Hacker retten Gesundheitssystem

Arztpraxen sind in der Regel zum Austausch von Daten mit dem Telematik-Gesundheitsnetzwerk verbunden. In Deutschland sorgt die Firma „gematik“ mehr schlecht als recht für die Digitalisierung des Gesundheitswesens. Die „gematik“ ist eine von den Spitzenorganisationen des deutschen Gesundheitswesens gegründete Firma. Sie soll für ein sicheres Datennetz sorgen, um die schon länger angekündigten und immer wieder wegen technischer Probleme oder aus Datenschutzgründen verschobene Einführung der „elektronischen Patientenakte“ oder des „e-Rezepts“ einzuführen.

spezieller Router

Die Verbindung zu dem Telematik-Netz erfordert einen speziellen Router, der TI-Konnektor, der aktuell von drei zertifizierten Herstellern verkauft wird. Das bedeutet für diese drei Hersteller ein lukratives Geschäft. Noch besser wird es für die Hersteller, weil die Konnektoren ab Herbst 2022, nach 5 Jahren Laufzeit alle ausgetauscht werden müssen.

Hardware austauschen statt Softwarelösung?

Eigentlich laufen zwar nur die Sicherheitszertfikate ab, die wie andere Zertifikate, wie zum Beispiel auch die Zertifikate von Webseiten, ein Verfallsdatum haben. Für die Verlängerung von Zertifikaten gibt es überall Software-Lösungen, nur scheinbar für die Telematik-Router nicht.

Riesengeschäft

Dass das etwas absurd klingt, wurde auch der gematik als Auftraggeber bewusst. So schlug sie eine unverbindliche Option zur Laufzeitverlängerung vor. Natürlich wurde diese nicht von allen Herstellern umgesetzt. In der Folge schlossen sich auch die Firmen, die bereits eine Möglichkeit zur Verlängerung implementiert hatten, der umsatzträchtigen Formel „Austausch statt Update“ an: für die Hersteller ein Riesengeschäft, für deutsche Praxen und Krankenhäuser eine weitere finanzielle und logistische Zumutung.

400 Millionen Euro

Die Kassenärztliche Bundesvereinigung bezifferte in ihrer letzten Vertreterversammlung allein die nicht durch die Krankenkassen erstatteten TI-Anschlusskosten der vergangenen Jahre für eine durchschnittliche Praxis auf 9.000 Euro. Insgesamt wird das angeschlagene Gesundheitssystem durch den Hardwareaustausch mit 400 Millionen Euro belastet.

Alle Jahre wieder

Sollte sich nichts ändern, haben wir in fünf Jahren das gleiche Problem noch mal. So lange halten nämlich die neuen Zertifikate in den neuen Routern. Das ist also in etwa so wie ein Autofahrer, der sich, sobald der Tank leer ist, einen komplett neuen Wagen anschaffen muss.

CCC bietet kostenlose Lösung

Die IT-Fachportal heise.de hatte schon im Mai auf die Problematik hingewiesen und der Chaos-Computer-Club, der schon länger die Entwicklungen in der Digitalisierung im Gesundheitswesen kritisch begleitet, nahm sich der Sache auf seine Weise an.

Sie entwickelten ein kostenlose Softwarelösung für das Problem, von der die Hersteller*innen behaupten, dass sie unmöglich sei. Die Hersteller müssen dieses Skript in eine Update-Datei verpacken, diese signieren und bereitstellen, denn schließlich darf nur Software vom Hersteller auf dem Konnektor ausgeführt werden. Für die Verlängerung der Zertifikatslaufzeiten braucht es die gematik, denn sie verantwortet und betreibt die dazu notwendige Certificate Authority (CA).

Forderungen

Gleichzeitig stell der CCC folgende Forderungen:

  • Wir fordern die gematik auf, ihre CA für die Verlängerung der Laufzeiten einzusetzen.
  • Wir fordern alle Hersteller (CompuGroup MedicalsecunetRISE) auf, die Laufzeitverlängerung umzusetzen, statt das Gesundheitssystem durch die aufgerufenen astronomischen Preise auszubeuten.
  • Wir fordern das Bundesgesundheitsministerium auf, die Hersteller endlich an die Leine zu nehmen und der Geldverbrennung in der TI ein Ende zu setzen.
  • Wir fordern das Umweltministerium auf, die allein schon aus Nachhaltigkeitsgesichtspunkten völlig sinnlose tausendfache Vernichtung einsatzfähiger Hardware zu verhindern.

Quellen: heise.de, ccc.de, mimikama.at

Abbildung: pixabay.com wlan-3131127_1280.png