News
ATHENE researchers find insecure keys in healthcare email system
Medical practices send important documents such as electronic certificates of incapacity for work or treatment and cost plans to health insurance companies via the telematics infrastructure mail system. The e-health team at Fraunhofer SIT has now discovered that the encryption for the mail system was set up incorrectly at several health insurance companies - a total of eight health insurance companies used the same keys and were therefore theoretically able to decrypt the mails of other health insurance companies. The researchers are presenting their findings at this year's Chaos Communication Congress (37c3) organized by the Chaos Computer Club (CCC).
Further information in German:
Das E-Mail-System KIM – Kommunikation im Medizinwesen – ist eine der am meisten genutzten Anwendungen in der Infrastruktur des deutschen Gesundheitswesens. Es verspricht sichere Ende-zu-Ende-Verschlüsselung zwischen allen Einrichtungen des Gesundheitswesens in ganz Deutschland. Um dies zu gewährleisten, werden an alle Beteiligten sichere kryptografische Schlüssel (S/MIME-Zertifikate) ausgegeben, die dafür sorgen, dass eine verschlüsselte E-Mail-Kommunikation möglich ist. Die Forschenden haben jetzt festgestellt, dass gleich mehrere große Krankenkassen offenbar den gleichen Schlüssel für die Ver- und Entschlüsselung sowie das digitale Signieren ihres KIM-Mailverkehrs nutzten. Damit hätte jede der betroffenen Krankenkassen auch alle Mails mitlesen können, die für eine der anderen betroffenen Kassen bestimmt sind – ein Problem, das bei fehlgeleiteten Mails gerade durch Verschlüsselung verhindert werden soll.
Die Schwachstellen wurden im Coordinated-Vulnerability-Disclosure-Verfahren der Gematik gemeldet. Alle betroffenen Schlüssel wurden zwischenzeitlich neu generiert und ausgetauscht. Aufgrund der Meldung hat die Gematik die Spezifikation zur Konfiguration von KIM erweitert und verbessert: Jetzt muss vor der Ausstellung eines Zertifikats geprüft werden, ob der Schlüssel schon einmal verwendet wurde.
Zur Presseinformation des Fraunhofer SIT
show all news