Die Telematikinfrastruktur (TI) sollte ein Meilenstein für die Digitalisierung des deutschen Gesundheitswesens sein. Doch aktuelle Sicherheitslücken im KIM-Dienst werfen ernste Fragen auf: Wie sicher ist die elektronische Kommunikation zwischen Ärzten, Kliniken, Apotheken und Krankenkassen wirklich – und stellen diese Schwachstellen ein Risiko für Patientendaten dar?
Was ist KIM und warum ist es so wichtig?
KIM steht für „Kommunikation im Medizinwesen“. Der Dienst ist ein elementarer Bestandteil der Telematikinfrastruktur der Gematik, welche die geschützte digitale Kommunikation innerhalb des deutschen Gesundheitswesens ermöglichen soll. Als Standard für sichere E-Mails erlaubt KIM die elektronische Übermittlung medizinischer Unterlagen, etwa Arbeitsunfähigkeitsbescheinigungen (eAU) oder elektronische Arztbriefe, zwischen Leistungserbringern – verschlüsselt und authentifiziert.
Entwickelt wurde KIM, um Faxgeräte und ungesicherte Mailübertragungen abzulösen. Jede Kommunikation über KIM erfolgt verschlüsselt, und die Teilnehmer müssen sich eindeutig gegenüber dem System identifizieren. Umso schwerwiegender wirken in diesem Kontext aktuelle Sicherheitslücken, die nicht nur Schwachstellen in der technischen Umsetzung offenbaren, sondern in ihrer Tragweite den Datenschutz von Millionen Patienten gefährden könnten.
Aufgedeckte Sicherheitsprobleme: Wie angreifbar ist KIM wirklich?
Im Herbst 2023 wurden mehrere gravierende Schwachstellen im KIM-System öffentlich gemacht. Sicherheitsforscher von Zerforschung und dem Chaos Computer Club (CCC) hatten verschiedene KIM-Mail-Provider untersucht – mit alarmierenden Ergebnissen. Bei mindestens vier der sechs geprüften Anbieter konnten sie Sicherheitslücken feststellen, die teilweise grundlegende Schwächen bei der Transportverschlüsselung und der Serverkonfiguration offenbarten.
Laut einem Blogeintrag der Gruppe Zerforschung betrafen die Probleme u. a. fehlende Authentifizierungen bei E-Mail-Relays, unsichere Konfigurationen bei TLS-Zertifikaten sowie das Fehlen zwingender Domain-Authentifizierung (DMARC, SPF, DKIM). Besonders kritisch: In einigen Fällen war es möglich, E-Mails im Namen anderer Leistungserbringer zu verschicken – ein potenzieller Einfallspfad für Social Engineering oder gezielte Manipulation von Gesundheitsakten.
Ein Konflikt zwischen Sicherheit und Interoperabilität liegt KIM strukturell zugrunde. Um eine möglichst breite Einbindung in verschiedene Systeme zu gewährleisten, müssen viele Anbieter beteiligt werden – was zu inhomogenen IT-Landschaften führt. Die Verantwortung für korrekte Implementierung liegt bei den KIM-Anbietern. Die Gematik verfasst zwar Spezifikationen, kann aber offenbar nicht alle Implementierungen laufend überprüfen.
Gematik und das BSI: Reaktion auf die Enthüllungen
Nach Veröffentlichung der Sicherheitsanalysen reagierte die Gematik zunächst zögerlich. Erst auf verstärkten öffentlichen Druck hin kündigten Vertreter der Gematik an, die betroffenen Anbieter zur Nachbesserung aufzufordern. Zudem wurde die Einführung eines Security-Monitoringsystems angekündigt, das künftig Schwachstellen automatisiert erfassen und melden soll.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) äußerte unterdessen kritische Worte zur Architektur der Telematikinfrastruktur. In einem internen Bericht, der 2024 öffentlich wurde, bewertete das BSI die strukturelle Sicherheit des KIM-Systems als „unzureichend für die Schutzbedarfe medizinischer Kommunikationsdaten“. Besonders bemängelt wurden die fehlende Ende-zu-Ende-Verschlüsselung und die zentrale Rolle von Serverbetreibern bei der Verarbeitung sensibler Inhalte.
Ein Sprecher der Gematik erklärte gegenüber heise online, man plane mittelfristig ein neues Sicherheitsmodell – inklusive automatisierter Zertifikatsprüfung, Zwang zu TLS-1.3-Verbindungen und besseren Anforderungsprofilen für Anbieter.
