ECC-Umstellung: Kartenleser / gSMC-KT und RSA – Die gematik spielt Verstecken mit der Sicherheit?

[FortiSecond]

Moin,

die RSA-Umstellung auf ECC ist ja schon ein ganzes Abenteuer, und jetzt kommt die gematik mal wieder mit einer Sonderregelung daher, die mich ehrlich gesagt etwas verwundert.

Was ist los?
Die gematik pocht ja auf Vollgeschwindigkeit bei der Umstellung auf ECC bis Ende 2025. Versteh ich ja, Sicherheit geht vor, gerade in unserer Branche. Aber bei den gSMC-KT (die kleinen SIM-Karten in den Kartenterminals) machen die jetzt eine Ausnahme. Die sollen angeblich noch bis zum Ablaufdatum oder maximal bis Ende 2026 mit RSA weiterlaufen dürfen.

Warum ist das problematisch?
Kommen wir zur Sache: RSA ist, wie wir alle wissen, nicht mehr der Knaller, was die Sicherheit angeht. Das BSI hat ja klare Empfehlungen rausgegeben, und ECC ist der nächste logische Schritt. Aber wenn wir jetzt bei den gSMC-KT an RSA festhalten, lassen wir ein riesiges Sicherheitsloch offen.
Die Begründung der gematik ist ja, dass ein Austausch bis Ende 2025 unrealistisch sei und die gSMC-KT ja hgar nicht für Signatur und Verschlüsselung genutzt würden. Letzteres ist aber schlichtweg falsch. Die Karten sind essenziell für die sichere Datenübertragung zwischen Konnektor und Kartenleser samt gesteckter Karten und am Ende sogar für die Legitimation für den Zugriff auf die Patientenakte. Die Kommunikation wird mit gSMC-KT per TLS verschlüsselt – und das bei den alten Karten eben noch mit dem alten, anfälligen RSA.

Meine Vorschläge:
Ich sehe hier zwei Möglichkeiten:
1. Die pragmatische Lösung: Lasst uns doch alle RSA-Karten (gSMC-KT, eHBA, SMC-B) einfach bis zum Ablauf ihrer Zertifikate weiternutzen. Das wäre bis Mitte 2027 erledigt, wobei es bis dahin bereits monatlich weniger werden. Das maximal halbe Jahr mehr wäre deutlich besser als diese halbherzigen, willkürlich wirkenden Verlängerungen. Zumindest für Geldbeutel, Umwelt und Nerven.
2. Die konsequente Lösung: Wenn wir schon in Richtung ECC gehen, dann lasst uns die Umstellung auch für die gSMC-KT bis Jahresende erledigen. Das wäre ein Zeichen von Glaubwürdigkeit und würde zeigen, dass die Sicherheit der Patientendaten wirklich Priorität hat.

Was meint Ihr?
Bin gespannt auf Eure Meinungen und Erfahrungen. Und wer weiß, vielleicht hat ja jemand eine noch bessere Idee, wie wir diesen Eiertanz endlich hinter uns lassen können.

[turbotm]

Ehrlich gesagt, als Arzt der sich mit diesem spezial CMG Schei.. rumschlagen muss, der mal funktioniert und mal nicht?
Ich frage mal meine Patienten, wer alles zu Hause bleibt, damit ich den EDV Mist erledigen kann...
Oder ich gebe diese Arbeit ab (Outsourcen), vediene jetzt in der Praxis sowieso schon weniger als ein Facharzt in der Klinik, da kann ich ja zumindest als Arzt umsonst weiter Patienten anschauen, während ich die Sicherheit und EDV subventioniere...
Aber das mußte jetzt mal raus.

[bofh]

Die gSMC-KT identifiziert doch nur das KT gegenüber dem Konnektor und stellt die Basis für die Transportverschlüsselung der Kommunikation (zwischen KT und Konnektor). Das sind doch nur kurzlebige Daten. Selbst wenn die mitgeschnitten würden und in 30 Jahren dann relativ einfach zu entschlüsseln wären, was würde dann offengelegt? Dass hier eine Ausnahme gemacht wird, ist meiner Meinung nach sehr sinnvoll.

Also einfach "aussitzen" bis sowieso eine neue gSMC-KT fällig wird.

[FortiSecond]

Die gSMC-KT identifiziert doch nur das KT gegenüber dem Konnektor und stellt die Basis für die Transportverschlüsselung der Kommunikation (zwischen KT und Konnektor). Das sind doch nur kurzlebige Daten. Selbst wenn die mitgeschnitten würden und in 30 Jahren dann relativ einfach zu entschlüsseln wären, was würde dann offengelegt? Dass hier eine Ausnahme gemacht wird, ist meiner Meinung nach sehr sinnvoll.

Also einfach "aussitzen" bis sowieso eine neue gSMC-KT fällig wird.

Ende des Jahres ist ECC zwischen Konnektor und KT zwingend erforderlich.
Das die gematik hier die längste Nachfrist gesetzt hat, unterstreicht die vergleichsweise untergeordnete Sicherheitsrelevanz dieser Datenstrecke.