Hack soll Gesundheitssystem helfen Werden hier 400 Millionen Euro verschwendet?
News folgenArztpraxen sollen einen speziellen Router tauschen, der den Zugang zum Gesundheitsdatennetz ermöglicht – Kostenpunkt 400 Millionen Euro. Der CCC zeigt, dass es auch gratis geht.
Deutsche Arztpraxen, Apotheken und Kliniken sind derzeit dazu aufgerufen, ihre Konnektoren zu tauschen. Insgesamt 130.000 dieser speziellen Router sind aktuell in ganz Deutschland eingesetzt, um Ärzten den Zugang zur Telematikinfrastruktur (TI) zu ermöglichen – dem sicheren Datennetz, über das elektronische Patientenakten, E-Rezepte und andere vertrauliche Daten ausgetauscht werden. Sie alle sollen in den kommenden Jahren getauscht werden.
Ein ablaufendes Zertifikat mache den Austausch unumgänglich, behaupten die Hersteller. Die Kosten für den Akt belaufen sich auf 400 Millionen Euro, die das Gesundheitssystem tragen muss. Doch die Ausgaben seien völlig unnötig, erklärt der Chaos Computer Club (CCC) und stellt kurzerhand ein Softwareupdate als kostenlose Alternative zum Gerätetausch zur Verfügung.
Zertifikate sind grundsätzlich ein wichtiges Werkzeug, um Zugang zu einem verschlüsselten System zu gewähren. Sie sind gewissermaßen ein Softwareschlüssel, der aber jederzeit für ungültig erklärt werden kann, sollte das Zertifikat missbraucht werden. Deshalb gehört es auch dazu, dass Zertifikate nach einer gewissen Lebensdauer ablaufen und erneuert werden müssen.
Eine Verlängerung war teilweise sogar möglich – von den Herstellern offenbar aber nicht gewollt
Im Falle der Konnektoren war das verwendete Zertifikat fünf Jahre lang gültig. Diese laufen nun ab. Üblicherweise bestehen dann Möglichkeiten, um ein solches Zertifikat per Softwareupdate zu verlängern. Das wäre auch für die Konnektoren ein sinnvoller Weg, schließlich erfüllen sie ihre Aufgabe noch einwandfrei. Wie der CCC auf seiner Website berichtet, habe auch der Betreiber der TI ("Telematik Infrastruktur") die Gematik, eine solche per Update mögliche Verlängerung den Herstellern des Geräts optional vorgeschlagen.
Sogar das Bundesamt für Sicherheit in der Informationstechnik hielt eine solche Verlängerung für sicher – zumindest bis zum Jahr 2025, dann gilt das derzeit verwendete Schlüsselformat als nicht mehr ausreichend sicher.
Allerdings setzten nicht alle Anbieter dies um – und die Gematik entschied dann, dass nur der komplette Gerätetausch sicher wäre. Besonders brisant dabei ist: Auch die Austauschgeräte müssten ihrerseits nach fünf Jahren wieder durch neue ersetzt werden. Definitiv eine lukrative Entscheidung für die Hersteller – die behauptete Notwendigkeit wird jedoch schon länger angezweifelt, etwa auch von Experten bei heise.de.
"Hier will sich ein Kartell durch strategische Inkompetenz am deutschen Gesundheitssystem eine goldene Nase verdienen. Dabei werden immense Kosten für alle Versicherten, sinnloser Aufwand für einen Austausch bei allen Ärzten und tonnenweise Elektroschrott in Kauf genommen“, kommentiert Dirk Engling, Sprecher des CCC den Vorgang.
Fluepke, ein Hacker des CCC, untermauert diese Aussage mit dem Beweis, dass ein Software-Update sehr wohl möglich ist. Eine Analyse der Firmware der Konnektoren zeigte, dass die Geräte neben dem abgelaufenen Zertifikat auch noch weitere, erneuerte Zertifikate nutzen und so auch sicher weiterbetrieben werden könnten.
CCC bietet die Lösung zum 400-Millionen-Debakel zum Gratis-Download
Das Ergebnis seiner Untersuchung samt nutzbarem Skript stellt der CCC zum kostenlosen Download auf der Codeplattform Github bereit. Damit dieser allerdings auf die Konnektoren aufgespielt werden kann, muss er durch die Gamatik mit einem geheimen Schlüssel signiert werden. Das kostengünstige Update klappt also nur, wenn das Unternehmen dies auch will.
Völlig unklar ist dabei, wie der teure Austausch weiterhin durch die Gematik gerechtfertigt werden soll. Erschwerend kommt hinzu, dass Experten des CCC der Gematik zudem in der Vergangenheit teils mangelhafte Umsetzungen anderer Projekte wie etwa dem E-Rezept oder im Telemantik-Netzwerk selbst attestierten.
Des weiteren fordert der CCC-Sprecher Engling: "Wenn die beauftragten Hersteller von TI-Konnektoren selbst mit so trivialen Aufgaben wie einer Erneuerung der Zertifikate überfordert sind, drängt sich doch die Frage auf, ob nicht die Vergabekriterien und Verträge der Gematik verschärft und kompetentere Wettbewerber gefunden werden müssen"
