TI-Experten finden gravierende Sicherheitslücke bei KIM |
 |  | Cornelia Dölger |
 |
27.12.2023 14:00 Uhr |
Allein in den vergangenen zwei Jahren wurden laut Fraunhofer-Institut mehr als 200 Millionen E-Mails über KIM verschickt. Das System soll eine sichere Kommunikation zwischen Praxen, Apotheken, Krankenkassen, Kliniken und anderen Akteuren im Gesundheitswesen gewährleisten / Foto: imago/Westend61
Eklatante Prozessfehler bei der Mailkommunikation mittels KIM (Kommunikation im Medizinwesen) haben Forschende des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) sowie der Fachhochschule (FH) Münster aufgedeckt. Insgesamt acht große Krankenkassen benutzten demnach die gleichen Schlüssel und konnten so theoretisch auch die Mails anderer Krankenkassen entschlüsseln – ein Problem, das bei fehlgeleiteten Mails gerade durch Verschlüsselung verhindert werden soll.
Entstanden sei das Problem bei der KIM-Einrichtung, teilte das SIT heute mit. Das System verspricht eine sichere Ende-zu-Ende-Verschlüsselung zwischen allen Einrichtungen des Gesundheitswesens. Um dies zu gewährleisten, werden an alle Beteiligten sichere kryptografische Schlüssel (S/MIME-Zertifikate) ausgegeben, die dafür sorgen, dass eine verschlüsselte E-Mail-Kommunikation möglich ist.
Bei den jetzt aufgedeckten Fehlern hätten die betroffenen Krankenkassen externe IT-Dienstleister damit beauftragt, das KIM-Mailsystem für sie zu betreiben. Die Dienstleister hätten kryptografische Schlüssel generiert und diese Schlüssel für mehrere Krankenkassen verwendet. Die technische Struktur von KIM sei hier also nicht das Sicherheitsproblem gewesen – »doch in der praktischen Einrichtung des Systems können Fehler passieren«, heißt es vom SIT.
Die Fehlerquelle sei der Gematik gemeldet worden. Alle betroffenen Schlüssel seien zwischenzeitlich neu generiert und ausgetauscht worden. Aufgrund der Meldung habe die Gematik die Spezifikation zur Konfiguration von KIM erweitert und verbessert: Ab sofort müsse vor der Ausstellung eines Zertifikats geprüft werden, ob der Schlüssel schon einmal verwendet wurde.
Allein in den vergangenen zwei Jahren seien über KIM bereits mehr als 200 Millionen E-Mails verschickt worden. Damit sei das System eine der am meisten genutzten Anwendungen in der Telematik-Infrastruktur (TI) des deutschen Gesundheitswesens.
KIM hatte unlängst auf der Tagesordnung der Gesellschafterversammlung der Gematik gestanden, allerdings nicht wegen eines Fehlers bei der praktischen Einrichtung, sondern wegen einer umstrittenen Werbeaktion der niederländischen Versandapotheke Doc Morris.
Diese hatte zuvor Arztpraxen über KIM angeschrieben und sie um E-Rezepte gebeten. Auf den Vorstoß reagierten auch die Ampelfraktionen in ihren aktuellen Änderungsanträgen zum inzwischen beschlossenen Digitalgesetz (DigiG). Dabei hielten sie fest, dass die Gematik die Spielregeln für die Nutzung von KIM veröffentlichen soll.
