400 Millionen Euro – für nichts?

Wenn es um die Digitalisierung im deutschen Gesundheitswesen geht, lässt sich seit Jahren wunderbar „Begriffsbingo“ spielen. Ob eAU, KIM, Telematikinfrastruktur oder das eRezept – mindestens eines dieser Schlagworte findet sich garantiert in der tagesaktuellen Berichterstattung wieder, die jedoch selten positiv ausfällt. Die Nachrichten über verschobene Rollouts, vermeidbare Softwarefehler oder fehlende Relevanz im Praxisalltag reißen kaum ab. Seit März dieses Jahres ist das Bingo um einen neuen Kampfbegriff reicher: der Konnektortausch. Das sensible IT-Gerät, das eine sichere und verschlüsselte Verbindung zwischen dem jeweiligen Praxisnetzwerk und der Telematikinfrastruktur aufbaut, stand zwar auch in den Jahren zuvor einige Male im Kreuzfeuer der Kritik; mittlerweile hat die Diskussion um die speziell für das Gesundheitswesen entwickelten Hardware-Router aber eine neue Qualität erreicht. Angefangen hat es, als die Gesellschafterversammlung der gematik Ende Februar 2022 einstimmig beschloss, dass Konnektoren fünf Jahre nach ihrem Herstellungsdatum ausgetauscht werden müssen – aus Sicherheitsgründen. Denn die Zertifikate der Konnektoren müssen danach erneuert werden.¹ Diese Zertifikate sind Identitätsnachweise, mit denen der Konnektor nachweisen kann, dass er echt und berechtigt ist, an der Telematikinfrastruktur teilzunehmen. Dass Zertifikate nach einer bestimmten Zeit ablaufen, ist eine ganz übliche Vorsichtsmaßnahme, denn ältere Zertifikate können angesichts des technischen Fortschritts und der zunehmenden Rechenleistung von Hackern unmöglich das weiterhin erforderliche Sicherheitsniveau gewährleisten. Bei der Frist von fünf Jahren handelt es sich um eine verbindliche Vorgabe des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die technisch durchaus begründet ist.

Mehrere Optionen zur Erneuerung der Zertifikate

Da die ersten Konnektoren im Jahr 2017 in den Praxen aufgestellt wurden, gibt es bereits 2022 sowie in den folgenden Jahren Geräte, deren Zertifikate erneuert werden müssen. Vor diesem Hintergrund lagen den Gesellschaftern der gematik mehrere Optionen auf dem Tisch: Zur Wahl standen unter anderem ein kompletter Austausch der Konnektoren sowie alternativ eine Laufzeitverlängerung der bestehenden Zertifikate bis 2025 per Software-Update. Bei einem Austausch werden in den Praxen neue Konnektoren mit neuen Zertifikaten installiert, die mindestens bis 2027 laufen. Bei der Option der Laufzeitverlängerung per Update hätte sich das gleiche Problem im Jahr 2025 wieder gestellt. Und bis dahin wird die TI2.0 – also die geplante Ausbaustufe der aktuellen TI, die ohne jegliche Hardware-Komponenten wie Konnektoren oder Kartenterminals auskommen soll – aller Voraussicht nach noch nicht final implementiert sein.²

Um also zweimalige Kosten zu vermeiden, entschied sich die gematik per einstimmigem Gesellschafterbeschluss für den klassischen Austausch. Eine dritte Option, lediglich die sogenannte gSMC-K-Karte innerhalb des Konnektors auszutauschen, auf der die Zertifikate gespeichert sind, wurde gar nicht erst berücksichtigt. Grund hierfür war, dass die Karten laut Herstellerangaben sicher verbaut sind und eine Trennung von Konnektor und Karte nicht möglich sei, ohne das System des Konnektors als Ganzes unbrauchbar zu machen.³

Ist doch ein alleiniger Tausch der gSMC-K-Karte möglich?

Mittlerweile ist der Konnektortausch bereits in vollem Gange. Insgesamt sind über 130.000 Konnektoren vom Austausch betroffen, die Kosten zur Umsetzung des Großprojekts liegen laut Medienberichten zwischen 300 und 400 Mio. €.⁴ Ausdiskutiert ist das Thema aber noch lange nicht. So fand das Branchenmagazin c’t heraus, dass es offenbar durchaus möglich ist, die angeblich fest verbaute gSMC-K-Karte aus dem Konnektor zu entfernen, die gerätespezifische Karte mit einem SMC-Leser auszulesen und danach wieder in das Gerät einzubauen. Damit wäre die „dritte Option“, nämlich der Austausch der Karten bei Beibehalt der vorhandenen Konnektor-Hardware, also prinzipiell doch möglich. Zwar stellte die gematik in einer Stellungnahme richtigerweise fest, dass es sich bei dem von der c`t gezeigten Vorgehen nicht um einen wirklichen Austausch der gSMC-K-Karte, sondern nur um einen Wiedereinbau von bereits konfigurierten Karten handelte; jedoch merkte die Zeitschrift c’t daraufhin an, dass es trotzdem offenbar keine Sicherheitsmechanismen gibt, die die Karten nach der Entnahme aus dem Konnektor unbrauchbar machen würden, was in der Tat ein gewisses Missbrauchsrisiko mit sich bringt.⁵ Man könnte z.B. die gSMC-K-Karte aus dem Konnektor nehmen, böswillige Änderungen vornehmen und diese manipulierte Karte wieder in die TI einbringen.

