Kritische Sicherheitslücken im KIM-System
Das System "Kommunikation im Medizinwesen" (KIM), das in deutschen Arztpraxen und Krankenhäusern zur Übermittlung sensibler medizinischer Daten verwendet wird, steht stark in der Kritik. Laut dem IT-Sicherheitsforscher Christoph Saatjohann weist das KIM-System seit seiner bundesweiten Einführung im Jahr 2021 gravierende Schwachstellen auf. Diese Sicherheitslücken ermöglichen es Angreifern, gefälschte E-Mail-Adressen zu erstellen und somit vermeintlich legitime Nachrichten zu versenden, was zu einem erheblichen Risiko für den Datenschutz führt.
Einfache Manipulation möglich
Jeder, der über einen „SMB-C-Ausweis“ einer medizinischen Einrichtung verfügt, kann sich relativ unkompliziert bei einem KIM-Fachdienst registrieren. Das bedeutet, dass viele Dritte potenziell Zugriff auf das KIM-System erhalten können. Die Tatsache, dass die KIM-Mail-Adressen nicht auf ihre Plausibilität überprüft werden, schafft einen Nährboden für Kriminelle, um sich als Ärzte oder Praxen auszugeben und dazu, gefährliche Phishing-Angriffe durchzuführen.
Gematik unter Druck
Die Gematik, die für die Spezifikation und Prüfung des KIM-Systems verantwortlich ist, sieht sich zunehmend in der Verantwortung. Laut Saatjohann sind die Sicherheitsstandards nicht ausreichend überprüft worden. Obwohl die Gematik auf die Sicherheitslücken reagiert hat, indem sie einen Hotfix veröffentlicht hat, bleibt unklar, wie schnell und umfassend die Praxen diese Updates implementieren können. Zudem kritisiert Saatjohann, dass die grundlegenden Designfehler im System weiterhin bestehen bleiben.
Das Vertrauen in die digitale Kommunikation
In Anbetracht der immer häufiger vorkommenden Cyberangriffe und der Sensibilität von Patientendaten stellt sich die Frage, wie sicher die digitale Kommunikation im Gesundheitswesen wirklich ist. Die Vorfälle werfen ein schlechtes Licht auf die Bemühungen, digitale Lösungen im Gesundheitswesen sicher zu gestalten, und machen deutlich, dass noch viel getan werden muss, um die Patientensicherheit zu gewährleisten.
Die Debatte um die Sicherheit von Patientendaten und die Verantwortlichkeiten im digitalen Gesundheitswesen sind aktueller denn je. Daher ist es entscheidend, dass sowohl IT-Sicherheitsexperten als auch Institutionen zusammenarbeiten, um die bestehenden Lücken zu schließen und ein vertrauenswürdiges System zu schaffen.
