ÄrzteTag
Transkript
00:00:03:
00:00:06: Willkommen zum Ärztetag, dem Podcast der Ärztezeitung.
00:00:09: Mein Name ist Hauke Gerloff, ich bin stellvertretender Chefredakteur.
00:00:13: Und ich grüße Sie, liebe Zuhörer, alle herzlich zum ersten Podcast im neuen Jahr.
00:00:21: Und ich wünsche uns allen, dass es im Sinne der Gesundheitspolitik und Gesundheitswirtschaft ein erfolgreiches Jahr wird.
00:00:28: Das wurde ja zuletzt jedes Jahr ein Stück dringender.
00:00:33: Probleme im Gesundheitswesen hat auch der Chaos-Communication-Kongress des Chaos-Computer-Clubs in Hamburg Ende des Jahres wieder gezeigt.
00:00:42: Er ist schon wieder ein paar Tage her, doch wieder hat er im Gesundheitswesen Furore gemacht, wenigstens ein bisschen.
00:00:49: Und am Telefon begrüße ich jetzt Professor Christoph Saad Johann von der FH Münster.
00:00:55: Dort lehrt er im Gebiet der eingebetteten Sicherheit sowie der Cyber-Sicherheit im Medizin-Umfeld und hat auch dieses Jahr seinen Auftritt beim CCC in Hamburg gehabt.
00:01:07: Hallo Herr Professor Saad Johann.
00:01:09: Hallo und danke für die Einladung.
00:01:10: Ja, gerne.
00:01:12: Professor Jadzadjohang, in diesem Jahr haben Sie in Hamburg einen Vortrag gehalten mit dem Titel Kim, eins Punkt fünf.
00:01:19: Noch mehr Chaos in der medizinischen Telematikinfrastruktur.
00:01:23: Steht es wirklich so schlimm, um die Sicherheit in der TI?
00:01:28: Ja, der Titel ist natürlich ein wenig bewusst provokant gewählt.
00:01:32: Ich habe auch ganz am Ende des Talks ja auch bewusst dahin gesagt, dass dieses Kim-System, die zu sichere E-Mails gar nicht so schlimm ist, wie der Titel jetzt vielleicht Mit meinem Möge, von daher, so schlimm sieht es nicht aus, zu müssen, bei Kimdiensten in anderen Diensten vielleicht noch mehr als hier.
00:01:47: Gut, dann dröseln wir das mal ein bisschen auf.
00:01:50: Sie haben ja in den vergangenen Jahren so einiges aufgedeckt in der TI.
00:01:54: Sie und Bianca Kastl und Martin Tschir sich vor allem.
00:01:58: Unter anderem haben sie gezeigt, dass die Ausgabeprozesse der elektronischen Signaturkarten Damals alles andere als sicher waren.
00:02:06: Ich glaube, das war vor drei Jahren.
00:02:07: Das hat sich dann sehr schnell geändert.
00:02:10: Oder letztes Jahr ging es um Sicherheitslücken in der EPA.
00:02:13: Mit einigen Schmerzen wurden sie schließlich überwiegend geschlossen.
00:02:18: Wobei das war auch dieses Jahr wieder Thema beim CCC.
00:02:22: Eigentlich müsste die Gematik Ihnen ja dankbar sein, dass Sie die Lücken entdecken.
00:02:27: Ist das so oder ist das eher ein zwiegespaltenes Verhältnis?
00:02:32: Also, wenn ich jetzt konkret auf die aktuellen Sachen, die ich gefunden habe im letzten Jahr und die ich auch rüberich referiert habe auf dem CTC-Kongress, da hatte ich eine sehr gute positive Resonanz.
00:02:43: Das war ein sehr gutes Arbeitshältnis.
00:02:44: Wir hatten mehrere Gespräche per Videokonferenz, in dem ich alles erklärzt habe, in dem die Gematik mir anschließend erklärt hat, wie sie diese Probleme angehen wollen.
00:02:54: Von daher, jetzt zumindest für dieses Verfahren kann ich nur sagen, dass die Gematik war, Sehr zu vorkommen und super transparent und das hat sehr gut funktioniert.
00:03:03: Und ich denke, da war auch viel Dankbarkeit dabei, dass ich das entsprechend so gemeldet habe mit diesen Responsibility Disclosure, dass ich also den Gematik diese neunzig Tage Zeit gegeben habe, um die größten Lücken schon mal zu schließen und das dann erst auf dem Kongress gezeigt habe.
00:03:18: Sie haben sicher in diesem Jahr Kim vorgenommen.
00:03:21: Den Mailingdienst in der TI, Kommunikation im Medizinwesen, lautet der volle Name.
