Hannover – Seitdem das Computermagazin c’t Mitte Juli die Notwendigkeit des Konnektortauschs infrage stellte, laufen viele Ärztevertretungen gegen den Tausch Sturm. Gematik und Hersteller weichen jedoch aus. Um die technischen Hintergründe zu verstehen, erläutert dieser Artikel die Sicherheitsanforderungen und Befunde der Hardware-Analyse von c’t.
Als Redakteur fühle ich mich manchmal wie ein Kleinkind, dass seine Eltern mit ständigen Fragen nach dem “Warum?” nervt. Eben dieses “Warum?” beschäftigte uns beim Computermagazin c’t, als die Gematik auf ihrer Gesellschaftersammlung am 28. Februar einstimmig entschied, dass 130.000 Konnektoren aus Arztpraxen und Kliniken in Deutschland ausgetauscht werden sollen. Warum? Die Konnektoren sind mit Krypto-Zertifikaten abgesichert, deren Gültigkeit nach spätestens fünf Jahren abläuft. Je nachdem, wieviel Zeit zwischen Produktion und Verkauf vergehen, kann ein Tausch bereits nach vier Jahren Laufzeit in der Praxis anstehen. Weniger als vier Jahre sind nicht erlaubt.
Aber warum müssen die kompletten Konnektoren ausgetauscht werden? Genügt nicht ein Wechsel der Zertifikate? Nein, hieß es beim Hersteller CGM, dessen KoCoBox 2017 auf den Markt kam und ab September als erstes ausgetauscht werden soll: “Da die Zertifikate in den Konnektoren fest verbaut sind und aus Sicherheitsgründen nicht entfernt oder ersetzt werden können, ist deren Austausch technisch nicht möglich.” Und auch die Gematik antwortete auf Nachfrage: “Der Konnektor als Kernelement der TI wurde als eine untrennbare Einheit von eigentlichem Konnektor und den dort verbauten gSMC-K mit den aufgebrachten Zertifikaten konzipiert.”
Weil wir mit unseren Warum-Fragen bei Herstellern und Gematik nicht weiter kamen, blätterten wir selbst in den Spezifikationen. Die Schutzprofile für Konnektoren legt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in den Common Criteria fest. Die Dokumente umfassen einzeln mehrere hundert Seiten und werden über die Jahre immer wieder umgearbeitet und neu aufgelegt. Zusammen mit den Zulassungsanforderungen der Gematik entsteht daraus ein Dickicht aus Vorschriften, das schnell auf über 10.000 Seiten anwächst und von Außenstehenden kaum noch zu durchdringen ist. Journalisten, die zu viel “Warum?” fragen, bekommen oft nur Dokumentennummern genant und müssen sich die relevanten Passagen dann selbst heraussuchen – eine Sisyphusarbeit.
Erste Zweifel
Das etwas mit der Aussage, die Zertifikate seien “fest verbaut”, nicht stimmen kann, entdeckten wir in den Schutzprofilen BSI-CC-PP-0047, -0097 und -0098. Die dort beschriebene allgemeine Sicherheitsarchitektur zeigt nämlich den pfiffigen modularen Aufbau der Konnektoren. Die einzelnen Module kümmern sich um die TI-Anwendungen und Netzwerkkommunikation. Die kryptographische Absicherung ist in das Sicherheitsmodul “Security Module Card Konnektor” (gSMC-K) ausgelagert.
Dieses gSMC-K ist nicht bloß eine simple Speicherkarte mit Sicherheitsschlüsseln, sondern eine Art Minicomputer mit einem eigenen Betriebssystem, der sämtliche Kryptofunktionen für die übrigen Module des Konnektors bereitstellt. Physikalisch sitzt er auf einer kleinen Chipkarte, ähnlich einer SIM-Karte fürs Mobiltelefon. Wenn das Kryptosystem des Konnektors kompromittiert wird oder veraltet, braucht man bloß diese Chipkarten zu wechseln. Das hatten sich zumindest die Architekten des Systems clever überlegt.
Darüber hinaus existieren weitere Vorschriften, die einen physikalischen Schutz des Konnektors verlangen. Unter anderem darf die Kommunikation der gSMC-K mit den übrigen Modulen des Konnektors weder abgehört noch manipuliert werden. Und falls dies doch geschieht, sollen Manipulationsversuche sofort sichtbar werden: “Sowohl während als auch außerhalb aktiver Datenverarbeitung im Konnektor müssen die Sicherheitsmaßnahmen in der Umgebung sicherstellen, dass ein Diebstahl des Konnektors und/oder Manipulationen am Konnektor so rechtzeitig erkannt werden, dass die einzuleitenden materielle, organisatorische und/oder personelle Maßnahmen größeren Schaden abwehren,” ist unter dem Punkt “OE.NK.phys_Schutz Physischer Schutz des Netzkonnektors” zu lesen.
