Konnektoren im Gesundheitswesen – Software-Update statt Hardware-Tausch
der Abgeordneten Anke Domscheit-Berg, Kathrin Vogler, Petra Pau, Nicole Gohlke, Gökay Akbulut, Clara Bünger, Ates Gürpinar, Dr. André Hahn, Susanne Hennig-Wellsow, Ina Latendorf, Cornelia Möhring, Sören Pellmann, Martina Renner, Dr. Petra Sitte und der Fraktion DIE LINKE.
Vorbemerkung
Ärztinnen und Ärzte, Apotheken und Krankenkassen sind als Teil des deutschen Gesundheitswesens digital durch die Telematikinfrastruktur (TI) miteinander vernetzt. Allein etwa 130 000 Arztpraxen erhalten in Deutschland seit 2017 über einen sogenannten Konnektor Zugang zu dieser zentralen IT-Infrastruktur. Verantwortlich für das Funktionieren der zentralen Plattform für digitale Anwendungen ist die Gematik GmbH. Sie gelangte gemeinsam mit den Konnektorenherstellern zu der Einschätzung, dass die Konnektoren nach einer fünfjährigen Laufzeit ausgetauscht werden sollten. Angeführt werden Sicherheitsprobleme, die auf auslaufenden Zertifikaten sowie dem RSA (Rivest-Shamir-Adleman)-Verschlüsselungssystem (2 048 Bit) basieren. Von diesen Sicherheitsproblemen sind insbesondere erstzugelassene Geräte der CompuGroup Medical AG betroffen.
Der Austausch der Konnektoren ist mit Kosten von mehreren Hundert Millionen Euro verbunden, die von den Krankenkassen getragen werden. Darüber hinaus sind „gigantische Mengen an Elektroschrott“ (https://dzw.de/konnektoren-austausch-zahnarzt-praxen-kzbv-ti) zu erwarten, die vermeidbar sind.
Laut Gematik GmbH ist der teure Austausch die Variante, die als wirtschaftlichste Lösung identifiziert wurde. Daran kommen jedoch Zweifel auf, denn laut Stellungnahme des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist ein Weiterbetrieb der ersten Konnektorengeneration mit den aktuellen RSA-Sicherheitsschlüsseln bis Ende 2025 vertretbar (https://www.aerzteblatt.de/nachrichten/136640/Konnektorentausch-Zertifikatsverlaengerung-laut-BSI-moeglich). Außerdem haben Expertinnen und Experten des Chaos Computer Clubs ein Software-Update entwickelt, das die auslaufenden Zertifikate ohne den angestrebten Hardwareaustausch erneuern kann (https://www.gematik.de/newsroom/news-detail/pressemitteilung-gematik-reaktion-auf-ccc-veroeffentlichung-zu-konnektoren). Diese haben sie den Konnektorenherstellern kostenlos zur Verfügung gestellt (https://www.ccc.de/de/updates/2022/konnektoren-400-millionen-geschenk).
Wir fragen die Bundesregierung:
Fragen10
Wie bewertet das Bundesministerium für Gesundheit (BMG) – unter Berücksichtigung der Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik (BSI), das einen Betrieb der ersten Konnektorengeneration mit den derzeitigen RSA-Sicherheitsschlüsseln bis Ende 2025 als vertretbar einstuft – den von der Gematik GmbH „als einzig sinnvolle Alternative“ (https://www.gematik.de/newsroom/news-detail/pressemitteilung-gematik-reaktion-auf-ccc-veroeffentlichung-zu-konnektoren) bezeichneten Austausch der Konnektoren bis August 2023?
a) Wie bewertet das BMG die Aussage der Gematik GmbH, die Hardware sei veraltet und müsse ausgetauscht werden, um eine stabile Telematikinfrastruktur (TI) aufrechtzuerhalten?
b) Liegen validierte Erkenntnisse über konkrete Hardwareprobleme der Konnektoren vor?
c) Welche Kriterien sind dem BMG bekannt, anhand derer die Gematik GmbH zu einem anderen Prüfergebnis als das BSI gelangte (bitte insbesondere darauf Bezug nehmen, aus welchen Gründen die Konnektoren, die über die Fähigkeit der Elliptische-Kurven-Kryptografie verfügen, nicht auch über das Jahr 2025 hinaus betrieben werden können)?
d) Gab es eine erneute Bewertung des Konnektorentausches, nachdem der Chaos Computer Club das Software-Update für die erste Konnektorengeneration entwickelt hatte, oder ist eine erneute Bewertung bzw. Überprüfung geplant (wenn ja, bitte deren Ergebnisse und mögliche Konsequenzen bzw. Alternativen beschreiben, und wenn nein, bitte begründen, warum keine Neubewertung erfolgt)?