00:03:26: Er wird mittlerweile für viele Anwendungen genutzt und dies millionenfach.
00:03:31: Ich glaube, wir sind bald bei einer Milliarde.
00:03:32: Kim.
00:03:33: Nachrichten, die verschickt worden sind.
00:03:35: EU, also EU-Bescheinigungen per Datenleitung, Berichte für die Unfallversicherung, Dale UV, E-Arztbriefe, Heil- und Kostenpläne für Zahnersatz, Entlassbriefe, noch viel zu wenig entklammern.
00:03:48: Also es sind viele, viele Anwendungen, die doch sehr breit genutzt werden.
00:03:52: Wie würden Sie generell den Sicherheitsstatus der Mails über die Telematikinfrastruktur beurteilen?
00:03:58: Sagen wir mal im Vergleich zum Fax oder zur offenen E-Mail.
00:04:02: Einerseits und andererseits zu anderen sicheren Mailingdiensten.
00:04:07: Sie haben das ja eben schon angedeutet.
00:04:08: So schlimm ist es gar nicht.
00:04:09: Ja, genau, gerade wenn man das wirklich vergleicht mit offenen E-Mails.
00:04:13: Also da wird ja überhaupt keine Verschlüsselung eingesetzt für die E-Mail an sich.
00:04:17: Die Übertragung, das ist vielleicht auch dem einen oder anderen, vielleicht gar nicht so richtig klar, wo der Unterschied ist.
00:04:22: Also die Übertragung zwischen dem Thunderbird oder Outlook in der Praxis, dann in unserem Fall bis zu dem ersten Server, ist meistens beschlüsselt heutzutage, das ist so.
00:04:32: Allerdings kann natürlich der Serverbetreiber, also wo ich mein E-Mail-Postfach wirklich habe, der kann da reinschauen.
00:04:39: Die Mitarbeitenden, die Administratoren, die haben theoretisch Zugriff auf die Datenbank.
00:04:44: Zugriff auf die, auf die E-Mails.
00:04:46: Und auch ab da bin ich als Benutzer so ein bisschen, da weiß ich nicht mehr, wie danach mit der Datumgang wird.
00:04:51: Wird dann die nächste Übertragung zum nächsten Sommer verstummelt übertragen, da habe ich einfach keinen Einfluss mehr raus und ich kann es auch nachher nicht mehr prüfen.
00:04:58: Und daher haben wir das Problem bei den klassischen E-Mail-Systemen, dass wir nicht genau wissen, wer reinschauen können.
00:05:03: Wir wissen auf jeden Fall, Leute können theoretisch reinschauen, mindestens der Postfachbetreiber und natürlich auch der Postfachbetreiber.
00:05:09: Ähm, der ist Empfangenen.
00:05:10: Also da, wo die E-Mail hinkommen.
00:05:12: Auch
00:05:12: da können
00:05:13: wir natürlich gar nicht genau abschätzen, wer alles zugefangen hat.
00:05:15: Aber ich sage es nicht so ähnlich.
00:05:17: Fax heutzutage wird über IP-Pakete, also über das Internet übertragen in einer ähnlichen Art und Weise.
00:05:22: Das heißt, auch dort haben wir mindestens Serverbetreiber, die draufschauen können, von staatlichen Akteuren wie Geheimdienst natürlich auch ganz klar.
00:05:31: Ähm, das heißt, dort haben wir auf jeden Fall Leute, die Zugriff haben.
00:05:35: Bei Chem ist es nur, dass wir... dort aber jetzt eine verschlüsselte E-Mail haben.
00:05:39: Das heißt, die E-Mail an sich ist verschlüsselt und kann auch erst wieder im Optimalfall beim Emshänger gelesen werden.
00:05:45: Und auch wenn ich jetzt hier ein, zwei Angriffsmöglichkeiten gezeigt habe, im Grunde genommen ist das System gar nicht mal so schlecht.
00:05:51: Wir haben ein oder zwei Lücken hier, die werden aber angegangen und im Grunde sagt deswegen, dass der Dienst ist gar nicht mal so schlecht, weil wir zumindest fast immer eine sichere Verschlüsselung gehabt haben und ein Angreifer ist... sehr, sehr schwer hat, hier reinzukommen oder hier E-Mails zu lesen.
00:06:10: Natürlich ist das jetzt noch nicht der perfekte Schutz.
00:06:13: Da gibt es andere Systeme, wie zum Beispiel Signal, also der Messenger.
00:06:17: Da haben wir noch ein paar Zusatzsicherheitsleaders, die wir im E-Mail-System haben.
