Streit um Konnektorentausch: Gematik in Erklärungsnot

Berlin – Die Gematik ist wegen des Streits um Sinn oder Unsinn des anstehenden Austauschs der Konnekto­ren zur Verbindung mit der Telematikinfrastruktur (TI) in Erklärungsnot. Nach einer Untersuchung des IT-Fach­magazins c’t unterstellt sie diesem nun, möglicherweise unzulänglich gearbeitet zu haben. Die IT-Experten wehren sich. Auch die Kassenärztliche Bundesvereinigung (KBV) will wissen, woran sie ist.

Der anstehende Austausch von 130.000 TI-Konnektoren erhitzt weiterhin die Gemüter in Gesundheitswesen und IT-Branche: Während händeringend mindestens 17 Milliarden Euro zur Sanierung der Krankenkassen­finan­zen eingespart werden müssen, werden die Kassen dazu verpflichtet, je nach Schätzung zwischen 300 und 400 Millionen Euro aus dem Fenster zu werfen, so der Vorwurf.

Denn der komplette Austausch der Konnektoren ist aus Sicht mancher Fachleute überhaupt nicht notwendig, sondern könnte mit einer einfachen Verlängerung der Zertifikate und einem Austausch der sogenannten gerä­tespezifischen Security Module Card Typ Konnektor (gSMC-K) erledigt werden.

Die gSMC-Karten speichern laut Gematik kryptographische Schlüssel und zugehörige Zertifikate innerhalb des Konnektors. Der benutzt diese Schlüssel und Zertifikate dann, um sich gegenüber dem VPN-Zugangsdienst und anderen TI-Komponenten zu authentisieren.

Das IT-Magazin c’t wollte nun überprüfen, ob diese Karten tatsächlich nicht getauscht werden können. Die Compugroup Medical (CGM) als Konnektorenhersteller mit dem größten Marktanteil hatte nämlich angege­ben, dass die Karten fest eingebaut seien und aus Sicherheitsgründen nicht entfernt werden können, weshalb ein Austausch technisch nicht möglich sei.

CGM hat nicht nur den größten Marktanteil, sondern ist auch am längsten am Markt. Die 30.000 Konnektoren, die noch in diesem Jahr ausgetauscht werden sollen, stammen deshalb allesamt von dort. Aus diesem Grunde hatte sich c’t eine sogenannte KoCoBox des Herstellers vorgeknöpft: Mit einem handelsüblichen Klingen­schraubendreher öffneten sie den Konnektor und entfernten die drei verbauten Karten.

„Die drei gSMC-K-Karten konnten wir zusammen mit der Stützbatterie problemlos entfernen und wieder ein­setzen“, schreiben die IT-Experten. „Die KoCoBox bootete anschließend klaglos und konnte weiterverwendet werden. Dies widerspricht der Aussage von CGM, die Zertifikate seien fest verbaut.“

Seien die Karten also doch austauschbar, könnte das hunderte Millionen Euro sparen: Bei veranschlagten 30 Euro Herstellungskosten für die drei gSMC-Karten ließen sich laut c’t pro ausgetauschter KoCoBox etwa 1.556 Euro sparen – also mehr als 45 Millionen Euro allein in diesem Jahr.

Erst auf den Hinweis des Fachmediums hin habe CGM die Behauptungen auf seiner Internetpräsenz ange­passt. Das Zertifikat auf der Karte und der Konnektor seien untrennbar miteinander verbunden und es sei zwar möglich, sie physisch voneinander zu trennen, beide seien anschließend aber ohne Funktion, hieß es danach.

Kurz darauf sah sich Gematik zu einer Stellungnahme veranlasst, in der sie insinuierte, dass c’t dabei unsauber vorgegangen sein könnte: Die vorgeschlagene Lösung, die gSMC-K auszutauschen, „ist unserer Einschätzung nach keine Lösung für den Einsatz in den Praxen, da unter anderem die Sicherheitsvorgaben verletzt werden“, heißt es darin.

Auf Anfrage hätten alle Herstellern der Gematik nochmals bestätigt, dass der geschilderte Austausch der gSMC-K technisch nicht möglich wäre. „Es liegt demnach die Vermutung nahe, dass bei dem im Artikel be­schriebenen Entfernen der gSMC-K dieselbe (!) Karte auch wieder in den Konnektor hineingesteckt wurde – demnach also kein Austausch der Karte selbst stattfand“, mutmaßt die Gematik.

Wenn dies der Fall wäre, so sei es auch nicht verwunderlich, dass der Konnektor danach weiterhin funktio­nier­te – schließlich habe sich an seiner Konfiguration nichts geändert. Es bleibe deshalb festzuhalten, dass der Austausch einer gSMC-Karte im Konnektor laut übereinstimmender Herstellerangaben nicht möglich sei.

Aus Sicht von c’t hat die Gematik mit dieser Stellungnahme allerdings Eulen nach Athen getragen. Im Beitrag wird nämlich gar nicht behauptet, es habe sich bei den wieder eingesetzten Karten um andere als die zuvor ausgebauten gehandelt. Der Punkt war demnach ein ganz anderer, nämlich die Erkenntnis, dass es offenbar keine Sicherheitsfunktionen gibt, die das Gerät unbrauchbar machen, sobald die Karten entfernt werden.

