Welche beim CCC im Dezember 2024 aufgezeigten Lücken waren der Bundesregierung bereits seit wann bekannt, und welche waren ihr neu? Die gematik wurde Ende August des Jahres 2024 von externen Sicherheits- forschenden auf eine Schwachstelle hingewiesen. Dabei wurden weder die kon- krete Umsetzung eines Angriffs noch alle beim Vortrag am 27. Dezember 2024 beschriebenen Lücken dargestellt. Es handelte sich zu diesem Zeitpunkt um ein theoretisches Szenario, dessen Eintritt durch die gematik als unwahrscheinlich eingestuft wurde, da keine Indikatoren einer Schwächung bestehender Sicher- heitsmaßnahmen identifiziert werden konnten. Dies betraf insbesondere die si- chere Ausgabe und Nutzung der Institutionsausweise nebst zugehöriger PIN durch die berechtigten Leistungserbringerinstitutionen. Diese stellen einen zen- tralen Sicherheitsanker für den Zugriff auf die ePA dar. Im Anschluss fanden von September bis Dezember 2024 mehrere Termine mit der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), dem BSI und der gematik zur Bewertung des Risikos der dargestellten Schwachstelle statt. Hier wurde vornehmlich über die Wirksamkeit der bereits getroffenen Maßnahmen sowie die Eintrittswahrscheinlichkeit gesprochen. Mitte Dezember 2024 fand ein erneuter Termin mit den Sicherheitsforschenden und der gematik statt, in welchem die Sicherheitsforschenden einen bis dahin unbekannten Weg zur Beschaffung und missbräuchlichen Nutzung des Instituti- onsausweises darstellen k
https://files.mastodon.social/media_attachments/files/114/042/053/460/912/441/original/74e32e60a8ae0312.png
Bianca Kastl
All GNU social JP content and data are available under the 