Kommentierende Analyse

Operation Edelschrott sofort stoppen!

Stuttgart - 25.07.2022, 07:00 Uhr

Wird beim Konnektorentausch eine menge Geld verbrannt? Rechercehn von „c't“ legen das nahe. (x / Foto: canbedone / AdobeStock)

Wird beim Konnektorentausch eine menge Geld verbrannt? Rechercehn von „c't“ legen das nahe. (x / Foto: canbedone / AdobeStock)


Ist der bereits beschlossene Tausch von insgesamt 130.000 TI-Konnektoren in den deutschen Arztpraxen zwar teuer, aber wirklich alternativlos – weil „die sicherste Lösung“ (Gematik)? Oder ist er schlicht unnötig, weil es durchaus technisch gleichwertige Alternativen gibt, die nur einen Bruchteil kosten würden? Viele Fragen, von denen zumindest einige in dieser kommentierenden Analyse beantworten werden sollen.

Wenn Entscheidungen als „alternativlos“ verkauft werden, ist erhöhte Wachsamkeit geboten: Tatsächlich sollte dieses Attribut das zweifelhafte Privileg totalitärer Systeme sein – im guten Merkel’schen Sinn ist es eher eine Chiffre für „fantasielos“. Das gilt wohl auch für den anstehenden Tausch der Konnektoren, für den die Krankenkassen 400 Millionen Euro an die niedergelassenen Ärzte und Psychotherapeuten überweisen dürfen – pauschal 2.300 Euro je Praxis. 

Zwar waren die Ärztevertreter in den letzten Monaten Sturm gegen die „Operation Edelschrott“ (1) gelaufen, jedoch ohne Erfolg. Aus Sicht der Gematik hat sich ein kompletter Hardwaretausch der insgesamt 130.000 Konnektoren in den deutschen Praxen „als die insgesamt sicherste Lösung“ herausgestellt. Und für die meisten hört sich „sicherste Lösung“ ähnlich überzeugend an wie „alternativlos“. Wer will schon, dass während seiner Blinddarm-OP das Licht ausgeht, nur weil der TI-Konnektor abstürzt? Sicher ist sicher. Wir tauschen einmal komplett aus. So haben es denn auch die Gesellschafter der Gematik Ende Februar einstimmig beschlossen.

Analoges Klebesiegel statt digitaler Sicherheits-Technologie

So weit, so schlecht. Doch damit wollten sich die Spezialisten vom IT-Fachmagazin „c't“ nicht zufriedengeben und haben kürzlich – bewaffnet mit einem High-Tech-Klingenschraubendreher – die Konnektoren von CGM (KoCoBox) genauer unter die Lupe genommen (2). Zum Verständnis: Es gibt nur drei Hardware-Hersteller für Konnektoren: CompuGroup Medical (CGM), RISE und Secunet. Nach den uns vorliegenden Zahlen hat CGM die größten Marktanteile und eine installierte Basis von gut 60.000 Konnektoren. Das liegt daran, dass diese die ersten waren, die 2017 zertifiziert und in Arztpraxen installiert wurden. Deshalb darf sich CGM auch als erster Anbieter auf einen Scheck von den Krankenkassen im mittleren achtstelligen Bereich freuen – schließlich müssen die 31.000 KoCoBoxes, die zwischen 2017 und Februar 2018 installiert wurden und deren Sicherheitszertifikate in den kommenden Monaten auslaufen, binnen Fünf-Jahres-Frist (nach Produktion der Router – nicht Installation!) ausgetauscht werden (3). Komplett. Sicher ist sicher.

