TI-Sicherheit(slücke?): KIM

[bofh]

Ich bin gerade dabei, KIM und Co. einzurichten. Bisher waren Viren und Trojaner kein großes Thema, da Emails außerhalb des sensiblen Praxisnetzes blieben und die Befunde entweder per Brief oder Fax ankommen. Serielle Konnektorinstallation ohne SIS.

Wer garantiert nun, dass keine Schadsoftware über KIM automatisch ins System kommt?

Hat die TI entsprechende Filter vorgesehen? Könnte sie überhaupt filtern? Wenn eine echte Ende-zu-Ende-Verschlüsselung vorliegt, dann kann sie doch gar nicht filtern!

Wie müsste man den Windows-Defender konfigurieren, dass er rechtzeitig zugreift? Das Speichern der (potentiell infizierten) Dateianhänge wird vermutlich aus der TurboMed-Task heraus erfolgen. Und TurboMed hat schon Ausnahmerechte.

[Johnny]

both schrieb:
...Und TurboMed hat schon Ausnahmerechte.

Bei mir nicht!
Leider mußte ich TurboMed Ausnahmerechte bei der Installation zugebilligen: Software-Firewall aus, Virenscanner aus (Symantec Internet security), da sonst CGM Java bei mir blockiert wurde und meine HZV /oKFE nicht liefen (Gerade wieder an neuem PC ausprobiert).
Nach der Installation alles wieder eingeschaltet.
Tatsächlich blockiert(?) Symantec Internet security auch später nochmals dieses CGM-Java, ab und zu, immer seltener.
Nach einem Neustart des PC, läuft dann dieses blockiert Java bzw die oKFE-Module wieder.

Grüsse aus Kiel
Johnny

[lcer]

Leider mußte ich TurboMed Ausnahmerechte bei der Installation zugebilligen: Software-Firewall aus, Virenscanner aus (Symantec Internet security)

Bei mir lief das letzte Update mit Firewall ON und ESET Endpoint Security ON problemlos durch.

Grüße

lcer

[bofh]

Die Verschlüsselung ist Ende-zu-Ende (was ja erst mal gut ist). Erst der Konnektor entschlüsselt.

Allerdings ist das eArztbrief-Format eine XML-Datei zusammen mit einer PDF/A-Datei (https://www.kbv.de/media/sp/RL-eArztbrief.pdf). Nach Wikipedia dürfen PDF/A-Dateien beliebige eingebettete Daten enthalten.

Die Spezifikation von PDF/A-3 wurde am 17. Oktober 2012 veröffentlicht.[6] Eine wesentliche Erweiterung gegenüber PDF/A-2 stellen die Container dar: Beliebige Dateitypen können in PDF/A-3 eingebettet werden.[7] Einem PDF/A-3-Dokument können auf diesem Wege zum Beispiel die Ursprungsdaten beigefügt werden, mit denen es erstellt wurde. Der Standard regelt die Archivtauglichkeit von eingebetteten Dateien, die nicht selbst PDF/A-konform sind, nicht.

Daher sollten die PDFs automatisch auf enthaltene Schadsoftware geprüft werden. Der Konnektor tut es nicht (zumindest steht nichts davon in der Gematik-Spec.).

[nmndoc]

Ich bin gerade dabei, KIM und Co. einzurichten. Bisher waren Viren und Trojaner kein großes Thema, da Emails außerhalb des sensiblen Praxisnetzes blieben und die Befunde entweder per Brief oder Fax ankommen. Serielle Konnektorinstallation ohne SIS.

Wer garantiert nun, dass keine Schadsoftware über KIM automatisch ins System kommt?

Hat die TI entsprechende Filter vorgesehen? Könnte sie überhaupt filtern? Wenn eine echte Ende-zu-Ende-Verschlüsselung vorliegt, dann kann sie doch gar nicht filtern!

