Es ist der 27.12.2025. Der 39. Chaos Communication Congress (39C3) läuft in Hamburg, und wie jedes Jahr können wir die Uhr danach stellen: Irgendein staatlich verordnetes „Sicherheits“-Schlangenöl fliegt uns spektakulär um die Ohren.
Diesmal trifft es KIM („Kommunikation im Medizinwesen“).
Ihr wisst schon, dieses milliardenschwere Prestigeprojekt der Gematik, das Faxgeräte in Arztpraxen ersetzen sollte. Das System, das angeblich so sicher ist, dass man darüber HIV-Befunde und Krebsdiagnosen verschicken darf.
Tja. War wohl nichts.
Der Sicherheitsforscher Christoph Saatjohann (FH Münster) hat heute auf dem Congress die Hosen runtergelassen. Zusammenfassend kann man sagen: Die Hütte brennt.
Das „Sicherheits“-Versprechen: Ein Witz
Recherchen von NDR und SZ bestätigen, was Saatjohann demonstriert hat: Das System ist kaputt. Fundamental.
- Absender fälschen? Kinderleicht. Die Mails sind zwar signiert (da ist ein Siegel drauf), aber das Siegel sagt nicht, wer den Brief eingeworfen hat. Man kann also eine Mail schicken, die so aussieht, als käme sie von Dr. House, in Wahrheit kommt sie aber von der russischen Mafia oder einem Script-Kiddie aus dem Keller.
- Folge: Perfektes Phishing. „Hallo, hier ist dein Laborbefund, bitte klicken Sie auf
Ransomware.exe.“ Da die Ärzte dem System blind vertrauen („Ist ja von der Gematik zertifiziert!“), klicken die da drauf. Praxen lahmgelegt, Patientendaten im Darknet.
- Folge: Perfektes Phishing. „Hallo, hier ist dein Laborbefund, bitte klicken Sie auf
- Verschlüsselung? Löchrig. Vor dem jetzt hastig nachgeschobenen Patch konnte man Nachrichten teils entschlüsseln und auslesen. Bei falsch konfigurierten Modulen ging das sogar direkt aus dem Internet. Hallo? Geht’s noch? Wir reden hier von Gesundheitsdaten!
- Identitätsprüfung? Nicht vorhanden. Der absolute Brüller: Saatjohann konnte sich im System eine E-Mail-Adresse auf den Namen der Gematik registrieren. Einfach so. Keine Plausibilitätsprüfung. Nichts. Man braucht nur einen Ausweis für medizinische Einrichtungen (SMC-B). Und wisst ihr, wo man den kriegt? Richtig. Auf eBay.
Die Reaktion: „Wir arbeiten mit Hochdruck“
Nachdem NDR und SZ angeklopft haben, ist der Gematik wohl der Arsch auf Grundeis gegangen. Es gab einen „Hotfix“.
„Die Lücken seien ohne konkrete Auswirkungen für medizinische Einrichtungen gewesen.“
Ja, sicher. Und niemand hat die Absicht, eine Mauer zu bauen. Das BSI wiegelt auch ab: Nur mit „technischen Fachkenntnissen“ ausnutzbar. Ach was? Auf dem CCC laufen 15.000 Leute rum, die das im Schlaf können.
Das Problem: Die Updates müssen in den Praxen eingespielt werden. Wir kennen die IT in deutschen Arztpraxen. Das macht der Neffe vom Chef, wenn er mal Zeit hat. Bis das überall gefixt ist, ist es 2030.
Das Fazit: Zurück zum Fax
Die Ärzte haben (zurecht!) die Schnauze voll. Ein Hausarzt aus BaWü sagt, sein Vertrauen in die Gematik sei „sehr begrenzt“. Ergebnis: Es wird wieder gefaxt. Das ist zwar auch unsicher, aber wenigstens weiß man da, dass es unsicher ist.
Wir halten fest: Wir verbrennen Milliarden für eine „Digitalisierung“, die unsicherer ist als Briefpost, und am Ende gewinnt wieder das Faxgerät. Kannste dir nicht ausdenken.
Frohen Congress noch.
SEO & Meta-Daten (für das Backend)
Fokus-Keyphrase: KIM Sicherheitslücke Gematik SEO-Titel: 39C3: Gematik-Fail bei KIM – Ärzte-Daten unsicher Meta-Beschreibung: Gematik-Desaster auf dem 39C3 enthüllt: Das KIM-System für Ärztepost ist unsicher. Absender fälschbar, Verschlüsselung löchrig. Alle Fakten hier.
Tags: #39C3, #Gematik, #KIM, #Fail, #Datenschutz, #Gesundheitsdaten, #Hacking, #ChristophSaatjohann, #Sicherheitslücke, #BSI
Wasserpuncher | Kai 