FAQ rund um Konnektoren, deren geplanten Austausch und Alternativen zum Austausch

Der secunet konnektor sorgt für eine sichere Anbindung von Arztpraxen, Krankenhäusern und anderen medizinischen Leistungserbringern an die Telematikinfrastruktur (TI), das Datennetzwerk des deutschen Gesundheitswesens. Die Digitalisierung des Gesundheitssektors ist durchaus ein komplexes Thema und wirft immer wieder Fragen auf. Hier liefern wir Antworten auf die gängigsten Fragen rund um die Konnektoren sowie insbesondere deren geplanten Austausch. Sind Sie Journalist*in oder Blogger*in und haben weitere Fragen, die von diesem FAQ nicht abgedeckt werden, können Sie sich gern über das untenstehende Kontaktformular an uns wenden.

Stand: 24. Oktober 2022

Zweck der Telematikinfrastruktur (TI) ist es, die Beteiligten im Gesundheitswesen – Patienten, Arztpraxen, Krankenhäuser, Apotheken, Krankenkassen und weitere Instanzen – digital miteinander zu verbinden, um medizinische Informationen austauschen zu können. Der Grundstein für die TI wurde 2005 mit der Gründung der Betreibergesellschaft gematik gelegt. Sie wurde so angelegt, dass der sichere Zugang für Arztpraxen, Krankenhäuser und andere medizinische Leistungserbringer über Hardware-basierte Konnektoren erfolgt. Die Konnektoren müssen für eine Zulassung die Spezifikationen der gematik erfüllen. secunet hat nach den damals gültigen Spezifikationen einen Konnektor entwickelt und ab Dezember 2018 ausgeliefert.

Die Gesamtsicherheit der TI wird durch viele Sicherheitsschichten realisiert und im Zusammenspiel von technischen, organisatorischen und regulatorischen Maßnahmen erreicht. Insgesamt führt dies zur gewünschten Leistungsfähigkeit und Sicherheit bei gleichzeitiger Resilienz der Infrastruktur. Zu den organisatorischen Maßnahmen gehören zum Beispiel der physische Schutz eines Konnektors in der Praxis oder etwa die besonderen Anforderungen an die Dienstleister vor Ort zur Lagerung und zum Transport der Geräte zu den Verwendungsstellen. Die Gesamtheit der Sicherheitsmaßnahmen bedeutet durchaus einen hohen Aufwand, dient aber einem wichtigen Zweck: dem Schutz der Patientendaten.

Die TI bildet über die Vernetzung die Grundlage für digitale medizinische Fachanwendungen wie die elektronische Patientenakte (ePA), das Notfalldatenmanagement oder das eRezept.

Derzeit wird die TI 2.0 entwickelt, die voraussichtlich ohne Hardware-Konnektoren in Arztpraxen etc. auskommen wird.


Patientendaten werden in Deutschland als hoch schützenswertes Gut eingestuft. Die TI verarbeitet diese Daten umfänglich beispielsweise durch die Einbindung der elektronischen Patientenakte. Um diesem Sicherheitsniveau und Schutzbedarf gerecht zu werden, müssen alle beteiligten Komponenten entsprechende Prüfungen durchlaufen und Vorgaben erfüllen.

Der Konnektor als eine Komponente in der TI wird strikt nach Spezifikationen der gematik entwickelt. Bei der Entwicklung müssen bereits eine Vielzahl von Sicherheitsmaßnahmen getroffen werden, wie der Schutz des Quellcodes, sichere Programmierungsmethoden oder intensive Penetrationstests. Selbst die Räumlichkeiten, in denen die Entwicklung stattfindet, unterliegen Vorgaben. Dies gilt auch für die verschiedenen Entwicklungsumgebungen.

Die Komponenten unterliegen parallel und im Anschluss neben den herstellereigenen Tests verschiedenen Tests, die durch die gematik durchgeführt werden (Sicherheit, Interoperabilität, Spezifikationskonformität, etc.) . Parallel müssen die Komponenten eine Sicherheitszertifizierung durchlaufen. Zuständig dafür ist das Bundesamt für Sicherheit in der Informationstechnik, das in Kombination mit einer unabhängigen Prüfstelle und dem Hersteller das Gerät und die Software umfänglich in mehreren Iterationen auf Herz und Nieren prüft, bevor eine Zertifizierung ausgesprochen wird.