Wie müsste man den Windows-Defender konfigurieren, dass er rechtzeitig zugreift? Das Speichern der (potentiell infizierten) Dateianhänge wird vermutlich aus der TurboMed-Task heraus erfolgen. Und TurboMed hat schon Ausnahmerechte.

ist es Ende-zu-Ende verschlüsselt? Steht das so irgendwo? Oder ist es wie beim e-Anwaltpostfach nur Pseudo-End-to-End?
Danke auf jeden Fall. für diesen Gedanken ... so Mails die über KIM eintrudeln haben doch sicher von vornherein den Vertrauenswürdigkeits-Bonus schlechthin bei Arzt und MFAs.
Jedenfalls ja: Verschlüsselung ist betr. Virenscanner etc potentiell ein Problem. Daher muss es dann wohl jeder Client machen, zB beim Öffnen eines Dokuments.

[bofh]

Ich hätte dies schon als echte Ende-zu-Ende Verschlüsselung interpretiert:
https://fachportal.gematik.de/fachporta ... 1_Aend.pdf

KOM-LE-A_2022 - Verschlüsseln der Nachricht mit den Verschlüsselungszertifikaten C.HCI.ENC bzw. C.HP.ENC
Das Clientmodul MUSS vom Clientsystem erhaltene E-Mail-Nachrichten sowohl für jeden in den RCPT-Kommandos angegeben Empfänger als auch für den Sender aus dem from bzw. sender Header-Element der Nachricht mit allen dem Sender bzw. Empfängern zugeordneten Verschlüsselungszertifikaten (C.HCI.ENC für eine Institution oder C.HP.ENC für einen Leistungserbringer) verschlüsseln.

[lcer]

Hallo,

zur Entschlüsselung der verschlüsselten Nachrichten ist der private Schlüssel des Empfängers erforderlich (Spezifikation KOM-LE-Clientmodul 3.4.4.2.1 Entschlüsselung). Dieser liegt auf dem Konnektor. Dessen Firmware ist für den Arzt nicht überprüfbar. Daher ist es eine sichere End-zu-End-Verschlüsselung, wenn die Firmware tatsächlich das umsetzt, was in der Gematik-Spezifikation steht. Da der Konnektor eine Gematik-Zulassung hat in die das BSI eingebunden ist, kann man dem Konnektor genau so vertrauen, wie wir der Gematik und dem BSI vertrauen. Oder verkürzt gesagt (da die Gematik mehrheitlich dem BMG untersteht) - so wie wir unserer Bundesregierung vertrauen.

Grüße

lcer

[DocET]

Vertrauen kann man leider nur der sicheren und verschlüsselten Übertragung zwischen den TI Partnern.

Der Sicherheit vor Viren hängt allerdings ausschließlich von der Virenfreiheit des Versenders ab. Dessen Inhalt wird dank der Ende-zu-Ende-Verschlüsslung auf dem Transportweg durch die TI nicht auf Bedrohungen überprüft und kommt genau so in der eigenen Praxis an. Siehe Seite 9 unten https://www.kzv-sh.de/wp-content/upload ... in_WEB.pdf

KIM ist damit das weit offene Einfallstor für Viren, die der eigene Virenscanner schnell genug findet oder nicht. Die Datensicherheit der eigenen Praxis wird somit durch den Anschluss an die TI und die Nutzung von KIM endgültig ad absurdum geführt.

[Randolf]

KIM ist damit das weit offene Einfallstor für Viren, die der eigene Virenscanner schnell genug findet oder nicht. Die Datensicherheit der eigenen Praxis wird somit durch den Anschluss an die TI und die Nutzung von KIM endgültig ad absurdum geführt.

