KIM-System: Sicherheitsrisiken im digitalen Gesundheitswesen

Erfahren Sie mehr über die gravierenden Sicherheitslücken im KIM-System der Gematik und deren Auswirkungen auf den Datenschutz im Gesundheitswesen.

Ein gefährliches Sicherheitsnetz im Gesundheitswesen

Das Kommunikationssystem im Medizinwesen (KIM), das seit 2021 für den Austausch sensibler medizinischer Daten genutzt wird, steht unter massivem Sicherheitsverdacht. Trotz der angeblichen Verschlüsselung von Nachrichten zeigt die Forschung von IT-Sicherheitsexperte Christoph Saatjohann auf dem 39. Chaos Communication Congress, dass das System gravierende Schwachstellen aufweist, die es Angreifern ermöglichen, gefälschte E-Mails zu versenden.

Lücken im System und ihre Folgen

Das KIM-System verarbeitet jährlich etwa 100 Millionen Nachrichten. Mit einfachen Mitteln lassen sich gefälschte Mail-Adressen erstellen, die es Angreifern ermöglichen, unerwünschte Zugriffe auf Arztpraxen und Kliniken zu erlangen. Diese Manipulation führt im schlimmsten Fall zum Diebstahl sensibler Patientendaten.

Die Schwäche der Registrierungsmechanismen

Ein zentrales Problem liegt in der Registrierung von KIM-Mailadressen. Um sich eine solche Adresse zu sichern, reicht der Besitz einer sogenannten SMB-C-Karte aus, die mehreren Hunderttausend Mitarbeitern im Gesundheitswesen zugänglich ist. Ein Angreifer könnte diese Karte, auch wenn sie auf Plattformen wie eBay verkauft wird, nutzen und eine beliebige E-Mail-Adresse erstellen, ohne dass eine Plausibilitätsprüfung stattfindet.

Kritik an der Gematik

Die Gematik, die für die Sicherheit und Standards des KIM-Systems verantwortlich ist, steht in der Kritik. Laut Saatjohann habe die Agentur die bestehenden Sicherheitsrichtlinien nicht ausreichend überprüft. Trotz eines nachträglichen Hotfix, der einige der Risiken adressiert, bleibt das Problem bestehen, dass das gesamte System überholt werden muss, um echte Sicherheit zu gewährleisten. Bis eine vollständige Implementierung der Sicherheitsupdates in allen Praxen erfolgt, bleibt die Gefahr bestehen, dass Angreifer das System weiterhin ausnutzen können.

Die zentrale Frage: Wie sicher sind unsere Daten?

Die Debatte um die Sicherheit von Patientendaten wird durch diese neuen Erkenntnisse neu angeheizt. Angesichts wiederholter Versäumnisse im Umgang mit digitalen Gesundheitslösungen ist es entscheidend, die Sicherheitsvorkehrungen zu hinterfragen und nachzubessern, um das Vertrauen in die digitale Gesundheitsinfrastruktur aufrechtzuerhalten.