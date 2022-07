In deutschen Arztpraxen und Kliniken sollen 130.000 Konnektoren ausgewechselt werden, weil deren Krypto-Zertifikate nach fünf Jahren ablaufen. Dazu sollen die Krankenkassen den Ärzten Kosten von insgesamt 400 Millionen Euro erstatten – inklusive Geldern für weitere Software-Updates und Sicherheitskarten.

Die Konnektoren sind eine Art sichere Hardware-Router, die Praxen, Kliniken, Psychotherapeuten und Apotheken an die Telematikinfrastruktur (TI) anbindet. Das Computermagazin c't hatte einen Konnektor aufgeschraubt, um die Angaben des Herstellers CGM zu prüfen, dass die Sicherheitszertifikate fest eingebaut seien.

Dabei stellte sich heraus, dass die Zertifikate in den Konnektoren auf drei kleinen gerätespezifischen Sicherheitsmodulkarten "Typ Konnektor" (gSMC-K-Karten) sitzen, die sich physisch leicht auswechseln lassen. Damit widerlegte der Artikel die Behauptung, die gSMC-K-Karten seien fest mit dem Konnektor verbunden und eine Trennung von Karten und Konnektor würde das System unbrauchbar machen.

Gematik nimmt Stellung

Inzwischen hat die Gematik zu dem c't-Artikel Stellung genommen:

Es liegt [...] die Vermutung nahe, dass bei dem im Artikel beschriebenen Entfernen der gSMC-K dieselbe (!) Karte auch wieder in den Konnektor hineingesteckt wurde – demnach also KEIN Austausch der Karte selbst stattfand. Wäre dies der Fall, so ist es auch nicht verwunderlich, dass der Konnektor danach weiterhin funktionierte, schließlich hat sich an seiner Konfiguration nichts geändert.

Damit fasst die Gematik Passagen unseres Artikels korrekt zusammen: In unserem Versuch haben wir die drei gSMC-K-Karten entfernt und diese dann mit SMC-Lesern ausgelesen. Die SMCs sind also mit Strom versorgt worden und hätten womöglich erkennen können, dass sie nicht in einem Konnektor stecken. Sie hätten sich dauerhaft deaktivieren können – dies ist aber nicht geschehen. Anschließend haben wir den Konnektor ohne sowie mit verschiedenen SMC-Teilbestückungen gestartet. Er bootete dann zwar nicht in Betriebsbereitschaft, hätte aber eventuell erkennen können, dass er geöffnet und die SMCs manipuliert wurden. Danach hätte sich der Konnektor dauerhaft deaktivieren können – hat er aber nicht. Anschließend haben wir den Originalzustand wiederhergestellt und den Konnektor dadurch wieder funktionstüchtig gemacht.

Gerät durch Sicherheitsfunktionen nicht unbrauchbar

Unsere Erkenntnis aus dem Versuch ist, dass es offenbar keine Sicherheitsfunktionen gibt, die das Gerät unbrauchbar machen, sobald eine SMC entfernt wird. Solche Sicherungen könnten beispielsweise Security Fuses sein, die durchbrennen, sobald der Konnektor ohne seine SMCs bootet. Derartige Sicherheitsmechanismen sind beispielsweise in Spielkonsolen eingebaut, die ein Firmware-Downgrade zum Starten von illegal kopierten Spielen verhindern. In dem von c't geöffneten Konnektor (KoCoBox von CGM) sind solche Absicherungen aber nicht vorhanden gewesen.

Wenn man beliebige SMCs von einem anderen Konnektor einsetzen würde, kann er natürlich nicht funktionieren, da die SMCs mit der Seriennummer der Hardware verknüpft sind und das Dateisystem sowie den Datenverkehr mit der TI verschlüsseln. Unseren Erkenntnissen nach spricht aber nichts dagegen, dass der Hersteller der SMC-Karten einen neuen Satz mit frischen Zertifikaten erstellt, der sich dann mit dem Konnektor neu koppeln lässt. Dies ist offenbar nur eine Frage des Willens und der Software. Zuvor müsste man eventuell ein Backup der alten Konfiguration anlegen und nach dem Wechsel wieder zurückspielen.

