Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Teure Intensivmedizin für ein totes Pferd: Der TI-Konnektor-Tausch

Die Telematikinfrastruktur ist die Vernetzungsdauerbaustelle des Gesundheitswesens. Sie muss neu gedacht werden, finden Lorenz Schönberg und Thomas Maus.

In Pocket speichern vorlesen Druckansicht 101 Kommentare lesen

(Bild: Morten B/Shutterstock.com)

Lesezeit: 10 Min.
Von
  • Lorenz Schönberg
  • Thomas Maus
Inhaltsverzeichnis

(This article is also available in English)

"Sicher" ist ein vielbemühtes Wort in der Gesundheitstelematik. Sicher scheinen bisher allerdings nur Kostenexplosion, Verzögerungen und peinliche Pannen aller Art. Alle Arztpraxen, Kliniken und Apotheken müssen in Deutschland an die Telematikinfrastruktur (TI) über "besonders gesicherte Hardwarerouter" – sogenannte Konnektoren – angeschlossen werden. Bei Verweigerung drohen immer höher werdende Strafzahlungen.

Technisch sind die Konnektoren mit einem DSL-Router vergleichbar, sollen aber ein deutlich höheres Sicherheitsniveau bieten. Es gibt nur drei Konnektor-Anbieter: die beiden Marktführer Secunet und CGM sowie RISE. Die Konnektoren sind das Herzstück der TI – allerdings nur der TI 1.0. Die Inbetriebnahme dieses Leuchtturmprojekts der Digitalisierung des Gesundheitswesens war gesetzlich spätestens zum ersten Januar 2006 (sic!) vorgesehen. Es dauerte dann etwas länger: bis 2018.

Ein Kommentar von Thomas Maus

Thomas Maus ist Diplom-Informatiker und berät seit 1993 freiberuflich Unternehmen sowie Behörden vornehmlich zu IT-Sicherheitsfragen. Dazu gehören unter anderem das Management großer, unternehmenskritischer Installationen, der Aufbau von Pen-Test-Teams und das Training internationaler Polizeikräfte zur Cyber-Crime-Bekämpfung.

Anfang 2021 erkannte die Gematik: Leuchttürme und die TI 1.0 mögen vor zwei Jahrtausenden innovativ gewesen sein, jetzt aber braucht man eine TI 2.0 ohne Konnektoren. Die Umstellung sollte schrittweise bis 2025 erfolgen. Vor diesem Hintergrund wollte das Bundesgesundheitsministerium (BMG) logischerweise einen physischen Konnektorentausch vermeiden:

In den Konnektoren stecken nämlich gerätespezifische "Security Module Cards" – kurz gSMC-K. Darunter kann man sich im Prinzip einen Krypto-Co-Prozessor im SIM-Format vorstellen, der gleichzeitig mehrere kryptographische Identitäten enthält. Ihre Lebensdauer wird meist durch die Gültigkeit der enthaltenen identitätsstiftenden Krypto-Zertifikate begrenzt. Im Fall der gSMC-K beträgt die Lebensdauer fünf Jahre, von denen bei Auslieferung eines Konnektors noch mindestens vier Jahre übrig sein müssen.

Lesen Sie auch

Viel Elektroschrott

Damit ist klar: ab 2022 werden Zertifikate in den gSMC-K ablaufen und die betroffenen Konnektoren zu teuren Briefbeschwerern. Daher hatte die Gematik eine Laufzeitverlängerung der Zertifikate per Software-Lösung vorgeschlagen. Statt der abgelaufenen Zertifikate der gSMC-K hätten die Konnektoren länger gültige Zertifikate an die Kommunikationspartner weiter gegeben. Diese Lösung hatte die Zustimmung des BSI und wurde am 30.06.2021 durch einen Gematik-Beschluss autorisiert – samt unmittelbarer Beauftragung der Arvato mit den nötigen Vorbereitungen. Nach unserem Kenntnisstand hat die Arvato diese Arbeiten auch fristgerecht bis Januar 2022 abgeschlossen.

Am 17. März 2022 dann die Kehrtwende: Es wird ein Hardware-Konnektortausch beschlossen. "Um die Kontinuität des Betriebes auch beim Übergang zur TI 2.0 abzusichern und aufwendige Zwischenlösungen zu vermeiden, hat sich in der Abstimmung aller Beteiligten ein Hardwaretausch als insgesamt sicherste Lösung herausgestellt", so die Gematik.

Moment! Das BSI hatte doch zugestimmt?