Zurück zu den Kollegen von „c't“. Nachdem diese die sechs Sicherheitsschrauben vom Typ „Torx Plus Security“ an der KoCoBox mit Hilfe ihres Klingenschraubendrehers überwunden hatten, war die Überraschung groß: Angesichts des hohen Preises der Router – CGM veranschlagt für den Vor-Ort-Tausch einer KoCoBox 2.161 Euro bzw. 2.330 Euro netto, 1.586 Euro allein für die Hardware – hatten die IT-Spezialisten mit einem regelrechten Feuerwerk an innovativen Sicherheitsfeatures gerechnet. Tatsächlich bot sich ihnen das triste Bild technischen Mittelmaßes: keinerlei elektronischer Manipulationsschutz, nur zwei (analoge) Klebesiegel. Das Eindringen in die High-Level-Security-Hardware war damit gelungen. Die Gretchenfrage der Tester war jedoch eine andere: Sind die drei gSMC-K-Karten – das sind Mini-Smart-Cards mit den für die Sicherheit entscheidenden Krypto-Zertifikaten – fest mit den Konnektoren verbaut? Das hatte CGM auf der Website nämlich behauptet: „Da die Zertifikate in den Konnektoren fest verbaut sind und aus Sicherheitsgründen nicht entfernt oder ersetzt werden können, ist deren Austausch technisch nicht möglich.“

Plumpe Falschbehauptung

Trotz dieser furchteinflößenden Ansagen haben es die Tester von „c't“ gewagt, die drei gSMC-K-Karten aus der KoCoBox zu entfernen. Und es gab keine Explosion, noch nicht einmal das Licht ist ausgegangen. Danach setzten sie die Karten wieder ein und die Box bootete klaglos. Ein Wunder? Oder die Entlarvung einer plumpen Falschbehauptung, um das dreiste Ansinnen knausriger „Sicherheitsignoranten“, man könne anstelle eines kompletten Hardware-Austausches doch einfach nur die gSMC-K-Karten tauschen, im Keim zu ersticken …? Ich tippe auf letzteres. Überdies fanden die Kollegen von „c't“ keinerlei Sicherungen, die ein erneutes Koppeln der Konnektor-Hardware mit einem frischen Satz gSMC-K-Karten verhindern würde. Ihr Fazit: „Es spricht alles dafür, dass die gSMC-K-Karten zwar an die Konnektor-Hardware gebunden sind, aber nicht umgekehrt. Demnach könnte man einen neuen Kartensatz mit frischen Zertifikaten für den Konnektor erstellen und den teuren Hardware-Tausch vermeiden.“

Eine Menge Geld – eine Menge Fragen

Werfen wir nun einen genaueren Blick auf die Kostenseite: Drei neue gSMC-K-Karten würden laut „c't“ mit 30 Euro zu Buche schlagen, das ergibt eine Ersparnis von 1.556 Euro gegenüber dem (hochsicheren) Hardware-Tausch. Macht bei 31.000 KoCoBoxen in Summe knapp 50 Millionen Euro Einsparung für die Krankenkassen bzw. Mindereinnahmen für CGM. Hochgerechnet auf die installierte Basis der CompuGroup Medical von ca. 60.000 Konnektoren hierzulande kommt man auf 93 Millionen Euro. Eine Menge Geld.

Und wie sieht es bei den anderen beiden Herstellern aus? In den Konnektoren von RISE und Secunet stecken ebenfalls gSMC-K-Karten, auf denen die Sicherheitszertifikate hinterlegt sind. Im Gegensatz zu CGM müssen diese aber nicht ausgetauscht werden, weil die Konnektoren eine Zertifikatsverlängerung per Software unterstützen. Dennoch besteht die Gematik auf einem Austausch aller Konnektoren.

Daraus ergeben sich einige drängende Fragen an die Gematik bzw. deren Mehrheitsgesellschafter, das Bundesministerium für Gesundheit (BMG):

