[Draalz]

Zitat:

Einsparung von 400 Millionen Euro möglich

Wie der Chaos Computer Club die Bürokratie im Gesundheitswesen vorführt

Tausende Arztpraxen sollen neue Spezial-Hardware kaufen, um weiter Leistungen abrechnen zu können. Dahinter stehe kein technischer Grund, sagen Hacker des CCC, sondern »strategische Inkompetenz« der Hersteller.

Von [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
18.10.2022, 10.47 Uhr


Ärztin im Sprechzimmer (Symbolbild): Ist der Austausch von Konnektoren wirklich die »einzig sinnvolle Alternative«? Foto: Xavier Lorenzo / Westend61 / IMAGO

Seit Monaten köchelt ein Streit über den Austausch sogenannter Konnektoren in deutschen Arztpraxen. Die IT-Komponenten sind optisch eher unscheinbar: Es sind graue Kästen, kleiner als ein Schuhkarton, mit ein paar Kabeln und zuweilen mit einem Minidisplay. Im Prinzip handelt es sich um Router, die den verschlüsselten Zugang zur »Telematik-Infrastruktur« (TI) des deutschen Gesundheitswesens herstellen, über die Praxen Leistungen abrechnen und bald auch E-Rezepte verschicken können.

Der Preis für die Alu-Boxen ist umso beachtlicher: Bis zu 2300 Euro sollen Krankenkassen bezahlen, damit Hersteller die Konnektoren austauschen und durch neue Geräte ersetzen. Kosten von 300 Millionen Euro könnten in den kommenden Jahren auf die [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] zukommen, wenn 130.000 Konnektoren ausgetauscht würden, wie zuerst angekündigt worden war.

Denn zum einen sind die für die verschlüsselte Datenübertragung notwendigen Zertifikate in den Geräten aus Sicherheitsgründen auf fünf Jahre befristet. Die ersten Konnektoren, die bereits 2017 in Arztpraxen installiert worden waren, benötigen also mittlerweile neue Zertifikate. Zum anderen ist das zunächst implementierte Verschlüsselungsverfahren in die Jahre gekommen, sodass der Wechsel zu einem anderen Verfahren oder zumindest zu einer neuen Schlüssellänge notwendig wird. Technisch gesehen wäre der Zertifikatsaustausch möglich, ohne die alten Konnektoren wegzuwerfen, per Updates aus der Ferne. Doch laut Herstellerangaben hat die Gematik, der halbstaatliche Betreiber der TI, es versäumt, eine solche Updateroutine vorzuschreiben. Folglich haben sie auch keine einprogrammiert. Je nach Modell müsste daher für den Zertifikatstausch eine Chipkarte in den Geräten ausgewechselt werden. Die Hersteller scheuen aber den Aufwand, die Geräte in jeder Arztpraxis aufzuschrauben. Zudem entspreche es nicht dem Sicherheitskonzept, das Gehäuse gewaltsam zu öffnen, argumentieren sie. Insgesamt betrachtet sei die Hardware der ersten Konnektoren so veraltet, dass sich ein Umprogrammieren nicht lohne.

»Strategische Inkompetenz«

Das sieht [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]: »Hier will sich ein Kartell durch strategische Inkompetenz am deutschen Gesundheitssystem eine goldene Nase verdienen«, sagte CCC-Sprecher Dirk Engling. Der Vorwurf lautet: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]. In die Geräte, die in der Regel von den Krankenkassen voll bezahlt werden, sei ein künstliches Verfallsdatum eingebaut worden, um ein weiteres Mal abkassieren zu können. Der Club rechnet sogar damit, dass die Kosten auf 400 Millionen Euro steigen könnten, wegen absehbar notwendiger Support-Leistungen beim Austausch sowie kostenpflichtigen Nachschulungen.

Um ihre Argumente zu untermauern, veröffentlichten die Hacker auch gleich eine Software, die es möglich machen soll, auf den Geräten der drei zugelassenen Hersteller neue Zertifikate zu installieren und sie somit zumindest bis Ende 2025 fit zu machen, ohne deren Funktion zu gefährden. Eigentlich wäre dann ein großes Update der TI fällig, das die Konnektoren insgesamt überflüssig machen würde. Doch niemand glaubt, dass die Gematik diesen Termin tatsächlich halten kann. Also wäre für einige Geräte ein weiteres Update notwendig. Das sei jedoch aufwendiger, als ein Neukauf der Konnektoren, argumentiert die Gematik. Der CCC hält dagegen: Selbst ein zweimaliges Update sei wesentlich billiger als der von der Gematik eingeschlagene Weg. Folglich spricht der Club von einem »400-Millionen-Euro-Geschenk«, das er dem Gesundheitssystem anbiete.

Rückendeckung bekommen die Hacker von der Fachzeitschrift »c't«: »Eine kostengünstige Softwarelösung wurde offensichtlich mit Absicht jahrelang zurückgehalten«, [url)https://www.heise.de/meinung/Zerschlagt-das-Oligopol-Ein-Kommentar-zum-CCC-Hack-der-TI-Konnektoren-7308906.htm]kommentiert[/url] Redakteur Hartmut Gieselmann. Den Schaden trügen die Ärzte und Patienten. Bereits Ende August hatte die Zeitschrift Alarm geschlagen und in einem offenen Brief an Bundesgesundheitsminister Karl Lauterbach [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ], eine kostengünstigere Lösung durchzusetzen.

