungen des Gesundheitswesens in ganz Deutschland. Um dies zu gewährleisten, werden an alle Beteiligten sichere kryptografische Schlüssel (S/MIME-Zertifikate) ausgegeben, die dafür sorgen, dass eine verschlüsselte E-Mail-Kommunikation möglich ist.

Gleicher Schlüssel für verschiedene Krankenkassen

Forscher des Fraunhofer SIT und der FH Münster haben festgestellt, dass gleich mehrere große Krankenkassen offenbar den gleichen Schlüssel für die Ver- und Entschlüsselung sowie das digitale Signieren ihres KIM-Mailverkehrs nutzten. Damit hätte jede der betroffenen Krankenkassen auch alle Mails mitlesen können, die für eine der anderen betroffenen Kassen bestimmt sind – ein Problem, das bei fehlgeleiteten Mails gerade durch Verschlüsselung verhindert werden soll.

Entstanden war das Problem bei der KIM-Einrichtung: Die betroffenen Krankenkassen hatten externe IT-Dienstleister beauftragt, das KIM-Mailsystem für sie zu betreiben. Diese hatten kryptografische Schlüssel generiert und diese Schlüssel für mehrere Krankenkassen verwendet. Die technische Struktur von KIM war hier also nicht das Sicherheitsproblem – doch in der praktischen Einrichtung des Systems können Fehler passieren. Dies haben die Fraunhofer-Forscher der zuständigen Stelle, der Gematik, gemeldet. Alle betroffenen Schlüssel wurden zwischenzeitlich neu generiert und ausgetauscht. Aufgrund der Meldung hat die Gematik die Spezifikation zur Konfiguration von KIM erweitert und verbessert: Jetzt muss vor der Ausstellung eines Zertifikats geprüft werden, ob der Schlüssel schon einmal verwendet wurde.

37C3 Vortrag von Dr. Christoph Saatjohann und Prof. Dr. Sebastian Schinzel: https://fahrplan.events.ccc.de/congress/2023/fahrplan/events/12030.html

Wissenschaftliche Ansprechpartner:

Dr. Christoph Saatjohann

Weitere Informationen:

https://fahrplan.events.ccc.de/congress/2023/fahrplan/events/12030.html

http://www.sit.fraunhofer.de/

Media Contact

Oliver Küch Presse- und Öffentlichkeitsarbeit
Fraunhofer-Institut für Sichere Informationstechnologie SIT

Alle Nachrichten aus der Kategorie: Informationstechnologie

Neuerungen und Entwicklungen auf den Gebieten der Informations- und Datenverarbeitung sowie der dafür benötigten Hardware finden Sie hier zusammengefasst.

Unter anderem erhalten Sie Informationen aus den Teilbereichen: IT-Dienstleistungen, IT-Architektur, IT-Management und Telekommunikation.

Zurück zur Startseite

Kommentare (0)

Schreiben Sie einen Kommentar

Neueste Beiträge

Arzneimittelforschung mit zellbasierten Testsystemen

Bayerische Förderung: Fraunhofer in Würzburg treibt Arzneimittelforschung mit zellbasierten Testsystemen voran. Am Freitag, den 13. Dezember 2024, besuchte Staatssekretär Tobias Gotthardt aus dem bayerischen Wirtschaftsministerium das Würzburger Fraunhofer-Institut für Silicatforschung…

Substrate aus Schafswolle sollen Torf im Gartenbau ersetzen

Die Hochschule Hof arbeitet in einem neuen Forschungsprojekt an der Entwicklung nachhaltiger Substrate für die Pflanzenproduktion. Unter der Leitung von Dr. Harvey Harbach untersucht eine Forschungsgruppe gemeinsam mit regionalen und…

Geothermiesysteme im Forschungszentrum der Universität Bayreuth

Wie Geothermische Energie Bayerns Grüne Zukunft Durch Nachhaltige Energie Gestaltet

Das Bayerische Staatsministerium für Wissenschaft und Kunst hat die Förderung des Forschungsverbundes „Geothermische Allianz Bayern“ verlängert, wobei die Universität Bayreuth (UBT) für weitere vier Jahre weiterhin als Mitglied beteiligt bleibt….