  • Wieso hat die Gematik der (Falsch-)Aussage von CGM – ein Austausch der gSMC K-Karten sei „technisch nicht möglich“ – einfach blind vertraut? Und damit ihre bisherige Meinung (s.u.) einmal um 180 Grad gedreht?
  • Was ist eine solche Aussage eines Herstellers, dem dadurch ein Geschäft jenseits der 100 Millionen Euro winkt, überhaupt wert?
  • Wäre es nicht die Pflicht des BMG gewesen, jemanden ausfindig zu machen, der einen Klingenschraubendreher unfallfrei bedienen kann, um sich selbst ein Bild davon zu machen, was geht und was nicht?
  • Welche Rolle spielt in diesem Kontext das Bundesamt für Sicherheit in der Informationstechnik (BSI)? Diese – der Name ist Programm – höchste deutsche IT-Sicherheitsinstanz sollte doch ebenso imstande sein, eine KoCoBox zu „zerlegen“ wie die Spezialisten von „c't“?
  • Und wieso beharrt die Gematik auch bei RISE und Secunet, deren Konnektoren ja nach eigener Aussage eine Zertifikatsverlängerung per Software unterstützen, auf einem kompletten Hardware-Tausch? Auch da geht es wohlgemerkt um einen neunstelligen Betrag. Wenn ich zwei Häuser saniere und in dem einen die Brennerdüse, dem anderen die komplette Heizanlage erneuern muss – dann baue ich ja auch nicht bei beiden eine neue Heizanlage ein. Oder geht es gar um „Chancengleichheit“ für die drei Konnektorenhersteller beim Abschöpfen von hunderten Millionen Euro aus den „Fleischtöpfen“ der Krankenkassen – dummerweise zulasten der Beitragszahler?

Pikante Chronologie

Grotesk wird es, wenn man bedenkt, dass die neue Konnektoren-Generation, die jetzt nach und nach in den Arztpraxen Einzug hält, ohnehin nur eine Übergangstechnologie ist: Im Jahr 2025 soll die dann konnektorenlose TI 2.0 ausgerollt werden. Na gut, es könnte auch 2030 oder 2035 werden, bis wir eine konnektorenlose Telematik-Infrastruktur haben werden. Die TI 1.0 sollte ursprünglich ja auch bis spätestens Januar 2006 in Betrieb genommen werden. Zwölf Jahre später war es dann so weit …

Insofern wäre auch die Brückenlösung, die mehrere Anbieter propagieren – ein TI-as-a-Service-Konzept mit „Konnektor-Farmen“ im Rechenzentrum – eine überlegenswerte und vor allem budgetschonende Alternative zum dezentralen Hardware-Tausch gewesen. RED Medical zum Beispiel schreibt auf ihrer Webseite, dass durch ihre Lösung (RED telematik) „die Kosten halbiert und die Anzahl der benötigten Konnektoren gezehntelt werden könnten“.

Mehr zum Thema

Pikant wird es, wenn man sich die Chronologie der Gematik-Entscheidungsfindung vor Augen führt (4): 2017 werden die ersten Konnektoren installiert – damit steht zugleich fest, dass deren Kryptozertifikate 2022 ihre Gültigkeit verlieren werden. Ende 2020 stellen die Grünen eine kleine Anfrage im Bundestag, wie das BMG dieses Problem lösen will. Die Antwort der Bundesregierung: „Die Gematik arbeitet an verschiedenen Lösungen, mit denen ein Konnektorenaustausch mit Ablauf der Zertifikate vermieden werden kann. Wahrscheinlich ist, dass die heutigen Konnektoren durch Software-basierte Lösungen ersetzt werden sollen.“ (5). Konsequenterweise forciert die Gematik daraufhin eine Laufzeitverlängerung der Zertifikate per Software und fasst am 30. Juni 2021 einen entsprechenden Beschluss (Gematik-Spezifikationsübersichten, Feature: Laufzeitverlängerung g-SMC-K, Version 1.0.0 vom 30. Juni 2021). Mit der technischen Umsetzung wird die Arvato Systems GmbH beauftragt, die im zweiten Halbjahr 2021 eine entsprechende Lösung entwickelt. Die beiden Hersteller Secunet und RISE integrieren dieses Feature in ihre Konnektoren – CGM nicht.

Aktualisierung der KoCo-Box nicht möglich? Dem Computermagazin „c‘t“ zufolge geht das sehr wohl.

