Konnektortausch: CompuGroup Medical setzt Ärzte unter Druck

Am 30. August 2022 verschickte die CompuGroup Medical (CGM) "wichtige vertragliche Informationen" an ihre Vertragspartner für die KoCoBox – ein Spezialrouter (Konnektor) zur Anbindung an die Telematikinfrastruktur des Gesundheitswesens für den Austausch von Patientendaten. CGMs Schreiben ist eine Reaktion auf unsere Berichterstattung zu dem nach unseren Recherchen nicht notwendigen Austausch von Konnektoren. CGM informiert seine Kunden in diesem Brief über "die Notwendigkeit eines Konnektoren-Austausches", weil "aufgrund diverser Gerüchte und Publikationen Unsicherheiten rund um die Telematikinfrastruktur (TI) und die Notwendigkeit eines Konnektoren-Austausches geschaffen" wurden.

CGM schreibt dort unter anderem:

"Eine [...] Möglichkeit, den Austausch eines Konnektors für einen kurzen Zeitraum (bis zum 31.12.2024) zu verschieben, ist eine Softwarelösung. Diese kann jedoch Unsicherheiten in den Betrieb solcher Konnektoren bringen und erfordert [...] bis spätestens zum 31.12.2024 ebenfalls den Austausch der Konnektoren. Nach unserer Kalkulation ist diese Lösung unter Einrechnung aller Fakten deutlich teurer als ein sofortiger Austausch (und das schon bei heutigen Preisen)."

Diese Aussagen stehen in (deutlichem) Widerspruch zu unseren Erkenntnissen. CGM warnt indirekt vor steigenden Preisen, falls kein "sofortiger Austausch" durch die Ärzte beauftragt wird. Allerdings hatte CGM bereits im vergangenen Jahr mitgeteilt, "zehntausende Geräte für Millionen Euro" für den bevorstehenden Konnektortausch eingekauft zu haben. Die Marge von CGM ist anscheinend groß genug, sodass die Preise sofort auf den Erstattungsbetrag gesenkt wurden, nachdem Ärzteverbände protestiert hatten. Spätere Preiserhöhungen wird die CGM im Markt kaum durchsetzen können.

Ferner spielt CGM auf nicht näher erläuterte "Unsicherheiten im Betrieb" nach einer erfolgten Laufzeitverlängerung an, die es nach dem "normalen, jedoch enorm wichtigen Vorgang" des Konnektortauschs nicht gebe. Wir wundern uns, welche "Unsicherheiten" das sein sollten: Bei der von CGM angesprochenen Software-Lösung handelt es sich um die am 30. Juni 2021 von der Gematik veröffentlichte Spezifikation zum "Feature Laufzeitverlängerung gSMC-K 1.0.0". Dieses sollte ermöglichen, ablaufende Zertifikate in den Krypto-Karten der Konnektoren durch frische Zertifikate zu ersetzen, um den anstehenden Konnektoraustausch zu verhindern.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat uns bestätigt, dass sie keine Sicherheitseinwände gegen diese Gematik-Spezifikation haben. Die Laufzeitverlängerung war als verpflichtender Teil der Produkttypversion 5 (PTV5) für Konnektoren geplant und hätte damit der Zertifizierung nach Common-Criteria-Schutzprofilen und der Zulassung durch die Gematik unterlegen.

CGM schreibt dazu in dem Brief an die Ärzte:

"Diese Spezifikation wurde durch die CGM anfangs zur Entwicklung eingeplant, wurde jedoch nicht umgesetzt, da der Gesellschafterbeschluss der Gematik zum Austausch der Konnektoren am 28.02.2022 eindeutig war."

CGM bezieht sich hier auf den am 28. Februar gefassten Beschluss, alle Konnektoren mit auslaufenden Zertifikaten auszutauschen; im Anschluss wurde das Feature Laufzeitverlängerung wieder aus den Spezifikationen entfernt (siehe unten). Eine Begründung der Gematik, warum die Laufzeitverlängerung zurückgenommen wurde, steht noch aus.

Interessanterweise hatten die Mitbewerber RISE und Secunet das laut Gematik verpflichtende Feature aber bereits im Dezember 2021 implementiert, CGM aber auch acht Monate nach Veröffentlichung der Spezifikation noch nicht. Auf die Nachfrage, warum CGM dies nicht getan hat, verwies uns CGM-Pressesprecher Jürgen Veit auf ebendiesen Brief an die Vertragspartner. Eine konkrete Antwort blieb CGM schuldig.

CGM liefert jedoch selbst Hinweise: Denn offenbar zählen die KoCoBoxen der 1. und 2. Generation zu den Geräten, die eine durch die Verschlüsselungstechnik bedingte Laufzeitbegrenzung aufweisen:

"Von dieser durch die Verschlüsselungstechnik bedingten Laufzeitbegrenzung sind etliche im Markt befindliche Konnektoren betroffen. Das betrifft jedoch nicht die aktuell von der CGM vertriebenen Konnektoren der 3. und 4. Generation."