Bei den an die Konnektoren angeschlossenen Kartenterminals (KT) ist ein ähnlicher Austausch der dort eingesteckten gSMC-KT-Karten übrigens vorgesehen. Deren SMC-Karten müssen beim Konnektortausch ebenfalls gewechselt werden, was die Krankenkassen laut KBV mit 100 Euro pro SMC-Karte erstatten.

Insofern können wir nicht nachvollziehen, wieso die Gematik an ihrer bisherigen Strategie festhält:

Die im Bericht von heise / c’t vorgeschlagene Lösung, die gSMC-K auszutauschen, ist unserer Einschätzung nach keine Lösung für den Einsatz in den Praxen, da unter anderem die Sicherheitsvorgaben verletzt werden. Wie uns auf Anfrage bei allen Herstellern nochmals bestätigt wurde, ist der geschilderte Austausch der gSMC-K zudem technisch nicht möglich.

In ihrer Reaktion erklärt die Gematik nicht, welche Sicherheitsvorgaben einen solchen Kartentausch bei den Konnektoren technisch unmöglich machen. Sie spricht lediglich von "technischen Gründen", ohne diese konkret auszuführen. Gegenüber dem Deutschlandfunk gab die Gematik an, dass ein kompletter Austausch der Konnektoren wirtschaftlicher sei.

Flexible Sicherheitsvorgaben

Wenn es solche Vorgaben gibt, wäre die Frage, ob sie tatsächlich so penibel eingehalten werden müssen, oder ob man sie angesichts der für den Austausch veranschlagten knapp 400 Millionen Euro nicht anpassen könnte, ohne die Sicherheit der TI weiter zu gefährden. Ähnlich flexibel reagierte die Gematik schließlich auch bei der Zulassung der ORGA-Protect-Aufsätze, die ESD-Probleme mit den Kartenlesern von Worldline Healthcare vermindern sollen. Eigentlich sind solche Aufsätze an den Kartenterminals verboten, die Gematik drückte jedoch ein Auge zu.

BSI hat keine Bedenken bei Zertifikatsverlängerung

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte einem Bericht vom Handelsblatt zufolge keine grundsätzlichen Bedenken, die Sicherheitszertifikate mit einem Software-Update zu verlängern. Ein solches Update soll zumindest bei den Konnektoren von RISE problemlos möglich sein, wie uns der Hersteller bestätigte. Auch Gematik-Chef Leyck-Diecken hatte im April im Interview gesagt, alternativ zum Konnektortausch auch die "Verlängerung des bisherigen Konnektors" zu ermöglichen.

Mit dem vom Konnektor-Hersteller RISE beschriebenen Software-Update ließe sich die Laufzeit der Konnektoren mit den aktuellen gSMC-K-Karten zumindest bis 2025 verlängern. Ab 2025 werden neue Sicherheitsschlüssel mit größeren Längen nötig. Da die Verschlüsselung mit den Schlüsseln jedoch komplett auf den gSMC-K-Karten stattfindet, sehen wir keinen Grund, warum man nicht durch einen Austausch der Karten den Sicherheitsanforderungen ab 2025 genügen könnte.

Der CGM zufolge sei ein "Pairing" des Konnektors mit neuen gSMC-K-Karten "nicht zulässig", wie die CGM gegenüber dem Handelsblatt äußerte. Dem Hersteller Secunet zufolge würde ein Kartentausch nicht funktionieren. "Dadurch fährt das Gerät direkt nach der Kartenprüfung wieder herunter", teilte Secunet dem Handelsblatt mit. Unserer Einschätzung nach weisen beide Formulierungen darauf hin, dass ein Kartentausch mit angepasster Software – unter entsprechenden Sicherheitsvorkehrungen – technisch durchführbar wäre.

Man muss hier sehr genau unterscheiden, ob die Gründe gegen einen Kartentausch in einer faktischen Unmöglichkeit beziehungsweise einer tatsächlichen Sicherheitsgefährdung der TI liegen – oder aber am Unwillen oder dem Unvermögen einzelner Hersteller. Letztere profitieren schließlich vom Verkauf der neuen Konnektorhardware.

