Telematikinfrastruktur (TI)

Konnektor-Störung: Darum waren 80.000 Praxen offline

80.000 Praxen waren offline. Nicht von der TI-Störung betroffen waren indes 50.000 Geräte von CGM – weil sie ein Sicherheitsfeature nicht nutzen, sagen Experten. Die Verantwortlichen widersprechen.

99 Prozent der CGM-Konnektoren vom Typ „KoCoBox med+“ waren vom Ausfall nicht betroffen, weil sie auf ein Sicherheitsfeature verzichten - und dadurch anfällig für Angriffsszenarien sind, warnen die c't-Experten. CompuGroup Medical SE

Ende Mai konnten 80.000 der 130.000 Praxen und Einrichtungen mit Konnektoren der Hersteller T-Systems, RISE und Secunet bestimmte Dienste der TI nicht mehr erreichen. Von den Praxen mit dem Konnektor "KoCoBox Med+" des Herstellers CompuGroup Medical Deutschland AG (CGM) waren hingegen weniger als ein Prozent betroffen.

CGM war mit weniger als ein Prozent betroffen – warum?

Ein Umstand den Dr. Eckart Pech, Vorstand Consumer & Health Management Information Systems bei CGM, gegenüber den zm Mitte Juni wie folgt begründete: "Die Zuverlässigkeit unserer Box liegt in ihrer robusten Implementierung begründet. Dies ist das Ergebnis unserer umfassenden Erfahrung, die wir in den vergangenen Feldtests und auch in der Erprobungsphase im Vorfeld des TI-Rollouts sammeln konnten."

Über sechs Wochen dauerte der Ausfall

Zum Zeitpunkt der Aussage war die Störungsbehebung noch in vollem Gange. Da viele Praxen dazu vor Ort von IT-Dienstleistern ein Update der fehlerhaften, sogenannten Trust-Service Status List (TSL) benötigten, kam es zu Verzögerungen und anschließenden Diskussionen um die mögliche Kostenübernahme dieser Dienstleistung, die noch heute anhalten. Erst am 15. Juli gab die gematik bekannt, dass alle ausgefallenen Konnektoren wieder Kontakt mit der TI verbunden seien. Der Ausfall dauerte also insgesamt mehr als sechs Wochen.

Eigentlich sollte es nur der erste turnusmäßige Wechsel eines digitalen Sicherheitsschlüssels sein. Aufgrund eines nicht näher beschriebenen „Fehlers beim automatischen Aktualisierungsmechanismus“...

mehr
Um die Fehlerursache zu ergründen, haben Experten des Computermagazins c't nun die neue TSL-Datei mit einer älteren Version verglichen. Ergebnis: Für den Fehler verantwortlich war, dass die Gültigkeit einer Vertrauensdatei – des sogenannten DNSSEC-Root-Trust-Anchors – am 25. Mai 2020 um Mitternacht ablief. Die betroffenen Konnektoren schalteten daraufhin in eine Art Sicherheitsbetrieb und verwehrten den Versichertenstammdatenabgleich bis zum Update.

Jeder dritte Konnektor ist anfällig

Die Nutzer von rund 50.000 KoCoBoxen hatten hingegen keine Probleme, was schlicht daran liegt, dass sie das betroffene Sicherheitsfeature DNSSEC gar nicht nutzen, heißt es weiter. Bei CGM-Geräten ist diese Einstellung nämlich optional, wie das Handbuch zeigt – ein Vorgehen, dass die gematik offensichtlich billigt.

Im Klartext: Bei 99 Prozent der CGM-Ge­räte war diese Funktion laut Bericht nicht aktiviert. "So konfiguriert sind sie aber anfällig für Angriffsszenarien im Bereich des Routing und genügen kaum den 'höchsten Sicherheitsstandards', die für die TI gelten sollen", warnen die c't-Experten.

Die gematik widerspricht. Die Umsetzung von DNSSEC sei für Konnektor-Hersteller seit Ende 2017 optional, "da diese Funktion für die Sicherheit in der TI nicht bedeutsam ist." Ein Sicherheitsrisiko erwächst aus Sicht der gematik daraus nicht. "Innerhalb der TI werden alle wichtigen Verbindungen zu Servern zertifikatsbasiert authentisiert", heißt es in einer Stellungnahme. Das gleiche gelte für die Verbindung zu den VPN-Zugängen. "Die Name-Server stehen innerhalb der TI, welche nur über ein VPN (Virtual Private Network) erreichbar sind."

