Streit um Konnektoraustausch eskaliert
In deutschen Arztpraxen und Kliniken sollen 130.000 Konnektoren ausgewechselt werden, weil deren Krypto-Zertifikate nach fünf Jahren ablaufen. Dazu sollen die Krankenkassen den Ärzten Kosten von insgesamt 400 Millionen Euro erstatten. Doch ist dieses teure Prozedere überhaupt notwendig oder geht es einfacher – und günstiger?
Das Computermagazin c‘t hatte zur Klärung dieser Frage jüngst einen Konnektor aufgeschraubt. Die IT-Experten wollten prüfen, ob die Sicherheitszertifikate wirklich fest eingebaut sind, wie es die CompuGroup Medical (CGM) als Marktführer angegeben hatte. Dabei stellte sich c‘t zufolge heraus, „dass die Zertifikate in den Konnektoren auf drei kleinen gerätespezifischen Sicherheitsmodulkarten ‚Typ Konnektor‘ (gSMC-K-Karten) sitzen, die sich physisch leicht auswechseln lassen“. Somit habe die Redaktion die Behauptung widerlegt, die gSMC-K-Karten seien fest mit dem Konnektor verbunden und eine Trennung von Karten und Konnektor würde das System unbrauchbar machen.
Laut gematik gibt es keine andere Lösung
Daraufhin teilte die gematik mit, die gSMC-K-Karten auszutauschen, „ist unserer Einschätzung nach keine Lösung für den Einsatz in den Praxen, da unter anderem die Sicherheitsvorgaben verletzt werden“. Nach erneuter Anfrage bei allen Herstellern sei der gematik nochmals versichert worden, dass dieser geschilderte Austausch zudem technisch nicht möglich sei.
Entscheidung des Schiedsamts
2.300 Euro für den neuen Konnektor
Der Schiedsspruch zur Finanzierung des anstehenden Austauschs der TI-Konnektoren liegt vor: Bewilligt werden jeder Arztpraxis pauschal 2.300 Euro extra. Die Entscheidung für die Zahnärzte steht noch aus.
Jede Praxis bekommt demnach pauschal 2.300 Euro, um den Konnektor austauschen zu lassen, der die Praxissoftware mit dem Internet verbindet. Voraussetzung für den Tausch ist, dass die Laufzeit des Sicherheitszertifikats im Konnektor nur noch sechs Monate oder weniger beträgt. Dadurch steht bei einigen Konnektoren der Tausch zeitnah an, während andere noch ein oder mehrere Jahre betrieben werden können.
Hinzu kommen weitere Pauschalen, unter anderem für ein ebenfalls notwendiges Update, das die Nutzung der elektronischen Patientenakte ermöglicht. Insgesamt summieren sich die Ausgaben, die nun zusätzlich zur regulären Vergütung festgesetzt wurden, für alle niedergelassenen Ärztinnen und Ärzte auf knapp 400 Millionen Euro. Die Kosten tragen die gesetzliche Krankenversicherung und die PKV.
Die Kassenärztliche Bundesvereinigung (KBV) lehnt den Schiedsspruch ab: „Wir haben gegen den Beschluss des Schiedsamts zum Konnektortausch gestimmt“, sagte KBV-Vorstandsmitglied Dr. Thomas Kriedel. Die niedergelassenen Ärzte dürften nicht auf Kosten für Dinge sitzen bleiben, die sie nicht zu verantworten haben. Die KBV verlangt demnach mit Verweis auf den c‘t-Bericht von der gematik „rasche Aufklärung über mögliche neue Sachverhalte und Optionen, die den teuren Austausch vieler Geräte vielleicht sogar nicht zwingend notwendig machen“.
Vorangegangen waren Verhandlungen zwischen der KBV und dem GKV-Spitzenverband, die jedoch ohne Ergebnis blieben. Da keine Einigung erzielt werden konnte, wurde das Schiedsamt angerufen. Die Entscheidung für die Zahnärzte stand zum Redaktionsschluss noch aus.
Die Gesellschafter der gematik hätten sich bei ihrer Versammlung im Februar dieses Jahres einstimmig für den Konnektortausch „als einzig verlässlich umsetzbare Lösung“ entschieden. Dabei seien im Vorfeld verschiedene mögliche Varianten geprüft und in Betracht gezogen worden. „Die Gesellschafter haben sich für eine sichere, risikoarme und wirtschaftliche Umsetzung entschieden.“
Natürlich baute c‘t dieselben Karten wieder ein
„Es liegt demnach die Vermutung nahe, dass bei dem im Artikel beschriebenen Entfernen der gSMC-K dieselbe (!) Karte auch wieder in den Konnektor hineingesteckt wurde – demnach also KEIN Austausch der Karte selbst stattfand. Wäre dies der Fall, so ist es auch nicht verwunderlich, dass der Konnektor danach weiterhin funktionierte, schließlich hat sich an seiner Konfiguration nichts geändert“, schreibt die gematik in ihrer Stellungnahme.
