Log4j: Was die TI-Sicherheitslücke bedeutet – und warum RED-Kunden beruhigt sein können
Seit bekannt wurde, dass eine Sicherheitslücke in der Telematikinfrastruktur besteht, herrscht helle Aufregung im Gesundheitswesen. Während die gematik kurzzeitig einzelne TI-Dienste vom Netz nahm, stellten sich für Praxen, Apotheken und viele weitere medizinische Leistungserbringer drängende Fragen: Was bedeutet die Sicherheitslücke für den laufenden Betrieb? Welche Maßnahmen müssen ergriffen werden? Und wie kann man den Gefahren zukünftig entgegenwirken? In diesem Artikel möchten wir die aktuelle Situation näher beleuchten und Lösungswege aufzeigen. Eine Info vorab: Die Software von RED ist nicht von der Log4Shell-Sicherheitslücke betroffen.
Was ist passiert?
In der vergangenen Woche entdeckten Experten eine Sicherheitslücke (“Log4Shell”) in der weit verbreiteten Software-Bibliothek “Log4j”. Dabei handelt es sich um ein kostenlos verfügbares Programm für Java-Anwendungen, das Nutzerzugriffe protokolliert und von vielen Servern weltweit genutzt wird.
Nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) können Hacker diese Schwachstelle ausnutzen, um eigenen Programmcode auf dem Zielsystem auszuführen und somit den Server zu kompromittieren. Zahlreiche Unternehmen müssen daher um ihre Datensicherheit fürchten. Das BSI sprach daraufhin von einer “extrem kritischen Bedrohungslage” und veröffentlichte in der Folge eine Cyber-Sicherheitswarnung der Warnstufe Rot.
Was bedeutet die Sicherheitslücke für das Gesundheitswesen?
Da die “Log4Shell” auch die Telematikinfrastruktur betrifft, ist die Befürchtung groß, dass Cyberkriminellen innerhalb des digital vernetzten Gesundheitswesens nun auf sensible Patientendaten zugreifen können. Die gematik sah sich deshalb gezwungen, einige Dienste der TI präventiv vom Internet zu trennen – darunter das Versichertenstammdatenmanagement (VSDM) und die elektronische Patientenakte (ePA).
Während das VSDM nach kurzer Zeit wieder für alle Versicherten erreichbar war, dauerten die Wartungsarbeiten rund um die elektronische Patientenakte etwas länger – aber auch hier sind ebenfalls wieder alle Funktionalitäten verfügbar. Wichtig: RED hatte auf diese Situation keinen Einfluss. Erst als die gematik die einzelnen Anwendungen freigab, waren die gewohnten TI-Funktionalitäten wieder verfügbar.
Warum ist RED nicht betroffen?
Nach Bekanntwerden der Sicherheitslücke hat RED umgehend eine kritische Untersuchung der eigenen Systemstruktur durchgeführt. Dort bestätigte sich die vorherige Vermutung: Die Software von RED ist nicht von der Sicherheitslücke betroffen, denn RED verwendet als Protokollierungsbibliothek eine hochsichere Alternative zu “Log4j” und hat somit innerhalb der Software keine Berührungspunkte mit der kürzlich identifizierten Schwachstelle.
Wie geht es jetzt weiter?
Erneut zeigt sich, wie wertvoll eine cloudbasierte IT-Lösung bei sicherheitskritischen Vorfällen sein kann. Während medizinische Leistungserbringer mit traditioneller Software ihre Server überprüfen (lassen) müssen, um sicherzustellen, dass eventuell vorhandene Sicherheitslücken geschlossen wurden, liegt bei RED die Wartung und das Aufspielen von Updates in den Händen unserer erfahrenen Administratoren. Aufwändige und kostspielige Vor-Ort-Einsätze sind damit nicht notwendig, denn die erforderlichen Updates werden Ihnen automatisch in RED medical zur Verfügung gestellt, sobald sie verfügbar sind.
Es gilt weiterhin: Sie kümmern sich um Ihre Patienten, wir um Ihre Technik.