Hacker wollen deutschem Gesundheitssystem Hunderte Millionen Euro einsparen – doch niemand zeigt Interesse
Arztpraxen in Deutschland stehen vor einem Problem: Die Hardware für die Abrechnung von Leistungen und das Ausstellen von E-Rezepten ist angeblich veraltet. Hacker fanden heraus, dass ein kostenloses Update das Problem lösen würde. Ein Hersteller hält den Tausch für die bessere Lösung – und könnte Kosten in Höhe von Hunderten Millionen Euro verursachen.
Deutschlands digitales Gesundheitswesen ist auf Konnektoren gebaut. Dabei handelt es sich um kleine graue Boxen, über die deutsche Arztpraxen an die sogenannte Telematik-Infrastruktur angebunden sind. Darüber wickeln die Praxen Leistungen ab und verschicken früher oder später auch E-Rezepte.
Der Preis für eine solche Box ist hoch: Der “Spiegel” schreibt, dass Preise bis zu 2300 Euro üblich sind – bezahlt durch die Krankenkassen. Allerdings ist das offenbar kein einmaliges Investment. Denn laut Hersteller müssen ältere Geräte regelmäßig getauscht werden, damit die Anbindung an das Gesundheitsdatennetz gewahrt bleibt. Das IT-Fachmagazin “Heise” appellierte bereits im August an Gesundheitsminister Karl Lauterbach, das zu unterbinden und alternative Lösungen zu finden. Nun fanden Hacker der Chaos-Computer-Club heraus, dass ein kostenloses Update eigentlich ausreichend wäre. Damit ließen sich Kosten in Höhe von Hunderten Millionen Euro vermeiden. Hören will das aber keiner – schon gar nicht die Hersteller der Konnektoren.
Immer diese Zertifikate
Der Grund für den bevorstehenden Austausch ist simpel: Die Zertifikate, die die Geräte, in deren Netzwerk eindeutig ausweisen, laufen ab. Man erinnere sich an den Zusammenbruch deutscher Kartenterminals – aus exakt diesem Grund. Außerdem, so Hersteller CGM Deutschland, der hinter der KoCoBox MED+ steckt, habe das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine maximale Laufzeit von fünf Jahren empfohlen. Sicherheitshalber.
In den Augen des Chaos-Computer-Clubs steckt dahinter eine Art “Kartell-ähnliches Geschäftsmodell”, denn nach nur fünf Jahren stünde den Herstellern durch den drohenden Ausfall der Boxen eine Bestellung über 130.000 Geräte ins Haus. Für den Club ist das “geplante Obsoleszenz”, also ein fix berechnetes Ableben der Geräte zugunsten der Bilanz.
Auftraggeber und Verbindungsstelle zwischen den Praxen und den Herstellern der Konnektoren ist die Gematik GmbH. Sie koordiniert die Infrastruktur und gehört zu 51 Prozent dem Gesundheitsministerium. Die restlichen Anteile halten die Bundesärztekammer, der deutsche Apothekerverband, die kassenärztliche Bundesvereinigung und weitere Spitzenorganisationen des deutschen Gesundheitswesens.
Von dort heißt es, man habe den Gesellschaftern zuletzt Ende August alle Optionen vorgeschlagen und den Tausch für die “beste Lösung” erklärt, schreibt das Fachmagazin “Heise“. Und das, obwohl zwei von drei Herstellern, namentlich Rise und Secunet, bereits die Möglichkeit geschaffen hatten, ein Softwareupdate einzuspielen. Lediglich CGM legte eine solche Lösung nicht vor – und entschied offenbar die Debatte für sich. Immerhin müssen nach Angaben der Gematik GmbH nicht alle Konnektoren getauscht werden, was sich positiv auf die zu erwartenden Kosten auswirke, schreibt “Heise” weiter.
Updates in Zukunft vielleicht möglich – aber “riskant”
Auch CGM meldete sich bei “Heise” und erklärte, dass die alten Geräte nicht fit für künftige Standards seien und daher ohnehin in den kommenden Jahren getauscht werden müssten. Eine Möglichkeit zur softwareseitigen Zertifikatsverlängerung bei neuen Geräten schloss CGM allerdings nicht aus.
Die anderen Hersteller schätzen die Lage ähnlich ein, schreibt der “Spiegel”. Aber: Secunet warnte davor, dass Softwareaktualisierungen “ein riskantes Geschäft” seien und im Falle eines Fehlschlags hohe Kosten für den Ausfall der Geräte entstünden.
Der CCC rechnet damit, dass sich das Austauschen der Geräte 2027 erneut fortsetzt – denn es gäbe derzeit keine verpflichtende Laufzeitverlängerung für CGM, Rise und Secunet. Dirk Engling, ein Sprecher des CCC, schreibt: “Hier will sich ein Kartell durch strategische Inkompetenz am deutschen Gesundheitssystem eine goldene Nase verdienen. Dabei werden immense Kosten für alle Versicherten, sinnloser Aufwand für einen Austausch bei allen Ärzten und tonnenweise Elektroschrott in Kauf genommen. Schlimmer noch: Eine Wiederholung des Debakels in fünf Jahren wird bereits vorbereitet.“
Kostenloses Update und Hilfe bei der Installation
Als Lösung – und ausgesprochen gute Werbung für den kritischen Bericht einer bislang recht unbekannten Problematik im deutschen Gesundheitswesen – präsentiert der CCC daher ein selbstgemachtes Update. Dies ermögliche es, die alten Geräte kostenlos mit neuen Zertifikaten auszustatten und die Laufzeit nahezu beliebig zu verlängern, heißt es. Einzige Ausnahme: Geräte, deren Sicherheitsschlüssel nicht mehr dem Stand der Technik entspricht und die daher bei Einführung neuer Standards tatsächlich inkompatibel wären.
Der Chaos-Computer-Club appelliert zum Schluss an Politik und Hersteller. Er fordert eine bessere Kontrolle der Verträge, die Verhinderung der Vernichtung einsatzfähiger Hardware und ehrliche Geschäftsmodelle. “Wenn die Gematik in Vertretung für das deutsche Gesundheitssystem das 400-Millionen-Euro-Geschenk annimmt”, heißt es am Schluss, “bietet der CCC den Praxen und Krankenhäusern Hilfe beim Einspielen der Patches an.”
Sollte alles so laufen wie von der Gematik GmbH und den Herstellern bislang geplant, steht den Krankenkassen – und damit jedem Beitragszahler – schon bald eine saftige Rechnung ins Haus.