szmtag c´t-Magazin sieht Hinweise auf Sicherheitslücken in Konnektor von...
NewsPolitikc´t-Magazin sieht Hinweise auf Sicherheitslücken in Konnektor von T-Systems
Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...

Politik

c´t-Magazin sieht Hinweise auf Sicherheitslücken in Konnektor von T-Systems

Freitag, 17. Januar 2020

/picture alliance, Flashpic

Berlin – Das c´t-Magazin hat die im Konnektor von T-Systems eingesetzte Software (Firm­ware 1.4.13) für die Telematikinfra­struk­tur (TI) untersucht und dabei offenbar Sicherheits­mängel festgestellt.

Selbst wenn man alle Low-Einstufungen herausfiltere, verblieben im T-Systems-Konnek­tor (Firmware 1.4.13) „Hinweise auf mindestens 402 potenzielle Verwundbarkeiten: 11 kritische, 141 hochbrisante, 250 mittelbrisante (Stand 31.12.2019)“, schreibt c´t.

Anzeige

Die Brisanz der Verwundbarkeiten wird dem Magazin zufolge nach dem CVSS (Common Vulnerability Scoring System) eingestuft. Die Skala reiche von 0 bis 10: Low (unter 4), Medium (4 bis unter 7), High (7 bis unter 9) und Critical (9 bis 10).

Nicht viel besser sieht es laut c´t nach dem Firmware-Update aus, das T-Systems während des Untersuchungszeitraums am 28. November 2019 veröffentlicht habe.

Die neue Firm­ware-Version 1.5.3 habe am 31. Dezember 2019 „immer noch 291 Hinweise auf klärungs­bedürftige Verwundbarkeiten: 7 kritische, 117 hochbrisante und 167 mittel­schwere“ ge­habt. Neben dem Konnektor ist der Analyse zufolge auch das Kartenterminal sicherheits­kri­tisch.

Die c´t räumt aber auch ein, dass nicht jede Verwundbarkeit zu einem tatsächlich durchführ­ba­ren Angriff führt. „Doch für jede Verwundbarkeit, die zum Zeitpunkt der Zertifizierung be­kannt ist, müsste mindestens dokumentiert sein, warum sie die Sicherheit des Systems nicht schwächen kann“, schreibt das Computermagazin. Dies sei jedoch nicht der Fall.

Ärzte, die den Konnektor von T-Systems einsetzen, sollten laut c´t die Firmware updaten. Dadurch könne die Zahl der möglichen klärungsbedürftigen Verwundbarkeiten von 402 auf zumindest 291 gesenkt werden, hieß es.

Die Telekom verwies auf Nachfrage des Deutschen Ärzteblattes auf das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Gematik als Prüf- und Genehmigungs­instanzen.

„Unser Konnektor entspricht den Spezifikationen der Gematik und ist zugelassen“, sagte ein Sprecher. Das BSI habe die Technik geprüft. Fragen zur Sicherheit könnten daher nur die Betreibergesellschaft Gematik und das BSI beantworten. An Spekulationen beteilige man sich grundsätzlich nicht.

Von der gematik hieß es auf Nachfrage, aus den geschilderten Ausführungen seien „kei­ne tatsächlichen Sicherheitsrisiken ableitbar“. Das BSI äußerte sich auf Anfrage bislang nicht. © may/aerzteblatt.de

Themen:

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

Avatar #79783
Practicus
am Montag, 20. Januar 2020, 00:13

Na und?

Welche datentechnisch relevanten Daten werden denn über die TI übertragen? KEINE! Die Krankenkasse und die Mitgliedsnummer wird auf jede Gehaltsabrechnung gedruckt, die dann irgenwann in der blauen Tonne landet!
Außer der albernen Prüfung der Mitgliedschaft wird die Telematik ohnehin nicht genutzt. Es ist immer möglich Sicherheitsanforderungen so hoch zu treiben, dass sie nicht mehr erfüllbar sind.
In der deutschen Krankenversorgung werden wegen der fehlenden Digitalisierung und der Verhinderung einer effektiven Nutzung ungeheure Mengen wertvoller Gesundheitsdaten zu unnüzem Datenmüll transformiert, möglichst noch in gedruckter Form, der dann wie einst die DMP-Daten in südostasiatischen Lagerhäusern verrottet...
In keinem der Länder, die bereits eine weitgehende Digitaliserung ihres Gesundheitswesens haben, hat sich je eines dieser "enormen Risiken" für den Einzelnen verwirklicht
Liebe Digitalisierungsgegner - gebt einfach zu, dass ihr prinzipiell dagegen seit - ob aus Unwillen, Unwissen oder simpler Renitenz - und hört auf, nach Ausreden zu suchen.
Dieses Verhalten erinnert sehr an Windkraft- und Mobilfunkgegner, die plötzlich Infraschall und Strahlenschäden durch Mikrowellen entdecken.
Avatar #88767
fjmvw
am Sonntag, 19. Januar 2020, 14:06

Zusammenfassung: Die Konnektoren sind völlig unsicher!

Die gematik spielt IT-technisch gerade mal in der oberen Amateurliga und wenn die Profis von T-Systems die in der c't berichteten Sicherheitslücken nicht dementieren, dann spricht das für sich.

An anderer Stelle liest man von fehlenden LANCOM-Router-Updates, weil die Firmen (Praxissoftwarehersteller) den Ärzten die Zugangsdaten verweigern und deswegen keine erforderlichen Sicherheitsupdates eingespielt werden können.

Neben unsicheren Konnektoren also auch noch unsichere Router.

Praxisbetreiber können nur beten, dass sie hoffentlich ausreichende Haftpflichtversicherungen haben, wenn es zu Datenschutzverstößen wegen der TI kommt.
LNS
VG WortLNS
Anzeige

Fachgebiet

Stellenangebote

    Anzeige

    Weitere...

    Aktuelle Kommentare

    Archiv

    NEWSLETTER