Die Zertifizierung umfasst ebenfalls eine sichere Produktionsumgebung der Hardware mit entsprechenden baulichen Maßnahmen und mündet in eine Vorgabe zur sicheren Lieferung bis in die Arztpraxis.

Ein Konnektor ist nur insofern mit einem herkömmlichen Router vergleichbar, als dass in Teilen ähnliche Funktionen umgesetzt werden. Doch der Herstellungsprozess und das Sicherheitsniveau sind auf einem völlig anderen Level. Ein Standardauto und ein Geldtransporter sind beides Fahrzeuge und fahren von A nach B, aber sie erfüllen unterschiedliche Zwecke und sind daher in puncto Sicherheit, Aufbau, Tests und Vorgaben völlig unterschiedliche Systeme.


Grundsätzlich folgt secunet den Vorgaben der gematik. Die Sicherheit der Konnektoren für die Telematikinfrastruktur (TI) stützt sich wesentlich auf die Kryptographie einer Smartcard, der sogenannten gSMC-K. Diese ist systemisch mit dem Konnektor verbunden. Die Gültigkeit der Zertifikate auf der gSMC-K läuft gemäß den Sicherheitsvorgaben in der TI nach fünf Jahren ab. Laut dem aktuell gültigen Sicherheitskonzept sind die Konnektoren daraufhin weder einsetzbar noch kann die Karte ersetzt werden, ohne Sicherheitsauflagen zu verletzen. Solange das Sicherheitskonzept keine anderen Lösungen vorsieht, muss zu dem Zeitpunkt ein neuer Konnektor verwendet werden, der mit einer gSMC-K mit aktuellem Schlüsselmaterial ausgestattet ist.

Es gibt allerdings eine Einschränkung: Seit September 2020 stattet secunet – damals als erster Hersteller – seine Konnektoren mit kryptographischen Schlüsseln der nächsten Generation „ECC“ aus. Bei diesen Geräten wäre aus Sicht von secunet eine Zertifikatsverlängerung als Alternative für den Austausch die beste Vorgehensweise. Voraussetzung dafür wären entsprechende Vorgaben der gematik und Anpassungen in der TI.


Der Rollout der secunet Konnektoren startete im Dezember 2018. Die ersten Geräte sind also spätestens zu Ende 2023 zu ersetzen, wenn die Spezifikation keine Möglichkeit zur Zertifikatsverlängerung vorsieht. secunet bereitet sich entsprechend auf den Austausch von Geräten zum jeweiligen Ablaufdatum vor. Der Austausch bedarf einer frühzeitigen Planung durch sämtliche beteiligten Unternehmen und somit einigen zeitlichen Vorlauf.

secunet Konnektoren werden seit September 2020 mit kryptographischen Schlüsseln der nächsten Generation „ECC“ ausgestattet. Bei diesen Geräten besteht die (derzeit noch theoretische) Möglichkeit einer Laufzeitverlängerung der Zertifikate, so dass sie nicht ausgetauscht werden müssten, falls künftig eine entsprechende Vorgabe der gematik vorliegen sollte (siehe den folgenden Eintrag in diesem FAQ).


Die Zertifikatsverlängerung war zu einem früheren Zeitpunkt Bestandteil der gematik Spezifikationen und wurde damals auch von secunet in der Konnektor-Software umgesetzt. Die aktuell gültige Spezifikation sieht diese Zertifikatsverlängerung so nicht mehr vor, daher ist die Funktion in dem aktuellen Softwarestand nicht enthalten. Generell gilt: Aufgrund der regulatorischen Vorgaben kann secunet grundsätzlich nur implementieren, was die gematik in ihren Spezifikationen vorgibt. Code, der nicht verwendet wird, ist wenn möglich zu entfernen. Nur bei der Erfüllung bzw. Einhaltung der Vorgaben erhält der Konnektor die Zulassung.

Technisch kann die Funktion der Zertifikatsverlängerung erneut implementiert werden, wenn die Spezifikation der gematik dies ermöglicht und die gematik die Rahmenbedingungen dafür schafft. Eine Zertifikatsverlängerung muss nicht nur bei den Konnektoren, sondern auch den entsprechenden Gegenstellen umgesetzt werden, um sie nutzen zu können. Die Laufzeit verlängert sich bei den Konnektoren ohne ECC-Schlüssel je nach Vorgabe durch gematik/BSI nach aktuellen Informationen bis max. 2024 oder 2025. Jedoch bleibt zu bedenken, dass jede Softwareversion der Konnektoren umfangreiche Tests und eine Zertifizierung bzw. eine Zulassung durchlaufen muss, damit ein zuverlässiger und reibungsloser Betrieb möglich ist. Vor allem die Prüfung der Funktionen im Zusammenspiel mit den anderen Komponenten der Telematikinfrastruktur (Infrastrukturkomponenten, Fachdienste und -anwendungen etc.) ist ein (zeit-)aufwändiger Prozess, an dessen Ende die Freigabe durch die gematik steht.

Ein Teil der secunet Konnektoren im Feld (aktuell ca. ein Viertel) basieren bereits auf den moderneren ECC-Schlüsseln. Diese Konnektoren könnten per Zertifikatsverlängerung (vorausgesetzt, es existiert künftig eine entsprechende Spezifikation der gematik) auch weit über 2025 hinaus betrieben werden und ein Konnektortausch wäre voraussichtlich bis zur TI 2.0 nicht notwendig.

secunet unterstützt diese Möglichkeit ausdrücklich.

Bei Konnektoren basierend auf den älteren RSA-Schlüsseln (ohne ECC) hingegen kann durch die zeitliche Einschränkung ein Tausch aus unserer Sicht ökonomischer sein, falls die TI 2.0 erst nach Ablauf der maximalen Laufzeit der Zertifikate für RSA-Schlüssel verfügbar sein sollte. Somit können zwei Eingriffe in der Praxis (Zertifikatsverlängerung und späterer Tausch) auf einen reduziert werden.

Ein Zertifikatstausch  durch physischen Austausch der im Konnektor verbauten Smartcards vor Ort ist aktuell nicht vorgesehen und widerspricht dem aktuellen Sicherheitskonzept der Telematikinfrastruktur (z.B. physische Unversehrtheit des Geräts). Für die sichere Einbringung der SMC-K in den Konnektor, die Versiegelung des Konnektors, den Transport zur Arztpraxis und die anschließende Registrierung des Konnektors in der TI stehen stets Vertrauenswürdigkeit und Unverfälschtheit entlang des gesamten Prozesses an erster Stelle. Deswegen erfolgen diese Prozessschritte auch nur unter dedizierten Rahmenbedingungen und in speziellen vertrauenswürdigen Umgebungen.

Ein physischer Austausch vor Ort würde voraussichtlich eine umfangreichere Adaption des Sicherheitskonzeptes erfordern und neben der Änderung des Sicherheitskonzepts unter anderem Anpassungen in Bereichen der Spezifikationen, der Softwareentwicklung, der Tests, dem sicheren Transport und der Installation durch Dienstleister vor Ort mit sich ziehen. Dieser Aspekt sollte bei der Betrachtung des Zeitaufwands und der Kosten mitberücksichtigt werden.

Ein softwareseitiger (remote) Austausch von Zertifikaten ist aktuell ebenfalls nicht vorbereitet. Er birgt eine Vielzahl von Risiken und erfordert entsprechende technologische Rahmenbedingungen. Das Risiko besteht insbesondere darin, dass, wenn ein solcher Zertifikatstausch fehlschlägt, die Konnektoren vorerst nicht nutzbar sind und dies einen kostenaufwändigen Einsatz von Fachkräften in der Praxis notwendig macht, ähnlich zum Vorgehen beim TI-Ausfall im Mai 2020.

