Politik

c´t-Magazin sieht Hinweise auf Sicherheitslücken in Konnektor von T-Systems

  • Freitag, 17. Januar 2020
/picture alliance, Flashpic
/picture alliance, Flashpic

Berlin – Das c´t-Magazin hat die im Konnektor von T-Systems eingesetzte Software (Firm­ware 1.4.13) für die Telematikinfra­struk­tur (TI) untersucht und dabei offenbar Sicherheits­mängel festgestellt.

Selbst wenn man alle Low-Einstufungen herausfiltere, verblieben im T-Systems-Konnek­tor (Firmware 1.4.13) „Hinweise auf mindestens 402 potenzielle Verwundbarkeiten: 11 kritische, 141 hochbrisante, 250 mittelbrisante (Stand 31.12.2019)“, schreibt c´t.

Die Brisanz der Verwundbarkeiten wird dem Magazin zufolge nach dem CVSS (Common Vulnerability Scoring System) eingestuft. Die Skala reiche von 0 bis 10: Low (unter 4), Medium (4 bis unter 7), High (7 bis unter 9) und Critical (9 bis 10).

Nicht viel besser sieht es laut c´t nach dem Firmware-Update aus, das T-Systems während des Untersuchungszeitraums am 28. November 2019 veröffentlicht habe.

Die neue Firm­ware-Version 1.5.3 habe am 31. Dezember 2019 „immer noch 291 Hinweise auf klärungs­bedürftige Verwundbarkeiten: 7 kritische, 117 hochbrisante und 167 mittel­schwere“ ge­habt. Neben dem Konnektor ist der Analyse zufolge auch das Kartenterminal sicherheits­kri­tisch.

Die c´t räumt aber auch ein, dass nicht jede Verwundbarkeit zu einem tatsächlich durchführ­ba­ren Angriff führt. „Doch für jede Verwundbarkeit, die zum Zeitpunkt der Zertifizierung be­kannt ist, müsste mindestens dokumentiert sein, warum sie die Sicherheit des Systems nicht schwächen kann“, schreibt das Computermagazin. Dies sei jedoch nicht der Fall.

Ärzte, die den Konnektor von T-Systems einsetzen, sollten laut c´t die Firmware updaten. Dadurch könne die Zahl der möglichen klärungsbedürftigen Verwundbarkeiten von 402 auf zumindest 291 gesenkt werden, hieß es.

Die Telekom verwies auf Nachfrage des Deutschen Ärzteblattes auf das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Gematik als Prüf- und Genehmigungs­instanzen.

„Unser Konnektor entspricht den Spezifikationen der Gematik und ist zugelassen“, sagte ein Sprecher. Das BSI habe die Technik geprüft. Fragen zur Sicherheit könnten daher nur die Betreibergesellschaft Gematik und das BSI beantworten. An Spekulationen beteilige man sich grundsätzlich nicht.

Von der gematik hieß es auf Nachfrage, aus den geschilderten Ausführungen seien „kei­ne tatsächlichen Sicherheitsrisiken ableitbar“. Das BSI äußerte sich auf Anfrage bislang nicht.

may

Diskutieren Sie mit:

Diskutieren Sie mit

Werden Sie Teil der Community des Deutschen Ärzteblattes und tauschen Sie sich mit unseren Autoren und anderen Lesern aus. Unser Kommentarbereich ist ausschließlich Ärztinnen und Ärzten vorbehalten.

Anmelden und Kommentar schreiben
Bitte beachten Sie unsere Richtlinien. Der Kommentarbereich wird von uns moderiert.

Es gibt noch keine Kommentare zu diesem Artikel.

Newsletter-Anmeldung

Informieren Sie sich täglich (montags bis freitags) per E-Mail über das aktuelle Geschehen aus der Gesundheitspolitik und der Medizin. Bestellen Sie den kostenfreien Newsletter des Deutschen Ärzteblattes.

Immer auf dem Laufenden sein, ohne Informationen hinterherzurennen: Newsletter Tagesaktuelle Nachrichten

Zur Anmeldung