BSI warnt vor „extrem kritischer Bedrohunglsage“

Kritische Schwachstelle: Gematik nimmt Teile der TI vom Netz

, Uhr
Eine Sicherheitslücke in einer oft genutzten Bibliothek für die Java-Software hat die Gematik gezwungen, Teile der TI vom Netz zu nehmen.Foto: shutterstock.com/ Yuri Gurevich
Berlin -

Ein massives IT-Sicherheitsproblem ist ein weiterer Tiefschlag für die laufenden Projekte der Gematik: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer kritischen Schwachstelle (Log4Shell) in der weit verbreiteten Java-Bibliothek Log4j, die „zu einer extrem kritischen Bedrohungslage“ führe. Von der Gematik mussten „einige Dienste der Telematikinfrastruktur (TI) präventiv vom Internet getrennt werden“.

Das BSI hat seine bestehende Cyber-Sicherheitswarnung auf die Warnstufe Rot hochgestuft – die höchste von vier Warnstufen. „Ursächlich für diese Einschätzung ist die sehr weite Verbreitung des betroffenen Produkts und die damit verbundenen Auswirkungen auf unzählige weitere Produkte.¡ Die Schwachstelle sei zudem „trivial ausnutzbar“ und ermögliche „eine vollständige Übernahme des betroffenen Systems“. Dem BSI sind nach eigenen Angaben welt- und deutschlandweite „Massen-Scans sowie versuchte Kompromittierungen bekannt“. Auch erste erfolgreiche Kompromittierungen wurden öffentlich gemeldet.

Die Gematik hat besteimmte Dienste präventiv vom Netz genommen: „Die betroffenen Dienste sind potenziell von der Schwachstelle betroffen und werden erst nach dem Schließen der Lücke wieder erreichbar sein. Die getroffenen Vorsichtsmaßnahmen dienen zum Schutz der Daten von Patientinnen und Patienten“, teilt die Gematik mit.

Die Softwarehäuer der Apotheken prüfen aktuell intern, inwiefern eigene Server betroffen sind. Da in den Warenwirtschaftssystemen selbst kein Java verwendet wird, geht der Chef seines Anbieters aus, dass Apotheken mit hoher Wahrscheinlichkeit nicht direkt betroffen sind.

Auch die Großhändler rechnen nicht damit, dass ihnen Ungemach droht. Als Teil der kritischen Infrastruktur hat der Großhandelsverband Phagro mit dem BSI ein Sicherheitskonzept abgestimmt, das den höchsten Standards der Behörde genügt und daher abgesichert sein sollte.

Das ganze Ausmaß der Bedrohungslage ist nach Einschätzung des BSI aktuell nicht abschließend feststellbar. Zwar gebe es für die betroffene Java-Bibliothek Log4j ein Sicherheits-Update, allerdings müssten alle Produkte, die Log4j verwenden, ebenfalls angepasst werden.

Hintergrund: Eine Java-Bibliothek ist ein Software-Modul, das zur Umsetzung einer bestimmten Funktionalität in weiteren Produkten verwendet wird. Es ist daher oftmals tief in der Architektur von Software-Produkten verankert.

Welche Produkte verwundbar sind und für welche es bereits Updates gibt, ist laut BSI derzeit nicht vollständig überschaubar und daher im Einzelfall zu prüfen. „Es ist zu erwarten, dass in den nächsten Tagen weitere Produkte als verwundbar erkannt werden“, so die düstere Vorhersage.

Das BSI gibt Unternehmen und Organisationen Tipps:

  • die in der Cyber-Sicherheitswarnung skizzierten Abwehrmaßnahmen umsetzen
  • Detektions- und Reaktionsfähigkeiten kurzfristig erhöhen, um die eigenen Systeme angemessen überwachen zu können
  • Updates für einzelne Produkte eingespielen, sobald verfügbar
  • Systeme auf eine Kompromittierung untersuchen
Warenwirtschaft/EDV
Newsletter
Das Wichtigste des Tages direkt in Ihr Postfach. Kostenlos!

Hinweis zum Newsletter & Datenschutz

Lesen Sie auch
Gematik: „Das E-Rezept ist beherrschbar“
Zahlen aus der Pilotregion Berlin/ Brandenburg
Gematik: „Das E-Rezept ist beherrschbar“
E-Rezept: BMG hält am 1. Januar fest
Einführung trotz winziger Testzahlen
E-Rezept: BMG hält am 1. Januar fest
E-Rezept: Gematik klagt über geringe Beteiligung
Zu wenig Softwareanbieter und Kassen
E-Rezept: Gematik klagt über geringe Beteiligung
Ärzte und Apotheker: Pilotprojekt gescheitert, E-Rezept abblasen!
Aufstand gegen Spahn und Gematik
Ärzte und Apotheker: Pilotprojekt gescheitert, E-Rezept abblasen!
E-Rezept: Vorerst keine Daten für Vor-Ort-Plattformen
EU muss Schnittstellen-Verordnung absegnen
E-Rezept: Vorerst keine Daten für Vor-Ort-Plattformen
So leicht war das DAV-Portal zu knacken
IT-Experte: Alle Zertifikate müssten ungültig sein
So leicht war das DAV-Portal zu knacken
Corona-Pandemie begünstigt Cyberangriffe
IT-Sicherheit
Corona-Pandemie begünstigt Cyberangriffe
Anlaufstelle für Cybersicherheit
Projekt des BMWi
Anlaufstelle für Cybersicherheit
Neuere Artikel zum Thema
Log4j: Gematik will Konnektoren sperren
Kein Zugang ohne Update
Log4j: Gematik will Konnektoren sperren
Experten testen: So unzuverlässig ist die TI
Fehlerquoten bis zu 80 Prozent
Experten testen: So unzuverlässig ist die TI
„log4j“: Ärzte müssen nachbessern
Sonderupdates für KBV-Prüfmodule
„log4j“: Ärzte müssen nachbessern
Sicherheitslücke: Gematik reagiert / Hilfsmittelpauschale sinkt / Impf-Zertifikate: Der Vorname entscheidet
adhoc24 vom 13.12.21
Sicherheitslücke: Gematik reagiert / Hilfsmittelpauschale sinkt / Impf-Zertifikate: Der Vorname entscheidet
E-Rezept: Lauterbach bittet Leyck Dieken zum Rapport
Gematik im BMG
E-Rezept: Lauterbach bittet Leyck Dieken zum Rapport
„log4j“: Was die Sicherheitslücke für das E-Rezept bedeutet
„Versorgungs- und Patientensicherheit hängen von IT-Sicherheit ab“
„log4j“: Was die Sicherheitslücke für das E-Rezept bedeutet
Mehr zum Thema
Webinar und Werbematerial für Apotheken
CardLink: Gesund.de wirbt mit „Halts dran, habs drauf“
GesundheitsID aus der Apotheke
Apo-Ident: DAV plant erste Tests
Nach eGK und CardLink
Nächster Weg: E-Rezept bald über Kassen-Apps
Mehr aus Ressort
eVerordnung startet 2027
Hilfsmittel: Lernen vom E-Rezept-Chaos
Netzwerkprobleme vorerst behoben
E-Rezept: Störung bei Medisign
Einschränkungen zwischen 7.45 Uhr und 8.15 Uhr
E-Rezept-Störung: Update zu Problemen bei Medisign

APOTHEKE ADHOC Debatte

Newsletter

Hinweis zum Newsletter & Datenschutz