Kleiner Nachtrag von dieser Woche zu einem Vorfall im Gesundheitswesen, der durch den Juli 2025-Patchday sowie den IT-Ausfall bei den AMEOS-Kliniken etwas untergegangen ist. Zum 7. Juli 2025 gab es wohl einen größeren Ausfall der Secunet-Konnektoren. Diese werden in Arztpraxen zur Anbindung an die TI benötigt. Da ging in den Praxen wohl nichts mehr.
Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)
Der secunet Konnektor
Beim "secunet Konnektor" handelt es sich um einen speziellen Router des Anbieters secunet, der eine sichere und verlässliche Anbindung medizinischer Einrichtungen an die Telematikinfrastruktur (TI) des Gesundheitswesens gewährleisten soll. Der Konnektor kommt in Arztpraxen, Pflegeeinrichtungen, Krankenhäusern und Apotheken als dezentrale Lösung zum Einsatz.
Die Basis für sichere Kommunikation zwischen unterschiedlichen Fachdiensten und für neue digitale Anwendungen. Die dezentrale Lösung, wenn Sie den Konnektor selbst unter Kontrolle haben möchten.
Störung zum 7. Juli 2025
Zum 7. Juli 2025 gab es dann eine Großstörung bei der Anbindung der secunet Konnektoren an die Telematikinfrastruktur (TI) des Gesundheitswesens. Blog-Leser ramaka hatte zum 9. Juli 2025 in diesem Kommentar zum Beitrag IT-Ausfall in deutschen Kliniken (7.-8. Juli 2025); Ameos betroffen – was ist da los (Citrix Bleed 2)? gepostet. Laut Leser soll die Seite psyprax.de seit Montag, den 7. Juli 2025, nicht mehr per Telefon oder Email erreichbar sein. Auf der Webseite fand und findet sich die nachfolgende Meldung über eine aktuelle Störung bei secunet Konnektoren.
Der Leser schrieb, dass von der aktuellen Störung in der Telematikinfrastruktur psyprax Kunden unmittelbar betroffen seien. So können die Anwendungen KIM, VDSM, ePA und eRezept nicht genutzt werden. Hintergrund ist eine Störung bei dem Anbieter Arvato, der für eine Vielzahl von Praxen die Zugangsdienste verwaltet.
Massive Probleme auf gematik-Seite dokumentiert
Geht man im gematik Fachportal auf die Seite mit den TI-Statusmeldungen, findet man täglich Einträge zu Störungen. Im Portal findet sich mit Datum 7.7.2025 auch der Hinweis auf Störung der Verbindung zur TI bei secunet-Konnektoren, die vom 7.7. 18:06 Uhr bis 10.7.2024 16:21 Uhr aufgelistet wird.
Der Grund liegt in einer Laufzeitverlängerung für RSA-Zertifikate bei RSA-Only-secunet-Konnektoren. Auslöser ist laut gematik das Verhalten der Firmware ab 5.50.3 180 Tage vor Ablauf der laufzeitverlängerten Zertifikate zum 31.12.2025 (dazu plane ich noch einen separaten Beitrag). Daher kam es zu dem beobachteten Verhalten der Konnektoren., wobei nur RSA-Only Konnektoren mit der FW ab 5.50.3, die am 04.07.2025 online waren, betroffen sind. Nicht betroffen sind nach derzeitigem Kenntnisstand Konnektoren, die die Software-Server-Zertifikate für die Authentifizierung gegenüber Clientsystemen eingestellt haben.
Für betroffene Konnektoren empfiehlt secunet einen Workaround: IT-Dienstleister der betroffenen Einrichtungen sollen den Konnektor manuell re-registrieren und anschließend den Schalter in den Clientsystem-Einstellungen "Laufzeitverlängerung: Erneuerte ID.AK.AUT für die Authentisierung des Konnektors gegenüber Clientsystemen verwenden" aktivieren. Die Deregistrierung der VPN-Verbindung ist dabei zu vermeiden. Die ausführliche Darstellung des Workarounds von secunet findet sich in diesem PDF-Dokument.
Der Workaround erfordert den Zugriff auf die GUI oder die REST-API des Konnektors. Dafür sind die Zugangsdaten für den Administrator-Account auf dem Konnektor notwendig. Alles eine ziemliche unschöne Sache für Praxen, da ging nix mehr und Dienstleister mussten ran.
Nächste Meldung vom 9. Juli 2025
Geht man die Statusmeldungen im Fachportal der gematik durch, hakt es eigentlich ständig mit ePA, eAU, eRezept etc., weil TI-Zugänge streiken oder Dienste ausfallen. Glücklicherweise fallen viele dieser Statusmeldungen in die Nachtstunden, so dass höchstens Notfallambulanzen und Kliniken tangiert sind.
