Interview mit Prof. Christoph Saatjohann

Sicherheitslücken bei KIM erkennen

Heiko Fekete

05.03.2026

© FH Münster/Jana Bade

Der Nachrichtendienst KIM ist eigentlich ein sicherer Baustein für die Kommunikation im Gesundheits­wesen. „Trotzdem lauern auch dort Gefahren“, erklärt IT-Sicherheitsforscher Prof. Christoph Saatjohann. Im Interview mit ARZT & WIRTSCHAFT zeigt er, worauf Ärztinnen und Ärzte beim Umgang mit KIM besonders achten sollten, welche Maßnahmen die IT-Sicherheit in Praxen generell verbessern – und warum die Telematikinfrastruktur noch großes Verbesserungspotenzial hat.

Herr Saatjohann, Sie haben auf dem 39. Chaos Communication Congress des Chaos Computer Clubs (CCC) einige Sicherheitslücken von KIM aufgezeigt. Welche Mängel sind aufgetaucht?

Eine Schwachstelle war direkt im Softwareprodukt. Für KIM braucht die Praxis oder die Institution eine entsprechende Software, die auf deren Server laufen muss. Dort konnte ich nachweisen, dass die Software vom Anbieter „T-Systems“ Fehler hatte, die es einem Angreifer theoretisch ermöglichen würden, die entsprechende KIM-Software zum Absturz zu bringen. Bei einem Neustart entstand eine dauerhafte Absturzschleife, dementsprechend hätte ein Angreifer zu der Zeit die KIM-Postfächer lahmlegen können. Durch eine weitere Sicherheitslücke ließen sich Absenderadressen bei KIM fälschen. Ein Beispiel: Angreifer könnten sich eine E-Mail-Adresse mit „Dr. Müller“ anlegen und unter diesem Namen Mails an KIM-Adressen schicken, ohne dass es beim Empfänger auffallen würde, dass der Absender gar nicht Dr. Müller ist, sondern eine andere Person.    

Wie könnte ein solcher Angriff durchgeführt werden? Welche Voraussetzungen bräuchte es für diese Form der Cyberattacke?    

Man bräuchte auf jeden Fall einen Praxisausweis, eine SMC-B-Karte, um Zugriff auf KIM zu erlangen. Das ist eine entscheidende Hürde, weil man ohne diese Karte den Angriff in dieser Form nicht durchführen kann. Allerdings haben wir über den CCC auch gezeigt, dass solche SMC-B-Karten teilweise über „Klein­anzeigen“ frei verkäuflich waren – das wiederum ist ein Sicherheitsrisiko. Was auch zu beachten ist: Schätzungsweise haben bis zu eine Million Mitarbeiter aus dem Gesundheitswesen Zugang zu dieser Karte, wenn sie im medizinischen Alltag damit arbeiten. Unter Umständen könnten sie mit entsprechender krimineller Energie diese Karten auch nutzen, um weitere Adressen zu registrieren. Es gab außerdem bereits den Fall, dass eine Versandapotheke über KIM Werbemails verschickt hat. Solche Werbe- oder Spammails sehe ich durchaus auch als Gefahr.    

Was macht sie so gefährlich?

KIM hat sozusagen einen Vertrauensvorschuss. Spam- oder Phishing-Mails über ein herkömmliches E-Mail-Programm sind uns ja in der Regel bekannt. Wenn uns etwas verdächtig vorkommt, wird beispielsweise darauf geachtet, was im Absenderfeld steht. Bei KIM-Mails ist das anders: Da gehen Anwender davon aus, dass sie durch die Telematik­infrastruktur (TI) sicher verschlüsselt und signiert sind, was meistens auch der Fall ist. Aber trotzdem gibt es, wie eingangs erwähnt, noch das Problem mit den Absenderadressen. Denn auch als registrierter KIM-Nutzer kann ich mir beliebige KIM-Adressen anlegen, deren Namen nicht mit meiner Institution übereinstimmen müssen.

