Das Theater um den Austausch von Hardware in den Arztpraxen läuft schon eine ganze Weile. In Tausenden Praxen und Apotheken müssen diese Konnektoren angeblich ausgetauscht werden - für insgesamt etwa 300 Millionen Euro. Dabei sind die Boxen, die dem Austausch von Daten zwischen Praxen und Krankenkassen dienen, gerade einmal fünf Jahre alt. Der Austausch sei trotzdem alternativlos, sagt die für den Betrieb der so genannten Telematikinfrastuktur des Gesundheitssystems zuständige Gematik. Sicherheitszertifikate in den Geräten würden demnächst ablaufen, das Problem ließe sich anders nicht lösen. Die Zertifikate sind eine Art digitale Unterschrift, mit der die Praxen fälschungssicher ihre Identität bestätigen können.

Am vergangenen Wochenende folgte nun der nächste Akt. Der Chaos Computer Club hat nachgewiesen, dass dieses Argument schlicht nicht trägt. Der Sicherheitsexperte fluepke, bürgerlich Carl Fabian Lüpke, hatte eines der Herstellergeräte auseinandergenommen. Er konnte zeigen: Ein Update der Geräte allein mit Hilfe von Software ist sehr wohl möglich. Dazu müssten die Boxen nicht einmal aufgeschraubt werden, die Hardware könnte bleiben, wo sie ist.

Genau das hatten die Hersteller bis dahin beharrlich bestritten. Sie würden an dem Tausch gut verdienen: 2.300 Euro kostet ein neuer Konnektor derzeit. Die Kosten werden den Praxen von den Krankenkassen erstattet, also aus Beiträgen der Versicherten bezahlt. Dabei sei die verbaute Hardware selbst veraltet, sagt fluepke. „2.300 Euro - für ein einfaches Stück Plastik mit billiger Hardware drin." Er vermutet, die Hersteller haben hohe Margen. Vorher kosteten die Konnektoren noch mehr, nachdem die Kassen die Erstattungssumme bei 2.300 Euro festgelegt haben, passten die Hersteller ihren Preis kurzerhand an.

Gematik hält am Tausch fest

Die Gematik hat inzwischen auf die Veröffentlichung des CCC reagiert, bleibt aber bei ihrer Version: Man habe den Gesellschaftern alle verfügbaren Optionen vorgestellt - auch die Laufzeitverlängerung per Software. Auf dieser Basis hätten die Gesellschafter gemeinsam beschlossen, dass der Tausch die beste Alternative sei. Die Gematik ist ein staatliches Unternehmen. Unter den Gesellschaftern sind Krankenversicherer, Apotheken- und Ärzteverbände sowie - als größter Anteilseigner mit 51 Prozent - das Gesundheitsministerium.

Interessant ist dabei, dass die Gematik selbst eingesteht: „Die veröffentlichten Ergebnisse sind grundsätzlich nicht neu." Die Möglichkeit der Zertifikatsverlängerung habe man schon selbst den Gesellschaftern vorgeschlagen. Tatsächlich hatte die Gematik schon im Juni 2021 eine so genannte Spezifikation für die Laufzeitverlängerung der Geräte veröffentlicht. Die Spezifikationen sind Vorgaben für die Hersteller der Hardware: Sie halten fest, welche Anforderungen erfüllt sein müssen. Für die Hersteller der Konnektoren sahen die Spezifikationen vor, dass sie die Verlängerung der Zertifikate per Software umsetzen sollen, bevor deren Gültigkeit ausläuft.

Ende Februar kam es trotzdem zu dem Beschluss der Gesellschafterversammlung: Die rund 130.000 im Umlauf befindlichen Konnektoren sollen ausgetauscht werden. Was war in der Zwischenzeit passiert? Die Antwort auf diese Frage steht bisher aus, weder die Gematik noch die Hersteller äußern sich dazu.

Auf eine detaillierte Frageliste hin antwortete die Gematik nur mit dem Verweis auf ihr Pressestatement. Aber irgendwo in diesen Monaten zwischen Juni 2021 und Februar 2022 hat sich das zugetragen, was die Kassen nun mit bis zu 300 Millionen Euro bezahlen sollen.

Ein möglicher Hinweis ist ein Interview, das ein Vorstandsmitglied der Kassenärztlichen Bundesvereinigung (KBV) im Mai gab. Darin bezeichnet er den Tausch noch als „alternativlos". Er machte aber auch deutlich, dass die KBV dieses Übel nur befürworte, weil es ohne den Tausch keine Garantie der Hersteller für eine Ausfallsicherheit der Konnektoren gegeben hätte. Bei einem Ausfall der Konnektoren wären die Praxen weitgehend lahmgelegt gewesen - ein Risiko, dass die KBV offenbar nicht tragen wollte.

