{"id":273980,"date":"2022-10-16T01:25:31","date_gmt":"2022-10-15T23:25:31","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=273980"},"modified":"2023-06-21T15:47:51","modified_gmt":"2023-06-21T13:47:51","slug":"ti-connectoren-im-gesundheitswesen-der-300-millionen-euro-hack-des-chaos-computer-clubs","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/10\/16\/ti-connectoren-im-gesundheitswesen-der-300-millionen-euro-hack-des-chaos-computer-clubs\/","title":{"rendered":"TI-Konnectoren im Gesundheitswesen – der "400 Millionen Euro"-Hack des Chaos Computer Clubs"},"content":{"rendered":"

\"GesundheitEs geht um sehr viel Geld und es ist ein Skandal: Die gematik, die die Verantwortung f\u00fcr die Telematikinfrastruktur im deutschen Gesundheitswesen tr\u00e4gt, will die sogenannten TI-Konnektoren in Arztpraxen austauschen. Der Grund: In den Ger\u00e4ten laufen Zertifikate ab. Die Kosten f\u00fcr den Austausch werden auf mindestens 400 Millionen Euro (bis 2024) gesch\u00e4tzt. Das ist aber unn\u00f6tig, da sich die Zertifikate kosteng\u00fcnstig per Software bis 2025 verl\u00e4ngern lassen (ab diesem Zeitpunkt wird eine Folgel\u00f6sung, TI 2.0, eingef\u00fchrt).<\/p>\n

\"\"Seit Monaten wogt ein Streit, ob es wirklich notwendig ist, die TI-Konnektoren auszutauschen, denn eine Softwarel\u00f6sung erm\u00f6glicht eine Verl\u00e4ngerung der Zertifikate. Das wurde von den Herstellern der Ger\u00e4te und der gematik als nicht machbar verworfen. Nun hat der Chaos Computer Clubs durch einen Hack nachgewiesen, dass es keinen Grund f\u00fcr einen Austausch der TI-Konnektoren gibt. Eine Verl\u00e4ngerung der Zertifikate per Software ist mit wenig Aufwand m\u00f6glich. Der \"digitale Raubzug\" der gematik mit einem Hersteller der TI-Konnektoren auf Kosten der gesetzlich Krankenversicherten muss also ausfallen – zumindest, wenn gen\u00fcgend Druck aus der Politik kommt.<\/p>\n

Einige Hintergrundinformationen<\/h2>\n

Bei den TI-Konnektoren handelt es sich um spezielle VPN-Router, die in Arztpraxen eingesetzt werden, um mit dem deutschen Gesundheitssystems Daten auszutauschen. Von der Hardware her sind die TI-Konnektoren mit DSL-Routern vergleichbar. Aber die f\u00fcr die Telematikinfrastruktur (TI) im deutschen Gesundheitswesen eingesetzten Ger\u00e4te sind besonders gesichert.<\/p>\n

Alle Arztpraxen, Kliniken und Apotheken m\u00fcssen in Deutschland an die Telematikinfrastruktur (TI) \u00fcber diese besonders gesicherte TI-Konnektoren angeschlossen werden. Es gibt nur drei Konnektor-Anbieter (Secunet, CGM und RISE), die von der gematik GmbH zertifiziert wurden.<\/p>\n

Verantwortlich f\u00fcr die sogenannte Telematikinfrastruktur (TI) ist die gematik GmbH<\/a>. Diese wurde im Januar 2005 von den Spitzenorganisationen des deutschen Gesundheitswesens gegr\u00fcndet, um gem\u00e4\u00df gesetzlichem Auftrag die Einf\u00fchrung, Pflege und Weiterentwicklung der elektronischen Gesundheitskarte<\/a> (eGK) und ihrer Infrastruktur in Deutschland voranzutreiben, zu koordinieren und die Interoperabilit\u00e4t der beteiligten Komponenten sicherzustellen.<\/p>\n

