gematik stärkt Ende-zu-Ende-Sicherheit Telematik-Infrastruktur auf Herz und Nieren geprüft

Autor: Julia Mutzbauer

Die Telematik-Infrastruktur (TI) ermöglicht den Akteuren und Institutionen des Gesundheitssystems Daten untereinander auszutauschen. Zur Stärkung der Ende-zu-Ende-Sicherheit und des öffentlichen Vertrauens wurde im Auftrag der gematik eine sogenannte 360-Grad-Sicherheitsanalyse durchgeführt.

Firmen zum Thema

Die gematik hat die Sicherheit der Telematik-Infrastruktur (TI) getestet
Die gematik hat die Sicherheit der Telematik-Infrastruktur (TI) getestet
(© MQ-Illustrations – stock.adobe.com)

Nach den Angaben der gematik wurde die Sicherheitsanalyse von zwei international anerkannten Unternehmen aus dem Bereich Cyber- und Applikationssicherheit – SEQRED S.A. und SEC Consult Unternehmensberatung – ausgeführt. Die Prüfer haben mit verschiedenen Methoden versucht, mögliche Schwachstellen der Telematik-Infrastruktur (TI) aufzudecken. Die Widerstandskraft gegenüber Angriffen, das erfolgreiche Erkennen dieser Angriffe und eine zeitnahe zielgerichtete Reaktion standen dabei im Fokus.

SEQRED hat die Sicherheitsbewertung (Security Assessment) für das PKI-Managementsystem durchgeführt; mit Public-Key-Infrastruktur (PKI) wird in der Kryptologie ein System bezeichnet, das digitale Zertifikate ausstellen, verteilen und prüfen kann. Im Mittelpunkt der Analyse stand die Rezension von Architektur, Konfiguration und dem sogenannten Assume Breach. Das „Assume-Breach-Paradigma“ („to assume“: vermuten; „breach“: Schwachstelle) geht davon aus, dass trotz aufwendiger Sicherheitsvorkehrungen im Bereich der IT jedes Unternehmen einmal Opfer einer Cyber-Attacke wird.

Darüber hinaus wurden die Penetrationstests des Verzeichnisdienstes – sozusagen das zentrale „Adressbuch“ in der Telematik-Infrastruktur – und der VPN-Zugangsdienste in Form von Black-Box-Tests durchgeführt: Für die Teilnahme in der Telematik-Infrastruktur benötigen die Akteure einen dafür speziell zugelassenen Zugangsdienst eines externen Anbieters und nutzen diesen über die verschlüsselte Verbindung eines virtuellen privaten Netzwerks (VPN). Der Black-Box-Test beschreibt eine Softwaretestmethode, bei der Tests anhand der bloßen Spezifikation entwickelt werden. Hierbei entwerfen die Prüfer also Tests, ohne die innere Funktionsweise des zu prüfenden Systems zu kennen.

SEC Consult hat eine teilweise Überprüfung der Quellcodes (partielles Source Code Review) des Signaturdienstes durchgeführt sowie ein Assessment – also eine Einschätzung – des zugrundeliegenden Software-Entwicklungsprozesses inklusive des Betriebs, basierend auf OWASP SAMM v21. Zusätzlich war SEC Consult auch für die sogenannten Red Team Testings der gematik zuständig. Hierbei versetzen sich IT-Sicherheitsexperten in die Rolle eines Hackers und versuchen beispielsweise an sensible Daten eines Unternehmens heranzukommen.

Die Ergebnisse

Security Assessment des PKI-Managementsystems: Die beauftragten Prüfer haben keine kritischen Sicherheitsprobleme identifiziert, bei denen das PKI-Managementsystem den direkten Angriffen ausgesetzt sein könnte. Es wurde allerdings festgestellt, dass in einigen Bereichen Abweichungen gegenüber Best Practices bestehen, die von dem Anbieter behandelt werden müssen, aber aus Sicht der Prüfer einem produktiven Einsatz nicht im Wege stehen.

