{"id":289680,"date":"2023-12-28T01:18:02","date_gmt":"2023-12-28T00:18:02","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=289680"},"modified":"2023-12-29T17:28:13","modified_gmt":"2023-12-29T16:28:13","slug":"gau-kim-im-gesundheitswesen-kaputt-s-mime-zertifikate-mehrfach-vergeben","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/12\/28\/gau-kim-im-gesundheitswesen-kaputt-s-mime-zertifikate-mehrfach-vergeben\/","title":{"rendered":"GAU: KIM im Gesundheitswesen kaputt – S\/MIME-Zertifikate mehrfach vergeben"},"content":{"rendered":"

\"SicherheitEs ist in meinen Augen der \"Gr\u00f6\u00dfte anzunehmende Unfall\" (GAU), der im KIM-System (Kommunikation im Medizinwesen) passiert ist. Die Verschl\u00fcsselung im Mail-System (KIM) war fehlerhaft eingerichtet, so dass ein S\/MIME-Zertifikat gleich an acht Krankenkassen verteilt wurde. Damit h\u00e4tten alle diese acht Krankenkassen mit diesem S\/MIME-Zertifikat die E-Mails anderer Krankenkassen entschl\u00fcsseln k\u00f6nnen. So hatte ich mir \"sichere Kommunikation im Medizinwesen\" irgendwie nicht vorgestellt.<\/p>\n

<\/p>\n

Was ist KIM?<\/h2>\n

\"\"Das K\u00fcrzel KIM steht f\u00fcr Kommunikation im Medizinwesen – ein System welches von der gematik eingerichtet und verwaltet wird. Die Wikipedia schreibt<\/a> dazu:<\/p>\n

Kommunikation im Medizinwesen<\/b> (KIM<\/b>) ist ein Kommunikationsstandard der deutschen staatlichen gematik<\/a> mit dem Ziel, dar\u00fcber in Deutschland die gesamte elektronische Kommunikation im Gesundheitswesen<\/a> abzuwickeln. F\u00fcr Arztpraxen<\/a> und andere Teilnehmer im Gesundheitswesen wie Apotheken ist es damit m\u00f6glich, medizinische Dokumente elektronisch und sicher \u00fcber die Telematikinfrastruktur<\/a> (TI) zu versenden und zu empfangen.<\/p><\/blockquote>\n

Klingt gut, sichere Kommunikation ist Medizinwesen ist ja essentiell. Mein Problem war, dass der Name gematik da auftaucht. Die gematik<\/a> ist ja f\u00fcr die Bereitstellung der Telematikinfrastruktur im Medizinwesen verantwortlich. Gesetzlicher Auftrag ist die Einf\u00fchrung, Pflege und Weiterentwicklung der elektronischen Gesundheitskarte<\/a> (eGK) und ihrer Infrastruktur in Deutschland voranzutreiben, zu koordinieren und die Interoperabilit\u00e4t der beteiligten Komponenten sicherzustellen. Wenn etwas in diesem Bereich richtig verkackt wird, hat die gematik mit Sicherheit ihre Finger im Spiel. Daher habe ich mal auf der Webseite der gematik<\/a> nachgeschaut, die bei KIM bei den Teilnehmern (\u00c4rzten etc.) so bewirbt:<\/p>\n

Keine Arztbriefe mehr per Post, keine Befunde mehr per Fax: Mit KIM k\u00f6nnen wichtige Dokumente und Nachrichten sicher und bequem per E-Mail versendet werden. KIM steht f\u00fcr Kommunikation im Medizinwesen und ist der einheitliche Standard f\u00fcr die elektronische \u00dcbermittlung medizinischer Dokumente.<\/p>\n

KIM spart Zeit, Geld und Papier<\/strong><\/p>\n

Mit KIM ist es einfacher und schneller, Daten von Patientinnen und Patienten weiterzugeben. Wichtige Untersuchungsergebnisse k\u00f6nnen per E-Mail vom Fach- zum Hausarzt oder direkt an die Klinik geschickt werden. So ist das ganze Behandlungsteam schnell dar\u00fcber informiert, was Patientinnen und Patienten brauchen. Der Clou: Dank strukturierter Daten, k\u00f6nnen eArztbriefe automatisch den Patienten zugeordnet werden.<\/p>\n

