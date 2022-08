Rund 130.000 Spezialrouter – Konnektoren genannt – stehen in deutschen Arztpraxen und Kliniken, mit denen die Ärzte Gesundheitsdaten untereinander und mit den Krankenversicherungen austauschen. Weil die Krypto-Zertifikate der Konnektoren nach vier bis fünf Jahren auslaufen, sollen die Geräte in den nächsten Jahren komplett ausgetauscht werden. Nachdem wir Alternativen für den teuren Konnektortausch aufgezeigt haben, verlangen Ärzteverbände eine Aufklärung von der Gematik.

Gematik lehnt Antrag auf Neubewertung ab

Die Gematik hat den Antrag auf eine Neubewertung möglicher Alternativen zum Konnektortausch jedoch abgelehnt, wie KBV-Vorstandsmitglied Dr. Thomas Kriedel sagte. Entsprechend empfiehlt er allen bereits von der CompuGroup Medical (CGM) wegen auslaufender Zertifikate der entsprechenden Konnektoren angeschriebenen Praxen, die Geräte austauschen zu lassen. "Somit entsteht den Praxen zumindest kein finanzieller Schaden, auch wenn der Austausch im Sinne der Nachhaltigkeit und des schonenden Einsatzes knapper Ressourcen mehr als ärgerlich ist." Von der Gematik werde allerdings weiterhin eine Prüfung der Alternativen zum Tausch erwartet. Positiv sei jedoch, dass die Finanzierung des Konnektortauschs gesichert sei. CGM hatte den Preis für die Konnektoren auf den Erstattungsbetrag der Krankenkassen gesenkt.

Im Februar 2022 hatte die Kassenärztliche Bundesvereinigung (KBV) den Plänen für den teuren Austausch der kompletten Konnektoren noch zugestimmt, "weil die Gematik [...] uns keine sichere Alternative anbieten konnte", so Kriedel. Nach der Veröffentlichung von c't sagte der stellvertretende KBV-Vorstandsvorsitzende Dr. Stephan Hofmeister: "Es muss alles dafür getan werden, um das gigantische Geldvernichtungsprogramm zur Erzeugung von Technikschrott [...] zu verhindern."

Gematik in Erklärungsnot

Seitdem verstricken sich Gematik und Hersteller in Widersprüche. Nach unserer Anfrage zog CGM die Aussage zurück, die Konnektoren und Zertifikate seien untrennbar miteinander verbunden. Die Architektur der Konnektoren ist nämlich modular aufgebaut, wie es die zugehörigen Schutzprofile der Common Criteria beschreiben (BSI-CC-PP-0047, -0097 und -0098). Demnach handelt es sich bei der "Security Module Card Konnektor" (gSMC-K) um eine Art Minicomputer mit einem eigenen Betriebssystem, der sämtliche Kryptofunktionen für die übrigen Module des Konnektors bereitstellt. Wenn das Kryptosystem veraltet oder anderweitig kompromittiert wird, könnte nach diesem eigentlich cleveren Ansatz ein Austausch der gSMC-K Abhilfe schaffen.

Die gSMC-K werden bei der Erstbestückung der Konnektoren mit deren Hardware gekoppelt, sodass man sie nicht einfach mit einem Kartensatz aus einem anderen Konnektor tauschen kann. Die Gematik bestätigte Ende Juli indirekt, dass eine Neubestückung mit einem frischen Kartensatz zumindest technisch möglich sei: "Die spezifischen Speicherbereiche der gSMC-K werden in der Fertigungsumgebung vorbereitet. Karten-PIN und Schlüssel sind außerhalb dieser Umgebung nicht erstellbar." Für eine Neuausstattung der Konnektoren sei eine "weitere Anpassung im Fertigungsumfeld (d. h. durch den Hersteller)" notwendig. Allerdings habe man einen solchen Kartentausch durch die Hersteller, bei dem Ärzte ein Austauschgerät bekommen und ihr Altgerät retournieren, "zu keinem Zeitpunkt als Lösung vorgesehen".

