Menu
Menu

Zentrale TI-Störung & die Folgekosten: Transparenz schaffen!

Nach einem Konfigurationsfehler in der zentralen Telematikinfrastruktur müssen nun mit erheblichem Aufwand auf rund 80.000 Konnektoren aktuelle TSL-Zertifikate eingespielt werden. In den betroffenen Praxen herrscht große Verunsicherung darüber, was genau die TI-Störung ausgelöst hat, wer sie wie behebt und wer die Kosten dafür übernimmt.

IT-Sicherheit

Mit den folgenden FAQ möchte das DGN etwas Licht ins Dunkel bringen – verbunden mit der Forderung, dass in diesem Vorgang für alle Beteiligten mehr Transparenz geschaffen wird.

Häufige Fragen und unsere Antworten darauf

Wie ist die Störung erfolgt?

Die Störung in der zentralen Telematikinfrastruktur (TI) wurde Ende Mai 2020 dadurch ausgelöst, dass nach einem Wechsel des DNS-SEC-Schlüssels die Aktualisierung der von der gematik neu ausgeliefertem TSL (Trusted Service List) ausblieb. Die nicht kommunizierte Änderung des Vertrauensankers führte dazu, dass die Konnektoren dem aktuell gültigen Vertrauensanker nicht mehr vertrauten. Dies wiederum hatte zur Folge, dass der Versichertenstammdatendienst (VSDM) nicht mehr funktionierte.

Betroffen sind alle Konnektoren, die das sichere DNS-SEC-Verfahren verwenden. Dieses zentral verursachte Problem kann leider nur dezentral innerhalb der Arzt- oder Zahnarztpraxis mit dem Aufspielen eines aktuellen TSL-Zertifikats mit dem aktuell gültigen Vertrauensanker gelöst werden.

Kann der Konnektor keine Verbindung mehr zur TI aufbauen?

Der Konnektor kann weiterhin eine Verbindung zum zentralen Netz der TI aufbauen, jedoch können einige Dienste innerhalb der TI nicht oder nur eingeschränkt erreicht werden. Das DGN als Anbieter des DGN TI Pakets (für Arztpraxen) ist damit seinen Verpflichtungen gemäß der abgeschlossenen Verträge zum TI-Zugang nachgekommen.

Das DGN kann als VPN-Zugangsdienstanbieter nicht beeinflussen, wenn in der zentralen TI Dienste ausfallen oder nicht mehr erreichbar sind - aufgrund eines Zertifikats, das ein von der gematik beauftragtes Unternehmen falsch konfiguriert hatte und das von der gematik freigegeben wurde.

Wer hilft Praxen bei der Problembeseitigung?

Für Nutzer des DGN TI-Pakets gilt: Selbstverständlich bietet der PVS-Partner, der vom DGN mit dem 1-Level-Support beauftragt ist, Hilfestellung beim Einspielen des TSL-Zertifikats.

Um die Zertifikatsumstellung so einfach wie möglich zu gestalten, haben die meisten PVS-Partner des DGN in ihren jeweiligen Quartalsupdates eine Funktion integriert, mit deren Hilfe das aktuelle Zertifikat aus der gewohnten Umgebung komfortabel aufgespielt werden kann. Mehr erfahren >

Bis zu welchem Zeitpunkt muss die TSL erneuert werden?

Die TSL hat eine begrenzte Laufzeit von 30 Tagen. Die letzte betroffene TSL wurde mit Datum 19.05.2020 ausgeliefert. Nach den 30 Tagen beginnt eine so genannte Schonfrist (Grace Period). So lange funktioniert der Konnektor noch ohne Einschränkung.

Nach weiteren 30 Tagen gehen die Konnektoren dann in einen kritischen Betriebszustand. Mit Erreichen dieses Betriebszustands können dann auch im Offline-Modus keine elektronischen Gesundheitskarten mehr eingelesen werden. Die Kartenleser sind dann nicht mehr in Betrieb.

Entsteht der Praxis ein finanzieller Schaden?

Die gematik und KBV (als gematik-Gesellschafterin) haben auch öffentlich versichert, das Praxen durch den nicht durchgeführten Versichertenstammdatenabgleich (VSDM) kein Schaden bei der Abrechnung entsteht. Die der Praxis von der KV erstatteten monatlichen Gebühren bleiben unberührt.