Irgendwann zwischen Spätherbst 2021 und Februar 2022 muss es dann zu einem plötzlichen Sinneswandel bei der Gematik gekommen sein: Denn in dem Beschluss von Ende Februar dieses Jahres ist keine Rede mehr von einer Software-basierten Verlängerung der Kryptozertifikate. Vielmehr wird jetzt plötzlich ein Hardwaretausch der 130.000 Konnektoren „als die insgesamt sicherste Lösung“ angepriesen, obwohl es nach Einschätzung des langjährigen IT-Experten und „c't“-Autors Thomas Maus „aus technischer Sicht keinerlei Grund für diese Behauptung gibt“. Nach seiner Einschätzung „spricht technisch betrachtet nichts gegen eine Zertifikats-Verlängerung“. Der Sinneswandel in Berlin dürfte insofern eher politischer Natur sein. Pikantes Detail am Rande: Als ob man in Koblenz diesen Sinneswandel bei der Gematik vorausgeahnt hätte, hat CGM im Jahr 2021 noch zehntausende neue Konnektoren gekauft (6) – angesichts der damaligen Beschlusslage, wonach ein Austausch der Hardware vermieden werden sollte, eine bemerkenswerte Entscheidung. Ein Schelm, wer Böses dabei denkt.

KBV drängt in der Gematik auf „eine neue Bewertung“

Immerhin hat der „c't“-Artikel – wenn schon die Gematik den drängenden Fragen, die sich daraus ergeben haben, aus dem Weg ging – zumindest bei der ärztlichen Standesvertretung eine deutliche Reaktion hervorgerufen: So erklärte KBV-Vorstandsmitglied (Kassenärztliche Bundesvereinigung) Thomas Kriedel laut KBV-Mitteilung vom 21. Juli (7): „Wir werden in der Gematik auf eine neue Bewertung drängen.“ Er habe sich dazu bereits in einem Schreiben an Gematik-Chef Markus Leyck Dieken gewandt und „eine schnellstmögliche klarstellende Bewertung“ gefordert. Diese müsse in enger Abstimmung mit dem BSI erfolgen, denn – logisch – „das muss auch sicher sein“. Natürlich. Sicher ist sicher. Wie sicher das Urteilsvermögen der Experten vom BSI in diesem Kontext jedoch ist, bleibt ein Rätsel. Schließlich war dem Beschluss der Gematik Ende Februar zum kompletten Tausch der Konnektoren ja eine enge Abstimmung mit dem BSI vorausgegangen.

Budgetschonender Gegenvorschlag

Traurig wird es, wenn man die 400 Millionen Euro in Relation zu den aktuellen Sparplänen des BMG im Rahmen des GKV-Finanzstabilisierungsgesetzes setzt: Bekanntlich soll der Kassenabschlag auf 2 Euro erhöht werden – allein das würde nach Berechnungen des BMG zu einer Mehrbelastung von 170 Millionen Euro für Apotheken in den kommenden beiden Jahren führen. Tatsächlich dürfte es letztlich sogar deutlich weniger sein, wie DAZ-Autor Thomas Müller-Bohn vorrechnet

Doch selbst die angenommenen 170 Millionen Euro sind nicht einmal die Hälfte dessen, was der GKV-Spitzenverband für den offensichtlich unnötigen Konnektorentausch veranschlagt hat. Überhaupt will Bundesgesundheitsminister Karl Lauterbach (SPD) verstärkt „Effizienzreserven bei Apotheken heben“. Budgetschonender Gegenvorschlag: Wäre es nicht (moralisch und gesundheitsökonomisch) viel dringender geboten, erst derlei Verschwendungsorgien wie diese „Operation Edelschrott“ zu stoppen, bevor man die Worte „Effizienzreserven heben“ überhaupt in den Mund nimmt? Ein solcher Stopp verdient das Prädikat „alternativlos“ viel eher als der unnötige und exorbitant teure Austausch von 130.000 Konnektoren. Ganz sicher.


Dr. rer. nat. Hubert Ortner, Chefredakteur AWA – Aktueller Wirtschaftsdienst für Apotheker
redaktion@daz.online


Diesen Artikel teilen:


Das könnte Sie auch interessieren

„Alternativloser“ Konnektorentausch – eine kommentierende Analyse

Operation Edelschrott sofort stoppen!

