:quality(80)/p7i.vogel.de/wcms/2e/a4/2ea4c0154481c7d38b08001f52b00974/0115630528.jpeg "(Bild: Skórzewiak – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/73/c6739076e1a2983a43435712e9a21e4d/0115622513.jpeg "Das Saarland möchte ausländische Fachkräfte im Healthcare-Sector anwerben. In einem ersten Schritt können nun Ärztinnen und Äzte ihre Abschlüsse anerkennen lassen. Weitere medizinische Fachberufe sollen iterativ folgen. (© Evgeny - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/c9/11c9d0ad82fa4ce40fe83dab29c38a9d/0115516090.jpeg "Zum Thema E-Voting hat das TAB eine Studie durchgeführt. (© Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/20/fe/20fe374aa0e0a15ee32c1a28afd8fd8e/0115613843.jpeg "In der digitalen Brieftasche sollen Bürgerinnen und Bürger Ausweise, Führerscheine oder Zeugnisse speichern und validieren können. (© dem10 – Getty Images Signature via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/85/14/851428ea80048cf8d22ed2ebb3bfda3b/0115377499.jpeg "Die Delos Cloud GmbH wurde erst im vergangenen Jahr gegründet. Sie soll eine souveräne Cloud-Plattform für den öffentlichen Dienst entwickeln – basierend auf Azure von Microsoft. (Bild: frei lizenziert, Coernl / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/20/99/209999bc4350534d12974dc2494224b7/0115581836.jpeg "(Bild: midjourney | J.Rath)")
:quality(80)/p7i.vogel.de/wcms/8b/73/8b73e44fdd359c636877508a30254037/0115568158.jpeg "Dr. Volker Wissing, Bundesminister für Digitales und Verkehr: „Jeder Wirtschaftsteilnehmer muss KI nutzen, um wettbewerbsfähig zu bleiben.“ (Bild: Presse- und Informationsamt der Bundesregierung)")
:quality(80)/p7i.vogel.de/wcms/3a/8d/3a8dc0d5db2d5692cde621b45ac867c5/0115513449.jpeg "Prof. Dr. iur. Christoph Schmidt (© C. Schmidt)")
:quality(80)/p7i.vogel.de/wcms/69/1e/691eabb715598fb098f8a9aa348f5e04/0115502826.jpeg "(Bild: Mediaparts – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2a/9e/2a9e11599a73caa57fcabec81f6da8e4/0115441909.jpeg "(Bild: Coloures-Pic – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7c/78/7c786254d9ceb3ce1819fed318fb6745/0115439133.jpeg "Beim FIT-Kongress 2023 wurden herausragende Frauen aus der IT – und erstmalig auch aus dem Public Sector sowie dem Healthcare-Bereich mit den WIN-Awards 2023 ausgezeichnet. (Bild: www.hamann.photo)")
:quality(80)/p7i.vogel.de/wcms/09/08/090892ed70064b4cba6489cec1f83f07/0115441274.jpeg "Das NEGZ vernetzt Expert:innen aus Verwaltung, Wirtschaft und Wissenschaft, um die Digitalisierung der deutschen Verwaltung zur unterstützen und anzutreiben. (© NEGZ)")
:quality(80)/p7i.vogel.de/wcms/59/0d/590dbc49700836dafcd0bb211a5aed0d/0115385334.jpeg "Unter dem Motto „Endgegner Bürokratisierung weichkochen!“ stellten sich (v. l.) Marko Haas (Leiter des Bereiches Digitalstrategie und Digitale Transformation in der Deutschen Rentenversicherung Bund), Marie-Dominique Enjalbert (Projektleitung eWA, OZG-Umsetzungsprojekt für die elektronische Wohnsitzanmeldung, Amt für IT und Digitalisierung Hamburg), Michael Mätzig (Geschäftsführender Direktor Städtetag Rheinland-Pfalz), Ann Cathrin Riedel (Geschäftsführerin NExT e.V., Vorsitzende LOAD e.V., Digitalrätin des BMDV zur Umsetzung der Digitalstrategie des Bundes, Digitalrätin Sachsen-Anhalt) den Fragen von Basanta Thapa (Geschäftsführer des NEGZ). (© MACH AG / Jakob Börner)")
:quality(80)/p7i.vogel.de/wcms/35/cb/35cb811222a30e525d3829054deecdc1/0115287745.jpeg "„Zukünftig können digitale Anträge deutschlandweit über das zentrale Bürgerkonto, die BundID, oder mit dem Online-Ausweis gestellt werden“, sagte Bundesinnenministerin Nancy Faeser auf der SCCON 2023 (© Messe Berlin GmbH)")
