c't 13/2022
S. 146
Wissen
ESD-Probleme bei Gesundheitskarten
Bild: Thomas Kuhlenbeck

Vom Blitz getroffen

Elektrostatische Entladungen legen Arztpraxen lahm

Eigentlich sollte die Digitalisierung die Arbeit der Ärzte beschleunigen. Doch seit etwa einem halben Jahr kommt es in Praxen immer wieder zu Systemabstürzen. Die Ursachen sollen auf elektrostatische Entladungen bestimmter Gesundheitskarten zurückgehen. c’t ist der Sache auf den Grund gegangen.

Von Hartmut Gieselmann

Klaus M. freute sich sehr, als er von seiner Krankenkasse eine neue Gesundheitskarte bekam. Dank eingebauter NFC-Antenne sollte sie das Einchecken in der Praxis noch einfacher machen und Wartezeiten verkürzen. Bei seinem Hausarzt angekommen, staunte er jedoch nicht schlecht: Dessen Kartenterminal konnte seine Karte noch nicht kontaktlos lesen. Als er seine Karte in den Slot steckte und seine PIN eingeben wollte, sah er auf dem Display nur eine kryptische Fehlermeldung. „Oh Mist, nicht schon wieder!“, platzte es aus der Sprechstundenhilfe heraus. „Das kann jetzt etwas dauern.“ „Warum?“ „Das gesamte System ist abgestürzt. Wir müssen es erst wieder komplett neu starten. Nehmen Sie noch einen Moment im Wartezimmer Platz. Wir rufen Sie dann.“

Solche Szenen sind leider keine Einzelfälle. Seit etwa einem halben Jahr klagen Ärzte über Systemabstürze ihrer EDV, wenn manche Patienten ihre elektronischen Gesundheitskarten (eGK) einstecken. Der Fehler war zunächst schwierig einzugrenzen. Betroffen sind Kartenterminals der Firma Worldline Healthcare (vormals Ingenico) vom Typ ORGA 6141 online.

Der Kartenleser kam 2017 auf den Markt und steht heute in über 90 Prozent der über 130.000 Praxen und Kliniken, die mit der Telematischen Infrastruktur (TI) verbunden sind. Die Hardwareentwicklung wurde 2017 aber quasi eingefroren, als das Gerät von der für die TI zuständigen Gematik geprüft und zugelassen wurde (Gematik-Urkunde V.3.7.2, HW Vers. 1.2). Der Einsatz von eGK-Karten mit NFC (Near Field Communication) war damals noch nicht vorgesehen, sie folgten erst drei Jahre später. Erst seit 2020 verlangt die Gematik für neue Terminals zusätzliche Tests, ob sie gegen elektrostatische Entladungen (Electrostatic Discharge, ESD) gewappnet sind. Die bereits zugelassenen ORGA-Terminals mussten sich dieser neuen Prüfung jedoch nicht unterziehen. Die aktuellen Zulassungen der Gematik eines ORGA 6141 online betreffen lediglich neue Firmware-Versionen der seit fünf Jahren unveränderten Hardware.

Vergangenen Winter häuften sich die Abstürze der Terminals. Der erste Eintrag im Fachportal der Gematik zu den Problemen stammt vom 3. Dezember, 15:45 Uhr. Damals hatte die Gematik neue Gesundheitskarten vom Typ G 2.1 im Verdacht, tappte bei der Ursache aber noch im Dunkeln. Kurz vor Weihnachten, am 22. Dezember um 8:30 Uhr folgte die Meldung, dass der Hersteller eine neue Firmware (V3.8.1) bereitstelle. Die konnte das Problem aber nicht lösen, sondern nur das System automatisch neu starten. Am 14. Januar, 16:45 Uhr meldete die Gematik, dass elektrostatische Entlade-Impulse beim Stecken einer elektronischen Gesundheitskarte eGK G 2.1 die EDV zum Absturz bringen würde. Schuld seien Fußbodenbelag, trockene Winterluft und Plastikhüllen, die den Versicherten und die Karte elektrostatisch aufladen würden. Zur Abhilfe empfahl die Gematik eine Woche später den Einsatz von ESD-Matten, auf die die Karten vor dem Einstecken gelegt werden sollten.

