c't entdeckt

Mögliche Sicherheitslücken im Konnektor von T-Systems

Das Computermagazin c´t hat in der Konnektor-Software von T-Systems 400 potenzielle Sicherheitslücken entdeckt. Und die Bundesregierung gibt zu, dass es für die Telematikinfrastruktur (TI) bisher keine Datenschutzfolgeabschätzung gibt.

Mit einem Update auf die von T-Systems während des Untersuchungszeitraums am 28. November 2019 veröffentlichten Firmware-Version 1.5.3 reduziert sich die Zahl der "klärungs­bedürftigen Verwundbarkeiten" laut Bericht des Computermagazins c't von 402 auf 291: 7 kritische, 117 hochbrisante und 167 mittel­schwere. zm_mg

Die Analyse des c't-Sicherheitsexperten Thomas Maus zeigt dem Bericht zufolge, dass die im Konnektor von T-Systems eingesetzte Software (Firm­ware 1.4.13) "mindestens 402 potenzielle Verwundbarkeiten zu finden sind, davon 11 "kritische", 141 "hochbrisante" und 250 "mittelbrisante".

Die Stärke der Verwundbarkeiten wurde dabei nach dem internationalen Industriestandard zur Bewertung des Schweregrades von möglichen oder tatsächlichen Sicherheitslücken in Computer-Systemen CVSS (Common Vulnerability Scoring System) klassifiziert. Neben dem Konnektor ist laut c't auch das Kartenterminal sicherheits­kri­tisch.

Chaos Computer Club entdeckt eklatante Sicherheitslücken

Experten des Chaos Computer Clubs (CCC) ist es gelungen, sich im Namen Dritter einen Arzt- und Praxisausweis sowie eine Gesundheitskarte zu bestellen. Dazu waren nicht einmal besondere IT-Kenntnisse nötig.

mehr
Der Bericht schürt weiter Zweifel an der Datensicherheit der TI. Erst Ende Dezember hatte der Chaos Computer Club auf seinem Jahreskongress öffentlich gezeigt, welche Sicherheitslücken im Ausgabeprozess der Praxis- und Heilberufsausweise aber auch der Versichertenkarten bestehen. Den Experten war es seinerzeit ohne Einsatz von Computerkenntnissen gelungen, sich eine funktionierende TI-Struktur inklusive aller Schlüsselkarten an Privatadressen zu bestellen.

Im jüngsten Fall räumte die c't ein, dass nicht jede Verwundbarkeit zwingend zu einem tatsächlich durchführ­ba­ren Angriff führt. "Doch für jede Verwundbarkeit, die zum Zeitpunkt der Zertifizierung be­kannt ist, müsste mindestens dokumentiert sein, warum sie die Sicherheit des Systems nicht schwächen kann", schreibt das Computermagazin. Dies sei jedoch nicht der Fall.

Telekom widerspricht

Ein Sprecher der Telekom verwies hingegen darauf, dass es sich bei den entdeckten Punkten allenfalls um potenzielle Sicherheitslücken handelt. Das Gerät sei vom Bundesamt für Sicherheit in der Informationstechnik (BSI) geprüft und zugelassen. Solange dass der Fall ist, bräuchten Nutzer keine Bedenken haben. "Wenn es tatsächliche Sicherheitslücken gäbe", so der Sprecher weiter, "würde dem Gerät augenblicklich die Zulassung entzogen."

Hier das Erklärvideo von T-Systems zur Installation der neuesten Firmware, die laut c't-Magazin immerhin die Zahl der Sicherheitslücken von 402 auf 291 reduziert:

Das BSI und die gematik sind die zuständigen als Prüf- und Genehmigungs­instanzen. Der Konnektor entspreche den Spezifikationen der gematik und sei zugelassen, heißt es von Seiten der Telekom weiter. Fragen zur Sicherheit könnten daher nur die Betreibergesellschaft gematik und das BSI beantworten. Von dort hieß es auf die Anfrage des Deutschen Ärzteblattes knapp, aus den geschilderten Ausführungen seien "kei­ne tatsächlichen Sicherheitsrisiken ableitbar". Alles gut also?

Bundesregierung: Verantwortlichkeit in puncto Datenschutz wird erst noch geklärt

Die Antwort der Bundesregierung auf eine kleine Anfrage der FDP aus dem Dezember 2019 stellt zumindest infrage, dass die gematik sicher sein kann, dass die Patientendaten künftig ausreichend geschützt sind. Denn eine Datenschutz-Folgenabwägung (DSFA) – das ist eine strukturierte Risikoanalyse zur Vorabbewertung der möglichen Folgen von Datenverarbeitungsvorgängen – gab es für die TI bisher nicht.

Cyber-Angriffe stehen erstmals weltweit an der Spitze der größten Risiken für Unternehmen. Laut einer Befragung von 2.700 Risikoexperten sind Cyberattacken das Top-Risiko, gefolgt von Betriebsunterbrechungen.

mehr
Offen bleibt vorerst auch die datenschutzrechtliche Verantwortlichkeit. Diese Frage werde im Rahmen eines "derzeit in Vorbereitung befindlichen Gesetzesentwurfs" konkretisiert und gestaltet, der im ersten Quartal 2020 vorgelegt werden soll, schreibt die Bundesregierung.

Darin soll dann auch der Beschluss der Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) Eingang finden, die die gematik in der datenschutzrechtlichen Mitverantwortung für die TI-Konnek­toren sieht. Aktuell fehlt hierzu eine gesetzliche Regelung.

26959052680155268015626801572695906 2695907 2680158
preload image 1preload image 2preload image 3preload image 4preload image 5preload image 6preload image 7preload image 8preload image 9preload image 10preload image 11preload image 12preload image 13preload image 14preload image 15preload image 16preload image 17preload image 18preload image 19preload image 20preload image 21preload image 22preload image 23preload image 24preload image 25preload image 26preload image 27preload image 28preload image 29preload image 30preload image 31preload image 32preload image 33preload image 34preload image 35preload image 36preload image 37preload image 38preload image 39preload image 40preload image 41preload image 42preload image 43preload image 44preload image 45preload image 46preload image 47preload image 48preload image 49preload image 50preload image 51preload image 52preload image 53preload image 54preload image 55preload image 56preload image 57preload image 58preload image 59preload image 60preload image 61preload image 62preload Themeimage 0preload Themeimage 1preload Themeimage 2preload Themeimage 3preload Themeimage 4preload Themeimage 5preload Themeimage 6preload Themeimage 7preload Themeimage 8preload Themeimage 9preload Themeimage 10preload Themeimage 11preload Themeimage 12preload Themeimage 13preload Themeimage 14preload Themeimage 15preload Themeimage 16preload Themeimage 17preload Themeimage 18preload Themeimage 19preload Themeimage 20preload Themeimage 21preload Themeimage 22preload Themeimage 23preload Themeimage 24preload Themeimage 25preload Themeimage 26preload Themeimage 27preload Themeimage 28
Bitte bestätigen Sie
Nein
Ja
Information
Ok
loginform
Kommentarvorschau
Kommentarvorschau schliessen
Antwort abbrechen
Ihr Kommentar ist eine Antwort auf den folgenden Kommentar

Keine Kommentare