Als speziell abgesicherte Router stellen die Konnektoren die Verbindung zur Telematikinfrastruktur (TI) her. Die Sicherheitszertifikate sind nur fünf Jahre gültig – statt die Gültigkeit zu verlängern, hatten die Gesellschafter der Gematik Anfang des Jahres entschieden, zumindest die Konnektoren der Jahrgänge 2017 und 2018 komplett tauschen zu lassen.

Das Computermagazin c’t hat in einem aktuellen Beitrag untersucht, ob sich die Zertifikate nicht doch austauschen lassen, statt gleich den gesamten Konnektor als Elektroschrott zu entsorgen. Mit einem Schraubendreher wurde die KoCoBox des Herstellers CompuGroup Medical (CGM) geöffnet, dazu mussten nur sechs Sicherheitsschrauben gelöst werden. Einen elektronischen Manipulationsschutz gab es nicht, nur zwei Klebesiegel, die sich ohne Probleme entfernen ließen und laut c’t von einem Techniker bei einer Reparatur erneuert werden könnten.

Karten einfach wieder eingesetzt

Auf der Hauptplatine saßen unter anderem drei kleine gSMC-K-Karten – Mini-Smart-Cards mit ebenjenen Krypto-Zertifikaten, die nach fünf Jahren ablaufen, wie es im Bericht heißt. Sie konnten zusammen mit der Stützbatterie problemlos entfernt und wieder eingesetzt werden. „Die KoCoBox bootete anschließend klaglos und konnte weiterverwendet werden.“ Sicherungen, die ein erneutes Pairing der Konnektor-Hardware mit einem frischen Satz gSMC-K-Karten verhindern würden, habe man nicht gefunden.

„Nach unseren Erkenntnissen spricht alles dafür, dass die gSMC-K-Karten zwar an die Konnektor-Hardware gebunden sind, aber offenbar nicht die Konnektor-Hardware an die gSMC-K-Karten. Demnach könnte man einen neuen Kartensatz mit frischen Zertifikaten für den Konnektor erstellen und den teuren Hardware-Tausch vermeiden.“

30, 400 oder 1600 Euro

Der Hersteller verlangt laut c’t für den Austausch rund 2200 Euro netto, davon entfielen knapp 1600 Euro auf die Hardware. Schon dieser Preis ist den Computerexperten zufolge zu hoch angesetzt, da die verbauten Teile dem Standard entsprechen und zusammen maximal 400 Euro in der Herstellung kosten sollten. Drei gSMC-K-Karten wären sogar für einen Herstellungspreis von zusammen gerade einmal 30 Euro zu beschaffen.

Bei den Konnektoren der anderen beiden Anbieter RISE und Secunet müssten noch nicht einmal die gSMC-KKarten ausgetauscht werden. Denn beide unterstützten eine Zertifikatsverlängerung per Software, was nicht nur von RISE selbst, sondern auch vom Bundesamt für Sicherheit in der Informationstechnik (BSI) gegenüber c’t bestätigt wurde.

Für die Computerexperten ist unverständlich, warum die Gematik alle Konnektoren austauschen will, obwohl das gar nicht nötig sei und auch keine Unterscheidung zwischen den Modellen der drei Hersteller mache. „Der offenbar vermeidbare Hardwaretausch entzieht dem Gesundheitssystem Geld, das nicht nur beim überlasteten Personal in den Kliniken und Praxen dringend benötigt wird.“

Risikoarme, aber teure Variante

Nach einer früheren Aussage eines Gematik-Sprechers hatten sich die Gesellschafter für die zum jetzigen Zeitpunkt „sichere, risikoarme Variante“ entschieden: Vor zwei Jahren waren 80.000 Konnektoren ausgefallen, nachdem ein Update fehlgeschlagen war. Für dieses und nächstes Jahr wurde schlicht keine sichere Möglichkeit gesehen.

Wie viele Konnektoren tatsächlich ausgetauscht werden müssen, ist nicht bekannt. Der Großteil der Apotheken und Arztpraxen hat sich lange Zeit gelassen bis zur Installation – und könnte von der teuren Aktion verschont bleiben: Spätestens 2025 soll nach jetzigem Zeitplan die Einführung der TI 2.0 abgeschlossen sein – wer seinen Konnektor also 2020 oder später installiert hat, könnte ihn dann also einfach abschalten und als Relikt der Vergangenheit sehen.