Warum waren es ausgerechnet die Zahnärzte, denen der Kragen platzte? Das kann auch Michael Evelt nicht auf Anhieb erklären. Vielleicht liege es an ihrem Temperament? Evelt, Mitte 50, Münsteraner, ist selber kein Zahnarzt, sondern Verwaltungswirt mit BWL- und Informatikstudium. Aber er ist Vizechef der Kassen zahnärztlichen Vereinigung Westfalen-Lippe. Evelt vertritt die Interessen der rund 5700 Dentisten seiner Region.
Und so viel traut er sich jetzt doch zu sagen: “Zahnärzte sind ein spezieller Menschenschlag.”
Was aber macht sie so speziell außer der Tatsache, dass sie feinmotorisch begabt sein müssen und anderen Menschen in den Mund schauen? “Zahnärzte sind Freiberufler”, sagt Evelt, und “Sinn und Zweck der Freiberuflichkeit” sei “eben auch, dass ich frei in meinem Unternehmen entscheiden kann”.
Doch in dieser Freiheit fühlen sich viele Zahnärzte offenbar seit Längerem empfindlich eingeschränkt. Grund ist ein “Konnektor”, eine Art Fritzbox, die seit 2017 in jeder deutschen Praxis stehen muss. Diese Router sollen Ärzten den Weg zu “Datenautobahn” und “Telematikinfrastruktur” eröffnen – also zur Welt der modernen Medizin. Damit, so das Versprechen, erhalten die Doktoren in Sekundenschnelle Zugriff auf elektronische Patientenakten, Notfalldaten und Medikationspläne, oder sie können mal eben per Mausklick Rezepte und Arbeitsunfähigkeitsbescheinigungen ausstellen.
Blackbox in der Praxis
Aber im Gesundheitswesen, wo Politik, Ärzte, Kassen, Unternehmen und Patientenvertreter mitmischen, gibt es ein allzu bekanntes Phänomen: Meist klingen Ziele und Absichten bahnbrechend, doch im Klein-Klein der Umsetzung hakt es oft gewaltig, am Ende auf Kosten der Beitragszahler. Diesmal ruft das sogar Hacker vom Chaos Computer Club als Ermittler auf den Plan.
“Und dann heißt es auch noch, wenn sie das Ding nicht nutzen, wird Honorar abgezogen.” Ärzte sind verpflichtet, solche Router in ihrer Praxis zu haben, andernsfalls droht eine Geldstrafe.
(Foto: Lorenz Mehrlich)
Für die Zahnärzte, sagt Evelt, seien die Konnektoren eine Blackbox: “Niemand weiß, was in dieser Kiste abläuft, welche Daten dort transportiert und wie sie aufbereitet werden.” Damit hätten viele Zahnärzte schon ideologisch ein Problem. “Und dann heißt es auch noch, wenn sie das Ding nicht nutzen, wird Honorar abgezogen.”
Evelt gerät jetzt so richtig in Rage, wenn er über die Tücken der “Telematikinfrastruktur” spricht. Bis heute gebe es nicht eine einzige Anwendung für dieses Spezialinternet des deutschen Gesundheitswesens, das Ärzten oder Patienten wirklich einen Mehrwert bringe. Und tatsächlich: Wer kennt schon aus dem Praxisalltag seine elektronische Patientenakte oder elektronisch ausgestellte Rezepte und Arbeitsunfähigkeitsbescheinigungen?
Dabei stehen die Konnektoren seit 2017 in deutschen Praxen. Aber damit nicht genug: Jetzt sollen Geräte, die 2017 ausgeliefert wurden, schon wieder ausgetauscht werden. Begründung: Die Patientendaten seien nicht mehr gut genug vor Hackerangriffen geschützt.
Das war der Zeitpunkt, als den Zahnärzten endgültig der Kragen platzte. Im Oktober erstatteten sie Anzeige bei der Stelle zur Bekämpfung von Fehlverhalten im Gesundheitswesen, die der Spitzenverband der gesetzlichen Krankenkassen eingerichtet hat. Deren Aufgabe ist, Korruption im Dickicht des Gesundheitswesens aufzudecken. Die Zahnärzte wollen herausfinden, ob es Unfähigkeit oder Gier war, die schon bald zu einem Haufen Elektroschrott führen wird. Für beides gibt es Anhaltspunkte.
