HomeBlogElefant® WissenSicher wie die TI-tanic?
Secunet Konnektor
Elefant® Wissen | 24. Januar 2020

Sicher wie die TI-tanic?

In der Computerzeitschrift c't vom 17.01.2020 wurde der Artikel "Sicher wie die TI-tanic - Hinweise auf mögliche Verwundbarkeiten der Medizin-Telematik" veröffentlicht.

Der Artikel benennt insbesondere drei Sicherheitsmängel:

  1. Mangelhafter Auslieferungsprozess der Praxisausweise, aufgedeckt durch den Chaos Computer Club (CCC)
  2. Zertifikatsfehler im Konnektor
  3. Mangelnde Softwarequalität in Konnektor und Kartenterminal

Die Auslieferungsprozesse wurden kurz nach dem Bericht des CCC geprüft und bewertet. Daraufhin wurde der Auslieferungsprozess gestoppt und Verbesserungsmaßnahmen entwickelt. Ab dem 27.01.2020 werden die Praxisausweise wieder bestell- und lieferbar sein. Die Verbesserungen führen insbesondere dazu, dass keine alternativen Versandadressen mehr angegeben werden können und dass es Rückversicherungen zur Praxisausweisbestellung seitens der KV in die Praxen gibt. Bei Ausweisen, die in der Vergangenheit an alternative Adressen versendet wurden, wird in der Praxis die korrekte Zustellung überprüft.

Der Zertifikatsfehler

Der Spezifikation entsprechend erstellt der Konnektor für die verschlüsselte Verbindung zur Managementoberfläche und zu Elefant ein selbstsigniertes Zertifikat, welches beim erstmaligen Öffnen der Managementschnittstelle im Browser zwangsläufig zu einer Warnmeldung führt. Da sich die Managementoberfläche des Konnektors im internen Netzwerk der Praxis befindet, kann technisch bedingt keine öffentliche Ausgabestelle zur Überprüfung der Zertifikate angefragt werden. Während der Installation der Konnektoren bei Elefant-Kunden wird das Zertifikat des Konnektors immer in Elefant importiert und die Verbindung damit auf dem durch die gematik und dem BSI vorgesehenen Sicherheitsniveau betrieben.

Die Softwarequalität

Die angemahnte mangelnde Softwarequalität des Konnektors und des Kartenterminals basiert auf der Nutzung von öffentlich verfügbaren Fremdbibliotheken in der Programmierung. Diese Bibliotheken stellen Funktionen bereit, die sich als Standard etabliert haben und nicht immer wieder neu programmiert werden müssen. Da diese Bibliotheken öffentlich sind, werden immer neue Funktionen implementiert und auch enthaltene Sicherheitslücken erkannt und behoben. Dies führt zu neuen Versionen dieser Bibliotheken. Im Konnektor und Kartenterminal sind Versionen dieser Fremdbibliotheken enthalten, die nicht den neuesten Versionen entsprechen und deshalb vom oben genannten Artikel als Sicherheitsrisiko eingestuft wurden.

Um eine Zulassung zu erhalten, müssen die Hersteller den Entwicklungsstand ihrer Software irgendwann einfrieren und die Zertifizierungsprozess starten. Schon in dieser Zeit werden neue Versionen der Bibliotheken veröffentlicht. Deshalb wird der Einsatz von Fremdbibliotheken auf ein Minimum beschränkt und diese darüber hinaus kontinuierlich untersucht. Jeder Befund wird im Rahmen einer Analyse bewertet. Auch wenn die Prüfung einer verwendeten Bibliothek zum Bekanntwerden eines Befundes führt, heißt dies nicht zwangsläufig, dass dieser Befund tatsächlich Auswirkungen auf den Konnektor hat beziehungsweise der Konnektor dadurch kompromittiert werden könnte.

Werden Befunde jedoch tatsächlich als kritisch eingestuft, ist ein Updateweg definiert, mit dem eine neue Software für den Konnektor in einem verkürzten Zulassungsverfahren geprüft und zugelassen wird.

Bei der Zertifizierung eines Konnektors werden insbesondere die Erreichbarkeit, die Berechtigungen und die Aktivierung dieser Bibliotheken kritisch hinterfragt. All diese Fragen musste secunet bei der Zertifizierung beantworten und hat das auch getan.

Unabhängig zur Entwicklungsarbeit von secunet werden verschiedene externe Schritte zur Qualitätssicherung durchgeführt. Dazu gehören Penetrationstest von unabhängigen Experten und eine Prüfung durch eine Prüfstelle im Auftrag des BSI. Diese führt Untersuchungen des Softwarecodes, zusätzliche Penetrations-Tests und eigene Prüfungen durch. Nur nach dem erfolgreichen Durchlaufen dieses Prozesses erhält ein Konnektor überhaupt eine Zulassung.

