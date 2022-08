Derzeit sind ungefähr 130.000 Arztpraxen und Kliniken an die Telematikinfrastruktur (TI) angeschlossen. Über die TI sollen Patientendaten ausgetauscht werden – mithilfe sogenannter Konnektoren, speziell abgesicherte Router. Da deren Krypto-Zertifikate nach fünf Jahren auslaufen, sollen erste Konnektoren ausgetauscht werden. Obwohl es Möglichkeiten gibt, das kostspielige Vorhaben zu verhindern, hält die für die Digitalisierung des Gesundheitswesens zuständige Gematik am Tausch der Konnektoren fest. Neben einer Verlängerung der Krypto-Zertifikate haben wir die Möglichkeit des Tauschs der gerätespezifischen Sicherheitsmodulkarten (gSMC-Ks) in die Diskussion geworfen.

Als Grund gibt die Gematik an, dass bei einem Tausch der gSMC-Ks "unter anderem die Sicherheitsvorgaben verletzt" würden. Dabei nennt die Gematik die konkreten Sicherheitsvorgaben trotz unserer Anfrage seit vier Wochen nicht. Infrage kämen hunderte Dokumente verschiedener Institutionen auf verschiedenen Regulierungsebenen – typischerweise mit hunderten von Seiten – aus denen solche Sicherheitsvorgaben stammen können. All diese Dokumente werden ständig weiterentwickelt – liegen also in verschiedenen Versionen vor, von denen die anzuwendende bestimmt werden muss.

Die Common-Criteria-Protection-Profiles (Schutzprofile), nach denen Konnektoren-Bestandteile zertifiziert wurden, sind: BSI-CC-PP-0047-2015-MA-01, BSI-CC-PP-0097-2018 und BSI-CC-PP-0098. Jedes Schutzprofil enthält zwingend ein Kapitel 1.3 "EVG-Beschreibung" oder "Description of the TOE" (EVG=Evaluierungsgegenstand=TOE=Target of Evaluation). Dort muss genau beschrieben werden, was durch die Zertifizierung erfasst wird, sowie – zur Abgrenzung – was nicht. Man sollte sich an den Text halten, weil die graphische Darstellung in BSI-CC-PP-0047-2015-MA-01 beispielsweise falsch ist. Die beiden Schutzprofile -0047 und -0097 befassen sich ausschließlich mit dem Software-Modul "Netzkonnektor" – also VPN, Firewall, NTP, DNS und DHCP.