Die Gesellschafter der Gematik sind das Bundesministerium f\u00fcr Gesundheit (BMG), die Bundes\u00e4rztekammer (B\u00c4K), die Bundeszahn\u00e4rztekammer (BZ\u00c4K), der Deutsche Apothekerverband (DAV), die Deutsche Krankenhausgesellschaft (DKG), der Spitzenverband der Gesetzlichen Krankenversicherungen (GKV-SV), der Verband der Privaten Krankenversicherung (PKV), die Kassen\u00e4rztliche Bundesvereinigung (KBV) und die Kassenzahn\u00e4rztliche Bundesvereinigung (KZBV).<\/p>\n

TI-Konnektoren sollen getauscht werden<\/h2>\n

Die von den ca. 130.000 in deutschen Arztpraxen, Kliniken und von Therapeuten sowie Apotheken verwendeten TI-Konnektoren enthalten Zertifikate, die die Kommunikation absichern sollen. Dazu steckt in den Ger\u00e4te eine gSMC-K ( \"Security Module Card\") im SIM-Kartenformat. Die auf den gSMC-K-Karten gespeicherten Zertifikate laufen nach f\u00fcnf Jahren ab. Bei den \u00e4ltesten TI-Konnektoren ist dies bereits 2022 der Fall, bei weiteren Ger\u00e4ten laufen die Zertifikate 2023, 2024 und 2025 ab.<\/p>\n

Von der gematik gab es einen Vorschlag, die Laufzeit der Zertifikate zu verl\u00e4ngern, denn ab 2025 soll der Betrieb mit TI 2.0 – ohne diese TI-Konnektoren – erfolgen. Diese Laufzeitverl\u00e4ngerung war sogar vom Bundesamt f\u00fcr Sicherheit in der Informationsverarbeitung (BSI) abgesegnet und h\u00e4tte kosteng\u00fcnstig durchgef\u00fchrt werden k\u00f6nnen.<\/p>\n

Am 17. M\u00e4rz 2022 gab es dann eine Kehrtwende, denn es wurde von der gematik beschlossen, dass die TI-Konnektoren, deren Zertifikate ablaufen, komplett auszutauschen seien.\u00a0 Das wurde den \u00c4rzten und der \u00d6ffentlichkeit als \"sichere\" Variante verkauft (siehe<\/a>). In den Jahren 2017 und 2018 gekaufte Ger\u00e4te stehen also zum Austausch an, wobei die noch voll funktionsf\u00e4higen Ger\u00e4te zum Elektroschrott werden. heise hat das in diesem Artikel<\/a> aufbereitet.<\/p>\n

Die Kosten in H\u00f6he von 300 bis 400 Millionen Euro f\u00fcr den Hardware-Tausch sollten die gesetzlichen Krankenkassen tragen. Nimmt man noch Kosten f\u00fcr den Mehraufwand in den Praxen, laufen Betr\u00e4ge von einer Milliarde Euro auf. Daher regten sich fr\u00fchzeitig kritische Nachfragen, ob der Hardware-Tausch der TI-Konnektoren erforderlich sei. Von der gematik kam die R\u00fcckmeldung, dass an einem Tausch kein Weg vorbei f\u00fchre.<\/p>\n

Speziell heise hatte sich dem Thema gewidmet und stellte kritische Fragen in Richtung der gematik und verwies auf diverse widerspr\u00fcchliche Aussagen. Die gematik lehnte aber eine Neubewertung in Bezug auf den Tausch der TI-Konnektoren ab\u00a0 – wie man in diesem Beitrag<\/a> nachlesen kann. Die gematik zog sich auf Nachfrage von heise auf die Position zur\u00fcck, dass die Konnektoren und Zertifikate untrennbar miteinander verbunden seien.<\/p>\n

Die heise-Redaktion konnte aber durch Analyse eines TI-Konnektors nachweisen, dass die gSMC-K-Module ausgebaut und erneut eingebaut werden k\u00f6nnen. Die Funktionalit\u00e4t des TI-Konnektors war gegeben, sobald das gSMC-K-Modul wieder eingebaut war. Es w\u00e4re also m\u00f6glich, statt des TI-Konnektors nur das gSMC-K-Modul gegen ein Exemplar mit f\u00fcnf Jahre g\u00fcltigem Zertifikat zu tauschen. heise hatte an Gesundheitsminister Karl Lauterbach appelliert<\/a>, eine Software-L\u00f6sung als Alternative zum teuren TI-Konnektorentausch zu pr\u00fcfen und ausf\u00fchren zu lassen. Das Ganze ist aber wohl im Sande verlaufen.<\/p>\n

