Verdeckte Kartentricks

Ärzte rebellieren gegen teuren Konnektortausch

Der umstrittene Hardwaretausch der Telematik-Konnektoren versetzt Ärztevertretungen in Aufruhr. Die Hersteller CGM reagierte mit einer Preissenkung. Es bleibt aber die Frage offen, warum ein deutlich günstigerer Kartentausch unmöglich sein soll, den c’t Mitte Juli vorschlug.

Von Hartmut Gieselmann, Thomas Maus und Lorenz Schönberg

Rund 130.000 Spezialrouter (Konnektoren) stehen in deutschen Arztpraxen und Kliniken, mit denen die Ärzte Gesundheitsdaten untereinander und mit den Krankenversicherungen austauschen. Weil die Sicherheitszertifikate der Konnektoren nach vier bis fünf Jahren auslaufen, sollen die Geräte in den nächsten Jahren komplett ausgetauscht werden. Die Kosten belaufen sich auf rund 300 Millionen Euro. Zahlen sollen die Summe einem Spruch des Bundesschiedsamts zufolge die gesetzlichen und privaten Krankenkassen.

c’t stellte jedoch im Juli die technische Notwendigkeit des Konnektortauschs infrage (c’t 16/2022, S. 116). Die Zertifikate sitzen nämlich im Konnektorgehäuse auf drei gesockelten Karten (gSMC-K), die sich zumindest bei der KoCoBox von CGM mechanisch einfach herausziehen und wieder einsetzen lassen. Das legt den Schluss nahe, dass man statt der Konnektoren auch einfach die Kärtchen tauschen könnte, was nur einen Bruchteil der Kosten verursachen würde. Die staatliche Digitalisierungsagentur Gematik, die die Vernetzung des Gesundheitssystems über die Telematikinfrastruktur (TI) beaufsichtigt, sowie die drei Hersteller der Konnektoren CGM, Secunet und RISE bestreiten jedoch, dass ein solcher Kartentausch möglich sei.

Die Kassenärztliche Bundesvereinigung (KBV) stimmte bei einer Gesellschafterversammlung der Gematik im Februar den Plänen für den teuren Austausch der kompletten Konnektoren zu, „weil die Gematik [...] uns keine sichere Alternative anbieten konnte“, wie KBV-Vorstand Dr. Kriedel sagte. Nach der Veröffentlichung von c’t sagte der stellvertretende Vorstandsvorsitzende Dr. Stephan Hofmeister: „Es muss alles dafür getan werden, um das gigantische Geldvernichtungsprogramm zur Erzeugung von Technikschrott [...] zu verhindern.“

Gematik in Erklärungsnot

Seitdem verstricken sich Gematik und Hersteller in Widersprüche. Nach unserer Anfrage zog CGM die Aussage zurück, die Konnektoren und Zertifikate seien untrennbar miteinander verbunden. Die Architektur der Konnektoren ist nämlich modular aufgebaut, wie es die zugehörigen Schutzprofile der Common Criteria beschreiben (BSI-CC-PP-0047, -0097 und -0098). Demnach handelt es sich bei der „Security Module Card Konnektor“ (gSMC-K) um eine Art Minicomputer mit einem eigenen Betriebssystem, der sämtliche Kryptofunktionen für die übrigen Module des Konnektors bereitstellt. Wenn das Kryptosystem veraltet oder anderweitig kompromittiert wird, genügt nach diesem eigentlich cleveren Ansatz offenbar ein Austausch der gSMC-K.

Die gSMC-K werden bei der Erstbestückung der Konnektoren mit deren Hardware gekoppelt, sodass man sie nicht einfach mit einem Kartensatz aus einem anderen Konnektor tauschen kann. Die Gematik bestätigte Ende Juli indirekt, dass eine Neubestückung mit einem frischen Kartensatz zumindest technisch möglich sei: „Die spezifischen Speicherbereiche der gSMC-K werden in der Fertigungsumgebung vorbereitet. Karten-PIN und Schlüssel sind außerhalb dieser Umgebung nicht erstellbar.“ Für eine Neuausstattung der Konnektoren sei eine „weitere Anpassung im Fertigungsumfeld (d. h. durch den Hersteller)“ notwendig. Allerdings habe man einen solchen Kartentausch durch die Hersteller, bei dem Ärzte ein Austauschgerät bekommen und ihr Altgerät retournieren, „zu keinem Zeitpunkt als Lösung vorgesehen“.

Kein physischer Schutz

Ein zentraler Punkt in der Argumentation der Gematik ist, dass der versiegelte Konnektor nicht geöffnet werden dürfe. Die Konnektor-Schutzprofile schreiben nämlich vor, dass die gSMC-K-Karten physisch vor Manipulation und Mitschneiden der Kommunikation mit den übrigen Konnektor-Modulen geschützt werden müssen (OE.NK.phys_Schutz). c’t hatte aber gezeigt, dass sich der tatsächlich vorhandene Schutz in der KoCoBox von CGM mit einfachen Hausmitteln überwinden lässt. So konnten wir die Torx-Sicherheitsschrauben mit einem simplen Klingenschraubendreher entfernen. Die beiden Klebesiegel am Gehäuse ließen sich mit einem Bastelskalpell und etwas Brennspiritus ohne Manipulationsspuren öffnen und wieder verschließen. Es fand keine elektronische oder digitale Prüfung statt, ob die Karten entfernt und wieder eingesetzt wurden, obwohl die Common Criteria eine Absicherung „sowohl während als auch außerhalb aktiver Datenverarbeitung im Konnektor“ fordern.

