Es geht um bis zu 400 Millionen Euro bis Ende 2025: so viel soll es kosten, circa 130 000 Konnektoren unter anderem in Arztpraxen auszutauschen. Konnektoren sind spezielle Router, die die Praxis mit der Datenautobahn des deutschen Gesundheitswesens verbinden. Diese sogenannte Telematikinfrastruktur (TI) vernetzt in Deutschland Arztpraxen, Krankenhäuser, Apotheken und auch Krankenkassen. Fällt sie aus, kann eine Praxis zum Beispiel keine Krankenkassenkarte mehr einlesen.

2017 wurden die ersten Konnektoren eingeführt. Der Tausch vieler Geräte sei nun nötig, da deren Zertifikate – eine Art Personalausweis in der IT-Welt – bald ablaufen und die Geräte ohne nicht mehr funktionieren. So heißt es von Herstellern und der Gematik. Die Gesellschaft ist für die TI in Deutschland verantwortlich. Mit 51 Prozent Anteilen ist das Gesundheitsministerium der größte Gesellschafter.

Softwareupdate für Konnektoren unmöglich?

2300 Euro pro Gerät soll der Austausch kosten. Das zahlen zwar die Praxen, die Krankenkassen erstatten aber die Kosten. Günstiger wäre ein Softwareupdate, dass die Geräte auf den aktuellen Stand bringt. Bisher hieß es seitens der Hersteller und Gematik, das sei keine Option. Doch Recherchen des Computermagazins C’t und auch des Hackervereins Chaos Computerclub (CCC) haben gezeigt: Das stimmt so nicht. So hat der CCC-Hacker Carl Fabian Lüpke – Hackername Flüpke – zwei Konnektoren auseinandergenommen und bewiesen, dass ein vollständiger Austausch aktuell nicht nötig sei. Auch einen sogenannten Patch – ein Softwareupdate, das Fehler beheben soll – hat der CCC geschrieben und veröffentlicht. Im Interview erklärt Flüpke, warum er die Konnektoren geknackt hat, wie er dabei vorgegangen ist – und, was die Politik nun tun sollte.

Flüpke, Sie haben zwei Konnektoren auseinandergenommen, um zu zeigen, dass sie nicht ausgetauscht werden müssen, wie von Gematik und Hersteller behauptet. Warum haben Sie das überhaupt gemacht?

Zum einen finde ich ‚Reverse Engineering‘ einfach interessant. Also das Auseinanderschrauben und ein grundlegendes Verständnis für diese Maschinen zu bekommen – so konnten wir auch den Patch schreiben. Es war eine schöne handwerkliche Übung, die Dinger zu zerlegen und hat Spaß gemacht.

Und was ist der andere Grund?

Zum anderen macht mich das alles wütend: In Zeiten der Krise, Knappheit und Pandemie will sich ein Konsortium dermaßen an diesem unnötigen Konnektorentausch bereichern – und das an unserem ohnehin schon schlecht finanzierten Gesundheitssystem. Wir reden aktuell wieder über Erhöhungen der Kassenbeiträge, aber man schießt für so eine Inkompetenz so viel Geld in den Wind. Das macht mich wütend und das ist mein Motivationsgrund. Weder ich noch der CCC verdienen irgendetwas an dieser Arbeit.

Was macht Ihr Patch genau?

Der tauscht die Zertifikatsdatei auf einer der Smartcards …

… eine Art Sim-Karte im Router …

… im Konnektor aus. Dazu muss man auch wissen: Vorher hieß es, dass die Smartcards in den Konnektoren fest verbaut seien. Ein Tausch veralteter Konnektoren sei also alternativlos. Aber das Computermagazin C’t hatte bei seinen Recherchen bereits gezeigt, dass die Smartcards herausgenommen werden können. Wir sind noch ein Stück weitergegangen und haben geschaut, was die Smartcards überhaupt machen. Meine Kollegin Annika Hanning und ich haben dann den Patch geschrieben, den die Hersteller verwenden könnten.

Wieso braucht es überhaupt einen Patch?

Bei vielen Konnektoren laufen die Zertifikate bald aus Sicherheitsgründen ab, die Geräte würden dann nicht mehr funktionieren. Zertifikatsverlängerungen sind in der Industrie üblich. Und seit Ewigkeiten gibt es dafür Lösungen.

Und warum nicht in diesem Fall?

Auch hier hatte die Gematik eine Lösung spezifiziert. Die Konnektorenhersteller Secunet und Rise hatten die Lösung auch implementiert. Der größte Hersteller – die CompuGroup Medical – aber nicht. Die Gematik hat vermutlich dann notgedrungen gesagt: Okay, dann machen wir halt den Austausch.

Nun haben Sie eine viel einfachere Lösung aufgezeigt. Was waren die Reaktionen?

Die Gematik hat gesagt, dass die Geräte, deren Zertifikat bis August 2023 ablaufen, ausgetauscht werden sollen. Bei anderen Geräten wird das geprüft. Als Grund für den Tausch nannte sie veraltete Hardware. Das kann ich aber so nicht stehenlassen.

Was meinen Sie damit?

Die alten Konnektoren haben zwar das Verschlüsselungssystem RSA 2048 Bit. Das ist nicht toll und veraltet. Aber laut dem Bundesamt für Sicherheit in der Informationstechnik ist der Betrieb von Konnektoren mit RSA 2048 Bit bis Ende 2025 übergangsweise zulässig ist. Es würde also reichen, auch bei alten Geräten die Smartcard auszutauschen, was auch günstiger wäre als den ganzen Konnektor.

Die Geräte kosten vermutlich nur einen Bruchteil der 2300 Euro.

Der Austausch der Geräte soll 2300 Euro pro Konnektor kosten. Sie haben die Geräte auseinandergenommen: Ist der Preis Ihrer Meinung nach gerechtfertigt?

Überhaupt nicht: Die Konnektoren haben teilweise alte Hardware, besonders der Konnektor der CompuGroup Medical. Die ist gut genug ist für das, was das Gerät macht. Aber die Geräte kosten vermutlich nur einen Bruchteil der 2300 Euro. Das teuerste sind wahrscheinlich die Entwicklungskosten und die Kosten für die Techniker, die die Geräte vor Ort austauschen. Aber die Entwicklungskosten waren ja bereits bei der ersten Konnektor-Generation 2017 entstanden. Die neuen Konnektoren nutzen die gleiche Software. Ich kann aber genau erklären, wie die Summe von 2300 Euro zustande gekommen ist.

Wie denn?

Das ist der Erstattungsbetrag, den Ärzte von den Krankenkassen für den Konnektorentausch erhalten. Vorher sagten die Hersteller, dass die neuen Geräte um die 2700 Euro kosten werden. Eine Schiedsstelle entschied dann im Juli, dass es von den Krankenkassen nur 2300 Euro für Ärzte gibt. Die Hersteller haben dann „großzügigerweise“ den Preis der Konnektoren reduziert und sich damit die Kritik von den Ärzten vom Hals gehalten. Die mussten dann nicht mehr auf den Kosten für den Tausch sitzenblieben.

Klingt merkwürdig.

Ich kann mich nur der Kritik des Sprechers vom CCC, Dirk Engling, anschließen. Der hat gesagt: „Hier will sich ein Kartell durch strategische Inkompetenz am deutschen Gesundheitssystem eine goldene Nase verdienen. Dabei werden immense Kosten für alle Versicherten, sinnloser Aufwand für einen Austausch bei allen Ärzten und tonnenweise Elektroschrott in Kauf genommen.“

-