Verschlüsselung im E-Mail-System KIM zeigt Sicherheitslücken

Ende Dezember haben Forscher des Fraunhofer SIT und der FH Münster auf dem CCC aufgezeigt, dass die Verschlüsselung im E-Mail-System KIM (Kommunikation im Medizinwesen) Sicherheitslücken aufwies. In den letzten zwei Jahren wurden mehr als 200 Millionen E-Mails mit Gesundheitsdaten von Patienten aus ganz Deutschland über dieses System versendet. Das Problem besteht darin, dass mehrere Krankenkassen bei der Übertragung dieser Daten diese mit den gleichen Schlüsseln verschlüsselt hatten.

Kaum Kontrolle beim Thema Maschinenidentitäten

Die Lücke in KIM ermöglichte es mehreren Krankenversicherungen private und sensible Gesundheitsdaten auszulesen. Sie erinnert Sicherheitsfachleute im neuen Jahr einmal mehr daran, wie wenig Einblick und Kontrolle sie beim Thema Maschinenidentitäten haben. KIM verwendete mehrere Maschinenidentitäten – E-Mail-S/MIME-Zertifikate -, die dieselben Schlüssel zur Verschlüsselung nutzten. S/MIME sind Secure/Multipurpose Internet Mail Extensions-Zertifikate die verwendet werden, um E-Mails abzusichern und fremden Augen zu schützen. Dies geschieht, durch die Authentifizierung der Absender und die Verschlüsselung der ausgetauschten Nachrichten. Ist die Verschlüsselung wie in diesem Fall fehlerhaft, dann könnten unberechtigte Dritte die E-Mails nicht nur abfangen, sondern sogar mitlesen und Patientendaten beispielsweise zur Erpressung der Betroffenen nutzen.

Zertifikate geraten außer Kontrolle

Die Vorfälle von ausgefallenen Zahlungssystemen, Services von Fluggesellschaften und Online-Diensten von Unternehmen häufen sich. Der Grund liegt in den digitalen Zertifikaten und kryptographischen Schlüsseln, den sogenannten Maschinenidentitäten. Immer öfter sind es Zertifikate, die außer Kontrolle geraten und Services nicht mehr erreichbar machen.

Auf dem Weg ins Jahr 2024 und in eine Welt der künstlichen Intelligenz und des maschinellen Lernens müssen IT-Sicherheitsexperten weltweit die Kontrolle über diese Maschinenidentitäten zurückgewinnen. Sie müssen wissen, ob diese gültig sind, bestätigen, dass sie den Richtlinien entsprechen und abgesichert sind. Fehlende Automatisierung verschlimmert die Situation nur noch mehr, denn niemand kann die steigende Anzahl der eingesetzten Maschinenidentitäten manuell überblicken. Niemand kennt alle in einer Organisation verwendeten Zertifikate und Schlüssel. Das ist in etwa so, als würde man behaupten, dass ChatGPT mit Menschen interagiert, die dann manuell die Schlussfolgerungen und den nächsten Schritt im neuronalen Netz als Prompt eingeben. Und so ist es auch hier: Kein Mensch sollte versuchen, alle Maschinenidentitäten manuell zu verwalten. Dies ist umso dringlicher in 2024, wenn Google die Lebensdauer von Zertifikaten auf 90-Tage beschränkt. Darüber hinaus lässt die Post-Quantum-Kryptographie die Notwendigkeit eines noch schnelleren Austauschs von Zertifikaten immer dringlicher werden.

Kevin Bocek

ist VP Ecosystem und Community bei Venafi.

Roger Homrich

Recent Posts

Microsoft: Russische Hacker greifen WhatsApp-Konten an

Die Kampagne startet im November 2024. Eine angebliche Einladung zu einer WhatsApp-Gruppe verschafft den Angreifern…

13 Stunden ago

Im Oktober: Supportende für Exchange 2016 und Exchange 2019

Die letzten Sicherheitspatches und Fehlerkorrekturen für Exchange Server 2016 und 2019 kommen am 14. Oktober.…

17 Stunden ago

E-Mail-Bombing und Voice Phishing

Cyberkriminelle missbrauchen Microsoft Teams als Einfallstor / Fake-Anrufe von technischem Support

20 Stunden ago

Chinesische Hackergruppe PlushDaemon geht auf Beutezug

ESET-Forscher haben eine bislang unbekannte Advanced Persistent Threat (APT)-Gruppe entdeckt, die in Verbindung mit China…

20 Stunden ago

Microsoft weitet Rollout von Windows 11 2024 Update aus

Ältere Versionen von Windows 11 Home und Pro aktualisiert Microsoft nun automatisch auf die Version…

22 Stunden ago

Downloader FakeUpdates dominiert Malware-Landschaft in Deutschland

Zu den Top-Schädlingen hierzulande gehören auch eine Botnetz und ein Trojaner. Außerdem steigt die Zahl…

2 Tagen ago