Wie viele der erstzugelassenen Konnektoren müssen nach Kenntnis des BMG ausgetauscht werden (bitte nach Hersteller und Jahr des erforderlichen Austausches aufschlüsseln), und welche Hersteller sind mit welcher Gerätezahl davon betroffen, dass die Konnektoren bis August 2023 ausgetauscht werden müssen?
Wie setzen sich nach Kenntnis des BMG die Kosten für einen Konnektor zusammen (sofern möglich, bitte für jeden Hersteller aufschlüsseln und unter anderem Anschaffungskosten, Hardwarekosten, Softwarekosten sowie separat Zertifikatskosten und Wartungskosten angeben)?
Welche Kosten (bitte nach berechenbaren Gesamt- und zusätzlich geschätzten Folgekosten, z. B. durch Ausfall oder Nichterreichbarkeit von Arztpraxen, aufschlüsseln) ergeben sich nach Kenntnis des BMG
a) beim von der Gematik GmbH favorisierten Austausch der Konnektoren,
b) bei einem Software-Update der Konnektoren ohne Austausch der Hardware, wie ihn Expertinnen und Experten des Chaos Computer Clubs vorschlugen (entweder mit dem bereitgestellten oder einem von der Gematik selbstentwickelten Software-Update)?
Wie sicher ist das BMG, dass die Gematik GmbH bis 2025 die TI 2.0 einführt, und welche Gegenmaßnahmen beabsichtigt das BMG zu ergreifen, falls die Gematik GmbH dies nicht tut?
a) Kann das BMG nach derzeitigem Kenntnisstand sicherstellen, dass eine Erneuerung der Hardware nach einer fünfjährigen Laufzeit nicht erneut mit einem Austausch der Konnektoren einhergeht, der viele Millionen Euro kostet, einen Berg Hardwareschrott verursacht und unzählige Einrichtungen des Gesundheitswesens erheblich beeinträchtigt?
b) Wie beurteilt und begründet das BMG dies im Kontext der Einschätzung, wonach die Gematik GmbH einen Austausch der Hardware als „wirtschaftlichste Lösung identifiziert“, und mit welchen Maßnahmen wird das BMG versuchen, die negativen Folgen zu verhindern oder zu minimieren?
Mit welcher Begründung hat sich die Gematik GmbH auf ihrer Vertreterversammlung am 28. Februar 2022 nach Kenntnis des BMG zu einem Austausch der Konnektoren entschieden?
Aus welchen Gründen folgte nach Kenntnis des BMG die Gematik GmbH nicht bereits 2014 der Empfehlung des BSI, das in seiner technischen Richtlinie TR-02102-1 (http://web.archive.org/web/20141006164644/https:/www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102_pdf.pdf?__blob=publicationFile) drei Jahre vor dem Vertrieb der ersten TI-Konnektoren empfahl, für Systeme mit länger vorgesehener Einsatzdauer bereits ab 2016 Schlüssellängen von mindestens 3 000 Bits einzusetzen?
Wie lautet das Prüfungsergebnis des BMG, um den Wettbewerb der Anbieter der Komponenten der Telematikinfrastruktur im Sinne von Qualität, Wirtschaftlichkeit und Innovation zu verbessern (s. Antwort der Bundesregierung auf die Schriftliche Frage 120 auf Bundesdrucksache 20/3097), und welche Initiativen werden zukünftig ergriffen, damit sich für vorbildliche Hersteller Marktvorteile ergeben?
Plant die Gematik GmbH, zivilgesellschaftliche Akteure zukünftig stärker (bzw. überhaupt) in Beteiligungsprozesse einzubinden, insbesondere nachdem der Chaos Computer Club eine sowohl wirtschaftlichere als auch nachhaltigere und für die Akteure im Gesundheitswesen weniger disruptive alternative Problemlösung mittels Software-Update vorgelegt hat (wenn ja, inwiefern, und wenn nein, wieso nicht)?
Wie beurteilt die Bundesregierung den ins Auge gefassten Austausch der Konnektoren unter Nachhaltigkeitsaspekten, insbesondere unter Berücksichtigung des Koalitionsvertrages 2021 bis 2025 (s. S. 15: „Ersatzteile und Softwareupdates für IT-Geräte müssen für die übliche Nutzungsdauer verpflichtend verfügbar sein.”) und des Bekenntnisses zum Grundsatz „Reparieren statt Wegwerfen“?
a) Was ist aus Sicht der Bundesregierung die „übliche Nutzungsdauer“ der Konnektoren?
b) Ist derzeit irgendeine Form der Nachverwendung der auszuwechselnden Konnektoren geplant, und wenn ja, welche Optionen werden dafür erwogen, und was sind die jeweiligen Ergebnisse, und wenn nein, warum nicht, und was geschieht dann konkret mit den Konnektoren?