FAQ rund um Konnektoren, deren geplanten Austausch und Alternativen zum Austausch

Zweck der Telematikinfrastruktur (TI) ist es, die Beteiligten im Gesundheitswesen – Patienten, Arztpraxen, Krankenhäuser, Apotheken, Krankenkassen und weitere Instanzen – digital miteinander zu verbinden, um medizinische Informationen austauschen zu können. Der Grundstein für die TI wurde 2005 mit der Gründung der Betreibergesellschaft gematik gelegt. Sie wurde so angelegt, dass der sichere Zugang für Arztpraxen, Krankenhäuser und andere medizinische Leistungserbringer über Hardware-basierte Konnektoren erfolgt. Die Konnektoren müssen für eine Zulassung die Spezifikationen der gematik erfüllen. secunet hat nach den damals gültigen Spezifikationen einen Konnektor entwickelt und ab Dezember 2018 ausgeliefert.

Die Gesamtsicherheit der TI wird durch viele Sicherheitsschichten realisiert und im Zusammenspiel von technischen, organisatorischen und regulatorischen Maßnahmen erreicht. Insgesamt führt dies zur gewünschten Leistungsfähigkeit und Sicherheit bei gleichzeitiger Resilienz der Infrastruktur. Zu den organisatorischen Maßnahmen gehören zum Beispiel der physische Schutz eines Konnektors in der Praxis oder etwa die besonderen Anforderungen an die Dienstleister vor Ort zur Lagerung und zum Transport der Geräte zu den Verwendungsstellen. Die Gesamtheit der Sicherheitsmaßnahmen bedeutet durchaus einen hohen Aufwand, dient aber einem wichtigen Zweck: dem Schutz der Patientendaten.

Die TI bildet über die Vernetzung die Grundlage für digitale medizinische Fachanwendungen wie die elektronische Patientenakte (ePA), das Notfalldatenmanagement oder das eRezept.

Derzeit wird die TI 2.0 entwickelt, die voraussichtlich ohne Hardware-Konnektoren in Arztpraxen etc. auskommen wird.

Patientendaten werden in Deutschland als hoch schützenswertes Gut eingestuft. Die TI verarbeitet diese Daten umfänglich beispielsweise durch die Einbindung der elektronischen Patientenakte. Um diesem Sicherheitsniveau und Schutzbedarf gerecht zu werden, müssen alle beteiligten Komponenten entsprechende Prüfungen durchlaufen und Vorgaben erfüllen.

Der Konnektor als eine Komponente in der TI wird strikt nach Spezifikationen der gematik entwickelt. Bei der Entwicklung müssen bereits eine Vielzahl von Sicherheitsmaßnahmen getroffen werden, wie der Schutz des Quellcodes, sichere Programmierungsmethoden oder intensive Penetrationstests. Selbst die Räumlichkeiten, in denen die Entwicklung stattfindet, unterliegen Vorgaben. Dies gilt auch für die verschiedenen Entwicklungsumgebungen.

Die Komponenten unterliegen parallel und im Anschluss neben den herstellereigenen Tests verschiedenen Tests, die durch die gematik durchgeführt werden (Sicherheit, Interoperabilität, Spezifikationskonformität, etc.) . Parallel müssen die Komponenten eine Sicherheitszertifizierung durchlaufen. Zuständig dafür ist das Bundesamt für Sicherheit in der Informationstechnik, das in Kombination mit einer unabhängigen Prüfstelle und dem Hersteller das Gerät und die Software umfänglich in mehreren Iterationen auf Herz und Nieren prüft, bevor eine Zertifizierung ausgesprochen wird.

Die Zertifizierung umfasst ebenfalls eine sichere Produktionsumgebung der Hardware mit entsprechenden baulichen Maßnahmen und mündet in eine Vorgabe zur sicheren Lieferung bis in die Arztpraxis.

Ein Konnektor ist nur insofern mit einem herkömmlichen Router vergleichbar, als dass in Teilen ähnliche Funktionen umgesetzt werden. Doch der Herstellungsprozess und das Sicherheitsniveau sind auf einem völlig anderen Level. Ein Standardauto und ein Geldtransporter sind beides Fahrzeuge und fahren von A nach B, aber sie erfüllen unterschiedliche Zwecke und sind daher in puncto Sicherheit, Aufbau, Tests und Vorgaben völlig unterschiedliche Systeme.

Grundsätzlich folgt secunet den Vorgaben der gematik. Die Sicherheit der Konnektoren für die Telematikinfrastruktur (TI) stützt sich wesentlich auf die Kryptographie einer Smartcard, der sogenannten gSMC-K. Diese ist systemisch mit dem Konnektor verbunden. Die Gültigkeit der Zertifikate auf der gSMC-K läuft gemäß den Sicherheitsvorgaben in der TI nach fünf Jahren ab. Danach muss ein neuer Konnektor verwendet werden, der mit einer gSMC-K mit aktuellem Schlüsselmaterial ausgestattet ist. Alternativ kann eine Laufzeitverlängerung (LZV) vorgenommen werden. Nähere Informationen finden Sie hier.

Die Produktion der secunet Konnektoren startete im November 2018. Die ersten Geräte sind also spätestens zu Ende 2023 zu ersetzen, wenn Sie sich gegen eine Zertifikatsverlängerung entscheiden. secunet bereitet sich entsprechend auf den Austausch von Geräten zum jeweiligen Ablaufdatum vor. Der Austausch bedarf einer frühzeitigen Planung durch sämtliche beteiligten Unternehmen und somit einigen zeitlichen Vorlauf.