Ein möglicher Erklärungsansatz: Die älteren CGM-Geräte erfüllen trotz Zertifizierung durch die Gematik nicht die Voraussetzungen für einen langfristigen Betrieb. So fällt auf, dass die von uns in unserem Appell an Gesundheitsminister Karl Lauterbach erwähnte, seit 2017 vorgesehene Generierung neuen, zukunftsfähigen Schlüsselmaterials (ECC 384 Bit) in den Krypto-Karten selbst weder von der Gematik noch der CGM erwähnt werden. Dies nährt unseren Verdacht, dass in der Hast der Einführung 2017 diese zukunftsweisenden Spezifikationen nicht umgesetzt wurden und die Korrektur dieses Versäumnisses nun von der Solidargemeinschaft bezahlt werden soll.

"In der verabschiedeten Endversion des PTV5 ist die Spezifikation zur Laufzeitverlängerung der Kryptozertifikate auch nicht mehr enthalten."

Diese Aussage ist, isoliert betrachtet, korrekt, aber irreführend. Es ist zwar richtig, dass die "verabschiedete Endversion" der PTV5 die genannte Spezifikation nicht mehr enthält. CGM erwähnt jedoch nicht, dass die Laufzeitverlängerung der Kryptozertifikate erst in der Spezifikation 5.2.0-0 vom 9. Mai 2022 entfernt wurde, also nach der Entscheidung für den Konnektortausch.

Der Hersteller erhöht in dem Brief an die Ärzte den Entscheidungsdruck, indem er stets das Ende der Laufzeit der bisher eingesetzten Konnektoren bis zum 31. Dezember 2024 betont:

"Die derzeitige Verschlüsselungstechnologie ist ab dem 01.01.2025 nicht mehr zulässig.

Die Gematik und das BSI haben unlängst klargestellt, dass eine Verlängerung des Zeitraums, in dem zur Verschlüsselung RSA2048 Schlüssel und deren Zertifikate erlaubt sind, über den 31.12.2024 hinaus nicht möglich ist."

Diese Aussagen sind jedenfalls im Hinblick auf das BSI falsch, denn laut der Behörde wäre ein Betrieb mit den aktuell in den Konnektoren eingesetzten RSA-Schlüsseln mit 2048 Bit Länge bis Ende 2025 vertretbar. Auf Anfrage von heise online wies das BSI darauf hin, dass die RSA-Schlüssel nach Vorgabe der ENISA – der Agentur der Europäischen Union für Cybersicherheit – erst ab 2026 mindestens 3000 Bit lang sein müssten.

Die CompuGroup Medical bietet mit ihren Aussagen auch insofern Angriffsfläche, als das Unternehmen die jetzige Situation mit verursacht hat. Denn dadurch, dass CGM pflichtwidrig das "Feature Laufzeitverlängerung" nicht umgesetzt hatte, ist der Konnektortausch überhaupt erst ins Rollen gekommen. Warum die Gematik nichts dagegen unternommen hat, gilt es an anderer Stelle zu klären.

Doch was können Sie als angeschriebener Arzt nun konkret tun? Zuerst sollten Sie prüfen, wann das Kryptozertifikat der KoCoBox tatsächlich abläuft. Bei KoCoBoxen ab 2019 ist das Ablaufdatum auf dem Seriennummernschild mit abgedruckt, alternativ können Sie das Datum über das Admin-GUI des Konnektors auslesen.

Wenn das Zertifikat in den kommenden Wochen ausläuft, setzen Sie sich für ein Hintergrundgespräch bitte mit der Redaktion in Verbindung. Andernfalls gibt es keinen Grund, den Konnektor jetzt schon zu tauschen. Abgesehen davon sind für den Austausch der Geräte 2300 Euro angesetzt, unabhängig vom Hersteller. Angedeutete Preiserhöhungen werden sich also schwer durchsetzen lassen. Sie könnten auch einen Wechsel des Konnektor-Anbieters in Betracht ziehen, denn die PTV5-fähigen Konnektoren von RISE und Secunet bieten immerhin schon Unterstützung der elektronischen Patientenakte 2.0 (ePA 2.0).

Ferner gibt es Konnektor-as-a-Service-Angebote, die über Rechenzentren Praxen an die Telematikinfrastruktur anbinden. Auch hier sollten Sie bei der Auswahl darauf achten, dass die Konnektoren die mit PTV5 möglichen Funktionen unterstützen.

Sollte sich ein Anbieter bei einem notwendigen Konnektorwechsel querstellen oder Zusatzgebühren verlangen, könnte diesen ein Hinweis auf das geplante Krankenhauspflegeentlastungsgesetz (KHPflEG) zum Einlenken bewegen, denn es sieht eine "bußgeldbewehrte Verpflichtung für Anbieter und Hersteller informationstechnischer Systeme [vor], eine diskriminierungsfreie Einbindung der für die vertragsärztliche Versorgung erforderlichen Komponenten und Dienste der Telematikinfrastruktur ohne Erhebung zusätzlicher Kosten oder Gebühren für Leistungserbringer zu gewährleisten".

Nach aktuellem Stand kommen alternative Lösungen wie die angesprochene Laufzeitverlängerung erst für Geräte infrage, deren Zertifikate ab September 2023 auslaufen. Doch würde es uns nicht wundern, wenn es schon früher andere Optionen geben würde, um die Solidargemeinschaft doch noch zu entlasten und Elektroschrott zu vermeiden.

(vza)