Risiken für Praxis, Klinik und Patient
Die KIM-Schwachstellen haben nicht nur technische, sondern auch rechtliche und ethische Implikationen. Laut Art. 32 DSGVO ist jede Organisation verpflichtet, geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu ergreifen. Kommt es zu einem Datenschutzvorfall aufgrund fehlerhafter KIM-Implementierung, stehen sowohl der Anbieter als auch die angeschlossenen Leistungserbringer unter Haftungsdruck.
Noch schwerwiegender sind die potenziellen Folgen für Patienten. Bereits ein manipuliertes elektronisches Rezept oder eine gefälschte eAU kann erhebliche gesundheitliche oder wirtschaftliche Schäden verursachen. Zudem droht ein massiver Vertrauensverlust in digitale Gesundheitsdienste.
Ein Sprecher der Kassenärztlichen Bundesvereinigung (KBV) mahnt: „Wir können nicht Digitalisierung um jeden Preis betreiben. Wenn Kommunikationsplattformen nicht sicher sind, lassen sich Ärzte und Psychotherapeuten zu Recht abschrecken.“
Sicherheitsarchitektur kritisch hinterfragen
KIM basiert auf S/MIME-basiertem E-Mail-Versand via SMTP – einem grundsätzlich veralteten Protokoll, das selbst durch TLS nicht alle modernen Sicherheitsanforderungen erfüllt. Eine wirksamere Absicherung müsste auf vollständige Ende-zu-Ende-Verschlüsselung und quelloffene Clients setzen. Das jedoch würde tiefgreifende Änderungen sowohl auf Seiten der Infrastruktur als auch auf Seiten der Praxisverwaltungssysteme erfordern.
Im internationalen Vergleich zeigt sich, dass andere Länder wie Estland oder die Niederlande beim Thema medizinischer Kommunikationssicherheit deutlich weiter sind. Estland nutzt für nahezu alle Kommunikation digital signierte und verschlüsselte REST-API-Schnittstellen, die zentral vom Staat gehostet werden – dezentral, unabhängig vom Anbieter, aber zentral gesteuert und überwacht.
Aktuelle Studien und Zahlen zur Bedrohungslage im Gesundheitswesen
Ein Blick auf aktuelle Zahlen verdeutlicht die Brisanz: Laut dem Branchenverband Bitkom waren 2024 rund 58 Prozent aller Gesundheitseinrichtungen in Deutschland von Cyberangriffen betroffen – ein Anstieg um 12 Prozentpunkte gegenüber dem Vorjahr (Bitkom-Studie 2024).
Auch international nimmt der Trend zu. Laut IBM’s „Cost of a Data Breach Report 2024“ beträgt der durchschnittliche Schaden je Datenschutzverletzung im Gesundheitswesen mittlerweile 10,93 Millionen US-Dollar – der höchste Wert aller untersuchten Branchen.
Handlungsempfehlungen für medizinische Einrichtungen und IT-Verantwortliche
- Zero-Trust-Prinzip umsetzen: Anwendungen und Dienste innerhalb der Praxis- oder Klinik-IT sollten nicht auf Vertrauensannahmen beruhen, sondern laufend authentifiziert und überprüft werden – auch bei interner Kommunikation.
- E-Mail-Strategien überdenken: KIM sollte, wo möglich, durch alternative Plattformen mit stärkerer Ende-zu-Ende-Verschlüsselung ersetzt oder ergänzt werden. Auch kurzfristig können DMARC-, SPF- und DKIM-Policies schützend wirken.
- Sicherheits-Audits regelmäßig einplanen: Nicht nur KIM, sondern sämtliche Schnittstellen zur Telematikinfrastruktur sollten halbjährlich geprüft werden – bevorzugt von unabhängigen Stellen gemäß ISO 27001 oder BSI Grundschutz.
Fazit: Zwischen Infrastruktur und Verantwortung
KIM ist ein gut gemeintes, aber technisch wie organisatorisch verletzliches System. Es zeigt exemplarisch, welche politischen und technischen Herausforderungen bei der Digitalisierung kritischer Infrastrukturen aufeinandertreffen. Echte Sicherheit entsteht nicht durch Verschlüsselungsprotokolle allein, sondern durch umfassende Prozesse, Schulungen, Monitoring und Transparenz.
Die Enthüllungen rund um KIM sollten als Weckruf verstanden werden. Statt kurzfristiger Flicklösungen braucht das Gesundheitswesen langfristige Sicherheitsarchitekturen und echte Interoperabilität mit Datenschutz