Kassenärztliche Bundesvereinigung macht Druck

Auch die Kassenärztliche Bundesvereinigung (KBV) ist mit den Erklärungen der Gematik nicht zufrieden: KBV-Vorstand Dr. Thomas Kriedel fordert in einem Brief an den Gematik-Chef Dr. Markus Leyck Dieken eine "schnellstmöglich klarstellende Bewertung". Denn die KBV habe dem teuren Konnektortausch im Februar lediglich aufgrund der Aussage der Gematik zugestimmt, "dass es nach Rücksprache mit den Herstellern und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) keine Möglichkeit gäbe, ein Zertifikat neu in den Konnektor einzubauen".

Die Krankenkassen sollen den Ärzten Kosten von insgesamt 400 Millionen Euro erstatten – inklusive Geldern für weitere Software-Updates für die elektronische Patientenakte (ePA 2.0). Der Kassenärztliche Bundesverband (KBV) lehnt den Schiedsspruch jedoch ab, weil die Summe nicht kostendeckend sei.

KBV-Vorstandsmitglied Dr. Kriedel über den Schiedsspruch zum Konnektortausch

Laut Kriedel sind die vom Bundesschiedsamt zugesprochenen Erstattungen von 2300 Euro pro Praxis bei Weitem nicht kostendeckend. Bislang hätten Praxen im Durchschnitt 9000 Euro über die Erstattungen hinaus für die Anbindung an die TI bezahlt. Deshalb haben die Ärzte auch nach dem Schiedsspruch ein Interesse daran, die Kosten möglichst niedrig zu halten.

Offene Fragen der KBV

Aus der neuesten Stellungnahme der KBV geht hervor, dass sie auf der Gesellschafterversammlung am 28. Februar offenbar unvollständig informiert wurde und deshalb keine wohl informierte Entscheidung zum Konnektortausch fällen konnte. Die KBV verlangt nun, dass die Gematik bis zur nächsten Versammlung im August eine Reihe von Fragen klärt, darunter folgende:

Gehen wir recht in der Annahme, dass den Gesellschaftern in der Gesellschafterversammlung am 28. Februar 2022 eine zu diesem Zeitpunkt vollständige Faktenlage präsentiert wurde, auf der sie die Entscheidung treffen konnten? Wenn nein, welche Fakten fehlten und warum wurden diese nicht zur Verfügung gestellt? Wurden die im c’t-Artikel aufgezeigten Ansätze des gSMC-K-Austausches vor der Gesellschafterversammlung am 28. Februar 2022 geprüft – sowohl technisch, rechtlich als auch regulatorisch (gemäß der Gematik- und BSI-Vorgaben)? Wenn ja, warum wurden diese Ergebnisse den Gesellschaftern nicht in der Gesellschafterversammlung am 28. Februar vorgestellt? Wenn nein, bis wann erfolgt diese Prüfung, Bewertung und Zurverfügungstellung der Ergebnisse durch die Gematik?

Jedes Jahr zählt

Laut Handelsblatt gehen Insider derzeit von einem Start der erweiterten TI (TI 2.0), erst im Jahr 2027 aus. Mit der TI 2.0 sollen die Konnektoren überflüssig werden, weil die Datenkommunikation dann per Software gesichert wird. Das Datum schiebt sich von Jahr zu Jahr immer weiter in die Zukunft, ursprünglich war vom Januar 2023 die Rede. Wenn es zu weiteren Verzögerungen kommt, müssten die jetzt aktualisierten Konnektoren eventuell erneut ausgetauscht werden, bevor die TI 2.0 irgendwann tatsächlich startet. Mit einem Software-Update könnte man sich also zumindest einen Zeitpuffer sichern und auch die aktuell angespannte Beschaffungssituation bei elektronischen Bauteilen aussitzen, mit denen die Hersteller unter anderem ihre hohen Preise rechtfertigen.

Nicht zuletzt begründen die Hersteller ihre Kostenkalkulation mit der Entsorgung der alten Konnektoren. Hier könnte man sie wahrscheinlich entlasten, wenn man die alten Geräte – die Praxen ja gekauft und bezahlt haben – nach Ablauf der Zertifikate kostenlos beim nächsten Recyclinghof abgibt. Schließlich soll es sich ja um Elektroschrott handeln, den die Hersteller nicht weiter verwerten können.

