Der IT-Sicherheitsforscher Christoph Saatjohann ist kein Unbekannter in der Welt der medizinischen IT. Seit 2019 beobachtet er die Einführung der Telematikinfrastruktur (TI) kritisch. Bereits in den vergangenen Jahren legte er den Finger in die Wunde eines Systems, das eigentlich den Austausch im deutschen Gesundheitswesen absichern soll. Unter dem Label "Kommunikation im Medizinwesen" (KIM), werden täglich Arztbriefe, elektronische Arbeitsunfähigkeitsbescheinigungen und Laborbefunde verschickt. Doch die Bilanz, die Saatjohann nun in Hamburg auf dem 39. Chaos Communication Congress (39C3) zog, ist entzaubernd: Das Versprechen einer schier lückenlosen Sicherheit ist auch nach Jahren voller Korrekturen noch nicht erfüllt.
Nicht alles ist schlecht. Saatjohann räumte ein, dass KIM in den Praxen mittlerweile gut angekommen sei und die Gematik bereits früher gemeldete Schwachstellen – wie etwa gravierende Fehler bei der Schlüsselverwaltung – geschlossen habe. Doch kaum ist ein Loch gestopft, tun sich neue Abgründe auf. So berichtete der Professor für eingebettete und medizinische IT-Sicherheit an der FH Münster von einem "KIM of Death": Durch fehlerhaft formatierte E-Mails konnten Angreifer das Clientmodul – die Software-Schnittstelle beim Arzt – gezielt zum Absturz bringen.
In einem Fall musste Saatjohann in einer Praxis, in der er nebenberuflich an Wochenenden experimentieren darf, selbst Hand anlegen und ein Python-Skript schreiben, um die blockierenden Nachrichten manuell vom Server zu löschen. "Es war knapp, dass die Praxis am Montag wieder funktioniert hat", kommentierte er die Tragweite eines solchen Denial-of-Service-Angriffs. Ein solcher könnte theoretisch alle rund 200.000 KIM-Adressen gleichzeitig lahmlegen.
Attachment-Dienst erlaubt Datenschürfen
Als besonders perfide erwiesen sich Schwachstellen beim neuen KIM-Attachment-Service (KAS), der den Versand von Dateien bis zu 500 MB ermöglicht. Da das Clientmodul dabei Anhänge von externen Servern nachlädt, können Angreifer laut Saatjohann dem System eigene Server als Download-Quelle unterschieben. Das Ergebnis sei ein "IP-Mining" im großen Stil. Übeltäter könnten so ein präzises Lagebild einer kritischen Infrastruktur erhalten: einbezogen wären die IP-Adressen von Praxen, Apotheken und Krankenkassen, die den Anhang herunterladen wollen.
Schlimmer noch: Da T-Systems als Mailserver-Betreiber zeitweise das Feld für den Absender ("Mail-From") nicht validierte, ließen sich KIM-Nachrichten mit beliebigem Absender fingieren – etwa im Namen des Bundesministeriums für Gesundheit. Der Professor warnte: Da solche E-Post einen "besonderen Vertrauensvorschuss" genieße, wäre dies die perfekte Basis für hochwirksame Phishing-Kampagnen.
Auch die Identitätsprüfung innerhalb des Walled-Garden-Systems der TI stellte sich als löchrig heraus. Saatjohann demonstrierte, wie er sich problemlos eine KIM-Adresse unter falschem Namen erstellen konnte, da die Plausibilität der Adressen nicht geprüft wurde. Zudem war es ihm möglich, KIM-Nachrichten mit einem beliebigen TI-Schlüssel zu signieren, ohne dass das Empfängermodul Alarm schlug: die Prüfung zwischen Signatur und tatsächlichem Absender fehlte. Selbst das Mitlesen verschlüsselter Nachrichten war unter bestimmten Bedingungen möglich. Durch das Unterschieben eines eigenen POP3-Servers und die Ausnutzung einer mangelhaften Zertifikatsprüfung der Clientmodule konnten Nachrichten im Klartext an einen Angreifer weitergeleitet werden.
BSI: Patienten nicht akut gefährdet
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) reagierte auf die Enthüllungen besorgt, bemühte sich aber um Schadensbegrenzung. Gegenüber NDR und Süddeutscher Zeitung erklärte die Behörde, die gefundenen Sicherheitslücken seien nur mit technischen Fachkenntnissen ausnutzbar. Ein unmittelbares Risiko für die Patienten sei unwahrscheinlich.
Dennoch bleibt die Kritik an der Sicherheitskultur im KIM-System bestehen. Während die Gematik auf Saatjohanns Meldungen schnell reagierte und Mitte November Hotfixes für die Clientmodule sowie schärfere Zertifikatsprüfungen auf den Weg brachte, reagierte T-Systems gegenüber dem Forscher nicht. Laut Saatjohann wurden die Schwachstellen dort zwar stillschweigend gefixt, eine transparente Kommunikation oder Dokumentation habe jedoch gefehlt.
Trotz der neuen Mängel zog Saatjohann ein differenziertes Fazit. Er hob hervor, dass die Architektur zwar an vielen Stellen "strukturell falsch" sei. Das liege auch an der Komplexität von über 130 verschiedenen Praxisverwaltungssystemen, die alle eigene Sicherheitsanforderungen erfüllen müssten. Das System KIM agiere aber grundsätzlich "auf recht hohem Niveau". Das Sicherheitsrisiko sei im Vergleich zum völlig unverschlüsselten Fax-Versand oder herkömmlichen E-Mails immer noch geringer. Er selbst würde sensible Daten eher über KIM verschicken als über die konventionellen Wege.
Der Wissenschaftler gab zugleich zu bedenken: "Eine Restunsicherheit bleibt." Die Gematik plane zwar über eine zur Konsultation freigegebene Vorabveröffentlichung bereits weitere Schutzmaßnahmen wie eine zusätzliche Signatur in den Mail-Headern. Doch solange die Authentifizierung der Clientmodule nicht verpflichtend und die freie Wahl der Absendernamen möglich sei, bleibe KIM eine Lösung, deren Vertrauensanker auf tönernen Füßen stehe.
(nie)
English (US) ·