Chaos Computer Club spart dem Gesundheitssystem 400 Millionen Euro

Wie viele infrastrukturelle Großprojekte in Deutschland ist auch die Digitalisierung des Gesundheitswesens kein Grund zum Stolz. Sie obliegt der Firma gematik, die mit der „Telematik Infrastruktur“ (TI) ein „sicheres“ Datennetz für Patientendaten wie die elektronische Patientenakte oder das e-Rezept betreibt. Für den Zugang wird in der Arztpraxis ein spezieller VPN-Router benötigt, der TI-Konnektor, der aktuell von drei zertifizierten Herstellern verkauft wird.

Mit den TI-Konnektoren hat die gematik für diese Hersteller ein äußerst lukratives Kartell-ähnliches Geschäftsmodell geschaffen, denn die Geräte haben ein künstliches Verfallsdatum, weil Zertifikate auslaufen. Nach nur fünf Jahren im Dienst wollen die drei Hersteller erneut 130.000 Konnektoren verkaufen. Kein Wunder, dass ihnen wenig an einer alternativen Lösung gelegen ist.

Geplante Obsoleszenz

Aus Sicherheitsgründen haben viele Zertifikate, wie zum Beispiel auch die Zertifikate von Webseiten, ein Verfallsdatum. Das heißt, sie müssen regelmäßig erneuert werden. Ein Problem, das nicht nur bekannt ist, sondern für dessen Lösung es seit langem etablierte technische Verfahren gibt. Der Ablauf nach fünf Jahren kommt also alles andere als überraschend – dennoch hat die gematik keine Verlängerungsmöglichkeit für ihre Konnektoren vorgeschrieben.

Die Hersteller können sich nun über den Verkauf komplett neuer Geräte freuen, statt ein einfaches Software-Update anbieten zu müssen.

Austausch statt Update

Sogar der gematik als Auftraggeber ist die Absurdität eines solchen Hardwaretausches klar. So schlug sie eine unverbindliche Option zur Laufzeitverlängerung vor. Natürlich wurde diese nicht von allen Herstellern umgesetzt. In der Folge schlossen sich auch die Firmen, die bereits eine Möglichkeit zur Verlängerung implementiert hatten, der umsatzträchtigen Formel „Austausch statt Update“ an: für die Hersteller ein Riesengeschäft, für deutsche Praxen und Krankenhäuser eine weitere finanzielle und logistische Zumutung.

Die Kassenärztliche Bundesvereinigung bezifferte in ihrer letzten Vertreterversammlung allein die nicht durch die Krankenkassen erstatteten TI-Anschlusskosten der vergangenen Jahre für eine durchschnittliche Praxis auf 9.000 Euro.

Es kommt noch dreister: Schon im Jahr 2027 soll sich diese kostenintensive Blamage wiederholen. Denn auch die jetzt zum Austausch vorgesehenen Konnektoren haben wieder nur eine fünfjährige Lebensdauer – und bis dato gibt es noch keine verpflichtende Laufzeitverlängerung.

„Hier will sich ein Kartell durch strategische Inkompetenz am deutschen Gesundheitssystem eine goldene Nase verdienen. Dabei werden immense Kosten für alle Versicherten, sinnloser Aufwand für einen Austausch bei allen Ärzten und tonnenweise Elektroschrott in Kauf genommen“, sagte Dirk Engling, Sprecher des Chaos Computer Clubs. „Schlimmer noch: Eine Wiederholung des Debakels in fünf Jahren wird bereits vorbereitet.“

Minimalinvasive Operation

Dass ein Software-Update mit minimalem Aufwand möglich wäre, zeigten jüngste Recherchen: Ein Hacker des CCC dokumentierte eine Analyse der ausgelieferten Firmware auf den Konnektoren.

Diese Forschung zeigte, dass die auf den Konnektoren laufenden Open-Source-Komponenten mit sehr wenig Aufwand überredet werden können, neben den auslaufenden Zertifikaten einen zusätzlichen Strauß an erneuerten Zertifikaten zu benutzen. Mit diesem Wissen war ein minimalinvasiver Patch nur noch eine Fingerübung. Das Ergebnis spendet der CCC den augenscheinlich überforderten Herstellern.

Bevor diese Patches auf die Konnektoren aufgespielt werden können, braucht es jedoch noch eine Handvoll geheime Bits, die nur bei der gematik im Tresor liegen: Damit müssten die neuen Zertifikate und Patches für die Firmware signiert werden.

„Wenn die beauftragten Hersteller von TI-Konnektoren selbst mit so trivialen Aufgaben wie einer Erneuerung der Zertifikate überfordert sind, drängt sich doch die Frage auf, ob nicht die Vergabekriterien und Verträge der gematik verschärft und kompetentere Wettbewerber gefunden werden müssen“, so Engling.

Druck aus der Politik

Im Lichte der fortwährenden Geldverbrennung in der TI fordert der CCC das Bundesgesundheitsministerium auf, die gematik an eine kürzere Leine zu nehmen und dem Pfusch bei Ausschreibungen und in den Verträgen ein Ende zu setzen. Weiter fordert der CCC das Umweltministerium auf, gangbare Wege auszuloten, die allein schon aus Nachhaltigkeitsgesichtspunkten völlig sinnlose tausendfache Vernichtung einsatzfähiger Hardware zu verhindern.

Schließlich appelliert der CCC an die Hersteller der Konnektoren, dass sie sich ehrliche Wege für ihren Broterwerb suchen.

Hilfe bei den Updates

Wenn die gematik in Vertretung für das deutsche Gesundheitssystem das 400-Millionen-Euro-Geschenk annimmt und die erforderlichen Signaturen leistet, bietet der CCC den Praxen und Krankenhäusern Hilfe beim Einspielen der Patches an. Mit diesem Angebot wollen wir sicherstellen, dass bei den Herstellern nicht noch überraschend auftretende logistische Probleme die kostengünstigere Alternative verhindern.

Links und weiterführende Informationen

• gematik fällt auch sonst nicht positiv auf
• gematik fällt auch sonst nicht positiv auf
• gematik fällt auch sonst nicht positiv auf
• Konnektoren-Patch-Spende des CCC
• Konnektortausch: technische Hintergründe zum Appell an Karl Lauterbach (Heise)