Flüpke vom Chaos Computer Club (CCC) hat auch den Konnektor von Compugroup Medical (CGM) geknackt: Damit müsste aus seiner Sicht kein Austausch der Hardware stattfinden. Stattdessen könnten durch ein Softwareupdate bis zu 400 Millionen Euro gespart werden.
Aus Sicherheitsgründen haben viele Zertifikate ein Verfallsdatum und müssen regelmäßig erneuert werden – ein Umstand, für dessen Lösung es laut CCC seit langem etablierte technische Verfahren gibt. Umso erstaunlicher sei die Tatsache, dass die Gematik keine Verlängerungsmöglichkeit für ihre Konnektoren vorgeschrieben habe: „Die Hersteller können sich nun über den Verkauf komplett neuer Geräte freuen, statt ein einfaches Software-Update anbieten zu müssen.“
Dabei wäre eine Verlängerung – anders als immer wieder verlautbart – durchaus möglich: So konnten sich Flüpke und ein Kollege mit Hilfe eines Lötkolbens und einiger spezieller Skripte Zugang auf die Software verschaffen: „Diese Forschung zeigte, dass die auf den Konnektoren laufenden Open-Source-Komponenten mit sehr wenig Aufwand überredet werden können, neben den auslaufenden Zertifikaten einen zusätzlichen Strauß an erneuerten Zertifikaten zu benutzen.“ Mit diesem Wissen sei ein entsprechendes Softwareupdate „nur noch eine Fingerübung“.
Das Ergebnis stellt der CCC nun „den augenscheinlich überforderten Herstellern“ als „Spende“ zur Verfügung. Die Gematik wird aufgefordert, die Codes zur Verfügung zu stellen, um die neuen Zertifikate vor dem Aufspielen auf die Konnektoren signieren zu können. Auch den Praxen und Krankenhäusern biete man Hilfe beim Einspielen der Updates an. „Mit diesem Angebot wollen wir sicherstellen, dass bei den Herstellern nicht noch überraschend auftretende logistische Probleme die kostengünstigere Alternative verhindern.“
Gleichzeitig appellieren die IT-Experten an die Politik, das „400-Millionen-Euro-Geschenk“ an die Softwareanbieter abzusagen: „Hier will sich ein Kartell durch strategische Inkompetenz am deutschen Gesundheitssystem eine goldene Nase verdienen.“ Zwar habe die Gematik eine „unverbindliche Option zur Laufzeitverlängerung“ vorgeschlagen, diese sei aber nicht von allen Herstellern umgesetzt worden. „Dabei werden immense Kosten für alle Versicherten, sinnloser Aufwand für einen Austausch bei allen Ärzten und tonnenweise Elektroschrott in Kauf genommen“, sagte Dirk Engling, Sprecher des Chaos Computer Clubs. „Schlimmer noch: Eine Wiederholung des Debakels in fünf Jahren wird bereits vorbereitet.“
Denn auch die jetzt zum Austausch vorgesehenen Konnektoren hätten nur eine fünfjährige Lebensdauer – und bis dato gebe es noch keine verpflichtende Laufzeitverlängerung. Schon im Jahr 2027 könne sich diese „kostenintensive Blamage“ daher wiederholen.
„Im Lichte der fortwährenden Geldverbrennung in der TI fordert der CCC das Bundesgesundheitsministerium auf, die Gematik an eine kürzere Leine zu nehmen und dem Pfusch bei Ausschreibungen und in den Verträgen ein Ende zu setzen. Weiter fordert der CCC das Umweltministerium auf, gangbare Wege auszuloten, die allein schon aus Nachhaltigkeitsgesichtspunkten völlig sinnlose tausendfache Vernichtung einsatzfähiger Hardware zu verhindern.“
Schließlich appelliert der CCC an die Hersteller der Konnektoren, dass sie sich ehrliche Wege für ihren Broterwerb suchen. Denn: „Wenn die beauftragten Hersteller von TI-Konnektoren selbst mit so trivialen Aufgaben wie einer Erneuerung der Zertifikate überfordert sind, drängt sich doch die Frage auf, ob nicht die Vergabekriterien und Verträge der Gematik verschärft und kompetentere Wettbewerber gefunden werden müssen“, so Engling.
APOTHEKE ADHOC Debatte