Dass es nicht funktioniert hätte, wenn stattdessen drei andere gSMC-Karten eingesetzt worden wären, sei demnach selbstverständlich, schließlich sind sie mit der Seriennummer der Hardware verknüpft. Es spreche daher nichts dagegen, dass CGM einen neuen Satz Karten mit frischen Zertifikaten erstellt, der sich dann mit dem Konnektor neu koppeln lässt. „Dies ist offenbar nur eine Frage des Willens und der Software“, schreibt c’t.

Allerdings könnte es unter Umständen so leicht auch wieder nicht sein: Denn das Bundesamt für Sicherheit in der Informationstechnik (BSI) schreibt in seinen sogenannten Protection Profiles – Schutzprofilen, in denen generische Anforderungen an eine Produktkategorie festgeschrieben sind – für die TI-Konnektoren, dass die gSMC-K sicher mit dem Netzkonnektor verbunden sein muss.

„Sicher bedeutet in diesem Fall, dass die gSMC-K nicht unbemerkt vom Netzkonnektor getrennt werden kann und dass die Kommunikation zwischen gSMC-K und Netzkonnektor weder mitgelesen noch manipuliert wer­den kann“, führt das BSI aus.

Genau das beschreibt c’t allerdings: Im Versuch hätten die IT-Experten die drei gSMC-K-Karten entfernt und diese dann mit SMC-Lesern ausgelesen. „Die SMCs sind also mit Strom versorgt worden und hätten womög­lich erkennen können, dass sie nicht in einem Konnektor stecken. Sie hätten sich dauerhaft deaktivieren kön­nen – dies ist aber nicht geschehen“, schreiben sie. „Anschließend haben wir den Originalzustand wiederher­gestellt und den Konnektor dadurch wieder funktionstüchtig gemacht.“

Demnach würde rein technisch wirklich nichts gegen einen physischen Austausch sprechen, bestätigt Geor­gi­os Raptis, Professor für Informatik und eHealth an der OTH Regensburg, auf Anfrage des Deutschen Ärzteblatts.

„Theoretisch wäre es denkbar, dass – falls keine technischen Maßnahmen gegen Austausch der gSMC-K im­plementiert wurden – der Hersteller (oder sein Dienstleister) das Gehäuse öffnet, die gSMC-K austauscht, den Konnektor wieder versiegelt und ihn dann im Sinne des Protection Profile als ‚neuen‘ Konnektor betrachtet“, erklärte er.

Dagegen spreche allerdings, dass eine solche Prozedur im Protection Profile nicht vorgesehen ist. „Der Her­steller kann sich auf die BSI-Anforderung der Untrennbarkeit berufen; das wäre eigentlich nicht unplausibel“, sagte Raptis.

Für den Vorschlag von c’t heiße das letztendlich: Technisch wäre er tatsächlich durchführbar, allerdings müsste erst das BSI die Protection Profiles für den Anwendungs- und Netzkonnektor anpassen oder zumindest eine Klarstellung zu deren Interpretation veröffentlichen und den Austausch absegnen. Demnach handelt es sich wohl tatsächlich eher um ein politisches als um ein technisches Problem.

Ob es so ist, will auch die Kassenärztliche Bundesvereinigung (KBV) wissen. Sie protestiert nämlich nicht nur gegen den Schiedsspruch zur Erstattung des Konnektorentauschs, sondern will die Gematik auch mit den Er­gebnissen von c’t konfrontieren, in enger Abstimmung mit dem BSI wie KBV-Vorstandsmitglied Thomas Krie­del betonte.

Denn die KBV hatte Ende Februar im Gesellschafterrat der Gematik für den Konnektorentausch gestimmt – allerdings unter den Prämissen, an denen die aktuellen Recherchen jetzt Zweifel säen. „Gehen wir recht in der Annahme, dass den Gesellschaftern (…) eine zu diesem Zeitpunkt vollständige Faktenlage präsentiert wurde, auf der sie die Entscheidung treffen konnten? Wenn nein, welche Fakten fehlten und warum wurden diese nicht zur Verfügung gestellt?“, will die KBV deshalb nun in einem Brief von der Gematik-Führung wissen.

Auch zur Frage, ob die Gematik die von c’t aufgezeigten Ansätze Austausches vor der Gesellschafterversamm­lung geprüft hat, will die KBV in Erfahrung bringen – und weist explizit drauf hin, dass sie sowohl die techni­sche, die rechtliche als auch die regulatorische Durchführbarkeit gemäß der Gematik- und BSI-Vorgaben meint.

„Wenn ja, warum wurden diese Ergebnisse den Gesellschaftern nicht in der Gesellschafterversammlung am 28. Februar vorgestellt? Wenn nein, bis wann erfolgt diese Prüfung, Bewertung und Zurverfügungstellung der Ergebnisse durch die gematik?“, fragt der KBV-Vorstand die Gematik.

Bis Ende des Monats – also am Sonntag – erwartet die KBV nun nach eigenen Angaben Antworten von der Gematik und kündigt bereits an, sich auch darüber hinaus für eine Aufklärung einzusetzen: „Das Ganze kann auch auf der nächsten Gesellschafterversammlung der gematik Anfang August thematisiert werden. Die KBV wird dazu einen entsprechenden Antrag stellen.“

lau