Infolge der Umstellung der Verschlüsselung von RSA auf Elliptic Curve Cryptography (ECC) müssen zahlreiche Komponenten wie elektronische Heilberufsausweise ausgetauscht werden. Nach einer Fristverlängerung muss dies bis spätestens Ende Juni 2026 passieren. Einigen Ärzten, die bereits über ECC-Karten verfügen, droht jedoch ein weiterer Tausch: „Karten mit dem betroffenen Infineon-Chip, die das ECC-Verfahren nutzen, dürfen nur noch bis spätestens 30. Juni 2026 für qualifizierte elektronische Signaturen eingesetzt werden“, heißt es in der Information von D-Trust. Wie viele das betrifft, sagen die Verantwortlichen nicht.

Die Gematik schreibt dazu: „Die Schwachstelle betrifft ausschließlich den Verschlüsselungsalgorithmus ECC eines Kartenproduktes eines bestimmten Herstellers und ist mittlerweile behoben. Alle betroffenen Karten sind also bereits ECC-fähig. Im Rahmen der Umstellung von RSA zu ECC wurden den Kund:innen Karten ausgeliefert, die nicht von der Schwachstelle betroffen sind“.

Die Maßnahmen erfolgen in enger Abstimmung zwischen BSI, Bundesnetzagentur und Gematik. Aus regulatorischen und technischen Gründen werden alle betroffenen eHBAs sukzessive bis zu dem genannten Datum gesperrt.

Betroffen sind eHBA der Generation 2.1 der Anbieter SHC+Care und D-Trust, die auf Karten des Herstellers Idemia mit Infineon-Chips basieren. Für diese Chips war im September 2024 eine Schwachstelle in der ECDSA-Implementierung der Infineon-Kryptobibliotheken bekannt geworden (EUCLEAK). Die Gematik entzog den betroffenen Karten daraufhin im Januar 2025 durch einen Verwaltungsakt die Zulassung.

Während D-Trust nach dem Entzug der Zulassung kurzfristig auf Karten des Herstellers Giesecke+Devrient umstellen konnte, ging SHC+Care juristisch gegen die Entscheidung der Gematik vor. Das Unternehmen klagte gegen den Zulassungsentzug der betroffenen Idemia-Karten und bekam vor dem Sozialgericht Schleswig Recht. Später bestätigte das Landessozialgericht Schleswig-Holstein das Urteil (Aktenzeichen: L 5 KR 38/25 B ER). Das Sozialgericht habe zudem festgestellt, dass die Telematikinfrastruktur selbst nicht betroffen sei und keine akute Gefahr bestehe.

Auch mit den betroffenen Karten ließen sich weiterhin gültige qualifizierte elektronische Signaturen erzeugen. Für die erfolgreiche Seitenkanalattacke EUCLEAK wären sowohl physischer Zugriff auf den Ausweis als auch die Kenntnis der individuellen PIN sowie Spezialausrüstung und Expertenwissen erforderlich.

So erkennen Betroffene ihre Karte

Nach Angaben von D-Trust lassen sich betroffene Karten einfach identifizieren: Auf der Rückseite ist der Schriftzug „Idemia“ aufgedruckt. Karten mit dem Schriftzug „G&D“ stammen vom Hersteller Giesecke+Devrient und sind nicht betroffen. Diese liefert D-Trust bereits seit Februar 2025 aus. Kunden mit betroffenen Karten werden laut D-Trust direkt per E-Mail informiert und müssen nicht selbst aktiv werden. Erste Ärzte sind nach Kenntnissen von heise online bereits von D-Trust informiert worden.

