IT-Sicherheitslücke
Auswirkungen auf Dienste der Telematikinfrastruktur
Sicherheitsexperten weltweit versuchen seit Freitag, eine der gefährlichsten Sicherheitslücken für Computer in den vergangenen Jahren zu schließen: Die Schwachstelle mit der Bezeichnung "Log4Shell" wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) inzwischen zu einer „extrem kritischen Bedrohungslage“ hochgestuft. Auch die Telematikinfrastruktur bleibt davon nicht unberührt.
Die Schwachstelle ist trivial ausnutzbar, warnt das BSI.©adobe.stock.com
Zum Hintergrund: Die Schwachstelle befindet sich offenbar in einem in Java geschriebenen Dienstprogramm für Apache-Server, das zur Protokollierung von Benutzeraktivitäten verwendet wird. Medienberichten zufolge nutzen unzählige Firmen und Regierungsstrukturen das Programm.
Das BSI hat daher seine bestehende Cyber-Sicherheitswarnung auf die Warnstufe Rot hochgestuft. „Ursächlich für diese Einschätzung ist die sehr weite Verbreitung des betroffenen Produkts und die damit verbundenen Auswirkungen auf unzählige weitere Produkte. Die Schwachstelle ist zudem trivial ausnutzbar, ein Proof-of-Concept ist öffentlich verfügbar. Eine erfolgreiche Ausnutzung der Schwachstelle ermöglicht eine vollständige Übernahme des betroffenen Systems“, warnt das Amt in einer Mitteilung. Das ganze Ausmaß der Bedrohungslage sei aktuell nicht abschließend feststellbar.
Am Sonntag informierte die Betreibergesellschaft gematik schließlich, dass die Probleme auch Folgen für die Telematikinfrastruktur hätten: „Aufgrund der aktuellen Meldung des BSI zur 'log4j' Schwachstelle mussten einige Dienste der Telematikinfrastruktur präventiv vom Internet getrennt werden“, heißt es.
Die betroffenen Dienste seien potentiell von der Schwachstelle betroffen und würden erst nach dem Schließen der Lücke wieder erreichbar sein. „Die getroffenen Vorsichtsmaßnahmen dienen zum Schutz der Daten von Patientinnen und Patienten. Wir arbeiten zusammen mit unseren Partnern mit Hochdruck daran und informieren umgehend bei einem neuem Kenntnisstand“, heißt es weiter.
Update 13. Dezember:
Am Montage informierte die gematik darüber, dass sie Aktensysteme der ePA-Apps einiger Krankenkassen in den Wartungsmodus versetzt werden mussten. Diese seien derzeit nicht nutzbar. Betroffen sind die Apps folgender Krankenkassen: AOK, hkk, DAK, KKH, LKK und alle Betriebskrankenkassen.
Probleme auch in Bezug auf das Versichertenstammdatenmanagement (VSDM): Dies funktioniert derzeit nicht für die Versicherten einiger Betriebskrankenkassen und der KKH, teilt die gematik mit. Beim Stecken der elektronischen Gesundheitskarte erscheine die Meldung "Prüfnachweis 3". Es müss nicht das Ersatzverfahren genutzt werden.
12.12.2021, 17:51, Autor: js