Deutschland will die Kommunikation im Gesundheitswesen digital abwickeln. KIM ist dafür ein zentrales Werkzeug. Arztbriefe, elektronische Arbeitsunfähigkeitsbescheinigungen und Befunde sollen nicht mehr per Post, Fax oder unsicheren Zwischenlösungen wandern, sondern verschlüsselt über die Telematikinfrastruktur.Genau deshalb lohnt sich der Blick auf den Vortrag „KIM: Noch mehr Chaos in der Medizinischen Telematikinfrastruktur“ des 39. Chaos Communication Congress in Hamburg. Er zeigt am konkreten Beispiel, wie gut gemeinte Sicherheitskonzepte an Details scheitern können, wenn Spezifikationen, Software und Betrieb nicht sauber zusammenspielen.Wie KIM in Praxen technisch funktioniertDer Vortrag macht verständlich, wie KIM technisch funktioniert. Zwischen Praxissoftware und Internet sitzt meist ein KIM Clientmodul. Es verschlüsselt und signiert Nachrichten mit Hilfe des TI Connectors und der Praxis Karte. Für Anwender fühlt es sich wie E-Mail an, aber die entscheidenden Prüfungen passieren in dieser Zusatzschicht.Die zentrale Erkenntnis ist, dass Kryptografie allein nicht reicht. Mehrere gezeigte Probleme lagen nicht in „gebrochener Verschlüsselung“, sondern in Randbereichen. Dazu zählen fehleranfällige Parser, zu großzügige Ausnahmen im Standard, unklare Bindung zwischen Absender und Signatur oder unzureichende Zertifikatsprüfungen bei Verbindungen. Aus solchen Lücken entstehen reale Folgen, etwa Clientmodule, die sich durch spezielle Nachrichten aufhängen lassen, oder Nachrichten, die für Empfänger vertrauenswürdiger wirken, als sie es technisch sind.KIM ist kein Nischenprojekt. Es ist Alltag in Praxen und Kliniken und transportiert hochsensible Daten. Wenn der Sicherheitsrahmen Schwächen hat, trifft das nicht nur Technikteams, sondern auch Patientenversorgung und Vertrauen in digitale Prozesse.Der Vortrag zeigt außerdem ein Muster, das man in deutschen Digitalprojekten immer wieder sieht. Es wird viel über Funktionen, Rollout und Nutzerfreundlichkeit gesprochen, während Sicherheitsannahmen im Betrieb oft zu spät geprüft werden. Im Video wird auch deutlich, dass sich Lücken schließen lassen, wenn Meldungen ernst genommen werden.Unterm Strich bleibt für Zuschauer die Einordnung, dass KIM in vielen Fällen besser ist als die Alternativen, aber dass Digitalisierung nur dann trägt, wenn IT Sicherheit von Anfang an als Teil der Architektur verstanden und im Betrieb konsequent durchgezogen wird.Der Beitrag 39C3: Vortrag zeigt Schwachstellen in der Telematikinfrastruktur erschien zuerst auf ifun.de.