*** Telematik-Infrastruktur seit 27.5.2020 gestört; Online-Abgleich der Versichertenstammdaten klappt nicht – Probleme bei Trusted Service Lists – politische Forderung: Softwarehaftung

Zitat aus der Gematik-Pressemeldung: „Der Online-Abgleich der Versichertenstammdaten funktioniert derzeit in vielen medizinischen Einrichtungen nicht. Seit dem 27. Mai 2020 ist der Versichertenstammdatendienst in Teilen gestört. Konnektoren in den betroffenen Praxen können sich nicht mit der Telematikinfrastruktur verbinden, so dass kein Online-Abgleich erfolgen kann. Dieser findet üblicherweise bei einem Arztbesuch durch das Einlesen der Gesundheitskarte des Versicherten statt. Die Ursache – ein Konfigurationsfehler in der zentralen Telematikinfrastruktur – ist seit dem 27. Mai gefunden.
Die Sicherheit der Telematikinfrastruktur ist nicht betroffen.“

Ein Weckruf.

Scheinbar sind nicht alle Konnektor-Gerätemodelle davon betroffen (gerüchteweise nicht betroffen ist die KoCoBox).

Häufiges Fehlerbild: (Zitate)

  • Beim Einlesen von elektronischen Gesundheitskarten werden über das Primärsystem die Prüfnachweise „3“ bzw. „5“ angezeigt.
  • Der Konnektor ist offline und kann keine Verbindung zur Telematikinfrastruktur herstellen. Es erscheint eine entsprechende Fehlermeldung im Primärsystem und am Konnektor.
  • (seltener) Beim Einlesen von elektronischen Gesundheitskarten bricht das Primärsystem den Vorgang, mit einer Fehlermeldung und ohne einen Prüfnachweis, vollständig ab.
  • Einige Quellen: 1 , 2

Was den Fehler ausgelöst hat: (Zitat)

„Ein fehlerhafter Wechsel des Vertrauensankers löste die Störung aus.
Für das hohe Sicherheitsniveau in der Telematikinfrastruktur wird ein Vertrauensanker eingesetzt. Dieser ist für die sichere Auflösung von Namen in IP-Adressen notwendig. Alle dabei verwendeten kryptografischen Schlüssel werden auf diesen Vertrauensanker zurückgeführt. Durch Fehler bei der Aktualisierung vertrauen die Konnektoren dem aktuell gültigen Vertrauensanker folgerichtig nicht mehr. Dies führt ebenso dazu, dass der Versichertenstammdatendienst nicht mehr funktioniert. (…)
Obwohl die Störung in der zentralen Telematikinfrastruktur ausgelöst wurde, ist es notwendig, bei den betroffenen Konnektoren (RISE, Secunet, T-Systems) eine Aktualisierung mit der bereitgestellten Vertrauensliste (TSL, Trust Service List) der Telematikinfrastruktur vorzunehmen. (…)
Betroffene Praxen sollten deshalb umgehend mit ihrem IT-Servicepartner
einen Remote- oder Vor-Ort-Termin vereinbaren. Der Termin sollte noch im Juni 2020 stattfinden.“

Anmerkung MW: mit „Servicepartner“ ist der Servicepartner der Arztpraxis gemeint, der für den TI-Konnektor zuständig ist.
Vertrauensanker? Wie jetzt … Schiff ahoi? Klingt mir verdammt nach Root-Zertifikat. Zitat: „Das TSL-Signer-CA-Zertifikat bildet den Vertrauensanker für die TI.“
Was ist da eigentlich genau passiert? Ist da ein Zertifikat abgelaufen bzw. wurde die rechtzeitige Verlängerung vergessen? Oder lief bei der Erneuerung etwas schief? Für Rückmeldungen sind wir dankbar…

Wo wird die Download-Datei für den Bugfix bereitgestellt?

IT-Servicepartner von betroffenen medizinische Einrichtungen finden die zur Behebung notwendige TSL-Datei als Download auf einer Seite der Gematik.


Wer ist schuld?

Von Hausarzt Dr. Stefan Streit, einem konstruktiven Kritiker und Begleiter der TI-Struktur, erreichte mich folgender Kommentar: (zitierte Auszüge)

„Behoben werden kann das Problem kann nur in jeder Praxis einzeln, vor Ort. Am Anfang heiß es: „Dies sei simpel und in wenigen Minuten umgesetzt.“ Neben der Frage, ob IT-Laien an einer sicherheitsrelevanten Struktur freihändig tätig sein sollten, stellt sich die Frage wer die 80.000 IT-Dienstleistungen bezahlt. (…) Behoben werden kann das Problem kann nur in jeder betroffenen Praxis einzeln, vor Ort. Am Anfang heiß es: „Dies sei simpel und in wenigen Minuten umgesetzt.“ Neben der Frage, ob IT-Laien an einer sicherheitsrelevanten Struktur freihändig tätig sein sollten, stellt sich die Frage wer die 80.000 IT-Dienstleistungen bezahlt. (…)
Obwohl selbst der Verursacher des Schadens, sieht sich die gematik lediglich in der Rolle des Moderators, der gelobt in Gesprächen mit den IT-Dienstleistern auf eine kostenlose Durchführung der Arbeiten hinzuwirken. (…)
Gematik und Ärzte stehen bei der Telematikinfrastruktur gerade
am Anfang der Digitalisierung in der Medizin. (…) Ach ja, das wäre für das Gesamtverständnis noch wichtig: freiwillig machen die meisten Ärzte bei der Telematikinfrastruktur nicht mit. Ärzte, die Zweifel am Sicherheitskonzept der Telematikinfrastruktur oder der Vorgehensweise der gematik haben, sind seit dem 1.1.2020 mit einer Konventionalstrafe von 2,5 Prozent ihres Umsatzes belegt.
(…)
Die gematik soll entweder die Kosten selbst übernehmen oder klarstellen, dass sie Ärzte die angeforderte Dienstleistung bezahlen müssen. Das wird richtungsweisend für die Zukunft sein.
Der Konflikt bei der Telematikinfrastruktur liegt zwischen Politik und Ärzteschaft. Das Unsichtbarmachen von Aufwand ist inazeptabel. „