Hallo, bei dieser realistischen Betrachtungsweise, unter dem Aspekt derNutzen-Risikobewertung gesehen, werde ich vorerst Vorsicht durch Vermeidung praktizieren . Grueße Randolf

[DocET]

KIM könnte die Kommunikation zwischen „Heilberuflern“ vereinfachen und sicherer machen:
• keine Arztbriefe mehr ausdrucken, womöglich faxen oder Fehldrucke vergessen zu schreddern etc.
• kein Verlust auf dem Transportweg mehr
• quasi verzögerungsfreie Zustellung

Allerdings MUSS der Empfänger auch sicher vor dem ungewollten Empfang einer Software-Bedrohung z.B. in Form eines virenverseuchten Email-Anhangs sein – und das ist er derzeit NICHT.
Die Ende-zu-Ende-Verschlüsselung der signierten KIM-Nachrichten garantieren deren Fälschungssicherheit. Allerdings nennt das Whitepaper der Gematik
https://www.gematik.de/fileadmin/user_u ... 202009.pdf
auf Seite 14 rechts die ärztliche Schweigepflicht (nach §203 Strafgesetzbuch) als Ursache, warum diese Nachrichten auf dem Transportweg durch den Fachdienst-Mail-Server nicht auf Software-Bedrohungen untersucht werden, obwohl es dort technisch möglich ist!!!

Hier kollidiert der rechtliche Aspekt der Schweigepflicht mit dem ebenso hohen Schutzbedarf der medizinischen Daten in der Praxis, der nur nachrangig zur ärztlichen Schweigepflicht betrachtet wird.
Wenn Sie wie bislang Ihren Arztbrief mit der Post versenden, handelt es sich um ein im Brief verschlossenes medizinisches Dokument unter vielen anderen Briefen. Sollte die Post sporadisch Briefe nach Sprengstoff o.ä. durchleuchten, wäre davon auch die medizinische Korrespondenz betroffen – ohne jeden Schaden für Arzt oder Patienten, weil anonym.

Genauso könnte unter dem wachenden Auge des BSI und allen dort erdenklichen Sicherheitsvorkehrungen völlig anonym die KIM-Korrespondenz nach Software-Bedrohungen durchsucht werden. Im Falle eines Fundes würde die Nachricht ohne Kenntnisnahme des medizinischen Inhaltes von dem Mailserver verworfen, der sinnhafterweise ausschließlich den Absender über den Bedrohungsfund und die Unzustellbarkeit informiert. Alle anderen KIM-Nachrichten liefen einfach wie der geschlossene Brief der Post vom Sender zum Empfänger.

In Anbetracht der von der Gematik im o.g. genannten Whitepaper bestätigten technischen Möglichkeit sollte die Ärzteschaft einfordern, dass sämtliche über die TI zu empfangenden Daten durch die Gematik attestiert frei von Software-Bedrohungen sind. Interessanterweise bekommen Sie „die besonderen Sicherheitsfunktionen“ bei der (freiwilligen) Internetnutzung mittels SIS (Secure Internet Service) auf Seite 3 oben des folgenden Merkblattes angeboten:
https://fachportal.gematik.de/fileadmin ... V1.0.0.pdf

Bei der OBLIGATORISCHEN Nutzung der TI, speziell im Falle KIM, wird genau aber die Garantie des Empfangs Software-bedrohungsfreier Daten ausgeschlossen. Dabei befinden sich die KIM Nachrichten nach der Entschlüsselung durch Ihren Konnektor direkt im Praxisnetz und können damit Ihre Patientendaten massiv gefährden.

Damit dieser Konstruktionsfehler von KIM durch die technisch machbare Ergänzung des „Briefbombenscans“ auf dem Fachdienst-Mailserver abgestellt wird, braucht es ein starkes Votum der Ärzteschaft hin zu ihren Vertretern und zur Gematik.

Falls Sie diesen Ansatz teilen und diese Kommunikation mit vorantreiben wollen, gibt es möglicherweise zeitnah die Chance auf einen echten KIM Mehrwert-Dienst!

[Johnny]

@DocET,

Danke für den erhellenden Beitrag.
Die Frage stellt sich also: haben die KVen bzw KBV ihre Hausaufgaben nicht gemacht oder wurde hier, wie so oft ein Extrageschäftle stillschweigen mit Unterlasssung vereinbart (und wurde jemand dabei übervorteilt? Zu unserem Nachteil?).

