Bis Ende der Woche soll die Ausstellungsfunktion für digitale Impfzertifikate in die Telematikinfrastruktur (TI) migriert werden, kündigte das Bundesgesundheitsministerium (BMG) jüngst auf Nachfrage an. Nach Informationen von APOTHEKE ADHOC hat es auch Wort gehalten. Nur: Das nützt den Apotheken vorerst wenig. Denn wie mehrere Insider unabhängig voneinander berichten, müssen nun bei allen deutschen Apotheken Änderungen in den Netzwerkkonfigurationen vorgenommen werden, für die die jeweiligen Konnektorenanbieter verantwortlich sind. Bestenfalls dauert das einige Tage, schlimmstenfalls noch Wochen.
Die Zertifikatefunktion ist in der TI angekommen. Künftig wird das Portal zur Ausstellung digitaler Impfzertifikate nicht mehr über die URL www.mein-apothekenportal.de erreichbar sein, sondern über dav.impfnachweis.info. Auch das sogenannte TLS-Zertifikat hat die Seite bereits gestern, kurz nach der Migration, erhalten. Solche Zertifikate dienen der sicheren Datenübertragung im Internet und werden von allen gängigen Browsern vorausgesetzt – würde man die Seite ohne eines anwählen, würde der Browser warnen, dass das Zertifikat der Seite nicht gültig und die Seite deshalb unsicher sei. Das ist also nicht das Problem – das liegt ganz woanders.
Denn auch mit TLS-Zertifikat hätten die allermeisten Apotheken erst einmal nichts von der neuen Seite: Um sie über einen Browser anzuwählen, muss die richtige Route in den Konfigurationen angelegt werden, damit das System weiß, dass das Portal nicht im offenen Internet, sondern in der geschlossenen TI anzuwählen ist.
Das wiederum kann nicht zentral von Gematik oder DAV und erst recht nicht vom BMG vorgenommen werden. Stattdessen muss bei jeder Apotheke jeweils das Unternehmen die neue Route einrichten, das den Anschluss an die TI vorgenommen hat. Das sind in den meisten Fällen die großen Softwarehäuser wie Noventi, CGM, Pharmatechnik und ADG, aber auch der Anbieter Red Medical.
Und: Es ist alles andere als trivial. Nach Angaben von Beteiligten räumen die Softwarehäuser dem Vorhaben derzeit höchste Priorität ein – obwohl sie mit der technischen Vorbereitung für das Ausrollen des E-Rezepts gerade eigentlich schon alle Hände voll zu tun haben. Nun kommt also mitten in der Urlaubszeit unangekündigt diese Mammutaufgabe auf die Unternehmen zu. „Der einzelne Handgriff ist einfach, die Menge der Handgriffe ist das Problem“, sagt ein Vertreter eines Softwarehauses. Theoretisch ist pro Apotheke nur ein Aufwand von einigen Minuten notwendig, um die richtige Host-Route und das Kommando zur Erweiterung zu setzen. Doch auch die Techniker-Kapazitäten der großen Softwarehäuser sind angesichts von über 18.000 Apotheken begrenzt. „Ende der Woche ist illusorisch“, so die klare Ansage der EDV-Spezialisten.
Nachdem der DAV seinen Schritt gemacht und das Portal umgezogen hat, können die Softwarehäuser mit ihren Tests beginnen. Viel hängt von der Frage ab, wie sich der Prozess in der einzelnen Apotheke implementieren lässt. Im Idealfall könnten die Techniker in einigen Tagen alle Apotheken umstellen, wenn sie freie Hand haben. „Wenn die Apotheken selbst etwas machen müssen, dann reden wir nicht von Tagen, sondern von Wochen“, so der Vertreter eines Softwarehauses. Dies werde gerade bei den Anbietern geprüft. Wenn hier Klarheit besteht, wollen sich die Softwarehäuser mit dem DAV auf einen Termin verständigen, zu dem alle mit ihren Aufgaben durch sind.
