Kleiner Rückblick auf das Thema TI-Konnektoren (eHealt-Router) für die Kommunikation im Medizinwesen (KIM). Die Gematik hat im August 2023 wohl die Freigabe erteilt, dass TI-Konnektoren in Arztpraxen wegen auslaufender Zertifikate nicht mehr komplett ausgetauscht werden müssen, sondern der Betrieb per Software-Update verlängert werden kann. Es deutet sich aber eine mangelhafte Qualitätssicherung an, und Berichte über ausgefallende TI-Konnektoren von CGM häufen sich. Ein Blog-Leser aus diesem Bereich hat mich Ende letzter Woche auf das Thema hingewiesen (danke dafür).
Anzeige
Worum geht es genau?
Bei den TI-Konnektoren handelt es sich um spezielle VPN-Router, die in Arztpraxen eingesetzt werden, um mit dem deutschen Gesundheitssystems Daten auszutauschen. Von der Hardware her sind die TI-Konnektoren mit DSL-Routern vergleichbar. Aber die für die Telematikinfrastruktur (TI) im deutschen Gesundheitswesen eingesetzten Geräte sind besonders gesichert.
Alle Arztpraxen, Kliniken und Apotheken müssen in Deutschland an die Telematikinfrastruktur (TI) über diese besonders gesicherte TI-Konnektoren angeschlossen werden. Es gibt nur drei Konnektor-Anbieter (Secunet, CGM und RISE), die von der gematik GmbH zertifiziert wurden. Verantwortlich für die sogenannte Telematikinfrastruktur (TI) ist die gematik GmbH.
Die von den ca. 130.000 in deutschen Arztpraxen, Kliniken und von Therapeuten sowie Apotheken verwendeten TI-Konnektoren enthalten Zertifikate zur Absicherung der Kommunikation. Die erfolgt durch eine gSMC-K ( "Security Module Card") im SIM-Kartenformat, die in den Geräten steckt und das erforderliche Zertifikat enthält. Die auf den gSMC-K-Karten gespeicherten Zertifikate laufen nach fünf Jahren ab, was bei einzelnen TI-Konnektoren ab 2022 der Fall ist. Bei weiteren Geräten laufen die Zertifikate 2023, 2024 und 2025 ab.
Erst sollte eine Software-Lösung her, dann hieß es, die TI-Konnektoren müssen ausgetauscht werden – die Kosten beliefen sich auf mehrere hundert Millionen. Der Chaos Computer Club wies dann nach, dass die TI-Konnektoren auch durch ein Software-Update mit einem neuen Zertifikat versehen und so die Laufzeit bis 2025 verlängert werden kann. Ich hatte diese Volten in mehreren Blog-Beiträgen begleitet (siehe Links am Artikelende).
Anzeige
Die gematik erlaubt Laufzeitverlängerung
Jetzt lassen sich die TI-Konnektoren der Hersteller nicht so einfach "per Software-Update" verlängern. Die verantwortliche gematik muss dies erst zulassen. Zum 25. August 2023 erfolgte die Freigabe der Laufzeitverlängerung für Konnektoren der Unternehmen secunet und RISE per Software-Update, wie man dieser Meldung entnehmen kann. Ich hatte dies bei den Kollegen von heise zum 31. August 2023 gelesen.
Damit kann der teure Austausch der TI-Konnektoren in den Arztpraxen entfallen. Laut heise-Beitrag sollte diese Laufzeitverlängerung für TI-Konnektoren vom Hersteller CGI bereits in Arbeit sein. Bezüglich der Kosten interpretiere ich den heise-Beitrag so, dass die Ärzte von den Anbietern mit Verträgen ziemlich über den Tisch gezogen werden. Statt eine kostengünstige Lösung für die Praxen anzubieten, werden neue Verträge mit höheren Kosten offeriert.
Die monatliche Pauschale für die TI-Konnektoren, die vom Bundesgesundheitsministerium festgelegt wurde, wird von den kassenärztlichen Vereinigungen kritisiert. Das Ärzteblatt hat einen Artikel zum Thema veröffentlicht. Es ist ganz aufschlussreich, die hier verlinkten Artikel und heise und Ärzteblatt bezüglich des Tohuwabohu in diesem Bereich zu lesen.
