Checkmk warnt vor Sicherheitslücken in der gleichnamigen Netzwerk-Überwachungssoftware. Eine betrifft den Windows-Agent und verpasst eine Einordnung als kritisches Sicherheitsrisiko nur knapp, eines der weiteren Lecks dürfte Admins hingegen keinen Schlaf rauben.

In der Versionsankündigung zu Checkmk 2.4.0p13, Checkmk 2.3.0p38 sowie Checkmk 2.2.0p46, die die Entwickler am Donnerstag dieser Woche veröffentlicht haben, nennen die Programmierer drei Sicherheitslücken, die mit den Updates geschlossen werden. Am schwerwiegendsten wirkt sich eine Lücke in den Windows-Versionen aus. Laut Schwachstellenbeschreibung ermöglicht die Verwendung eines unsicheren temporären Verzeichnisses im Windows-Lizenz-Plugin für den Checkmk Windows Agent eine Rechteausweitung (CVE-2025-32919 / EUVD-2025-33350, CVSS 8.8, Risiko „hoch„).

Mehrere Schwachstellen in Monitoring-Software

Außerdem können angemeldete Nutzerinnen und Nutzer eine unzureichende Filterung des Report Scheduler missbrauchen, um Speicherorte für Berichte außerhalb des eigentlich gesetzten Root-Verzeichnisses anzugeben (CVE-2025-39664 / EUVD-2025-33348, CVSS 7.1, Risiko „hoch„). In HTTP-Get-Anfragen von Checkmk können sensible Daten aus Formularen im URL-Query-Parameter landen, die an diversen Stellen wie im Browserverlauf oder den Web-Server-Logdateien protokolliert werden (CVE-2025-32916 / EUVD-2025-33351, CVSS 1.0, Risiko „niedrig„).

Die sicherheitsrelevanten Fehler bügelt Checkmk in den Fassungen 2.4.0p13, 2.3.0p38 und 2.2.0p46 aus. Checkmk 2.1.0 ist ebenfalls verwundbar, jedoch am Service-Ende angelangt – eine Aktualisierung gibt es hierfür nicht mehr. Admins sollten die bereitstehenden Updates zügig installieren respektive auf noch unterstützte Versionen migrieren.

Im vergangenen Jahr hatte Checkmk eine kritische Sicherheitslücke abzudichten. Sie erlaubte Angreifern die Umgehung der Mehrfaktorauthentifizierung.

(dmk)

Die Free Software Foundation ist am 4. Oktober 40 Jahre alt geworden. Im Zuge der Feierlichkeiten hat die FSF-Geschäftsführerin Zoë Kooyman mit dem LibrePhone Projekt eine neue Initiative angekündigt, die eine Alternative zu den dominierenden Mobile-Plattformen von Apple und Google erschaffen soll. Ziel sei es, eine Plattform zu entwickeln, die „full computing freedom“ für mobile Geräte bieten soll.

Laut der FSF soll das LibrePhone Projekt in Partnerschaft mit Rob Savoye entstehen. Der Entwickler arbeitet seit den 1980er Jahren an freier Software, war Chef-Entwickler des freien Flash-Players Gnash. Zudem hat er an einer Reihe von Projekten wie der GNU-Toolchain, GCC (GNU Compiler Collection), GDB, Cygwin, Debian und Red Hat Code mitgearbeitet.

„Da das Mobiltelefon heute so allgegenwärtig ist, sind wir sehr begeistert von LibrePhone und glauben, dass es das Potenzial hat, Softwarefreiheit für viel mehr Nutzer auf der ganzen Welt zu ermöglichen“, heißt es im Blogbeitrag der FSF.

Wenige Details

Die Ankündigung zum neuen Projekt liefert wenige Details, jedoch dürfte klar sein, dass ein solches Projekt nach den strengen FSF-Prinzipien freier Software entwickelt wird. Laut FOSS News soll mit dem LibrePhone Projekt „eine vollständig offene mobile Plattform von Grund auf neu“ entwickelt werden.

Auf Hackernews schreibt Nutzer „disjunct“ derweil, dass im Livestream der Veranstaltung erklärt wurde, dass Rob Savoyes Arbeit daraus bestehen soll, „das freieste Android-ROM und -Telefon“ zu finden und die proprietären Komponenten gemäß den Standards der FSF rückentwickelt. Das könnte bedeuten, dass ein LibrePhone auf Googles AOSP basieren dürfte; einen freien App-Store gäbe es mit F-Droid auch schon.

Damit müsste die FSF das Rad nicht neu erfinden, jedoch haben Custom-ROM-Entwickler derzeit arge Probleme mit der Art, wie Google das AOSP behandelt. So hält Google etwa Device-Trees seiner Pixel-Geräte zurück, was die Entwicklung von Custom ROMs einfach gestaltete. Zudem hat Google die Android-Sicherheitspatch-Strategie von monatlichen Zyklen auf ein „Risk Based Update System“ geändert und liefert damit nur noch quartalsweise umfangreiche Patches.

