Sicherheitslücke: Gematik will bis zu 300 Konnektoren sperren

Berlin – Die Gematik will ab Ende Oktober mehrere hundert Konnektoren des Herstellers Rise sperren, falls diese bis dahin kein Sicherheitsupdate erhalten. Die betroffenen Praxen hätten dann keinen Zugang mehr zur Telematikinfrastruktur (TI).

Der Grund für die mögliche Sperrung liegt fast ein Jahr zurück: die „Log4Shell“ genannte Serverschwachstelle in der weit verbreiteten Java-Codebibliothek „Log4j“. Wegen ihr hatte das Bundesamt für Sicherheit in der In­formationstechnik (BSI) im Dezember 2021 die höchste Warnstufe ausgerufen.

Tausende Unternehmen und Behörden waren von der Sicherheitslücke betroffen, die laut BSI einfach ausnutzbar war und es Angreifern ermöglichte, Code einzuschleusen und dadurch Kommandogewalt zu erhalten, um Daten zu stehlen, zu manipulieren oder ganze Systeme zu übernehmen. Auch die Gematik hatte damals vorsorglich TI-Dienste vom Netz genommen.

In den vergangenen Monaten habe sie entsprechende Maßnahmen zur Behebung der Schwachstelle ergriffen, erklärte die Gematik gestern. Die VPN-Zugangsdienste würden seitdem aufgefordert, ihre Leistungserbringer zu informieren, dass es erforderlich ist, die Software betroffener Konnektoren der Firma Rise zu aktualisieren, zu­letzt sei das in der vergangenen Woche geschehen.

Wird die Aktualisierung nicht durchgeführt, werde die Gematik die VPN-Zugangsdienste zur Gewährleistung der Sicherheit auffordern, die entsprechenden Leistungserbringer nach dem 31. Oktober zu sperren. Das ge­schehe mittels Deaktivierung der sogenannten Contract-ID und werde für alle betroffenen Geräte, die bis zum 28. Oktober noch aktiv waren, durchgeführt.

Dadurch, so warnt die Gematik, könnten auch Leistungserbringer, die mehrere Konnektoren unter einer Con­tract-ID nutzen – beispielsweise in einer Mehrfachpraxis – von der Aussperrung betroffen sein. Allerdings handelt es sich um kein flächendeckendes Problem: Laut Rise sind nur ungefähr 300 Konnektoren betroffen. „Die meisten Leistungserbringer haben bereits die neuesten Versionen der Software eingespielt“, erklärte eine Unternehmenssprecherin auf Anfrage.

Die Verantwortung für die Verzögerung liege nicht beim Unternehmen: Rise habe bereits frühzeitig kostenfreie Updates bereitgestellt. „Leistungserbringer können jedoch selbst entscheiden ob Updates eingespielt werden oder nicht“, erklärt die Sprecherin. „Daher können wir als Hersteller diese Updates lediglich zur Verfügung stellen – jedoch nicht die Updates selbst einspielen.“

Die Gematik bestätigt das auf Anfrage: Rise habe bereits im Dezember 2021, also direkt nach Bekanntwerden des Problems, Korrekturversionen bereitgestellt, die von einem überwiegenden Teil der Nutzer schnell install­iert worden seien.

„Das Update steht demnach seit geraumer Zeit zur Verfügung“, erklärt ein Gematik-Sprecher. „Trotz wiederholter Aufforderungen das Update durchführen, werden allerdings immer noch Konnektoren mit der bekannten Sicherheitslücke betrieben.“

Rise sei deshalb als einziger Konnektorenhersteller betroffen, weil das österreichische Unternehmen als ein­zi­ges die Softwarebibliothek log4j in seinen Konnektoren verwendet. Die anderen beiden Konnektorenhersteller, Secunet und die Compugroup Medical, würden einen eigenen Code verwenden.

Versäumt es eine Praxis, das Update rechtzeitig einzusperren, hat sie Aufwand, ist aber nicht unwiderbringlich von der TI ausgeschlossen, gibt die Gematik Entwarnung. Nachdem der Konnektor deaktiviert wurde, muss dann die Contract-ID neu registriert und der Konnektor auf eine zugelassene Version geupdatet werden. Nötig ist Version 4.2.8 oder höher.

Für diese beiden Schritte müsse gegebenenfalls ein Dienstleister vor Ort unterstützen. „Wir empfehlen den zuständigen Servicetechniker zu kontaktieren“, erklärte Rise. „Dieser kann unterstützen und die neue Software einspielen. Danach kann der Konnektor wieder beim VPN-Zugangsanbieter freigeschalten werden.“

lau