| Aktuelles

Sichere Telematikinfrastruktur nicht betroffen von E-Mail-Schwachstellen

Eine Forschergruppe der Fachhochschule Münster, der Ruhr-Universität Bochum und NXP Semiconducters in Belgien hat kürzlich über schwerwiegende Schwachstellen in den weitverbreiteten E-Mail-Verschlüsselungsstandards OpenPGP und S/MIME informiert (Efail-Schwachstellen).

Die Telematikinfrastruktur ist gegen Angriffe von außen und den Missbrauch von Daten bestmöglich geschützt. So hat die gematik seit 2014 in den technischen Vorgaben zur Telematikinfrastruktur (TI) die Verwendung des im E-Mail-Verschlüsselungsstandard S/MIME eingesetzten Verschlüsselungsmodus AES-CBC (CBC="Cipher Block Chaining" Mode) für Dokumenten-Verschlüsselung nicht zugelassen.

Für das einheitliche Kommunikationsverfahren zwischen Leistungserbringern in der TI besteht aufgrund der Efail-Schwachstellen kein Sicherheitsrisiko.

Der Angriffsweg über die beschriebenen „Crypto Gadgets“ wird ausgeschlossen durch die im S/MIME-Profil des TI-Services „Sichere Kommunikation zwischen Leistungserbringern“ (KOM-LE) vorgeschriebene Verwendung von AES-GCM (GCM=“Galois/Counter Mode“). Die außerdem beschriebene „Direct Exfiltration“ wird ebenfalls unterbunden, da das Client Modul zu KOM-LE nur Inhalte an das E-Mail-Programm des Leistungserbringers übermittelt, die zuvor verschlüsselt waren und somit Manipulationen effektiv ausschließt. OpenPGP wird in KOM-LE nicht eingesetzt.  

Neuste Publikation
Sicherheitsbericht 2018 PDF | 224.0 KB | 09.04.2019