Drucksachennummer 20/4271
1. Wie bewertet das Bundesministerium für Gesundheit (BMG) – unter Berücksichtigung der Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik
(BSI), das einen Betrieb der ersten Konnektoren-Generation mit den derzeitigen RSA-Sicherheitsschlüsseln bis Ende 2025 als vertretbar einstuft– den von der Gematik GmbH „als einzig sinnvolle Alternative“ (https://www.gematik.de/newsroom/news-detail/pressemitteilung-gematikreaktion-auf-ccc-veroeffentlichung-zu-konnektoren) bezeichneten Austausch der Konnektoren bis August 2023?
a) Wie bewertet das BMG die Aussage der Gematik GmbH, die Hardware sei veraltet und müsse ausgetauscht werden, um eine stabile TI aufrechtzuerhalten?
b) Liegen validierte Erkenntnisse über konkrete Hardwareprobleme der Konnektoren vor?
c) Welche Kriterien sind dem BMG bekannt, anhand derer die Gematik GmbH zu einem anderen Prüfergebnis als das BSI gelangte (bitte insbesondere darauf Bezug nehmen, aus welchen Gründen die Konnektoren, die über die Fähigkeit der Elliptische-Kurven-Kryptografie verfügen, nicht auch über das Jahr 2025 hinaus betrieben werden können)?
d) Gab es eine erneute Bewertung des Konnektoren-Tausches, nachdem der Chaos Computer Club das Software-Update für die erste Konnektoren-Generation entwickelt hatte, oder ist eine erneute Bewertung/ Überprüfung geplant (Wenn ja, bitte deren Ergebnisse und mögliche Konsequenzen/Alternativen beschreiben, wenn nein, bitte begründen, warum keine Neubewertung erfolgt)?
Antwort der Bundesregierung
a) Die Konnektoren der Telematikinfrastruktur (TI) haben, wie andere IT-Komponenten auch, eine begrenzte Lebensdauer. Bei Konnektoren wurde die Gültigkeit der Zertifikate aus Sicherheitsgründen auf fünf Jahre festgelegt. Für Konnektoren, die nunmehr knapp fünf Jahre in Betrieb sind, bedeutet dies, dass seit September
2022 die ersten Zertifikate ablaufen.
b) Validierte Erkenntnisse zu konkreten Hardwareproblemen der Konnektoren liegen der Bundesregierung nicht vor.
c) Hierzu gibt es keine unterschiedlichen Ergebnisse bzw. Erkenntnisse seitens der Gesellschaft für Telematik und des Bundesamtes für Sicherheit in der Informationstechnik. Die Konnektoren, die bereits heute ECC-fähig sind, können auch über das Jahr 2025 hinaus verlängert werden.
d) Die vom Chaos Computer Club (CCC) veröffentlichten Ergebnisse sind grundsätzlich nicht neu. Auch die Gesellschaft für Telematik und ihre Gesellschafter hatten Alternativen zum Konnektortausch geprüft und Entwicklungsprojekte angestoßen. So hatte die Gesellschaft für Telematik beispielsweise am 16. März 2022 die Spezifikation eines Highspeed-Konnektors veröffentlicht. Die vom CCC initiierte öffentliche Diskussion hat aber dazu geführt, dass die Industrie ihren Produktzyklus noch einmal beschleunigt hat.
2. Wie viele der erstzugelassenen Konnektoren müssen nach Kenntnis des BMG ausgetauscht werden (bitte nach Hersteller und Jahr des erforderlichen Austausches aufschlüsseln) und welche Hersteller sind mit welcher Gerätezahl davon betroffen, dass die Konnektoren bis August 2023 ausgetauscht werden müssen?
Antwort der Bundesregierung:
Zwingend getauscht werden müssen nur die älteren Konnektoren der ersten Generation. In diesem Jahr sind dies ca. 18.000 Konnektoren der Firma KoCo Connector GmbH. 2022 laufen ca. 15.000 Zertifikate von Konnektoren des Herstellers KoCo Connector GmbH ab. Davon betroffen sind ca. 17.000 Leitungserbringer-Institutionen.
3. Wie setzen sich nach Kenntnis des BMG die Kosten für einen Konnektor zusammen (sofern möglich, bitte für jeden Hersteller aufschlüsseln und unter anderem Anschaffungskosten, Hardwarekosten, Softwarekosten sowie separat Zertifikatskosten und Wartungskosten angeben)?