Und ausgerechnet der Hackerverein Chaos Computer Club (CCC) ist den Zahndoktoren behilflich. Der fand heraus, dass es deutlich günstigere Methoden gegeben hätte, die Praxen-IT weiterhin sicher zu halten. Dennoch entschied sich das Bundesgesundheitsministerium für den Austausch, was die Versicherten rund 85 Millionen Euro extra kostet. Profiteur ist ein einziges Unternehmen: die Compugroup Medical AG (CGM).
Sieht aus wie eine stinknormale Fritzbox
Die CGM ist eine von drei Firmen, die sich den Markt für die sichere IT in Arztpraxen untereinander aufteilen; die beiden anderen heißen Secunet und Rise. Die Konnektoren sind das Herzstück dieser IT. Jede Arztpraxis, jede Apotheke, jeder Pflegedienst in Deutschland muss die Geräte nutzen, andernfalls ist eine Strafzahlung fällig. Und die Drohung wirkt – in Deutschlands Praxen gibt es mittlerweile rund 130 000 dieser Router, was Ärzte aber noch lange nicht zu deren Fans macht.
Hausbesuch im Münchner Vorort Denning-Bogenhausen. In einer Nebenstraße liegt die Zahnarztpraxis von Christian Öttl. Sie wirkt in die Jahre gekommen, PVC-Boden, es weht der Hauch der 80er, alles erscheint ein bisschen eng und verwinkelt. Öttl ist Bundesvorsitzender des Freien Verbands Deutscher Zahnärzte. Früher war seine Praxis deutlich größer, einst versorgten hier drei Zahnärzte und 14 Mitarbeiter ihre Patienten. Heute gibt es nur noch einen Behandlungsraum, den Zahnarzt Öttl und seinen Konnektor.
“Ich bin nicht gegen Digitalisierung”: Christian Öttl ist Zahnarzt in München und Bundesvorsitzender des Freien Verbands Deutscher Zahnärzte.
(Foto: Lorenz Mehrlich)
“Ich bin nicht gegen Digitalisierung”, sagt Öttl. “Aber ich will, dass die Dinge funktionieren. Und ich will, dass sie auch ein Zahnarzt installieren kann.” Der kleine weiße Kasten, bei Christian Öttl ist er zwischen Monitor und Wand versteckt, sieht unscheinbar aus – wie eine stinknormale Fritzbox. Es ist aber eine ziemlich teure Fritzbox: Sie kostet 2300 Euro. Das jedenfalls ist der Maximalbetrag, den die gesetzliche Krankenkasse den Ärzten für einen Konnektor erstatten. Und es ist auch genau der Betrag, den alle drei Hersteller für ihre Geräte verlangen. Zufall?
Ein immerhin erstaunlicher Zufall, weswegen Öttls Verband im Frühjahr 2022 mal beim Bundeskartellamt anklopfte, ob da eigentlich alles mit rechten Dingen zugehe.
Doch das Amt winkte ab: Nicht auf jedem Markt, der nicht funktioniere, gebe es illegale Absprachen. Wenn Firmen wissen, dass sie maximal 2300 Euro verlangen dürfen, dann sei es für alle drei sinnvoll, zunächst einmal diese Summe zu fordern. In einem funktionierenden Markt aber würde eine der Firmen irgendwann versuchen, den anderen Marktanteile abzujagen und mehr Umsatz zu machen, indem sie nur 2000 Euro verlange. Doch der Gesundheitsmarkt ist kein solcher Markt. Ärzte haben wenig Anreiz, zum billigeren Anbieter zu wechseln, sie bekommen die Kosten ja erstattet. Spricht für einen ineffizienten Markt. Aber gleich Korruption?
