If you suspend your transcription on amara.org, please add a timestamp below to indicate how far you progressed! This will help others to resume your work!
Please do not press “publish” on amara.org to save your progress, use “save draft” instead. Only press “publish” when you're done with quality control.
Die sichere E-Mail-Infrastruktur für Ärzt\*innen, Apotheker\*innen, Krankenversicherungen und Kliniken in Deutschland, KIM – Kommunikation im Gesundheitswesen – ist mit über 200 Millionen E-Mails in den letzten zwei Jahren eine der am meisten genutzten Anwendungen in der Telematikinfrastruktur (TI). KIM verspricht sichere Ende-zu-Ende-Verschlüsselung zwischen Heilberufler\*innen in ganz Deutschland, wofür S/MIME-Zertifikate für alle medizinisch Beteiligten in Deutschland ausgegeben wurden.
Was aber passiert, wenn man die Schlüsselausgabe-Prozesse in der TI falsch designt? Was passiert, wenn man unsichere Software im Feld nicht patcht? Was passiert, wenn man zu viel Sicherheit vor den Nutzenden abstrahieren möchte?
Die Antwort: Man bekommt eine theoretisch kryptographisch sichere Lösung, die in der Praxis die gesteckten Ziele nicht erreicht.
Alle gefundenen Schwachstellen wurden den Betroffenen im Rahmen abgeschlossener Responsible Disclosure-Prozesse mitgeteilt.