Tja, wenn wir in Deutschland doch ein Gesetz gegen geplante Obsoleszenz hätten das die Hersteller, die solche „Goldesel“-Produkte verhökern kräftig sanktioniert. Eine schnelle Suche findet diesen Artikel, aber Update-Pflicht für nur zwei Jahre, d.h. wenn das Zertifikat erst nach 5 Jahren abläuft ist man fein raus.
Ich würde mir, so wie von @Thore angeregt, wünschen, dass der Hersteller benannt wird und für lange Zeit von öffentlichen Ausschreibungen einfach ausgeschlossen wird.
Als nächstes würde ich mir das betroffene Gerät mal anschauen. Ich gehe mal davon aus, dass der bwusste Hersteller weder Hardware noch Software komplett selbst entwickelt hat. Hardware ist wahrscheinlich ein Billigteil aus Fernost welches dann mit eigener Firmware bestückt wird. Nun hat diese Firmware aber eigentlich fast immer die Eigenheit, dass sie einfach ein Embedded Linux ist, welche an die Anforderungen der Appliance angepasst wird. Wenn da aber OpenSource-Software drin steckt, dann wäre für jede genutzte Komponente zu prüfen, ob die Bestimmungen der entsprechenden Lizenz tatsächlich eingehalten wurden, also z.B. der Quellcode vollständig beim Hersteller verfügbar ist.
Damit hätte man eventuell einen starken Hebel um den Hersteller entweder doch von der Sinnhaftigkeit eines Software-Updates zu überzeugen oder aber die beiden anderen Hersteller anzufragen, ob sie nicht die Wartung der Geräte des bösen Herstellers übernehmen wollen indem sie die notwendige Firmware für das Gerät liefern.
Soweit ich weiß kam dieses „hey, wir müssen gar nicht die Hardware tauschen“ raus weil jemand vom CCC einen Proof-of-Concept geschrieben hat. Klar, dass keine Arztpraxis einen Wartungsvertrag mit dem CCC machen will, aber wenn Hersteller X nicht updaten will und Hersteller Y das für die Hardware von X anbietet und die Wartung übernimmt, dann sehe ich in erster Näherung eine Lösung.
Die Frage ist natürlich immer noch, wie die Verträge gestaltet sind. Ist der Konnektor Eigentum der Arztpraxis oder ist er nur vom Hersteller „gemietet“, in diesem Fall wäre Änderung an der Mietsache natürlich wohl im Vertrag ausgeschlossen und damit ein dead-end.
Aber als Software-Entwickler bekomme ich Bluthochdruck, wenn ich überlege, wie naiv die Leute von Gematik bei der Vertragsgestaltung waren, wenn der Hersteller jetzt einfach ein Update der ablaufenden Zertifikate verweigern kann.