Organisiert wird dieser sehr spezielle Markt von der Gematik GmbH. Die Gesellschaft, die zu 51 Prozent dem Bund gehört, soll sich um die Digitalisierung des Gesundheitswesens kümmern. Sie legt auch fest, was die Konnektoren können müssen und wer sie vertreiben darf. Damit wäre die Gematik jetzt auch mitverantwortlich, wenn womöglich zig Millionen an Versichertengeldern verschwendet werden.
Als die Konnektoren 2017 eingeführt wurden, war klar, dass die Verschlüsselung der Geräte nach fünf Jahren abläuft. Um sie weiter nutzen zu können, sollten die Hersteller sich darauf einstellen, nachträglich Softwareupdates zur Verfügung zu stellen. Doch erst im Juni 2021 beschloss die Gematik, diese Laufzeitverlängerung per Software-Update von den Anbietern zu verlangen. Bis Anfang 2022 erledigten zwei der Hersteller das tatsächlich – Secunet und Rise. Doch ausgerechnet das Unternehmen, dessen Geräte als Erstes unbrauchbar werden würden, setzte die Anforderung am gemächlichsten um: die Compugroup Medical AG. Die CGM war die erste Firma, die 2017 Konnektoren auslieferte. Und so gut wie alle Konnektoren, die bis Mitte 2023 den Geist aufgeben werden, sind Geräte der CGM.
Auf Anfrage sagt die CGM, dass sie geplant hatte, das Softwareupdate noch rechtzeitig einzubauen. Doch das musste sie dann auf einmal gar nicht mehr. Die Gesellschafterversammlung der Gematik beschloss im vorigen Februar, die Laufzeitverlängerung per Update zurückzunehmen und stattdessen die deutlich teurere Lösung vorzuschreiben: den Austausch der Geräte. Die beiden Hersteller, die das Update bereits umgesetzt hatten, wurden aufgefordert, die Option wieder zu entfernen. Warum, das bleibt bis heute rätselhaft. Die Gematik behauptete zu diesem Zeitpunkt, die Gesellschafter seien nun überzeugt gewesen, der Austausch aller Konnektoren sei die “sicherste und ökonomisch sinnvollste Lösung”. Doch das erscheint aus heutiger Sicht mindestens zweifelhaft.
Quantencomputer werden zum Problem
Denn die Gematik berief sich damit plötzlich auf den technologischen Fortschritt bei Quantencomputern, der herkömmliche Verschlüsselungsmethoden unsicher werden lässt. So hatte die sogenannte RSA-Methode jahrelang als Goldstandard der Verschlüsselung gegolten. Doch bereits seit 2014 empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI), bei langfristigen Projekten auf modernere Verschlüsselungstechniken wie das ECC-Verfahren zu setzen, weil das auch von Quantencomputern nicht leicht geknackt werden kann.
Lange aber hatte die Gematik diese BSI-Warnung ignoriert: Konnektoren, die bis 2020 in Arztpraxen installiert wurden, sind deshalb standardmäßig nur RSA-verschlüsselt. Das wird jetzt zum Problem, denn die EU legte fest, dass RSA von Ende 2025 an nicht mehr als sicher eingestuft wird.
Die Gematik argumentierte nun: Selbst wenn ältere Konnektoren jetzt per Softwareupdate weiter genutzt werden könnten, müsste man sie 2025 trotzdem ersetzen, weil sie die neue ECC-Verschlüsselung nicht beherrschten. Dieses Argument, das die Gesellschafter der Gematik schließlich überzeugte, stammt offenbar vom Hersteller CGM. Aber stimmt die Behauptung überhaupt?
Offenbar nicht, denn mit einem technischen Trick könnten auch die ältesten Konnektoren über 2025 hinaus betrieben werden. Herausgefunden hat das Carl Fabian Lüpke, Hacker vom Chaos Computer Club.
“Ich glaube, dass sich die Leute einfach nur alle blöd stellen”, sagt Carl Fabian Lüpke, Hacker beim Chaos Computer Club.