Reaktionen

Auf den Artikel haben bisher die Telekom und die gematik reagiert. Nach Prüfung der einzelnen Punkte bestätigt die Telekom, dass der untersuchte Konnektor nach wie vor den Spezifikationen der Gematik entspricht und somit zugelassen ist und man sich an Spekulationen grundsätzlich nicht beteiligen möchte. Die Gematik selbst bestätigt, dass keine tatsächlichen Sicherheitslücken abgeleitet werden können. (Quelle: Ärzteblatt vom 17.01.2020).

Zusammenfassung

Jeder Praxisinhaber steht grundsätzlich vor demselben Problem: Die Sicherheit ihrer IT-Systeme kontinuierlich zu bewerten und sofern notwendig zu reagieren. Auf dem Ergebnis der Bewertung aufbauend erfolgt eine Entscheidungsfindung, welches die geeignete Reaktion ist – vom Warten auf ein Software-Update, über vorläufige Nutzung einer anderen Software bis zum Update bis hin zum Abklemmen des Systems vom Internet bis ein Update zur Verfügung steht. Diese Einschätzung wird dem Leistungserbringer im Hintergrund vom Hersteller, der gematik und dem BSI abgenommen.

Sie möchten diesen Beitrag zu einem späteren Zeitpunkt lesen?

Sie können den Beitrag per E-Mail erhalten:

Beitrag per E-Mail erhalten

Sie können den Beitrag drucken:

Dazu nutzen Sie bitte für das Betriebssystem Windows die Tastenkombination "Strg" plus "p" auf Ihrer Tastatur. Für Apple-Tastaturen nutzen Sie bitte "cmd" und "p". Es öffnet sich anschließend ein Fenster, in dem Sie das gewünschte, an Ihren Computer angeschlossene Ausgabegerät auswählen können.

Sie möchten den Beitrag ohne Kommentare drucken:

Im Auswahlfenster Ihres Ausgabegerätes haben Sie die Möglichkeit, die zu druckenden Seitenzahlen anzugeben. Schauen Sie im Vorschaufenster, welche Seite die letzte ohne Kommentare ist. Geben Sie anschließend in das Feld für die individuellen Seitenzahlen ein: 1-[Seitenzahl der letzten gewünschten Seite].

  • Seitenzahl festlegen

    Beispiel ansehen

Schreibe einen Kommentar


Markus Wipfler

4 Jahren

Sehr geehrter Herr Chelvier,
vielen Dank für die Information, ich verfolge stets aufmerksam diesen gelungenen Blog, doch leider verstehe ich die Abschnitte "Zertifikatfehler" und "Softwarequalität" inhaltlich nicht. Ich bin Psychotherapeut und in "digitalen Themen" einigermaßen bewandert, aber das übersteigt meine Kenntnisse in der Informatik. Für mich wird daher nicht deutlich, wie die Kritik der o.g. Fachzeitung zu bewerten ist. Ich würde Sie in aller Höflichkeit bitten, in verständlichen Worten mitzuteilen ob an der Kritik nun "etwas dran" ist oder nicht. Bis jetzt verstehe ich das Ganze so, daß die Telematik zwar nicht ganz sicher ist (die Kritik der Fachzeitung also gerechtfertigt ist), mich das Ganze aber nicht zu kümmern braucht, da die Gematik für Sicherheit des Betriebes der TI verantwortlich ist. Habe ich das so richtig verstanden?
Vielen Dank und mit freundlichen Grüßen

J. Schneider

4 Jahren

Der letzte Absatz ist schon starker Tobak. Da delegiert man nämlich ganz einfach wieder das Risiko, die Risikobewertung, die Verantwortung und damit die Haftung zum Praxisinhaber. Der aber kauft (notgedrungen) ein Kartell-Produkt, zu welchem de facto kein Markt existiert, welches er selber nicht überblickt/nicht überblicken kann, dessen Betreiber und Hersteller keine Haftung übernehmen (für dessen Mängel er aber gerade steht) und welches ihm durch drohende Sanktionen mit perspektivisch empfindlichen wirtschaftlichen Nachteilen aufgenötigt wird. Auch dass z.B. Hasomed TI-Verweigerer zu einem Softwarewechseln nötigt hat hier ein Geschmäckle.

Die Kritikpunkte des CCC sind m.E. nicht so einfach vom Tisch zu wischen (wie der Autor letztlich implizit im letzten Absatz durchklingen lässt). Und allein der schluderige Auslieferungsprozess der Praxisausweise lässt erahnen, wie sorgfältig hier wirklich gearbeitet wurde.

Über HASOMED
Social Media
Informationen

2024 HASOMED GmbH © All Rights Reserved

AGB   |   Datenschutz   |   Impressum   |   Cookie-Richtlinie (EU)  |   Kontakt