Verschlüsselung im E-Mail-System KIM zeigt Sicherheitslücken

Ende Dezember haben Forscher des Fraunhofer SIT und der FH Münster auf dem CCC aufgezeigt, dass die Verschlüsselung im E-Mail-System KIM (Kommunikation im Medizinwesen) Sicherheitslücken aufwies. In den letzten zwei Jahren wurden mehr als 200 Millionen E-Mails mit Gesundheitsdaten von Patienten aus ganz Deutschland über dieses System versendet. Das Problem besteht darin, dass mehrere Krankenkassen bei der Übertragung dieser Daten diese mit den gleichen Schlüsseln verschlüsselt hatten.

Kaum Kontrolle beim Thema Maschinenidentitäten

Die Lücke in KIM ermöglichte es mehreren Krankenversicherungen private und sensible Gesundheitsdaten auszulesen. Sie erinnert Sicherheitsfachleute im neuen Jahr einmal mehr daran, wie wenig Einblick und Kontrolle sie beim Thema Maschinenidentitäten haben. KIM verwendete mehrere Maschinenidentitäten – E-Mail-S/MIME-Zertifikate -, die dieselben Schlüssel zur Verschlüsselung nutzten. S/MIME sind Secure/Multipurpose Internet Mail Extensions-Zertifikate die verwendet werden, um E-Mails abzusichern und fremden Augen zu schützen. Dies geschieht, durch die Authentifizierung der Absender und die Verschlüsselung der ausgetauschten Nachrichten. Ist die Verschlüsselung wie in diesem Fall fehlerhaft, dann könnten unberechtigte Dritte die E-Mails nicht nur abfangen, sondern sogar mitlesen und Patientendaten beispielsweise zur Erpressung der Betroffenen nutzen.

Zertifikate geraten außer Kontrolle

Die Vorfälle von ausgefallenen Zahlungssystemen, Services von Fluggesellschaften und Online-Diensten von Unternehmen häufen sich. Der Grund liegt in den digitalen Zertifikaten und kryptographischen Schlüsseln, den sogenannten Maschinenidentitäten. Immer öfter sind es Zertifikate, die außer Kontrolle geraten und Services nicht mehr erreichbar machen.

Auf dem Weg ins Jahr 2024 und in eine Welt der künstlichen Intelligenz und des maschinellen Lernens müssen IT-Sicherheitsexperten weltweit die Kontrolle über diese Maschinenidentitäten zurückgewinnen. Sie müssen wissen, ob diese gültig sind, bestätigen, dass sie den Richtlinien entsprechen und abgesichert sind. Fehlende Automatisierung verschlimmert die Situation nur noch mehr, denn niemand kann die steigende Anzahl der eingesetzten Maschinenidentitäten manuell überblicken. Niemand kennt alle in einer Organisation verwendeten Zertifikate und Schlüssel. Das ist in etwa so, als würde man behaupten, dass ChatGPT mit Menschen interagiert, die dann manuell die Schlussfolgerungen und den nächsten Schritt im neuronalen Netz als Prompt eingeben. Und so ist es auch hier: Kein Mensch sollte versuchen, alle Maschinenidentitäten manuell zu verwalten. Dies ist umso dringlicher in 2024, wenn Google die Lebensdauer von Zertifikaten auf 90-Tage beschränkt. Darüber hinaus lässt die Post-Quantum-Kryptographie die Notwendigkeit eines noch schnelleren Austauschs von Zertifikaten immer dringlicher werden.

Kevin Bocek

ist VP Ecosystem und Community bei Venafi.

Roger Homrich

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

2 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

3 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

4 Tagen ago