Geliefert wie bestellt?

Die Hersteller, die auf dem Austausch der Geräte bestehen, sehen sich jedoch auf der sicheren Seite. Schließlich hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) das Verschlüsselungsverfahren, das in den ersten Konnektoren eingesetzt wurde, bereits im Jahr 2020 für veraltet erklärt, es soll nur bis Ende 2023 verwendet werden.

Ein Austausch der Chipkarten sei bei den vorhandenen Geräten nicht praktikabel, erklärt etwa der Marktführer CompuGroup Medical [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]: »Laufen die Zertifikate ab, ist der Tausch der TI-Hardwarekomponenten gegen neue Komponenten unumgänglich – das hat die Gematik entschieden«.

Diese Information ist freilich veraltet. Zwar hatte die Gematik nach einer Gesellschafterversammlung im August noch erklärt, der Austausch sei zumindest bei manchen Geräten die »einzig sinnvolle Alternative«. Gleichzeitig kam man den Kritikern entgegen: Bei Geräten, deren Zertifikate frühestens im September 2023 ablaufen, sei eine Lösung ohne Hardwareaustausch »denkbar«.

Updates sind möglich

Konkurrent Secunet verweist auf SPIEGEL-Anfrage darauf, dass ein Viertel der von ihm verkauften Geräte bereits mit einer neuen Verschlüsselung läuft und damit auch lange nach 2025 einsetzbar wäre. Allerdings seien Zertifikatsverlängerungen nicht in der Gematik-Spezifikation vorgesehen und müssten erst erarbeitet werden. Zudem seien Software-Aktualisierungen ein riskantes Geschäft, »wenn ein solches Update fehlschlägt, die Konnektoren vorerst nicht nutzbar sind und dies einen kostenaufwändigen Einsatz von Fachkräften notwendig macht«, erklärt ein Secunet-Sprecher. Das Zusammenspiel der Router mit den vielen Komponenten der Telematik-Infrastruktur zu testen und anzupassen, sei teuer und zeitaufwendig.

Auch wenn Secunet darauf verweist, dass der Markt im Prinzip jedem Hersteller offensteht, haben Arztpraxen heute in der Regel wenig Auswahl, welche Lösung sie einsetzen: Es gibt nur drei zugelassene Hersteller, und ein Wechsel zu einem Konkurrenten ist aufwendig und hängt auch davon ab, welche Abrechnungssoftware die Ärzte verwenden. Gleichzeitig haben die Praxen auch keinen Grund zu sparen.

So setzte CompuGroup Medical im August den Preis für seine [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] – exakt der Preis, den Arztpraxen von den Krankenkassen zurückerstattet bekommen können. Dem SPIEGEL teilte das Koblenzer Unternehmen am Montag mit: »Unsere Entscheidung für eine Kostensenkung unter die Fördergrenze möchten wir als einen Solidaritätsbeitrag verstanden wissen«.

Ob ein Zertifikats-Update ohne neue Hardware wesentlich billiger angeboten würde, ist nicht ausgemacht. Die Gematik verweist darauf, dass nach dem jetzigen Sachstand auf alle Fälle 53.000 Konnektoren ausgetauscht werden müssen – das entspräche einem Auftragsvolumen von mehr als 120 Millionen Euro. Dazu kämen die Kosten für die Updates, die erst ausgehandelt werden müssten. Doch die Hersteller haben wenig Anlass, einer Billiglösung zuzustimmen.

Hacker wollen Preis drücken

Dem versucht der [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] entgegenzuwirken. Auch wenn es extrem unwahrscheinlich ist, dass Hersteller das kostenfrei vom Club bereitgestellte Softwareupdate nutzen, haben die Hacker vorgeführt, dass die Aufgabe in kurzer Zeit zu lösen wäre, wenn die Beteiligten denn wollten. Damit nicht genug: Die Hacker boten Arztpraxen auch gleich Hilfe an, diese Software einzuspielen, wenn die Gematik nur die entsprechenden Zugangsschlüssel bereitstelle.

»Wenn die beauftragten Hersteller von TI-Konnektoren selbst mit so trivialen Aufgaben wie einer Erneuerung der Zertifikate überfordert sind, drängt sich doch die Frage auf, ob nicht die Vergabekriterien und Verträge der Gematik verschärft und kompetentere Wettbewerber gefunden werden müssen«, so Engling.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[DokuQuelle]

Zitat:

Tausende Arztpraxen sollen neue Spezial-Hardware kaufen, um weiter Leistungen abrechnen zu können. Dahinter stehe kein technischer Grund, sagen Hacker des CCC, sondern »strategische Inkompetenz« der Hersteller.

Ich würde in diesem Fall eher sagen : Brilliant umverteilt, ich würde es als Hersteller genauso machen. Den Krankenkassen kann es egal sein, zahlen tut es letzten Endes ja sowieso der Steuerzahler. Eine ähnliche Selbstbedienungsmentalität wie bei den Ö/R Sendeanstalten.