CGM bestreitet wiederum die Darstellung der c't-Experten, dass das Sicherheitsfeature ausgeschaltet sei oder es ein Sicherheitsproblem gebe. Auch der Konnektor KoCoBox MED+ führe stets eine DNSSEC-Validierung durch, heißt es stattdessen. Dass die KoCoBoxen von der Störung nicht betroffen waren, liege daran, dass vor dem Hintergrund der gegenüber anderen Herstellern vergleichsweise längeren Entwicklungszeit Erfahrungswerte aus vielen Feldversuchen in die Programmierung eingeflossen seien, so eine Sprecherin.

Alle TI-Sicherheitszertifikate kontrolliert ein Privatunternehmen

Die Analyse der TSL-Datei offenbart laut c't noch weitere Gefahren: So kontrolliert die zur Bertelsmann-Gruppe gehörende Arvato Systems GmbH über Sicherheitszertifikate sämtliche Vertrauensverhältnisse der TI. Weiter heißt es, so könne "eine einzelne Privatfirma mit beschränkter Haftung die komplette TI auf einen Schlag außer Gefecht setzen". Zwar ist dieses Schreckensszenario nach Einschätzung von Kennern eher theoretischer Natur. Denn der Betreiberin der zentralen TI drohe für diesen Fall eine Vertragsstrafe in Multimillionenhöhe.

Doch Arvato steht schon allein aufgrund der ungeklärten Frage der Kostenübernahme für die Folgen der Störung stark unter Druck.

Für normale Wartungsarbeiten erhalten die Zahnarztpraxen pro Quartal eine Servicepauschale von 249 Euro, die an die sogenannten Dienstleiter vor Ort (DvO) gehen. Doch viele Dienstleister sind nicht bereit, innerhalb dieses Rahmens mit viel Aufwand einen Fehler zu reparieren, den sie nicht zu verantworten haben.

Die Kosten in geschätzter Millionenhöhe wollen die IT-Dienstleister erstattet bekommen, da der Ausfall nicht ihr Verschulden war. Und auch die gematik sieht Arvato in der Haftung. Sie hält es für zwingend, dass eine zeitnahe außergerichtliche Einigung zwischen den maßgeblichen Parteien erzielt wird, heißt es in einem internen Schreiben. Ziel sei, "dass die Leistungserbringer über den bisherigen Aufwand und Ärger hinaus keine weiteren Schäden erleiden".

43446774344188434418943441904344678 4344679 4344193
preload image 1preload image 2preload image 3preload image 4preload image 5preload image 6preload image 7preload image 8preload image 9preload image 10preload image 11preload image 12preload image 13preload image 14preload image 15preload image 16preload image 17preload image 18preload image 19preload image 20preload image 21preload image 22preload image 23preload image 24preload image 25preload image 26preload image 27preload image 28preload image 29preload image 30preload image 31preload image 32preload image 33preload image 34preload image 35preload image 36preload image 37preload image 38preload image 39preload image 40preload image 41preload image 42preload image 43preload image 44preload image 45preload image 46preload image 47preload image 48preload image 49preload image 50preload image 51preload image 52preload image 53preload image 54preload image 55preload image 56preload image 57preload image 58preload image 59preload image 60preload image 61preload image 62preload Themeimage 0preload Themeimage 1preload Themeimage 2preload Themeimage 3preload Themeimage 4preload Themeimage 5preload Themeimage 6preload Themeimage 7preload Themeimage 8preload Themeimage 9preload Themeimage 10preload Themeimage 11preload Themeimage 12preload Themeimage 13preload Themeimage 14preload Themeimage 15preload Themeimage 16preload Themeimage 17preload Themeimage 18preload Themeimage 19preload Themeimage 20preload Themeimage 21preload Themeimage 22preload Themeimage 23preload Themeimage 24preload Themeimage 25preload Themeimage 26preload Themeimage 27preload Themeimage 28
Bitte bestätigen Sie
Nein
Ja
Information
Ok
loginform
Kommentarvorschau
Kommentarvorschau schliessen
Antwort abbrechen
Ihr Kommentar ist eine Antwort auf den folgenden Kommentar

Keine Kommentare