KoCoBox Med+-Ausfälle nach Update
Zum 6. September 2023 hat dann auch der TI-Konnektorenanbieter CGM ein Update für die Laufzeitverlängerung freigegeben und automatisch auf die Geräte verteilen lassen. Ein Blog-Leser, der für einen IT-Dienstleister in der Medizin-Branche arbeitet, hat mich in einer direkten Nachricht kontaktiert und berichtete, dass sich seitdem in seinem Unternehmen die Meldungen über Ausfälle der KoCoBox Med+-TI-Konnektoren durch das Update häufen.
Die Quelle zitiert, das jemand im CGM Bitrex Partner-Portal von einem Ausfall von 300 TI-Konnektoren berichtete. Eine Kommunikation der Praxen mit KIM ist bei betroffenen Geräten dann nicht mehr möglich. Die Anbindung an die Telematikinfrastruktur (TI) ist nicht mehr möglich. Für die Arztpraxen ein Desaster, denn das Einlesen der elektronischen Gesundheitskarte funktioniert wohl nicht. Manche Ärzte können keine eRezepte oder elektronischen Krankschreibungen mehr ausstellen.
Im vondoczudoc.de-Forum gibt es eine entsprechende Diskussion. Die Vorschläge des Unternehmens, den TI-Konnektor für 12 bis 15 Minuten vom Strom zu trennen, scheinen nicht zu helfen. heise hat diese Vorgänge inzwischen in diesem Artikel aufgegriffen. Gegenüber heise gibt CGM an, dass die Dienstleister vor Ort sich die Fälle ansehen und dann entscheiden müssen, ob die Geräte getauscht werden muss oder ob eine Umstellung auf die Rechenzentrumslösung CGM MANAGED TI erfolgt.
Qualitätssicherung scheint beim Anbieter CGM ein Fremdwort zu sein und Transparenz ob der Vorgänge gibt es erst recht nicht. Das Drama um die TI-Konnektoren geht also in die nächste Runde.
Ähnliche Artikel:
gematik untersagt Video-Ident-Verfahren in der Telematikinfrastruktur (9. August 2022)
Gesundheitseinrichtungen: E-Mail-Sicherheit mangelhaft
Digitalisierung Deutschland: Patientendaten in Praxissoftware einsehbar
Video-Ident durch Chaos Computer Club "sturmreif geschossen"
Problem mit statischer Aufladung bei eGK 2.1-Lesegeräten
Cyber-Angriff zieht IFAP-Arzneimitteldatenbank in Mitleidenschaft
Elektronische Patientenakte (ePA 2.0) als Sicherheitsrisiko?
Digitalisierung im Gesundheitswesen: Ärzteverbände fordern einjähriges Moratorium
Sicherheitslücken im deutschen Gesundheitsdatennetz
TI-Konnectoren im Gesundheitswesen – der "400 Millionen Euro"-Hack des Chaos Computer Clubs
Vernichtendes Urteil an elektronischer Patientenakte auf Freie Ärzteschaft (FA) Kongress (3.12.2022)
gematik-Gesellschafter haben Opt-out für elektronische Patientenakte (ePA) beschlossen
gematik erlaubt Laufzeitverlängerung per Software-Update für TI-Konnektoren
Anzeige
"oder ob eine Umstellung auf die Rechenzentrumslösung CGM MANAGED TI erfolgt"
Ist es gar kein mangelhaftes QM, sondern Outsourcing in die Cloud das Ziel?
Vielleicht. Ein anderer Dienstleister, der vergleichsweise einfache Technik, aber mit hohen Sicherheitsversprechen teuer verkauft ist die DATEV.
Die haben uns letztlich mit ihrem Preismodell für unsere 10 Arbeitsplätze auch mit ihrem Preismodell in das Rechenzentrum nach Nürnberg gelockt (Terminalserverumgebung), eine likale Umgebung wäre deutlich teurer gekommen – und natürlich wartungsaufwändiger.
Jeder, der Zertifikate verwendet, sei es für eine Website, Mail oder wie hier ein VPN sollte sich früher oder später mit dem Thema "Verlängerung" beschäftigen – je früher desto besser.
Wobei man der Gematik hier kaum einen Vorwurf machen kann, die Zertifikate waren mit 5 Jahren sehr lange gültig (heute ist ein Jahr oder kürzer üblich) und der Austausch war mit dem Ablegen auf einer SIM auch vorgesehen. Lediglich die nachgelagerten Forderungen (die Box ist versiegelt und darf im Feld nicht geöffnet werden) erschweren das.
Dazu kommt, das die Ärzte – so sie nicht übereigenes KnowHow verfügen ihren Dienstleistern (die oft kaum mehr Ahnung haben und die einzelnen Schritte von einem Zettel abarbeiten) zu "Apothekerpreisen" bezahlen müssen.