00:06:21: Aber ins Vergleich sind wir hier schon sehr viel besser als mit jeden Faxen, mit der E-Mail, die wir hier sonst verwenden können.
00:06:28: Also gar nicht so schlecht.
00:06:30: Das ist jetzt ein Zitat von Ihnen.
00:06:32: Was haben Sie denn im Einzelnen für Lücken aufgedeckt?
00:06:35: Wollen Sie uns vielleicht die wichtigsten noch einmal in Kürze beschreiben und möglichst in Worten, die auch Zuhörer verstehen, die nicht IT-Sicherheitsbeauftragte eines MVZ oder CCC-Mitglieder sind?
00:06:48: Ja, ich gebe mein bestes Schiss.
00:06:50: Genau, also eine Lücke, da haben wir gerade drüber gesprochen.
00:06:52: Es gab eine theoretische Möglichkeit, um verschlüsselte E-Mails an sich anzuschauen.
00:06:58: Die Lücke bestand, die wurde aber inzwischen geschlossen.
00:07:01: Das geht jetzt also bei den aktuellen Fachdiensten, bei den aktuellen eingesetzten Servern nicht mehr.
00:07:06: Auch da war natürlich das Angreifermodell, also welche technischen Höhen ich überwinden muss, war natürlich jetzt auch nicht so klein.
00:07:13: Das heißt, die Lücke war da, aber die technische Ausdrufbarkeit, ja, braucht man schon gute Fachkenntnisse, aber kann man natürlich dem Angreifer auch einfach unterstellen, wer es wirklich möchte, hat diese Fachkenntnisse.
00:07:24: Für gravierender finde ich mehr die, wir nennen das Auszentifizierung oder die Ausentication des Standards.
00:07:31: Also wer schreibt mir wirklich?
00:07:33: Das ist auch heute noch so ein kleines Problem in dem Kimmensystem, wenn ich in der Praxis, und ich habe einen Einblick in eine Zahnarztpraxis, wenn ich so eine Kimmennachricht bekomme, ist es gar nicht so leicht herauszufinden, wer mir jetzt wirklich geschrieben hat, weil die E-Mail-Adressen, die man benutzt als Praxis, die sind frei wählbar.
00:07:50: Das heißt, jeder Teilnehmer aus diesen Kippen.
00:07:54: Also jede Praxis, später die Psychotherapeutin, die Physiotherapeutin, die Hebamme und so weiter, die können sich eigene E-Mail-Adressen registrieren und dort wird nicht geprüft, ob der Name irgendwie zusammenhängt mit der Praxis.
00:08:05: Also eine Praxis Dr.
00:08:08: Meier kann sich eine E-Mail-Adresse Dr.
00:08:09: Müller klicken und hat dann diese E-Mail-Adresse und kann sie ganz regulär benutzen.
00:08:13: Und als empfangene Praxis kann man leider nicht nachschauen, wer steckt nun wirklich in dieser Praxis.
00:08:18: Und das ist so dieses... Der große Kritikpunkt, den ich an diesem System aktuell einfach noch habe, dass das nicht richtig sichtbar ist, welche Praxis schreibt man nun wirklich?
00:08:28: Wer steckt in dieser Praxis?
00:08:29: Das ist so mein Hauptkritikpunkt auch aktuell noch.
00:08:32: Also das hat sich noch nicht geändert?
00:08:34: Genau, genau.
00:08:36: Dieser freie Klima-Adresswahl ist noch offen.
00:08:39: Okay, da kommen wir gleich auch noch mal zu.
00:08:41: Es gab ja auch noch ein Szenario, dass man irgendwie mit einer bestimmten Nachricht den Empfänger zum Absturz bringen konnte.
00:08:48: Das fand ich eigentlich auch ganz nett.
00:08:52: Genau, genau.
00:08:53: Ja, das habe ich Plakatis Kim of Death genannt.
00:08:56: Also die die Kim-Email ist todisch, weil es halt das E-Mail-Postfach für den Empfangenden einfach ja lahm legte.
00:09:03: Das war bei T-Systems der Fall.
00:09:05: Also wer dann die Software, die Kim-Software von T-Systems im Einsatz hatte, der damaligen Variante, der damaligen Version, da konnte ich mir dann eine einzelnen gesendeten E-Mail das Kommittepostfach lahmlegen.
00:09:17: Das war ein Software Fehler und die Systems, der dort in der Software drin war, der soll es gefixt, also behoben worden sein.
00:09:24: Ich konnte es noch nicht wieder nachtesten, werde ich sicherlich noch mal machen.