Der Versuch sei korrekt wiedergegeben, erwiderte daraufhin die c‘t-Redaktion: „In unserem Versuch haben wir die drei gSMC-K-Karten entfernt und diese dann mit SMC-Lesern ausgelesen. Die SMCs sind also mit Strom versorgt worden und hätten womöglich erkennen können, dass sie nicht in einem Konnektor stecken.“ Sie hätten sich dauerhaft deaktivieren können – dies sei aber nicht geschehen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hält freilich in seinen Protection Profiles für die TI-Konnektoren fest, dass die gSMC-K sicher mit dem Netzkonnektor verbunden sein muss. „Sicher bedeutet in diesem Fall, dass die gSMC-K nicht unbemerkt vom Netzkonnektor getrennt werden kann und dass die Kommunikation zwischen gSMC-K und Netzkonnektor weder mitgelesen noch manipuliert werden kann“, führt das BSI aus. Genau dieses Szenario beschreibt c‘t jedoch in dem Versuch.
Der Unmut über die gematik wächst – auch bei den Gesellschaftern
Unterdessen wurde der Unmut der gematik-Gesellschafter immer lauter. Vor der Gesellschafterversammlung am 2. August forderte die Kassenärztliche Bundesvereinigung (KBV) von der gematik eine Prüfung der Alternativen zum Konnektorentausch. „Es muss alles dafür getan werden, um das gigantische Geldvernichtungsprogramm zur Erzeugung von Technikschrott zulasten von Praxen und der Versichertengemeinschaft zu verhindern“, erklärte der stellvertretende KBV-Vorstandsvorsitzende Dr. Stephan Hofmeister.
Die gematik bleibt dabei
„Ausbau und Austausch der Karten führen zum Ausfall!“
Wäre ein Austausch der Konnektoren doch möglich gewesen? Die Kassenärztliche Bundesvereinigung (KBV) hatte nach dem c‘t-Beitrag die gematik um Antwort gebeten. Diese hält an ihrer Meinung fest und sieht keine Optionen: Die c‘t-Experten hätten ein falsches Bild gezeichnet.
„Die im c’t-Artikel beschriebenen Versuche am Konnektor geben ein falsches Bild von der Nutzung des Konnektors“, schreibt die gematik in ihrer Antwort an die KBV. Ein Aus- und Wiedereinbau der gSMC-K sei gemäß der Spezifikationslage „zu keinem Zeitpunkt“ als Option vorgesehen und als Szenario somit auch nicht Gegenstand von Sicherheitsprüfungen, Zulassungstests oder Vorgaben des BSI gewesen, bekräftigt sie in dem Brief.
Die gematik habe im Rahmen der Spezifikation das technische Design so gestaltet, dass – aus Sicherheitsgründen – der Ausbau und der Austausch des Kartenmaterials des Konnektors nicht möglich seien beziehungsweise zum Ausfall des betroffenen Geräts führten.
Das falsch vermittelte Bild von der Nutzung des Konnektors, konkretisiert die gematik in ihrer Antwort so: „Das verwendete Gerät wurde nicht mit einer neuen gSMC-K versehen, so dass die anschließende Boot-Routine genau genommen den alten Konnektorzustand darstellt.“ Dieses Verhalten widerspreche insofern nicht den Vorgaben.
An der Bewertung der vorgeschlagenen Laufzeitverlängerung habe sich seitens der gematik somit nichts geändert: „Der Beschluss der Gesellschafter, Konnektoren auszutauschen und auf die optionale Umsetzung der Laufzeitverlängerung zu verzichten, zielte darauf ab, zweimalige Kosten zu vermeiden und Risiken zu reduzieren“, heißt es in dem Schreiben abschließend.
Nach der Gesellschafterversammlung kritisierte die Kassenzahnärztliche Bundesvereinigung (KZBV) vor allem das mangelhafte Kommunikationsverhalten der gematik in der Sache. Der stellvertretende KZBV-Vorstandsvorsitzende Dr. Karl-Georg Pochhammer fand deutliche Worte: „Die jüngste Berichterstattung über hypothetische Alternativen zum Konnektortausch hat aktuell verständlicherweise für viel Unruhe gesorgt. Grundsätzlich sollte es vordringlichste Aufgabe der gematik und nicht ihrer Gesellschafter sein, in solchen Fällen schnell und adäquat für Aufklärung zu sorgen. Deshalb hat die KZBV die gematik aufgefordert, mögliche technische Falschdarstellungen, die in den Raum geworfen werden, unverzüglich richtigzustellen.“ Darüber hinaus fordere die KZBV, dass die gematik in ihrer öffentlichen Kommunikation die gemeinsam getroffenen Entscheidungen zu diesem Sachverhalt uneingeschränkt vertritt, „anstatt lediglich Verantwortung abzuwälzen und sich hinter ihren Gesellschaftern zu verstecken“.
Der Streit geht in die nächste Runde
Auch nach der Gesellschafterversammlung konstatierten gematik und Bundesgesundheitsministerium, dass der Tausch der Geräte bei den aktuell betroffenen Praxen leider alternativlos ist, so Pochhammer weiter. „Der jetzt betroffene Anbieter für den Konnektortausch hatte zwischenzeitlich angekündigt, den Preis dafür anzupassen, insofern gehen wir davon aus, dass eine kostendeckende Refinanzierung bereitstehen wird“, betonte der KZBV-Vizechef. Die gematik werde aber bis zur nächsten Gesellschafterversammlung am 1. September neue Alternativen prüfen, die gegebenenfalls für später betroffene Geräte zum Tragen kommen könnten. Die Geschichte um den Konnektorentausch geht also in die nächste Runde.