exklusiv
Ein digitales System soll sensible Daten in Arztpraxen schützen. Doch Forscher zeigen auf dem CCC-Hackerkongress: Wichtige Standards werden nicht eingehalten. Mittlerweile wurden Sicherheitsupdates veröffentlicht.
Was viele Patienten nicht wissen: Wenn Praxen und Krankenhäuser untereinander Diagnosen, Laborbefunde oder Medikationsanweisungen per Mail verschicken, dann tun sie es nicht einfach so. Es gibt ein als besonders sicher geltendes System, KIM “Kommunikation im Medizinwesen” genannt, mit dem solche sehr sensiblem Gesundheitsinformationen sicher verschickt werden.
Dort werden sie verschlüsselt, damit Angreifer sie nicht abfangen oder auslesen können. Spezifiziert wird dieses System von einer staatlichen Stelle, der Gematik.
Recherchen von NDR und Süddeutsche Zeitung zeigen: Dieses Sicherheitsversprechen wurde offenbar über Jahre nicht vollständig eingelöst. Erkenntnisse, die der IT-Sicherheitsforscher Christoph Saatjohann vor Monaten machte und heute auf dem 39. Chaos Communication Congress in Hamburg vorstellt. Die Gematik hat darauf reagiert und inzwischen ein umfassendes Sicherheitsupdate veröffentlicht. Dennoch würden einige Unsicherheiten zunächst weiter bestehen.
Absenderadressen konnten gefälscht werden
“Wenn E-Mails über KIM kommen, dann wirkt das für die Praxis seriös und wird angeklickt”, erklärt der Sicherheitsforscher. Genau darin liege ein Risiko. Die Gematik habe vor Jahren diese Lösung für Praxen, Kliniken und Apotheken vorgegeben, aber Sicherheitsstandards nicht umgesetzt.
So würden Arzt-Mails zwar eine digitale Signatur tragen, die bestätigt: Diese Mail wurde über das geschützte System verschickt. Doch sie sage eben nicht zuverlässig, wer genau der Absender ist. Vergleichen lässt sich die Lücke etwa mit einem Brief, der zwar mit einem Siegel versehen ist, aber der Absender auf dem Umschlag frei wählbar bleibt. Der Brief ist dann zwar echt, doch der Name kann falsch sein.
Schwachstelle mit möglichen Folgen
Angreifer hätten diese Schwachstelle ausnutzen können, etwa für Spam oder Phishing, erklärt der Wissenschaftler von der FH Münster, der dort Cybersicherheit im Medizinumfeld lehrt. Denkbar wären zum Beispiel täuschend echte Nachrichten gewesen, die wie legitime Arztpost aussehen – in Wirklichkeit aber Schadsoftware enthalten könnten, um Praxen lahmzulegen oder Patientendaten zu stehlen. Kliniken sind ein beliebtes Angriffsziel, immer wieder tauchen gehackte Patientendaten im Darknet auf und werden dort verkauft.
Zusätzlich hätten vor dem Sicherheitsupdate der Gematik Nachrichten entschlüsselt und ausgelesen werden können. Teilweise sei der Zugriff sogar bei einer kleinen Zahl falsch konfigurierter KIM-Module auch über das Internet von außen möglich gewesen, erklärt der Wissenschaftler.
Sicherheitsupdates veröffentlicht
Die Gematik hat nach der Anfrage von NDR und SZ einen sogenannten Hotfix veröffentlicht, Sicherheitsupdates, die die gravierendsten Lücken schließen sollen. Die Lücken seien ohne konkrete Auswirkungen für medizinische Einrichtungen gewesen.
Man habe umgehend nach Meldung der Schwachstellen Maßnahmen eingeleitet, um diese zu beheben. Ein Großteil sei bereits abgeschlossen, an weiteren würden alle Beteiligten mit Hochdruck arbeiten, heißt es auf schriftlich.
“Jetzt liegt es an den Praxen und weiteren Institutionen. Sie müssen das Update einspielen, das kann dauern”, ordnet Wissenschaftler Saatjohann die Updates ein. Er begrüße die schnelle Reaktion und den transparenten Umgang. Vom Bundesamt für Sicherheit in der Informationstechnik heißt es auf Anfrage, die gefundenen Sicherheitslücken seien nur mit technischen Fachkenntnissen ausnutzbar. Ein unmittelbares Risiko für die Patienten sei aus Sicht des BSI unwahrscheinlich.
Bestehende Unsicherheiten
Allerdings macht Saatjohann auch auf ein weiter bestehendes Problem aufmerksam: Ohne viel Aufwand konnte er sich im KIM-System eine E-Mail-Adresse auf den Namen der Gematik erstellen. Seine Vermutung: Neu registrierte E-Mail-Adressen würden nicht auf Plausibilität geprüft, nur ein Ausweis für medizinische Einrichtungen sei notwendig. Auf diese haben mehrere hunderttausend Personen im Gesundheitswesen Zugriff.
Auch auf eBay werden sie ab und an verkauft. “Ich habe einfach als Praxis, die eine KIM-Mail empfängt, keine praktikable Möglichkeit herauszufinden, wer sie mir wirklich geschickt hat”, sagt er. Dazu kündigte die Gematik an, weitere zusätzliche Sicherheitsmaßnahmen einzuführen, um künftig kritische oder irreführende Namen besser zu erkennen.
Für die Gematik ist es nicht das erste Mal, dass sie in der Kritik steht: Erst 2024 hatten IT-Fachleute auf dem Chaos Communication Congress Schwachstellen bei der elektronischen Patientenakte vorgestellt. Diese wurden inzwischen zwar angegangen, aber nicht vollständig gelöst. Bereits im Mai dieses Jahres gelang der Gruppe unter Mithilfe von Saatjohann erneut ein Zugriff auf die sensiblen Akten.
Verunsicherung bei Ärzten
“Mein Vertrauen in die Gematik ist sehr begrenzt und ich muss die IT-Kompetenz leider bezweifeln”, sagt Hausarzt Michael Eckstein, stellvertretender Vorsitzender des MEDI-Verbund Baden-Württemberg, eine fachübergreifende Interessenvertretung für niedergelassene Ärzte zu den neuen Erkenntnissen.
“Ärzte sind in der Regeln IT-Laien und können die komplexe Technik nicht überblicken. Wir müssen notgedrungen davon ausgehen, dass die Verschlüsselung sicher ist.” Eine leitende Klinikärztin aus Nordrhein-Westfalen und ein Klinikarzt aus Bayern schildern NDR und SZ, dass den IT-Anwendungen oft nicht mehr vertraut werde.
Stattdessen werde häufiger wieder auf Faxe und Boten zurückgegriffen. Der Wissenschaftler sieht das noch kritischer, denn viele Faxgeräte seien deutlich unsicherer als KIM, da in der Regel gar nicht verschlüsselt werde.