Aber zum 9. Juli 2025 gab es einen Ausfall des TI-Zugangs beim Dienstleister Arvato, der von 08:19 Uhr bis 13:51 Uhr dauerte. Über den Zugangsdienst der Arvato Systems Digital GmbH angeschlossene Leistungserbringer konnten nicht auf die TI zugreifen (Störung am VPN-Zugangsdienst). Damit war auch die Nutzung der TI-Anwendungen (VSDM, ePA, E-Rezept, KIM) für diese Leistungserbringer nicht möglich.
Ich weiß nicht, wie es anderen geht. Aber so richtig großes Zutrauen, dass es mit der ePA klappt und diese, im Hinblick von den Protagonisten "wichtig für Notfälle" beschworenen Nützlichkeit, was technisch Unsinn ist, im Fall der Fälle überhaupt eingelesen werden kann. Und ich weiß auch nicht, wie das medizinische Personal diese ständigen Ausfälle weg steckt – im Grunde musst Du doch immer zittern "läuft die TI, wenn Du morgens an den Arbeitsplatz kommst". Es ist ja nicht so, dass das medizinische Personal sonst nichts zu tun hat. Mir kommt es so vor, dass die Digitalisierung den Medizinbereich immer weiter in die Misere treibt. Oder wie sehen die Betroffenen das so?
MVP: 2013 – 2016
Wir sind nicht betroffen, wir zahlen seit Jahren die Strafgebühr von 2,5% wegen Nichtanschluss.
Das hat schon viel Ärger, Arbeit und auch Geld gespart.
Ich kenne und betreue eine Arztpraxis, die das ebenfalls so handhabt. Was soll man sich mit so einem TI-Technologiemüll rumärgern.
Da ich mehrere Praxen betreue, kann ich feststellen, dass die TI immer wieder unwillkürlich ausfällt – und das nicht nur nachts, sondern auch gerne mal plötzlich tagsüber. Der jeweilige Support bemüht sich dann meist eine längere Zeit, das wieder zum Laufen zu bringen, aber meistens liegt es an der TI-Zentrale und nicht an der Praxis. Interessant ist aber zu sehen, dass immer nur einzelne Praxen betroffen sind – das nennt sich dann "technische Gründe" (für die die Praxen fast nie ursächlich der Grund sind) und kostet viel Zeit, Geld und Nerven…
Jedenfalls teile ich die Meinung von GB, dass "die Digitalisierung den Medizinbereich immer weiter in die Misere treibt". Und je mehr darüber läuft, desto weniger belastbar ist das System. Von stabil kann jedenfalls keine Rede sein. Wenn die Praxen schon zum Mitmachen gezwungen werden, dann sollte die dahinterstehende Infrastruktur aber auch gerne funktionieren.
Die Status-Seite der Gematik zeigt nur eine Momentaufnahme an und keinen zeitlichen Verlauf. Dies ist sehr unbefriedigend.
Am Vormittag von Mittwoch (09. Juli 2025) zeigte diese einen Ausfall des VPN-Zugangsdienst der Arvato Systems Digital GmbH, die zum Bertelsmann Konzern gehört. Die beiden anderen VPN-Zugangsserver von T-Systems und Compugroup Medical Group funktionierten. Vom Ausfall waren Allgemein- und Facharztpraxen bundesweit betroffen. Ich selbst verwende das Programm Elefant von Hasomed aus Magdeburg.
In der Regel überprüfe ich bei Ausfällen zunächst meine eigene Praxis-IT, startet Rechner und Konnektor neu, überprüft den Internet-Zugang und Hardware-Firewall. Und dann sah ich auf dem Gematik-Status, dass der Arvato-Server ausgefallen war.
Für die betroffenen Praxen ist dies ein großes Problem. Die Patienten sind in der Praxis, wollen versorgt werden und weder Versichertenstammdatenabgleich, KIM (verschlüsselter E-Mail-Dienst), eRezept, eAU und ePA funktionieren. Man kramt also wieder die alten Formulare, wie das rosa Papierrezept (Muster 16) und die AU-Bescheinigung heraus, muss den Patienten die zentrale Störung erklären und ggf. verzögert sich die Auszahlung von Krankengeld, da deren Krankenkasse ihre eigenen Systeme auf die Telematik-Infrastruktur eingerichtet hat. Der zusätzliche Aufwand wird den Praxen nicht vergütet.
Man beachte aus, es handelte sich um einen Ausfall des Arvato-Servers, dessen Behebung sich bis in den frühen Nachmittag hinzog. Ich frage mich, welche Auswirkungen bei einem Cyberangriff fremder Staaten im Sinne einer hybriden Kriegsführung zu verzeichnen sind.