KIM ist sicher<\/strong><\/p>\n

Jede Nachricht u\u0308ber KIM wird automatisch verschlu\u0308sselt und signiert. So sind auch sensible Inhalte sicher. Beim Abruf werden die Nachrichten automatisch fu\u0308r die Empf\u00e4ngerinnen und Empf\u00e4nger entschlu\u0308sselt. Diese k\u00f6nnen sie dann direkt weiterverarbeiten.<\/p>\n

KIM vermittelt schnell Kontakte<\/strong><\/p>\n

Ob \u00c4rztinnen und \u00c4rzte oder Apothekerinnen und Apotheker: Das bundeseinheitliche Adressbuch von KIM enth\u00e4lt nur gepru\u0308fte Adressdaten von Einrichtungen des Gesundheitswesens. Kontaktinfos sind schnell gefunden, der Austausch mit Kolleginnen und Kollegen ist so einfach wie noch nie.<\/p>\n

KIM ist einfach<\/strong><\/p>\n

Das Versenden einer KIM-Nachricht ist so einfach wie das Versenden einer E-Mail. Auch ist daf\u00fcr keine neue Software n\u00f6tig: Es funktioniert u\u0308ber das Krankenhausinformationssystem bzw. das Praxisverwaltungssystem oder, falls entsprechend konfiguriert, u\u0308ber ein marktu\u0308bliches E-Mail-Programm.<\/p><\/blockquote>\n

Als ich das so gelesen habe, war ich \"ganz besoffen\" vor Staunen – die gematik hat also etwas implementiert, was einfach so funktioniert. Gut, im Prinzip ist KIM ein E-Mail-System mit gesicherter Kommunikation zwischen den Teilnehmern. Kein Hexenwerk, man muss nur sicherstellen, dass die Empf\u00e4nger (also die Krankenkassen, und die anderen Teilnehmer) einen kryptografischen Schl\u00fcssel (PKI<\/a>) in Form eines S\/MIME-Zertifikats erhalten. G\u00e4ngige E-Mail-Programme k\u00f6nnen dann die E-Mails beim Sender verschl\u00fcsseln und beim Empf\u00e4nger entschl\u00fcsseln.<\/p>\n

Halten wir fest: Das E-Mail-System KIM soll eine sichere Kommunikation zwischen medizinischen und psychotherapeutischen Praxen, Apotheken, Krankenkassen, Kliniken und anderen Teilnehmenden des Gesundheitswesens gew\u00e4hrleisten. \u00dcber das Mailsystem der Telematikinfrastruktur verschicken Arztpraxen beispielsweise elektronische Arbeitsunf\u00e4higkeitsbescheinigungen oder Heil- und Kostenpl\u00e4ne an Krankenkassen. Aber kann das klappen?<\/p>\n

Man hat KIM vergeigt<\/h2>\n

Fakt ist: Allein in den vergangenen zwei Jahren wurden \u00fcber KIM mehr als 200 Millionen E-Mails verschickt. Damit ist das System eine der am meisten genutzten Anwendungen in der Infrastruktur des deutschen Gesundheitswesens. Das ist schon mal kein Pappenstiel – und KIM verspricht eine sichere Ende-zu-Ende-Verschl\u00fcsselung zwischen allen Einrichtungen des Gesundheitswesens in ganz Deutschland.<\/p>\n

\"KIM-Probleme<\/a><\/p>\n

Um dies zu gew\u00e4hrleisten, werden an alle Beteiligten sichere kryptografische Schl\u00fcssel (S\/MIME-Zertifikate) ausgegeben, die daf\u00fcr sorgen, dass eine verschl\u00fcsselte E-Mail-Kommunikation m\u00f6glich ist. Dabei sollte aber kein Fehler passieren. Forscher des Fraunhofer SIT und der FH M\u00fcnster haben sich das Ganze mal genauer angeschaut und dabei gravierende Prozessfehler gefunden, die sie auf dem 37C3-Kongress des CCC am 27. Dezember 2023 vorgetragen haben. Die Forscher weisen in obigem Tweet sowie in diesem Artikel<\/a> auf die herausgefundenen Details hin.<\/p>\n