Die Gesundheitskarten erkennt man am Aufdruck „G 2.1“ oben rechts auf der Vorderseite und dem Herstellerkürzel G+D unten links auf der Rückseite.
Die Gesundheitskarten erkennt man am Aufdruck „G 2.1“ oben rechts auf der Vorderseite und dem Herstellerkürzel G+D unten links auf der Rückseite.

Im c’t-Labor

Weil das ESD-Problem noch immer ungelöst ist und bisherige Basteleien kein Vertrauen erwecken, baten wir einen Elektrotechnik-Ingenieur, der selbst jahrelang in der Entwicklung von Kartenterminals gearbeitet hat, die Ursachen genauer zu untersuchen. Laut seinen Recherchen sind insbesondere NFC-Karten der Version 2.1 vom Hersteller Giesecke+Devrient (G+D) betroffen. Zu erkennen sind diese am Aufdruck „G 2.1“ auf der Vorderseite rechts oben, und dem Herstellerkürzel „G+D“ auf der Rückseite links unten. Ausgegeben werden sie unter anderem von der Barmer und AOK. Wir fragten beim Hersteller sowie bei der Gematik Muster an, um das Problem nachstellen zu können. Doch keiner wollte uns die kritischen NFC-Karten bereitstellen. Die Gematik schickte uns lediglich eine Prüfkarte der Telekom, bei der keine Probleme auftraten. Die NFC-Funktion war bei dieser Karte inaktiv und die Stromaufnahme (0,25 mA) lag weit unter dem typischen Wert von NFC-Karten im Produktivbetrieb (circa 14 mA).

Reproduzieren konnte unser Experte die NFC-Fehler schließlich in einer Praxis, die ihn bei einer Störung sofort informierte. Er konnte die ESD-Ausfälle mit eGKs von G+D an einem ORGA 6141 online nachstellen und die Hardware des Terminals genauer untersuchen.

Über eine SIM-Kartenverlängerung konnten wir mit einem Logic-Analyzer die Signalverläufe zwischen SMC-B-Karte und Interface-Baustein prüfen, ohne den Kartenleser ORGA 6141 online öffnen zu müssen.
Über eine SIM-Kartenverlängerung konnten wir mit einem Logic-Analyzer die Signalverläufe zwischen SMC-B-Karte und Interface-Baustein prüfen, ohne den Kartenleser ORGA 6141 online öffnen zu müssen.

Strom aus der Luft

Aktuell befinden sich zwei Typen von NFC-Chipkarten im Einsatz. Der ältere Typ koppelt seine Empfangsspule induktiv mit einer kleinen Spule auf dem eGK-Chip. In der neueren NFC-Variante ist die Empfangsspule direkt galvanisch mit dem eGK-Chip verbunden. Dazu gehören auch die Karten von G+D.

Eine wesentliche Eigenschaft von NFC-Karten ist, sich aus Funkwellen mit Energie zu versorgen. Für eine leichte Aufladung genügen bereits ungeschirmte Schaltnetzteile, Smartphones oder DECT-Telefone in der Nähe. Diese von der Antenne gesammelte Energie kann sich dann ebenfalls wie ein ESD beim Einschieben der Karte über den Chip auf die Elektronik des Kartenlesers entladen.

In unseren Tests genügten bereits einige Sekunden zwischen Entladung auf einer ESD-Matte bis zum Stecken einer galvanisch gekoppelten NFC-Karte im Lesegerät, um genug Energie für einen messbaren HF-Entlade-Impuls zu sammeln. Seine Stärke war proportional zur Zeit, die zwischen Entladung und Steckvorgang verstrich, und stieg auf bis zu 2 Vss an.

In der Röntgenaufnahme sind die Antennen der neuen Gesundheitskarten gut zu erkennen. Links ein Modell ohne, in der Mitte eine induktiv und rechts eine galvanisch gekoppelte NFC-Antenne.
In der Röntgenaufnahme sind die Antennen der neuen Gesundheitskarten gut zu erkennen. Links ein Modell ohne, in der Mitte eine induktiv und rechts eine galvanisch gekoppelte NFC-Antenne.

Auf die Platinen geschaut

Platinen von Lesegeräten müssen gegen ESD-Impulse bei Stecken einer Karte geschützt sein. Um dies zu prüfen, entfernte unser Spezialist das Gehäuse und die Schutzfolien des Kartenterminals und führte direkt auf der Platine Messungen mit einem Oszilloskop durch.