Kein physischer Schutz

Ein zentraler Punkt in der Argumentation der Gematik ist, dass der versiegelte Konnektor nicht geöffnet werden dürfe. Die Konnektor-Schutzprofile verlangen, dass die gSMC-K-Karten physisch vor Manipulation und Mitschneiden der Kommunikation mit den übrigen Konnektor-Modulen geschützt werden müssen (OE.NK.phys_Schutz). Wir hatten aber gezeigt, dass sich der tatsächlich vorhandene Schutz in der KoCoBox von CGM mit einfachen Hausmitteln überwinden lässt.

So konnten wir die Torx-Sicherheitsschrauben mit einem simplen Klingenschraubendreher entfernen. Die beiden Klebesiegel am Gehäuse ließen sich mit einem Bastelskalpell und etwas Brennspiritus ohne Manipulationsspuren öffnen und wieder verschließen. Es fand keine elektronische oder digitale Prüfung statt, ob die Karten entfernt und wieder eingesetzt wurden, obwohl die Konnektor-Schutzprofile eine Absicherung "sowohl während als auch außerhalb aktiver Datenverarbeitung im Konnektor" fordern.

Da sich der physische Schutz mit einfachen Hausmitteln aushebeln lässt, ist es fraglich, ob die Sicherheitsvorgabe als Grund herhalten kann, der einen Kartentausch verhindert. Stattdessen steht die Frage im Raum, ob die KoCoBox den geforderten Schutz von Haus aus überhaupt erfüllt. Zunächst erhielten wir dazu vom Bundesamt für Sicherheit in der Informationstechnik (BSI) keine Auskunft.

Die seitlichen Klebesiegel der KoCoBox konnte c’t unbeschädigt ablösen und das Gehäuse spurlos öffnen und schließen, was laut Sicherheitsvorgaben nicht möglich sein soll.

Anstelle des Austauschs der Konnektoren gibt es drei verschiedene Alternativen: die Verlängerung der Zertifikate mittels Software-Update, ein Tausch der gSMC-Ks sowie die Option, neue Schlüssel für die gSMC-Ks zu generieren.

Software-Verlängerung der Zertifikate

Seit Frühjahr 2021 arbeitete die Gematik an einem Konzept zur Software-Verlängerung der Zertifikate. Am 30. Juni 2021 veröffentlichte die Gematik im "Feature Laufzeitverlängerung gSMC-K" mögliche Software-Lösungen: "Die im Feld befindlichen Konnektoren werden per Firmware-Update in die Lage versetzt, neue TI-Zertifikate für ihre alten Schlüssel der gSMC-K zu erhalten." Diese Laufzeitverlängerung sollte sogar als "Notfall-Option" wiederholt werden können, "falls der geplante Zeitraum bis 2024 nicht ausreicht" – allerdings "nur nach Befürwortung durch das BSI". Für die fehlerfreie Lauffähigkeit nach der Erneuerung sollten die Hersteller verantwortlich sein.

Secunet und RISE hatten das Software-Update laut Zulassungsübersicht bereits implementiert – erkennbar an der Produkttypversion in der zweitletzten Spalte. Aufschlussreich ist auch das jeweilige Zulassungsdatum in der letzten Spalte. (Bild: Gematik)

Die Umsetzung hat die Gematik Mitte 2021 beauftragt. Der zentrale Lösungsanteil schien bereits im Januar 2022 umgesetzt worden zu sein. Im März 2022 ist diese bereits implementierte Umsetzung jedoch verworfen worden – mit Verweis auf die begrenzte Lebensdauer der Verlängerung. Ab Ende 2022 gelten nämlich neue Anforderungen an die Schlüssellängen der Krypto-Verfahren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kam der Gematik mit der Erlaubnis, die Schlüssel-Zertifikate bis Ende 2025 zu verlängern, entgegen.

Die Gematik bestätigte uns, dass die finale Revision 380694 der „Feature Laufzeitverlängerung gSMC-K“ am 2. Mai 2022 aus der Spezifikation der Konnektoren entfernt wurde. Seitdem ist im Fachportal der Gematik nur noch ein früherer Entwurf abrufbar. "Die Laufzeitverlängerung müsste bei einer entsprechenden Gesellschafterentscheidung für diese Option wieder in die Spezifikationen aufgenommen werden", erklärte ein Sprecher der Gematik.