Das werden wir noch früh genug zu spüren bekommen was es heißt durch Cyberangriffe auf die dilettantische Infrastruktur betroffen zu sein und den massiven Abfluss von Patientendaten zu erleben. Von den Verantwortlichen in den Etagen der Politik oder Gematik, etc. wird niemand zur Verantwortung gezogen werden. Alles nur noch Bullshit.
"– im Grunde musst Du doch immer zittern "läuft die TI, wenn Du morgens an den Arbeitsplatz kommst"."
placet ! genau so ist das !
und da "Dienstleister" bestenfalls mangelhaft performen (Reaktionzeiten und Level 1-2-support), ließt man halt z.B. hier im Blog gerne mit und regelt dann selbst (Danke an Herrn Born für seine unermüdliche Arbeit)
schaut doch mal bei Dres. Sensse in Giffhorn in den Blog – kaum zu glauben
Aus „persönlicher" Betroffenheit (meine Frau hat eine kleine allgemeinmedizin. Praxis, die ich etwas „mitbetreue") kann ich berichten, dass die Herausforderungen vielfältig sind.
Aufgrund der vielen Player im Spiel treten auch sehr unterschiedliche Effekte auf.
Wir haben z.B. Secunet-Konnektor vor Ort, da wir aber keine Laufzeitverlängerung hatten, den eingangs beschriebenen Fehler nicht. Wohl aber kollegiale Praxis – und konnte das Problem mit dem „Schiebe-Schalter umlegen" (Laufzeitverlängerung: Erneuerte ID.AK.AUT für die Authentisierung des Konnektors gegenüber Clientsystemen verwenden) beheben. Das muss man aber erstmal wissen…
D.h. da arbeitet die Praxis erstmal 2-3h oder noch länger im offline/Ersatzmodus, liest eGK mit alten Kartenlesern (sofern noch verfügbar) ein, oder mit dem Hausbesuchsterminal oder eben halt nicht.
Super am Beginn vom Quartal!!
Die Rezepte, AUs etc werden wieder gedruckt, von ePA ganz zu schweigen…
Da wir den TI-VPN-Zugang über DGN haben, war das VPN-Problem von Arvato ebenfalls bei uns Thema – d.h. Tag vorher hatten wir noch Glück, Tag später (andere Ursache) aber genauso betroffen und liefen in Ersatzverfahren.
Meist ist die Bude (Wartezimmer und Anmeldung) voll, zusätzlich klingeln alle Telefone, Patienten kommen eh nicht durch und da ja auch keine KIM-Nachrichten gehen, wird halt wieder gefaxt und die MFAs hüpfen im Kreis.
Wenn es nicht der VPN-Dienst ist, dann tut der OCSP-Responder nicht (wir hatten da wochenlang bei eRp-Einführung den Überlastungseffekt bei Medisign von 8-12 Uhr, bis ihre infrastruktur mal skalierte) oder man ärgert sich mit Unzulänglichkeiten im PVS… irgendein Zertifikat läuft auch immer ab, ich inventarisiere mittlerweile alle SMC-B, SMC-K, SMC-KT, eHBAs und hab Powershell-Tools um die Routen in die TI, Port-erreichbarkeit der Komponenten, Status der Dienste, Proxies, Fachapplikationen, Terminbuchung, und sonstiger Schnittstellen, sowie die wichtigsten Logs automatisiert zusammenzusuchen…
Es wird viel Brimborium und Compliance generiert, leider hilft das aber nicht um die med. Versorgung weiter zu bringen… von den Dokumentationspflichten und Herausforderungen (z.B. ePA-Einverständnis für best. Diagnosen bei minderjährigen) oder komplexen/längeren Prozesse (Arztbrief mit Schreiben, Komfort-Signieren und Versand über KIM bindet den/die Ärztin zeitlich ungefähr 3x so lange wie früher mit ausdrucken und rauf auf's Fax) mal ganz abgesehen…
Das soll jetzt nicht nur ein Bashing sein – viele Dinge sind ja *vom Ansatz* her sinnvoll, aber in der Umsetzung halt weit vom Praxisalltag entfernt… und das selbst bei einer recht jungen (initial digitalen) Praxis ohne jahrelange Altlasten und Altpapierakten.
Ich mach das auch gern – bin aber sonst eher im Umfeld 30.000+ Clients unterwegs, wundere mich über manche Hemdsärmeligkeit in dem Kontext, wundere mich nicht, dass es kostentechnisch quasi ein schwarzes Loch ist und kann verstehen, dass die Ärzte, die eigentlich nur ihre medizinische Arbeit machen wollen, darauf keinen Bock haben…
Danke für die Erfahrungsberichte hier!
