secon-tool
Absender-Spoofing durch Lücke in der Zertifikat-Aussteller-Prüfung
Wird das Zertifikat, das eine eingehende Nachricht signiert hat, nicht direkt im Verzeichnis des Empfängers gefunden, prüft secon-tool das mitgeführte Zertifikat, indem es dessen Aussteller im Verzeichnis sucht und die Signatur des Ausstellers darüber prüft, ohne zu prüfen, ob der gefundene Aussteller eine Certificate Authority ist. Jedes im Verzeichnis vorhandene End-Entity-Teilnehmerzertifikat wird dadurch als Signaturberechtigter akzeptiert. Ein registrierter Teilnehmer, der den privaten Schlüssel eines solchen Zertifikats besitzt, kann ein untergeordnetes Zertifikat mit beliebigem Subject ausstellen und eine Nachricht unter dieser vorgetäuschten Identität prüfen lassen.
Dieser Sicherheitshinweis enthält im Rahmen der koordinierten Offenlegung nur eingeschränkte Informationen. Bitte schauen Sie später für weitere Details vorbei.
Beschreibung
secon-tool ist die quelloffene Referenzimplementierung der GKV-SECON-Security-Schnittstelle (Anlage 16), die den Nachrichtenaustausch im deutschen gesetzlichen Krankenversicherungssystem signiert und verschlüsselt. Wir schätzen die Arbeit des Projekts an einer sauberen, prüfbaren Grundlage für diese Schnittstelle. Wir haben diese Schwachstelle im Juni 2026 vertraulich an die Techniker Krankenkasse gemeldet; sie reagierte konstruktiv und veröffentlichte einen Fix.
Der Fix lässt die Aussteller-Suche jedes Zertifikat ablehnen, dessen BasicConstraints es nicht als Certificate Authority ausweist, sodass ein End-Entity-Teilnehmerzertifikat nicht länger als Signaturberechtigter fungieren kann. Dies ist eine koordinierte Offenlegung; der vollständige technische Bericht folgt nach Ablauf des Remediation-Zeitfensters.
Auswirkung
- Ein registrierter Teilnehmer kann eine SECON-Nachricht fälschen, die der Empfänger, eine Krankenkasse oder ein Leistungserbringer, einem anderen Teilnehmer zuschreibt, und verwendet dafür nur sein eigenes rechtmäßig ausgestelltes Zertifikat samt privatem Schlüssel sowie das öffentliche Zertifikat des Empfängers. Die Reichweite hängt davon ab, wie das Verzeichnis des Empfängers befüllt ist: Deployments, die End-Entity-Teilnehmerzertifikate in den Keystore legen, den secon-tool als Verzeichnis nutzt, sind betroffen, während ein Deployment, das dort nur Certificate-Authority-Zertifikate hält und Teilnehmer über LDAP auflöst, über diesen Pfad nicht betroffen ist. Wo ein Konsument eine Autorisierungsentscheidung an der authentifizierten Absenderidentität festmacht, erlangt der Angreifer dadurch die Autorisierung der vorgetäuschten Partei, und der unter der vorgetäuschten Identität verarbeitete Abrechnungs-, Mitgliedschafts- oder DiGA-Datensatz gehört zu einer realen versicherten Person.
Abhilfe
Aktualisieren Sie auf secon-tool 1.2.3 oder neuer, das jeden Aussteller-Kandidaten ablehnt, der nicht als Certificate Authority markiert ist. Bis zum Update können Betreiber die Exposition verringern, indem sie den Keystore prüfen, den secon-tool als Verzeichnis nutzt, und alle End-Entity-Zertifikate (Nicht-CA) entfernen; wo Teilnehmerzertifikate erreichbar bleiben müssen, ist ein LDAP-basiertes Verzeichnis vorzuziehen, das nur Certificate-Authority-Zertifikate hält.
Referenzen
So können wir helfen
Wer wir sind
Die Sicherheitsforscher hinter diesem Sicherheitshinweis.

Dr. rer. nat. Simon Weber
Senior Pentester & MedSec-Forscher
Ich evaluiere Ihr SaMD mit derselben branchenprägenden Sicherheitsexpertise, die ich dem BAK MV für die Überarbeitung des B3S-Standards beigetragen habe.
- Promotion über Krankenhaus-Cybersicherheit
- Kritische Schwachstellen in Krankenhaussystemen gefunden
- Alumni der THB MedSec-Forschungsgruppe
- gematik Security Hero

Dipl.-Inf. Volker Schönefeld
Senior Application Security Expert
Als ehemaliger CTO und Entwickler, der zum Pentester wurde, arbeite ich mit Ihrem Team zusammen, um Schwachstellen aufzudecken und Lösungen zu finden, die zu Ihrer Architektur passen.
- 20+ Jahre als CTO, 50+ Mio. App-Downloads
- Architektur und Absicherung großer IoT-Flotten
- Certified Web Exploitation Specialist
- gematik Security Hero
Penetrationstest gesucht?
Machine Spirits ist spezialisiert auf Sicherheitsbewertungen für Medizinprodukte und Gesundheits-IT. Von MDR-Penetrationstests bis C5-Cloud-Compliance helfen wir MedTech-Unternehmen, regulatorische Anforderungen zu erfüllen.