Kartenwechsel ursprünglich vorgesehen

In einem weiteren Statement bestreitet die Gematik den modularen Aufbau und die Möglichkeit zum Tausch der gSMC-K-Karten: "Der Konnektor als Kernelement der TI wurde als eine untrennbare Einheit von eigentlichem Konnektor und den dort verbauten gSMC-K mit den aufgebrachten Zertifikaten konzipiert. [...] Insofern war ein Ausbau und Tausch der gSMC-K zu keinem Zeitpunkt eine vorgesehene Lösung."

Uns liegen jedoch Bilder und Datenblätter einer frühen Version der KoCoBox der damaligen KoCo Connector AG vor. Bei diesem Modell lag der SMC-Sockel von außen zugänglich hinter einer Gehäuseklappe. Man konnte sie austauschen, ohne das Gehäuse komplett öffnen zu müssen.

Damit konfrontiert, räumte die Gematik ein, dass "der Ansatz, Steckbare beziehungsweise austauschbare gSMC-K‘ ca. 2012 aus Sicherheitsgründen verworfen" worden sei, ohne die Gründe weiter auszuführen. "Diese Version wurde nie für die Nutzung im Feld zugelassen und wurde nicht ausgeliefert", erklärte die Gematik auf Nachfrage.

Nach Herstellerangaben wurde die ursprüngliche Version jedoch 2010 von der Gematik freigegeben und wohl auch für den Einsatz in den Testregionen zugelassen und im konkreten Fall von März 2013 bis Mai 2018 im Rahmen von Facharztverträgen bei der Hausärzte-zentrierten-Versorgung (HzV) in Baden-Württemberg eingesetzt – also noch sechs Jahre, nachdem die Gematik die Austauschbarkeit der Karten aus Sicherheitsgründen verworfen hatte. Uns bestätigte ein daran teilnehmender Arzt, dass etwa 250 bis 400 dieser KoCoBoxen im produktiven Einsatz waren.

Diese frühe Version der KoCoBox erlaubte einen Austausch der gSMC-K-Karte über eine Gehäuseklappe. Das Modell war in hunderten Arztpraxen produktiv im Einsatz – zumindest in einer bis Mai 2018.

Neue Schlüssel in gSMC-Ks generieren

Abseits eines Austauschs der gSMC-K-Karten sieht bereits die am 27. April 2017 veröffentlichte Konnektor-Spezifikation (gemSpec_Kon_V4.11.1) vor, dass die gSMC-K-Karten ein Software-Update der Kryptoschlüssel unterstützen. Unterhalb der Anforderung TIP1-A_4505 heißt es dort: gSMC-Ks "verfügen über die Möglichkeit zur nachträglichen Generierung von Schlüsselpaaren und dem Nachladen der zugehörigen Zertifikate. Dieser Mechanismus wird erst in kommenden Releases durch den Konnektor unterstützt." Laut gemSpec_gSMC-K_ObjSys_V3.12.0 vom 15. Mai 2019 zählen dazu auch längere Schlüssel, wie sie das BSI ab 2025 fordert: "Als Nachfolgeschlüssel sind private Schlüssel für RSA (R2048, R3072) und elliptische Kurven (E384) vorbereitet. Die Auswahl und Generierung des Nachfolgeschlüssels erfolgt zu einem späteren Zeitpunkt."

Doch während die damalige Bundesregierung bei der flächendeckenden Installation der TI aufs Tempo drückte, wurden den Herstellern offenbar keine so engen Fristen für die Umsetzung der Software-Updates gesetzt. Denn zumindest die KoCoBox unterstützt solche Updates nicht. Wir fanden auf den gSMC-K-Karten Platzhalter für neue Schlüssel.

Offen bleibt die Frage, warum laut Gematik auch die Konnektoren von Secunet und RISE ausgetauscht werden sollen, obwohl diese bereits Software-Zertifikatsverlängerung unterstützen sollen. Doch dazu hat sich die Gematik bisher nicht geäußert. Laut KBV gibt es auch noch immer keine klare Aussage der Gematik, wann die Cloudlösung (TI 2.0) umgesetzt wird, die die bisherigen Konnektoren ablösen soll, sodass ein kostspieliger Hardwaretausch vermieden werden könnte.