Deshalb rate ich Arztpraxen auch dazu, dass sie diesen Vertrauensvorschuss ein Stück weit hinterfragen sollten und bei KIM-Nachrichten eine ähnliche Vorsicht walten lassen wie bei normalen E-Mails. Das gilt insbesondere für Phishing-Mails, die uns unter Druck setzen und uns dazu bewegen wollen, auf einen Link zu klicken. Kein seriöser Absender würde über KIM so vorgehen; bei KIM landen Befunde oder Arztbriefe eher als Anhang. Ein gesundes Misstrauen schützt auch vor Attacken durch sogenannte Ransomware: In so einem möglichen Schadensszenario könnten Hacker durch das Öffnen eines Links eine Schadsoftware installieren, die im schlimmsten Fall sensible Daten verschlüsselt und die Praxis damit erpresst.

Welche weiteren Maßnahmen gibt es, um den Umgang mit KIM und die IT-Sicherheit in Praxen grundsätzlich zu verbessern?

Auf jeden Fall sollten Praxen ihre IT von einem Experten prüfen lassen. Da geht es vor allem um die Fragen: Wie sicher ist die aktuelle Firewall? Wie gut ist der derzeitige Antivirenschutz aufgestellt? Wie sieht es, insbesondere in größeren Praxen und MVZ, mit der Netzwerk­segmentierung aus? All diese Fragen, die in anderen Branchen im unternehmerischen Umfeld gang und gäbe sind, sollten wir auch in der Medizin berücksichtigen. Bei den Sicherheitslücken von KIM kommt es da­rauf an. Im Fall der lahmgelegten Postfächer müssen die Softwarehersteller aktiv werden, indem sie etwa eine aktualisierte Softwareversion anbieten. Die muss dann allerdings auch von den Praxen konsequent installiert werden. Da gibt es leider heutzutage noch kein automatisches Update. Heißt konkret: Die Praxis selbst oder der IT-Dienstleister muss sich auf den Server schalten, die Software installieren und das Update durchführen – dann ist diese Sicherheitslücke geschlossen. Andere Schwachstellen lassen sich zentral beheben, indem die Dienstleister und Postfachbetreiber eine korrigierte Spezifikation ihrer Software umsetzen und den Praxen zur Verfügung stellen.

In Ihrem Vortrag auf dem ​Chaos Communication Congress haben Sie auch gezeigt, wie Sie die IT-Sicherheit in einer Arztpraxis betreuen. Dort prüfen Sie die Systeme buchstäblich auf Herz und Nieren und führen beispielsweise immer wieder Tests durch. Wäre das für andere Praxen auch ein gängiger Weg?    

Das halte ich für keine gute Idee. Was ich mit besagter Praxis mache, hat viel mit meiner akademischen Neugier zu tun. Ich probiere mich dabei gerne aus und spiele ein wenig mit den Systemen. Das birgt auch das Risiko, dass etwas schiefgeht und die Dienste vorüber-gehend nicht so funktionieren, wie sie sollten. Meine Vorgehensweise sollte daher nicht als Vorbild dienen. Aber den Blick von außen durch externe IT-Dienstleister halte ich für sehr wichtig, damit sich Praxisinhaber auf ihre ärztliche Tätigkeit fokussieren können.    

Die IT-Sicherheitsarchitektur gilt als eher sperrig, das hatte bereits Ihre Kollegin Bianca Kastl aus dem Umfeld des CCC kritisiert. Woran könnte das liegen?    