Antwort der Bundesregierung:
Der Bundesregierung liegen hierzu keine Erkenntnisse vor.
4. Welche Kosten (bitte nach berechenbaren Gesamt- und zusätzlich geschätzten Folgekosten, z.B. durch Ausfall oder Nichterreichbarkeit von Arztpraxen, aufschlüsseln) ergeben sich nach Kenntnis des BMG
a) beim von der Gematik GmbH favorisierten Austausch der Konnektoren?
b) bei einem Software-Update der Konnektoren ohne Austausch der Hardware, wie ihn Expert:innen des Chaos Computer Clubs vorschlugen (entweder mit dem bereitgestellten oder einem von der Gematik selbst entwickelten Software-Update)?
Antwort der Bundesregierung:
Der Bundesregierung liegen dazu keine Erkenntnisse vor.
5. Wie sicher ist das BMG, dass die Gematik GmbH bis 2025 die TI 2.0 einführt, und welche Gegenmaßnahmen beabsichtigt das BMG zu ergreifen, falls die
Gematik GmbH dies nicht tut?
a) Kann das BMG nach derzeitigem Kenntnisstand sicherstellen, dass eine Erneuerung der Hardware nach einer fünfjährigen Laufzeit nicht erneut mit einem Austausch der Konnektoren einhergeht, der viele Millionen Euro kostet, einen Berg Hardwareschrott verursacht und unzählige Einrichtungen des Gesundheitswesens erheblich beeinträchtigt?
b) Wie beurteilt und begründet das BMG dies im Kontext der Einschätzung, wonach die Gematik GmbH einen Austausch der Hardware als „wirtschaftlichste Lösung identifiziert“, und mit welchen Maßnahmen wird das BMG versuchen, die negativen Folgen zu verhindern oder zu minimieren?
Antwort der Bundesregierung:
Die Gesellschaft für Telematik wurde beauftragt, alternative Lösungen zum Hardwaretausch vorzubereiten. Die Zertifikatsverlängerung über ein Software-Update wird in die Konnektor-Spezifikation aufgenommen. Weitere Alternativen zum Hardwaretausch sind neben dieser Zertifikatsverlängerung auch eine Hosting-Lösung, z. B. im Rahmen des sogenannten Highspeed Konnektors. Dieser wird voraussichtlich im Jahr 2023 zur Verfügung stehen. Somit werden zukünftig ausreichend Alternativen zu einem Hardwaretausch zur Auswahl stehen. Die Gesellschaft für Telematik plant, die Grundelemente der TI 2.0 ab dem Jahr 2025 bereitzustellen.
6. Mit welcher Begründung hat sich die Gematik GmbH auf ihrer Vertreterversammlung am 28. Februar 2022 nach Kenntnis des BMG zu einem Austausch der Konnektoren entschieden?
Antwort der Bundesregierung:
Zur Gewährleistung eines kontinuierlichen Betriebs der TI wurden verschiedene Optionen in den Gremien der Gesellschaft für Telematik diskutiert. In diesem Zusammenhang wurden als Lösungsmöglichkeiten sowohl die Laufzeitverlängerung als auch der Gerätetausch geprüft. Die Entscheidung für einen Hardwaretausch wurde getroffen, weil eine einmalige Laufzeitverlängerung der Zertifikate nur übergangsweise bis Ende 2025 getragen hätte. Hintergrund ist, dass die in den älteren Konnektoren vorhandenen Verschlüsselungsmethoden (RSA-Schlüssel mit 2048 Bit Länge) in der TI dann nicht mehr verwendet werden dürften. Der Hardwaretausch wurde als insgesamt sicherste und wirtschaftlichste Lösung identifiziert.
7. Aus welchen Gründen folgte nach Kenntnis des BMG die Gematik GmbH nicht bereits 2014 der Empfehlung des BSI, das in seiner technischen Richtlinie TR-02102-1 (http://web.archive. org/web/20141006164644/https:/www.bsi.bund.de/Shared-Docs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/ TR02102/BSI-TR-02102_pdf.pdf?__blob=publicationFile) drei Jahre vor dem Vertrieb der ersten TI-Konnektoren empfahl, für Systeme mit länger vorgesehener Einsatzdauer bereits ab 2016 Schlüssellängen von mindestens 3000 Bits einzusetzen?
