Politik

Sicherheit der TI-Konnektoren: CGM weist Vorwürfe zurück

  • Dienstag, 21. Juli 2020
/Gorodenkoff, stock.adobe.com
/Gorodenkoff, stock.adobe.com

Berlin – Die aktuelle Störung der Telematikinfrastruktur (TI) könnte ein Nach­spiel haben. IT-Experten der Fachzeitschrift c’t – magazin für computertechnik sind der Ansicht, dass der TI-Konnektor KoCoBox MED+ von der CompuGroup Medical Deutschland AG (CGM) von der TI-Stö­rung kaum betroffen gewesen ist, weil Sicherheitseinstellungen deaktiviert waren. CGM weist das auf Nachfrage des Deutschen Ärzteblattes zurück.

Dem Bericht zufolge ist die Absicherung mit dem Sicherheitsverfahren DNSSEC bei der KoCoBox MED+ von CGM optional und laut Zahlen des Herstellers bei 99 Prozent der Ge­räte nicht aktiviert. CGM erklärte hingegen, dass die CGM-Konnektoren nicht von der TI-Störung betroffen gewesen seien, liege an der „robusten Implementierung“, die die aufge­tretenen Szenarien „proaktiv berücksichtigt“ habe.

Auslöser der TI-Störung war ein misslungener Wechsel des DNSSEC-Vertrauensankers. Der Vertrauensanker ist als Schlüssel für die Namensauflösung per Domain Name System (DNS) in die zugehörige IP-Adresse in der TI notwendig und soll dazu beitragen, dass die DNS-Daten nicht manipuliert werden können.

Stimmt der Schlüssel nicht, können die betroffenen Konnektoren keine Verbindungen zu Servern der TI aufbauen und das Versichertenstammdatenmanagement (VSDM) ist nicht mehr möglich. Genau dieses Problem hatten die Konnektoren von T-Systems, RISE und Secunet. Die rund 50.000 KoCoBoxen von CGM hingegen konnten in weit überwiegender Zahl weiterhin Stammdaten mit der TI austauschen.

Die Experten des c’t-Magazins sehen die deaktivierte DNSSEC-Funktion als Ursache. Weil die Konnektoren der CGM standardmäßig DNSSEC nicht aktiviert hätten, habe es wegen der fehlerhaften Aktualisierung kaum Probleme gegeben.

So konfiguriert seien die Konnektoren aber „anfällig für Angriffsszenarien im Bereich des Routing“. Höchsten Sicherheitsstandards würden sie so nicht genügen. Laut CGM führt hin­gegen auch der Konnektor KoCoBox MED+ stets eine DNSSEC-Validierung durch.

Von der Gematik hieß es auf Nachfrage, die Umsetzung von DNSSEC sei für Konnektor­her­steller seit Ende 2017 optional, da diese Funktion für die Sicherheit der TI „nicht bedeutsam“ sei.

aha

Diskutieren Sie mit:

Diskutieren Sie mit

Werden Sie Teil der Community des Deutschen Ärzteblattes und tauschen Sie sich mit unseren Autoren und anderen Lesern aus. Unser Kommentarbereich ist ausschließlich Ärztinnen und Ärzten vorbehalten.

Anmelden und Kommentar schreiben
Bitte beachten Sie unsere Richtlinien. Der Kommentarbereich wird von uns moderiert.

Es gibt noch keine Kommentare zu diesem Artikel.

Newsletter-Anmeldung

Informieren Sie sich täglich (montags bis freitags) per E-Mail über das aktuelle Geschehen aus der Gesundheitspolitik und der Medizin. Bestellen Sie den kostenfreien Newsletter des Deutschen Ärzteblattes.

Immer auf dem Laufenden sein, ohne Informationen hinterherzurennen: Newsletter Tagesaktuelle Nachrichten

Zur Anmeldung