BSI warnt vor Sicherheitslücke: Auch Auswirkungen auf Dienste der Telematik­infrastruktur

Berlin – Aufgrund der aktuellen Meldung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur Java-Schwachstelle mussten auch einige Dienste der Telematikinfrastruktur (TI) präventiv vom Inter­net getrennt werden. Die betroffenen Dienste seien potenziell von der Schwachstelle betroffen und sind erst nach dem Schließen der Lücke wieder erreichbar, teilte die Gematik mit.

Die getroffenen Vorsichtsmaßnahmen würden dem Schutz der Daten von Patienten dienen. Man arbeite mit Hochdruck und zusammen mit allen Partnern an den Problemlösungen und informiere bei neuen Kenntnisständen umgehend.

Unter anderem war bei einer Vielzahl von Krankenkassen das Versichertenstammdatenmanagement (VSDM) sowie der Zugriff auf die elektronische Patientenakte (ePA) betroffen. Die aktuellen Wartungs­maß­nahmen betreffen laut aktuellen Angaben der Gematik zurzeit nur noch die Nutzung der ePA für AOK-Versicherte. Das VSDM sei wieder für alle Versicherten erreichbar.

Die kritische Schwachstelle (Log4Shell) in der weit verbreiteten Java-Bibliothek Log4j führt nach Ein­schätzung des BSI zu einer extrem kritischen Bedrohungslage. Das BSI hat daher seine bestehende Cyber-Sicherheitswarnung auf die Warnstufe Rot hochgestuft.

Das ganze Ausmaß der Bedrohungslage sei aktuell nicht abschließend feststellbar. Zwar gebe es für die betroffene Java-Bibliothek Log4j ein Sicherheits-Update, allerdings müssten alle Produkte, die Log4j ver­wenden, ebenfalls angepasst werden, betonte das BSi.

Zum Hintergrund: Eine Java-Bibliothek ist ein Software-Modul, das zur Umsetzung einer bestimmten Funktionalität in weiteren Produkten verwendet wird. Es ist daher oftmals tief in der Architektur von Softwareprodukten verankert. Welche Produkte verwundbar sind und für welche es bereits Updates gibt, ist derzeit nicht vollständig überschaubar und daher im Einzelfall zu prüfen, so das BSI.

aha