Debatte um Sicherheitslücken bei Gematik-Spezifikation |
 |  | Cornelia Dölger |
 |
10.06.2024 13:42 Uhr |
Ja, mit der Spezifikation könne zwar »etwas« implementiert werden, aber es sei »ziemlich unglaublich«, dass »wir auf Basis der offensichtlich kaputten Spezifikation zugelassene Systeme haben«, entgegnet Hühnlein. Er warnt dabei erneut davor, bei der Implementierung auf die Schemavalidierung zu verzichten, auch wenn dieser Verzicht vordergründig eine Möglichkeit biete, die Widersprüchlichkeit der Schemata zu umschiffen.
Die Validierung wegzulassen, stelle ein erhebliches Sicherheitsrisiko dar und begünstige Angriffe von außen. »Ein sorgfältig arbeitender Sicherheitsgutachter wird hier also die Hand heben und um entsprechende Nachbesserung bitten«, so Hühnlein. Die Reparatur der »kaputten« Spezifikation solle die Gematik nun endlich in Angriff nehmen.
Blechschmidt stimmt der Forderung zu, räumt aber auch ein, dass das Risiko von Cyberangriffen nur als »mittel« eingestuft sei, wohingegen menschliche Fehler und »Insider-Bedrohungen« als »hoch« bewertet worden seien. Grundsätzlich sei das Sicherheitsniveau bei der Spezifikation hoch genug.
Hühnlein schließt sich dem nicht an. Risiken eines Cyber-Angriffs seien aus seiner Sicht wesentlich höher einzuschätzen »als menschliche Fehler oder gar Innentäter im Betrieb«. Die Schwachstelle müsse mit einem korrigierten Schema behoben werden. Das »kaputte« Schema verstoße gegen die internationale Norm für Informationssicherheits-Managementsysteme und damit gegen die eigenen Sicherheitsanforderungen der Gematik, warnt Hühnlein. Bei der nächsten Sitzung der Card-Link-Taskforce am 13. Juni dürften die Widersprüche bei den Schemata Thema werden.