„Der Austausch der betroffenen eHBAs hat im Januar 2026 gestartet. Dafür werden alle Kundinnen und Kunden persönlich kontaktiert und über die Austauschmöglichkeiten informiert“, heißt es von D-Trust auf Anfrage. Betroffene könnten „ihren bisherigen eHBA kostenfrei gegen eine Ersatzkarte mit identischer Laufzeit eintauschen. Alternativ kann auch eine Folgekarte mit einer neuen Laufzeit von fünf Jahren bestellt werden. Für die meisten Berufsgruppen gilt für Folgekarten auch ein Preisnachlass von 20 Prozent. Ebenfalls von der Schwachstelle betroffene Signatur- und Siegelkarten der D-Trust wurden bereits bis Ende 2025 ausgetauscht“, so D-Trust und verwies auf seine FAQ.

Laut SHC betreffe der Austausch „nur einen begrenzten Teil der von uns ausgegebenen eHBA“. Der Austausch sei bereits 2025 gestartet. „Ein signifikanter Teil der betroffenen Karten wurde bereits ausgetauscht, die verbleibenden erfolgen sukzessive“. Das Unternehmen will sicherstellen, alle Karten vor Fristende auszutauschen. „Der Austausch erfolgt so, dass den betroffenen Kundinnen und Kunden keinerlei Nachteile finanzieller Art oder im Praxisbetrieb entstehen“, sagte SHC gegenüber heise online.

(mack)

Europäische Netzbetreiber kritisieren die Pläne der EU-Kommission, bestimmte Hersteller vollständig aus den Netzen herauszuhalten. Der Entwurf des zweiten Cybersecurity Acts (CSA) sieht vor, dass risikoreiche Zulieferer auch vollständig vom Markt und aus den Netzen verbannt werden sollten. Namen nennt die Kommission nicht, doch richtet sich der Vorstoß offensichtlich gegen chinesische Anbieter wie Huawei oder ZTE.

Damit würde die EU die Lage für europäische Netzbetreiber deutlich verschärfen. Und nicht nur für die: Die Mobilfunker sind bei weitem nicht die einzigen, die Produkte dieser chinesischen Hersteller nutzen. Auch in anderen kritischen Bereichen wie bei der Bahn, im Energiesektor oder in städtischen Netzen sind Produkte dieser Firmen im Einsatz. Darüber hinaus ist Huawei Weltmarktführer bei Wechselrichtern für Solaranlagen.

Deutscher Kompromiss

Für die deutschen Mobilfunknetze gibt es einen Kompromiss zwischen Politik und Wirtschaft: Die Chinesen fliegen aus den Kernnetzen raus und werden auf der Funkseite in absehbarer Zeit dort ersetzt, wo es kritisch werden kann – etwa bei der Software für das Netzwerkmanagement. Antennen und andere Hardware von Huawei & Co. bleiben im Einsatz. Geht es nach den Vorstellungen der EU-Kommission, wäre damit Schluss: Sobald die EU einen Ausrüster wie Huawei als Hochrisiko einstuft, müssten bereits aktive Komponenten zurückgebaut werden.

Noch ist das EU-Gesetz ein Entwurf, doch die betroffenen Branchen bringen sich in Brüssel bereits in Stellung. „Wir warnen vor Maßnahmen, die genau den Sektor erheblich schwächen würden, den sie eigentlich schützen sollen”, heißt es in einer Stellungnahme des Verbands Connect Europe, in dem vor allem die ehemals staatlichen Netzbetreiber wie Telekom, Orange und Telefónica vertreten sind.

Pauschale Eingriffe in die Lieferkette würden sich „erheblich und nachteilig auf den Netzausbau, die Betriebskontinuität und die Investitionsplanung auswirken“, mahnt der Verband und fordert vorausschauend schon einmal „mildernde Maßnahmen wie Kostenerstattungsmechanismen“. Grundsätzlich müssten Maßnahmen „risikobasiert, verhältnismäßig und praktikabel sein“.

„Unnötig und unverhältnismäßig“

Auch der Dachverband der Mobilfunkbranche meldet sich scharf zu Wort und wehrt sich gegen eine pauschale Regulierung auf EU-Ebene. „Nicht alle Ausrüstungskomponenten sind gleichermaßen sensibel, sodass pauschale Ansätze unnötig und unverhältnismäßig sind”, warnt die GSMA und betont, für Fragen der nationalen Sicherheit müssten die Mitgliedstaaten zuständig bleiben.

