„Versorgungs- und Patientensicherheit hängen von IT-Sicherheit ab“

„log4j“: Was die Sicherheitslücke für das E-Rezept bedeutet

, Uhr
Berlin -

Es hätte kaum unpassender kommen können: Die Gematik hat kurz vor der gesetzlich verpflichtenden E-Rezept-Einführung bereits mit massiven Widerständen zu kämpfen, da kommt auch noch ein technischer Alarm hinzu. Die „log4j“-Schwachstelle, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) am Wochenende öffentlich gemacht hat, hat auch Teile der Telematikinfrastruktur (TI) betroffen. Der E-Rezept-Fachdienst war nicht betroffen – aber der Fall zeigt, wie verwundbar das System ist.

In den IT-Abteilungen von Behörden und Unternehmen gibt es gerade viel zu tun: Am Wochenende hatte das BSI wegen der „Log4Shell“ genannten Server-Schwachstelle die höchste Warnstufe ausgerufen. Das Sicherheitsleck befindet sich in einer Java-Codebibliothek namens „Log4j“, Logging for Java. Wenn Angreifer die Lücke ausnutzen, erhalten sie die Möglichkeit, eigenen Code einzuschleusen und damit de facto Kommandogewalt in fremden Systemen zu erhalten – vom Datendiebstahl über die Manipulation bis zur kompletten Übernahme des jeweiligen Systems.

Besonders kritisch an der Sicherheitslücke ist, dass es sich um eine sogenannte „Zero-Day-Lücke“ handelt, also einen Sicherheitsfehler, der dokumentiert wird, bevor ein Patch dagegen zur Verfügung steht. Auf der Entwicklerplattform GitHub wurde zudem das Proof of Concept (PoC) veröffentlicht und das Problem damit weltweit bekannt, noch bevor es behoben werden konnte. Das BSI hat also allen Grund, von einer „extrem kritischen Bedrohungslage“ auszugehen, wie es schreibt.

Auch die TI war davon am Montag betroffen, drei der vier Komponenten des Versichertenstammdatenmanagements (VSDM) waren am Morgen und Vormittag nur eingeschränkt zu erreichen: Der Versichertenstammdatendienst, das Kartenmanagement und der Update Flag Service funktionierten nicht richtig. Lediglich der sogenannte Intermediär lief korrekt. Die Versicherten einiger Betriebskrankenkassen, der KKH sowie der AOKen Bremen, Niedersachsen und Sachsen-Anhalt konnten ihre elektronischen Gesundheitskarten (eGK) nicht richtig nutzen – beim Stecken in die Kartenlesegeräte erschien die Meldung „Prüfnachweis 3“. Ein reibungsloser Abgleich der Versichertenstammdaten konnte nicht gewährleistet werden.

Auch bei der elektronischen Patientenakte kam es zu erheblichen Einschränkungen: Die Aktensysteme der ePA-Apps einiger Krankenkassen wurden laut Gematik in den Wartungsmodus versetzt und sind zurzeit nicht nutzbar. Betroffen sind die ePA der AOK, HKK, DAK, KKH, LKK und alle Betriebskrankenkassen.

Newsletter
Das Wichtigste des Tages direkt in Ihr Postfach. Kostenlos!

Hinweis zum Newsletter & Datenschutz

Lesen Sie auch
Neuere Artikel zum Thema

APOTHEKE ADHOC Debatte

Weiteres
Auf antibakterielle Wirkstoffe besser verzichten
Hautcremes können dem Mikrobiom schaden»
Erste Leitlinie für Diagnose & Behandlung
Vitiligo: Wenn der Haut die Pigmente fehlen»