00:09:28: Aber natürlich hat das natürlich große Auswirkungen, wenn solche Schwachstellen dort einfach schlummern und einfach, ja, in meinem Augen war das einfach zu wenig getestet.
00:09:35: Die Software wurde offensichtlich zu wenig getestet.
00:09:38: Es war jetzt kein schwer zu findende Schwachstelle.
00:09:42: Bahlt schade, dass die Lücke dort drin war.
00:09:45: Aber ich hoffe, sie wurde jetzt entsprechend.
00:09:48: Sie haben eben die Gematik gelobt für die Reaktion auf die aufgedeckten Lücken.
00:09:54: Ich habe natürlich auch mit der Gematik zwischendrin gesprochen bzw.
00:09:57: gemailt und gefragt, wie gravierend sie diese Lücken halten.
00:10:04: Die haben dann von einem komplexen Innentäter-Szenario gesprochen.
00:10:08: Ist denn ein solches Szenario wirklich so unwahrscheinlich?
00:10:13: Genau, dieses komplexe Innentäter-Szenario halte ich gar nicht für so unwahrscheinlich.
00:10:17: Wenn wir uns mal anschauen, was heißt denn in den Tätern?
00:10:19: Naja, irgendeine Täter, eine Tätervereinigung, die irgendwie Zugriff hat zu der Telematikinfrastruktur, die vielleicht je nach Schwarzstelle nicht gefunden habe, auch Zugriff habe zu einer dieser Institutionskarten oder zu einem Kimprostfach.
00:10:31: Aber wenn man sich anschaut, wer hat denn Zugriff?
00:10:33: Naja, das sind ja zweihunderttausend Kim-Emerdressen gibt es oder sogar noch mehr.
00:10:37: Also irgendwie zwischen hundertsechzig, hundertachtzig, tausend Institutionen, die so eine Zugriff haben.
00:10:43: Und in jeder Institution, das muss man ja multiplizieren mit den Mitarbeitenden, die dort Zugriffs zu den IT-System haben.
00:10:49: Das sind ja in der normalen Praxis unseres Jahr auch einige.
00:10:53: Und wenn wir das multiplizieren mit fünf oder acht oder bis zu zehn in großen Krankenhäusern und MVZ, dann haben wir dann plötzlich eine Intentationario, wo wir aber mindestens eine Million Leute haben, die irgendwie als Intäter in Betracht kommen.
00:11:07: Das heißt, da muss ich einfach sagen, na ja, so komplex ist dieses Intäter-Szenario dann auch nicht mehr, weil es einfach zu viele Leute gibt, die als Intäter infrage kommen.
00:11:16: Wenn in Zukunft Tim auch für Patienten freigeschaltet wird, oder es ist ja eigentlich schon über die IPA, erhöht sich die Zahl der sogenannten Intäter damit noch mal, oder gibt es da noch mal spezielle Barrieren?
00:11:30: Das ist eine spezielle Barriere, also dadurch erhöht sich die Teile entweder nicht, da die Patienten keinen direkten Zugang in die Telematik-Infrastruktur bekommen oder zumindest nicht den Zugriff, die sich für Kim brauchen.
00:11:42: Also aus dem Kim, also mit K der E-Mail-Dienst werden auch in Zukunft die Patienten nicht teilen.
00:11:49: der Nutzerschaft mehr.
00:11:50: Das heißt, Patienten sind beschränkt auf dem Timmdienst und haben auch auch technisch keine Zugriff zu dem E-Mail-Dienst.
00:11:57: Das heißt, durch Timm verändert sich das Innentäter-Szenario hier für diese Schwachstände auf jeden Fall nicht.
00:12:04: Eine der Voraussetzungen, um die Lücken zu entdecken, das haben sie ja eben beschrieben, ist ja, dass man überhaupt reinkommt in die TI.
00:12:10: Das heißt, ein Hacker benötigt Zugriff auf einen Konnektor.
00:12:12: Er braucht mindestens eine SMCB, vielleicht auch eine... ein EHPA, also elektronischen Arztausweis, um Nachrichten verschlüsselt dann verschicken zu können.
00:12:23: Wie sind Sie eigentlich dann an diese Utensilien gekommen?
00:12:26: Sie haben es ja eben schon angedeutet, dass Sie da in einer Zahnarztpraxis arbeiten oder mitarbeiten?
00:12:33: Ja, genau.
00:12:34: Vielleicht mal zur Detailierung.
00:12:35: Ich habe ein, zwei Schwachstellen gezeigt, wo man explizit keinen Zugriff brauchte auf dieser Praxis, indem man nur Zugangstärken zu einem Postfach brauchte.
