Probleme in Arztpraxen: NFC-Gesundheitskarten legen Kartenleser lahm
Seite 2: Ursachen untersucht
Weil das ESD-Problem noch immer ungelöst ist und bisherige Basteleien kein Vertrauen erwecken, baten wir einen Elektrotechnik-Ingenieur, der selbst jahrelang in der Entwicklung von Kartenterminals gearbeitet hat, die Ursachen genauer zu untersuchen. Laut seinen Recherchen sind insbesondere NFC-Karten der Version 2.1 vom Hersteller Giesecke+Devrient (G+D) betroffen. Zu erkennen sind diese am Aufdruck "G 2.1" auf der Vorderseite rechts oben, und dem Herstellerkürzel "G+D" auf der Rückseite links unten. Ausgegeben werden sie unter anderem von der Barmer und AOK.
Wir fragten beim Hersteller sowie bei der Gematik Muster an, um das Problem nachstellen zu können. Doch keiner wollte uns die kritischen NFC-Karten bereitstellen. Die Gematik schickte uns lediglich eine Prüfkarte der Telekom, bei der keine Probleme auftraten. Die NFC-Funktion war bei dieser Karte inaktiv und die Stromaufnahme (0,25 mA) lag weit unter dem typischen Wert von NFC-Karten im Produktivbetrieb (circa 14 mA).
Reproduzieren konnte unser Experte die NFC-Fehler schließlich in einer Praxis, die ihn bei einer Störung sofort informierte. Er konnte die ESD-Ausfälle mit eGKs von G+D an einem ORGA 6141 online nachstellen und die Hardware des Terminals genauer untersuchen.
Strom aus der Luft
Aktuell befinden sich zwei Typen von NFC-Chipkarten im Einsatz. Der ältere Typ koppelt seine Empfangsspule induktiv mit einer kleinen Spule auf dem eGK-Chip. In der neueren NFC-Variante ist die Empfangsspule direkt galvanisch mit dem eGK-Chip verbunden. Dazu gehören auch die Karten von G+D.
Eine wesentliche Eigenschaft von NFC-Karten ist, sich aus Funkwellen mit Energie zu versorgen. Für eine leichte Aufladung genügen bereits ungeschirmte Schaltnetzteile, Smartphones oder DECT-Telefone in der Nähe. Diese von der Antenne gesammelte Energie kann sich dann ebenfalls wie ein ESD beim Einschieben der Karte über den Chip auf die Elektronik des Kartenlesers entladen.
In unseren Tests genügten bereits einige Sekunden zwischen Entladung auf einer ESD-Matte bis zum Stecken einer galvanisch gekoppelten NFC-Karte im Lesegerät, um genug Energie für einen messbaren HF-Entlade-Impuls zu sammeln. Seine Stärke war proportional zur Zeit, die zwischen Entladung und Steckvorgang verstrich, und stieg auf bis zu 2 Vss an.
Platinen prüfen
Platinen von Lesegeräten müssen gegen ESD-Impulse bei Stecken einer Karte geschützt sein. Um dies zu prüfen, entfernte unser Spezialist das Gehäuse und die Schutzfolien des Kartenterminals und führte direkt auf der Platine Messungen mit einem Oszilloskop durch.
Das ORGA 6141 online besitzt zwei Platinen mit zwei großen Karteneinschüben. Ein seitlicher Schacht auf der Hauptplatine nimmt den elektronischen Heilberufsausweis des Arztes (eHBA) auf. Der Hauptschacht für die eGKs der Patienten sitzt an der Stirnseite des Geräts auf einer kleinen Zusatzplatine, die zudem zwei weitere Mini-SIM-Einschübe für SMC-Karten (Security Module Card, SMC-B und gSMC-KT) beherbergt. Sie authentifizieren den Kartenleser und sichern die Kommunikation mit dem Konnektor, der die Praxis mit der TI verbindet.
Zu jedem Aufnahmefach gehört ein programmierbarer Smart-Card-Interface-Baustein vom Typ NCN6001. Er ist auch als ESD-Schutz vorgesehen und stellt die Betriebsspannung für die eingesetzten SMC- und eGK-Chipkarten bereit.
Den Messungen zufolge scheint der ESD-Schutzmechanismus des eGK-Interface-Bausteins für die neuen NFC-Karten aber nicht mehr auszureichen. Der ESD-Puls sucht sich dann weitere Wege. Als Ableiter kann etwa die Spannungsversorgung der SMC-Interface-Bausteine dienen, welche direkt mit dem eGK-Interface-Baustein verbunden ist. Eine Weiterleitung des ESD führt dann zum Ausfall der SMC-Interface-Bausteine und -Karten: Die Kommunikation mit dem Konnektor bricht zusammen und das System muss neu gestartet werden. Dieser Design-Lapsus des Herstellers im Platinen-Layout beschwört einen Single Point of Failure geradezu herauf.
Zum gleichen Fehler kann es kommen, wenn die Spannungsversorgung der Interface-Bausteine gestört wird und von den geforderten 3,3 V zu stark abfällt. Solche Störungen könnten etwa durch den deutlich erhöhten Strombedarf der NFC-Karten ausgelöst werden. Die Chiptreiber können den Strom zwar liefern, im Strompfad sitzen aber Bauteile wie Ferrit-Perlen. Diese können Spannungseinbrüche hervorrufen, sobald sie einen erweiterten Strombereich abdecken müssen, für den sie nicht vorgesehen sind. Offenbar wurde bei der Entwicklung des Kartenlesers der höhere Strombedarf von NFC-Karten nicht mit eingeplant.