Gematik und CGM reagieren auf CCC-Hack: Hardware zu alt

Die Gematik GmbH reagiert auf das Angebot des CCC: Trotz bereitgestelltem Software-Update bleibe der Gerätetausch zunächst die beste Lösung.

In Pocket speichern vorlesen Druckansicht 246 Kommentare lesen

(Bild: TippaPatt/Shutterstock.com)

Update Stand:
Lesezeit: 3 Min.
Inhaltsverzeichnis

Die für die Digitalisierung des Gesundheitswesens zuständige Gematik GmbH hat auf den Hack vom CCC reagiert. Dieser hatte nachgewiesen, dass mittels Software-Update eine Laufzeitverlängerung möglich ist. Zuvor entschlüsselte der CCC Teile der Betriebssysteme von den Secunet- und CGM-Konnektoren und stellte anschließend ein Software-Update bereit, mit dem sich notwendige Krypto-Zertifikate verlängern lassen.

Die Konnektoren kommen für eine "sichere" Verbindung an die Telematikinfrastruktur (TI), dem Gesundheitsnetz, zum Einsatz. Da die Zertifikate der Konnektoren nach fünf Jahren auslaufen, sollen die Geräte ausgetauscht werden. Um das zu verhindern, hatten zwei der drei Konnektorhersteller, RISE und Secunet, bereits eine von der Gematik spezifizierte Zertifikatsverlängerung implementiert. Lediglich ein Hersteller, die CompuGroup Medical (CGM) stellte das Update nicht fertig.

Mit dem Patch ermöglicht der CCC auch der CGM ein Software-Update. Eine Antwort auf eine Anfrage an CGM steht derzeit noch aus. Die Gematik hatte ihren Gesellschaftern bereits mehrfach vorgeschlagen, die Zertifikate mit einem Softwareupdate zu verlängern. Die Entscheidung wurden nach Angaben der Gematik gemeinsam getroffen – zuletzt am 29.08.2022. Zudem seien den Gesellschaftern "mehrfach alle Optionen zum Konnektor für den Übergang zur TI 2.0 vorgestellt" worden. Dabei habe die Gematik den Gesellschaftern "sowohl die Laufzeitverlängerung als auch der Gerätetausch mit den Vor- und Nachteilen" dargelegt. Demnach bleibt laut Gematik "kurzfristig" der Konnektortausch die beste Lösung.

Aufgrund von veralteter Technik müssen demnach alle Konnektoren ausgetauscht werden, deren Zertifikate bis August 2023 ablaufen – dies betrifft überwiegend Konnektoren von CGM. Damit bezeichnet die Gematik den Hardwaretausch weiterhin als "insgesamt sicherste und wirtschaftlichste Lösung". Wie die Gematik bereits im Rahmen der Gesellschafterversammlung vom August bekannt gegeben hatte, soll es für Konnektoren mit später auslaufenden Zertifikaten Alternativen geben. Anschließend führt die Gematik künftig mögliche Alternativen auf – die Zertifikatsverlängerung mittels Software-Update und der Betrieb von Konnektoren in Rechenzentren.

Nach Angaben der Gematik müssen "längst nicht alle Konnektoren getauscht werden", daher rechne die Gematik mit deutlich niedrigeren Kosten als 300 Millionen. Zudem fordert sie vom Gesetzgeber weiterhin ein angepasstes Finanzierungsmodell, damit nicht nur der Konnektortausch, sondern auch weitere "Varianten bei der TI-Anbindung" finanziert werden können.

CGM schließt eine Zertifikatsverlängerung für die Zukunft nicht aus, wie das Unternehmen der Tageszeitung Welt in einer Stellungnahme mitgeteilt hat. Wie die Gematik auch, verweist CGM auf veraltete Technik der größtenteils "im Markt befindlichen Konnektoren". Schuld seien deren Gerätekarten, die noch nicht ECC-fähig sind (Elliptic Curve Cryptography). Da die Karten lediglich bis Ende 2025 eingesetzt werden könnten, "wäre ein Hardware-Tausch unumgänglich". Wann die Weiterentwicklung der Telematikinfrastruktur – die TI 2.0 – kommt, ist unklar. Diese soll ohne Hardware auskommen. Das Jahr 2025 ist für deren schrittweise Einführung weiterhin denkbar.

Update

Stellungnahme von CGM ergänzt

(mack)