Monday, November 18, 2024
Latest:
Linux serverNETWORK ADMINISTRATIONSsmtp server liux

37C3 – KIM: Kaos In der Medizinischen Telematikinfrastruktur (TI)

https://media.ccc.de/v/37c3-12030-kim_kaos_in_der_medizinischen_telematikinfrastruktur_ti

Elektronische Arbeitsunfähigkeitsbescheinigungen (eAU), Arztbriefe, medizinische Diagnosen, all diese sensiblen Daten werden heute mittels KIM – Kommunikation im Gesundheitswesen – über die Telematikinfrastruktur (TI) verschickt.

Aber ist der Dienst wirklich sicher? Wer kann die Nachrichten lesen, wo werden die E-Mails entschlüsselt und wie sicher ist die KIM-Software? Im Live-Setup einer Zahnarztpraxis haben wir Antworten auf diese Fragen gesucht.

Die sichere E-Mail-Infrastruktur für Ärzt*innen, Apotheker*innen, Krankenversicherungen und Kliniken in Deutschland, KIM – Kommunikation im Gesundheitswesen – ist mit über 200 Millionen E-Mails in den letzten zwei Jahren eine der am meisten genutzten Anwendungen in der Telematikinfrastruktur (TI). KIM verspricht sichere Ende-zu-Ende-Verschlüsselung zwischen Heilberufler*innen in ganz Deutschland, wofür S/MIME-Zertifikate für alle medizinisch Beteiligten in Deutschland ausgegeben wurden.

Was aber passiert, wenn man die Schlüsselausgabe-Prozesse in der TI falsch designt? Was passiert, wenn man unsichere Software im Feld nicht patcht? Was passiert, wenn man zu viel Sicherheit vor den Nutzenden abstrahieren möchte?

Die Antwort: Man bekommt eine theoretisch kryptographisch sichere Lösung, die in der Praxis die gesteckten Ziele nicht erreicht.

Alle gefundenen Schwachstellen wurden den Betroffenen im Rahmen abgeschlossener Responsible Disclosure-Prozesse mitgeteilt.

Christoph Saatjohann
Sebastian Schinzel

https://events.ccc.de/congress/2023/hub/event/kim_kaos_in_der_medizinischen_telematikinfrastruktur_ti/

#37c3 #Security

source

by media.ccc.de

linux smtp server

You May Also Like

Top 100 Computer Networking Mcqs | Networking mcq questions and answers

AMAZON RDS DATABASE

Anonymous Postfix SMTP Relay / Proxy Gateway

19 thoughts on “37C3 – KIM: Kaos In der Medizinischen Telematikinfrastruktur (TI)

  • Finde es sehr gut und professionell dass nicht nur rumgehackt sondern auch, wo angebracht, gelobt wird. In vielen Talks schwingt so ein "haha, schau mal wie doof die sind" mit, was in den seltensten Fällen wirklich der Fall ist.

  • Ich verstehe nicht ganz warum das KIM Postfach nicht einfach auf dem TI Konnektor laufen kann… Dann könnte es, wie der Konnektor wahrscheinlich auch, Remote von der gematik geupdated werden und eine zentrale Implementierung verwendet werden. Weiß da jemand die Gründe dafür?

  • Bin ich der einzige den das promotion Video für Kim an de Mail erinnert?

  • 2:14 Die Passwörter bei allem medizinischen waren bei mir IMMER mein Geburtsdatum. Ich sollte jede Radiologie und jeden Arzt eigentlich bitten, das nicht mehr so zu machen, und nach Folgeuntersuchungen dann bei gleicher Passwortlogik den Landesbeauftragten für den Datenschutz einschalten.

  • Wißt ihr was,macht euer Ding,aber laßt mich mit eurer Sch**** in Ruhe.
    Ich habe es bis dato 40 Jahre analog geschafft,meine Praxis ohne diesen Wahnsinn zu führen.
    Von ganzem Herzen:Götz von Berlichingen und Jungs….ihr seid nicht cool,ihr seid peinliche Systembolde

  • Auto-Update-Funktionen sind uns die Anbieter schuldig. – Bitte in FETTSCHRIFT in die offizielle Kommunikation

  • Ich hab von 2020 bis 2022 als Partner eines Arztinformationssystems u.a. KIM eingerichtet. Da der Softwareanbieter erst einen Monat vor der gesetztlichen Pflicht die Dienste bereitsgestellt hat mussten wir das nichtmal halbfertige Produkt bei über 100 Praxen in 4 Wochen einrichten. Januar 2023 war ich dann mit einem halben Burnout 4 Wochen zuhause und seit Juli bin ich ganz zuhause. es geht nicht mehr, diese Arbeit hat mich gebrochen.

  • Bei actalis gibt es kostenlose smime-Zertifikate, 1 Jahr gültig. Aber ohne Support und man kann erst ein neues erstellen wenn das alte abgelaufen ist, keinen Tag früher. Für mich privat aber völlig ausreichend.

  • und wie ist das mit dem RFID Chip/Antenne auf der Karte ? wie sind die verschlüsselt?

  • Die Nachricht ist nicht Ende-zu-Ende Verschlüsselt. Sie geht im Klartext raus und kommt im Klartext an. Der Connector hat den Zugriff auf die Schlüssel. Wer also den Mail Client der Praxis oder an die Log-Daten aufmacht hat alles im Klartext zum mitnehmen.

  • Finde den Vortrag sehr gut, es wird nicht alles direkt schlechtgeredet sondern technisch korrekt behandelt.

  • Wie war das mit "Alles ist kaputt"? (Grüße gehen raus an Linus!) :/ Allein das Wort Gematik löst bei mir Schmerzen aus.

  • Wir müssen bei uns bald KIM implementieren und dank des talks habe ich erst verstanden wie das ganze überhaupt aufgebaut ist. In Gesprächen mit Kassen hieß es meist das es per Mail läuft wo ich schon probleme bei 1GB+ Dateien gesehen habe.
    Mit TI2.0 (geplant für 2024) entfällt die Notwendigkeit des Modules für "einfache" Teilnehmer übrigens.

  • Sicherheitsupdates kosten den Anwender Geld. Mehr muss man zu dem System nicht sagen.

Comments are closed.