Nach den gesetzlichen Vorgaben sind die Krankenkassen verpflichtet, die erforderlichen Kosten für die Ausstattung der Praxen und den laufenden Betrieb zu übernehmen. Somit entsteht auch hier der Praxis kein Schaden durch den Ausfall des VSDM-Dienstes.

Für Zahnarztpraxen dürfte Ähnliches gelten. Weitere Informationen bietet z. B. ein Beitrag der dzw: "Telematikinfrastruktur - Störfall und keinen stört‘s?"

Wer übernimmt die Kosten für das Einspielen des TSL-Zertifikats?

In der TI-Finanzierungsvereinbarung (Anlage 32 BMV-Ä) zwischen der KBV und dem GKV-Spitzenverband sind in §3 die Betriebskosten geregelt. Die Praxis erhält demnach Betriebskostenpauschalen, um den TI-Betrieb sicherzustellen. Wen sie damit beauftragt, liegt in ihrem Ermessen. In §4 der Finanzierungsvereinbarung ist geregelt, dass die Praxis für die TI-Anbindung entweder

  • (1) einen professionellen endnutzernahen Dienstleister (DVO) beauftragen oder
  • (2) die TI-Komponenten und Dienstleistungen selbst beschaffen kann.

 

In Fall (2) geht die Sicherstellung der Funktionsfähigkeit der TI-Komponenten auf die Praxis über.

Für das Herunterladen des TSL-Zertifikats über das Internet und dessen Einspielen steht im Rahmen des VPN-Zugangsdienst-Vertrags der telefonische Support der DGN-Partner und des DGN kostenfrei zur Verfügung.

Ein Vor-Ort-Einsatz in der Praxis ist bisher nur selten erforderlich – beispielsweise, wenn die Praxis nicht mehr im Besitz des Konnektor-Passworts ist.

Warum sind nicht alle Konnektoren von der Störung betroffen?

Für das hohe Sicherheitsniveau in der TI wird ein sicheres Verfahren für die Namensauflösung (DNS-SEC) eingesetzt. Dieses ist für die Auflösung von Namen in IP-Adressen notwendig. Alle dabei verwendeten kryptografischen Schlüssel werden auf diesen Vertrauensanker zurückgeführt.

DNS-SEC überprüft die Daten anhand von kryptografisch gesicherten Signaturen, die über die zu schützenden Daten errechnet und zusammen mit den Daten an den Konnektor übertragen werden.

Rund 50.000 von ca. 130.000 Konnektoren haben das DNS-SEC-Verfahren nicht im Einsatz und sind aus diesem Grund auch nicht von der zentralen TSL-Störung betroffen.

Kann die gematik die Kostenfrage überhaupt klären?

Die Aussage "gematik klärt Kostenfrage - Ärzte erhalten keine Rechnung" war in den vergangenen Tagen online bzw. in den Medien (z. B. in den KBV-Praxisnachrichten, in der Ärzte Zeitung) zu lesen. "Kostenregelung für Störungsbehebung sichergestellt" hieß es in einer Pressemitteilung der gematik.

Nach unserer Auffassung haben Aussagen wie diese keinen Bestand: Die Vertragsfreiheit, eines der wichtigsten Grundprinzipien des deutschen Zivilrechts und Ausprägung der Privatautonomie, ist grundrechtlich durch Art. 2 Abs. 1 GG gewährleistet und wird in § 311 Abs. 1 BGB vorausgesetzt. Verträge zu Lasten Dritter sind also im deutschen Recht nicht vorgesehen.

Der IT-Dienstleister vor Ort hat im Regelfall (d. h. wenn kein separater Servicevertrag vorliegt) keine Verpflichtung, für Schäden durch eine falsch konfigurierte TSL aufzukommen, die von der gematik als Betreiberin der TI verursacht wurden, und seine Dienstleistungen auftragslos und kostenlos zu erbringen.

Auch hat die gematik als Betriebsgesellschaft der Telematikinfrastruktur (TI) kein Verfahren mit den VPN-Zugangsdienstanbietern zur Finanzierung abgestimmt, sondern diese ins Benehmen gesetzt. Die gematik kann weder juristisch noch vertraglich die Arztpraxen von evtl. Kosten der Dienstleister vor Ort freistellen – außer sie erteilt einen rechtlich bindenden Auftrag. Die gematik ist verantwortlicher Betreiber der zentralen Dienste und hat keinerlei vertragliche Bindung zu den IT-Dienstleistern vor Ort.