Antwort der Bundesregierung:
Im Jahr 2014 war das Bundesministerium für Gesundheit noch kein Gesellschafter der gematik. Nach Aussage der gematik wurde die Entscheidung durch die damaligen Gesellschafter vor dem Hintergrund des avisierten Wechsels auf ECC-Schlüssel getroffen
8. Wie lautet das Prüfungsergebnis des BMG, um den Wettbewerb der Anbieter der Komponenten der Telematikinfrastruktur im Sinne von Qualität, Wirtschaftlichkeit und Innovation zu verbessern (s. Antwort der Bundesregierung auf die Schriftliche Frage 120, Bundesdrucksache 20/3097, S. 85, https://dserver.bundestag.de/btd/20/030/2003097.pdf), und welche Initiativen werden zukünftig ergriffen, damit sich für vorbildliche Hersteller Marktvorteile ergeben?
Antwort der Bundesregierung:
Das Bundesministerium für Gesundheit ist bei seiner Prüfung zu dem Ergebnis gekommen, dass sich das bisherige in den §§ 376 ff. Fünftes Buch Sozialgesetzbuch vorgesehene Finanzierungsmodell für die Ausstattung und den Betrieb der Komponenten und Dienste der TI nicht bewährt hat. Denn Marktmechanismen und in der Folge
Marktpreise konnten sich so nicht hinreichend entfalten. Die Umstellung des Finanzierungsmodells ist zum gegenwärtigen Zeitpunkt Gegenstand der Beratungen zum Gesetzentwurf zur Pflegepersonalbemessung im Krankenhaus sowie zur Anpassung weiterer Regelungen im Krankenhauswesen und in der Digitalisierung (Krankenhauspflegeentlastungsgesetz– KHPflEG (BT-Drs. 20/3876).
9. Plant die Gematik GmbH, zivilgesellschaftliche Akteure zukünftig stärker (bzw. überhaupt) in Beteiligungsprozesse einzubinden, insbesondere nachdem der Chaos Computer Club eine sowohl wirtschaftlichere als auch nachhaltigere und für die Akteure im Gesundheitswesen weniger disruptive alternative Problemlösung mittels Software-Update vorgelegt hat (falls ja, inwiefern und, falls nein, wieso nicht)?
Antwort der Bundesregierung:
Die Gesellschaft für Telematik steht bereits im engen Austausch mit der Fachöffentlichkeit und beteiligten Akteuren. Um Transparenz zu schaffen, werden u. a. Vorabversionen der Spezifikationen und Machbarkeitsstudien im gematik-Fachportal veröffentlicht. Dadurch werden alle Beteiligte frühzeitig eingebunden.
10. Wie beurteilt die Bundesregierung den ins Auge gefassten Austausch der Konnektoren unter Nachhaltigkeitsaspekten, insbesondere unter Berücksichtigung des Koalitionsvertrages 2021-2025 (s. S. 15: „Ersatzteile und Softwareupdates für IT-Geräte müssen für die übliche Nutzungsdauer verpflichtend verfügbar sein.”) und des Bekenntnisses zum Grundsatz „Reparieren statt Wegwerfen“?
a) Was ist aus Sicht der Bundesregierung die „übliche Nutzungsdauer“ der Konnektoren?
b) Ist derzeit irgendeine Form der Nachverwendung der auszuwechselnden Konnektoren geplant und, falls ja, welche Optionen werden dafür erwogen und was sind die jeweiligen Ergebnisse, falls nein, wieso nicht und was geschieht dann konkret mit den Konnektoren?
Antwort der Bundesregierung:
a) Die Konnektoren waren in ihrer Funktion als Sicherheitsanker für die Kommunikation innerhalb der Telematikinfrastruktur auf eine Nutzungsdauer von fünf Jahren ausgelegt. Das Bundesamt für Sicherheit in der Informationstechnik erachtet die Nutzung der von den Konnektoren verwendeten Zertifikate innerhalb dieses Zeitraums als angemessen sicher. Die Zertifikatsverlängerung über ein Software-Update wird durch die gematik in die Konnektor-Spezifikation aufgenommen.
b) Konnektoren, die ausgetauscht werden, müssen aus Sicherheitsgründen nach einem Zurücksetzen über die sichere Lieferkette an den Hersteller zur Entsorgung zurückgesendet werden. Die zu durchlaufenden Schritte sind in den Betriebsanleitungen der Konnektoren vorgegeben. Die Gesellschaft für Telematik hat bereits eine zeitgemäße Neukonzeption (sog. TI 2.0) entwickelt, wonach in Zukunft keine TI-spezifische Hardware mehr erforderlich sein wird.