00:12:43: Aber technisch ging das alles ohne Zugriff auf SMCB, ohne Zugriff auf diese Praxis-Institutionskarte, weil ich einfach diese ja bis zu vierzig Software-Module für Kim offen im Internet gefunden habe.
00:12:56: Das heißt, es reichte der ganz normale Internetzugriff, den wir alle haben, der reichte für ein, zwei der Angriffe.
00:13:01: Von daher dieses Internationale war auch nur bei einigen Angriffen nicht bei allen.
00:13:07: Aber ganz konkret zu Ihrer Frage, ja genau, ich habe einen Nebenjob in einer Zahnarztpraxis und dort bin ich halt ein bisschen für die IT und für die IT-Sicherheit auch zuständig und dementsprechend ist es da auch so ein bisschen meine Aufgabe zu schauen, welche Dienste haben wir in der Praxis, welche nutzen wir und wie sicher sind diese Dienste?
00:13:24: und im Rahmen dieser Arbeit, darf ich mir natürlich dann auch diese entsprechenden Dienste mal genauer anschauen, weil wir sie auch wirklich tatsächlich in der Praxis nutzen.
00:13:32: und dann möchte ich natürlich auch wissen, wie sicher sind denn diese Dienste, worauf müssen wir achten?
00:13:36: In unserer eigenen Zahnarztpraxis.
00:13:38: Da kann die Praxis froh sein, dass sie dann so ein IT-Sicherheitsexperten hat in ihren Reihen.
00:13:44: Kriminelle würden das auch schaffen.
00:13:46: Sie haben eben gesagt, es könnte ja sein, dass einer von einer Million Mitarbeitern im Gesundheitswesen vielleicht doch auch Kriminelle.
00:13:54: Bestrebungen hat, sagen wir mal, oder vielleicht auch mal erpresst wird von einem Geheimdienst oder ähnliches, dass die an irgendwelche Daten kommen, gut, Geheimdienste werden vielleicht nicht unbedingt hinter Praxisdaten her sein.
00:14:09: Aber solche Erpressungsszenarien sind ja auch möglich.
00:14:14: Also bei Ihnen ist alles legal, aber theoretisch wäre das für Kriminelle auch möglich.
00:14:19: Das ist so Ihre These.
00:14:21: Das ist meine These, ja.
00:14:22: Und das Kriminelle ist ja auch manchmal ein Graubereich.
00:14:24: Also wir haben ja vor ein, zwei Jahren, es gab den ersten bespätigten Fall von Werbe-E-Mails über Kim.
00:14:31: Da gab es einen Apothekenversender, welcher Werbe-E-Mails über das Kim-System verschickt hatte.
00:14:37: Das heißt, es gibt Fälle, wo wir im Graubereich sind.
00:14:39: Der Apothekenversender wurde daraufhin auch gesperrt aus der PI-System.
00:14:43: Das heißt, er durfte dann dort keine weiteren E-Mails mehr verschicken.
00:14:47: Aber das muss auch erst mal geklärt werden, ob diese E-Mails überhaupt erlaubt waren oder nicht.
00:14:51: D.h.
00:14:51: einige Sachen sind ja erst mal im Graubereich.
00:14:54: Welche E-Mails darf ich über Kim verschicken oder nicht?
00:14:56: Darf ich zehntausende Werbee-E-Mails für meine neuen Produkte verschicken über Kim?
00:15:00: Das sind Fragen, die sind noch gar nicht so richtig geklärt.
00:15:04: D.h.
00:15:04: einige Steile sind wirklich im Graubereich.
00:15:06: Natürlich gibt es die ganz klaren Fishing-E-Mails, wo ich auf irgendwelche Links gelockt werde als Praxis.
00:15:13: Und dass das dort auch passieren könnte, das liegt auf der Hand.
00:15:16: Wir sehen es ja in dem normalen E-Mail-System auch.
00:15:18: Und diese Fishing-Angriffe sind auch in den normalen Leben nicht legal, sondern illegal.
00:15:23: Und dementsprechend der Anreiz, so was über Kim zu machen, der ist sicherlich da.
00:15:27: Und irgendwelche Randon der Gruppen, also Gruppen, die damit Geld verdienen mit solchen Sachen, könnte ich mir auch vorstellen, dass die irgendwann vielleicht spizialisierte Systeme angreifen.
00:15:36: Und da ist natürlich Kim eine dieser Möglichkeiten.
00:15:39: Von daher sehe ich das schon im Rahmen des möglichen.
00:15:42: dass Tiere angreift über Kim gemacht werden.
