c't entdeckt

Mögliche Sicherheitslücken im Konnektor von T-Systems

mg
Praxis
Das Computermagazin c´t hat in der Konnektor-Software von T-Systems 400 potenzielle Sicherheitslücken entdeckt. Und die Bundesregierung gibt zu, dass es für die Telematikinfrastruktur (TI) bisher keine Datenschutzfolgeabschätzung gibt.

Die Analyse des c't-Sicherheitsexperten Thomas Maus zeigt dem Bericht zufolge, dass die im Konnektor von T-Systems eingesetzte Software (Firm­ware 1.4.13) "mindestens 402 potenzielle Verwundbarkeiten zu finden sind, davon 11 "kritische", 141 "hochbrisante" und 250 "mittelbrisante".

Die Stärke der Verwundbarkeiten wurde dabei nach dem internationalen Industriestandard zur Bewertung des Schweregrades von möglichen oder tatsächlichen Sicherheitslücken in Computer-Systemen CVSS (Common Vulnerability Scoring System) klassifiziert. Neben dem Konnektor ist laut c't auch das Kartenterminal sicherheits­kri­tisch.

Der Bericht schürt weiter Zweifel an der Datensicherheit der TI. Erst Ende Dezember hatte der Chaos Computer Club auf seinem Jahreskongress öffentlich gezeigt, welche Sicherheitslücken im Ausgabeprozess der Praxis- und Heilberufsausweise aber auch der Versichertenkarten bestehen. Den Experten war es seinerzeit ohne Einsatz von Computerkenntnissen gelungen, sich eine funktionierende TI-Struktur inklusive aller Schlüsselkarten an Privatadressen zu bestellen.

Im jüngsten Fall räumte die c't ein, dass nicht jede Verwundbarkeit zwingend zu einem tatsächlich durchführ­ba­ren Angriff führt. "Doch für jede Verwundbarkeit, die zum Zeitpunkt der Zertifizierung be­kannt ist, müsste mindestens dokumentiert sein, warum sie die Sicherheit des Systems nicht schwächen kann", schreibt das Computermagazin. Dies sei jedoch nicht der Fall.

Telekom widerspricht

Telekom widerspricht

Hier das Erklärvideo von T-Systems zur Installation der neuesten Firmware, die laut c't-Magazin immerhin die Zahl der Sicherheitslücken von 402 auf 291 reduziert:

Das BSI und die gematik sind die zuständigen als Prüf- und Genehmigungs­instanzen. Der Konnektor entspreche den Spezifikationen der

und sei zugelassen, heißt es von Seiten der Telekom weiter. Fragen zur Sicherheit könnten daher nur die Betreibergesellschaft

und das BSI beantworten. Von dort hieß es auf die Anfrage des Deutschen Ärzteblattes knapp, aus den geschilderten Ausführungen seien "kei­ne tatsächlichen Sicherheitsrisiken ableitbar". Alles gut also?

Bundesregierung: Verantwortlichkeit in puncto Datenschutz wird erst noch geklärt

Die Antwort der Bundesregierung auf eine kleine Anfrage der FDP aus dem Dezember 2019 stellt zumindest infrage, dass die gematik sicher sein kann, dass die Patientendaten künftig ausreichend geschützt sind. Denn eine Datenschutz-Folgenabwägung (DSFA) – das ist eine strukturierte Risikoanalyse zur Vorabbewertung der möglichen Folgen von Datenverarbeitungsvorgängen – gab es für die TI bisher nicht.

Offen bleibt vorerst auch die datenschutzrechtliche Verantwortlichkeit. Diese Frage werde im Rahmen eines "derzeit in Vorbereitung befindlichen Gesetzesentwurfs" konkretisiert und gestaltet, der im ersten Quartal 2020 vorgelegt werden soll, schreibt die Bundesregierung.

Darin soll dann auch der Beschluss der Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) Eingang finden, die die gematik in der datenschutzrechtlichen Mitverantwortung für die TI-Konnek­toren sieht. Aktuell fehlt hierzu eine gesetzliche Regelung.

Melden Sie sich hier zum zm Online-Newsletter an

Die aktuellen Nachrichten direkt in Ihren Posteingang

zm Online-Newsletter


Sie interessieren sich für einen unserer anderen Newsletter?
Hier geht zu den Anmeldungen zm starter-Newsletter und zm Heft-Newsletter.