NewsPolitikc´t-Magazin sieht Hinweise auf Sicherheitslücken in Konnektor von T-Systems
Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...

Politik

c´t-Magazin sieht Hinweise auf Sicherheitslücken in Konnektor von T-Systems

Freitag, 17. Januar 2020

/picture alliance, Flashpic

Berlin – Das c´t-Magazin hat die im Konnektor von T-Systems eingesetzte Software (Firm­ware 1.4.13) für die Telematikinfra­struk­tur (TI) untersucht und dabei offenbar Sicherheits­mängel festgestellt.

Selbst wenn man alle Low-Einstufungen herausfiltere, verblieben im T-Systems-Konnek­tor (Firmware 1.4.13) „Hinweise auf mindestens 402 potenzielle Verwundbarkeiten: 11 kritische, 141 hochbrisante, 250 mittelbrisante (Stand 31.12.2019)“, schreibt c´t.

Die Brisanz der Verwundbarkeiten wird dem Magazin zufolge nach dem CVSS (Common Vulnerability Scoring System) eingestuft. Die Skala reiche von 0 bis 10: Low (unter 4), Medium (4 bis unter 7), High (7 bis unter 9) und Critical (9 bis 10).

Nicht viel besser sieht es laut c´t nach dem Firmware-Update aus, das T-Systems während des Untersuchungszeitraums am 28. November 2019 veröffentlicht habe.

Die neue Firm­ware-Version 1.5.3 habe am 31. Dezember 2019 „immer noch 291 Hinweise auf klärungs­bedürftige Verwundbarkeiten: 7 kritische, 117 hochbrisante und 167 mittel­schwere“ ge­habt. Neben dem Konnektor ist der Analyse zufolge auch das Kartenterminal sicherheits­kri­tisch.

Die c´t räumt aber auch ein, dass nicht jede Verwundbarkeit zu einem tatsächlich durchführ­ba­ren Angriff führt. „Doch für jede Verwundbarkeit, die zum Zeitpunkt der Zertifizierung be­kannt ist, müsste mindestens dokumentiert sein, warum sie die Sicherheit des Systems nicht schwächen kann“, schreibt das Computermagazin. Dies sei jedoch nicht der Fall.

zum Thema

aerzteblatt.de

Ärzte, die den Konnektor von T-Systems einsetzen, sollten laut c´t die Firmware updaten. Dadurch könne die Zahl der möglichen klärungsbedürftigen Verwundbarkeiten von 402 auf zumindest 291 gesenkt werden, hieß es.

Die Telekom verwies auf Nachfrage des Deutschen Ärzteblattes auf das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Gematik als Prüf- und Genehmigungs­instanzen.

„Unser Konnektor entspricht den Spezifikationen der Gematik und ist zugelassen“, sagte ein Sprecher. Das BSI habe die Technik geprüft. Fragen zur Sicherheit könnten daher nur die Betreibergesellschaft Gematik und das BSI beantworten. An Spekulationen beteilige man sich grundsätzlich nicht.

Von der gematik hieß es auf Nachfrage, aus den geschilderten Ausführungen seien „kei­ne tatsächlichen Sicherheitsrisiken ableitbar“. Das BSI äußerte sich auf Anfrage bislang nicht. © may/aerzteblatt.de

Themen:
E-Health
c´t-Magazin sieht Hinweise auf Sicherheitslücken in...

Kommentare

Die Kommentarfunktion steht zur Zeit nicht zur Verfügung.
Avatar #79783
Practicus
am Montag, 20. Januar 2020, 00:13

Na und?

Welche datentechnisch relevanten Daten werden denn über die TI übertragen? KEINE! Die Krankenkasse und die Mitgliedsnummer wird auf jede Gehaltsabrechnung gedruckt, die dann irgenwann in der blauen Tonne landet!
Außer der albernen Prüfung der Mitgliedschaft wird die Telematik ohnehin nicht genutzt. Es ist immer möglich Sicherheitsanforderungen so hoch zu treiben, dass sie nicht mehr erfüllbar sind.
In der deutschen Krankenversorgung werden wegen der fehlenden Digitalisierung und der Verhinderung einer effektiven Nutzung ungeheure Mengen wertvoller Gesundheitsdaten zu unnüzem Datenmüll transformiert, möglichst noch in gedruckter Form, der dann wie einst die DMP-Daten in südostasiatischen Lagerhäusern verrottet...
In keinem der Länder, die bereits eine weitgehende Digitaliserung ihres Gesundheitswesens haben, hat sich je eines dieser "enormen Risiken" für den Einzelnen verwirklicht
Liebe Digitalisierungsgegner - gebt einfach zu, dass ihr prinzipiell dagegen seit - ob aus Unwillen, Unwissen oder simpler Renitenz - und hört auf, nach Ausreden zu suchen.
Dieses Verhalten erinnert sehr an Windkraft- und Mobilfunkgegner, die plötzlich Infraschall und Strahlenschäden durch Mikrowellen entdecken.
Avatar #88767
fjmvw
am Sonntag, 19. Januar 2020, 14:06

Zusammenfassung: Die Konnektoren sind völlig unsicher!

Die gematik spielt IT-technisch gerade mal in der oberen Amateurliga und wenn die Profis von T-Systems die in der c't berichteten Sicherheitslücken nicht dementieren, dann spricht das für sich.

An anderer Stelle liest man von fehlenden LANCOM-Router-Updates, weil die Firmen (Praxissoftwarehersteller) den Ärzten die Zugangsdaten verweigern und deswegen keine erforderlichen Sicherheitsupdates eingespielt werden können.

Neben unsicheren Konnektoren also auch noch unsichere Router.

Praxisbetreiber können nur beten, dass sie hoffentlich ausreichende Haftpflichtversicherungen haben, wenn es zu Datenschutzverstößen wegen der TI kommt.
LNS

Nachrichten zum Thema

Aidhere: DiGA-Anbieter ist insolvent
30. Mai 2023
Aidhere: DiGA-Anbieter ist insolvent
Digitalisierung: Ärzte und Psychotherapeuten besser einbinden
26. Mai 2023
Digitalisierung: Ärzte und Psychotherapeuten besser einbinden
Telekonsultationen: Mehr Flexibilität angemahnt
25. Mai 2023
Mehr Flexibilität bei Telekonsultationen angemahnt
Teleophthalmologischer Ansatz: Senioren profitieren
25. Mai 2023
Teleophthalmologischer Ansatz erweist sich in Pilotstudie im Seniorenheim als effizient
Nach Cyberangriff: Einige Kassen weiter betroffen
23. Mai 2023
Nach Cyberangriff weiter Einschränkungen bei einigen Krankenkassen
Ärztetag: Digitalstrategie muss versorgungsorientiert umgesetzt werden
19. Mai 2023
Ärztetag: Digitalstrategie muss versorgungsorientiert umgesetzt werden
Dokumentation: Ärztetag für verpflichtende IT-Standards
19. Mai 2023
VG WortLNS

Fachgebiet

Stellenangebote

    Weitere...

    Aktuelle Kommentare

    Archiv

    NEWSLETTER