00:15:44: Das heißt, dass Nutzer da schon auch auf dem Quiz sein müssen, selbst bei Kim-Nachrichten, dass das nicht unbedingt immer saubere Mails sind, die darüber kommen.
00:15:55: Das liegt auch daran, dass man eben den Absender nicht direkt sehen kann, oder?
00:15:59: Das nimmt darauf Bezug auch.
00:16:01: Genau, das spielt natürlich dem Angreifer in dem Fall natürlich in die Hände.
00:16:04: Wenn er wirklich die Möglichkeit hat, eine eigene E-Mail-Adresse nach seinem eigenen Gut-Dünken zu registrieren, ist das natürlich noch mal ein Boost für die Angriffsmöglichkeiten.
00:16:14: Aber genau das, was sie sagten.
00:16:16: Also gerade im Internet und auch im Kim-System ist es einfach so, dass man schon ein ja wassames Auge braucht und nicht jeder E-Mail und dementsprechend auch nicht jeder Kim-E-Mail den vertrauen sollte.
00:16:26: Und dann kurz dich einmal zurücklegen und schauen kann, Kann das jetzt hier wirklich valide sein?
00:16:31: soll ich diesen link jetzt wirklich klicken oder nicht?
00:16:34: und auch mein ganz ganz persönlicher pill auch noch mal.
00:16:36: also keine email oder keine kim email.
00:16:39: auch ist so dringend.
00:16:41: Dass es schädlich ist wenn ich eine stunde warte und wie mein Dienstleister mal kurz wirklich wenn ich wirklich im zweifel bin oder einem kollegen vielleicht mal kurz frage hey schau mal drüber ist die email valide oder nicht?
00:16:52: also die stunde warte zeit um mal jemanden zu fragen ist immer da.
00:16:55: also gerade wenn so.
00:16:57: Druck aufgebaut wird in solchen e-mails ist da meistens vielleicht gar nicht so viel hinter.
00:17:02: und gerade im normalen im erbereich dieses phishing e-mails.
00:17:04: Kampagnen spielen natürlich drauf dass man jetzt sofort klicken muss und da sollte man immer ein wachsames auger haben und sich nur mal kurz zurücklehnen und sich kurz die minute nehmen oder auch mal eine stunde um Kollegen nachzufragen ob das sich eine e-mail ist.
00:17:16: also auch im kin bereich sollte man dort mal kurz überlegen ob das valide ist.
00:17:21: noch ein einspruch.
00:17:24: Also ich habe mal gelernt oder von der Gematik gehört, dass die Konnektoren eigentlich gar nicht mal unbedingt dafür da sind, also natürlich sind sie erstmal dafür da, dass man eine Verbindung zur Thematikinfrastruktur bekommt und auch vielleicht, dass man ein bisschen von außen geschützt wird, also dass da nichts durchkommt oder wobei es ist ja kein Ersatz für den professionellen Virenscanner, den man sowieso in der Praxis braucht.
00:17:52: Aber auch, dass die Telematikinfrastruktur vor den Leuten, die eben solche Nachrichten verschicken, geschützt wird.
00:18:02: Kommen Sie mit einer Fishing-Attacke, die Sie vielleicht gut getan haben, durch den Konnektor überhaupt durch?
00:18:09: Genau, also wenn das so von der Gematik mal gesagt wurde, dann müsste ich den jetzt auch widersprechen, weil der Konnektor eben gar nicht zu tief in die Pakete reinschaut.
00:18:16: Also der Konnektor sieht ... die Kim-E-Mail auch erst, wenn sie die entschlüsselt, aber macht dort keine Prüfung mehr.
00:18:22: Das heißt, der Connector schützt nicht vor irgendwelchen bösartigen E-Mails.
00:18:26: Der Connector hat einen ja doch sehr rudimentären Schutz, wenn ich ihm nutze für meine normale Internet-Zeltbindung.
00:18:32: Aber auch das ist mehr rudimentär und wie Sie gerade schon sagten, ist jetzt nicht dem klassischen Antivirus-Scanning-Programm oder auch der professionellen Firewall, die wir in der Praxis auch haben sollten.
00:18:42: Dementsprechend schützt der Connector nicht, nicht, nicht vollumfänglich.
00:18:45: Und auch die Kim-E-Mail-Adressen... Diese Kim Nachrichten sind einfach nicht vollumfänglich geschützt.
00:18:51: Wie ich ja gezeigt habe, man kann diese Kim E-Mails auch fälschen und kann dort auch entsprechende Nachrichten schicken, ohne dass das irgendwo geprüft wird.