Das LibrePhone-Projekt ist nicht der erste Anlauf, ein freies mobiles Betriebssystem zu entwickeln. Schon 2010 kündigte die FSF mit „Replicant“ ein eigenes Custom ROM an, das offenbar weiter existiert, jedoch nie große Verbreitung fand.

(afl)

Die Telematikinfrastruktur (TI) soll Praxen, Apotheken und Kliniken sicher vernetzen, Verwaltungsprozesse vereinfachen und Behandlungen effizienter machen. In der Praxis zeigt sich jedoch, dass zwischen Anspruch und Alltag oft eine deutliche Lücke bleibt. Allein im September gab es zahlreiche Störungen, die die Arbeit der Ärzte behindert haben.

In den kommenden Wochen steht den Ärzten und Apothekern noch eine weitere große technische Herausforderung bevor, nämlich die Umstellung der kryptografischen Verfahren in der Telematikinfrastruktur von RSA auf ECC (Elliptic Curve Cryptography). Grund dafür sind laut Gematik „europarechtliche Vorgaben“, die verlangen, dass Komponenten der TI – darunter unter anderem Konnektoren, Heilberufsausweise (eHBA), Institutionskarten (SMC-B) – das neue Verfahren unterstützen müssen.

Da die verbleibende Zeit bis zur Umstellung knapp ist und noch zahlreiche Karten und Konnektoren getauscht werden müssen, warnen die Gematik und IT-Dienstleister bereits vor möglichen Lieferengpässen und längeren Bearbeitungszeiten. Ärztinnen und Ärzte sollten sich daher frühzeitig mit ihren IT-Anbietern in Verbindung setzen, um zu prüfen, ob ihre Praxis-Hardware von der Umstellung betroffen ist. Neue eHBAs sollten idealerweise spätestens bis zum 1. Dezember 2025 vorliegen, um einen reibungslosen Betrieb zu garantieren – SMC-Bs und gerätespezifische Sicherheitsmodulkarten (gSMC-KT-Karten) können übergangsweise erstmal noch weiter genutzt werden.

Wir haben mit einem niedergelassenen Arzt, Dr. Marius Martin, gesprochen, der die TI seit Jahren nutzt, und mit seinem Bruder, Diplom-Informatiker Marcus Dromowicz, der ihn bei der IT in der Praxis unterstützt. Im Gespräch berichten die beiden, welche digitalen Prozesse inzwischen gut funktionieren – und wo technische Hürden, hohe Kosten und organisatorische Reibungsverluste den Praxisbetrieb noch bremsen.

Welche Vorteile gibt es mit der TI?

Marius Martin: Das E-Rezept – nachdem es flüssig funktionierte – war schon eine Erleichterung, da Rezepte ausgestellt werden konnten, ohne dass die Patienten persönlich in die Praxis kommen mussten – gerade in Zeiten der Corona-Pandemie war das ein großer Vorteil.

Welche Schwierigkeiten sind Ihnen im Laufe der Zeit begegnet?

Martin: Das größte Problem war zunächst, dass die gesamte TI extrem langsam war. Teilweise ließ e sich gar nicht bedienen. Besonders betroffen war ein Zusatzmodul zur Dokumentenorganisation. Dort reagierte zum Beispiel das Hochladen von Bildern überhaupt nicht mehr. Wir wussten lange nicht, ob das am PC, am Server, an falschen Einstellungen oder tatsächlich an der TI lag.

Außerdem reagierte das PVS-System sehr langsam und stürzte regelmäßig ab. Leider fühlte sich der zuständige IT-Dienstleister nicht wirklich verantwortlich, sodass wir uns letztlich entschieden haben, eine externe Drittfirma für den Telematik-Support fest zu beauftragen. Mit diesen läuft die Unterstützung deutlich zuverlässiger.

E-Rezepte und elektronische Arbeitsunfähigkeitsbescheinigungen konnten häufig nicht versendet werden. Das führte dazu, dass wir am Abend zahlreiche Untersuchungen nachtragen mussten und die Patientinnen und Patienten in der Zwischenzeit nur handschriftliche Rezepte erhielten. Der zusätzliche Arbeitsaufwand war enorm.

Marcus Dromowicz: 2021 haben wir im Zuge einer Praxisübernahme, bei der ein Kollege ausgeschieden ist, gleich einen Serverwechsel gemacht. Dafür haben wir rund 8000 Euro in neue Hardware investiert und auch einen externen IT-Dienstleister hinzugezogen. Leider stellte sich heraus: Mit der neuen Hardware wurde es nicht wirklich besser. Das System blieb weiterhin relativ langsam.