Bei allen Geräten (RSA, ECC) besteht die Möglichkeit einer Laufzeitverlängerung der Zertifikate, so dass sie nicht ausgetauscht werden müssten (siehe den folgenden Eintrag in diesem FAQ).

Alle relevanten Informationen zur Laufzeitverlängerung (LZV) finden Sie hier.

Die Laufzeitverlängerung (LZV) ist Bestandteil der gematik Spezifikationen und in dem Release PTV5#WR3 von secunet umgesetzt. Daher können secunet konnektoren, die vor dem 01.01.2021 ausgestellte Zertifikaten aufweisen, per Softwareupdate mit einer Laufzeitverlängerung bis Ende 2025 ausgestattet werden - unabhängig davon, ob Sie mit ECC- oder RSA-Schlüsseln eingerichtet sind. Dafür muss die Firmware auf PTV5#WR3 (voraussichtlich verfügbar ab 08/2023) aktualisiert werden, so dass der Konnektor die Funktionalitäten für die Laufzeitverlängerung erhält. Die Lizenz zur Freischaltung der Funktionalitäten kann rechtzeitig bei Ihrem Vertragspartner erworben werden. Weitere Informationen finden Sie hier.

secunet unterstützt diese Möglichkeit ausdrücklich.

Ein Zertifikatstausch  durch physischen Austausch der im Konnektor verbauten Smartcards vor Ort ist aktuell nicht vorgesehen und widerspricht dem aktuellen Sicherheitskonzept der Telematikinfrastruktur (z.B. physische Unversehrtheit des Geräts). Für die sichere Einbringung der SMC-K in den Konnektor, die Versiegelung des Konnektors, den Transport zur Arztpraxis und die anschließende Registrierung des Konnektors in der TI stehen stets Vertrauenswürdigkeit und Unverfälschtheit entlang des gesamten Prozesses an erster Stelle. Deswegen erfolgen diese Prozessschritte auch nur unter dedizierten Rahmenbedingungen und in speziellen vertrauenswürdigen Umgebungen.

Ein physischer Austausch vor Ort würde voraussichtlich eine umfangreichere Adaption des Sicherheitskonzeptes erfordern und neben der Änderung des Sicherheitskonzepts unter anderem Anpassungen in Bereichen der Spezifikationen, der Softwareentwicklung, der Tests, dem sicheren Transport und der Installation durch Dienstleister vor Ort mit sich ziehen. Dieser Aspekt sollte bei der Betrachtung des Zeitaufwands und der Kosten mitberücksichtigt werden.

Ein softwareseitiger (remote) Austausch von Zertifikaten ist aktuell ebenfalls nicht vorbereitet. Er birgt eine Vielzahl von Risiken und erfordert entsprechende technologische Rahmenbedingungen. Das Risiko besteht insbesondere darin, dass, wenn ein solcher Zertifikatstausch fehlschlägt, die Konnektoren vorerst nicht nutzbar sind und dies einen kostenaufwändigen Einsatz von Fachkräften in der Praxis notwendig macht, ähnlich zum Vorgehen beim TI-Ausfall im Mai 2020.

Grundsätzlich ist secunet daran interessiert, dass Digitalisierungsprojekte gleichermaßen Sicherheit, Nutzerfreundlichkeit, Nachhaltigkeit und Effizienz bieten. In unserer Zusammenarbeit mit staatlichen Institutionen, Betreibern kritischer Infrastrukturen und der Industrie haben wir immer wieder gezeigt, dass wir für moderne Sicherheits- und Betriebskonzepte stehen.

secunet arbeitet außerdem an der nächsten Generation der Konnektoren, die dann als zentraler Dienst im Rechenzentrum ausgeführt werden können.

Der secunet konnektor hat sich bei dem Reverse Engineering wie erwartet und gemäß der zugrundeliegenden Spezifikation verhalten. Unsere ausführliche Kommentierung findet sich hier:

https://www.secunet.com/ueber-uns/news-events/artikel/reverse-engineering-des-secunet-konnektors

Der Preis für einen secunet konnektor setzt sich aus einer Reihe von Komponenten zusammen. Neben den reinen Kosten für die Elektronikkomponenten, die aktuell auch durch den weltweiten Halbleitermangel enorm gestiegen sind, werden auf die einzelnen Konnektoren auch die Fertigungs- und Entwicklungskosten sowie Kosten für ausgiebige Funktions- und Kompatibilitätstests und das aufwändige Zulassungsverfahren umgelegt.

Zudem vertreibt secunet den Konnektor nicht direkt, sondern liefert ihn an Partner, die ihn wiederum in ihr Angebot integrieren und so an die medizinischen Leistungserbringer vertreiben. Diese Partner müssen bei der Logistik eine Reihe von gematik und BSI Vorgaben beachten, wie zum Beispiel die sichere Lagerung und den nachweislich sicheren Transport. Nicht zuletzt ist auch der Aufwand für die Installation vor Ort in der Praxis in der Finanzierungpauschale für den Austausch des Konnektors enthalten.

Der secunet konnektor wird vollständig in Deutschland entwickelt und in Deutschland und Österreich gefertigt.

Der Konnektormarkt ist offen für jeden, der daran teilnehmen will. Die Marktteilnehmer müssen allerdings bereit sein, intensiv in die Produktentwicklung und vor allem in den Zulassungsprozess zu investieren.

Unser Beispiel zeigt das: secunet hat sich erst spät entschieden, in diesen Markt einzutreten, und zwar selbst finanziert, mit hohem Invest und auf eigenes unternehmerisches Risiko.

Im Übrigen sollte bedacht werden, dass es sich bei dem Markt für TI-Konnektoren im Vergleich zum Markt für DSL-Router um einen sehr begrenzten Markt handelt.