:quality(80)/p7i.vogel.de/wcms/77/9d/779d8995085bc7a6f2aa9b0b47fd3405/0115335433.jpeg "Thomas Feld, Vice President Data Economy, Materna (© Materna)")
:quality(80)/p7i.vogel.de/wcms/fe/72/fe7211e1e92ddfcbf3943b3463b84a57/0115335396.jpeg "(©Fraunhofer)")
:quality(80)/p7i.vogel.de/wcms/59/b2/59b2dda70740cf2ab38cebbfd705a26b/0115335552.jpeg "(© CREALOGIX)")
:quality(80)/p7i.vogel.de/wcms/1a/37/1a375e7cd1fb301470b9e06a7b65e537/0115080189.jpeg "(©CREALOGIX)")
:quality(80)/p7i.vogel.de/wcms/e5/30/e5306226b8ed3c71f4b15dff96179e15/0112479295.jpeg "eGovernment Summit 2023: Gespannt verfolgten die Teilnehmenden die Paneldiskussion zum Thema „Beyond OZG“ (©Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/b6/f8/b6f88f91322d077cfa5cb7e1607c480f/0112111131.jpeg "Ziel des Summits ist die Erarbeitung gemeinsamer Ansätze und Handlungsmodelle zur Bewältigung der aktuellen politischen, gesellschaftlichen und administrativen Herausforderungen durch die IT – und mithilfe der IT (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/02/6a/026a7a13bac9ae68217de6a37d0f7e71/0111234928.jpeg "Zum 16. Mal eGovernment Summit kommen erneut die Spitzen der Bundes-, Landes- und Kommunalverwaltung sowie Experten aus Wissenschaft, Industrie und Forschung zusammen. Diesmal auf dem Bonner Petersberg (Bild: Steigenberger Hotels & Resorts)")
:quality(80)/p7i.vogel.de/wcms/5a/28/5a28b92026cca328881c37e56e34d1ce/0114238949.jpeg "Die Gewinner des eGovernment Readers' Choice Award 2023 (©Offenblen.de)")
:quality(80)/p7i.vogel.de/wcms/c9/0f/c90fa0c017e5ecc20de70dd713ddf391/0112730736.jpeg "(© Salesforce)")
:quality(80)/p7i.vogel.de/wcms/85/c7/85c70044c9dfe47187b3222ff227fcfb/0105054611.jpeg "Verwaltung neu denken – für einen zukunftsfähigen und resilienten Staat (© Cassini/GettyImages)")
:quality(80)/p7i.vogel.de/wcms/42/3e/423efc6333d932ae833034e58d08783b/0115629512.jpeg "Low-Code erfordert geringen Programmieraufwand. (Bild: aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/a1/cfa10ef3cc6823e0c53e3c998d875313/0115629017.jpeg "Der CDO ist für die Verwaltung, den Schutz und die Nutzung von Daten verantwortlich. (Bild: aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/3e/4d3e0b0bf7d1fbf78df6ae3ff6856326/0115628558.jpeg "Föderales Entwicklungsportal: Zentrale Ressource für Softwareentwickler (Bild: aga7ta – stock.adobe.com)")
gematik stärkt Ende-zu-Ende-Sicherheit Telematik-Infrastruktur auf Herz und Nieren geprüft
Die Telematik-Infrastruktur (TI) ermöglicht den Akteuren und Institutionen des Gesundheitssystems Daten untereinander auszutauschen. Zur Stärkung der Ende-zu-Ende-Sicherheit und des öffentlichen Vertrauens wurde im Auftrag der gematik eine sogenannte 360-Grad-Sicherheitsanalyse durchgeführt.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/123500/123503/65.png "GISA_Xing-Profilbild.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
Nach den Angaben der gematik wurde die Sicherheitsanalyse von zwei international anerkannten Unternehmen aus dem Bereich Cyber- und Applikationssicherheit – SEQRED S.A. und SEC Consult Unternehmensberatung – ausgeführt. Die Prüfer haben mit verschiedenen Methoden versucht, mögliche Schwachstellen der Telematik-Infrastruktur (TI) aufzudecken. Die Widerstandskraft gegenüber Angriffen, das erfolgreiche Erkennen dieser Angriffe und eine zeitnahe zielgerichtete Reaktion standen dabei im Fokus.
