Zum Hauptinhalt Zur Navigation Zur Suche

Suche Shortcut: Strg + K
Abo testen Anmelden
Deals
Spiele & Rätsel Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

Schwachstellen in Ärzte-E-Mails: Immer noch besser als Fax

39C3
Der Gematik-Dienst Kim soll eigentlich eine sichere E-Mail-Kommunikation im Gesundheitswesen garantieren. Doch ein Forscher hat etliche Schwachstellen gefunden.
/ Friedhelm Greis
1 Kommentare News folgen (öffnet im neuen Fenster)
Der Zertifikatsprüfung in KIM erfolgt unvollständig. (Bild: Friedhelm Greis/Golem)
Der Zertifikatsprüfung in KIM erfolgt unvollständig. Bild: Friedhelm Greis/Golem

Alle Jahre wieder berichten IT-Experten auf dem Chaos Communication Congress über Sicherheitslücken in der digitalen Infrastruktur des Gesundheitswesens. Auf dem diesjährigen 39C3 war dies nicht anders. Der Sicherheitsforscher Christoph Saatjohann schaute sich in den vergangenen Jahren das E-Mail-System KIM (Kommunikation im Medizinwesen) noch einmal genauer an. Und wieder fand er teils haarsträubende Lücken(öffnet im neuen Fenster).

Bereits vor zwei Jahren auf dem 37C3 hatte Saatjohann auf Probleme bei der Implementierung von KIM hingewiesen. Damals fand Saatjohann, der inzwischen Professor an der FH Münster ist, einen GAU in der Public-Key-Infrastruktur.

Neues aus der Golem Karrierewelt (öffnet im neuen Fenster)

In diesem Jahr zeigte er etliche mehr oder weniger gravierende Probleme auf, die die Sicherheit der Patientendaten gefährden können. Saatjohann nutzt dazu die Möglichkeit, in einer befreundeten Arztpraxis mit dem E-Mail-System an Wochenende herumzuspielen und mögliche Hacks auszuprobieren.

KIM of Death

Eine Besonderheit an KIM liegt weiterhin darin begründet, dass die Mails zwar mit S/Mime verschlüsselt werden, allerdings nicht in dem eigentlichen Mail-Client oder einem Praxisverwaltungssystem, sondern in einem Client-Modul. Dieses ist mit dem sogenannten TI-Konnektor verbunden, wobei TI für Telematikinfrastruktur steht. Der TI-Konnektor wiederum ist mit der SMC-B-Karte verbunden, die die jeweilige Einrichtung mit kryptografischen Schlüsseln authentifiziert.

Den ersten Angriff auf das System bezeichnete Saatjohann als KIM of Death, eine Art Denial-of-Service-Attacke. Dabei reichten falsche Formatierungen in einer E-Mail aus, um das Client-Modul beim Herunterladen der Mail per POP3 zum Absturz zu bringen. Da bei jedem Neustart versucht wurde, die kompromittierte Nachricht wieder herunterzuladen, war das System in der Arztpraxis nicht mehr nutzbar. Es sei nur möglich gewesen, die Nachricht manuell über ein Pythonscript zu löschen. "Das war ganz schön knapp, dass die Praxis Montagmorgen so wieder funktioniert", sagte Saatjohann.

Hätte ein Angreifer regelmäßig solche E-Mails an alle rund 200.000 angeschlossenen Gesundheitseinrichtungen geschickt, wäre KIM jedes Mal lahmgelegt worden. Zumindest bei den Client-Modulen von T-Systems, die Saatjohann in der Arztpraxis nutzte. Der Bug soll inzwischen gefixt worden sein.

Eine weitere Problematik deckte der Sicherheitsforscher beim Versenden von größeren Anhängen auf, was bei KIM inzwischen mit Dateien von bis zu 500 MByte möglich ist.

Anhang als Honeypot für IP-Adressen

In solchen Fällen wird die Datei vom Client-Modul verschlüsselt und auf einen Server hochgeladen. Der Empfänger erhält dann eine E-Mail mit einem Link und einem Passwort zu der Datei.