Da sich der physische Schutz mit einfachen Hausmitteln aushebeln lässt, ist es fraglich, ob die Sicherheitsvorgabe als Grund herhalten kann, der einen Kartentausch verhindert. Stattdessen steht die Frage im Raum, ob die KoCoBox den geforderten Schutz von Haus aus überhaupt erfüllt. Bis Redaktionsschluss erhielten wir dazu vom Bundesamt für Sicherheit in der Informationstechnik (BSI) keine Auskunft.

Die seitlichen Klebesiegel der KoCoBox konnte c’t unbeschädigt ablösen und das Gehäuse spurlos öffnen und schließen, was laut Sicherheitsvorgaben nicht möglich sein soll.

Kartenwechsel ursprünglich vorgesehen

In einem weiteren Statement bestreitet die Gematik den modularen Aufbau und die Möglichkeit zum Tausch der gSMC-K-Karten: „Der Konnektor als Kernelement der TI wurde als eine untrennbare Einheit von eigentlichem Konnektor und den dort verbauten gSMC-K mit den aufgebrachten Zertifikaten konzipiert. [...] Insofern war ein Ausbau und Tausch der gSMC-K zu keinem Zeitpunkt eine vorgesehene Lösung.“

c’t liegen jedoch Bilder und Datenblätter einer frühen Version der KoCoBox der damaligen KoCo Connector AG vor. Bei diesem Modell lag der SMC-Sockel von außen zugänglich hinter einer Gehäuseklappe. Man konnte sie austauschen, ohne das Gehäuse komplett öffnen zu müssen.

Damit konfrontiert, räumte die Gematik ein, dass „der Ansatz ,Steckbare bzw. austauschbare gSMC-K‘ ca. 2012 aus Sicherheitsgründen verworfen“ worden sei, ohne die Gründe weiter auszuführen. „Diese Version wurde nie für die Nutzung im Feld zugelassen und wurde nicht ausgeliefert“, erklärte die Gematik auf Nachfrage.

Nach Herstellerangaben wurde die ursprüngliche Version jedoch 2010 von der Gematik freigegeben und im konkreten Fall von März 2013 bis Mai 2018 im Rahmen von Facharztverträgen bei der Hausärzte-zentrierten-Versorgung (HzV) in Baden-Württemberg eingesetzt – also noch sechs Jahre, nachdem die Gematik die Austauschbarkeit der Karten aus Sicherheitsgründen verworfen hatte. Uns bestätigte ein daran teilnehmender Arzt, dass etwa 250 bis 400 dieser KoCoBoxen im produktiven Einsatz waren.

Diese frühe Version der KoCoBox erlaubte einen Austausch der gSMC-K-Karte über eine Gehäuseklappe. Das Modell war in hunderten Arztpraxen produktiv im Einsatz – zumindest in einer bis Mai 2018.

Updates seit 2017 gefordert

Abseits eines Austauschs der gSMC-K-Karten sieht bereits die am 27. April 2017 veröffentlichte Konnektor-Spezifikation (gemSpec_Kon_V4.11.1) vor, dass die gSMC-K-Karten ein Software-Update der Kryptoschlüssel unterstützen. Unterhalb der Anforderung TIP1-A_4505 heißt es dort: gSMC-Ks „verfügen über die Möglichkeit zur nachträglichen Generierung von Schlüsselpaaren und dem Nachladen der zugehörigen Zertifikate. Dieser Mechanismus wird erst in kommenden Releases durch den Konnektor unterstützt.“ Laut gemSpec_gSMC-K_ObjSys_V3.12.0 vom 15. Mai 2019 zählen dazu auch längere Schlüssel, wie sie das BSI ab 2025 fordert: „Als Nachfolgeschlüssel sind private Schlüssel für RSA (R2048, R3072) und elliptische Kurven (E384) vorbereitet. Die Auswahl und Generierung des Nachfolgeschlüssels erfolgt zu einem späteren Zeitpunkt.“

Doch während die damalige Bundesregierung bei der flächendeckenden Installation der TI aufs Tempo drückte, wurden den Herstellern offenbar keine so engen Fristen für die Umsetzung der Software-Updates gesetzt. Denn zumindest die KoCoBox unterstützt solche Updates nicht. c’t fand auf den gSMC-K-Karten Platzhalter für neue Schlüssel.

Offen ist die Frage, warum laut Gematik auch die Konnektoren von Secunet und RISE ausgetauscht werden sollen, obwohl diese bereits Software-Updates unterstützen sollen. Laut KBV gibt es noch immer keine klare Aussage der Gematik, wann eine Cloudlösung (TI 2.0) umgesetzt wird, die die bisherigen Konnektoren ablösen soll, sodass ein kostspieliger Hardwaretausch vermieden werden könnte.