SEQRED hat die Sicherheitsbewertung (Security Assessment) für das PKI-Managementsystem durchgeführt; mit Public-Key-Infrastruktur (PKI) wird in der Kryptologie ein System bezeichnet, das digitale Zertifikate ausstellen, verteilen und prüfen kann. Im Mittelpunkt der Analyse stand die Rezension von Architektur, Konfiguration und dem sogenannten Assume Breach. Das „Assume-Breach-Paradigma“ („to assume“: vermuten; „breach“: Schwachstelle) geht davon aus, dass trotz aufwendiger Sicherheitsvorkehrungen im Bereich der IT jedes Unternehmen einmal Opfer einer Cyber-Attacke wird.
Darüber hinaus wurden die Penetrationstests des Verzeichnisdienstes – sozusagen das zentrale „Adressbuch“ in der Telematik-Infrastruktur – und der VPN-Zugangsdienste in Form von Black-Box-Tests durchgeführt: Für die Teilnahme in der Telematik-Infrastruktur benötigen die Akteure einen dafür speziell zugelassenen Zugangsdienst eines externen Anbieters und nutzen diesen über die verschlüsselte Verbindung eines virtuellen privaten Netzwerks (VPN). Der Black-Box-Test beschreibt eine Softwaretestmethode, bei der Tests anhand der bloßen Spezifikation entwickelt werden. Hierbei entwerfen die Prüfer also Tests, ohne die innere Funktionsweise des zu prüfenden Systems zu kennen.
SEC Consult hat eine teilweise Überprüfung der Quellcodes (partielles Source Code Review) des Signaturdienstes durchgeführt sowie ein Assessment – also eine Einschätzung – des zugrundeliegenden Software-Entwicklungsprozesses inklusive des Betriebs, basierend auf OWASP SAMM v21. Zusätzlich war SEC Consult auch für die sogenannten Red Team Testings der gematik zuständig. Hierbei versetzen sich IT-Sicherheitsexperten in die Rolle eines Hackers und versuchen beispielsweise an sensible Daten eines Unternehmens heranzukommen.
Die Ergebnisse
Security Assessment des PKI-Managementsystems: Die beauftragten Prüfer haben keine kritischen Sicherheitsprobleme identifiziert, bei denen das PKI-Managementsystem den direkten Angriffen ausgesetzt sein könnte. Es wurde allerdings festgestellt, dass in einigen Bereichen Abweichungen gegenüber Best Practices bestehen, die von dem Anbieter behandelt werden müssen, aber aus Sicht der Prüfer einem produktiven Einsatz nicht im Wege stehen.
Penetrationstests des Verzeichnisdienstes und der VPN-Zugangsdienste: Der Test zeigte keine sicherheitskritischen Lücken. Die spezifizierten Anforderungen der gematik werden durch die externen Anbieter überwiegend eingehalten, und es wurden keine schwerwiegenden Schwachstellen gefunden. Die Prüfer konnten auf keinem der getesteten Server eine Code-Ausführung erreichen. Es wurden lediglich geringfügige Konfigurationsprobleme festgestellt, die die TI jedoch keinen direkten Angriffen aussetzen.
Source Code Review des Signaturdienstes: SEC Consult stellt in seinem Review fest: „Das Code Review identifizierte mehrere Schwachstellen im Rahmen des beauftragten Zeitraums vom 28.9.2020 bis 14.10.2020.“ Unter anderem wurde eine kritische Schwachstelle identifiziert, die es einem Angreifer erlaubt hätte, die Authentifizierung des Signaturdienstes zu umgehen. Diese Schwachstelle wurde umgehend vom Anbieter behoben, und die gesetzten Maßnahmen wurden danach von SEC Consult erneut geprüft und als tauglich bewertet.
