Nicht alle Probleme lassen sich kurzfristig beheben
Der Sicherheitsforscher teilte die gefundenen Schwachstellen der halbstaatlichen Gematik sowie T-Systems mit. Am 14. November 2025 gab es demnach einen Hotfix für das Client-Modul, der aktuell verteilt werde. Damit sei unter anderem die Zertifikatsprüfung scharfgestellt worden. Zudem würden die großen Anhänge nicht mehr per Link abgerufen und könnten Fehlermeldungen nicht mehr selbst generiert werden.
Vor wenigen Tagen sei zudem eine Änderung des Standards angekündigt und zur Kommentierung freigegeben worden. "Da ist jetzt eine weitere Signatur eingeführt, damit der Absender besser authentifiziert wird" , sagte Saatjohann. Man könne daher nicht mehr beliebige KIM-Client-Module nutzen, sondern der Absender müsse auch zu Signatur passen.
Wünschenswert sei zudem, dass das Client-Modul eine Anmeldung des Nutzers verlange. Aktuell gebe es lediglich eine implizite Anmeldung über den Fachdienst. Nicht behoben wurde demnach die Problematik mit der Vergabe von Adressen. Diese könnten weiterhin frei gewählt werden.
Immer noch sicherer als Fax
Anders als bei üblichen Mailprogrammen wie Outlook oder Thunderbird sei es bei der aktuellen Architektur nicht möglich, als Empfänger zu sehen, wer die Mail signiert habe. "Das Client-Modul macht die Signaturüberprüfung und gibt die E-Mail weiter" , sagte Saatjohann. Er vermutet, dass dieses Konzept bei der Einführung von KIM gewählt wurde, damit in die Praxisverwaltungssoftware nicht noch zusätzlich ein E-Mail-Client hätte implementiert werden müssen. "Das heißt, ich hätte plötzlich 130 Clients, die müssten alle S/Mime irgendwie entschlüsseln, verschlüsseln, signieren und verifizieren. Da möchte ich nicht wissen, wie viele Talks wir daraus bauen können" , sagte Saatjohann.
Denn der beschriebenen Probleme sei die Datensicherheit an sich "auf einem recht hohen Niveau, es ist alles besser als Fax oder diese normale E-Mail oder irgendwelche Fax- oder E-Mail-to-Fax-Gateways" . KIM funktioniere in der Praxis relativ gut. "Wenn ich irgendwelche sicheren Sachen kommunizieren würde, ich würde es tatsächlich nur über KIM machen, weil: Welcher Dienst ist da gerade besser?" , fragte er abschließend.
Kritik aus der Ärzteschaft
Das Bundesamt für Sicherheit in der Informationstechnik wiegelte ebenfalls ab. Die gefundenen Sicherheitslücken seien nur mit technischen Fachkenntnissen ausnutzbar. Ein unmittelbares Risiko für die Patienten sei aus Sicht des BSI unwahrscheinlich, teilte die Behörde auf Anfrage der Süddeutschen Zeitung und des NDR mit(öffnet im neuen Fenster) .
Kritik kam allerdings aus der Ärzteschaft. "Mein Vertrauen in die Gematik ist sehr begrenzt und ich muss die IT-Kompetenz leider bezweifeln" , sagt Hausarzt Michael Eckstein, stellvertretender Vorsitzender des Mediverbunds Baden-Württemberg, einer fachübergreifenden Interessenvertretung für niedergelassene Ärzte. "Ärzte sind in der Regel IT-Laien und können die komplexe Technik nicht überblicken. Wir müssen notgedrungen davon ausgehen, dass die Verschlüsselung sicher ist" , sagte Eckstein weiter.
Dem Bericht zufolge schilderten eine leitende Klinikärztin aus Nordrhein-Westfalen und ein Klinikarzt aus Bayern, dass den IT-Anwendungen oft nicht mehr vertraut werde. Stattdessen werde häufiger wieder auf Faxe und Boten zurückgegriffen.