Grundsätzlich ist secunet daran interessiert, dass Digitalisierungsprojekte gleichermaßen Sicherheit, Nutzerfreundlichkeit, Nachhaltigkeit und Effizienz bieten. In unserer Zusammenarbeit mit staatlichen Institutionen, Betreibern kritischer Infrastrukturen und der Industrie haben wir immer wieder gezeigt, dass wir für moderne Sicherheits- und Betriebskonzepte stehen.

secunet arbeitet außerdem an der nächsten Generation der Konnektoren, die dann als zentraler Dienst im Rechenzentrum ausgeführt werden können.


Alternativen für den Konnektortausch werden seit Jahren diskutiert. Insofern bringt der Vorschlag des Chaos Computer Clubs weder inhaltlich noch technologisch grundsätzlich neue Erkenntnisse.

Eine Zertifikatsverlängerung war zu einem früheren Zeitpunkt bereits Bestandteil der Spezifikationen und wurde von secunet zu diesem Zeitpunkt in der Konnektor-Software implementiert. Die aktuelle Spezifikation sieht die Zertifikatsverlängerung nicht mehr vor, daher ist diese auch nicht in der aktuellen secunet Konnektor-Software enthalten. Eine Zertifikatsverlängerung für Konnektoren mit dem moderneren ECC-Schlüsselmaterial würde secunet ausdrücklich befürworten.

Ein softwareseitiger Austausch von Zertifikaten (im Gegensatz zur Zertifikatsverlängerung) ist allerdings mit einer Vielzahl von Risiken verbunden (siehe den vorangehenden Eintrag in diesem FAQ) und wird von secunet daher nicht empfohlen.

Zudem würden auch für eine durch den Chaos Computer Club überlassene Software die üblichen Prüf-, Zertifizierungs-, Sicherheits- und Zulassungsanforderungen (einschließlich Dokumentationspflichten) gelten.


Der secunet konnektor hat sich bei dem Reverse Engineering wie erwartet und gemäß der zugrundeliegenden Spezifikation verhalten. Unsere ausführliche Kommentierung findet sich hier:

https://www.secunet.com/ueber-uns/news-events/artikel/reverse-engineering-des-secunet-konnektors


Der Preis für einen secunet konnektor setzt sich aus einer Reihe von Komponenten zusammen. Neben den reinen Kosten für die Elektronikkomponenten, die aktuell auch durch den weltweiten Halbleitermangel enorm gestiegen sind, werden auf die einzelnen Konnektoren auch die Fertigungs- und Entwicklungskosten sowie Kosten für ausgiebige Funktions- und Kompatibilitätstests und das aufwändige Zulassungsverfahren umgelegt.

Zudem vertreibt secunet den Konnektor nicht direkt, sondern liefert ihn an Partner, die ihn wiederum in ihr Angebot integrieren und so an die medizinischen Leistungserbringer vertreiben. Diese Partner müssen bei der Logistik eine Reihe von gematik und BSI Vorgaben beachten, wie zum Beispiel die sichere Lagerung und den nachweislich sicheren Transport. Nicht zuletzt ist auch der Aufwand für die Installation vor Ort in der Praxis in der Finanzierungpauschale für den Austausch des Konnektors enthalten.

Der secunet konnektor wird vollständig in Deutschland entwickelt und in Deutschland und Österreich gefertigt.


Der Konnektormarkt ist offen für jeden, der daran teilnehmen will. Die Marktteilnehmer müssen allerdings bereit sein, intensiv in die Produktentwicklung und vor allem in den Zulassungsprozess zu investieren.

Unser Beispiel zeigt das: secunet hat sich erst spät entschieden, in diesen Markt einzutreten, und zwar selbst finanziert, mit hohem Invest und auf eigenes unternehmerisches Risiko.

Im Übrigen sollte bedacht werden, dass es sich bei dem Markt für TI-Konnektoren im Vergleich zum Markt für DSL-Router um einen sehr begrenzten Markt handelt.


Bei weiteren Fragen können sich Journalist*innen und Blogger*innen gern über das folgende Kontaktformular an uns wenden.

Kontaktanfrage
Sie haben ein Anliegen fürunseren Pressebereich?
Sie haben ein Anliegen fürunseren Pressebereich?

Wir freuen uns über Ihre Nachricht.

Seite 1
captcha