Dr. Stefan Streit bemängelt seit Jahren (zu Recht!), dass „die Telematik-Infrastuktur in der Luft hängt“.
Artikel von 2018: https://mednic.de/die-telematikinfrastruktur-haengt-juristisch-in-der-luft/9963

Wer zahlt?

Es steht zu befürchten, dass diese Kosten im Gesundheitssystem – also für alle Steuerzahler – aufschlagen oder beim IT-Dienstleister-Rahmenvertrag hängenbleiben. (Haltet den Dieb!)
https://www.aerztezeitung.de/Wirtschaft/Kosten-fuer-Konnektor-Update-in-Pauschale-schon-enthalten-410296.html

Hallo Presselandschaft … Ist das Mikro an?

Und warum berichtet die deutsche Presse nicht hierüber? Hab‘ ich wieder meinen Aluhut nicht auf oder ist es den deutschen Medien wichtiger, wenn ein Softwarefehler in den USA eine unbemannten Raketenstart verzögert anstatt dass man konstruktiv zum Wohle besserer Haftungsregulierung über einen solchen Infrastrukturvorfall im deutschen Gesundheitswesen berichtet?


Kommentar – Es fehlt eine klare Kosten- und Software-Haftungsregelung!!

Es stellt sich erneut eine Frage (jahrelange Grundforderung des Chaos Computer Clubs): Softwarehaftung! Softwarehaftung! Softwarehaftung? Wer seine Software verbockt, sollte auch zahlen! Nur so nähern wir uns einer sicheren EDV-Landschaft im sogenannten Neuland … ohne durch Botnetze gekaperte IoT-Zombiegeräte und anfälliger IT-Infrastruktur. Warum muss ich als EDV-Dienstleister eigentlich zwingend eine Berufshaftpflichtversicherung vorweisen, die mich jährlich knappe 1000€ kostet? Darf ich etwa nicht, wenn ich tausende Kunden lahmlegen würde, die Kosten auf die Allgemeinheit abwälzen? Mist, irgendwas läuft da falsch.

Man sehnt sich mal wieder nach den Zeiten, in denen Software-Anbieter CDs/DVDs teuer produzieren mussten; denn hierbei wurde im Vorfeld ausgiebig getestet, da Fehlpressungen/Neupressungen teuer waren. Heutzutage verlassen sich zu viele Software- und IT-Anbieter auf das Motto „Naja, wenn im Update ein Fehler drin ist, beheben wir den einfach durch ein neues Update.“
Blöd nur, wenn ein fehlerhaftes Update den Ast absägt, auf dem man sitzt; sprich: den Ast, der für die nächsten Online-Updates benötigt wird.

Es wäre jetzt einfach, das Projekt mit Häme und „Told you so“-Bemerkungen zu überschütten – darf ich? darf ich? bitte bitte! 🙂 – , aber das wird dem Trend der Digitalisierung sowie der dafür nötigen technischen Sorgfalt nicht gerecht.
Wir wünschen den Arztpraxen von Herzen, dass die Beteiligten Lösungsanbieter aus diesem Vorfall lernen und künftige Zertifikats-/TrustedEntity-Wechsel ein mehrstufiges Publizierungsverfahren durchlaufen. Gibt’s dafür denn kein Testnetz mit z.B. einigen dutzend Testpraxen ????#!#??

Der deutschen Presselandschaft wünschen wir den Mut, auf konstruktive und gesellschaftlich engagierte TI-Begleiter/Anwender wie Herrn Streit zuzugehen.

Der Politik wünschen wir den Mut, endlich dringende Fragen im Bereich Software-Haftung anzugehen.

Allen Firmen und Anbietern wünschen wir mehr Sorgfalt beim Update von Verschlüsselungszertifikaten, Root-CAs und Trust-Anchors, denn ich möchte nicht, dass der letzte Text, den ich irgendwann ‚mal in meinem Leben lese, die folgende Meldung auf dem Display eines Defibrillator’s ist:
„Certificate not trustworthy. DeFi halted. Have a nice day.“ 🙂

Klingt abwegig? Passend dazu von Kollege Günter Born ein Blog-Artikel über den – durch fehlerhafte/vergessene/herstellerseitig eingestellte Kryptographieupdates zunehmenden – Wachstum auf dem SmartHome- und IoT-Gerätefriedhof:
https://www.borncity.com/blog/2020/06/11/abgelaufene-zertifikate-kicken-iot-gerte-ins-abseits/

Hat Ihnen dieser Beitrag gefallen oder geholfen?
Bedanken Sie sich? Mit einer kleinen Anerkennung für die inhaltliche Arbeit?
Jeder Betrag ist willkommen. Lieben Dank!