:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e0/bde04197ed5519a1743d39b5794da453/0114113339.jpeg ""Warum IT-Sicherheitsplattformen die Antwort auf komplexe Bedrohungen sind", ein Interview von Oliver Schonschek, Insider Research, mit Sven von Kreyfeld von Forescout. (Bild: Vogel IT-Medien / Forescout / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sicherheitslücke in der Telematikinfrastruktur Secunet-Konnektoren speichern Seriennummern
Die Gesundheitskarten-Terminals sind über Konnektoren mit der Telematikinfrastruktur verbunden. Der DSGVO und den Spezifikationen der Gematik zufolge, dürfen diese keine personenbezogenen Daten aufzeichnen. Genau das ist nun jedoch passiert. Das sagen Secunet und Gematik zu dem Fall.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Mitte vergangenen Jahres wurden die Konnektoren von Secunet zugelassen, um die Gesundheitskarten-Terminals mit der Telematikinfrastruktur zu verbinden. Nun machen diese jedoch aufgrund von Datenschutzproblemen Schlagzeilen: Demnach werden personenbezogene Daten der Versicherten gespeichert – und dies verstößt gegen die Datenschutzgrundverordnung (DSGVO).
Die Kassenärztliche Bundesvereinigung (KBV) ist daher in Alarmbereitschaft. In einem Schreiben richtete sich der Verband direkt an Gematik-Geschäftsführer Markus Leyck Dieken und fordert schnellstmöglich eine Handlungsempfehlung sowie die Behebung des Problems. Es sei Aufgabe der Gematik, im Rahmen des Zulassungsprozesses zu prüfen, dass Konnektoren die in den Spezifikationen festgelegten datenschutzrechtlichen Anforderungen erfüllen. Auf diese Prüfung müssten sich Ärzte und Patienten verlassen können, so der Verband.
Seriennummern gespeichert
Doch wie schlimm ist das Problem überhaupt? „Während des Betriebs des Secunet-Konnektors müssen nach den Spezifikationen der Gematik eine Vielzahl von Zertifikaten geprüft werden. Dies umfasst unter anderem die Zertifikate der elektronischen Gesundheitskarte“, erklärt Secunet in einer Stellungnahme. „Schlägt die Online-Prüfung der Zertifikate fehl, so wird im Konnektor ein Log-Eintrag erzeugt, der auch die Seriennummer des jeweiligen Zertifikats enthält.“
Theoretisch sind darüber Rückschlüsse zum Patienten möglich, die Gematik stellt jedoch auf Nachfrage klar: „Die Seriennummer des eGK-Zertifikats ist ein pseudonymes Datum und könnte ausschließlich von den zertifikatsausgebenden Trust Service Providern (TSP) aufgelöst werden. Der TSP wiederum hat keinen Zugriff auf die betroffenen Protokolle. Nur die Leistungserbringer-Institutionen und gegebenenfalls die von ihnen hierzu beauftragten Dienstleister können auf Konnektoren-Protokolle zugreifen.“ Secunet ergänzt, dass in der Seriennummer zudem keine Informationen darüber enthalten seien, welcher TSP Zertifikatsherausgeber ist. Aus diesen Gründen seien die Zertifikats-Seriennummern nicht als personenbezogene Daten zu werten. „Daher liegt weder ein Verstoß gegen die Spezifikationen noch gegen geltende Datenschutzbestimmungen vor“, so das Cybersecurity-Unternehmen.
Updates geplant
„Gleichwohl“, stellt die Gematik klar, „ist es nicht Intention der Spezifikation, wenn in den Konnektoren des Herstellers bei der Prüfung der eGK die Seriennummer eines Zertifikats der eGK in den internen Protokollen festgehalten wird. Der Hersteller wird dies mittels Update für die betroffenen Konnektoren beheben.“ Die Gematik empfiehlt Ärzten, dieses Update zu installieren, sobald es verfügbar ist. Wann genau das sein wird, hat Secunet jedoch auch auf Nachfrage nicht gesagt.
Das IT-Unternehmen bestätigt jedoch, dem Wunsch der Gematik entsprechen zu wollen und die Protokollierung so anzupassen, dass die Seriennummern nicht mehr aus den Logs ermittelt werden können. Falls ein Fehler wegen einer gesperrten eGK zustande kommt, hat Secunet zudem bereits eine Lösung parat: „Durch Änderung des Loglevels auf FATAL kann für diesen Fehlerfall sofort ohne Firmwareupdate die Protokollierung der Seriennummer unterbunden werden.“
Ärzte brauchen sich aus Sicht der Gematik zudem keine Sorgen machen. Die Organisation geht rechtlich davon aus, „dass Leistungserbringer ihren datenschutzrechtlichen Sorgfaltspflichten nach der DSGVO hinreichend nachkommen, solange diese die Geräte bestimmungsgemäß verwenden und verfügbare Updates installieren“.
(ID:48088243)
:quality(80)/p7i.vogel.de/wcms/c4/fe/c4fe11aec27130652ac946d7bd2716da/0106313792.jpeg "X.509 ist ein Standard der ITU-T für digitale Zertifikate in einer Public-Key-Infrastruktur. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/d6/88/d6889cf1d7bde0f32b423261569ad579/0106382053.jpeg "Die NIS-2-Richtlinie soll den bestehenden Rechtsrahmen vor dem Hintergrund der zunehmenden Digitalisierung des Binnenmarktes und akuter Bedrohungen für die Cybersicherheit modernisieren. (Bild: Alexander Limbach - stock.adobe.com)")