KIM ist als sicherer E-Mail-Dienst in der Telematikinfrastruktur (TI) konzipiert. Die Übertragung von Nachrichten erfolgt verschlüsselt, die beteiligten Kommunikationspartner werden authentifiziert. Die Sicherheit von KIM wird kontinuierlich gemeinsam mit den zuständigen Sicherheitsbehörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie Sicherheitsexpert:innen überwacht und bei identifizierten Schwachstellen entsprechend angepasst und weiterentwickelt. Das Sicherheitsniveau ist im Vergleich zu herkömmlichen E-Mailverfahren deutlich höher: Das zeigte sich auch in dem Vortrag zu KIM von Prof. Christoph Saatjohann auf dem 39C3-Kongress, in dem er über weitgehend bereits geschlossene Schwachstellen berichtete, die im Zentrum der anschließenden Medienberichterstattung standen.

Prof. Saatjohann hatte der gematik die Schwachstellen bei der Anwendung KIM bereits vor seinem Vortrag über das Sicherheitsprogramm „Coordinated Vulnerability Disclosure Program“ (CVDP) gemeldet. Das CVDP richtet sich explizit an Sicherheitsforscher:innen und -Expert:innen, die über dieses Verfahren Lücken und Bedrohungen melden können, bevor diese öffentlich bekannt werden. Dies ist ein in der IT bewährtes Vorgehen, um Schwachstellen möglichst frühzeitig zu schließen und so potenziellen Schaden zu begrenzen. Darüber hinaus wird die Sicherheit der TI allgemein und auch im Speziellen von KIM in Zusammenarbeit mit den zuständigen Sicherheitsbehörden kontinuierlich geprüft.

Die gemeldeten Sicherheitslücken hatten weder bis zum Zeitpunkt der Meldung noch danach reale, konkrete Auswirkungen für medizinische Einrichtungen. Es wurden umgehend nach der Meldung der Schwachstellen Maßnahmen eingeleitet, um diese zu beheben.

So wurde das Feature zu den „Fehlermeldungen“ nach der Meldung über das Sicherheitsprogramm durch einen Hotfix behoben. Die KIM-Fachdienste wurden seitens der Hersteller und Anbieter aktualisiert, und die aktuellen Clientmodule sind für alle Leistungserbringenden verfügbar. Die Spezifikation für den Hotfix ist öffentlich einsehbar: https://gemspec.gematik.de/releases/KIM_1_5_2-10/

Bei dem Modell, dass ein Angreifer auf ein fremdes KIM-Clientmodul zugreifen kann, handelt es sich um ein komplexes Innentäter-Szenario, für das verschiedene Voraussetzungen erfüllt sein müssen (z. B. dezentraler Zugriff auf KIM-Clientmodul und/oder Konnektor + Karten und ggf. PIN der Ärztin/des Arztes, Kenntnis über entsprechende Konfigurationen der medizinischen Einrichtung etc.). Dieses Szenario bewertet die gematik daher als unwahrscheinlich.

Auch der Umstand, dass speziell formatierte KIM-Nachrichten zu einem Absturz der Clientmodule führen konnten, wurde mit dem zuvor erwähnten Hotfix behoben. Es handelte sich dabei um einen Mangel eines bestimmten KIM-Clientmodul-Produkts eines KIM-Providers, der durch die gematik über den Mangel informiert worden ist. Dieses Szenario ist nach dem Update durch die medizinischen Einrichtungen nicht mehr möglich.

Zudem werden mit der nächsten KIM-Version (KIM 1.5.5 Release) weitere Maßnahmen umgesetzt, um die Anwendung KIM zu stärken (z. B. Nachvollziehbarkeit der eingesetzten SMC-B-Karte bei der Signatur von KIM-Nachrichten).

Fazit: Die im Rahmen des Vortrags aufgezeigten Punkte sind Ausdruck eines üblichen Sicherheitsprozesses, bei dem externe Expert:innen zur kontinuierlichen Verbesserung beitragen. Die zentralen Empfehlungen wurden bereits umgesetzt, weitere Optimierungen befinden sich in Arbeit. Zu keinem Zeitpunkt kam es zu realen Sicherheitsvorfällen oder Schäden für medizinische Einrichtungen. KIM bleibt damit ein sicheres und verlässliches digitales Kommunikationsmittel für das Gesundheitswesen in Deutschland.