Mir sind diese ständigen Störungen so eines kritischen 24/7 Systems absolut unverständlich.
Ich habe ein sehr großes Portal im Public Sector mit 24/7 SLA betrieben, das keinen kritischen Einfluss auf Leben und Gesundheit hat. Wir waren nur ~10 Personen im Team, und haben eine uptime >99% gehalten, ohne großes Budget, und trotz vieler fremdverursachten Störungen.
Ich bin sehr interessiert, welche technischen Hintergründe hinter diesen ständigen Langzeitstörungen in der TI stecken.
Mein Zynismus lässt mich allerdings Inkompetenz und Overbilling vermuten.
Das erklärt jetzt auch, warum ich am Dienstag bei meinem Hausarzt meine Medis nicht bekommen konnte. Ich habe nur die fachliche Aussage bekommen, wir haben ein technisches Problem.
Wo soll das noch hinführen 🙈
Ich betreue in meiner Praxis (Allgemeinmedizin) die IT selbst, was in vielerlei Hinsicht trotz der zusätzlichen Arbeit vorteilhaft ist. Leider endet meine Eingriffsmöglichkeit am Konnektor. Die vielen Störungen (mehrmals pro Woche, oft nur mit Neustart des Konnektors zu lösen) sind derartig ermüdend und ärgerlich. Am schlimmsten sind allerdings Ereignisse wie folgendes: bei einer schon länger zurück liegenden Störung war eindeutig die Störung auf Gematik Seite, nicht bei mir. Ich habe die Hotline angerufen, um den Fehler zu melden. Nach langer Diskussion mit dem Mitarbeiter, das Problem läge bei mir und ich bin nur zu dumm, das Problem korrekt zu adressieren, stellte sich raus, dass es halt einfach die Gematik war, die ein Problem hatte. Ich kann noch mehr aufzählen. Es ist so frustrierend.
Das Problem scheint zu sein, dass es für die Betreiber keine Konsequenzen gibt.
Auch wir betreuen einen Arzt mit vier Praxen. Dies ist ein Facharzt, der auch OPs durchgeführt.
Der Arzt setzt die Rise-Konnektoren ein. Diese hatten auch das Problem. Die sind ja auch am die Gematik gebunden. VPNs konnten nicht aufgebaut werden.
Die Strafzinsen waren auch mal im Gespräch, allerdings würden diese dem Arzt schon weh tun, anders wie bei kleineren Praxen.
Beim großen Thema von Austausch der Konnektoren, als die Zertifikate ausgelaufen sind, war er auch auf 180. Er und seine Kollegen waren schon kurz davor den ganzen Schrott weg zu schmeißen und sich gebündelt gegen die Gematik zu stellen. Aber die haben ja dann ein Rückzieher gemacht und die Zertifikate auf bestehender Hardware erneuert. War aber auch ein Graus.
Selbiges wenn die Software der Cherry-Tastaturen erneuert werden muss, die SMS-Karten getauscht werden müssen, die Facharztkarte gesperrt wurde, etc etc etc etc
Um noch eine kleine Lanze zu brechen – es gibt auch gute Seiten der Digitalisierung/TI, aber das ist halt nicht durchgängig – so sind z.B. eRP (eRezepte) prinzipiell gut, mit Komfortsignatur auch gut handlebar, und es muss auch nicht der Pat wieder in die Praxis kommen, wenn nochmals ein Medi verschrieben wird, jedoch muss man den Workflow anpassen – früher hatte der Pat. dann sein Rezept/Muster 16 in der Hand und ging damit zur Apotheke…
Heute steht dann der Pat mit der eGK in der Apotheke und die Apotheke ruft dann an, wo das eRP bleibt… dabei ist ggf der Pat erst seit 5min aus der Praxis raus (und weil zwischzeitlich ein anderer Pat im Sprechzimmer ist) das eRP noch nicht signiert, oder man hat dem Pat am Telefon „heute ab 16 Uhr abholbereit" gesagt, er steht aber schon um 14 Uhr in der Apotheke…
Oder es kann in der Form nicht dispensiert werden und die Apotheke kann/darf/will es nicht ändern…
Das sind dann Dinge, die passen nicht und sorgen für Mehraufwand – ansonsten wenn es funktioniert dann ist es gut 😉
Oder das Handling mit Pflegeheimen, Einlesen von eGK im Offline-Modus, bzw. die Pflegeheime wollen dann ttotzdem noch den eRP-QR-Code-„Ausdruck", haben aber kein KIM usw…
Ich glaube niemand will zurück zu analogen Karteikarten aber der Weg der Digitalisierung ist ein langer und mühsamer… und o.g. Störungen zeigen das nur zu deutlich und nerven…