(Foto: privat)
Lüpke, Mitte 20, pinkfarbene Haare, tat nur, was CCC-Hacker gerne tun, wenn irgendjemand behauptet, dies oder das funktioniere technisch nicht. Er schraubte Konnektoren auf und überprüfte, was geht und was nicht. Dabei fand er heraus: Auch die ältesten CGM-Konnektoren beherrschen die neue ECC-Verschlüsselung. Eine Nachfrage des Online-Magazins Heise beim BSI bestätigte Lüpkes Recherchen. Damit ältere Konnektoren von CGM auf diese Art modernisiert werden können, müsse allerdings ein neues Programm geschrieben werden, um die Router per Fernwartung mit einem Update auf den neuesten Stand zu bringen, beschied das Amt.
Ein solches Programm sei nicht ganz trivial, gibt auch Hacker Lüpke zu, für einen professionelles IT-Hersteller wie CGM müsse das aber machbar sein. Vor allem sei es wesentlich günstiger, als Zigtausende Konnektoren auszutauschen. Doch warum ist das dann nicht passiert? “Ich glaube”, sagt Lüpke, “dass sich die Leute einfach nur alle blöd stellen. Und dass es denen überhaupt nicht darum geht, in irgendeiner Art und Weise verantwortungsvoll mit Versichertengeldern umzugehen.”
Das BSI bestätigt: Es gäbe Alternativen
Der Vorwurf zielt gegen die Compugroup Medical AG. Er richtet sich aber auch gegen die Gematik und ihren Mehrheitseigner – das Bundesgesundheitsministerium (BMG). Denn wie die Gematik der SZ nach mehrfachen Anfragen mitteilte, wurde Lüpkes Vorschlag für das aufwendigere Softwareupdate bei der entscheidenden Gematik-Sitzung nicht einmal thematisiert. Eine solche Lösung sei vor fünf Jahren bereits verworfen worden, sagt die Gematik heute, weil sie damals als zu komplex erachtet wurde.
Doch hätte die Gematik die Möglichkeit nicht erneut in Betracht ziehen müssen? Denn was noch 2016 als zu komplex gegolten hatte, konnte seither ja längst machbar sein. Und wer überzeugte wann wen, dass ein kompletter Austausch die einzig sinnvolle und sichere Lösung sei?
Genau diese Fragen wollen auch die Zahnärzte jetzt durch Ermittlungen der Korruptionsstelle im Gesundheitswesen klären lassen.
Es geht um sehr viel Geld. Der im Februar beschlossene Austausch hätte die gesetzlich Versicherten bei 130 000 betroffenen Geräten rund 300 Millionen Euro gekostet. Dass es jetzt “nur” um Geldverschwendung von rund 85 Millionen Euro geht, ist vor allem auf die Berichterstattung des Internetmagazins heise.de zurückzuführen. Die Webseite und die zum Verlag gehörende Zeitschrift c’t schrieben zwischen Februar und Dezember 2022 Dutzende Artikel über die befürchtete Verschwendung und richteten einen offenen Brief an SPD-Gesundheitsminister Karl Lauterbach.
Und plötzlich änderte irgendwer wieder seine Meinung. Überraschend stimmten die Gesellschafter der Gematik im Dezember 2022 erneut ab. Auf einmal wurde die Laufzeitverlängerung per Software wieder eine Option. Nun gibt es also doch Alternativen zum Komplettaustausch der Router.
Für rund 50 000 ausgemusterte Geräte der Firma CGM kommt dieser Stimmungsumschwung im Gesundheitsministerium jedoch zu spät. Das Unternehmen wird bis Spätsommer 2023 mit dem Austausch seiner Router rund 115 Millionen Euro Umsatz erzielt haben. Das Software-Update hätte Experten zufolge nur etwa 30 Millionen Euro eingebracht. Differenz: rund 85 Millionen Euro; Geld, das nun bei einem Unternehmen landet und nach Ansicht der Zahnärzte anderswo im Gesundheitssystem dringender gebraucht worden wäre.
Ob dabei an irgendeiner Stelle Vorsatz im Spiel war, das untersucht jetzt die Korruptionsstelle beim Spitzenverband der gesetzlichen Krankenkassen. Sollte sie fündig werden, dann werden die Ergebnisse an die Staatsanwaltschaft übergeben.