Mit "sicherste Lösung" kann hier also nicht die Dimension der IT- oder Informationssicherheit gemeint sein. Welche Unsicherheiten könnte es sonst noch geben? Ist man sich unsicher, ob man die technische Komplexität bewältigt und nicht wieder Schiffbruch erleidet wie beim Schlüsseltausch im Mai 2020? Ist man sich unsicher, ob die Konnektor-Hersteller die Software-Lösung bereitstellen und auf ein umfangreiches, lukratives Hardware-Geschäft durch den Tausch verzichten wollen?

Beides hätte vor dem Beschluss am 30. Juni 2021 und der Beauftragung der Arvato geklärt werden können und müssen. Oder bestehen Unsicherheiten, ob die TI 2.0 rechtzeitig zum Jahr 2025 fertig wird? Denn mit Beginn des Jahres 2025 verlangt die Bundesnetzagentur aus Sicherheitsgründen längere Schlüssel für die Public-Key-Kryptographie. Dies können die alten gSMC-K nicht leisten, weswegen das BSI seine Zustimmung zur Software-Lösung auf Ende 2024 begrenzt hatte. Nach unseren Erfahrungen würden wir dem BSI Pragmatismus nicht absprechen, aber wir verstehen vor dem Hintergrund der TI 1.0 auch sehr gut, dass das BSI sich nicht auf einen Dammbruch endloser "kurzer" Verlängerungen einlassen will.

Fragen über Fragen

Glücklicherweise hat der Hersteller CGM schon 2021 vorgesorgt und für Millionen von Euro zehntausende Konnektoren beschafft und kann die dieses Jahr auszutauschenden KoCoBoxen liefern. Was angesichts der Beschlusslage 2021 noch wie grobe unternehmerische Unvernunft wirken musste, erweist sich heute als Glücksfall unglaublicher hellseherischer Fähigkeiten. Und auch die neue KoCoBox hätte eine risikoreiche Investition sein können...

Was kostet der Spaß?

Für den Konnektortausch einer KoCoBox bietet die CGM ein Paket zum Preis von rund 2.300 Euro an. Wir nehmen dies als Ausgangspunkt, denn bisher wichen die Preise der drei Anbieter wenig voneinander und insbesondere von den offiziellen Finanzierungsbeträgen ab – eine Preisgestaltung, die vielleicht die Aufmerksamkeit des Kartellamts verdient. Rund 130.000 zu tauschende Konnektoren je 2.300 Euro – rund 300 Millionen Euro! Und wir haben noch nicht über die Folgeaufwände der Praxen gesprochen, die nach den bisherigen Erfahrungen zu erwarten sind.

Aber machen wir mal einen vollständigeren Kassensturz: Die Erstausstattung kleiner Praxen für den TI-Anschluss kostete rund 3.000 Euro – für größere Gemeinschaftspraxen mehr. Hinzu kommen je Praxis 9.000 Euro Mehraufwände. Wenn wir von mindestens 130.000 ausgehen, kommen wir auf Kosten im Milliardenbereich. Seit 2005 zahlen die GKVen für den Betrieb der Gematik – nach unseren Berechnungen rund eine Milliarde Euro bisher. Auch die anderen Gesellschafter zahlen – angesichts der Mehrheitsverteilung wahrscheinlich ebenfalls gut eine Milliarde Euro.

Den Versichertenkartenmissbrauch bezifferte das BMG im Januar 2006 mit zwei Milliarden Euro jährlich. Seit 2003 stand die Verax-Liste bereit, die den Missbrauch von Patienten-Chipkarten veringern soll. Sie bietet die gleiche Schutzwirkung wie das Versichertenstammdatenmanagement (VSDM) der TI und wurde das erste Opfer der innovationshemmenden Wirkung der TI. Die Verax-Liste wurde nicht genutzt, weil die gesetzliche Einführung der TI samt VSDM zum 1. Januar 2006 terminiert war. Dabei leistet der VSDM nicht mehr als der Verax. Durch die Projektverzögerungen ist hier eine Schadenssumme von rund 30 Milliarden Euro entstanden.

Noch nicht berücksichtigt ist der Ersatz defekter Geräte (rund zwei Prozent pro Jahr sind spezifikationsgemäß), sowie die Ausstattungskosten der Apotheken und Krankenhäuser. Die Software-Schmieden der Praxen, Apotheken und Krankenhäuser wollen die Implementierung der TI-Funktionalitäten auch bezahlt haben, was die Lizenzkosten steigert dürfte. Daneben gab es mehrere flankierende Forschungsprojekte, die aus irgendwelchen Töpfen gezahlt wurden.

