Konnektor-Störung: Darum waren 80.000 Praxen offline

Ende Mai konnten 80.000 der 130.000 Praxen und Einrichtungen mit Konnektoren der Hersteller T-Systems, RISE und Secunet bestimmte Dienste der TI nicht mehr erreichen. Von den Praxen mit dem Konnektor "KoCoBox Med+" des Herstellers CompuGroup Medical Deutschland AG (CGM) waren hingegen weniger als ein Prozent betroffen.

Ein Umstand den Dr. Eckart Pech, Vorstand Consumer & Health Management Information Systems bei CGM, gegenüber den zm Mitte Juni wie folgt begründete: "Die Zuverlässigkeit unserer Box liegt in ihrer robusten Implementierung begründet. Dies ist das Ergebnis unserer umfassenden Erfahrung, die wir in den vergangenen Feldtests und auch in der Erprobungsphase im Vorfeld des TI-Rollouts sammeln konnten."

Zum Zeitpunkt der Aussage war die Störungsbehebung noch in vollem Gange. Da viele Praxen dazu vor Ort von IT-Dienstleistern ein Update der fehlerhaften, sogenannten Trust-Service Status List (TSL) benötigten, kam es zu Verzögerungen und anschließenden Diskussionen um die mögliche Kostenübernahme dieser Dienstleistung, die noch heute anhalten. Erst am 15. Juli gab die gematik bekannt, dass alle ausgefallenen Konnektoren wieder Kontakt mit der TI verbunden seien. Der Ausfall dauerte also insgesamt mehr als sechs Wochen.

Um die Fehlerursache zu ergründen, haben Experten des Computermagazins c't nun die neue TSL-Datei mit einer älteren Version verglichen . Ergebnis: Für den Fehler verantwortlich war, dass die Gültigkeit einer Vertrauensdatei – des sogenannten DNSSEC-Root-Trust-Anchors – am 25. Mai 2020 um Mitternacht ablief. Die betroffenen Konnektoren schalteten daraufhin in eine Art Sicherheitsbetrieb und verwehrten den Versichertenstammdatenabgleich bis zum Update.

Die Nutzer von rund 50.000 KoCoBoxen hatten hingegen keine Probleme, was schlicht daran liegt, dass sie das betroffene Sicherheitsfeature DNSSEC gar nicht nutzen, heißt es weiter. Bei CGM-Geräten ist diese Einstellung nämlich optional, wie das Handbuch zeigt – ein Vorgehen, dass die gematik offensichtlich billigt.
Im Klartext: Bei 99 Prozent der CGM-Ge­räte war diese Funktion laut Bericht nicht aktiviert. "So konfiguriert sind sie aber anfällig für Angriffsszenarien im Bereich des Routing und genügen kaum den 'höchsten Sicherheitsstandards', die für die TI gelten sollen", warnen die c't-Experten.
Die gematik widerspricht. Die Umsetzung von DNSSEC sei für Konnektor-Hersteller seit Ende 2017 optional, "da diese Funktion für die Sicherheit in der TI nicht bedeutsam ist." Ein Sicherheitsrisiko erwächst aus Sicht der gematik daraus nicht. "Innerhalb der TI werden alle wichtigen Verbindungen zu Servern zertifikatsbasiert authentisiert", heißt es in einer Stellungnahme. Das gleiche gelte für die Verbindung zu den VPN-Zugängen. "Die Name-Server stehen innerhalb der TI, welche nur über ein VPN (Virtual Private Network) erreichbar sind."

CGM bestreitet wiederum die Darstellung der c't-Experten, dass das Sicherheitsfeature ausgeschaltet sei oder es ein Sicherheitsproblem gebe. Auch der Konnektor KoCoBox MED+ führe stets eine DNSSEC-Validierung durch, heißt es stattdessen. Dass die KoCoBoxen von der Störung nicht betroffen waren, liege daran, dass vor dem Hintergrund der gegenüber anderen Herstellern vergleichsweise längeren Entwicklungszeit Erfahrungswerte aus vielen Feldversuchen in die Programmierung eingeflossen seien, so eine Sprecherin.

Die Analyse der TSL-Datei offenbart laut c't noch weitere Gefahren: So kontrolliert die zur Bertelsmann-Gruppe gehörende Arvato Systems GmbH über Sicherheitszertifikate sämtliche Vertrauensverhältnisse der TI. Weiter heißt es, so könne "eine einzelne Privatfirma mit beschränkter Haftung die komplette TI auf einen Schlag außer Gefecht setzen". Zwar ist dieses Schreckensszenario nach Einschätzung von Kennern eher theoretischer Natur. Denn der Betreiberin der zentralen TI drohe für diesen Fall eine Vertragsstrafe in Multimillionenhöhe.

Doch Arvato steht schon allein aufgrund der ungeklärten Frage der Kostenübernahme für die Folgen der Störung stark unter Druck.

Für normale Wartungsarbeiten erhalten die Zahnarztpraxen pro Quartal eine Servicepauschale von 249 Euro, die an die sogenannten Dienstleiter vor Ort (DvO) gehen. Doch viele Dienstleister sind nicht bereit, innerhalb dieses Rahmens mit viel Aufwand einen Fehler zu reparieren, den sie nicht zu verantworten haben.

Die Kosten in geschätzter Millionenhöhe wollen die IT-Dienstleister erstattet bekommen, da der Ausfall nicht ihr Verschulden war. Und auch die gematik sieht Arvato in der Haftung. Sie hält es für zwingend, dass eine zeitnahe außergerichtliche Einigung zwischen den maßgeblichen Parteien erzielt wird, heißt es in einem internen Schreiben. Ziel sei, "dass die Leistungserbringer über den bisherigen Aufwand und Ärger hinaus keine weiteren Schäden erleiden".