Sicherheitslücke KBV-Prüfmodule

Question

Mein Anästhesist leitete mir unten folgende Nachricht weiter. Demnach warnte sein Anbieter seiner PVS mit unten stehender Email vor dem Gebrauch der KBV Prüfmodule. 

Betrifft dies auch Tomedo?

Gilt dies auch bei der Prüfung in Tomedo vor dem Versand?

Email:

"Wie bereits in den Medien kommuniziert wurde, können Angreifer eine kritische Zero-Day-Sicherheitslücke namens Log4Shell in der Java-Logging-Bibliothek Log4j ausnutzen und unter Umständen beliebigen Code ausführen lassen. Betroffen sind davon Systeme, die die Bibliothek Log4J verwenden. Hierzu zählen z. B. auch die KBV-Prüfmodule, so dass im Zuge dessen eine Anpassung seitens der KBV notwendig ist. Die Prüfmodule werden aktuell von der KBV überarbeitet und werden mit dem Smarty-Update 2022.1 ausgeliefert. Wir empfehlen deshalb dringend die zeitnahe Installation des Smarty-Updates 2022.1, mit dessen Veröffentlichung ab dem 20.12.2021 zu rechnen ist, damit die KBV-Prüfmodule ersetzt werden können!

Aufgrund der Sicherheitslücke empfehlen wir Ihnen deshalb aktuell keine der folgenden KBV-Prüfmodule zu verwenden und auf die Neulieferung der KBV zu warten:

- KVDT (Prüfmodul der Quartalsabrechnung)

- LDT (Prüfmodul des Labordatentransfers)

- DMP (z. B. Prüfmodul der Hautkrebs-Früherkennung)

- XKM (Kryptomodul, welches nach der KVDT-Abrechnung gestartet wird)

Aussagen zur Sicherheit der KBV-Prüfmodule kann nur die KBV selber tätigen. Aufgrund dessen, würden wir Sie bitten auf Rückfragen zu verzichten. Sobald neue KBV-Prüfmodule vorliegen, erhalten Sie die entsprechenden Informationen automatisch von uns.

 

Sollte ich aktuell die genannten Prüfmodule nutzen?

Nein, aktuell sollten keine der genannten Prüfmodule verwendet werden, so dass auch Ihre Quartalsabrechnung davon betroffen ist! Das hat zwar zur Folge, dass Ihr Praxisbetrieb beeinträchtigt wird, aber aufgrund der aktuellen Sicherheitslage ist dieses Vorgehen alternativlos!

 

Ich fahre jetzt in den Urlaub und muss die Quartalsabrechnung noch in dieser Woche (KW 50) machen. Was soll ich tun?

In diesem Fall empfehlen wir Ihnen Kontakt mit Ihrer KV aufzunehmen und sicherheitshalber um eine Verlängerung der Abgabefrist zu bitten. Das Problem dürfte mittlerweile allen KVen bekannt sein.

Weitere Informationen zur Log4J-Sicherheitslücke:

https://www.heise.de/news/Kritische-Zero-Day-Luecke-in-log4j-gefaehrdet-zahlreiche-Server-und-Apps-6291653.html

Answer 1

Siehe hier: https://forum.tomedo.de/index.php/45969/changelog-fur-die-server-tools-version-v105-s420

Schönen Urlaub!

Answer 2

Von der KBV-Homepage. scheint nicht ganz so schlimm zu sein!

Die KBV hat deshalb den PVS-Herstellern neue Versionen der Software für das vierte Quartal 2021 und das erste Quartal 2022 bereitgestellt, damit diese die Praxen mit den notwendigen PVS-Updates versorgen können.

Sollten Praxen bis zur aktuellen Quartalsabrechnung noch kein Update von ihrem PVS-Anbieter erhalten haben, können sie die Abrechnung mit der verfügbaren Software trotzdem erstellen und an ihre Kassenärztlichen Vereinigung senden.

https://www.kbv.de/html/1150_55969.php