Das ORGA 6141 online besitzt zwei Platinen mit zwei großen Karteneinschüben. Ein seitlicher Schacht auf der Hauptplatine nimmt den elektronischen Heilberufsausweis des Arztes (eHBA) auf. Der Hauptschacht für die eGKs der Patienten sitzt an der Stirnseite des Geräts auf einer kleinen Zusatzplatine, die zudem zwei weitere Mini-SIM-Einschübe für SMC-Karten (Security Module Card, SMC-B und gSMC-KT) beherbergt. Sie authentifizieren den Kartenleser und sichern die Kommunikation mit dem Konnektor, der die Praxis mit der TI verbindet.

Zu jedem Aufnahmefach gehört ein programmierbarer Smart-Card-Interface-Baustein vom Typ NCN6001. Er ist auch als ESD-Schutz vorgesehen und stellt die Betriebsspannung für die eingesetzten SMC- und eGK-Chipkarten bereit.

Den Messungen zufolge scheint der ESD-Schutzmechanismus des eGK-Interface-Bausteins für die neuen NFC-Karten aber nicht mehr auszureichen. Der ESD-Puls sucht sich dann weitere Wege. Als Ableiter kann etwa die Spannungsversorgung der SMC-Interface-Bausteine dienen, welche direkt mit dem eGK-Interface-Baustein verbunden ist. Eine Weiterleitung des ESD führt dann zum Ausfall der SMC-Interface-Bausteine und -Karten: Die Kommunikation mit dem Konnektor bricht zusammen und das System muss neu gestartet werden. Dieser Design-Lapsus des Herstellers im Platinen-Layout beschwört einen Single Point of Failure geradezu herauf.

Zum gleichen Fehler kann es kommen, wenn die Spannungsversorgung der Interface-Bausteine gestört wird und von den geforderten 3,3 Volt zu stark abfällt. Solche Störungen könnten etwa durch den deutlich erhöhten Strombedarf der NFC-Karten ausgelöst werden. Die Chiptreiber können den Strom zwar liefern, im Strompfad sitzen aber Bauteile wie Ferrit-Perlen. Diese können Spannungseinbrüche hervorrufen, sobald sie einen erweiterten Strombereich abdecken müssen, für den sie nicht vorgesehen sind. Offenbar wurde bei der Entwicklung des Kartenlesers der höhere Strombedarf von NFC-Karten nicht mit eingeplant.

Die Platinen des störungsanfälligen Kartenlesers ORGA 6141 online sind normalerweise mit einer Bohrschutzfolie vor Manipulationen geschützt. Die Gesundheitskarte wird über dem Display eingeschoben.
Die Platinen des störungsanfälligen Kartenlesers ORGA 6141 online sind normalerweise mit einer Bohrschutzfolie vor Manipulationen geschützt. Die Gesundheitskarte wird über dem Display eingeschoben.
Die hintere Erweiterungsplatine des ORGA 6141 online für eGK- und SMC-Karten: Der Aufnahmeschacht für die eGK befindet sich auf der Rückseite (gelbe Linie, Chipposition als Montage). Die Spannungsversorgungen der Interface-Bautsteine für die SMC und eGK sind miteinander verbunden (rote Linie) und können ESD-Impulse übertragen.
Die hintere Erweiterungsplatine des ORGA 6141 online für eGK- und SMC-Karten: Der Aufnahmeschacht für die eGK befindet sich auf der Rückseite (gelbe Linie, Chipposition als Montage). Die Spannungsversorgungen der Interface-Bautsteine für die SMC und eGK sind miteinander verbunden (rote Linie) und können ESD-Impulse übertragen.

eGK im Seitenschacht

Um die ESD-Probleme mit den Gesundheitskarten abzumildern, schlugen Mitglieder im Gematik-Forum vor, die eGK künftig im Seitenschacht des ORGA-Terminals und die eHBA im Frontschacht einzustecken. Im Seitenschacht, der auf der Hauptplatine sitzt, ist es für einen ESD-Puls wesentlich schwieriger, die SMC-Schaltungskomponenten auf der Erweiterungsplatine zu stören.

Durch den Funktionstausch der Kartenslots von eGK und eHBA wären die SMCs zwar besser geschützt, dafür werden jedoch wichtige Schaltungskomponenten auf der Hauptplatine den ESDs stärker ausgesetzt. Dazu gehört vor allem die Schaltung zur Sicherheitsüberwachung und Batteriekontrolle in der Nähe des Seitenschachtes.

