Die kritische Sicherheitslücke „log4j“ beschäftigt nach wie vor die IT-Abteilungen von Unternehmen und Behörden. So auch bei den Ärzten: Die Kassenärztliche Bundesvereinigung (KBV) ist nach eigenen Angaben betroffen und muss nun Sonderupdates in ihren Prüfmodulen aufspielen.
Ausgerechnet die Prüfmodule, die die KBV den Herstellern von Praxisverwaltungssystemen, Laborsystemen und Datenannahmestellen zur Verfügung stellt, sind von der am Wochenende bekannt gewordenen Zero-Day-Sicherheitslücke betroffen. Sie verwenden die betroffene Bibliothek Log4J in den Versionen 2.0-beta9 bis 2.14.1, in der der Fehler entdeckt wurde. Aktuell tauscht die KBV deshalb in den betroffenen Programmen die log4J-Bibliotheken aus. „Nach erfolgreicher Qualitätssicherung stellen wir Ihnen kurzfristig die geänderten Softwareprodukte zur Verfügung und bitte Sie um Integration sowie Rollout“, schreibt sie an die Adresse der Ärzte.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte wegen der Schwachstelle seine bestehende Cyber-Sicherheitswarnung auf die Warnstufe Rot hochgestuft – die höchste von vier Warnstufen. „Ursächlich für diese Einschätzung ist die sehr weite Verbreitung des betroffenen Produkts und die damit verbundenen Auswirkungen auf unzählige weitere Produkte“, erklärte die Behörde dazu. Die Schwachstelle sei zudem „trivial ausnutzbar“ und ermögliche „eine vollständige Übernahme des betroffenen Systems“. Dem BSI sind nach eigenen Angaben welt- und deutschlandweite „Massen-Scans sowie versuchte Kompromittierungen bekannt“. Auch erste erfolgreiche Kompromittierungen wurden öffentlich gemeldet.
Daraufhin hatte auch die Gematik reagiert und vorsorglich Teile der Telematikinfastruktur vom Netz genommen. Drei der vier Komponenten des Versichertenstammdatenmanagements (VSDM) waren am Morgen und Vormittag nur eingeschränkt zu erreichen: Der Versichertenstammdatendienst, das Kartenmanagement und der Update Flag Service funktionierten nicht richtig. Lediglich der sogenannte Intermediär lief korrekt. Die Versicherten einiger Betriebskrankenkassen, der KKH sowie der AOKen Bremen, Niedersachsen und Sachsen-Anhalt konnten ihre elektronischen Gesundheitskarten (eGK) nicht richtig nutzen – beim Stecken in die Kartenlesegeräte erschien die Meldung „Prüfnachweis 3“. Ein reibungsloser Abgleich der Versichertenstammdaten konnte nicht gewährleistet werden.
Auch bei der elektronischen Patientenakte kam es zu erheblichen Einschränkungen: Die Aktensysteme der ePA-Apps einiger Krankenkassen wurden laut Gematik in den Wartungsmodus versetzt und sind zurzeit nicht nutzbar. Betroffen sind die ePA der AOK, HKK, DAK, KKH, LKK und alle Betriebskrankenkassen.
APOTHEKE ADHOC Debatte