© Fraunhofer SIT

Das E-Mail-System KIM – Kommunikation im Medizinwesen – ist eine der am meisten genutzten Anwendungen in der Infrastruktur des deutschen Gesundheitswesens. Es verspricht sichere Ende-zu-Ende-Verschlüsselung zwischen allen Einrichtungen des Gesundheitswesens in ganz Deutschland. Um dies zu gewährleisten, werden an alle Beteiligten sichere krypto­grafische Schlüssel (S/MIME-Zertifikate) ausgegeben, die dafür sorgen, dass eine verschlüsselte E-Mail-Kommunikation möglich ist. Die Forschenden haben jetzt festgestellt, dass gleich mehrere große Krankenkassen offenbar den gleichen Schlüssel für die Ver- und Entschlüsselung sowie das digitale Signieren ihres KIM-Mailverkehrs nutzten. Damit hätte jede der betroffenen Krankenkassen auch alle Mails mitlesen können, die für eine der anderen betroffenen Kassen bestimmt sind – ein Problem, das bei fehlgeleiteten Mails gerade durch Verschlüsselung verhindert werden soll.

Die Schwachstellen wurden im Coordinated-Vulnerability-Disclosure-Verfahren der Gematik gemeldet. Alle betroffenen Schlüssel wurden zwischenzeitlich neu generiert und ausgetauscht. Aufgrund der Meldung hat die Gematik die Spezifikation zur Konfiguration von KIM erweitert und verbessert: Jetzt muss vor der Ausstellung eines Zertifikats geprüft werden, ob der Schlüssel schon einmal verwendet wurde.

Zur Presseinformation des Fraunhofer SIT