Telematik Infrastruktur – das große unbekannte

Heute einmal ein Service-Beitrag für Ärzte. Aus aktuellem Anlass könnte man sagen…

Die Telematik Infrastruktur – das unbekannte (Wesen) Netz.

Weil ich weiß, dass Ärzte immer wenig Zeit haben, das wichtigste zuerst:

  • Ja, es gibt eine Förderung, die wenigstens in der Theorie die Anschaffungskosten deckt. Und ja, diese Förderung wird pro Quartal reduziert. Das macht aber nichts, wie ich später noch ausführen werde.
  • Ja, man muss am 01.01.2019 spätestens am Start sein. Das ist aber machbar.
  • Ja, am Angebot einer großen Softwarefirma gibt es einen Haken – auch dazu gleich mehr
  • Nein, man kann aktuell (Stand 18.November 2017) noch nicht starten, selbst wenn man “alle” Komponenten bereits zusammen hätte – verabschiedet euch also gedanklich schon mal von der Förderung fürs Q4/2017
  • Nein, man braucht keine zwei Geräte für KV-Safenet und TI
  • Ja, man braucht “neue”, stationäre Kartenlesegeräte
  • Nein, die mobilen müssen aktuell nicht ausgetauscht werden
  • Ja, sofern technisch möglich, muss jede Arztpraxis auf die eine oder andere Art ans Internet angeschlossen werden

Was ist die TI eigentlich?

Die Telematik Infrastruktur – kurz TI – ist ein nicht öffentliches Netzwerk, betrieben von der Gematik GmbH. Grundlage für dieses spaßige Projekt, ist das e-Health Gesetz.
Im Grunde kennt man die TI bereits. Seit Jahren bieten die KVen ein vergleichbares Netz – das KV-Safenet (SNK). Technisch gesehen, ist die TI das gleiche. Auch die TI ist selbstverständlich ein Bestandteil des Internets. Allerdings handelt es sich dabei um ein abgeschottetes Netz, das nur unter bestimmten Bedingungen Zugang gewährt. Die transportierten Daten werden durchweg verschlüsselt übertragen. So teilen sich die Datenpakete der TI mit dem restlichen Internetdaten-Verkehr zwar das Medium, sind aber für dritte (in der Theorie) nicht lesbar. “Zugang” zur TI bekommt nur, wer die richtige Kombination aus Konnektor, SMC-B-Karte und PIN vorweisen kann.

Mittelfristig gesehen, soll die TI die zentrale Vernetzung der Ärzte und Kliniken, untereinander werden. Alle Dienste die bereits jetzt innerhalb des KV-Safenet zur Verfügung stehen, sind auch innerhalb der TI verfügbar. Tatsächlich geht die TI aber mit einer “Dienstleistung” an den Start, die ihren Ursprung im e-Health-Gesetz hat. Das “Versichertenstammdatenmanagment” (VSDM), wird die erste Anwendung in der TI, abseits der bereits aus dem KV-Safenet bekannten Anwendungen.

Was soll man mit dem VDSM?

Mit VDSM ist aktuell lediglich eine Aktion gemeint: Mindestens einmal im Quartal, müssen die Daten die auf der eGK (mittlerweile wurde auch diese Karte umbenannt), elektronisch mit den Krankenkassen, abgeglichen werden. Sollte der Krankenkasse eine Adressänderung bekannt sein, werden die Daten auf der eGK in diesem Zuge geändert. Ebenso ist eine Sperrung der Karte auf diesem Weg möglich.

