Ende Dezember haben Forscher des Fraunhofer SIT und der FH Münster auf dem CCC aufgezeigt, dass die Verschlüsselung im E-Mail-System KIM (Kommunikation im Medizinwesen) Sicherheitslücken aufwies. In den letzten zwei Jahren wurden mehr als 200 Millionen E-Mails mit Gesundheitsdaten von Patienten aus ganz Deutschland über dieses System versendet. Das Problem besteht darin, dass mehrere Krankenkassen bei der Übertragung dieser Daten diese mit den gleichen Schlüsseln verschlüsselt hatten.
Die Lücke in KIM ermöglichte es mehreren Krankenversicherungen private und sensible Gesundheitsdaten auszulesen. Sie erinnert Sicherheitsfachleute im neuen Jahr einmal mehr daran, wie wenig Einblick und Kontrolle sie beim Thema Maschinenidentitäten haben. KIM verwendete mehrere Maschinenidentitäten – E-Mail-S/MIME-Zertifikate -, die dieselben Schlüssel zur Verschlüsselung nutzten. S/MIME sind Secure/Multipurpose Internet Mail Extensions-Zertifikate die verwendet werden, um E-Mails abzusichern und fremden Augen zu schützen. Dies geschieht, durch die Authentifizierung der Absender und die Verschlüsselung der ausgetauschten Nachrichten. Ist die Verschlüsselung wie in diesem Fall fehlerhaft, dann könnten unberechtigte Dritte die E-Mails nicht nur abfangen, sondern sogar mitlesen und Patientendaten beispielsweise zur Erpressung der Betroffenen nutzen.
Die Vorfälle von ausgefallenen Zahlungssystemen, Services von Fluggesellschaften und Online-Diensten von Unternehmen häufen sich. Der Grund liegt in den digitalen Zertifikaten und kryptographischen Schlüsseln, den sogenannten Maschinenidentitäten. Immer öfter sind es Zertifikate, die außer Kontrolle geraten und Services nicht mehr erreichbar machen.
Auf dem Weg ins Jahr 2024 und in eine Welt der künstlichen Intelligenz und des maschinellen Lernens müssen IT-Sicherheitsexperten weltweit die Kontrolle über diese Maschinenidentitäten zurückgewinnen. Sie müssen wissen, ob diese gültig sind, bestätigen, dass sie den Richtlinien entsprechen und abgesichert sind. Fehlende Automatisierung verschlimmert die Situation nur noch mehr, denn niemand kann die steigende Anzahl der eingesetzten Maschinenidentitäten manuell überblicken. Niemand kennt alle in einer Organisation verwendeten Zertifikate und Schlüssel. Das ist in etwa so, als würde man behaupten, dass ChatGPT mit Menschen interagiert, die dann manuell die Schlussfolgerungen und den nächsten Schritt im neuronalen Netz als Prompt eingeben. Und so ist es auch hier: Kein Mensch sollte versuchen, alle Maschinenidentitäten manuell zu verwalten. Dies ist umso dringlicher in 2024, wenn Google die Lebensdauer von Zertifikaten auf 90-Tage beschränkt. Darüber hinaus lässt die Post-Quantum-Kryptographie die Notwendigkeit eines noch schnelleren Austauschs von Zertifikaten immer dringlicher werden.
ist VP Ecosystem und Community bei Venafi.
Die Kampagne startet im November 2024. Eine angebliche Einladung zu einer WhatsApp-Gruppe verschafft den Angreifern…
Die letzten Sicherheitspatches und Fehlerkorrekturen für Exchange Server 2016 und 2019 kommen am 14. Oktober.…
Cyberkriminelle missbrauchen Microsoft Teams als Einfallstor / Fake-Anrufe von technischem Support
ESET-Forscher haben eine bislang unbekannte Advanced Persistent Threat (APT)-Gruppe entdeckt, die in Verbindung mit China…
Ältere Versionen von Windows 11 Home und Pro aktualisiert Microsoft nun automatisch auf die Version…
Zu den Top-Schädlingen hierzulande gehören auch eine Botnetz und ein Trojaner. Außerdem steigt die Zahl…