Log4j-Sicherheitslücke: Was ist jetzt zu tun?

Hinweise für Praxen und Softwarehersteller

Nach Bekanntwerden einer Sicherheitslücke hat die KBV den Softwareherstellern ein Sonderupdate der KBV-Prüfmodule, des Kryptomoduls sowie des Prüfassistenten für das vierte Quartal 2021 bereitgestellt und wird auf die neusten Erkenntnisse mit Anpassungen schnellstmöglich reagieren. 

Die Hersteller von Praxisverwaltungssystemen, Laborsystemen und Datenannahmestellen wurden gebeten, das Update zu integrieren und auszuliefern.

Hinweise für Praxen

Die Programme der KBV laufen in den Praxen in einer gesicherten Umgebung, die durch eine Firewall gemäß Richtlinie §75 b geschützt und somit nicht direkt aus dem Internet erreichbar ist.

Updates umgehend einspielen

Praxen empfangen jedoch auch Daten, verarbeiten diese und senden sie weiter. Daher sollen Praxen grundsätzlich PVS-Updates vom Hersteller stets umgehend eingespielen, wenn diese zur Verfügung gestellt werden.

Die KBV hat die Bereitstellung der neuen Programmversionen für KBV-Prüfmodule am 14.12.2021 sowie am 15.12.2021 durchgeführt und wird auf die neuesten Erkenntnisse vom 17.12.2021 mit einem Hotfix für die Hersteller reagieren.

4. Quartal abrechnen falls kein Update vorhanden ist

Sollten Praxen bis zur Abrechnung des 4. Quartals 2021 noch kein Update vom jeweiligen Hersteller erhalten haben, können sie dennoch die Abrechnung erstellen und zur KV senden.

FAQ für Softwarehersteller

Frage:

Wir haben festgestellt, dass das Update mit der Version log4j 2.15 erfolgt ist. Nach unserem Kenntnisstand ist das Problem durch diese Version noch nicht behoben. Wann können wir mit einem Update mit der Version log4j 2.16 rechnen?

Antwort der KBV:

Am 17.12.2021 erfolgte eine Höherstufung von CVE-2021-45046 von einem CVSS 3.7 auf 9.0. Die KBV wird daher den empfohlenen Hotfix durchführen und die, für die Ausnutzung der Schwachstelle verantwortliche JndiLookup-Klasse aus dem Klassenpfad entfernen. Die KBV-Prüfmodule Q4/21 und Q1/22 werden daher Anfang der kommenden Woche (ab 20.12.) erneut zur Verfügung gestellt.   

Die neuen Erkenntnisse werden wir in der Weiterentwicklung der Prüfmodule Q1/2022 ff. berücksichtigen und die dann neuste Log4J-Version verwenden, um weitere Angriffsmöglichkeit über diesen Vektor auszuschließen. 
Auch hierbei gilt es zu beachten, dass die Programme in der Praxis laufen, die durch eine Firewall geschützt ist und somit nicht direkt aus dem Internet erreichbar ist.

Frage:

In unserem PVS werden die Prüfmodule mindestens der letzten vier Quartale vorgehalten, sodass wir nach der Bereitstellung der Prüfmodule für die Quartale 4/2021 und 1/2022 nach wie vor eine Sicherheitslücke hätten.

Ist es vorgesehen, dass auch hierzu eine Anpassung und Auslieferung erfolgt? Sollte keine Nachlieferung vorgesehen sein, wie sehen Handlungsempfehlungen aus, da diese Prüfmodule ansonsten ggf. entfernt werden müssten?

Antwort der KBV:

Die KBV plant keine Anpassung von Prüfmodulen, welche vor dem 4. Quartal 2021 Gültigkeit hatten. Softwarehersteller haben nach Ansicht der KBV z.B. die folgenden Möglichkeiten Praxen zu unterstützen:

• Ausführung von älteren Prüfmodul Versionen in besonders gesicherten Umgebungen.
• Für den Bereich der Abrechnung kann bspw. zur Prüfung von älteren Abrechnungsdateien - bis zum 2. Quartal 2021 - der Prüfassistent in der aktualisierten Version eingesetzt werden.
• Entfernen der älteren Versionen der Prüfmodule in den Praxen. Bei dem Export von älteren Daten könnte dann auf den Einsatz der Prüfmodule in den Praxen verzichtet werden. Die Verschlüsselung dieser älteren Daten kann mit dem aktuellen Kryptomodul erfolgen. Hintergrund des Verzichts der Prüfung mit den Prüfmodulen ist, dass die Prüfmodule lediglich dazu dienen, sicherzustellen, dass Softwarehersteller die definierten Datenstrukturen korrekt erstellen. Da der Export dieser älteren Daten bis zum gegenwärtigen Zeitpunkt in den Praxen fehlerfrei funktioniert hat und an diesen älteren Datenstrukturen keine nachträglichen Änderungen vorgenommen werden, könnte ggf. auf den Einsatz der alten Prüfmodul verzichtet werden.