Für die Praxis ändert sich im Ablauf erst einmal nicht viel. Teilt der Patient dem Praxis seine Adressänderung mit, so aktualisiert man diese wie bisher auch, in der PVS. Damit hat es sich. Die Arztpraxis übermittelt keine Daten an die Krankenkassen. Wenn in der PVS eine andere Adresse hinterlegt ist als auf der Karte, erfährt die Krankenkasse davon nichts.
Interessant an der Existenz des VSDM ist lediglich der Umstand, dass die Daten auf der eGK live mit den Krankenkassen abgeglichen werden. Hierzu hat die KVWL gestern vollmundig versprochen, dass dieser Vorgang nicht länger als 5 oder 6 Sekunden dauern würde. An diesem Statement möchte ich Zweifel anmelden. Sicherlich beruhen diese “Messwerte” aus Erfahrungen in den Testumgebungen. Diese waren aber auch lächerlich klein. Ich bin mir ziemlich sicher, dass es einen spürbaren Unterschied macht, ob 200 Praxen an einem Montagmorgen 50 Karten einlesen, oder 25000. Zumal in der Testumgebung schon Zeiten von bis zu 30 Sekunden als tolerierbar beschrieben wurden. Letztlich muss aber klar sein, dass es sich hierbei um ein lösbares, technisches Problem handelt! Einerseits kann die Gematik hier entsprechende Kapazitäten vorhalten, andererseits kann (und sollte sich) die Praxis um einen halbwegs performanten Internetanschluss bemühen.

Was hat es mit der Förderung auf sich?

Im e-Health-Gesetz steht, dass die Einführung der TI für den Arzt kostenneutral ablaufen soll. Ich sag schon mal so viel – na klar…
Das “Starterpaket” wird von den Krankenkassen “vollständig” durch eine Pauschale abgedeckt. Dieses besteht aus einem Konnektor, einem stationären Kartenlesegerät, einer SMC-B-Karte und dem VPN-Zugangsdienst. Außerdem enthalten ist eine Pauschale für den Technikereinsatz, eventuelle Praxisausfälle und Aufwendungen von Schulungen. Wie kommt es zur Höhe der Förderung?
Hierbei haben wir es mit einem Paradebeispiel für den “falschen” Weg, zu tun. Man hat den einzigen, an den Tests beteiligten (schon das ist bei so einem Projekt ein Witz) Hersteller eines Konnektors gefragt, was dieser wohl kosten werde. Das wäre dann die Forderung der KVen gegenüber den Krankenkassen… Fällt außer mir noch jemandem der Denkfehler dabei auf? Aber egal. Die CGM hat die Chance genutzt und für ein simples VPN-Gateway mit gewissen “Sonderfunktionen”, gleich mal 2600 Euro netto ausgerufen. Und anstatt das bei den Vertretern der KVen, der Blutdruck ins Unermessliche steigt, hat man exakt diesen Betrag bei den Krankenkassen als erste Stufe der Förderung durchgesetzt. An diesem Vorgang ist beachtenswert, dass es außer der CGM niemanden gab, der mit einem Konnektor an den Tests teilnehmen konnte / durfte. Aus diesem Umstand resultiert nun auch, dass es am heutigen Tag lediglich einen Anbieter gibt, der in der Lage ist, ein Komplettpaket aus Hardware und Dienstleistung (VPN-Zugang) anzubieten. Und das macht die CGM, wie sicher der eine oder andere bestätigen kann. Bis hin zu kostenpflichtigen Vor-Ort-Besuchen in der Arztpraxis, zwecks Feststellung der generellen TI-Tauglichkeit. Was auch immer man dabei für 200 Euro netto prüfen will.

Wir sehen, die Industrie hat die Förderung bereits vollumfänglich verplant. Als Arzt hingegen sollte man ein Auge darauf haben, dass man nicht bereits für die Hardware ordentlich drauf zahlt…

Freie Marktwirtschaft ist was Feines

Aktuell gibt es eine Monopolstellung. Ausschließlich die CGM hat einen Konnektor. Das liegt daran, dass alle anderen Mitspieler erst im September 2017, die endgültigen Spezifikationen für die Konnektoren / Kartenleser bekommen haben. Und da das Bundesamt für Sicherheit in der Informationstechnologie (BSI) auch noch zertifizieren will, müssen diese Anbieter halt warten. Die CGM hat also einen zeitlichen Vorteil (ungefähr zwei bis drei Monate), innerhalb dessen, sie Preise diktieren kann. Hier ist aber folgendender Umstand ganz elementar:

Die Förderung läuft erst ab dem Tag der vollständigen Ausstattung / Tag der ersten Datenübermittlung.