Und bei den Konnektorherstellern war der Umsatz für die neuen Boxen vermutlich langfristig eingeplant und muß jetzt auf Umwegen generiert werden.
> Dienstleistern (die oft kaum mehr Ahnung haben und
> die einzelnen Schritte von einem Zettel abarbeiten)
Der "Zettel" nennt sich neudeutsch "Checkliste" und ist nötig, weil die Schritte zum Einrichten/Updaten der Konnektoren laufend geändert werden, teils vom Hersteller, teils durch die Gematik (z.B. Typ des Zertifikats) ;-)
Die "eigenen" Dienstleister wurden hierbei zunächst seitens der Gematik ausgebootet!
Anstatt diese entsprechend mit ins Boot zu nehmen und zu Unterstützen, hatte man das nur über "zertifizierte, durch die Gematik ausgewählte Dienstleister", die sich gegenüber dem Endanwender "ausweisen" müssen und alles "zertifiziert", "dokumentiert", "mit vier Augen geprüft", "versiegelt und verplombt" und das ganze dann zu Mondpreisen ("Apothekerpreisen") durchgezogen!
Das Video bei der Telekom zu diesem Ablaufprozess war im Vergleich zur gelebten Realität ein Hollywood Blockbuster!
Wenn der Arzt das nicht selber kann – und auch er muss mit einer Checklistenanleitung arbeiten – dann ruft er seinen Dienstleister! Der macht das auch nicht immer aus dem Kopf, zumindest wenn er keinen 100 Praxen am laufen hat. Übrigens sind Schritt-für-Schritt Anleitungen auch Dokumentation und können als solche abgehakt und archiviert werden!
Man hätte auch durch die Praxis, die SIM Karten tauschen können und neue Siegel dabei mitliefern – da wäre auch kein allzu großes Problem – wobei man sich fragt, wer das bzw. die Geräte prüft. Der Patient sicher nicht.
Man muss sich mal angucken, was die Ärzte so bei vondoczudoc schreiben.
Meine Erfahrung? Es gibt keine Berufsgruppe, die so sehr von sich überzeugt ist, und so hohe Ansprüche an andere Dienstleister stellt wie Ärzte. Langfristige Geschäftsbeziehungen klappen bei mir zu 80 – 90%, wenn der initiale Termin erfolgreich verläuft. Bei Ärzten liegt die Quote jedoch nur bei 60 %. Zählt man gescheiterte Initialtermine mit, liegt die Quote sogar nur bei ca. 30 %. Mit dem Rest verkracht man sich kurzfristig wegen völlig verquerter Vorstellungen, insbesondere auch darüber, was ein Dienstleister kosten darf.
Da wird dann argumentiert, dass man selbst ja niedrige Patientenpauschalen bekommt und erwartet dann stundenlanges Fehlersuchen auf Stundensatzbasis zu geringen Stundensätzen, die nicht einmal vollständig verrechnet werden können, weil: Ist ja der Dienstleister schuld, dass man die vermurkste Arzt-Installation nicht mit 3 Klicks wieder am Laufen hat.
Und das wohlwissend, dass die eigene Praxis gut 200.000 € jährlich abwirft und der Dienstleister da durchaus einen Tagessatz von 1.000 € für verrechnen müsste, um – bei gleichwertiger Ausbildung – auf das gleiche Ergebnis zu kommen.
Dass Ärzte durch die Bank weg die DVOs als inkompetente Vollidioten bezeichnen, sich aber selbst als engelsgleiche und fehlerlose Weißkittel sehen spricht Bände. Dass überhaupt ein Arzt der Meinung ist, er könnte den absichtlich völlig komplex gestalteten TI Kram selbst managen ist schon eine Farce. Da tun sich nicht umsonst schon die IT-Dienstleister schwer. Aber als Arzt macht man das 'so nebenbei'. Eben nicht. Wenns läuft, wird schon alles richtig sein und dass dann langfristig Dinge aus dem Ruder laufen, weil die Konfiguration von Anfang an nicht korrekt oder gar fertiggestellt war, ist natürlich wieder irgendein Dienstleister schuld, der zwischenzeitlich mal nen Firefox aktualisiert hat. Die machen kein Backup, die nutzen Hardware bis sie sich morgens nicht mehr einschalten lässt und wundern sich dann, dass niemand von den völlig überteuerten und inkompetenten Dienstleistern Bock hat sie kurzfristig und für den schmalen Euro aus der Sch*** zu ziehen.