Am 30. Juni 2021 veröffentlichte die Gematik im „Feature Laufzeitverlängerung gSMC-K“ mögliche Software-Lösungen: „Die im Feld befindlichen Konnektoren werden per Firmware-Update in die Lage versetzt, neue TI-Zertifikate für ihre alten Schlüssel der gSMC-K zu erhalten.“ Diese Laufzeitverlängerung sollte sogar als „Notfall-Option“ wiederholt werden können, „falls der geplante Zeitraum bis 2024 nicht ausreicht“ – allerdings „nur nach Befürwortung durch das BSI“. Für die fehlerfreie Lauffähigkeit nach der Erneuerung sollten die Hersteller verantwortlich sein. Die finale Revision 380694 des Textes war im Fachportal der Gematik bei Redaktionsschluss aber nicht mehr zu finden.

Geschäftsgeheimnisse

Die Gematik hält eine unabhängige Prüfung der Angaben der Hersteller zur Notwendigkeit des Konnektortauschs für nicht nötig, da für sie die Gründe „auch ohne Prüfung klar nachvollziehbar“ seien. Auf Nachfrage weigerte sich die Gematik jedoch, uns Details dieser Gründe offenzulegen, die einen Kartentausch angeblich verhindern, da diese „Geschäftsgeheimnisse der Hersteller“ berührten. Angesichts der aufgezeigten Mängel beim physischen Schutz und dem jahrelangen Betrieb von Konnektoren mit Gehäuseklappen, die aus Sicherheitsgründen gar nicht ausgeliefert werden sollten, stellt sich die Frage, ob es die Sicherheit der TI tatsächlich gefährden würde, wenn man die Konnektoren nicht austauscht. Denn längere Kryptoschlüssel und frische Zertifikate bringen nichts, wenn andere Glieder in der Sicherheitskette deutlich schwächer sind.

Laut der KBV sollen Alternativen zum Konnektortausch auf der Gesellschaftersitzung der Gematik am 1. September ausführlich beleuchtet werden. Das Bundesgesundheitsministerium habe eine Neubewertung allerdings abgelehnt. Der Hersteller CGM senkte den Preis für den Tausch der KoCoBox von 2773 Euro auf 2300 Euro brutto – auf eben jene Summe, die die Krankenkassen den Ärzten erstatten sollen. Zusammen mit Erstattungen für weitere Software-Updates sollen insgesamt 400 Millionen Euro aus dem Gesundheitstopf der Krankenkassen an die IT-Hersteller fließen. Diese Summe müssen entweder die Versicherten mit höheren Beiträgen ausgleichen – oder Ärzte Budgetkürzungen (Punktwertkürzungen) in Kauf nehmen. (hag@ct.de)

Update vom 11.8.2022

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) antwortete nach Redaktionsschluss auf wichtige Sicherheitsfragen im Zusammenhang mit einer Laufzeitverlängerung der Konnektoren.

Obwohl sich die physischen Sicherungen der KoCoBox mit einfachen Hausmitteln überwinden lassen, genügt sie laut BSI den Anforderungen der Common Criteria. Diese gehen von der Annahme aus, dass die Konnektoren in einem sicheren Umfeld innerhalb der Praxen und Kliniken betrieben werden. Demnach sind die Ärzte und Klinikbetreiber dafür verantwortlich, dass sich niemand Unbefugtes an den Konnektoren zu schaffen macht.

Das BSI bestätigte c’t-Recherchen, dass ein Austausch der gSMC-K-Karten keine Schutzprofile verletzt. Vielmehr liege es im Ermessen der Hersteller, ob sie einen Kartentausch erlauben oder nicht: „Es gibt in den Protection Profiles PP-0098 und PP-0097 keine Sicherheitsvorgaben, die einen Austausch der gSMC-K untersagt. Ein konkretes Produkt KANN zur Erfüllung von anderen Sicherheitsvorgabe einen Austausch der gSMC-K durch das Security Target unterbinden. Dies wären jedoch keine Sicherheitsvorgabe des Protection Profile, sondern Entscheidungen des Herstellers zur jeweiligen Umsetzung.“

Laut BSI wäre ein Betrieb mit den aktuellen RSA-Schlüsseln mit 2048 Bit bis Ende 2025 vertretbar. Erst ab 2026 müssten die RSA-Schlüssel mindestens 3000 Bit lang sein. Software-Updates der Konnektoren und Karten würden gegebenenfalls eine neue Zertifizierung durch das BSI und Zulassung der Gematik erfordern.

Die Gematik bestätigte c’t, dass die finale Revision 380694 der „Feature Laufzeitverlängerung gSMC-K“ am 2. Mai 2022 aus der Spezifikation der Konnektoren entfernt wurde. Seitdem ist im Fachportal der Gematik nur noch ein früherer Entwurf abrufbar. „Die Laufzeitverlängerung müsste bei einer entsprechenden Gesellschafterentscheidung für diese Option wieder in die Spezifikationen aufgenommen werden“, erklärte ein Sprecher der Gematik.