Warum ist das wichtig? Weil man noch keine SMC-B-Karten kriegen kann! Zwar ist die Bundesdruckerei als Anbieter dieser Karten mittlerweile vom BSI zertifiziert – welch Überraschung – aber noch nicht von den KVen. Man rechnet mit der endgültigen Freigabe noch im November. Bis dann aber die ersten Karten ausgeliefert werden, dürfte es Januar sein. Man darf sich also getrost von der Förderung Q4/17 verabschieden. Und jetzt wird es interessant: man hat z.B. mit der CGM Anfang November einen Vertrag abgeschlossen. Entsprechend hoch ist der Preis für den Konnektor. Man kriegt die Förderung aber nur für das Q1/18… was ist mit der Differenz? Wer mag, kann das gerne mit der CGM ausdiskutieren oder darauf vertrauen, dass man einen verbraucherfreundlichen Vertrag erstellt hat, welcher die sinkende Förderung berücksichtigt. Für alle anderen bleibt wohl nur, abzuwarten bis der “Markt” überhaupt erstmal existent ist. Was generell eine gute Idee ist, denn Konkurrenz belebt ja bekanntlich das Geschäft. Und wer 5000 Konnektoren (plus entsprechenden Service) für 700 Euro verkauft, dürfte mehr verdienen als eine Firma, die 2600 Euro verlangt, aber nur 1000 Geräte und Verträge absetzt.

Ebenfalls nicht uninteressant ist der Umstand, dass bislang lediglich die Orga 6141 (online) Kartenleser zertifiziert sind. Diese gibt es zwar noch nicht zu kaufen, aber der Preis von 499 € lässt für das entsprechende Budget in der Förderung, nichts gutes Ahnen. So ich mich denn richtig erinnere, umfasst der entsprechende Posten 399 €. Nun, man kann nicht alles haben. Aber auch hier, haben wir es wenigstens temporär mit einer klassischen Monopolstellung zu tun. Ingenico durfte, wie auch die CGM, bereits an der Erprobungsphase teilnehmen. Ergo hat auch dieser Hersteller einen Vorsprung gegenüber den Mitbewerbern. Und genau wie bei dem Konnektor der CGM, wird auch bei den Kartenlesern der Preis entsprechend sinken. Aber natürlich erst, wenn es überhaupt eine Konkurrenz am Markt gibt. Also gilt auch hier – wer wartet, ist sehr wahrscheinlich besser dran.

Und was kommt jetzt technisch?

Im Grunde recht einfach. Der Konnektor wird Teil des Netzwerks. Er hat zwei Schnittstellen. Einmal ein Interface zum Internet (wie auch immer das in die Praxis kommt), und andererseits ins interne Netzwerk. Wichtig ist dabei, dass Konnektor und Kartenleser zusammen in einem Netzwerk sind. Denn der Konnektor bezieht seine “Zugangsdaten” für die TI letztlich vom Kartenleser. In der festen Integration – und alle anderen Konstrukte halte ich für schlicht vollkommen unpraktisch – liegen also Kartenleser, PVS und Konnektor im gleichen Netzwerk. Andererseits ist der Konnektor mit dem Internet verbunden – wobei es wirklich vollkommen egal ist, wie dieses in der Praxis ankommt – und kann auf diesem Weg sein VPN zur TI aufmachen. Kleiner Hinweis für Ärzte, die Geld in ihre Infrastruktur beziehungsweise, deren Absicherung investiert haben. Solltet ihr eine ordentliche Firewall haben (und nein, die FritzBox oder der Telekom Speedport sind keine), oder eine größere Serverinstallation haben (DNS, Domäne etc.), dann müsst ihr dringend euren Systembetreuer dazu holen! Wenn der einen guten Job gemacht hat, macht der Techniker beim Aufbau des Konnektors nichts anderes, als das Ding in die Ecke zu stellen. Ihr erspart euch eine Menge Ärger, wenn ihr das mit eurem Systembetreuer frühzeitig abklärt.

Mythen und Befürchtungen

Die Frage, ob ein Zugriff von außen möglich ist, scheint viele Ärzte zu beschäftigen. Ich bin mal drastisch und reduziere die Antwort aufs Wesentliche: Ja, theoretisch ist ein Zugriff von außen auf das Netzwerk möglich. Warum? Weil der Konnektor von extern erreichbar sein wird. Ich habe die Spezifikation nicht gelesen, aber es würde mich wundern, wenn es nicht mindestens einen Weg des externen Zugriffs geben würde. Und wenn ich mich von extern am Konnektor anmelden kann, kann ich mir auch Zugriff auf das dahinter liegende Netz verschaffen. Die Frage ist aber, ob daran jemand bei der Gematik Interesse hat. Ich möchte das bezweifeln.

