S/MIME-Zertifikate: Verschlüsselung, aber ohne Sicherheit?
Ende Dezember haben Forscher des Fraunhofer SIT und der FH Münster auf dem CCC aufgezeigt, dass die Verschlüsselung im E-Mail-System KIM (Kommunikation im Medizinwesen) Sicherheitslücken aufwies. In den letzten zwei Jahren wurden mehr als 200 Millionen E-Mails mit Gesundheitsdaten von Patienten aus ganz Deutschland über dieses System versendet. Das Problem besteht darin, dass mehrere Krankenkassen bei der Übertragung dieser Daten diese mit den gleichen Schlüsseln verschlüsselt hatten.
Die Lücke in KIM ermöglichte es mehreren Krankenversicherungen private und sensible Gesundheitsdaten auszulesen. Sie erinnert Sicherheitsfachleute im neuen Jahr einmal mehr daran, wie wenig Einblick und Kontrolle sie beim Thema Maschinenidentitäten haben. KIM verwendete mehrere Maschinenidentitäten – E-Mail-S/MIME-Zertifikate -, die dieselben Schlüssel zur Verschlüsselung nutzten. S/MIME sind Secure/Multipurpose Internet Mail Extensions-Zertifikate die verwendet werden, um E-Mails abzusichern und fremden Augen zu schützen. Dies geschieht, durch die Authentifizierung der Absender und die Verschlüsselung der ausgetauschten Nachrichten. Ist die Verschlüsselung wie in diesem Fall fehlerhaft, dann könnten unberechtigte Dritte die E-Mails nicht nur abfangen, sondern sogar mitlesen und Patientendaten beispielsweise zur Erpressung der Betroffenen nutzen.
Die Vorfälle von ausgefallenen Zahlungssystemen, Services von Fluggesellschaften und Online-Diensten von Unternehmen häufen sich. Der Grund liegt in den digitalen Zertifikaten und kryptographischen Schlüsseln, den sogenannten Maschinenidentitäten. Immer öfter sind es Zertifikate, die außer Kontrolle geraten und Services nicht mehr erreichbar machen.
S/MIME-Zertifikate mit Lücken im Gesundheitswesen
Auf dem Weg ins Jahr 2024 und in eine Welt der künstlichen Intelligenz und des maschinellen Lernens müssen IT-Sicherheitsexperten weltweit die Kontrolle über diese Maschinenidentitäten zurückgewinnen. Sie müssen wissen, ob diese gültig sind, bestätigen, dass sie den Richtlinien entsprechen und abgesichert sind. Fehlende Automatisierung verschlimmert die Situation nur noch mehr, denn niemand kann die steigende Anzahl der eingesetzten Maschinenidentitäten manuell überblicken. Niemand kennt alle in einer Organisation verwendeten Zertifikate und Schlüssel. Das ist in etwa so, als würde man behaupten, dass ChatGPT mit Menschen interagiert, die dann manuell die Schlussfolgerungen und den nächsten Schritt im neuronalen Netz als Prompt eingeben. Und so ist es auch hier: Kein Mensch sollte versuchen, alle Maschinenidentitäten manuell zu verwalten. Dies ist umso dringlicher in 2024, wenn Google die Lebensdauer von Zertifikaten auf 90-Tage beschränkt. Darüber hinaus lässt die Post-Quantum-Kryptographie die Notwendigkeit eines noch schnelleren Austauschs von Zertifikaten immer dringlicher werden.