Das erweckt den Eindruck, als hätten die Hersteller sowohl der Gematik als auch deren Gesellschaftern vermitteln können, dass nur ein Tausch der Geräte ihren stabilen Weiterbetrieb gewährleisten könne. Aber sind Hersteller, die an einem Tausch Millionen Euro verdienen würden, die besten Berater in dieser Frage? Hätte die Gematik kritischer nachhaken müssen? Und hat sie ihren Gesellschaftern womöglich falsche oder unvollständige Informationen gegeben, auf deren Basis diese ihre Entscheidung gefällt haben?

Technisch sehr wohl möglich

Laut Berichten von Heise haben zwei der insgesamt drei Hersteller, die zertifizierte Konnektoren verkaufen, die Vorgaben der Gematik sogar erfüllt, sie hätten ein Softwareupdate für die Laufzeitverlängerung liefern können. Nicht gelungen sei dies der Firma CompuGroup Medical (CGM). Sie ist der Marktführer, mehr als die Hälfte der Konnektoren in deutschen Praxen kommt von ihr. Sie würde vom Tausch also am meisten profitieren. Eine Anfrage ließ CGM bisher unbeantwortet.

CGM hatte zunächst behauptet, die Zertifikate in den Konnektoren seien fest verbaut und ein Tausch daher technisch nicht möglich. Eine Recherche des Magazins c't hat gezeigt, dass das nicht stimmt: Die Zertifikate sind stattdessen auf so genannten Smartcards in den Geräten gespeichert, diese ließen sich sehr wohl austauschen. Das Gleiche konnte nun auch fluepke nachweisen. Die Gematik und der Hersteller waren düpiert.

Die Gematik musste daraufhin eingestehen, dass ihre Behauptung nicht trägt. Doch ein Update der Software sei trotzdem nicht möglich. Mit dem jetzt veröffentlichten Softwarepatch zeigt der CCC, dass auch diese Behauptung falsch ist. Selbst die Geräte von CGM ließen sich damit vorerst weiter betreiben. Doch die Gematik hält an ihrem Beschluss weiter fest: Der Tausch bleibe „ kurzfristig die beste Lösung". Dass es auch technisch die einzig mögliche Lösung ist, steht dort nicht.

Verschwendung von Versichertengeldern

Wenigstens will sie jetzt aber überprüfen, ob der Tausch aller Geräte notwendig sei. Für Geräte, deren Zertifikate erst nach August 2023 ablaufen, sei eine Verlängerungen der Zertifikate ebenfalls per Software denkbar. „Das bedeutet auch, dass längst nicht alle Konnektoren getauscht werden müssen und die dadurch entstehenden Kosten deutlich niedriger sind, als berichtet." Bei den anderen Geräten sei ein Update aber keine Lösung: „Bei allen Zertifikaten, deren Gültigkeit bis August 2023 abläuft, ist danach wegen veralteter Technik ein Austausch des Konnektors die einzig sinnvolle Alternative." Auf die Frage, was sich zum Stichtag August 2023 konkret ändert, hat die Gematik nicht geantwortet.

Viele der Verbände halten den zwangsverordneten Tausch ebenfalls für Verschwendung und sagen dies auch offen. So schreibt die Deutsche Psychotherapeutenvereinigung (DPtV), der Tausch der Konnektoren sei eine dramatische Verschwendung von Versichertengeldern. „Mit jedem Tausch könnten mehr als zwei Kurzzeitpsychotherapien finanziert werden - bundesweit wären es 260.000. Damit wäre das Geld sinnvoll angelegt", sagte Gebhard Hentschel, Bundesvorsitzender der DPtV.

Ein Sprecher des CCC, Dirk Engling, wird noch deutlicher: „Hier will sich ein Kartell durch strategische Inkompetenz am deutschen Gesundheitssystem eine goldene Nase verdienen. Dabei werden immense Kosten für alle Versicherten, sinnloser Aufwand für einen Austausch bei allen Ärzten und tonnenweise Elektroschrott in Kauf genommen."

Update 19.10.: Den Nachweis, dass die Smartcards in den Geräten von CGM nicht fest verbaut sind, brachte als erstes nicht der CCC, sondern die Redaktion von c't. Wir haben den Abschnitt entsprechend korrigiert.