Abzocke in der Arztpraxis – diesmal ist es neue teure Hardware

Von: Andree Wächter

Weil Zertifikate und Verschlüsselungsverfahren in Arztpraxen ablaufen, müssen sie ausgetauscht werden. Wiederkehrender Kostenpunkt: 300 Millionen Euro.

Berlin – In den vergangenen Jahren hat das Gesundheitswesen eine Menge an Kosten übernehmen müssen. Zu nennen wären FFP-2-Masken und Corona-Impfungen. Nun steht der nächste dicke Brocken vor der Tür. Er hat allerdings nichts mit Corona zu tun: Es geht um Spezial-Hardware in Arztpraxen. Das Verfallsdatum ist erreicht und bestimmte Komponenten müssen ausgetauscht werden. Dies behaupten die Hersteller, der Chaos Computer Club (CCC) sieht dies anders. Er spricht von „Goldener Nase verdienen“. Zuerst hatte spiegel.de darüber berichtet.

Es geht um ein technisches Gerät (eine Art Modem), das eine Verbindung zur Telematikinfrastruktur (TI) des deutschen Gesundheitswesens herstellt. Über diese Schnittstelle rechen die Praxen Leistungen ab und können bald auch E-Rezepte verschicken. In der Box befinden sich Konnektoren, auf denen Chips angebracht sind. Aus Sicherheitsgründen ist die Laufzeit auf fünf Jahre begrenzt. Im Herbst 2017 wurden die ersten Geräte ausgeliefert, heißt: Die ersten Konnektoren müssen erneuert werden. Um nicht mit einem Lötkolben anzurücken, tauschen Techniker gleich die ganzen Geräte aus. Kostenpunkt pro Gerät: 2300 Euro.

Die Ärzte bekommen die Kosten von den Krankenkassen erstattet. In Deutschland sind rund 130.000 solcher Geräte im Umlauf. Sie müssen alle in den kommenden Jahren ausgetauscht werden. Dies macht eine Summe von zirka 300 Millionen Euro – schlussendlich sind es Versichertenbeiträge. Und in fünf Jahren beginnt der Zyklus von vorne.

Dr. Thomas Kriedel, Vorstandsmitglied der Kassenärtzlichen Bundesvereinigung (KBV) sagte schon im Frühjahr: „Die Konnektoren müssen ausgetauscht werden. Eine andere Möglichkeit gibt es technisch nicht. Das betrifft in diesem Jahr vor allem die CGM-Kunden.“ Neben CGM gibt es noch weitere Hersteller: RED Medical, Secunet und RISE. Letztere sind erst nach 2017 dazu gekommen und müssen ersten in den kommenden Jahren getauscht werden.

Arztpraxen stellen mit speziellen Routern eine Verbindung zum Gesundheitsdatennetz „Telematik“ her. Nach fünf Jahren die Geräte ausgetauscht werden. (Symbolbild) © picture alliance / dpa

Genau genommen geht es aber nur bedingt um die Konnektoren, sondern vielmehr um die implementierte Verschlüsselungsverfahren und Zertifikate für den sicheren Datenaustausch. Wie das spiegel.de recherchiert hat, müssten gar nicht die kompletten Konnektoren getauscht werden. Es müssten nur neue Verschlüsselungsverfahren und Zertifikate eingespielt werden. Dies wäre per Fernwartung möglich. Doch dieses Feature hat die Gematik, der halbstaatliche Betreiber der TI nicht eingeplant. Entsprechend gibt es eine solche Schnittstelle nicht. Laut der Hersteller würde sich eine Umprogrammierung nicht lohnen.

Der Chaos Computer Club (CCC) hat ein deutlich andere Meinung dazu. „Hier will sich ein Kartell durch strategische Inkompetenz am deutschen Gesundheitssystem eine goldene Nase verdienen“, erklärt CCC-Sprecher Dirk Engling. Der CCC schätzt die Kosten sogar auf 400 Millionen Euro – er hat noch Support-Leistungen und kostenpflichtige Nachschulungen reingerechnet.

Auf der Homepage heißt es: Aus Sicherheitsgründen haben viele Zertifikate, wie zum Beispiel auch die Zertifikate von Webseiten, ein Verfallsdatum. Das heißt, sie müssen regelmäßig erneuert werden. Ein Problem, das nicht nur bekannt ist, sondern für dessen Lösung es seit langem etablierte technische Verfahren gibt. Der CCC hat sich die Konnektoren samt Firmware angeschaut. Ihre Erkenntnis: „Die laufenden Open-Source-Komponenten können mit sehr wenig Aufwand überredet werden, neben den auslaufenden Zertifikaten einen zusätzlichen Strauß an erneuerten Zertifikaten zu benutzen. Mit diesem Wissen wäre ein minimalinvasiver Patch nur noch eine Fingerübung.“

Bevor diese Patches auf die Konnektoren aufgespielt werden können, braucht es jedoch noch eine Handvoll geheime Bits, die nur bei der Gematik im Tresor liegen: Damit müssten die neuen Zertifikate und Patches für die Firmware signiert werden.

CCC-Sprecher Dirk Engling hat eine klare Forderung in Richtung Bundesgesundheitsministerium: „Wenn die beauftragten Hersteller von TI-Konnektoren selbst mit so trivialen Aufgaben wie einer Erneuerung der Zertifikate überfordert sind, drängt sich doch die Frage auf, ob nicht die Vergabekriterien und Verträge der Gematik verschärft und kompetentere Wettbewerber gefunden werden müssen.“

Und was sagt die Gematik? „Man habe den Gesellschaftern alle verfügbaren Optionen vorgestellt – auch die Laufzeitverlängerung per Software. Auf dieser Basis hätten die Gesellschafter gemeinsam beschlossen, dass der Tausch die beste Alternative sei“, heißt es auf netzpolitik.org.

Der Markt wird das Problem nicht lösen können. Theoretisch steht er allen Anbietern frei. Es sind aber nur drei Hersteller zugelassen. Hinzu kommt, dass nicht alle Hersteller für die komplette Software zur Abrechnung kompatibel. Zudem gibt es keinen Anreiz für Praxen, Geld zu sparen. Die Kosten sind ein durchlaufender Posten in der Buchhaltung.