Alle Sicherheitshinweise

secon-tool

Umgehung der Signaturprüfung durch unsignierte CMS-Nachricht

secon-tool prüft die Signatur einer eingehenden CMS-SignedData, indem es über die in der Nachricht enthaltenen Unterzeichner iteriert, verlangt aber nicht, dass mindestens ein Unterzeichner vorhanden ist. Eine inhaltstragende Nachricht mit leerer Unterzeichnermenge durchläuft die Prüfung fehlerfrei und wird zugestellt, als hätte ein vertrauenswürdiger Absender sie signiert. Ein entfernter, anonymer Angreifer, der das öffentliche Verschlüsselungszertifikat des Empfängers kennt, das im GKV-Verzeichnis veröffentlicht und kein Geheimnis ist, kann so unsignierte, angreiferkontrollierte Inhalte als geprüfte Nachricht akzeptieren lassen; weder ein privater Schlüssel noch eine registrierte Absenderidentität sind erforderlich.

Dieser Sicherheitshinweis enthält im Rahmen der koordinierten Offenlegung nur eingeschränkte Informationen. Bitte schauen Sie später für weitere Details vorbei.

Verfasst vonVolker Schönefeld, Simon Weber2026-07-15
SchweregradHochCVSS 7.5CVSS-3.1-VektorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:NCWECWE-347 (Improper Verification of Cryptographic Signature)Produktsecon-toolBetroffene VersionenAlle veröffentlichten Versionen bis einschließlich 1.2.1.Behoben in1.2.2CVECVE-2026-62358GHSAGHSA-2c7x-4vwq-c58v

Beschreibung

secon-tool ist die quelloffene Referenzimplementierung der GKV-SECON-Security-Schnittstelle (Anlage 16), die den Nachrichtenaustausch im deutschen gesetzlichen Krankenversicherungssystem signiert und verschlüsselt. Wir schätzen die Arbeit des Projekts an einer sauberen, prüfbaren Grundlage für diese Schnittstelle. Wir haben diese Schwachstelle im Juni 2026 vertraulich an die Techniker Krankenkasse gemeldet; sie reagierte konstruktiv und veröffentlichte einen Fix.

Der Fix verlangt bei der Nachrichtenprüfung nun mindestens einen Unterzeichner und lehnt eine SignedData mit leerer Unterzeichnermenge ab. Damit wird die verpflichtende Anforderung „mindestens ein Unterzeichner" aus Anlage 16 §3.1 wiederhergestellt. Dies ist eine koordinierte Offenlegung; der vollständige technische Bericht folgt nach Ablauf des Remediation-Zeitfensters.

Auswirkung

  • Der Empfänger, eine Krankenkasse oder ein Leistungserbringer, der eingehenden SECON-Verkehr verarbeitet, handelt auf Basis beliebiger Abrechnungs-, Mitgliedschafts- oder DiGA-Inhalte, die er als authentifiziert behandelt, obwohl kein legitimer signierter Absender sie erzeugt hat. Wo die GKV-Transportschicht die Einreichung hinter einer Absenderregistrierung absichert, authentisiert diese Schicht die Zustellung und begrenzt die Exposition auf registrierte Teilnehmer; die Schwachstelle in der Bibliothek bleibt in beiden Fällen unverändert.

Abhilfe

Aktualisieren Sie auf secon-tool 1.2.2 oder neuer, das eine eingehende SignedData ohne Unterzeichner ablehnt. Bis zum Update können Betreiber die Exposition verringern, indem sie eingehende CMS-Nachrichten mit leerer Unterzeichnermenge in der SignedData ablehnen, bevor sie an secon-tool übergeben werden, und indem sie die Absenderidentität auf der Transportschicht bestätigen, wo der GKV-Austausch dies bereitstellt.

Referenzen

So können wir helfen

Wer wir sind

Die Sicherheitsforscher hinter diesem Sicherheitshinweis.

Dr. Simon Weber Profile

Dr. rer. nat. Simon Weber

Senior Pentester & MedSec-Forscher

Ich evaluiere Ihr SaMD mit derselben branchenprägenden Sicherheitsexpertise, die ich dem BAK MV für die Überarbeitung des B3S-Standards beigetragen habe.

  • Promotion über Krankenhaus-Cybersicherheit
  • Kritische Schwachstellen in Krankenhaussystemen gefunden
  • Alumni der THB MedSec-Forschungsgruppe
  • gematik Security Hero
Volker Schönefeld Profile

Dipl.-Inf. Volker Schönefeld

Senior Application Security Expert

Als ehemaliger CTO und Entwickler, der zum Pentester wurde, arbeite ich mit Ihrem Team zusammen, um Schwachstellen aufzudecken und Lösungen zu finden, die zu Ihrer Architektur passen.

  • 20+ Jahre als CTO, 50+ Mio. App-Downloads
  • Architektur und Absicherung großer IoT-Flotten
  • Certified Web Exploitation Specialist
  • gematik Security Hero

Penetrationstest gesucht?

Machine Spirits ist spezialisiert auf Sicherheitsbewertungen für Medizinprodukte und Gesundheits-IT. Von MDR-Penetrationstests bis C5-Cloud-Compliance helfen wir MedTech-Unternehmen, regulatorische Anforderungen zu erfüllen.