Die gematik plant, Social-Engineering-Analysen des Verzeichnisdienstes und des Apothekenverzeichnisdienstes inkl. der Betrachtung der Trust Service Provider (TSP) und der Kartenherausgabeprozesse durchführen zu lassen, um die Widerstandsfähigkeit dieser Telematikinfrastruktur-Komponenten und -Prozesse gegen soziale Manipulation festzustellen.

In der anstehenden Sicherheitsanalyse ist geplant, die realen Identifizierungsprozesse im Rahmen des Verzeichnis- und Apothekenverzeichnisdienstes inkl. der HBA- und SMC-B-Kartenherausgabe in der Produktivumgebung zu durchlaufen. Ziel ist es, mittels Social-Engineering-Methoden zu prüfen, wo die Prozesse wie funktionieren, um strukturelle Schwachstellen aufzudecken.

Grundsätzlich soll durch sinnvolle und geeignete Analysen überprüft werden:

- welche Schnittstellen in den Diensten und Prozessen für etwaige Angriffe geeignet sind,

- ob und durch welche Rollen digitale Identitäten erstellt oder manipuliert werden können,

- ob gültige Zertifikate ausgetauscht werden können,

- ob Informationen, wie z. B. Anmeldehäufigkeit und Zugangskonten, gesammelt werden können,

- inwieweit es gematik-Mitarbeitern und Mitarbeiterinnen möglich ist, Einträge im Rahmen von Datenanalyse-Tätigkeiten im Verzeichnisdienst zu ändern.