Was die Sicherheitsforscher nun vorstellten, war ein massiver Implementierungsfehler. Bei insgesamt acht Krankenkassen wurden von Dienstleistern dieselben S/MIME-Keys vergeben. Dadurch wurde die Verschlüsselung unter den Beteiligten aufgehoben – und jeder der Beteiligten hätte für die anderen Krankenkassen mit gleichem Key auch Nachrichten signieren können. “Das ist der GAU in der PKI” (der Public Key Infrastructure), erläuterte Schinzel. Den Sicherheitsforschern zufolge hatten einmal drei Krankenkassen denselben im September 2021 ausgestellten Schlüssel, bei einem zweiten Schlüssel fünf. 28 Prozent der Bürger seien über diese acht Krankenkassen versichert gewesen.
CCC-Seite zum Vortrag: KIM: Kaos In der Medizinischen Telematikinfrastruktur (TI)