Beschaffungskosten jenseits der fünf Milliarden Euro und Verzögerungsschäden um die 30 Milliarden Euro sind also plausibel. Dazu kommen laufende Pauschalen von über tausend Euro je Praxis – noch einmal rund 150 Millionen Euro jährlich alleine in den Arztpraxen. Selbst wenn wir angesichts einer Fehlerquote von über 25 Prozent bereit sind, 1,5 Milliarden Euro pro Jahr als vermiedenen Versichertenkartenmissbrauch anzusetzen, liegt der Amortisierungshorizont weit jenseits von 20 Jahren – und dann dürften keine weiteren Kosten durch die TI 2.0 entstehen! Sonstiger Nutzen? Fehlanzeige! Unabhängig davon, wer nun was zahlt: Diese Gelder fehlen im Gesundheitswesen, sei es bei den Krankenkassenleistungen, sei es bei der Investitionsfähigkeit der Praxen in digitale Diagnostik.

Alternativlos?

Der Konnektorentausch sei alternativlos, heißt es. Uns fallen sofort zwei Alternativen ein: Wir haben kürzlich eine boot-unfähige KoCoBox analysiert – die Details folgen in einer der nächsten c't-Ausgaben. Soviel sei aber schon verraten:

  1. Der reine Hardware-Wert liegt bei wenigen hundert Euro und da die Konnektoren-Software schon entwickelt ist und ihre Pflege durch Quartalsbeiträge finanziert wird, können wir die 2300 Euro für den Tausch einer KoCoBox nicht nachvollziehen.
  2. Die gSMC-K stecken in der KoCoBox in Kartensockeln und können ohne große Technikkenntnisse problemlos getauscht werden, weil das Gehäuse keine Manipulationsüberwachung hat. Wir sehen jedenfalls kein Hindernis – im Gegenteil: Nach unserem Eingriff bootete der Konnektor wieder tadellos. Ein Sichern der Konnektoreinstellungen, der Tausch gegen neue gSMC-K mit modernen Kryptographieverfahren und entsprechenden Schlüssellängen, und das Wiedereinspielen der Sicherung sollten einer KoCoBox weitere fünf Jahre Leben einhauchen.
Analyse defekter Konnektoren

(Bild: Maksim Shmeljov/Shutterstock.com)

Sie betreiben eine Praxis und besitzen einen defekten Konnektor, den sie uns für Forschungszwecke oder Analysen zur Verfügung stellen möchten? Dann kontaktieren Sie uns gerne.

"Wenn du ein totes Pferd reitest...

... dann steige ab." Natürlich kann man den weisen Rat der Dakota-Indianer und erfahrener Projektmanager ignorieren und teure Wiederbelebungsmaßnahmen verordnen. Zur Pflege der öffentlichen Gesundheit wäre es aber klüger, den Kadaver zu entsorgen, ehe er weiteren Schaden stiftet. Unser Gesundheitssystem hat nach Corona weitere Lasten zu tragen, ist im Dauerstress und überlastet. Wäre es nicht an der Zeit, Entlastung zu gewähren und die Stopfmast untauglicher TI zu beenden? Die dadurch frei werdenden Mittel – Geld und Zeit – in eine Verbesserung der Lage des Gesundheitspersonals zu investieren und einen gesellschaftlichen Konsens herbeizuführen, wie unser Gesundheitswesen der Zukunft aussehen soll? Wenige Großkliniken und medizinische Versorgungszentren (MVZ) und weite Wege für die Patienten, oder eher dezentral mit kurzen Wegen? In den Händen profitorientierter Großanleger, in öffentlichen Händen oder selbstständiger Ärzte?

Offener Wettbewerb nötig

Wenn dann klar ist, wohin die Reise gehen soll, kann in verschiedenen Regionen ein offener Wettbewerb der Ideen starten: hinsichtlich Organisationsformen, Finanzierung und natürlich Digitalisierung. Nur so, ohne gigantische Investitions- und Zulassungshürden, können innovative Ideen getestet und verbessert werden und sich am Ende durchsetzen. Die Vielfalt der Ideen verhindert Oligopole wie im Konnektormarkt. Es genügt, Leitplanken zu setzen, wie offene Standards, offene Protokolle, Interoperabilitätsvorgaben und die perspektivisch einzuhaltenden Sicherheitsvorgaben – denn in einer Phase purer Freiwilligkeit und informierter Einwilligung kann man durchaus Risiken eingehen, die bei einem verpflichtenden System nicht akzeptabel wären.

Bei einem solchen Vorgehen – davon sind wir überzeugt – würde schnell eine Reihe hochwertiger Lösungskandidaten entstehen, deren wechselseitiger Wettbewerb echte Qualität und echten Fortschritt erzeugen würden. Eine produktive Pluralität im Gegensatz zum Monopol der TI, die nicht nur tragische Innovationsbremse, sondern eine rückwärtsgewandte IT repräsentiert. Spannend ist auch die Frage, ob die Abschaltung der TI vom Leser überhaupt bemerkt werden würde.

(mack)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten