400 Millionen Euro - Geplante Obszoleszenz bei Telematik Infrastruktur?

Möchte hier mal auf ein Thema aufmerksam machen, welches schon etwas länger köchelt, am Freitag aber eine neue Wendung bekommen hat.

Die Gematik fordert für die Nutzung von Diensten wie der Elektronischen Patientenakte oder dem E-Rezept in jeder Arztpraxis eine Infrastruktur an VPN-Routern (vereinfacht ausgedrückt, wer mehr ins Detail gehen will, Quellen folgen), welche es den Praxen ermöglicht damit verschlüsselt Daten austauschen zu können. Davon wurden im Land ca. 130.000 Geräte zu ca. 2300€ pro Stück installiert.

Bereits im August dieses Jahres fanden Experten heraus, dass diese Router mit einem Zertifikat ausgestattet sind, welche die Geräte hart codiert 5 Jahre nach Auslieferung deaktivieren könnte und somit einen Austausch erfordern. Unmengen an Elektroschrott, Milliarden Euro Steuerverschwendung ist hier der Vorwurf, mMn. zurecht. Weiterhin der Vorwurf, dass die Anbieter der Hardware dies absichtlich täten um alle 5 Jahre „neue“ Hardware (die gleiche wie vorher) zu horrenden Preisen verkaufen zu können, obwohl der Wert der Hardware auf teils unter 100€ geschätzt wird.

EDIT: Möchte an dieser Stelle nochmal deutlich betonen, dass die Hardware selbst wie sie in den Praxen steht perfekt funktional ist. Es ist nicht so dass die Geräte ab 5 Jahre nach Auslieferung mit Ablauf des Zertifikats dann unsicher werden oder gefährdet sind. Einziger Grund des Ausfalls ist, dass der Entwickler ein nicht erneuerbares Zertifikat ins System integriert hat.

Vor wenigen Tagen veröffentlichten Mitglieder des Chaos Computer Clubs einen kostenlosen Patch, mit dem man alle Geräte over-the-air aktualisieren und auf einem sicheren Weg Weiterbetrieben kann, trotz ablaufendem, hart codiertem Zertifikat. Sie fordern:

Im Lichte der fortwährenden Geldverbrennung in der TI fordert der CCC das Bundesgesundheitsministerium auf, die gematik an eine kürzere Leine zu nehmen und dem Pfusch bei Ausschreibungen und in den Verträgen ein Ende zu setzen. Weiter fordert der CCC das Umweltministerium auf, gangbare Wege auszuloten, die allein schon aus Nachhaltigkeitsgesichtspunkten völlig sinnlose tausendfache Vernichtung einsatzfähiger Hardware zu verhindern.

Schließlich appelliert der CCC an die Hersteller der Konnektoren, dass sie sich ehrliche Wege für ihren Broterwerb suchen.

https://www.ccc.de/updates/2022/konnektoren-400-millionen-geschenk

Technische Details und Erläuterungen kann man im Podcast „Logbuch Netzpolitik“ erfahren.

Persönliche Meinung: Ein weiteres Beispiel das zeigt, dass man der deutschen Politik wirklich (entschuldigt bitte) jeden Scheiß andrehen kann und die es einfach durchwinken, weil es einfach an allen Ecken und enden an Kompetenz fehlt. Ich bin wirklich null überrascht und würde mich wundern, wenn man den Weg des kostenlosen Patches geht.

14 „Gefällt mir“

Wenn man sich die Stellungnahmen der Gematik dazu durchliest, dann weiß man, dass diese sich bereits entschieden haben, z.B. hier (Quelle: Gematik):

TI-Komponenten (Konnektoren, SMC-B, gSMK-KT) haben eine Lebensdauer von fünf Jahren, danach sind sie aus Sicherheitsgründen nicht mehr funktionsfähig. Für Komponenten, die nunmehr knapp fünf Jahre in Betrieb sind, bedeutet dies, dass deren Sicherheitszertifikate ablaufen. Ab September müssen deshalb die ersten TI-Konnektoren in (Zahn-)Arztpraxen ausgetauscht werden.

Für jeden, der sich die Berichterstattung der c’t, des CCC oder eben von Logbuch Netzpolitik angesehen hat, ist diese Aussage einfach nur dreist. Die Gematik macht sich hier zum, offenbar willigen, Erfüllungsgehilfen der finanziellen Interessen der Konnektor-Hersteller.

Ich denke mal man will sich dort einfach nicht die Blöße geben, dass ein zivilgesellschaftlicher Verein besser mit Technik umgehen kann, als man selbst und dass man die Hardwarehersteller in ihrem Gewinnstreben deutlich unterschätzt hat.

Denn ich gehe schwer davon aus, dass die Hersteller der Gematik aktuell die Pistole auf die Brust setzen und sagen: „Wenn ihr unseren Konnektortaustausch für 2300 € pro Gerät nicht mittragen wollt, dann springen wir ab und ihr könnt euch neue Partnerunternehmen suchen“.

Ein weiteres Beispiel dafür, wie der Staat vor Wirtschaft/Industrie kuscht.

5 „Gefällt mir“

Das ist ja das Statement von Ende August. Zu diesem Zeitpunkt war noch nicht klar, dass das Ganze scheinbar auch OTA lösbar ist, zumindest für einen gewissen Zeitraum, in welchem dann eine endgültige Lösung geschaffen werden kann.

Auch die Entwickler des Patches sprechen davon, dass eine Änderung an der Hardware vermutlich irgendwann erforderlich wird, jedoch nicht einen Kompletttausch der Hardware erfordern würde, sondern lediglich einzelne Module, welche händisch in die dafür vorgesehenen, im Gerät vorhandenen Slots eingeschoben werden können.

Gesprochen wird auch hier von einem Aufwand, allerdings keiner der einen Rahmen von 400 Millionen Euro erreichen würde.

3 „Gefällt mir“

Stimmt, da hast du Recht. Allerdings gibt es auch noch diese Stellungnahme der Gematik vom 28.07.2022 (Link) in dem sie sich auf einen Workshop vom Februar beziehen:

Eine temporäre Weiternutzung des Konnektors nach der initialen Gültigkeitszeit der gSMC-K-Zertifikate von 5 Jahren WAR in Form einer software-basierten Lösung vorgesehen. Insofern war ein Ausbau und Tausch der gSMC-K zu keinem Zeitpunkt eine vorgesehene Lösung.

Das wurde auch in der Logbuch Netzpolitik-Folge angegeben, meine ich. Logbuch Netzpolitik interpretiert das so, dass es wohl mal die Überlegung gab, das Problem per Softwareupdate zu lösen, aber das die Gematik das verworfen hat.
Und ich bin mir aus meiner beruflichen Erfahung sehr sicher, dass zumindest die Hersteller wussten, dass diese Software-Lösung, die der CCC jetzt vorschlägt, auch anwendbar ist.

Und wenn ich mir allgemeine Argumentationslinie der Gematik ansehe, wollten die entweder nichts von der Software-Lösung wissen oder haben sie wissentlich ignoriert.

edit:
Die Zeit hatte dieses Wochenende auch noch mal einen Artikel dazu:
300 Millionen Euro Krankenkassenbeiträge für die Elektroschrott-Tonne - 15.10.2022 - zeit.de

In dem Zeit-Artikel wird dann auch der CSO der Gematik zitiert:

Interessanterweise widerspricht die gematik dieser Aussage nicht. Im Gegenteil. Holm Diening, der Chief Security Officer der gematik, sagt, die konkrete Lösung des CCC müsse man sich eigentlich gar nicht anschauen, denn sie sei nicht neu, die gematik selbst habe so etwas längst in einer technischen Spezifikation beschrieben. Ein Softwareupdate ohne Gerätetausch ist also möglich.

Der Artikel nimmt hier die Gematik ein Stück weit in Schutz und schiebt den schwarzen Peter zu dem Hersteller CGM. Sollte man sich definitv mal durchlesen.

4 „Gefällt mir“