Andererseits befürchte ich, daß die Macht und Einspruchsmöglichkeiten unserer KVen/KBV erbärmlich sind!

Grüsse aus Kiel
Johnny

[Forti]

Nun ja, E2E ist denkbar, wenn beide Seiten vor dem Versand z.B. mit PGP-artigen Lösungen arbeiten. Das ist mit Thunderbird (serienmäßig) und Outlook (gpg4win) möglich.
Dennoch weder vorgesehen noch außerhalb konspirativer Kreise umsetzbar.

Aber... So ist ja per KIM-ASSIST durchaus ein Zugriff via POP3/SMTP lokal möglich.
An dieser Stelle können Malware-Scanner zugreifen, z.B. per Protokoll (ESET und andere) oder per entsprechendem Plugin in Outlook oder auch beim Festplattenzugriff etc.

Inwiefern TM "intern" mit KIM interagiert, habe ich noch nicht weiter untersucht, da die Variante mit gewohntem Mailer bei "meinen" Praxen bevorzugt wird -> Also POP3+SMTP.

(Okay, hier steht bei >60% "meiner" Praxen bereits TurboMed insgesamt ernsthaft zur Disposition - da ist das quasi schon Teil der Exit-Strategie).

[W. Steuber]

Gegen bisher unbekannte "Bedrohungen" sind sie schlicht machtlos. Auch bei KIM, auch in der TI.
Gegenmaßnahme? Appstöpseln ....

[bofh]

Würde KIM nur einige wohldefinierte, sichere Datenformate unterstützen, dann hätten wir das Problem nicht. Die erlaubten Formate müssten beim Empfang (nach der Entschlüsselung, aber vor der POP3-Auslieferung) von der TI auf Konsistenz und Integrität geprüft werden. Bei unserem beliebten Fax mit den übertragenen Fax-Bildformaten ist es ja auch ohne Virenscan sicher.

[Forti]

Fax sicher? Nicht wirklich
-> https://www.pcwelt.de/a/faxprotokoll-sc ... fe,3451967

Verschlüsselung vs. Virenschutz: Was wollen "wir" denn?
Vertraulichkeit gemäß § 203 StGB?
Dann bitte auch beim Fax stets sicherstellen, dass die empfangsberechtigte Person direkt am Faxempfänger steht und nur diese allein das Fax entgegennimmt. Dafür ist die übermittelnde Seite verantwortlich. Man darf sich nicht darauf verlassen, dass die Gegenseite alles korrekt eingerichtet hat. Dann können Sie auch Briefe ohne Hinweis "persönlich/vertraulich" versenden *hust*.

-> Was die MFA nicht wissen muss, darf sie nicht wissen, also muss Kollegin/Kollege den Bericht persönlich bei Empfang und Ausdruck beobachten.
Digitale Faxverarbeitung ist ein grundsätzliches Problem, da Medienbruch und offene Lagerung als PDF oder E-Mail (vielleicht gar auf externem Server bei Fritzboxen?!)...

Okay, das war extreme Auslegung, aber durchaus nicht abwegig.

Unser Impfzentrum schickt die Ergebnisse im Klartext per E-Mail an die Getesteten. Dafür kann es keine wirksaqme Einwilligung geben. Negativ = Bescheidartiges Schreiben, Positiv = Anrufaufforderung.
Aus Datenschutzsicht nicht zulässig, aber offenbar derzeit toleriert. Meinetwegen, nicht mein Problem.

Was haben wir denn jetzt?
Quasi durchgängige Verschlüsselung Ende zu Ende wie bei De-Mail und Co.
Chance auf eigenverantwortlichen Virenscan = bei KIM durchaus gegeben. Wie bei E-Mails, wenn man lokal POP3/SMTP nutzt.

