Mögliche Sicherheitslücken im Konnektor von T-Systems
Die Analyse des c't-Sicherheitsexperten Thomas Maus zeigt dem Bericht zufolge, dass die im Konnektor von T-Systems eingesetzte Software (Firmware 1.4.13) "mindestens 402 potenzielle Verwundbarkeiten zu finden sind, davon 11 "kritische", 141 "hochbrisante" und 250 "mittelbrisante".
Die Stärke der Verwundbarkeiten wurde dabei nach dem internationalen Industriestandard zur Bewertung des Schweregrades von möglichen oder tatsächlichen Sicherheitslücken in Computer-Systemen CVSS (Common Vulnerability Scoring System) klassifiziert. Neben dem Konnektor ist laut c't auch das Kartenterminal sicherheitskritisch.
Der Bericht schürt weiter Zweifel an der Datensicherheit der TI. Erst Ende Dezember hatte der Chaos Computer Club auf seinem Jahreskongress öffentlich gezeigt, welche Sicherheitslücken im Ausgabeprozess der Praxis- und Heilberufsausweise aber auch der Versichertenkarten bestehen. Den Experten war es seinerzeit ohne Einsatz von Computerkenntnissen gelungen, sich eine funktionierende TI-Struktur inklusive aller Schlüsselkarten an Privatadressen zu bestellen.
Im jüngsten Fall räumte die c't ein, dass nicht jede Verwundbarkeit zwingend zu einem tatsächlich durchführbaren Angriff führt. "Doch für jede Verwundbarkeit, die zum Zeitpunkt der Zertifizierung bekannt ist, müsste mindestens dokumentiert sein, warum sie die Sicherheit des Systems nicht schwächen kann", schreibt das Computermagazin. Dies sei jedoch nicht der Fall.
Telekom widerspricht
Telekom widerspricht
Hier das Erklärvideo von T-Systems zur Installation der neuesten Firmware, die laut c't-Magazin immerhin die Zahl der Sicherheitslücken von 402 auf 291 reduziert:
Das BSI und die gematik sind die zuständigen als Prüf- und Genehmigungsinstanzen. Der Konnektor entspreche den Spezifikationen der
und sei zugelassen, heißt es von Seiten der Telekom weiter. Fragen zur Sicherheit könnten daher nur die Betreibergesellschaft
und das BSI beantworten. Von dort hieß es auf die Anfrage des Deutschen Ärzteblattes knapp, aus den geschilderten Ausführungen seien "keine tatsächlichen Sicherheitsrisiken ableitbar". Alles gut also?
Bundesregierung: Verantwortlichkeit in puncto Datenschutz wird erst noch geklärt
Die Antwort der Bundesregierung auf eine kleine Anfrage der FDP aus dem Dezember 2019 stellt zumindest infrage, dass die gematik sicher sein kann, dass die Patientendaten künftig ausreichend geschützt sind. Denn eine Datenschutz-Folgenabwägung (DSFA) – das ist eine strukturierte Risikoanalyse zur Vorabbewertung der möglichen Folgen von Datenverarbeitungsvorgängen – gab es für die TI bisher nicht.
Offen bleibt vorerst auch die datenschutzrechtliche Verantwortlichkeit. Diese Frage werde im Rahmen eines "derzeit in Vorbereitung befindlichen Gesetzesentwurfs" konkretisiert und gestaltet, der im ersten Quartal 2020 vorgelegt werden soll, schreibt die Bundesregierung.
Darin soll dann auch der Beschluss der Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) Eingang finden, die die gematik in der datenschutzrechtlichen Mitverantwortung für die TI-Konnektoren sieht. Aktuell fehlt hierzu eine gesetzliche Regelung.