Die gematik arbeitet hier mit vielen verschiedenen und teilweise sehr kleinteiligen Diensten. Sie müssen alle gleichzeitig Hand in Hand funktionieren, damit ich als Benutzer wirklich von Anfang bis Ende meinen Prozess durchziehen kann. Und die Dienste werden auch nicht von einer Firma bereitgestellt. Das heißt, ich als User muss mich auf mehrere Firmen verlassen, deren Produkte alle gleichzeitig fehlerfrei laufen müssten. Allein bei den KIM-Client-Modulen haben wir derzeit sechs verschiedene Anbieter auf dem Markt, für eine begrenzte Nutzerbasis. Das macht dann auch die Entwicklung und Wartung der Dienste schwierig, weil der Support nicht so ausgebaut ist wie zum Beispiel bei flächendeckenden Anwendungen wie Mozilla Thunderbird. Eine Lösung wäre hier, einige Dienste zusammenzuführen und nur noch von einem Hersteller laufen zu lassen. Denkbar ist es in meinen Augen auch, dass wir der gematik über kurz oder lang die Kompetenz zuschreiben, einige Dienste in einfacher Ausführung selbst zu betreiben.

Wenn wir jetzt einen Ausblick werfen auf die weitere Entwicklung der TI: Was müsste Ihrer Meinung nach noch getan werden, damit sich deren Sicherheit verbessert?

Es gibt noch einige Grundprozesse, die nicht zufriedenstellend gelöst sind. Dazu zähle ich insbesondere die fehlende Identifizierung und Authentifizierung in der TI, die sich vor allem auf die elektronische Patientenakte (ePA) auswirkt. Dieses Sicherheitsproblem haben wir mit dem CCC bereits im April vergangenen Jahres gezeigt, als die ePA ausgerollt wurde. Das soll dieses Jahr mit dem sogenannten PoPP-Dienst (Proof of Patient Presence– singulärer Plattformdienst der TI 2.0, der einen Zugangstoken zu TI-Anwendungen nach einer beidseitigen Authentifizierung von Gesundheitseinrichtungen und Versicherten erzeugt, Anm. d. Red.) besser gelöst werden.

Wir werden dies auch genau beobachten, zumindest ist diese Lösung verheißungsvoller als das bisherige Vorgehen. Denn es ist enorm wichtig, dass wir für alle Benutzer in der TI eine sichere Authentifizierung brauchen. Ich würde mir außerdem wünschen, dass die gematik IT-Sicherheitsforschende wie zum Beispiel vom CCC transparenter in bestimmte Entscheidungs- und Entwicklungsprozesse einbindet. Bislang fehlen diese sogenannten „Architecture Decision Records“. Sie geben Aufschluss darüber, wie die Verantwortlichen Entscheidungen gefällt haben und warum, und welche Alternativen es gegeben hätte. Hier braucht es meiner Meinung nach mehr Transparenz.    

Sie sind mit dem Bundesgesundheitsministerium und der gematik immer wieder im Austausch. Denken Sie, dass beide Stellen bei den TI-Sicherheitsproblemen mittlerweile besser sensibilisiert sind?

Ja, das würde ich schon sagen. Ich bin bereits im September auf die gematik zugegangen und habe die Schwachstellen präsentiert, bevor ich damit an die Öffentlichkeit gegangen bin. Im Zuge dessen habe ich der Digitalagentur 90 Tage Zeit gegeben, die Schwachstellen zu beheben. Diesen Ablauf habe ich als sehr positiv wahrgenommen. Ich fühlte mich wertgeschätzt in meiner Arbeit und wurde auch durchweg über die Schritte zur Problemlösung informiert. Und das wünsche ich mir für die Zukunft auch, dass solche Prozesse weiterhin genauso implementiert werden.    

Lesen Sie mehr zu diesem Thema:

SMC-B-Karten: Weitergabe ab sofort strafbar!

Wer als Praxisinhaber oder als Praxisinhaberin zu sorglos mit SMC-B-Karten umgeht, dem droht jetzt richtig Ärger. Fast unbemerkt von der Öffentlichkeit ist eine neue Regelung in Kraft getreten, die die unbefugte Weitergabe der Karten oder ihre Nicht-Sperrung mit bis zu zwei Jahren Freiheitsstrafe bestraft.

Jetzt lesen