Und wie lief es damals mit dem Konnektortausch?

CGM wollte den Austausch vornehmen, da die Zertifikate abliefen. Das sollte 2800 Euro kosten. Da wir ohnehin schon unzufrieden waren, haben wir uns für die Alternative „Konnektor in der Cloud“ entschieden. Anfangs gab es Probleme, weil sich Anbieter gegenseitig den schwarzen Peter zugeschoben haben. Mittlerweile läuft es stabiler – auch durch den Wechsel auf einen leistungsfähigeren Server.

Haben Sie die TI-Komponenten in Ihrer Praxis schon auf die neue Verschlüsselung (ECC) umgestellt?

Unsere Hauptkarte ist bereits kompatibel, bei einer zweiten Karte hoffen wir ebenfalls darauf. Auch elektronische Heilberufsausweise (eHBA) haben wir neu bestellt. Lediglich die gSMC-KT-Karten in den Behandlungszimmern laufen nächstes Jahr ab und müssen ausgetauscht werden. Ich hoffe, dass wir den Tausch selbst übernehmen können, ohne dass es wieder wochenlange Störungen gibt.

Gab es beim Kartentausch Schwierigkeiten?

Dromowicz: Ja, mit der SMC-B-Karte (Sicherheitsmodulkarte Typ B). Die wurde auf den ausgeschiedenen Kollegen registriert – mit dessen E-Mail- und sogar Privatadresse, obwohl wir nachweislich korrekte Daten eingetragen hatten. Dadurch landeten alle Aktivierungs-Mails bei ihm. Die Bundesdruckerei beziehungsweise D-Trust sagte dann, die Stammdaten in der Datenbank seien endgültig und nicht änderbar. Man bot uns nur die Aktivierung vor Ort an, was aber absurd war. Wir haben die fehlerhafte Karte inzwischen storniert – trotz bereits verschickter Mahnungen. Das sind aber nicht die einzigen Probleme.

Welche gibt es denn noch?

Martin: Bei den mobilen Kartenlesegeräten funktioniert zum Beispiel nicht einmal der Einschaltknopf zuverlässig. Um das Gerät zu starten, muss man häufig den Deckel auf der Rückseite abnehmen und die eHBA-Karte neu einsetzen. Außerdem ist der Batterieverbrauch hoch – lässt man sie im Gerät, sind sie innerhalb von zwei Tagen tatsächlich entladen.

Besonders ärgerlich war es außerdem, dass eines der mobilen Kartenlesegeräte von Ingenico nach einem eingespielten Upgrade nicht mehr funktionierte. Um mit neuen Praxisausweisen und elektronischen Heilberufsausweisen zusammenzuarbeiten, müssen diese mobilen Geräte aktualisiert werden. Eins unserer Kartenlesegeräte lieferte während des Flash-Upgrades einen Signatur-Fehler und brach das Update ab. Obwohl es nach dem Einschalten den Update-Vorgang erneut starten will und auch unsere Admin-PIN noch erkennt, kommt es jedes Mal zum gleichen Fehler.

Dromowicz: Gerade gibt es auch das nächste Problem. Eine Webanwendung eines weiteren Anbieters funktioniert gerade nicht, die wir allerdings für den gSMC-KT-Kartentausch benötigen. Darüber müssen die neuen Karten mit den Lesegeräten gekoppelt werden. Da wird die Zeit auch allmählich knapp.

Stürzen die denn inzwischen weniger häufiger ab?

Dromowicz: Das Einlesen der Versichertenkarten hat teilweise 10 bis 20 Sekunden gedauert. Klingt nicht viel, summiert sich aber bei jeder Patientin und jedem Patienten enorm. Außerdem kam es oft vor, dass Kartenlesegeräte komplett ausfielen. Dann blieb uns nur, das Gerät aus- und wieder einzustecken, was immer wieder Zeit kostete. Die Aufsätze „Orga Protect“ halfen auch nicht viel. Diese Schwierigkeiten gibt es überall. Viele Praxen kämpfen mit ähnlichen Problemen – lange Laufzeiten, Inkompatibilitäten, überteuerte Hardware oder ausbleibender Support. Wir sind da also bei Weitem kein Einzelfall.

Reicht die TI-Pauschale eigentlich für all diese Kosten?

Martin: Die Pauschalen der KV sind in der Regel so kalkuliert, dass sie die reinen Anschaffungskosten abdecken. Was jedoch nicht berücksichtigt wird, ist der erhebliche Aufwand für die Einrichtung und Wartung. Die Techniker benötigen meist deutlich mehr Zeit als geplant, und diese zusätzlichen Kosten werden weder erstattet noch übernommen.

(mack)