Eingebaute Obsoleszenz

Mit der Stützbatterie wird die Bohrschutzfolie des Kartenlesers gespeist, wenn der Kartenleser vom Stromnetz getrennt ist. Bei einer Störung des Stromkreises schlägt sofort die Sicherheitskontrolle mit einer Fehlermeldung an. Der Kartenleser kann dann nicht mehr weiter verwendet werden, ein Software-Reset oder eine Reparatur sind nicht möglich. Ein ESD-Impuls könnte womöglich eine Sicherheitssperre auslösen, die das Kartenterminal unbrauchbar macht. Als ESD-Workaround ist ein Funktionstausch der Kartenslots daher nicht zu empfehlen.

Die eingebaute Knopfzelle von Renata hat übrigens eine Kapazität von 540 mAh. Der gemessene Entladestrom beträgt rund 40 Mikroampere, woraus sich eine Pufferzeit von maximal 563 Tagen ergibt. Der Kartenleser würde also nicht einmal die Garantiezeit von zwei Jahren durchhalten, wenn man ihn lediglich stromlos lagert.

Kumulative ESDs

Fehler aufgrund von ESD-Entladungen sind deshalb so schwierig zu diagnostizieren, weil sie nicht immer zum sofortigen Ausfall eines Systems führen. Die Effekte können sich mit der Zeit auch addieren: Bauteile altern schneller, fallen plötzlich aus und der Kartenleser friert ohne erkennbaren Grund spontan ein. Selbst als fehlerfrei getestete Schaltungen können dann später ohne klare Ursache ausfallen. Weil sich ESD-Probleme nicht per Software reparieren lassen, ist es umso wichtiger, bereits bei der Hardware-Entwicklung und Produktion sicherzustellen, dass diese nicht auftreten.

Ärzte berichten etwa gehäuft von sogenannten Card-to-Card-Fehlern (C2C) sowie von den Fehlermeldungen 4056 und 4094, wonach die SMC-B und eGK nicht mehr ansprechbar seien. Nach unseren Untersuchungen treten diese Fehler auch ohne ESD-Impuls auf und können mit den beschriebenen Spannungsabfällen aufgrund des höheren Strombedarfs der NFC-Karten zusammenhängen. Da der Hersteller die Ursachen bislang mit keinem Firmware-Update beseitigen konnte, liegt die Vermutung nahe, dass sie an der Hardware liegen.

ORGA Protect

Die aktuelle Lösung des Herstellers und der Gematik sieht einen Entladeaufsatz namens ORGA Protect vor, der vor dem Kartenschub montiert werden und ESD-Aufladungen per USB-Anschluss ableiten soll. Dies widerspricht jedoch den Vorgaben im Handbuch des Herstellers, nach denen am Kartenleser aus Sicherheitsgründen keine zusätzlichen Teile angebracht werden dürfen. Zudem hilft der Aufsatz nicht gegen eventuelle Spannungseinbrüche aufgrund des höheren Strombedarfs von NFC-Karten.

Die Kosten für die Aufsätze sollen nicht Verkäufer, Hersteller und Gematik, sondern letztlich die Versicherten tragen. Über die kassenärztliche Bundesvereinigung (KBV) soll aus den Einnahmen der Gesetzlichen Krankenkassen (GKV) jeder Aufsatz komplett subventioniert werden, der in der einfachsten Ausführung 35,45 Euro kostet. Die Gesamtkosten dürften sich auf über 4 Millionen Euro belaufen. Die Verteilung der Aufsätze sollte eigentlich im April starten. Bis Redaktionsschluss waren die Aufsätze im Online-Shop von Worldline Healthcare jedoch nicht lieferbar. Auf Nachfrage stellte uns die Gematik keinen Testaufsatz zur Verfügung.

Da Gesundheitskarten durchaus heikle Daten enthalten, werden die Kartenterminals in den Praxen besonders geprüft und ausschließlich über sichere Lieferketten verteilt. Diese Kartenleser sind versiegelt und im Innern sichert eine ständig unter Strom stehende Bohrschutzfolie die Elektronik vor Manipulationen.

