Ende des Jahres sollen die RSA-Schlüssel mit einer Länge von 2048 Bit nicht mehr zum Einsatz kommen. Das gibt die Bundesnetzagentur vor und auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt, diese nicht mehr einzusetzen. Laut Kassenärztlicher Bundesvereinigung (KBV) könnte das jedoch dazu führen, dass zahlreiche Praxen nicht mehr an die Telematikinfrastruktur (TI) – der "Datenautobahn des Gesundheitswesens" – angeschlossen sein werden.
"Sicherer TI-Betrieb oberste Prioriät"
Die Gematik will an den neuen Schlüssellängen festhalten. Von ihr heißt es auf Anfrage von heise online: "Ein sicherer TI-Betrieb hat für die gematik oberste Priorität. Der Austausch der Verschlüsselungsalgorithmen RSA2028 auf ECC256 bis Ende 2025 ist eine zentrale Maßnahme, damit TI-Komponenten und Dienste auch künftig an den höchsten Sicherheitsstandards ausgerichtet sind".
Bei den Sicherheitsrichtlinien orientiere sich die Gematik an die "Vorgaben der obersten Sicherheitsbehörden und international anerkannten Standards. […] Der aktuell vorgesehene Zeitplan basiert auf den Empfehlungen des BSI und Vorgaben der Bundesnetzagentur (BNetzA) für die qualifizierte elektronische Signatur (QES), RSA<3000 bit nach 31.12.2025 nicht mehr zu nutzen. Die QES fällt in die Regelungskompetenz der BNetzA", heißt es von einer Sprecherin.
Die Sorgen der KBV über den ambitionierten Zeitplan nehme die Gematik "sehr ernst", dennoch sei der Wechsel wichtig. "Alle Beteiligten arbeiten mit Hochdruck daran, die Migration von RSA auf ECC schnellstmöglich voranzutreiben und den Übergang so reibungslos wie möglich zu gestalten".
35.000 Konnektoren betroffen
Nach Informationen der Kassenärztlichen Bundesvereinigung (KBV) sind 35.000 Konnektoren vom Austausch betroffen, die "nur RSA-fähig sind und im Jahr 2023 eine Laufzeitverlängerung erhalten haben", heißt es in dem Brief. Vor mehr als drei Jahren hatten Hacker des Chaos Computer Clubs (CCC) allerdings gezeigt, dass eine Laufzeitverlängerung auch softwareseitig hätte erfolgen können, woraufhin jedoch nur ein geringer Teil der Anbieter seinen Kunden selbige angeboten hatte. Auch ECC-Schlüssel werden von den in den Konnektoren verbauten SmartCards unterstützt.
Hinzu kommen rund 100.000 ebenfalls betroffene elektronische Heilberufsausweise (eHBA), 30.000 Praxisausweise (SMC-B) und 160.000 gerätespezifische Karten für die Kartenterminals in Arztpraxen sowie zugehörige Software-Komponenten. Dabei befinde sich ein Großteil der betroffenen Komponenten in Arztpraxen.
Ohne fristgerechten Austausch droht der Ausfall zentraler TI-Anwendungen wie E-Rezept, eAU und eArztbrief – mit erheblichen Folgen für die Patientenversorgung, warnt hingegen die KBV. Im Notfall müsse wieder auf Papier zurückgegriffen werden.
Weiter kritisiert die KBV, dass trotz wiederholter Hinweise bislang weder alle technischen Spezifikationen noch ein umfassender Migrationsplan der Gematik vorliegen. Angesichts der Komplexität und Menge der betroffenen Komponenten hält die KBV die Umsetzung bis Ende 2025 für "nicht mehr realisierbar". Die KBV fordert daher eine Verlängerung der Nutzung von RSA-Schlüssel der Größe 2048 Bit im Gesundheitswesen, um einen reibungslosen und sicheren Umstieg auf ECC (Eliptic Curve Cryptographie) zu ermöglichen. In anderen Ländern wie Frankreich ist eine Verlängerung von 2048-Bit-Schlüssel bereits beschlossen.
CCC: "TI-Sicherheitsupdates nicht kurzfristig umsetzbar"
Aus dem Sprecherkreis des CCC heißt es dazu: "Die KBV ist Überbringerin einer unbequemen Wahrheit. Obwohl software- und hardwarebasierte Migrationspfade bestehen und obwohl das Ende für RSA 2048 in der TI lange absehbar war und verschoben wurde, hapert es erwartbar an der Umsetzung. Das zeigt zum einen, dass Sicherheitsupdates der TI nicht kurzfristig umsetzbar sind und zum anderen lässt es Zweifel an der praktischen Realisierbarkeit anderer großer Digitalisierungsvorhaben im Gesundheitswesen aufkommen".
(mack)
English (US) ·