Zwar hätten Sicherheit und Resilienz oberste Priorität, doch könnte der Plan der EU-Kommission die für den weiteren Netzausbau zur Verfügung stehenden Ressourcen verknappen, warnt die GSMA. Gesetzgeberische Maßnahmen müssten „zielgerichtet und risikobasiert“ sein sowie den betroffenen Unternehmen „langfristige Vorhersehbarkeit“ bieten. Dem EU-Vorschlag mangele es an Verhältnismäßigkeit und er berge die Gefahr erheblicher Störungen und Kosten.

Auch Huawei selbst kritisiert den EU-Plan als undifferenziert. „Ein Gesetzesvorschlag, der Nicht-EU-Lieferanten aufgrund ihres Herkunftslandes und nicht aufgrund von Fakten und technischen Standards einschränkt oder ausschließt, verstößt gegen die grundlegenden Rechtsprinzipien der EU in Bezug auf Fairness, Nichtdiskriminierung und Verhältnismäßigkeit sowie gegen ihre Verpflichtungen gegenüber der Welthandelsorganisation WTO“, sagte ein Sprecher gegenüber der Nachrichtenagentur Reuters.

(vbr)

Die Entwickler von La Suite Docs haben Version 4.5.0 ihrer Open-Source-Kollaborationsplattform veröffentlicht. Das Update erweitert die Import-Optionen, integriert neue Dienste und behebt eine Sicherheitslücke in einer verwendeten Bibliothek.

Zu den Hauptneuerungen gehört eine vereinfachte Import-Funktion für DOCX- und Markdown-Dateien. Nutzer können künftig Dokumente aus Microsoft Word und anderen Quellen deutlich einfacher in die Plattform übertragen. Hinzu kommen eine konfigurierbare Waffle-Integration im Frontend sowie eine Silent-Login-Funktion, die Authentifizierung ohne explizite Nutzerinteraktion ermöglicht.

Die Entwickler haben zudem die Barrierefreiheit verbessert: Der Emoji-Picker erhält bessere Fokusverwaltung, und die Öffnung von Unterdokumenten wurde überarbeitet. E-Mail-Templates lassen sich nun mit einem neuen Feld für Button-Labels flexibler gestalten. Eine neue Umgebungsvariable DJANGO_EMAIL_URL_APP erweitert die Konfigurationsmöglichkeiten. Details hierzu finden sich in den Release Notes auf GitHub.

Sicherheitslücke geschlossen

Ein wichtiger Bestandteil des Updates ist die Behebung einer Sicherheitslücke in der Bibliothek jaraco.context, die durch Trivy-Scans identifiziert wurde. Details zur Lücke und etwa ihren Schweregrad nennen die Entwickler im Changelog nicht.

Zu den weiteren behobenen Fehlern zählen Export-Probleme mit NaN-Spalten, fehlerhafte Favoritenanzeige für untergeordnete Dokumente und Probleme beim Schließen des Emoji-Pickers in der Baumansicht. Auch die End-to-End-Tests für verschiedene Browser funktionieren nun wieder zuverlässig.

Europäisches Gemeinschaftsprojekt

La Suite Docs entsteht in Zusammenarbeit der französischen Interministeriellen Digitaldirektion (DINUM) und des deutschen Zentrums für Digitale Souveränität (ZenDiS). Die Plattform versteht sich als europäische Alternative zu proprietären Diensten wie Notion oder Google Docs und legt besonderen Wert auf Datenschutz und den Eigenbetrieb. Die Software steht unter der freien MIT-Lizenz, wobei einige erweiterte Funktionen wie der PDF-Export auf GPL-lizenzierte Komponenten zurückgreifen.

Zu La Suite gehört ebenfalls Visio. Mit der Videokonferenzsoftware will Frankreich in den Behörden aktuell Microsoft Teams und Zoom ablösen.

(fo)