Kürzlich schrieb mich meine Krankenkasse an und bat um ein Passbild für die demnächst ausgegebene elektronische Gesundheitskarte (eGK). An sich ein guter Anlass, sich etwas genauer mit diesem bereits seit Jahren laufenden Projekt zu beschäftigen, das federführend von einer speziell dafür gegründeten Projektgesellschaft, der Gematik GmbH vorangetrieben wird.
Die eGK ist ein weiteres staatliches IT-Großprojekt, das bereits seit Jahren mit explodierenden Kosten, übermäßiger Komplexität, politischen Querelen sowie sicherheits- und datenschutztechnischen Problemen kämpft.
Die Ärzte misstrauen der eGK, da sie einerseits administrative Mehraufwände in ihrem Tagesgeschäft befürchten und andererseits dem Streben der Krankenkassen nach mehr Transparenz bei den Leistungserbringern im Gesundheitswesen durch zentrale Datenspeicherung kritisch gegenüberstehen.
Der Chaos Computer Club kritisiert die Einführung der eGK, da notwendige Feldtests zur Evaluation aufgrund von Fehlplanungen nicht wie vorgesehen durchgeführt wurden und weist auf unkalkulierbaren Risiken und Nebenwirkungen des Experiments durch nicht hinreichend durchdachte und getestete Software hin.
Und die Gesellschaft für Informatik fordert eine erweiterte Risikoanalyse, insbesondere hinsichtlich bestehender Probleme beim Umgang mit Gesundheits- und Patientendaten sowie dem informationellen Selbstbestimmungsrecht des Einzelnen.
„Die Gesundheitskarte darf insbesondere im Hinblick auf das Vertrauen in die Informationstechnik in Deutschland nicht zu einem ähnlichen Desaster wie der erste Versuch von Toll Collect werden“, warnte der ehemalige GI-Präsident Matthias Jarke bereits 2005 in Hannover und lies darin berechtigte Skepsis gegenüber staatlichen IT-Megaprojekten anklingen.
Und bereits seit Längerem wird über Art und Umfang von Feldtests der eGK gestritten. Testen ist teuer. Daher wurde z.B. der sog. „100.0000er Test“ mit einer entsprechend großen Menge an teilnehmenden Karten in mehreren Testgebieten kurzerhand gestrichen, um Kosten zu sparen.
Passenderweise wurde kürzlich ein erneuter größerer Lapsus bekannt. Für die Datensicherheit bei der eGK werden u.a. Zertifikate und eine eigene Public-Key-Infrastruktur verwendet. Dazu gibt es zur Authentifizierung auf den Karten ein Card-Verifiable-Zertifikat (CV-Zertifikat), das in letzter Instanz von einer Root Certificate Authority (Root-CA) abhängt. Alle eGK-Kartenhersteller beziehen sich auf diese Root-CA, wenn sie CV-Zertifikate auf ihren Karten anbringen.
Öffentliche und private Schlüssel werden darin von einem Hochsicherheitsmodul (HSM, einer besonders leistungsfähigen Smartcard mit eigenem Prozessor und Zufallszahlengenerator) erzeugt und gespeichert. Mit einer Backup-Prozedur werden diese Daten gespeichert. Zudem , verfügt das HSM über einen Softwareschutz, der Angriffe erkennen und das System bei Anomalitäten (fehlerhafte PIN-Eingaben, Spannungsabfälle etc.) herunterfahren soll.
Klingt an sich wie eine „sichere Sache“. Um diesen Teil der Infrastruktur zu betreiben, vergab die Gematik dies als Auftrag an den Dienstleister D-Trust. Und dort rauchte das Hochsicherheitsmodul dann ab.
Genauer gesagt tat es das, was es bei Störfällen tun sollte: Sich geordnet herunterzufahren und seine Daten zu löschen. Matthias Merx, Geschäftsführer von D-Trust dazu „Das HSM hat eigenständig die Daten gelöscht, weil es einen Angriff vermutete“.
Nicht weiter schlimm möchte man meinen. Wieder hochfahren, letztes Backup einspielen und das Ding läuft wieder. Dumm nur dass es gar kein Backup gab.
Denn die Gematik hatte in der Beauftragung des Dienstleisters wohl das regelmäßige Anlegen von Sicherheitskopien aus Kostengründen gestrichen. Was deren Sprecher Daniel Poeschkens wiederum bestreitet: „Wir haben uns nicht gegen einen Backup-Dienst entschieden. Vielmehr ist es so, dass der Dienstleister den Betrieb des Testsystems übernommen und auch den fortlaufenden Betrieb zu gewährleisten hat. Wie er dieser Verpflichtung nachkommt, obliegt seiner Verantwortung“.
Sieht so aus wie einer jener Konflikte, die häufig nach Schadensfällen aus der unterschiedlichen Auslegung vertraglicher Vereinbarungen entstehen.
Daher musste die Gematik an ihre derzeitigen Testpartner in NRW ein peinliches Rundschreiben rausschicken: „In der Konsequenz heißt dies, dass zu den derzeit im Umlauf befindlichen korrekten eGK-Musterkarten der Generation 1 insbesondere keine Muster-HBA der Generation 1 mehr produziert werden können, die mit den bereits existierenden eGKs eine erfolgreiche Card-to-Card-Authentifizierung durchführen können. Bitte beachten Sie daher, dass die für den nordrheinischen Interoperabilitätstest verteilten korrekten Muster-eGKs ausschließlich für Tests im Basis-Rollout-Szenario verwendet werden können und nach den Basis-Rollout-Tests zu vernichten sind. Obwohl die Muster-eGKs korrekt sind, müssen sie für Tests in künftigen Stufen der Telematik-Infrastruktur noch einmal ersetzt werden.“
Was da technokratisch verschwurbelt steht, bedeutet im Klartext: „Wir haben unsere PKI geschrottet und jetzt ist eine neue fällig. Leider funktionieren damit eure Karten zum Teil nicht mehr. Daher dürft ihr sie jetzt wegwerfen und bekommt von uns neue“.
Dumm gelaufen!
Halte Dein Backup in Ehren – Du könntest es noch mal brauchen…