Richtig ist, dass die VPN-Zugangsdienstanbieter im Regelfall unentgeltlichen telefonischen Support oder Support per Fernwartung nach den abgeschlossenen VPN-Verträgen anbieten. Der VPN-Zugangsdienstanbieter hält auch den Vertrag über die VPN-Anbindung an die TI und Konnektor-Wartung mit der Arzt-, Zahnarzt- oder Psychotherapiepraxis. Natürlich hat die Praxis hier eine Mitwirkungspflicht, da das Konnektor-Passwort für das Einspielen der neuen TSL und auch für Konnektor-Updates notwendig ist.

Die Bedienoberfläche des Konnektors ist auch jeder Praxis zugänglich. In der Praxis werden ja auch die jeweiligen Updates für Computer und das Praxisverwaltungssystem (PVS) eigenständig eingespielt, ohne dass IT-Dienstleister vor Ort wäre. Der Dienstleister vor Ort und die Praxis sind also gut beraten, die Kostenfrage vor der Ausführung zu klären. Einen "Persilschein" gibt es hier nicht.

Wer ist der zuständige IT-Dienstleister?

In der aktuellen Berichterstattung werden im Zusammenhang mit der TI-Störung häufig missverständliche bzw. ungenaue Begrifflichkeiten genutzt: der "zuständige IT-Dienstleister" oder der "zuständige IT-Servicepartner".

Laut gematik-Spezifikationen sprechen wir zum einen von "zugelassenen VPN-Zugangsdienstanbietern" (so zum Beispiel das DGN), zum anderen von den "Dienstleistern vor Ort (DVO)" (von der Praxis für die TI-Installation beauftragt).

Um eine Praxis an die Telematikinfrastruktur (TI) anschließen zu können, benötigen Dienstleister vor Ort (DVO) im Übrigen keine Zertifizierung durch die gematik.

s. dazu auch:

Über das DGN

Auf Basis modernster Kommunikations- und Sicherheitstechnologien entwickelt das Deutsche Gesundheitsnetz (DGN) Lösungen für den sicheren und komfortablen Datenaustausch zwischen Praxen, Apotheken, Kliniken und Laboren. Das 1997 gegründete Unternehmen aus Düsseldorf zählt zu den marktführenden IT-Dienstleistern im deutschen Gesundheitswesen. Der qualifizierte Vertrauensdiensteanbieter (VDA) nach eIDAS erstellt in seinem Trustcenter elektronische Signaturkarten und EU-weit gültige Zeitstempel für verschiedene Branchen. Im Auftrag der medisign GmbH produziert das DGN zudem elektronische Heilberufsausweise (eHBA) sowie Praxis- und Institutionsausweise (SMC-B) für das Gesundheitswesen. In Kooperation mit verschiedenen Praxissoftware-Herstellern hat der eHealth-Spezialist rund 12.000 Praxen mit dem DGN TI Paket ausgestattet, das der Anbindung an die Telematikinfrastruktur (TI) dient. Bereits seit 2005 ist das DGN ein von der Kassenärztlichen Bundesvereinigung (KBV) zugelassener Anbieter von KV-SafeNet-Anschlüssen und zählen zu den wenigen Providern, deren KV-SafeNet-Betrieb nach ISO/IEC 27001:2015 zertifiziert ist. Der Zugangsrouter DGN GUSbox wird in über 13.000 Praxen und Kliniken für Abrechnung, Organisation und Kommunikation eingesetzt. Seit 2009 betreibt das DGN darüber hinaus den Breitband-KV-Backbone für das sichere Netz der Kassenärztlichen Vereinigungen (SNK).

 

Update am 27.06.2020

DGN Team KC

Ihre Presse-Ansprechpartnerin

Katja Chalupka

Redaktion & Öffentlichkeitsarbeit
Niederkasseler Lohweg 181-183
40547 Düsseldorf

Tel.: 0211 77008-198
Mobil: 0176 57916671
Fax: 0211 77008-500
E-Mail: presse@dgnservice.de

 

Ansprechpartner für Kunden:
DGN Support-Team