Bez\u00fcglich des Konnektorentauschs gibt es durchaus aber unterschiedliche Meinungen. \u00c4ltere\u00a0 TI-Konnektoren haben das Problem, dass die Hardware nicht mehr schnell genug f\u00fcr eine Kommunikation ist. Auf heise schreibt<\/a> ein Nutzer folgendes:<\/p>\n

Ganz Unrecht haben sie nicht<\/a><\/em><\/p>\n

\n
\n

Die Konnektoren sind teilweise gammel langsam, wenn man es wagt gr\u00f6\u00dfere Operationen durchzuf\u00fchren. Das ist aber notwendig um z.B. die E-Mails f\u00fcr den KIM-Versand zu verschl\u00fcsseln. Und da sollen theoretisch Daten im GB-Bereich durch gejagt werden (z.B. R\u00f6ntgen oder gar MRT). Das hat glaube ich noch nie jemand getestet.<\/em><\/p>\n

Daneben ein Wirrwarr an merkw\u00fcrdigen Bugs, fehlender\/unvollst\u00e4ndiger Dokumentation, f\u00fcr quasi jeden Dienst eine komplett andere SOAP-Version etc. pp.<\/em><\/p>\n

Einfach nur ein Graus. Gute Idee eigentlich, aber sehr, sehr schlecht umgesetzt.<\/em><\/p>\n

Oh – habe ich schon von komplett unverst\u00e4ndlichen und sogar irref\u00fchrenden Fehlermeldungen, selbst f\u00fcr Entwickler berichtet?<\/em><\/p>\n

Ob es nun ein reines Software-Problem ist, was durch die Firmware der TI-Konnektoren verursacht wird – dann w\u00e4ren die Probleme auch auf neuer Hardware vorhanden – kann ich als Au\u00dfenstehender nicht bewerten.<\/p>\n

Generell ist aber das Problem, dass mit den TI-Konnektoren und KIM (Kommunikation im Medizinbereich) samt den angedachten Diensten wie eRezept, elektronische Krankschreibung (eAU) sowie elektronischer Patientenakte (ePA) Abl\u00e4ufe in Arztpraxen nachgebildet werden, die auf Papier binnen Sekunden erledigt sind – auch die Handakte des Patienten ist vom Arzt schnell mit einem kurzen Eintrag aktualisiert.<\/p>\n<\/div>\n<\/div>\n<\/blockquote>\n

Der CCC hackt das gSMC-K-Modul<\/h2>\n

Der Chaos Computer Club (CCC) hat dieses Thema ebenfalls mitbekommen und eigene Recherchen durchgef\u00fchrt. Es stand die Frage im Raum, ob die TI-Konnektoren wirklich getauscht werden m\u00fcssen, oder ob die Hersteller sich per geplanter Obsoleszenz \u00fcber die gematik einen 400-Millionen-Schluck aus den Kassen der gesetzlichen Krankenversicherungen genehmigen k\u00f6nnen.<\/p>\n

\"CCC-Hack<\/a><\/p>\n

Vor einigen Tagen habe ich dann \u00fcber obigen Tweet<\/a> und diesen Artikel<\/a> bei heise mitbekommen, dass es Mitgliedern des Chaos Computer Clubs (CCC) gelungen ist, die Interna des TI-Konnektors zu entschl\u00fcsseln.<\/p>\n

\"CCC:<\/p>\n

In obigem Tweet formuliert der CCC, dass der Tausch der TI-Konnektoren seine tausendfache sinnlose Vernichtung einsatzf\u00e4higer Hardware ist. Denn der CCC konnte \u00fcber den Hack nachweisen, dass die Zertifikate sich per Software problemlos und mit minimalem Aufwand verl\u00e4ngern lassen. Im Jahr 2025 werden diese TI-Konnektoren eh obsolet, da TI 2.0 ohne diese Ger\u00e4te auskommt. Dirk Engling, Sprecher des Chaos Computer Clubs, sagt dazu:<\/p>\n