Derartige Sicherheitsmaßnahmen kennen wir beispielsweise von den Kartenterminals. Deren Platinen sind mit einer elektronischen Bohrschutzfolie umwickelt, die von einer Stützbatterie gespeist wird, sobald das Terminal vom Netzteil getrennt wird. Macht sich jemand von außen am Gehäuse zu schaffen und durchtrennt die Folie unvorsichtig, schlägt das System sofort Alarm.
Sicherheitsschrauben und Klebesiegel
Unsere beiden Sicherheitsexperten, die Autoren Thomas Maus und Lorenz Schönberg, wollten es genauer wissen, ob die Konnektoren ähnlich gegen physische Eingriffe gesichert sind. Das Gehäuse der KoCoBox ist mit sechs Sicherheitsschrauben vom Typ “Torx Plus Security” verschraubt. In deren sternförmige Aussparungen passt jedoch ein kleiner Klingenschraubendreher und sie ließen sich lösen. Die Gehäuseseiten sind mit Siegeln verklebt. Diese ließen sich mit einem Bastell-Skalpell etwas Brennspiritus entfernen, ohne das die Siegel verletzt wurden. Im inneren der Box sitzen drei gSMC-K auf Kartenhaltern – drei, weil eine Karte allein für die Verschlüsselungsaufgaben zu langsam wäre.
Die Karten konnten unsere beiden Autoren einfach abziehen, in einem Lesegerät auslesen, anschließend wieder einsetzen und die KoCoBox normal starten. Nachdem sie das Gehäuse wieder geschlossen und die Siegel verklebt waren, blieben keine Spuren von dem Eingriff zurück.
Damit bewiesen sie, dass es im Unterschied zum Kartenterminal keine elektronischen Sicherheitsmaßnahmen im Konnektor gibt, der bei einer Öffnung des Gehäuses oder Entnahme der gSMC-K Alarm schlagen. Auf Anfrage bestätigte uns das BSI, dass die KoCoBox die Anforderungen der Common Criteria erfüllt, weil sie von der Annahme ausgehen, dass die Konnektoren in einem sicheren Umfeld innerhalb der Praxen und Kliniken betrieben werden. Sie als Ärzte sind also dafür verantwortlich, dass sich niemand unbefugtes an den Konnektoren zu schaffen macht.
Die gSMC-K lassen sich jedoch nicht einfach gegen Karten aus einem anderen Konnektor austauschen. Denn bei der ersten Bestückung durch den Hersteller werden sie mit der übrigen Hardware des Konnektors gekoppelt. Wie die Gematik in ihrer Antwort auf Fragen der Kassenärztlichen Bundesvereinigung (KBV) am 28. Juli erklärte, findet diese Kartenbestückung durch den Hersteller in einer besonderen “Fertigungsumgebung” statt: “Die spezifischen Speicherbereiche der gSMC-K werden in der Fertigungsumgebung vorbereitet. Karten-PIN und Schlüssel sind außerhalb dieser Umgebung nicht erstellbar”, heißt es dort.
Günstigere Alternativen
Nähere Angaben zur Fertigungsumgebung erhielten wir auch Nachfrage nicht. Womöglich könnte auch ein Techniker vor Ort einen frischen Kartensatz vom Hersteller mit der Konnektor-Hardware koppeln und updaten – ein Schraubenzieher, Kartenlese&Schreibgerät sowie zwei Klebesiegel könnten genügen. Oder die Hersteller halten ein paar neue Konnektoren vor und schicken Sie den Ärzten in ihre Praxis. Die wiederum retournieren ihre Altgeräte, damit der Hersteller sie mit frischen Karten bestücken und weiter an den nächsten Arzt schicken kann.
Zu unserer Verwunderung gab die Gematik bekannt, dass eine solche Tauschaktion “zu keinem Zeitpunkt als Lösung vorgesehen” war. Wir fragten wieder nach dem Warum und welche technischen Details denn gegen einen Kartentausch sprächen. Die Gematik weigerte sich jedoch, diese offenzulegen, weil sie “Geschäftsgeheimnisse der Hersteller” berührten. Für die Gematik seien die Gründe der Hersteller für den Konektortausch hingegen “auch ohne Prüfung klar nachvollziehbar”, sodass sie kein externes unabhängiges Gutachten benötigen würden.
Das BSI stellte klar, dass eine Austauschmöglichkeit der gSMC-K-Karten keine Schutzprofile verletzen würde. Vielmehr liege es im Ermessen der Hersteller, ob sie einen Kartentausch erlauben oder nicht: “Es gibt in den Protection Profiles PP-0098 und PP-0097 keine Sicherheitsvorgaben, die einen Austausch der gSMC-K untersagt. Ein konkretes Produkt KANN zur Erfüllung von anderen Sicherheitsvorgabe einen Austausch der gSMC-K durch das Security Target unterbinden. Dies wären jedoch keine Sicherheitsvorgabe des Protection Profile, sondern Entscheidungen des Herstellers zur jeweiligen Umsetzung.”