Prinzipiell wäre es pro Softwarehaus möglich, für die Konfiguration einen Patch zu programmieren, den sich die Apotheken herunterladen können. Der Aufwand dafür würde nach Aussage von Beteiligten einige Tage betragen. „Je standardisierter eine Konfiguration vor Ort ist, desto einfacher ist es, das mit einem Patch zu machen“, sagt ein leitender Mitarbeiter eines Softwarehauses. Allerdings: „Es ist aber nahezu ausgeschlossen, dass alle Apotheken bei einem Anbieter mit denselben Konfigurationen arbeiten. Manche arbeiten seit 15 Jahren mit derselben EDV, manche seit sechs Monaten. Apotheken haben zum Beispiel unterschiedliche Firewalls. Mit einem Patch allen Apotheken zu ermöglichen, auf das Portal zuzugreifen, dürfte also kaum machbar sein.“ Er geht davon aus, dass höchstens die Hälfte aller jeweiligen Apothekenkunden mit dem Patch geholfen werden könne.
Für die andere Hälfte würde dann das folgen, was DAV und BMG vergangenen Freitag vorsichtig angedeutet haben: Dass die Apotheken „schrittweise wieder Zugriff auf das DAV-Portal“ erhalten. Heißt: Service-Einsätze in den Betrieben, eventuell auch per Fernwartung. „Wahrscheinlich wird es eine Mischung aus beiden Vorgehensweisen geben“, so einer der Beteiligten. Es werde womöglich auch Apotheken geben, die das nötige Technik-Knowhow haben, die Konfiguration selbst vorzunehmen, aber das wäre eher die Ausnahme. Die allermeisten bräuchten mit Sicherheit Unterstützung ihrer Softwarehäuser – und jede Apotheke werde verständlicherweise als erste dran sein wollen. „Das gibt Chaos nächste Woche. Wir bereiten bereits eine Information für unsere Kunden vor, um sie auf die Situation einzustellen.“ Möglich also, dass die Apotheken nur mit teils großem zeitlichen Abstand wieder Impfzertifikate ausstellen können.
Wenn es dann so weit ist, dürfte sich für die Apotheken aber außer der URL tatsächlich nicht viel ändern. „Der grundlegende Prozess der Ausstellung bleibt gleich“, erklärt das BMG dazu. Das gilt auch für die Authentifizierung. Neu ist dann, dass nur noch auf das Portal zugreifen kann, wer bereits einen TI-Zugang hat. Das könnte für neuen Unmut sorgen, denn laut einer aktuellen Aposcope-Umfrage waren Mitte Juli zehn Prozent der Apotheken, also rund 1800 Betriebe, noch nicht an die TI angeschlossen. „Die werden definitiv nicht mitspielen“, heißt es recht lapidar von den EDV-Anbietern.
Aus Sicht der beiden IT-Experten Dr. André Zilch und Martin Tschirsich, die die Sicherheitslücke aufgedeckt hatten, geht die neue Lösung allerdings am Problem vorbei. Denn die Anmeldung läuft wie gehabt: „Bitte nutzen Sie die Zugangsdaten, die Sie für www.mein-apothekneportal.de angelegt haben“, heißt es auf der neuen Seite. Was Zilch und Tschirsich aufgedeckt haben, war aber kein IT-Problem – sondern eklatantes Versagen des DAV bei der Prüfung jener Anträge für die Zugangsdaten. „Das ist ein Schritt in die richtige Richtung, löst das eigentliche Problem aber nicht. Wir befürworten, dass das Portal wieder online geht, wir hatten niemals eine Schließung gefordert“, sagt Zilch zur TI-Einbindung des Portals.
„Es bleibt abzuwarten, ob das die finale Lösung ist oder nur ein Zwischenschritt zu einer finalen Lösung, die die festgestellten Mängel behebt“, legt Tschirsich nach. „Wir befürworten eine Angleichung an das Sicherheitsniveau bei der Ausstellung der Zertifikate in den Arztpraxen.“ Die stellen ebenso über die TI aus – allerdings direkt in ihren Praxisverwaltungssystemen.
APOTHEKE ADHOC Debatte