Auf keinen Fall sollte man eGKs in irgendwelche unbekannten, unzertifizierten Lesegeräte zum Entladen stecken, wie es beispielsweise ein Bericht der Gematik vom Februar als potenzielle Lösungsmöglichkeit erwähnt. Ebenso führt ein Aufsatz vor dem Kartenschacht das aufwendige Sicherheitskonzept der TI ad absurdum. Denn in einem solchen Aufsatz könnten Datendiebe leicht illegale Leseeinheiten unterbringen, um an wertvolle Gesundheitsdaten zu kommen. Nicht umsonst warnen Banken immer wieder vor sogenannten Skimming-Aufsätzen, mit denen Betrüger Geldautomaten manipulieren. Informationen zur Prüfung und Manipulationsvermeidung soll der Hersteller im Handbuch des kommenden Firmware-Updates 3.8.2 beschreiben.

Weil der offizielle ORGA-Protect-Aufsatz bislang nicht lieferbar ist, helfen sich Ärzte zuweilen mit Bastellösungen wie dieser hier.
Weil der offizielle ORGA-Protect-Aufsatz bislang nicht lieferbar ist, helfen sich Ärzte zuweilen mit Bastellösungen wie dieser hier.

Fazit

In deutschen Artzpraxen und Kliniken sind offenbar weit über hunderttausend Kartenleser im Einsatz, deren veraltete Hardware unzureichend vor Problemen geschützt ist, die die neuesten elektronischen Gesundheitskarten mit NFC-Antennen verursachen können. Es gibt mehrere mögliche Fehlerquellen: NFC-Karten können sich elektrostatisch oder innerhalb von Sekunden durch Funkwellen aufladen, sodass sie beim Einstecken einen Entlade-Impuls auslösen. Weiterhin haben NFC-Karten einen höheren Strombedarf und können zu einem Spannungsabfall im Kartenleser führen, der dann eine SMC-Abschaltung auslöst. Diese Probleme führen zu einem Verbindungsabbruch zum Konnektor und erfordern einen Neustart.

Angesichts der weiten Verbreitung der Kartenterminals ORGA 6141 online hätte die Gematik bei der Zulassung der neuen Gesundheitskarten mit NFC-Antennen die Interoperabilität unbedingt prüfen und sicherstellen müssen. Die neuen NFC-eGKs hätten von der Gematik nicht freigegeben werden dürfen, da sie durch ESD und andere Störeinflüsse den Praxisbetrieb nachhaltig behindern und Zusatzkosten verursachen.

Auf Anfrage von c’t erklärte die Gematik, dass bei jeder Zulassung Interoperabilitätstests mit NFC-fähigen Karten durchgeführt würden. ORGA-Terminal und G+D-Karten hätten „alle Testfälle positiv durchlaufen und alle Anforderungen erfüllt.“ Die Gematik räumte jedoch ein: „Die vielfältigen Konfigurationsmöglichkeiten und Umgebungsfaktoren von Praxisbetrieben können dabei nicht zu 100 Prozent abgebildet werden.“

Fehlende Hardware-Rezertifizierung der Gematik mit den neuen ESD-Anforderungen, schwaches Layout und fragwürdige Bauteilauswahl der Hardware sowie eine eingebaute Obsoleszenz sprechen gegen den Produktivbetrieb eines ORGA 6141 online. Es gibt inzwischen Alternativen wie den Kartenleser ST-1506 von Cherry, der die 2020 eingeführten ESD-Zusatzprüfungen bestanden hat.

Laut Cherry wurde in den eGK-Schacht eine zusätzliche ESD-Entladung eingebaut. Abstürze aufgrund von C2C-Fehlern mit SMC-B-Karten sind bislang nicht bekannt. Auch im ST-1506 sichert eine Stützbatterie zur Versorgung der Bohrschutzfolie. Laut Cherry soll der Kartenleser damit sieben Jahre ohne Stromanschluss auskommen.

Was tun?

Betroffene Praxen sollten sich an den Händler des Kartenterminals wenden. Sofern dies im Kaufvertrag nicht ausgeschlossen ist, muss er innerhalb der Garantiezeit sicherstellen, dass der Kartenleser alle zugelassenen eGKs verträgt – auch besagte NFC-Karten G 2.1 von G+D. Der Händler kann sich dann im Nachgang mit dem Hersteller Worldline Healthcare oder der Zulassungstelle der Gematik auseinandersetzen und entscheiden, wie er den Mangel beseitigt. (hag@ct.de)

Kommentare lesen (1 Beitrag)

Leserbrief schreiben

Artikel als PDF herunterladen

Auf Facebook teilen

Auf X teilen