Für die Hersteller ist der Hardware-Tausch ein großes Geschäft. Die in der KoCoBox eingesetzten Platinen entsprechen weitgehend Standard-Komponenten, die die os-cillation GmbH aus Siegen unter dem Namen “BaseBoard für Qseven-Module” verkauft. Nach unseren Schätzungen kostet die gesamte Konnektor-Hardware im Einkauf nicht mehr als 400 Euro. Im Verkauf veranschlagte CGM zunächst 2773 Euro, senkte den Preis aber nach dem Schiedsspruch auf 2300 Euro brutto – exakt die Summe, die die Kassen den Ärzten erstatten sollen.
Hochgerechnet auf 130.000 Konnektoren ergäbe das einen Bruttoumsatz von circa 300 Millionen Euro für die Hersteller CGM, Secunet und RISE. Letztere haben allerdings noch keine Preise bekannt gegeben, weil ihre Konnektoren erst ab kommenden Jahr gewechselt werden sollen. Da wundert es wenig, wenn sich die Hersteller mit Garantien für günstigere Lösungen zurückhalten.
Software-Updates abgeblasen
Mitte 2021 sah die Situation allerdings noch anders aus. Am 30. Juni veröffentlichte die
Gematik im „Feature Laufzeitverlängerung gSMC-K“ mögliche Software-Lösungen, die einen Konnektortausch verhindern sollten: „Die im Feld befindlichen Konnektoren werden per Firmware-Update in die Lage versetzt, neue TI-Zertifikate für ihre alten Schlüssel der gSMC-K zu erhalten.“ Diese Laufzeitverlängerung sollte sogar als „Notfall-Option“ wiederholt werden können, „falls der geplante Zeitraum bis 2024 nicht ausreicht“ – gemeint ist die Einführung der TI 2.0, die den gesamten Datenverkehr per Software absichern soll, sodass keine Hardware-Konnektoren mehr notwendig sind. Solche wiederholten Software-Updates bis zur Einführung der TI 2.0 hätten einzig einer “Befürwortung durch das BSI“ bedürft. Für die fehlerfreie Lauffähigkeit nach der Erneuerung
sollten die Hersteller verantwortlich sein. Selbst ein Update von Konnektoren, die als Reserve in Krankenhäusern offline im Schrank liegen, wurde nach einem Ablauf der Zertifikate als mögliche Option in Betracht gezogen.
Doch aus uns bislang unbekannten Gründen wurde diese Laufzeitverlängerung per Software von der Gematik verworfen – selbst für die Konnektoren von Secunet und RISE, obwohl diese dafür bereits vorbereitet sein sollen. Mehr noch: Das finale Dokument der Laufzeitverlängerung mit der Revision 380694 wurde am 2. Mai 2022 aus der Spezifikation entfernt und ist nicht mehr aus dem Fachportal der Gematik abrufbar. Sie könne erst mit einer entsprechenden Gesellschafterentscheidung wieder aufgenommen werden, erklärte die Gematik auf Nachfrage.
Das BSI erklärte wiederum, dass es eine Laufzeitverlängerung der aktuellen RSA-Schlüssel mit einer Länge von 2048 Bit bis Ende 2025 tolerieren würde. Erst danach wären RSA-Schlüssel mit mindestens 3000 Bit notwendig. Software-Updates der Konnektoren würden gegebenenfalls eine neue Zertifizierung durch das BSI und Zulassung der Gematik erfordern.
Fazit
Nach unseren bisherigen Erkenntnissen existieren durchaus günstigere Alternativen zum Konnektortausch. Die Gematik hatte selbst ein Konzept zur Laufzeitverlängerung durch wiederholte Software-Updates vorgelegt. Wir von c’t haben bei unseren Untersuchungen keine technischen Hindernisse gefunden, die einen Kartentausch unmöglich machen würden – die Aussagen des BSI bestätigen dies. Wenn aber technische Gründe ausscheiden, stellt sich die Frage: Welche Rolle spielten wirtschaftliche Gründe der Hersteller bei der Entscheidung für den Konnektortausch? Antworten könnten die Sitzungsprotokolle der Gesellschafterversammlung vom Februar geben. Die Herausgabe hat die Gematik gegenüber c’t jedoch verweigert, weil sie nicht öffentlich seien.
Nachdem der Hersteller CGM seine Preise gesenkt hat, sollten Sie als Ärzte nicht denken, dass Ihnen keine Kosten entstehen. Laut Schiedsentscheidung sollen die gesetzlichen und privaten Krankenkassen den Ärzten für den Konnektortausch und weitere Software-Updates insgesamt 400 Millionen Euro erstatten. Dieses Geld fehlt dem Gesundheitstopf. Um die Lücke zu füllen, müssen die Kassen entweder die Beiträge der Versicherten erhöhen, oder aber das Budget der Ärzte kürzen – indem sie etwa den Punktwert bei der nächsten Verhandlungsrunde senken. Und da noch immer kein Termin für die Einführung der TI 2.0 feststeht, könnte der aktuelle Konnektortausch nicht der letzte bleiben.
Autor: Hartmut Gieselmann Leitender Redakteur / Managing Editor c’t – Magazin für Computertechnik Karl-Wiechert-Allee 10 D-30625 Hannover, Germany