Konnektorentausch laut Computermagazin „c’t“ unnötig

Eigentlich sind die noch gut

Alternative zum Austausch

Kostenersparnis durch Konnektor-Update?

Wegen neuer TI-Pauschalen: Konnektorupdate ist nicht günstiger als ein Austausch

Keine Ersparnis für die Kassen

log4j-Sicherheitslücke bei Rise-Konnektoren

Konnektor-Update! Sonst Sperrung

8 Kommentare

Konnektor Tausch

von Dr. Burkhard Branding am 26.07.2022 um 12:48 Uhr

Danke und nochmals danke für diesen Artikel mit Klartext.

Wenn man dann noch weiß, wieviele Gematik Mitarbeiter Ex CGM Beschäftigte waren wird alles plötzlich viel erklärbarer. Zum Beispiel das Ausscheiden des Mitbewerbers T-Systems, die erst sehr späte Zulassung von Rise und Secunet oder die fehlende Updatefähigkeit der Zertifikate der KoCobox, obwohl das bei den Mitbewerbern gefordert wurde. Das alles gedeckt von einem Chef Markus Leyck-Dieken, Intimus und inthronisiert von Jens Spahn nach dem Verkauf seiner Villa an den ehemaligen BGM. Fragen über Fragen. Folge der Spur des Geldes auf dem Weg der Erkenntnis.

» Auf diesen Kommentar antworten | 0 Antworten

300 Millionen Grab

von Dr Peter Post am 25.07.2022 um 22:25 Uhr

IT ist offensichtlich zu kompliziert im Gersundheitswesen. Statt nicht vorhandene Mittel wegen eines Zertifikatsablaufdatums in einen Modul-Tausch zu investieren, die in 2 bis n Jahren durch eine Nachfolge-IT-Generation wiederum weggeworfen werden, sollte man entweder bis dahin beim Papierrezept bleiben oder (was die EDV-Fans sicher mehr begeistern wird) man implementiert nur für das Gesundheitswesen verbindlich einen neuen Kalender, der nach der leicht zu verstehenden Formel
Jahr_im_Gesunheitskalender = Jahr_im_gregorianischen_Kalender - 100 zu berechnen ist und garantiert, dass die Zertifizierung der Konnektoren erst in 100 Jahren abläuft.

» Auf diesen Kommentar antworten | 0 Antworten

Endlich

von Karl Friedrich Müller am 25.07.2022 um 22:11 Uhr

Vielen Dank für diesen Beitrag.

» Auf diesen Kommentar antworten | 0 Antworten

Konnektoren

von Dorf-apothekerin am 25.07.2022 um 12:41 Uhr

Wie war das noch?
Zur Rose hängt über IBM mit der Gematik zusammen?!
Herr Spahn hat nicht nur bei den Masken gut zugelangt, indem er apothekereigene Bemühungen für TI-Lösungen durch die Gematik ersetzt hat, konnte er über seinen ehemaligen Geschäftsfreund DOC-Morris die Existenz sichern.
Um nichts anderes geht es hier.
Und dann wird von unserer Standesvertretung die letzte Regierung in den Himmel gehoben.
Beim Strassefegen kam ein Nachbar vorbei, der ein Ärztehaus mitinitiiert hat und meinte...die Wirtschaft ist brutal... Und genau das hat von unseren Standesoberen noch keiner realisiert. Das funktioniert nicht mit Stuhlkreisen sondern nur mit knallharten Forderungen und bei Notwendigkeit auch Widerstand.
Dann werden eben alle Patienten wie Privatpatienten behandelt, wenn für uns alles nur noch komplizierter wird und die Kranken kassen ihre Unkosten über Retaxationen und Regresse ausgleichen. :))

» Auf diesen Kommentar antworten | 0 Antworten

Sehr gute Analyse !

