Münster. Der E-Mail-Dienst „KIM“ (Kommunikation im Medizinwesen) soll Arztpraxen, Kliniken und Apotheken in Deutschland eine sichere digitale Kommunikation ermöglichen. Nach Angaben der FH Münster hat der IT-Sicherheitsexperte Prof. Dr. Christoph Saatjohann mehrere Schwachstellen in dem System identifiziert. In einem von der Hochschule veröffentlichten Interview beschreibt er Risiken, die von Manipulationen bis hin zu Störungen des laufenden Betriebs reichen können.
Im Mittelpunkt stehen dabei sogenannte KIM-Clientmodule. Diese Komponenten sollen E-Mails beim Versand verschlüsseln und signieren und beim Empfang wieder entschlüsseln sowie Signaturen prüfen. Saatjohann berichtet, er habe rund 40 solcher Clientmodule offen im Internet gefunden. Außerdem sei es nach seinen Angaben auch möglich, bei lokalem Netzwerkzugriff in einer Arztpraxis oder Apotheke Zugriff zu bekommen.
Ein zentrales Problem sieht Saatjohann nach Darstellung der FH Münster darin, dass das KIM-Clientmodul beim Empfang von E-Mails keinen Abgleich zwischen Absenderadresse und Signatur durchführt. Nach seinen Angaben werde jede eingehende Mail signiert, unabhängig davon, welche Absenderadresse genutzt werde. Dadurch könne ein Angreifer, der ein fremdes Clientmodul nutzt, E-Mails mit gefälschter Adresse versenden, die beim Empfänger dennoch als korrekt signiert erscheinen.
Als mögliche Folgen nennt er im Interview unter anderem manipulierte Inhalte wie verfälschte Arztberichte oder falsche Informationen, etwa zu Medikamentendosierungen. Empfängerinnen und Empfänger könnten laut seiner Schilderung weniger Verdacht schöpfen, wenn eine gültige Signatur angezeigt wird. Er weist zudem darauf hin, dass es aus seiner Sicht keine „richtige Systematik“ für diese Absenderadressen gebe, was die Einschätzung zusätzlich erschweren könne.
Diese Hinweise betreffen aus Sicht des Forschers genau den Bereich, für den KIM eingesetzt wird: die Übermittlung sensibler Informationen im Gesundheitswesen. Damit bekommt das Thema auch über Münster hinaus Relevanz, weil KIM bundesweit genutzt wird und Vertrauen in die Echtheit von Nachrichten eine zentrale Rolle spielt.
Neben dem Fälschungsrisiko beschreibt Saatjohann in dem Interview auch ein Angriffsszenario, das den Betrieb stören könnte. Demnach sei es möglich, ein Clientmodul beim Empfang einer Nachricht in einem falschen Format abstürzen zu lassen. Als Beispiel nennt er den KIM-Anbieter T-Systems und das Szenario, dass Postfächer lahmgelegt werden könnten, wenn das zuständige Clientmodul beim Empfang abstürzt. Für einen Neustart müsse nach seiner Darstellung jemand mit IT-Expertise kommen und die falsch formatierte Nachricht auf dem Server löschen. Er betont zugleich, dass ein Angreifer den Absturz auf die gleiche Weise erneut auslösen könne.
Außerdem schildert er ein weiteres Risiko: Personen, die Zugriff auf verschlüsselte KIM-Nachrichten haben, etwa Administratorinnen oder Administratoren bei Providern der übergeordneten Telematikinfrastruktur, könnten diese Nachrichten nach seiner Darstellung entschlüsseln, wenn sie über Internetzugriff auf passende Clientmodule verfügen. Er ordnet das dahingehend ein, dass es zwar nicht viele Personen betreffe, KIM aber gerade gegen solche Angriffe eingeführt worden sei.
Wie die FH Münster mitteilt, habe Saatjohann die Schwachstellen der Gematik im Rahmen eines Coordinated-Vulnerability-Disclosure-Verfahrens gemeldet. Seine Erkenntnisse stellte er am 27. Dezember beim Chaos Communication Congress des Chaos Computer Clubs in Hamburg vor.
Texte werden mit Unterstützung von KI-Tools erstellt und vor Veröffentlichung redaktionell geprüft. Mehr dazu