00:19:00: Ihre Hackerkollegin Bettina Kastl hat ja beim CCC über die Sicherheit der EPA gesprochen, auch dieses Jahr wieder und dabei unter anderem die Praxisverwaltungssysteme als potenzielle Schwachstellen identifiziert.
00:19:12: Sie kennen sich ja alle offenbar in der Szene.
00:19:15: Sie beschrieb das Einbruchsszenario ganz nett mit Ähnlich, dann gibt man dem Christoph Satjohann mal zwei Bier aus und dann weiß man, wie es geht oder so.
00:19:25: Wie würden Sie denn den Sicherheitsstatus der TI insgesamt beurteilen, stand heute?
00:19:33: Das ist eine schwere Einschätzung, die ich nicht so pauschal sagen kann, weil die TI natürlich aus vielen verschiedenen Diensten bestehen, wie zum Beispiel Kim, wie aber auch noch viele andere, wie die ERU oder auch die EPA.
00:19:45: Global, eine pauschale Aussage, kann ich da gar nicht genau pressen.
00:19:49: Aber wenn ich über die PVS jetzt sprechen soll, also diese Praxisverwaltungssysteme, das das Bianca Castile auch anbrachte, die Sicherheit dort ist tatsächlich nicht so gut.
00:19:58: Und das wissen wir jetzt spätestens seitens drei verschiedene Projekte gibt, das BSI hat in den letzten Jahren dort einen Fokus draufgesetzt, also das Bundesamt für Sicherheit in der Informationstechnik.
00:20:08: und hat drei Programme gestartet, drei Projekte, in denen genau diese Softwareprodukte mal getestet werden sollten.
00:20:13: Und zwar, da gibt es das Programm SIEKES, Sicherheit in Krankenhaus-Informationssystems.
00:20:19: Das war tatsächlich in dem Projekt auch noch mitbeteiligt damals.
00:20:22: Und dort haben wir uns halt diese Software angeschaut.
00:20:25: Und aus.
00:20:25: dort haben wir ja eklatante Lücken in diesen Softwareprodukten gefunden.
00:20:30: Und das Gleiche gilt auch für die Software in den niedergelassenen Bereichen.
00:20:36: Projekt SIPRA wurde von Bianca auch genannt und aktuell ist ein Projekt noch in Gange, das nennt sich DIPPS für die Pflegesysteme.
00:20:43: Das heißt, in allen diesen drei Produktkategorien gab es sehr große Schwachstellen.
00:20:49: Und zwar Schwachstellen, die wir eigentlich seit zwanzig Jahren schon kennen, die in anderen Softwarebranchen gar nicht mehr drin sind, obwohl wir die jetzt hier leider in der Gesundheitsbranche alle wieder gefunden haben.
00:20:58: Also Schwachstellen von vor zwanzig Jahren tauchen jetzt hier plötzlich in die Gesundheitsbranche wieder auf.
00:21:04: Und das ist natürlich schade und das zeigt uns natürlich hier, dass wir in der Gesundheitsbranche, in der Software wirklich einige Jahre zurückliegen und dass dort hier wirklich dringend was geändert werden sollte in der Software-Architektur.
00:21:16: Und gut, das sind dann hundert, hundert dreißig Programme, vielleicht hundert Anbieter.
00:21:22: So schnell ist man da eigentlich nicht dann bei der Änderung oder kann man einfach da die Regulierung ein bisschen anziehen und dann kriegt man das hin.
00:21:31: Ja, das ist das Problem.
00:21:33: Vielleicht ist das auch die Hauptprobleme, dass wir diese Hundert- und Dreißig-Programme mehr oder weniger haben für einen doch der begrenzten Benutzernstamm.
00:21:42: Also das ist ja nur die deutsche Gesundheitsbranche.
00:21:45: Einige Software sind auch noch weltweit aufgestellt.
00:21:48: Da die Gesundheitsbranche schon sehr national reglementiert ist mit verschiedenen Anforderungen, die jetzt im Unruhfall nur in Deutschland gültig sind wie die Abrechnungsfälle und dergleichen.
00:21:58: haben wir natürlich diesen begrenzten Nutzer stammen und dafür hundert Softwarehersteller.
00:22:02: Das heißt, da gibt es Software, die wird vielleicht von hundert Nutzen, von hundert Traxen genutzt und dort hinterherzukommen und auch sichere aktuelle Software herzustellen.
00:22:11: Ich glaube, das ist tatsächlich eine Herausforderung, die wir jetzt hier auch in den Projekten sehen, vielleicht nicht immer so gut gehandhabt wird, wie es sollte.
