Keine apothekenrelevanten TI-Dienste betroffen
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt derzeit vor einer massiven Sicherheitslücke. Es hat seine Cyber-Sicherheitswarnung daher auf die Warnstufe Rot hochgestuft. Offenbar ist nicht ausgeschlossen, dass auch Teile der Telematikinfrastruktur betroffen sind. Wie die Gematik auf ihrer Webseite mitteilt, sind einige Dienste der TI daher präventiv vom Internet getrennt worden. Apothekenrelevante Anwendungen sollen nach aktuellem Kenntnisstand nicht betroffen sein.
Aufgrund der aktuellen Meldung des BSI zur „log4j“ Schwachstelle mussten einige Dienste der Telematikinfrastruktur präventiv vom Internet getrennt werden. Das teilt die Gematik am gestrigen Sonntag auf ihrer Webseite mit. Die betroffenen Dienste seien potenziell von der Schwachstelle, vor der das BSI derzeit warnt, betroffen und werden erst nach dem Schließen der Lücke wieder erreichbar sein. Es handelt sich dabei aber nach aktuellem Kenntnisstand nicht um Anwendungen, die für Apotheken relevant sind, das teilt die Gematik auf Nachfrage der DAZ mit.
Der Grund, warum das BSI die Bedrohungslage durch die Schwachstelle (Log4Shell) in der Java-Bibliothek Log4j als extrem kritisch einschätzt und die bestehende Cyber-Sicherheitswarnung auf die Warnstufe Rot hochstuft, ist zum einen laut der Webseite, dass das betroffene Produkt so weit verbreitet ist. Außerdem ist die Schwachstelle anscheinend sehr einfach ausnutzbar. Der Machbarkeitsnachweis ist laut BSI öffentlich verfügbar. Eine erfolgreiche Ausnutzung der Schwachstelle ermögliche eine vollständige Übernahme des betroffenen Systems, heißt es in der Warnmeldung.
Mehr zum Thema
Deutscher Apothekerverband muss sich erklären
Berliner Datenschutzbeauftragte prüft Sicherheitslücke im DAV-Portal
Im Vertretungsfall
Apotheker dürfen ihren HBA nicht verleihen
Das ganze Ausmaß der Bedrohungslage sei aber aktuell nicht abschließend feststellbar, so das BSI. Welche Produkte verwundbar seien und für welche es bereits Updates gibt, sei derzeit nicht vollständig überschaubar und daher im Einzelfall zu prüfen. Zwar gebe es für die betroffene Java-Bibliothek Log4j ein Sicherheits-Update, allerdings müssten alle Produkte, die Log4j verwenden, ebenfalls angepasst werden. Das BSI erwartet, dass in den nächsten Tagen weitere Produkte als anfällig erkannt werden. Bei den Apothekensoftwarehäusern beispielsweise sollen interne Prüfungen laufen, inwiefern die eigenen Server betroffen sind. Das BSI rät, sobald Updates für einzelne Produkte verfügbar sind, sollten diese eingespielt werden. Darüber hinaus sollten alle Systeme auf eine Kompromittierung untersucht werden, die verwundbar waren.
Die Gematik weist in ihrer Meldung zudem darauf hin, dass die getroffenen Vorsichtsmaßnahmen dem Schutz der Patientendaten dienen sollen. Man arbeite seitens der Gematik gemeinsam mit den Partnern mit Hochdruck daran. Bei neuem Kenntnisstand wolle man umgehend informieren.
Quelle: Den ganzen Artikel lesen