Relaunch der Telematikinfrastruktur verschoben

Laut KBV gibt es noch immer keine klare Aussage der Gematik, wann die Cloudlösung – die TI 2.0 – umgesetzt wird. Diese soll dann die bisherigen Konnektoren ablösen, sodass künftig ein kostspieliger Hardwaretausch vermieden werden könnte. Ursprünglich sollte der Relaunch der Telematikinfrastruktur bereits 2023 an den Start gehen und die Konnektoren überflüssig machen. Nachdem dieser Termin geplatzt war, war Neujahr 2025 angekündigt. Inzwischen wird vage von einem Termin nach 2027 gesprochen. Auch der Start der TI 1.0 verzögerte sich von ursprünglich 2006 auf 2018.

Geschäftsgeheimnisse

Die Gematik hält eine unabhängige Prüfung der Angaben der Hersteller zur Notwendigkeit des Konnektortauschs für nicht nötig, da für sie die Gründe "auch ohne Prüfung klar nachvollziehbar" seien. Auf Nachfrage weigerte sich die Gematik jedoch, uns Details dieser Gründe offenzulegen, die Alternativlösungen angeblich verhindern, da diese "Geschäftsgeheimnisse der Hersteller" berührten. Angesichts der aufgezeigten Mängel beim physischen Schutz und dem jahrelangen Betrieb von Konnektoren mit Gehäuseklappen, die aus Sicherheitsgründen gar nicht ausgeliefert werden sollten, stellt sich die Frage, ob es die Sicherheit der TI tatsächlich gefährden würde, wenn man die Konnektoren nicht austauscht. Denn längere Kryptoschlüssel und frische Zertifikate bringen nichts, wenn andere Glieder in der Sicherheitskette deutlich schwächer sind.

Laut der KBV sollen Alternativen zum Konnektortausch auf der Gesellschaftersitzung der Gematik am 1. September ausführlich beleuchtet werden. Das Bundesgesundheitsministerium habe eine Neubewertung allerdings abgelehnt. Der Hersteller CGM senkte den Preis für den Tausch der KoCoBox von 2773 Euro auf 2300 Euro brutto – auf eben jene Summe, die die Krankenkassen den Ärzten erstatten sollen. Zusammen mit Erstattungen für weitere Software-Updates sollen insgesamt 400 Millionen Euro aus dem Gesundheitstopf der Krankenkassen an die IT-Hersteller fließen. Diese Summe müssen entweder die Versicherten mit höheren Beiträgen ausgleichen – oder Ärzte Budgetkürzungen (Punktwertkürzungen) in Kauf nehmen.

Stellungnahme des BSI

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) antwortete jetzt auf wichtige Sicherheitsfragen im Zusammenhang mit einer Laufzeitverlängerung der Konnektoren.

Obwohl sich die physischen Sicherungen der KoCoBox mit einfachen Hausmitteln überwinden lassen, genügen sie laut BSI den Anforderungen der CC-Schutzprofile. Diese gehen von der Annahme aus, dass die Konnektoren in einem sicheren Umfeld innerhalb der Praxen und Kliniken betrieben werden. Demnach sind die Ärzte und Klinikbetreiber dafür verantwortlich, dass sich niemand Unbefugtes an den Konnektoren zu schaffen macht.

Das BSI bestätigte c't-Recherchen, dass ein Austausch der gSMC-K-Karten keine Schutzprofile verletzt. Vielmehr liege es im Ermessen der Hersteller, ob sie einen Kartentausch erlauben oder nicht: "Es gibt in den Protection Profiles PP-0098 und PP-0097 keine Sicherheitsvorgaben, die einen Austausch der gSMC-K untersagt. Ein konkretes Produkt kann zur Erfüllung von anderen Sicherheitsvorgaben einen Austausch der gSMC-K durch das Security Target unterbinden. Dies wäre jedoch keine Sicherheitsvorgabe des Protection Profile, sondern Entscheidungen des Herstellers zur jeweiligen Umsetzung."

Laut BSI wäre ein Betrieb mit den aktuellen RSA-Schlüsseln mit 2048 Bit bis Ende 2025 vertretbar. Erst ab 2026 müssten die RSA-Schlüssel nach Vorgabe der ENISA – der Agentur der Europäischen Union für Cybersicherheit – mindestens 3000 Bit lang sein. Software-Updates der Konnektoren würden gegebenenfalls eine neue Zertifizierung durch das BSI und Zulassung der Gematik erfordern.

