Log4J-Lücke: Gematik sperrt TI-Zugang für 300 Konnektoren des Gesundheitswesens
Die für das Gesundheitswesen zuständige Gematik sperrt 300 Konnektoren mit Log4j-Sicherheitslücke Ende Oktober. Das nötige Update gibt es seit Dezember 2021.
(Bild: SOMKID THONGDEE/Shutterstock.com)
Um die Sicherheit in der Telematikinfrastruktur (TI) – das fürs Gesundheitswesen spezialisierte Netz zum "sicheren" Austausch von Patientendaten – zu gewähren, sperrt die Gematik ungefähr 300 Konnektoren des Herstellers RISE. Konnektoren sind besonders gesicherte Router für den Zugang zur TI.
Die Sperre kommt dann, wenn die Betreiber das zum Schließen der Log4j-Sicherheitslücke nötige Update nicht bis Ende Oktober auf den Konnektoren installiert haben. Kostenfreie Updates hatte RISE bereits kurz nach Bekanntwerden der kritischen Log4j-Sicherheitslücke im Dezember 2021 bereitgestellt.
In den letzten Wochen sind die Praxisinhaber der Konnektoren mit den betroffenen Produktversionen immer wieder über ihre VPN-Zugangsdienste über das fehlende Update informiert worden, wie die Gematik in ihrem Fachportal informiert. Demnach seien die "Leistungserbringer" seit Juni mehrfach durch ihre VPN-Zugangsdienste aufgefordert worden, das dringende Update durchzuführen.
Gematik schätzt Risiko als gering ein
Unklar ist, wie weitreichend Angreifer nach Missbrauch der Log4j-Lücke im System Zugriff erhalten und wie weit sie es kompromittieren könnten. Eine potenziell vollständige Kompromittierung ist denkbar. Eine derart schwerwiegende Sicherheitslücke rechtfertigt den Schritt, die verwundbaren Konnektoren zu sperren.
Die Gematik hat inzwischen auf eine Anfrage von heise online reagiert. Sie schätzt die "Eintrittswahrscheinlichkeit für ein Ausnutzen der Schwachstelle [...] insgesamt als relativ gering ein". Die Analysen des Herstellers hätten ergeben, dass die bestehende Schwachstelle am RISE-Konnektor nicht von außen ausgenutzt werden konnte. Daher wurden nicht sofort "harte Maßnahmen" ergriffen, die Praxen von der TI ausgeschlossen hätten. Dennoch werden die Konnektoren mit der Log4j-Lücke laut Gematik gesperrt, da ein durchgeführtes Update zur "allgemeinen Sorgfaltspflicht" gehöre.
Die Konnektorhersteller selbst können gemäß Gematik-Spezifikation kein Update einspielen. Jedoch können Administratoren nach Spezifikationen von 2019 die automatische Installation von Softwareupdates einschalten.
Die Log4J-Schwachstelle betrifft demnach die RISE-Konnektoren mit folgenden Produktversionen:
- 1.5.7:1.0.0
- 1.8.10:1.0.0
- 2.1.2:1.0.0
- 2.1.4:1.0.0
- 2.1.5:1.0.0
- 2.1.6:1.0.0
- 3.2.5:1.0.0
- 3.5.9:1.0.0
Nach erfolgtem Update sollen die Konnektoren wieder wie gewohnt einsatzfähig sein.
Log4j-Lücke
Die Log4j-Lücke ermöglicht Angreifern, durch das Übersenden einer präparierten Zeichenkette das verwundbare System dazu zu bringen, ausführbaren Schadcode aus dem Netz nachzuladen und auszuführen. Die Anfang Dezember vergangenen Jahres entdeckte Schwachstelle fand sich in zahlreichen Produkten namhafter Hersteller wie Apple, Twitter, Amazon oder etwa in Microsofts Minecraft.
Die Sicherheitslücke wird seit kurz nach Bekanntwerden von Cyberkriminellen aktiv angegriffen. Das unverzügliche Installieren verfügbarer Aktualisierungen zum Schließen der Lücke ist daher dringend anzuraten.
Link zu Spezifikation ergänzt
Stellungnahme der Gematik ergänzt
(mack)
