T-Systems will Telematik-Konnektoren für Arztpraxen austauschen

Die Telekom-Tochter T-Systems will in der zweiten Jahreshälfte 2020 seine Konnektoren austauschen, mit denen Arztpraxen und Kliniken an die Telematik-Infrastruktur (TI) angeschlossen sind. T-Systems-Kunden sollen ein Austauschmodell von Secunet erhalten, das den Schriftzug "provided by T" trägt. Bestehende Verträge von T-Systems mit Praxen und Kliniken sollen weiterlaufen: "Die angeschlossenen Leistungserbringer bleiben weiterhin Kunden von T-Systems." schreibt die für die TI zuständige Gematik.

Schätzungen zufolge waren Anfang des Jahres bundesweit circa 115.000 von insgesamt 170.000 Praxen und Kliniken mit Konnektoren an die TI angebunden. Laut einem Bericht des Handelsblatts stammen 15.000 bis 20.000 davon von T-Systems. Der Austausch soll demnach Kosten im zweistelligen Millionenbereich verursachen.

T-Systems will die Kosten für die neue Hardware übernehmen. Die Kosten für die Techniker, die den Austausch vor Ort vornehmen, sollen laut Handelsblatt jedoch die Praxen und Kliniken zahlen. Die Kassenärztliche Bundesvereinigung forderte, dass die Kosten für die Installation keinesfalls auf die Ärzte abgewälzt werden dürfe.

Die zum Verbindungsaufbau mit der Telematik-Infrastruktur nötigen Zertifikate der aktuellen T-Systems-Konnektoren würden nach Auslieferung der neuen Modelle "zentral gesperrt". Danach können die alten Konnektoren keine Verbindung mehr zur TI aufbauen. Der Zeitpunkt, wann die Zertifikate gesperrt würden, stehe laut T-Systems noch nicht fest.

Smartphones für die Telematik

Zur Begründung führt T-Systems einen "Strategiewechsel" an. Das Unternehmen wolle sich künftig auf die Software-Entwicklung im Bereich der Telematik konzentrieren. Die neuen Konnektoren von Secunet sollen laut Gematik neue Funktionen erlauben. Dazu gehöre ein Notfalldaten-Management sowie ein elektronischer Medikationsplan. Die Frage, warum diese Funktionen nicht auf den aktuellen Konnektoren per Software-Update nachgerüstet werden könnten, um den teuren Hardware-Austausch zu vermeiden, beantwortete T-Systems nicht.

Zu ihrer neuen Telematik-Strategie erklärte T-Systems: "Statt Hardware konzentrieren wir uns künftig auf Software auf dem Smartphone und in der Cloud. Diese Software-Lösungen werden in Zukunft Ärzte, Apotheker oder Krankenhäuser mit dem sicheren Gesundheitsnetz verbinden." Auf die Frage, wie T-Systems denn künftig sicherstellen wolle, dass Hard- und Software von Smartphones nicht kompromittiert sind, wenn sie eine Verbindung zur TI aufbauen, antwortete der Hersteller: "Diese Frage lässt sich heute aus Anbietersicht noch nicht beantworten."

Keine Sicherheitsprobleme

Nachfragen von heise online, ob der geplante Austausch der Konnektoren in Verbindung mit eventuellen Sicherheitslücken stehe, verneinte das Unternehmen energisch: "Das ist Unsinn. Unser Angebot wurde vom BSI geprüft und von der Gematik zugelassen. Und auch nach Zulassung wird die Technik kontinuierlich auf potenzielle Schwachstellen untersucht."

Das Computermagazin c't hatte Mitte Januar in der Ausgabe 3/2020 unter dem Titel "Sicher wie die TI-tanic" über generelle, strukturelle Probleme bei der Zertifizierung von Telematik-Konnektoren im Rahmen der Common Criteria berichtet. Der Autor und Sicherheitsexperte Thomas Maus legte im Artikel dar, dass für Software-Updates nötige Zertifizierungsverfahren sehr aufwendig sind. Deshalb käme es zwangsläufig zu Verzögerungen zwischen der Entdeckung neuer Verwundbarkeiten und der möglichen Reparatur per Software-Update.

T-Systems erklärte, dass ihr Konnektor von derartigen potenziellen Sicherheitsproblemen nicht betroffen ist. Die in CVE-Datenbanken aufgeführten Verwundbarkeiten von Open-Source-Komponenten, die in Konnektoren zum Einsatz kommen, würden laufend überprüft und behoben. Die zur Zertifizierung nach Common Criteria erforderlichen Angaben gemäß ALC_FLR.2 zur Behebung potenzieller Lücken übermittle T-Systems regelmäßig dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Anfragen von c't, ob T-Systems auch die Nutzer der Konnektoren von behobenen Sicherheitslücken in Kenntnis setze, so wie es die Common Criteria vorschreiben, beantwortete das Unternehmen nicht. (hag)