Saatjohann fiel dabei auf, dass vor dem Download nicht überprüft wurde, ob der Cloudserver zur Telematikinfrastruktur gehört. Dadurch hätte den Einrichtungen beispielsweise ein Anhang mit Schadcode zugesendet werden können, was Saatjohann jedoch nicht so problematisch einschätzte. "Solange das Client-Modul halbwegs vernünftig parst, wird da nichts ausgeführt", räumte er ein.

Allerdings wäre es möglich, über die Zugriffe auf den Server sämtliche IP-Adressen der Einrichtungen abzugreifen. "Wenn wir das jetzt massenhaft wieder ausrollen, an alle 200.000 KIM-Adressen einmal durchsenden in einer Nacht, dann haben wir alle IP-Adressen von den Praxen, Apotheken, Krankenkassen, wer auch immer diese Client-Module betreibt, und das möchte man eigentlich auch nicht", sagte Saatjohann.

Kryptografie mit Fehlermeldungen aushebeln

Ein weiteres Problem: Saatjohann stellte fest, dass Fehlermeldungen vom System nicht kryptografisch geprüft wurden. Dazu war lediglich erforderlich, in den E-Mail-Header "Fehlermeldung" zu schreiben. Doch dieser Hinweis wird in den gängigen E-Mail-Clients und PVS nicht angezeigt, so dass die KIM-Mail ungeprüft zugestellt würde. Zudem fiel ihm auf, dass serverseitig zwar geprüft wurde, dass der SMTP-Absender mit dem Log-in übereinstimmt.

Doch der sogenannte Envelope Sender (MAIL FROM) wurde nicht geprüft. Daher sei es problemlos möglich gewesen, nicht geprüfte Phishing-Mails von einem beliebig generierten Absender mit einer glaubwürdigen KIM-Adresse zu verschicken. Voraussetzung für solche Angriffe ist allerdings der Zugriff auf ein beliebiges Client-Modul. Wie einfach man an solche Module in Verbindung mit SMC-B-Karten herankommt, zeigten Sicherheitsexperten schon mehrfach auf den CCC-Kongressen, zuletzt im Zusammenhang mit der elektronischen Patientenakte. Der Fehlermeldungs-Hack sei von T-Systems ebenfalls schon gefixt worden.

Absenderadressen leicht zu fälschen

Eine Schwachstelle des Systems bestand laut Saatjohann auch darin, dass E-Mail-Adressen innerhalb des KIM-Systems relativ leicht gefälscht werden konnten. Dazu sei nur erforderlich gewesen, ein entsprechendes Formular bei T-Systems auszufüllen. "Zack, einen Tag später habe ich eine neue E-Mail-Adresse", sagte der Sicherheitsexperte. Dazu sei zwar eine SMC-B-Karte erforderlich, doch die Adressen würden nicht auf Plausibilität geprüft. "Jede Praxis darf sich nennen, wie sie möchte", sagte Saatjohann. Er selbst verschaffte sich eine Adresse der Gematik, die für die TI zuständig ist.

Zu guter Letzt zeigte er auf, wie innerhalb von KIM sogar möglich ist, Nachrichten zu entschlüsseln, die für andere Empfänger Ende-zu-Ende-verschlüsselt wurden. Dazu müssten die erbeuteten Mails lediglich auf einem entsprechend konfigurierten Server wie attacker.com gespeichert werden, mit dem sich ein Client-Modul verbinden kann.

Wenn sich das Modul mit dem Server verbinde, werde lediglich überprüft, ob es sich um ein gültiges Zertifikat aus der TI handele, sagte Saatjohann und erläuterte: "Und als ich attacker.com war, habe ich mir zum Beispiel das Client-Modul-Zertifikat gemacht. Und dann haben sich hier beide einfach gegenseitig ihre Zertifikate angeschaut, haben gesagt, ja, das ist ja ganz gut." TLS-Zertifikatsprüfung müsse allerdings mehr können.