Hier will sich ein Kartell durch strategische Inkompetenz am deutschen Gesundheitssystem eine goldene Nase verdienen. Dabei werden immense Kosten f\u00fcr alle Versicherten, sinnloser Aufwand f\u00fcr einen Austausch bei allen \u00c4rzten und tonnenweise Elektroschrott in Kauf genommen. <\/em>Schlimmer noch: Eine Wiederholung des Debakels in f\u00fcnf Jahren wird bereits vorbereitet.<\/em><\/p><\/blockquote>\n

Der CCC hat den gesamten Sachverhalt im Beitrag Chaos Computer Club spart dem Gesundheitssystem 400 Millionen Euro<\/a> dokumentiert und fordert im Lichte der fortw\u00e4hrenden Geldverbrennung in der TI das Bundesgesundheitsministerium auf, die gematik an eine k\u00fcrzere Leine zu nehmen und dem Pfusch bei Ausschreibungen und in den Vertr\u00e4gen ein Ende zu setzen. Weiter fordert der CCC das Umweltministerium auf, gangbare Wege auszuloten, die allein schon aus Nachhaltigkeitsgesichtspunkten v\u00f6llig sinnlose tausendfache Vernichtung einsatzf\u00e4higer Hardware zu verhindern. Schlie\u00dflich appelliert der CCC an die Hersteller der Konnektoren, dass sie sich ehrliche Wege f\u00fcr ihren Broterwerb suchen.<\/p>\n

Hier bleibt es spannend, zu verfolgen, wie die Beteiligten reagieren und ob Gesundheitsminister Karl Lauterbach diesem \"digitalen Raubzug\" der Hersteller unter Zuhilfenahme der gematik einen Riegel vorschiebt. In diesem Kommentar<\/a> kommt von heise die Forderung, dass \"Oligopol\" zu zerschlagen, da wohl die Interessen der Firmen h\u00f6her als die der Patienten wiegt, die dieses Ma\u00dfnahmen mit ihren Krankenkassenbeitr\u00e4gen finanzieren sollen.<\/p>\n

An dieser Stelle eine Anregung von mir: Fragt doch einfach mal bei den Bundestagsabgeordneten aus eurem Wahlkreis<\/a>nach, wie diese den Sachverhalt sehen, und ob sie die Selbstbedienungsmentalit\u00e4t der oben genannten Protagonisten mit tragen.<\/p><\/blockquote>\n

\u00c4hnliche Artikel:<\/strong>
\n1 <\/a>\u00a0gematik untersagt Video-Ident-Verfahren in der Telematikinfrastruktur (9. August 2022)
\n2 <\/a>Gesundheitseinrichtungen: E-Mail-Sicherheit mangelhaft
\n3 <\/a>\u00a0Digitalisierung Deutschland: Patientendaten in Praxissoftware einsehbar
\n4 <\/a>Video-Ident durch Chaos Computer Club \"sturmreif geschossen\"
\n5 <\/a>Problem mit statischer Aufladung bei eGK 2.1-Leseger\u00e4ten
\n6 <\/a>Cyber-Angriff zieht IFAP-Arzneimitteldatenbank in Mitleidenschaft
\n7\u00a0<\/a>\u00a0Elektronische Patientenakte (ePA 2.0) als Sicherheitsrisiko?
\n8 <\/a>\u00a0Digitalisierung im Gesundheitswesen: \u00c4rzteverb\u00e4nde fordern einj\u00e4hriges Moratorium
\n9 <\/a>\u00a0Sicherheitsl\u00fccken im deutschen Gesundheitsdatennetz<\/p>\n","protected":false},"excerpt":{"rendered":"

Es geht um sehr viel Geld und es ist ein Skandal: Die gematik, die die Verantwortung f\u00fcr die Telematikinfrastruktur im deutschen Gesundheitswesen tr\u00e4gt, will die sogenannten TI-Konnektoren in Arztpraxen austauschen. Der Grund: In den Ger\u00e4ten laufen Zertifikate ab. Die Kosten … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[731,426],"tags":[3081,2564,4328],"class_list":["post-273980","post","type-post","status-publish","format-standard","hentry","category-gerate","category-sicherheit","tag-geraete","tag-hack","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/273980","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=273980"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/273980\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=273980"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=273980"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=273980"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}