In deutschen Arztpraxen werden in den kommenden Monaten schätzungsweise 100 Tonnen Elektroschrott anfallen. Das klingt nach nicht so viel, aber es sind 100 Tonnen sehr teurer Elektronikschrott, die nach Ansicht des Chaos Computer Clubs (CCC) problemlos und vor allem billig vermeidbar wären. Das deutsche Gesundheitswesen soll digitaler werden, damit Ärztinnen und Ärzte schnell lebenswichtige Informationen bekommen, Patientinnen und Patienten besser versorgt werden können. Die gematik ist die Gesellschaft, die diese Vernetzung und Digitalisierung vorantreiben soll und die dazu an Dingen wie dem digitalen Rezept und der digitalen Patientenakte arbeitet. Schon jetzt wickeln Arztpraxen beispielsweise die Abrechnung von Leistungen mit den Krankenkassen komplett digital ab.
Damit all das funktioniert, müssen Praxen und auch Apotheken hierzulande sicher kommunizieren und Daten an das Gesundheitswesen übermitteln können. Das geschieht über besondere Internetrouter, Konnektoren genannt, die dafür eine gesicherte Internetverbindung herstellen. Doch die bisherigen Router funktionieren demnächst nicht mehr und sollen nach dem Willen der gematik durch neue ersetzt werden. Diese neuen Geräte, die alle Ärztinnen und Ärzte als Ersatz für die alten Konnektoren zwingend anschaffen müssen, kosten pro Stück mehr als 2.300 Euro. Das Geld sollen die Praxen erstattet bekommen, was nur bedeutet, dass der Austausch die deutschen Beitragszahler- und zahlerinnen in der Summe wohl 300 Millionen Euro kosten wird. Sie wiegen zwischen 600 und 900 Gramm, insgesamt also um die 100 Tonnen. Dieses Geld und diesen Schrottberg würde der Chaos Computer Club gern einsparen.
Carl Fabian Lüpke, der am liebsten unter seinem Alias Fluepke auftritt, hat einen Weg dazu gefunden. Fluepke ist ein freundlicher junger Mensch mit pink gefärbten Haaren, der beruflich mit der gematik und ihren technischen Ideen zu tun hat und dem es Spaß macht, sich auch in seiner Freizeit damit zu beschäftigen. Er nimmt beispielsweise Konnektoren auseinander, um zu verstehen, wie sie funktionieren und warum sie das ab diesem Herbst nicht mehr tun. Denn die Geräte müssen nicht etwa getauscht werden, weil sie kaputt wären, das sind sie nicht. Lediglich die Gültigkeit eines Sicherheitszertifikats in ihnen, eine Art digitale Unterschrift, läuft ab.
Die Hersteller und die gematik argumentieren aus verschiedenen Gründen – zu diesen gleich mehr – sei es nötig, den gesamten Router zu tauschen. Doch Fluepke und mit ihm der CCC sind anderer Meinung. Fluepke sitzt in den Berliner Räumen des Chaos Computer Clubs und sagt leise, aber bestimmt: "Es ist Pfuscherei, dass sie die Konnektoren mit einem eingebauten Ablaufdatum verkaufen und dass sie die Laufzeit der Geräte nicht mit einer Softwarelösung verlängern. Das ist eine Nicht-Lösung und es macht mich wirklich wütend, wie viel Geld dafür verbrannt werden soll."
Eine Unterschrift mit Verfallsdatum
Grund für den Austausch sind zunächst zwei Probleme. Arztpraxen müssen die sensiblen Daten ihrer Patienten sicher übertragen können. Dazu baut der Konnektor eine verschlüsselte Verbindung auf. Damit er das kann, sind in den Geräten Schlüssel zur Verschlüsselung der Daten gespeichert. Diese Schlüssel galten bislang als sicher genug, in der Zukunft aber sollen längere und damit noch sicherere Schlüssel verwendet werden. Ab Ende 2025 – so empfehlen es Behörden wie das für Datensicherheit zuständige BSI – sollen die bisher von den Konnektoren verwendeten Schlüssel mit einer Länge von 2048 Bit nicht mehr genutzt werden. Das ist das eine Problem.
Das zweite sind die Speicher, auf denen die Schlüssel im Konnektor liegen. In den Geräten stecken dazu drei spezielle Smartcards. Mit ihnen wird außerdem sichergestellt, dass die Daten an die korrekte Stelle gehen, eben an eine autorisierte Arztpraxis oder eine Apotheke. Das geschieht über sogenannte Zertifikate auf diesen Karten, so etwas wie digitale Unterschriften. Die belegen, dass der oder die Richtige sich verbunden hat. Aus Sicherheitsgründen haben diese Zertifikate ein Verfallsdatum, sie müssen also regelmäßig erneuert werden. Das Verfallsdatum wurde von der gematik einst auf fünf Jahre festgelegt.
Ab Mitte 2017 sind die ersten Konnektoren an Praxen verkauft worden, bei ihnen laufen die fünf Jahre in diesem Herbst ab und sie müssen sich einen neuen Konnektor zulegen. Denn die drei Hersteller dieser Konnektoren argumentieren, Zertifikate könnten nicht via Software aktualisiert werden, es brauche neue Geräte. Das Geld dafür zahlen die gesetzlichen Krankenkassen den Praxen zurück, was aber nur bedeutet, dass die Beitragszahlenden es letztlich aufbringen müssen. Für insgesamt schätzungsweise 130.000 Konnektoren wären das eben jene 300 Millionen Euro.
Der CCC sagt nun, das sei Unsinn. Die Zertifikate könnten allein mithilfe von Software ausgetauscht werden, die alten Geräte könnten in den Praxen stehen bleiben und wären weiterhin sicher. Fluepke hat dazu mit Unterstützung von Annika Hanning und weiteren Menschen aus dem Umfeld des CCC ein entsprechendes Programm geschrieben. Der CCC würde es gern allen Beteiligten kostenlos zur Verfügung stellen, aber das funktioniert nur, wenn die Hersteller mitmachen. Nur sie können ein Update für die Software der Konnektoren an alle Praxen verteilen.
Interessanterweise widerspricht die gematik dieser Aussage nicht. Im Gegenteil. Holm Diening, der Chief Security Officer der gematik, sagt, die konkrete Lösung des CCC müsse man sich eigentlich gar nicht anschauen, denn sie sei nicht neu, die gematik selbst habe so etwas längst in einer technischen Spezifikation beschrieben. Ein Softwareupdate ohne Gerätetausch ist also möglich.