CCC konnte offenbar Konnektoren-Laufzeit verlängern
Dass ein Software-Update „mit minimalem Aufwand” möglich wäre, zeigte laut CCC – der seit Jahrzehnten als Instanz im Bereich Computersicherheit gilt – vor Kurzem die Analyse der ausgelieferten Firmware auf den Konnektoren.
"die gematik an eine kürzere Leine nehmen ..."
Die auf den Konnektoren laufenden Open-Source-Komponenten könnten, anders als von den Herstellern und der gematik behauptet, sehr wohl mit erneuerten Zertifikaten sicher weiterbetrieben werden, so die Schlussfolgerung . Ein minimalinvasiver Patch sei nur „eine Fingerübung”, schreibt der CCC – und verlinkt zum Beweis eine entsprechende Lösung .
„Bevor diese Patches auf die Konnektoren aufgespielt werden können, braucht es jedoch noch eine Handvoll geheime Bits, die nur bei der gematik im Tresor liegen.” Denn damit müssten die neuen Zertifikate und Patches für die Firmware signiert werden, schreibt der CCC weiter und verlangt vom Bundesgesundheitsministerium, „die gematik an eine kürzere Leine zu nehmen und dem Pfusch bei Ausschreibungen und in den Verträgen ein Ende zu setzen".
Außerdem forderte der CCC das Umweltministerium auf, gangbare Wege auszuloten, „die allein schon aus Nachhaltigkeitsgesichtspunkten völlig sinnlose tausendfache Vernichtung einsatzfähiger Hardware zu verhindern". Und an die Hersteller der Konnektoren appelliert der CCC, „dass sie sich ehrliche Wege für ihren Broterwerb suchen".
"Hier will sich ein Kartell eine goldene Nase verdienen!"
„Hier will sich ein Kartell durch strategische Inkompetenz am deutschen Gesundheitssystem eine goldene Nase verdienen. Dabei werden immense Kosten für alle Versicherten, sinnloser Aufwand für einen Austausch bei allen Ärzten und tonnenweise Elektroschrott in Kauf genommen”, sagte Dirk Engling, Sprecher des Chaos Computer Clubs.
„Schlimmer noch: Eine Wiederholung des Debakels in fünf Jahren wird bereits vorbereitet.“ Denn schon 2027 könnte sich die Situation wiederholen, prognostiziert der CCC. „Denn auch die jetzt zum Austausch vorgesehenen Konnektoren haben wieder nur eine fünfjährige Lebensdauer – und bis dato gibt es noch keine verpflichtende Laufzeitverlängerung.”
Die gematik reagiert – und verweist an die Politik
„Bei allen Zertifikaten, deren Gültigkeit bis August 2023 abläuft, ist danach wegen veralteter Technik ein Austausch des Konnektors die einzig sinnvolle Alternative. Der Hardwaretausch wurde als insgesamt sicherste und wirtschaftlichste Lösung identifiziert.
Für Zertifikate, deren Gültigkeit ab August 2023 endet, sollen Alternativen angeboten werden. Die Alternativen zum Konnektortausch sind eine Laufzeitverlängerung der Zertifikate durch ein Firmware-Update des Konnektors bis Ende 2025 oder ein Anschluss an einen Konnektor, der in einem Rechenzentrum betrieben wird.”