00:22:21: Und die Frage, wie wir es ändern können, ist natürlich, ja, Reglementierung wäre vielleicht eine Möglichkeit, indem man einfach Sachen wirklich vorschreibt, verpflichtende Penetrationstests, also verpflichtende Software-Tests nach einem einheitlichen Maßstab, dass das vielleicht irgendwie eingeführt wird, das wäre vielleicht eine der Möglichkeiten.
00:22:37: Und eine Möglichkeit, die ja auch gemacht wird, ist jetzt, dass das BSI entsprechende Test jetzt einfach mal von sich aus durchgeführt hat, um vielleicht mal so eine Marktübersicht zu bekommen.
00:22:46: Und das wäre jetzt hoffentlich der erste Schritt.
00:22:48: und der zweite Schritt wäre dann zu schauen, was können wir jetzt versichtend hier machen, damit wir vielleicht mal ein bisschen mehr Sicherheit in diesen Gewiesere einbekommen.
00:22:56: Also im Vergleich zu den Praxisverwaltungssystemen, würden Sie DTI noch als relativ sicher einschätzen, so vom Sicherheitsniveau her?
00:23:05: Ich würde sagen, es ist wirklich schwer zu vergleichen, weil wir haben im Einfall eine konkrete Produkte.
00:23:10: und mit dem anderen Fall haben wir ja eine sehr weit gefecherte Spezifikation von verschiedenen diensten und dann muss man differenzieren weil viele dienste sind ja auch wieder von herstellenden programmiert worden.
00:23:23: also für kim gibt es verschiedene dieser software module.
00:23:27: da gibt es auch fünf sechs sieben acht verschiedene software module und da müsste man auch dann wieder genau nachschauen wie sind die denn implementiert.
00:23:34: Beispiel jetzt hier bei uns die System ist waren mehrere Schwachstellen.
00:23:37: Ich weiß nicht, wie es bei den anderen ausschaut, ob da die Sicherheit vielleicht besser ist.
00:23:41: Ich hoffe, dass wir regelmäßig geprüst bei die Systems anscheinend jetzt hier gleich nicht so sehr.
00:23:47: Das heißt, ich kann es gar nicht gut vergleichen.
00:23:48: Das sind zwei verschiedene Systeme, die schwer zu vergleichen sind.
00:23:52: Okay, es kommt ja jetzt TI-II.null, da gibt es dann die digitalen Identitäten.
00:23:59: Wird das dann nochmal auf ein neues Niveau gehoben?
00:24:02: Oder hängt das dann auch wieder von jeder einzelnen Anwendung
00:24:05: ab?
00:24:06: Ja, mit der TI-II.null und dem ganzen Zugangsprozedere, also die ganze Ausentifizierung, die so ein bisschen umgekrempelt wird für die Fachleute, Synerotrust-Architektur, dann haben wir natürlich jetzt die Einmalige oder eine der großen Möglichkeiten noch mal nachzuschärfen und einige verschiedene Dienste vielleicht noch mal anzuschauen und im Rahmen dieser Neuimplementierung oder zumindest werden da an einigen Stellen Neuimplementierung notwendig sein, dass wir das vielleicht noch mal nachschärfen können.
00:24:34: Das würde ich mir jetzt wünschen, dass dort noch mal bei entsprechenden Ausentifizierungen nachgeschärft wird.
00:24:41: Das hoffe ich zumindest.
00:24:42: Dabei fehlt bei den Spezifikationen der Gematik ist aktuell, was da noch drin sein sollte, sind diese sogenannten Architekture Decision Records.
00:24:50: Also Entscheidungsnachweise.
00:24:53: Warum wurde etwas entschieden?
00:24:55: Das fehlt in der meisten Spezifikationen aktuell noch.
00:24:57: Also warum wurde sich für genau diese Architektur entschieden und warum wurde sich nicht für Architektur B oder C entschieden?
00:25:04: Das wären noch Sachen, die würden wir als Forscher natürlich sehr gerne sehen, um auch einfach Sachen besser nachzuverziehen.
00:25:10: Herr Professor Satjohan, haben Sie vielen Dank für den Überblick über den Sicherheitsstatus der TI.
00:25:16: Auch wenn Sie das nicht in einer Skala so richtig gefixt haben, sagen wir mal, wir hoffen, dass die nächsten Spezifikationen gleich lückenlos sein werden und für Sie wenig Angriffsmöglichkeiten bieten.
00:25:30: Alles Gute für Sie.
00:25:31: Ja, danke.
00:25:32: Danke Ihnen auch.
00:25:33: Und auch wieder vielen Dank fürs Zuhören.
00:25:35: Bis zum nächsten Ärztetag.
00:25:36: Tschüss.