Diese Situation mit Behauptungen und Gegenbehauptungen rief nun wiederum den Chaos Computer Club (CCC) auf den Plan, dessen Mitglieder schon in der Vergangenheit viele Missstände bei Datenschutz und -sicherheit aufgedeckt haben. Die CCC-Experten besorgten sich zwei unterschiedliche Konnektorenmodelle, analysierten die Bauteile der Geräte und schafften es schließlich sogar, das auf dem Gerät befindliche Betriebssystem zu entschlüsseln und somit Zugriff auf das Dateisystem des Konnektors zu erlangen.

Konnektortausch vermeidbar?

Die Erkenntnisse sind brisant: Zum einen wird die c’t-Behauptung gestützt, dass es keine hardwareseitige Verknüpfung zwischen Konnektor-Hardware und den gSMC-K-Karten gibt. Manipulationen an Hardware und der Software des Konnektors sowie an den Zertifikaten sind also möglich, ohne dass dies auffallen würde. Zum anderen kommt der CCC zum Schluss, dass der Konnektortausch in seiner jetzigen Form komplett vermeidbar wäre.⁶ Das Team rund um CCC-Hacker „Fluepke“ machte sogar ein Software-Update öffentlich, das Praxen einspielen können, um damit die Zertifikate ihrer Konnektoren zu verlängern.⁷ Dafür müsste die gematik laut dem CCC jedoch noch die erforderlichen Signaturen liefern. Geschieht dies, sei ein Software-Update der Konnektorzertifikate „mit minimalem Aufwand“ möglich, so die IT-Experten vom CCC. Die Reaktion der gematik ließ nicht lange auf sich warten: Die Möglichkeit der Zertifikatsverlängerung sei ja grundsätzlich schon immer bekannt gewesen, allerdings müssten alle älteren Konnektoren, deren Zertifikate bis August 2023 ablaufen, aufgrund ihrer veralteten Technik ohnehin ausgetauscht werden.⁸ Somit stand wieder Aussage gegen Aussage.

Welche Konsequenzen hat die Entschlüsselung des Konnektors?

Was bedeutet die Aktion des CCC nun aber für die Sicherheit in der Telematikinfrastruktur? Und wie wirkt sich der Hack auf den bereits begonnenen Konnektortausch aus? An dieser Stelle ist wichtig zu betonen, dass der CCC die Konnektoren zwar „gehackt“ hat; kompromittiert ist die Telematikinfrastruktur deshalb aber nicht.⁹ Denn um auf die TI zugreifen zu können, benötigt man nicht nur den Konnektor, sondern auch weitere Faktoren wie den Praxisausweis (SMC-B) und einen entsprechenden VPN-Zugangsdienst. Bildlich gesprochen stellt sich die vorliegende Situation in etwa so dar, als hätte man den Motor eines Autos (entspricht in diesem Beispiel dem Konnektor) ausgebaut, untersucht, verstanden und in einem anderen Fahrzeug zum Laufen gebracht, aber noch nicht mit der Montage der Reifen, dem Bau einer Straße (=VPN-Zugangsdienst) oder der Bereitstellung von Führerschein und Fahrzeugpapieren (=eHBA, SMC-B) begonnen. Die Leistung des CCC soll das nicht schmälern, im Gegenteil. Dennoch zeigt es, dass Patientendaten innerhalb der TI durch die Erkenntnisse der Aktion nicht unmittelbar in Gefahr sind.

Dennoch ist eine Tür geöffnet. Das Wissen, wie man den Konnektor und seine Komponenten untersuchen kann, ohne ihn dadurch zu zerstören, ist in der Welt. Damit ist denkbar, dass weniger wohlgesonnene Hacker durch die beschriebene Vorgehensweise zukünftig gezielt nach Schwachstellen suchen können, um beispielsweise manipulierte Daten an das Betriebssystem des Konnektors zu schicken oder schädliche Programmcodes unterzuschieben. Das ist grundsätzlich noch nicht problematisch, denn entdeckte und bekannte Schlupflöcher kann man schließen. Es ist daher nicht unrealistisch, dass es in Zukunft weitere Konnektoren-Sicherheitsupdates geben wird. Wie die Softwarehäuser ihren Kunden ein solches Update zur Verfügung stellen, hängt dann von der Art des jeweiligen TI-Anschlusses ab. Steht der Konnektor in der Praxis, muss das Update durch einen Servicetechniker vor Ort eingespielt werden; steht der Konnektor im Rechenzentrum, wird das Update im Hintergrund durchgeführt.

Aber zurück zur festgefahrenen Situation im Glaubenskampf um den Konnektortausch. Während der Chaos Computer Club der gematik „Geldverbrennung“ und den Herstellern augenscheinliche Überforderung und mangelndes Interesse an einer modernen, schnellen und preiswerteren Software-Lösung attestiert, weist die gematik gebetsmühlenartig darauf hin, dass die Zertifikatsverlängerung den Gesellschaftern mehrfach vorgeschlagen wurde, aber letztendlich ein kompletter Austausch als sicherste und wirtschaftlichste Möglichkeit angesehen wurde. Alle Argumente pro und contra haben wir im Kasten zusammengefasst.

Literaturtipp
zum Thema Konnektortausch

Autor:
Alexander Wilms
Geschäftsführer RED Medical Systems , München

Alexander Wilms betreut seit annähernd 20 Jahren die allgemeinärztliche Praxis seiner Frau in IT-Fragen und war maßgeblich an der Entwicklung von RED ­Medical , der ersten webbasierten Arztsoftware, beteiligt.