Konnektortausch: Gematik bringt Laufzeitverlängerung wieder ins Spiel

Nach Kritik von c't, CCC und anderen sieht die Gematik eine Laufzeitverlängerung für die meisten der zu tauschenden Konnektoren vor, allerdings nur als Option.

In Pocket speichern vorlesen Druckansicht 75 Kommentare lesen

(Bild: ronstik, ritfuse/Shutterstock.com / Foto & Montage: heise online)

Lesezeit: 4 Min.

Seit Monaten kritisieren c't, Ärzteverbände und neuerdings auch der CCC den geplanten, teuren Hardware-Tausch spezieller Router für Arztpraxen, Kliniken und Apotheken. Nun will die für die Digitalisierung des Medizinwesens zuständige Gematik eine im Februar 2022 zunächst verworfene Alternative zum Konnektortausch wieder hervorholen: Das "Feature Laufzeitverlängerung" würde ermöglichen, die sonst auf fünf Jahre beschränkte Laufzeit der Konnektoren ohne Hardware-Tausch zu verlängern. Dies geht aus einer Vorabveröffentlichung der Gematik vom 25. Oktober hervor. Die Gesellschafter der Gematik sollen darüber in der nächsten Gesellschafterversammlung entscheiden.

Hersteller könnten dann die Laufzeit ihrer Konnektoren "optional" per Software-Update verlängern. Das dürfte in erster Linie neuere Konnektor-Modelle von Secunet und RISE betreffen, die ab Herbst 2018 auf den Markt kamen und für ein mögliches Software-Update bereits gerüstet sind. Fraglich ist, ob auch die CompuGroup Medical (CGM) ein solches Update für seine rund 52.000 Konnektoren bereitstellt, deren Zertifikate bis August 2023 ablaufen und deren Austausch dem Unternehmen einen Umsatz von 120 Millionen Euro bescheren würde.

Die Gematik hatte bereits Mitte 2021 ein Konzept zur Laufzeitverlängerung per Software-Update vorgelegt, das die Gesellschafter der Gematik Ende Februar jedoch einstimmig ablehnten, sodass es in der Schublade verschwand. CGM behauptete faktenwidrig, die in den Konnektoren eingebauten SmartCards (gSMC-K) seien fest mit der Hardware verbunden und ein Hardware-Tausch unabdingbar. Lorenz Schönberg und Thomas Maus widerlegten Mitte Juli diese Behauptung und brachten damit Hacker vom CCC auf die richtige Fährte.

Mitte Oktober hatte ein kleines Team um den Hacker Fluepke vom Chaos Computer Club (CCC) den Beweis erbracht, dass der von der staatlichen Digitalisierungsagentur Gematik beschlossene Austausch von 130.000 Konnektoren in Arztpraxen und Krankenhäusern technisch unnötig ist. Die Laufzeiten der Geräte lassen sich mit einem Software-Update verlängern, das die nach spätestens fünf Jahren auslaufenden Verschlüsselungszertifikate erneuert. Durch ein solches Update könnten die gesetzlichen Krankenkassen und ihre Versicherten bis Ende 2024 Kosten von 300 Millionen Euro für den Tausch der Konnektoren einsparen.

Laut Spezifikation sollten die in den Konnektoren eingebauten gSMC-K eigentlich seit 2017 in der Lage sein, ihre Zertifikate zu erneuern und zudem noch zukunftsfähige Kryptoschlüssel zu generieren, die auch nach 2026 noch einsetzbar wären. Doch CGM hatte diese Updatefunktionen nicht in seiner Konnektor-Software implementiert und die Gematik hatte mangels Alternativen nicht auf einer Nachrüstung bestanden – obwohl diese technisch möglich wären, wie der CCC-Hack beweist.

Nach der Veröffentlichung des CCC argumentiert CGM nun, die Konnektoren müssten nicht wegen der ablaufenden Zertifikate, sondern wegen der veralteten Hardware ausgetauscht werden.

Bevor die Laufzeitverlängerung als Alternative möglich wird, müssen die Gesellschafter der Gematik zustimmen – allen voran das mit 51 Prozent beteiligte Bundesgesundheitsministerium. Erst dann können die Firmen ihre vor acht Monaten gestoppten Pläne für Software-Updates umsetzen.

Die große Frage ist dabei: Wie viel Geld bekommen die Firmen für das Software-Update? Bei der Kostenerstattung sollten Wirtschaftsprüfer und Juristen die Angaben der Hersteller mit spitzem Bleistift prüfen, denn immerhin hat der CCC gezeigt, dass ein vierköpfiges Team innerhalb von nicht mal zwei Wochen eine Referenz-Implementierung in seiner Freizeit programmieren kann. Da sollte es für CGM, Secunet und RISE also ein Leichtes sein, derartige Updates bis Jahresende bereitzustellen – wenn sie denn wollen. Die Kosten sollten sich locker mit den Beträgen für die Wartungsverträge der Konnektoren decken lassen, die die Praxen Monat für Monat bezahlen. Wann ein solches Update dann jedoch bei den Konnektoren ankommt, hängt von der Dauer der Zertifizierungsprozesse ab.

Ob die Gematik tatsächlich Interesse daran hat, eine Laufzeitverlängerung zum jetzigen Zeitpunkt durchzudrücken, ist ohnehin fraglich. Das Bundesministerium für Gesundheit (BMG) diskutiert schließlich gerade Pläne, die Gematik trotz ihrer Fehler in der Vergangenheit zu einer digitalen Gesundheitsagentur mit noch größeren Kompetenzen auszubauen. Da könnte es hilfreich sein, wenn die Gematik im Streit um die Laufzeitverlängerung als machtlos und mit zu wenig Befugnissen ausgestattet erscheint.

(hag)