zurück zum Artikel

Gesundheitskarten-Telematik nicht von Heartbleed-Bug betroffen

In diesem Jahr steht der Test des Online-Rollouts Stufe 1 bevor, bei dem Stammdaten auf der Gesundheitskarte über Server-Dienste aktualisiert werden sollen. Die Gematik hat alle Anbieter befragt, ob deren Systeme für den Heartbeat-Bug anfällig sind.

Heartbleed-Bug: Der GAU für Web-Verschlüsselung

Ein äußerst schwerwiegender Programmierfehler gefährdet Verschlüsselung, Schlüssel und Daten der mit OpenSSL gesicherten Verbindungen im Internet. Die Lücke erlaubt auch Zugriff auf vertrauliche Daten wie Klartext-Passwörter. Angesichts der Verbreitung der OpenSource-Bibliothek hat dies katastrophale Folgen.

mehr anzeigen

Die telematische Infrastruktur der Gesundheitskarte ist nicht vom Heartbleed-GAU [7] betroffen. Das teilt die Betreibergesellschaft Gematik mit. Derzeit seien überhaupt noch keine Dienste online erreichbar. Die Gematik habe zudem alle Anbieter entsprechender Systeme um Stellungnahmen gebeten, ob OpenSSL in den betroffenen Versionen (1.0.1 bis 1.0.1f) verwendet wird.

Grundsätzlich kann nach Darstellung der Gematik die OpenSSL-Bibliothek innerhalb von Diensten und Komponenten der im Aufbau befindlichen telematischen Infrastruktur verwendet werden, auch wenn dies nicht explizit in der neuesten Fassung der Spezifikationen [8] erwähnt wird. Daher habe man bei allen Anbieter angefragt.

"Falls ja, müssen die Anbieter neues Schlüsselmaterial generieren, auch wenn die Systeme nicht extern erreichbar waren. Das Schadensszenario ist dadurch eingeschränkt, dass ohnehin noch keine Dienste online erreichbar sind, die potenziell von der Schwachstelle betroffen wären", erklärte Unternehmenssprecherin Heike Fischer gegenüber heise online. Erst wenn der Testlauf des Online-Rollouts Stufe 1 (OSR1) beginnt, sind überhaupt Server-Dienste erreichbar.

Bei der Gematik gibt es nach Aussage von Fischer ein Information Security Management System für die Schwachstellenanalyse. In Fällen wie dem Heartbleed-GAU soll ein klar definierter Prozess ablaufen, bei dem potenziell betroffene Anbieter zu dem Vorfall befragt werden. Diese müssten eventuelle Schwachstellen prüfen und beheben und dies an die Gematik zurückmelden. In der Regel betreiben die Hersteller zudem ein eigenes Schwachstellenmanagement und sollen häufig bereits eigene Maßnahmen eingeleitet haben. (anw [9])


URL dieses Artikels:
http://www.heise.de/-2169419

Links in diesem Artikel:
[1] https://www.heise.de/security/artikel/So-funktioniert-der-Heartbleed-Exploit-2168010.html
[2] https://www.heise.de/meldung/SSL-Gau-So-testen-Sie-Programme-und-Online-Dienste-2165995.html
[3] https://www.heise.de/security/artikel/Passwoerter-in-Gefahr-was-nun-2167584.html
[4] https://www.heise.de/meldung/Heartbleed-Betroffene-stecken-Kopf-in-den-Sand-2188855.html
[5] https://www.heise.de/meldung/Passwort-Zugriff-Heartbleed-Luecke-mit-katastrophalen-Folgen-2166861.html
[6] http://www.heise.de/thema/Heartbleed
[7] http://www.heise.de/thema/Heartbleed
[8] https://www.gematik.de/cms/de/spezifikation/invorbereitung/releases_in_vorbereitung.jsp
[9] mailto:anw@ct.de