Penetrationstests des Verzeichnisdienstes und der VPN-Zugangsdienste: Der Test zeigte keine sicherheitskritischen Lücken. Die spezifizierten Anforderungen der gematik werden durch die externen Anbieter überwiegend eingehalten, und es wurden keine schwerwiegenden Schwachstellen gefunden. Die Prüfer konnten auf keinem der getesteten Server eine Code-Ausführung erreichen. Es wurden lediglich geringfügige Konfigurationsprobleme festgestellt, die die TI jedoch keinen direkten Angriffen aussetzen.

Source Code Review des Signaturdienstes: SEC Consult stellt in seinem Review fest: „Das Code Review identifizierte mehrere Schwachstellen im Rahmen des beauftragten Zeitraums vom 28.9.2020 bis 14.10.2020.“ Unter anderem wurde eine kritische Schwachstelle identifiziert, die es einem Angreifer erlaubt hätte, die Authentifizierung des Signaturdienstes zu umgehen. Diese Schwachstelle wurde umgehend vom Anbieter behoben, und die gesetzten Maßnahmen wurden danach von SEC Consult erneut geprüft und als tauglich bewertet.

Das Assessment nach OWASP SAMM v2 ergab in den meisten analysierten Bereichen einen angemessenen Prozess-Reifegrad. Das „Software Assurance Maturity Model“ (OWASP SAMM) - hier in der Version 2 – ist ein Rahmenwerk des „Open Web Application Security Project (OWASP)“, mit dem Unternehmen nicht nur den Reifegrad ihrer Softwareentwicklungsprozesse hinsichtlich der Sicherheit messen, sondern sie auch schrittweise verbessern können. SEC Consult kommt dabei zu der Bewertung: „Auf der Reifegrad-Skala von 0 bis 3 erreicht der dem Signaturdienst zugrundeliegende Entwicklungsprozess einen Gesamt-Reifegrad von 2,35.“

Wesentliche Stärken wurden in den Bereichen Governance (Führung), Design und Betrieb deutlich. Durch die sehr strengen Vorgaben der gematik in Bezug auf Sicherheitsanforderungen und Sicherheitsarchitektur sowie der regelmäßigen Gutachten und Audits durch unabhängige Dritte wird ein hohes Niveau des Prozessreifegrades in Bezug auf die Spezifikation relevanter Vorgaben sowie deren Überprüfung erreicht.

Fazit

Die 360-Grad-Sicherheitsanalyse hat die Erwartung der gematik erfüllt und die Ende-zu-Ende-Sicherheit der Telematik-Infrastruktur grundsätzlich bestätigt. Für identifizierte Schwachstellen wurden in Abstimmung mit den Anbietern Maßnahmen zur umgehenden bzw. zeitnahen Bereinigung vereinbart und bereits teilweise umgesetzt.

Wie der Leiter des Bereichs Sicherheit bei der gematik Holm Diening berichtet, erlebe die Telematik-Infrastruktur derzeit bedeutende Veränderungen. So würden die ersten medizinischen Anwendungen bundesweit eingeführt. Diening kündigt an: „Die gematik wird auch 2021 wieder eine 360-Grad-Sicherheitsanalyse mit dem Untersuchungsschwerpunkt elektronische Patientenakte beauftragen und über die Ergebnisse informieren.“

Die Untersuchung der elektronischen Patientenakte umfasst auch den Schlüsselgenerierungsdienst. Dieser wurde in der Entwicklungsphase zunächst auf der Ebene der Spezifikationen wissenschaftlich untersucht. Die gematik hat hierzu bereits das Gutachten der TU Graz veröffentlicht. Die Analysen in diesem Jahr werden neben der Überprüfung der korrekten Implementierung auch die theoretische Analyse zur kryptographischen Sicherheit der zugrundeliegenden Sicherheitsprotokolle (des Schlüsselgenerierungsdienstes und der Vertrauenswürdigen Ausführungsumgebung) einschließen.

(ID:47078369)

Über den Autor

 Julia Mutzbauer

Julia Mutzbauer

Redaktion, eGovernment Computing