Würde KIM einen Malware-Scan durchführen, würde KIM Verantwortung übernehmen (so wie die DVO bei der TI-Installation in der parallelen Variante? Tun sie nicht, hrhr). Passiert nicht. Never.
Außerdem... würde KIM-seitig getestet, könnten die Teilnehmenden ja ind ie Versuchung kommen, eigene Schutzmaßnahmen nicht in Betracht zu ziehen. Auch nicht gut.
Jetzt könnte man überlegen, ob lokales POP/SMTP mit Outlook wegen der Gefahr expliziter Outlook-Trojaner nicht auch eine dumme Idee ist. Aber ist TM-interne Verarbeitung vertrauenswürdig?
Ergo: Warum sollte KIM Verantwortung übernehmen wollen für mögliche Malware, die BEI ABSENDERN tobt?! Das sollen die Sender/Empfänger gefälligst unter sich ausmachen, hrhr.
Nur in einer perfekten Welt ist KIM "sicher". Schade eigentlich...

[bofh]

Fax sicher? Nicht wirklich

Ausnahmen bestätigen die Regel. Das Fax ist (von sehr wenigen Ausnahmen abgesehen, wo der Hersteller geschlampt hatte) virensicher.

Chance auf eigenverantwortlichen Virenscan = bei KIM durchaus gegeben. Wie bei E-Mails, wenn man lokal POP3/SMTP nutzt.

Bei eMail kann ich mir aussuchen, ob ich sie nutzen will, oder eben nicht. Und wo und wie ich sie nutze.

An KIM muss ich demnächst verpflichtend teilnehmen. Ein Virenscan kann nur finden, was er kennt. Da hat definitiv jemand seine Hausaufgaben nicht gemacht. Ist ja auch egal, wenn es ein anderer ausbaden muss.

Ein funktionierendes Gesundheitssystem scheint nicht wirklich wichtig zu sein, sonst würde man so etwas nicht zulassen. Ich bin gespannt, wie lange es dauert, bis die Gesundheitsdaten von einem Trojaner deutschlandweit "fremdverschlüsselt" werden.

[Forti]

Sorry, eine (berechtigte) grundsätzliche Ablehnung des Datenempfangs habe ich nicht berücksichtigt.
Da sind Sie völlig im Recht, denn jeder Dateiempfang ist ein Risiko.

Da gibt es nicht einmal die Abhilfe, einen isolierten PC nur für KIM zu nutzen -> Spätestens beim Übergang zum Konnektor ist Feierabend mit Sicherheit.
Einzige Chance wäre dann, ergänzend eine vergleichsweise simple Filterbox zwischen Konnektor und Praxisnetz zu setzen, die jeglichen Verkehr zwischen dem isolierten PC und dem Praxisnetz unterbindet (IP, MAC-Adresse usw.).
Dann könnte man an sich einen Drucker dort anschließen Eingangspost drucken (und im Praxisnetz einscannen).
Oder Sie setzen eine Fritte o.ä. ein, um die Kommunikation zwischen dem ISO-PC und dem Praxis-Netz beidseitig papierlos zu halten...

Für den Versand spricht ja erst einmal nichts gegen SMTP-an-KIM

Das wäre mein Lösungsvorschlag.

Ist denn ansonsten alles sicher? Mal eine fundamentalistische Sicht auf die Sicherheit:
Absicherung inklusive manuell geprüfter Updates, versiegelter USB-Steckplätze etc. oder weggeschlossener PC (Tastatur- und Maus-Anschlüsse), namensscharfer Logins, Zeitsteuerung der Anmeldemöglichkeit bzw. Zwangsabmeldung, MAC-Filterung an jedem Switch, zugängliche Netzwerkdosen abklemmen oder blockieren, eingeschränkte Benutzerrechte, Protokollierung aller Logins und Dateizugriffe, DNS- und Webprotokollfilter mit Whitelist, WLAN nur mit WPA3, Absolutes Smartphoneverbot für alle (Siri, Google-Assistant, Bixby und andere Lauschbomben), händische Freigabe der notwendigen Ports am Server, Backupstrategie auf verschlüsselten Medien, generell Vollverschlüsselung aller Geräte mit Speichermöglichkeit.. brrr, Gänsehaut

[Forti]

Nachtrag zur Fritte: Fax zwischen Iso-Box und Praxis, also intern.

