Verschlüsselung im E-Mail-System KIM zeigt Sicherheitslücken

Ende Dezember haben Forscher des Fraunhofer SIT und der FH Münster auf dem CCC aufgezeigt, dass die Verschlüsselung im E-Mail-System KIM (Kommunikation im Medizinwesen) Sicherheitslücken aufwies. In den letzten zwei Jahren wurden mehr als 200 Millionen E-Mails mit Gesundheitsdaten von Patienten aus ganz Deutschland über dieses System versendet. Das Problem besteht darin, dass mehrere Krankenkassen bei der Übertragung dieser Daten diese mit den gleichen Schlüsseln verschlüsselt hatten.

Kaum Kontrolle beim Thema Maschinenidentitäten

Die Lücke in KIM ermöglichte es mehreren Krankenversicherungen private und sensible Gesundheitsdaten auszulesen. Sie erinnert Sicherheitsfachleute im neuen Jahr einmal mehr daran, wie wenig Einblick und Kontrolle sie beim Thema Maschinenidentitäten haben. KIM verwendete mehrere Maschinenidentitäten – E-Mail-S/MIME-Zertifikate -, die dieselben Schlüssel zur Verschlüsselung nutzten. S/MIME sind Secure/Multipurpose Internet Mail Extensions-Zertifikate die verwendet werden, um E-Mails abzusichern und fremden Augen zu schützen. Dies geschieht, durch die Authentifizierung der Absender und die Verschlüsselung der ausgetauschten Nachrichten. Ist die Verschlüsselung wie in diesem Fall fehlerhaft, dann könnten unberechtigte Dritte die E-Mails nicht nur abfangen, sondern sogar mitlesen und Patientendaten beispielsweise zur Erpressung der Betroffenen nutzen.

Zertifikate geraten außer Kontrolle

Die Vorfälle von ausgefallenen Zahlungssystemen, Services von Fluggesellschaften und Online-Diensten von Unternehmen häufen sich. Der Grund liegt in den digitalen Zertifikaten und kryptographischen Schlüsseln, den sogenannten Maschinenidentitäten. Immer öfter sind es Zertifikate, die außer Kontrolle geraten und Services nicht mehr erreichbar machen.

Auf dem Weg ins Jahr 2024 und in eine Welt der künstlichen Intelligenz und des maschinellen Lernens müssen IT-Sicherheitsexperten weltweit die Kontrolle über diese Maschinenidentitäten zurückgewinnen. Sie müssen wissen, ob diese gültig sind, bestätigen, dass sie den Richtlinien entsprechen und abgesichert sind. Fehlende Automatisierung verschlimmert die Situation nur noch mehr, denn niemand kann die steigende Anzahl der eingesetzten Maschinenidentitäten manuell überblicken. Niemand kennt alle in einer Organisation verwendeten Zertifikate und Schlüssel. Das ist in etwa so, als würde man behaupten, dass ChatGPT mit Menschen interagiert, die dann manuell die Schlussfolgerungen und den nächsten Schritt im neuronalen Netz als Prompt eingeben. Und so ist es auch hier: Kein Mensch sollte versuchen, alle Maschinenidentitäten manuell zu verwalten. Dies ist umso dringlicher in 2024, wenn Google die Lebensdauer von Zertifikaten auf 90-Tage beschränkt. Darüber hinaus lässt die Post-Quantum-Kryptographie die Notwendigkeit eines noch schnelleren Austauschs von Zertifikaten immer dringlicher werden.

Kevin Bocek

ist VP Ecosystem und Community bei Venafi.

Roger Homrich

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

3 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

4 Tagen ago