Steigert man das Risiko eines Angriffs von extern? Auch hier die reduzierte Antwort – nein, vermutlich nicht. Wer einen fest installierten Zugang zum KV-Safenet (SNK) hat, ist ja bereits jetzt technisch auf dem gleichen Niveau. Natürlich “öffnet” man, technisch gesehen, einen Zugangspunkt, der theoretisch von extern angreifbar ist. Ich glaube aber schon daran, dass man seitens des BSI und der beteiligten Fachgremien, einen guten Job gemacht hat. Hingegen sehe ich das bei den Herstellern der Konnektoren, beziehungsweise deren Auftragsfertiger, schon kritischer. Das hängt davon ab, was genau die Spezifikationen an Zugriffsmöglichkeiten gestatten, und wie genau die Einhaltung eben jener, kontrolliert wird. Andererseits werden viele technisch Interessierte, die Konnektoren mit Freuden auf links drehen. Eventuell problematische Zugänge werden also nicht lange verborgen bleiben. Und dann auch nochmal deutlich folgender Hinweis: Wer sein Praxisnetz direkt und ohne entsprechende Firewall (nein, die Windows-Firewall meine ich damit nicht – und nein, auch nicht die von Norton!) an einer FritzBox, einem Telekom Speedport oder irgendeiner anderen, vom Provider bereitgestellten Keksdose betreibt, muss sich um eventuelle Sicherheitsprobleme durch die TI nun wirklich keine Sorgen machen!

Können andere Daten als die auf der eGK gespeicherten Stammdaten, abfließen? Jein. Warum? Weil aktuell nichts derartiges implementiert ist. Und da ein PVS von einem Konnektor nichts mitbekommt – so das Netzwerk denn korrekt eingerichtet ist – gibt es erst einmal keine Überschneidungen. Tatsächlich ist aber Sinn und Zweck der TI, die Vernetzung der Ärzte untereinander. Es werden also Dienste kommen, die genau auf diesen Datenaustausch aufbauen. Und dann muss auch die PVS oder Systeme wie Micronovas, “ViViAN”, von dem Konnektor Wind bekommen. Aber bis dahin dauert es noch etwas. Und anders als das VSDM, werden das wohl freiwillige Dienste werden.

Was also tun?

Ich würde mich zurücklehnen und darauf warten, dass mein PVS-Hersteller mir einen Tipp für den richtigen Anbieter unterbreitet. Sollte man Kunde der CGM sein, ist das bereits geschehen. Diesen Personen sei vielleicht nochmal folgendes mit auf den Weg gegeben: Dem PVS muss es letztlich egal sein, über welchen VPN-Provider man sich mit der TI verbindet. Oder welcher Konnektor dazu eingesetzt wird. Oder wer die SMC-B-Karte ausgestellt hat.
Es spricht nichts dagegen, abzuwarten wie die Situation sich entwickelt. Das ist deswegen auch ratsam, weil z.B. die Kosten für die SMC-B-Karte derzeit mit ca. 500 € beziffert wird. Die Karte hat eine Gültigkeit von fünf Jahren. Was dann kommt, weiß heute noch niemand. Hingegen ist der aktuelle Stand, dass die Karte vom Arzt vorfinanziert werden muss. Im Rahmen der Förderung gibt es aber nur monatlich Geld zurück. Und am Ende der Förderung wird man feststellen, dass man eben jene Karte nur zur Hälfte erstattet bekommen hat. Auch diesbezüglich lohnt es sich vielleicht, die KVen nochmal mit den Krankenkassen bzw. dem Gesetzgeber, diskutieren zu lassen.
Was die Planung, die technische Umsetzung, die Finanzierung und Verfügbarkeit der Komponenten angeht, ist noch viel Luft nach oben. Jeder muss selbst wissen, ob er bereit ist das “Risiko” eines schnellen Starts einzugehen. Wer aber das Theater um die Einführung des KV-Safenet miterlebt hat, weiß das warten nicht zwingend die schlechteste Idee ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.