[W. Steuber]

Absicherung inklusive manuell geprüfter Updates, versiegelter USB-Steckplätze etc. oder weggeschlossener PC (Tastatur- und Maus-Anschlüsse), namensscharfer Logins, Zeitsteuerung der Anmeldemöglichkeit bzw. Zwangsabmeldung, MAC-Filterung an jedem Switch, zugängliche Netzwerkdosen abklemmen oder blockieren, eingeschränkte Benutzerrechte, Protokollierung aller Logins und Dateizugriffe, DNS- und Webprotokollfilter mit Whitelist, WLAN nur mit WPA3, Absolutes Smartphoneverbot für alle (Siri, Google-Assistant, Bixby und andere Lauschbomben), händische Freigabe der notwendigen Ports am Server, Backupstrategie auf verschlüsselten Medien, generell Vollverschlüsselung aller Geräte mit Speichermöglichkeit.. brrr, Gänsehaut

- Kann man machen?: Ja!
- Muss man machen?: eigentlich schon!
- Bringt's was?: Nein, bei dem Riesenangebot an teuer verkaufbaren Daten wird schnell viel Manpower aufgebracht, um die Goldader abzuschürfen. Datensicherheit ist eine Illusion.

[Forti]

Absicherung inklusive manuell geprüfter Updates, versiegelter USB-Steckplätze etc. oder weggeschlossener PC (Tastatur- und Maus-Anschlüsse), namensscharfer Logins, Zeitsteuerung der Anmeldemöglichkeit bzw. Zwangsabmeldung, MAC-Filterung an jedem Switch, zugängliche Netzwerkdosen abklemmen oder blockieren, eingeschränkte Benutzerrechte, Protokollierung aller Logins und Dateizugriffe, DNS- und Webprotokollfilter mit Whitelist, WLAN nur mit WPA3, Absolutes Smartphoneverbot für alle (Siri, Google-Assistant, Bixby und andere Lauschbomben), händische Freigabe der notwendigen Ports am Server, Backupstrategie auf verschlüsselten Medien, generell Vollverschlüsselung aller Geräte mit Speichermöglichkeit.. brrr, Gänsehaut

- Kann man machen?: Ja!
- Muss man machen?: eigentlich schon!
- Bringt's was?: Nein, bei dem Riesenangebot an teuer verkaufbaren Daten wird schnell viel Manpower aufgebracht, um die Goldader abzuschürfen. Datensicherheit ist eine Illusion.

Schön zusammengefasst


Wenn ich mir die Datenpannen der letzten zwei Jahre grob überschlage, die meinen Mandanten so passiert sind, spielte die "IT-Sicherheit im engeren Sinne" eine Nebenrolle.
Sicher gab es hier und da mal eine vergessene Verschlüsselung der Übermittlung bei E-Mails und auch den einen oder anderen Malware-Befall durch heruntergeladene "PC-Optimierer" seitens IT-Betreuer.

Der vom Schadenumfang und Bearbeitungsaufwand größte Teil der Vorgänge beruhte auf menschlichen Versehen und gelegentlich auch Social Engineering.
Das sind dann falsch rausgegebene Rezepte, liegengelassene Unterlagen, Auskünfte am Telefon an (Ex-)Lebensgefährten, arglistige Auskunftserschleichung, Tricks mit der Rufnummernübermittlung (CNS), korrumpierte MFA und all sowas.
Vor solchen Vorfällen schützen Schulungen nicht zu 100%. Aber diese helfen bei der frühzeitigen Erkennung und der aktiven und angstfreien Aufklärung. Schadenbegrenzung first!


Also - wie groß ist die zusätzliche Bedrohung durch KIM?
Jedenfalls nicht so groß wie der berechtigte Frust, solche Zugänge ins Praxisnetz samt Finanzierung derselben aufgezwungen zu bekommen.