Das Assessment nach OWASP SAMM v2 ergab in den meisten analysierten Bereichen einen angemessenen Prozess-Reifegrad. Das „Software Assurance Maturity Model“ (OWASP SAMM) - hier in der Version 2 – ist ein Rahmenwerk des „Open Web Application Security Project (OWASP)“, mit dem Unternehmen nicht nur den Reifegrad ihrer Softwareentwicklungsprozesse hinsichtlich der Sicherheit messen, sondern sie auch schrittweise verbessern können. SEC Consult kommt dabei zu der Bewertung: „Auf der Reifegrad-Skala von 0 bis 3 erreicht der dem Signaturdienst zugrundeliegende Entwicklungsprozess einen Gesamt-Reifegrad von 2,35.“
Wesentliche Stärken wurden in den Bereichen Governance (Führung), Design und Betrieb deutlich. Durch die sehr strengen Vorgaben der gematik in Bezug auf Sicherheitsanforderungen und Sicherheitsarchitektur sowie der regelmäßigen Gutachten und Audits durch unabhängige Dritte wird ein hohes Niveau des Prozessreifegrades in Bezug auf die Spezifikation relevanter Vorgaben sowie deren Überprüfung erreicht.
Fazit
Die 360-Grad-Sicherheitsanalyse hat die Erwartung der gematik erfüllt und die Ende-zu-Ende-Sicherheit der Telematik-Infrastruktur grundsätzlich bestätigt. Für identifizierte Schwachstellen wurden in Abstimmung mit den Anbietern Maßnahmen zur umgehenden bzw. zeitnahen Bereinigung vereinbart und bereits teilweise umgesetzt.
Wie der Leiter des Bereichs Sicherheit bei der gematik Holm Diening berichtet, erlebe die Telematik-Infrastruktur derzeit bedeutende Veränderungen. So würden die ersten medizinischen Anwendungen bundesweit eingeführt. Diening kündigt an: „Die gematik wird auch 2021 wieder eine 360-Grad-Sicherheitsanalyse mit dem Untersuchungsschwerpunkt elektronische Patientenakte beauftragen und über die Ergebnisse informieren.“
Die Untersuchung der elektronischen Patientenakte umfasst auch den Schlüsselgenerierungsdienst. Dieser wurde in der Entwicklungsphase zunächst auf der Ebene der Spezifikationen wissenschaftlich untersucht. Die gematik hat hierzu bereits das Gutachten der TU Graz veröffentlicht. Die Analysen in diesem Jahr werden neben der Überprüfung der korrekten Implementierung auch die theoretische Analyse zur kryptographischen Sicherheit der zugrundeliegenden Sicherheitsprotokolle (des Schlüsselgenerierungsdienstes und der Vertrauenswürdigen Ausführungsumgebung) einschließen.
![Die gematik will eine „gemeinsame Arena für alle Akteure [schaffen], in der die Teilnehmer gewissermaßen einem olympischen Geist verpflichtet seien“, erklärt Dr. Markus Leyck Dieken, Geschäftsführer der gematik, das neue Konzept. (gematik)](https://cdn1.vogel.de/_vTMgQ9JX4oRagePbLuxF-Q1Ilk=/320x180/smart/filters:format(jpg):quality(80)/images.vogel.de/vogelonline/bdb/1788200/1788292/original.jpg "Die gematik will eine „gemeinsame Arena für alle Akteure [schaffen], in der die Teilnehmer gewissermaßen einem olympischen Geist verpflichtet seien“, erklärt Dr. Markus Leyck Dieken, Geschäftsführer der gematik, das neue Konzept. (gematik)")
Telematik-Infrastruktur 2.0
gematik will die digitale Medizin konkret machen
:quality(80)/images.vogel.de/vogelonline/bdb/1786500/1786553/original.jpg "(megaflopp - stock.adobe.com)")
Rollout im zweiten Halbjahr
Die Testphase der ePA hat begonnen
(ID:47078369)
:quality(80)/p7i.vogel.de/wcms/fa/f0/faf02faaff035eac0715dc36aed57edf/0112359462.jpeg "Die Gefahr für KRITIS und Behörden, Ziel eines Cyber-Angriffs zu werden, steigt stetig (Bild: Suebsiri – Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/a7/b7/a7b73c6b42a65224b9e846522140a68b/0114167495.jpeg "Wird künstliche Intelligenz zum treuen Partner bei der Verteidigung von Unternehmensnetzen und sensiblen Daten oder zum unbezwingbaren Feind, der alles überrollt? (Bild: sdecoret - stock.adobe.com)")