von Dr. Ralf Schabik am 25.07.2022 um 10:53 Uhr

Sehr gut, dass dieses vorsätzliche Verbrechen wider alle Ressourcen sachlich aufbereitet wird ! Wenn eine Investition "alternativlos" ist, müssen wir da durch - keine Frage. Aber was hier GEPLANT an Geld und Material vernichtet werden soll - einschließlich der Generierung riesiger Mengen Elektronik-Schrott, der datenschutzkonform vernichtet werden muss ... das ist kein Schildbürgerstreich mehr, das ist ein Skandal, bei dem die Rolle der Beteiligten und Begünstigten aufzuarbeiten ist.
Schockierend ist die windelweichte Reaktion der GEMATIK auf die Recherche von c't. Mit Transparenz hat das NICHTS zu tun. Da gab es schon wegen deutlich harmloserer Fragstellungen Untersuchungsausschüsse !!!
Wichtig: Es ist relativ müßig, zu diskutieren, ob c't schlampig recherchiert hat. Fakt ist, dass "jemand" Spezifikationen erarbeitet und in Kraft gesetzt hat, ohne die zu erwartenden Kosten nach Ablauf der Zertifikate zu Lasten der Solidargemeinschaft berücksichtigt zu haben. Und DAS ist inakzeptabel und bedarf eine lückenlosen Aufklärung und gegebenenfalls Haftung.

» Auf diesen Kommentar antworten | 0 Antworten

Edelschrott

von ecke2 am 25.07.2022 um 10:22 Uhr

Die faulen ,arbeitscheuen eloquent schwätzenden Bürokraten haben eben die Macht übernommen.

» Auf diesen Kommentar antworten | 0 Antworten

Selbstbedienungsladen

von Carsten Moser am 25.07.2022 um 10:10 Uhr

Danke für den schön aufbearbeiteten Artikel.

Er bestärkt mich weiter in meiner Meinung, dass das ganze Thema eRezept - und Gematik an sich - nur aufrecht erhalten wird, damit sich die agierenden Personen und Firmen weiterhin bereichern können.

Das System - so wie es jetzt designed ist - kann und wird nicht funktionieren. Wer darauf besteht, dass es eingeführt wird macht sich des groben Unfugs schuldig!

Am Ende werden all die Designfehler und Schwachstellen dazu führen, dass die Leistungserbringer noch mehr Arbeit - und Kosten - haben .... Bis hin zu weiteren Versorgungsdefiziten bei der Bevölkerung.

Der ursprünglich genannte Zweck "Den Leistungserbringern die Arbeit zu erleichtern" wurde schon längst aufgegeben und durch "ist politisch gewollt .... wir müssen das irgendwie ans Laufen bringen ...." ersetzt worden.

Leider scheint in unserem Lager immer noch die Haltung vorzuherrschen: "Wir dürfen uns nicht als 'Verweigerer' darstellen....", dabei wäre es schon lange gute Bürgerpflicht aufzustehen und STOP zu sagen.

Meine einzige Hoffnung für die Zukunft ist, dass wir durch die schiere Inkompetenz der agierenden Personen und Einrichtungen vor der Katastrophe einer Einführung gerettet werden.

» Auf diesen Kommentar antworten | 1 Antwort

AW: Selbstbedienungsladen

von Dr. Ralf Schabik am 25.07.2022 um 11:23 Uhr

Ihre Hoffnung enttäusche ich nur ungern, aber die Wahrscheinlichkeit, dass hier jemand noch die Reißleine zieht, halte ich für sehr gering. Dazu sind die Beteiligten, die das Sagen haben, zu mächtig. Und es rächt sich wieder einmal, dass wir kein funktionierendes System einer "Amtshaftpflicht" in diesem unseren Lande haben. Nicht zuletzt in der Pandemie haben wir doch geradezu täglich erleben müssen, dass insbesondere in den Bundes(ober)behörden vollkommen ungestraft ein Chaos herrscht, dass dieses Land kontinuierlich zugrunde richtet. Und selbst klar definierte, vergleichsweise "einfache" Punkte (hier: Vorgehen bei einem zu erwartenden Ablauf eines Sicherheitszertifikats) führen in Deutschland zu blankem Chaos und ausufernden Kosten.

Das Kommentieren ist aktuell nicht möglich.