Nicht alle Probleme lassen sich kurzfristig beheben

Der Sicherheitsforscher teilte die gefundenen Schwachstellen der halbstaatlichen Gematik sowie T-Systems mit. Am 14. November 2025 gab es demnach einen Hotfix für das Client-Modul, der aktuell verteilt werde. Damit sei unter anderem die Zertifikatsprüfung scharfgestellt worden. Zudem würden die großen Anhänge nicht mehr per Link abgerufen und könnten Fehlermeldungen nicht mehr selbst generiert werden.

Vor wenigen Tagen sei zudem eine Änderung des Standards angekündigt und zur Kommentierung freigegeben worden. "Da ist jetzt eine weitere Signatur eingeführt, damit der Absender besser authentifiziert wird", sagte Saatjohann. Man könne daher nicht mehr beliebige KIM-Client-Module nutzen, sondern der Absender müsse auch zu Signatur passen.

Wünschenswert sei zudem, dass das Client-Modul eine Anmeldung des Nutzers verlange. Aktuell gebe es lediglich eine implizite Anmeldung über den Fachdienst. Nicht behoben wurde demnach die Problematik mit der Vergabe von Adressen. Diese könnten weiterhin frei gewählt werden.

Immer noch sicherer als Fax

Anders als bei üblichen Mailprogrammen wie Outlook oder Thunderbird sei es bei der aktuellen Architektur nicht möglich, als Empfänger zu sehen, wer die Mail signiert habe. "Das Client-Modul macht die Signaturüberprüfung und gibt die E-Mail weiter", sagte Saatjohann. Er vermutet, dass dieses Konzept bei der Einführung von KIM gewählt wurde, damit in die Praxisverwaltungssoftware nicht noch zusätzlich ein E-Mail-Client hätte implementiert werden müssen. "Das heißt, ich hätte plötzlich 130 Clients, die müssten alle S/Mime irgendwie entschlüsseln, verschlüsseln, signieren und verifizieren. Da möchte ich nicht wissen, wie viele Talks wir daraus bauen können", sagte Saatjohann.

Denn der beschriebenen Probleme sei die Datensicherheit an sich "auf einem recht hohen Niveau, es ist alles besser als Fax oder diese normale E-Mail oder irgendwelche Fax- oder E-Mail-to-Fax-Gateways". KIM funktioniere in der Praxis relativ gut. "Wenn ich irgendwelche sicheren Sachen kommunizieren würde, ich würde es tatsächlich nur über KIM machen, weil: Welcher Dienst ist da gerade besser?", fragte er abschließend.

Kritik aus der Ärzteschaft

Das Bundesamt für Sicherheit in der Informationstechnik wiegelte ebenfalls ab. Die gefundenen Sicherheitslücken seien nur mit technischen Fachkenntnissen ausnutzbar. Ein unmittelbares Risiko für die Patienten sei aus Sicht des BSI unwahrscheinlich, teilte die Behörde auf Anfrage der Süddeutschen Zeitung und des NDR mit(öffnet im neuen Fenster).

Kritik kam allerdings aus der Ärzteschaft. "Mein Vertrauen in die Gematik ist sehr begrenzt und ich muss die IT-Kompetenz leider bezweifeln", sagt Hausarzt Michael Eckstein, stellvertretender Vorsitzender des Mediverbunds Baden-Württemberg, einer fachübergreifenden Interessenvertretung für niedergelassene Ärzte. "Ärzte sind in der Regel IT-Laien und können die komplexe Technik nicht überblicken. Wir müssen notgedrungen davon ausgehen, dass die Verschlüsselung sicher ist", sagte Eckstein weiter.

Dem Bericht zufolge schilderten eine leitende Klinikärztin aus Nordrhein-Westfalen und ein Klinikarzt aus Bayern, dass den IT-Anwendungen oft nicht mehr vertraut werde. Stattdessen werde häufiger wieder auf Faxe und Boten zurückgegriffen.

Zur Startseite 1 Kommentare

Relevante Themen

39C3GematikPolitikDatenschutzSecurityInnovation & ForschungDatensicherheit