 |  | Cornelia Dölger |
 |
18.10.2022 17:00 Uhr |
Stecker raus für bestimmte E-Health-Konnektoren: Wegen gravierender Sicherheitslücken werden Ende Oktober bis zu 300 Konnektoren des Herstellers Rise gesperrt. Gleichzeitig muss die Gematik auf anhaltende Kritik am geplanten Konnektorentausch reagieren und hat nun Alternativen vorgestellt. / Foto: Adobe Stock/xiaoliangge
Es ist nun beinahe ein Jahr her, seit kritische Sicherheitslücken bei E-Health-Konnektoren des Herstellers Research Industrial Systems Engineering (Rise) bekannt wurden. Bereits im Dezember 2021, so berichtet die Nachrichtenwebsite heise.de heute, habe die Kassenärztliche Bundesvereinigung (KBV) Praxen mit den betreffenden Produktversionen aufgefordert, entsprechende Updates auf ihre Geräte aufzuspielen. Die sogenannte Log4j-Lücke könne Angreifern Zugang zum System gewähren – mit sehr unklaren Folgen, wie heise.de schreibt. Die Autoren warnen: »Eine potenziell vollständige Kompromittierung ist denkbar.« Es handele sich um eine »schwerwiegende Sicherheitslücke«.
Um diese zu schließen, macht die Gematik jetzt Nägel mit Köpfen. Zwar seien alle betroffenen Arztpraxen seit Juni dieses Jahres durch deren VPN-Zugangsdienste aufgefordert worden, sicherheitstechnisch nachzubessern und die Software zu aktualisieren, schreibt die Gematik in ihrem Fachportal. Etwa 300 nicht aktualisierte Geräte befänden sich aber nach wie vor »im Feld«. Für diese gilt jetzt eine letzte Galgenfrist bis 31. Oktober: Alle bis zu dem Datum nicht aktualisierten Rise-Konnektoren werden dann gesperrt.
Diese Sperrung des TI-Zugangs geschehe mittels Deaktivierung der Contract-ID, so die Gematik. Sie wird demnach für alle betroffenen Geräte, die zuvor am 28. Oktober 2022 noch aktiv waren, durchgeführt. Die Gematik weist darauf hin, dass dadurch auch Praxen, die mehrere Konnektoren unter einer Contract-ID nutzen (etwa in einer Mehrfachpraxis), von der Aussperrung betroffen sein könnten.
Nach der entsprechenden Aktualisierung der Konnektor-Software könne der Zugang am VPN-Zugangsdienst wieder aktiviert werden. Da die Aktualisierung ohne TI-Zugang nicht per Fernwartung durchgeführt werden könne, müsse hier möglicherweise ein Dienstleister vor Ort eingreifen. Die deaktivierten Konnektoren könnten bis zu einem Update auf eine aktuelle FW-Version im Offline Modus weiterbetrieben werden, schreibt die Gematik. Warum die offenbar tief verwundbaren Konnektoren erst fast ein Jahr, nachdem die nötigen Software-Updates verfügbar waren, gesperrt werden, dazu machte die Gesellschaft aber keine Angaben.
Die log4j-Schwachstelle betrifft laut Gematik Rise-Konnektoren mit folgenden Produktversionen: 1.5.7:1.0.0, 1.8.10:1.0.0, 2.1.2:1.0.0, 2.1.4:1.0.0, 2.1.5:1.0.0, 2.1.6:1.0.0, 3.2.5:1.0.0, 3.5.9:1.0.0.
