Die elektronische Gesundheitskarte: Vergleich alternativer fachlicher Lösungskonzepte für den Datenerhalt von freiwilligen Anwendungen
Aus Winfwiki
| Name des Autors: | Roxanna Rothweiler |
| Titel der Arbeit: | Die elektronische Gesundheitskarte: Vergleich alternativer fachlicher Lösungskonzepte für den Datenerhalt von freiwilligen Anwendungen |
| Hochschule und Studienort: | Fachhochschule für Oekonomie und Management in Essen |
| Datum der Erstellung: | 14.02.2009 |
Inhaltsverzeichnis |
1 Abkürzungsverzeichnis
| Abkürzung | Bedeutung |
|---|---|
| BMG | Bundesministerium für Gesundheit |
| BSI | Bundesamt für Sicherheit in der Informationstechnik |
| DRS | Data Recovery Service: Dienst, der die Umschlüsselung im Rahmen des Datenerhalts abdeckt. |
| DIN | Deutsches Institut für Normung e.V |
| eGK | Elektronische Gesundheitskarte |
| EHIC | European Health Insurance Card: Europäische Versichertenkarte zur Inanspruchnahme medizinischer Leistungen in Mitgliedsstaaten der Europäischen Union |
| eKiosk | Elektronisches Kiosk, an dem die eGK ähnlich einem EC-Terminal für bestimmte Geschäftsprozesse genutzt werden kann. Das eKiosk ist von der gematik noch zu spezifizieren. |
| gematik | Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH |
| GKV | Gesetzliche Krankenversicherung |
| KB | Kilo-Byte, 1 KB entspricht 1024 Byte Speichergröße |
| KVK | Krankenversichertenkarte |
| OS | Operating System: Betriebssystem des Kartenchip |
| PIN | Persönliche Identifikationsnummer, wie z.B. bei der EC-Karte |
| Rollout | Bundesweite Ausgabe der eGK und damit Ablösung der KVK |
| SGB V | Sozialgesetzbuch, fünftes Buch |
| TI | Telematikinfrastruktur |
| Zertifikat | Dies sind strukturierte Daten, die den Eigentümer sowie weitere Eigenschaften eines öffentlichen Schlüssels bestätigen. |
2 Abbildungsverzeichnis
| Abb.-Nr. | Abbildung |
|---|---|
| 1 | Überisicht Gesamtarchitektur |
| 2 | KVK versus eGK |
| 3 | Anwendungsarten |
| 4 | Prinzip der Speicherung von Daten bei einem Fachdienst |
| 5 | Filestruktur einer eGK |
| 6 | Auslöser des Datenerhalts |
| 7 | Speicherorte von freiwilligen Anwendungen |
| 8 | Übersicht über die Lösungskonzepte des Datenerhalts |
| 9 | Key-Recovery-Verfahren - Teilgeheimnishinterlegung |
| 10 | Key-Recovery-Verfahren - Umschlüsselungsprozesse |
| 11 | Key-Escrow-Verfahren - Umschlüsselungsprozesse |
3 Einleitung
Am 19.11.2003 trat das GKV-Modernisierungsgesetz in Deutschland in Kraft. In diesem Gesetz verankert wurde auch die Einführung der elektronischen Gesundheitskarte (kurz eGK genannt), die ab 2006 die bis dato gültige Krankenversichertenkarte ablösen sollte. Die vom BMG definierten Einzelheiten zu der neuen, modernen Mikro-Prozessorkarte sind im SGB V[1] geregelt.
Um die mannigfaltigen Anforderungen zu sammeln und als Vorgaben für dieses größte IT-Projekt Deutschlands zu definieren, wurde Anfang 2005 die Gesellschaft für Telematikanwendungen der Gesundheitskarte (gematik) von den Spitzenorganisationen des deutschen Gesundheitswesens gegründet[2]. Diese Betriebsorganisation mit Sitz in Berlin hat die Aufgabe, die Einführung, Pflege und Weiterentwicklung der eGK sowie ihrer Infrastruktur als Basis für Telematikanwendungen im Gesundheitswesen sicherzustellen.
Die gematik entwickelt die übergreifenden IT-Standards für den Aufbau und den Betrieb für die gemeinsame Kommunikations-Infrastruktur (vgl. Abb. 1) aller Beteiligten im Gesundheitswesen[3]. Diese Infrastruktur gewährleistet einen sicheren und zielgerichteten Austausch von Daten u.a. zwischen Versicherten, Ärzten, Apothekern und Krankenkassen. Der Schlüssel für den Austausch stellt die eGK dar.
Auf der eGK können unterschiedliche Arten von Daten gespeichert werden, zu denen auch die freiwilligen Anwendungen bzw. Verweise auf solche zählen. Eine bisher ungelöste Aufgabe stellt der Datenerhalt solcher Anwendungen dar, der z.B. bei Verlust der eGK durch einen Versicherten zu regeln ist. Nach der Darstellung diverser Grundlagen zum Thema Einführung der elektronischen Gesundheitskarte werden unterschiedliche fachliche Lösungskonzepte für den Datenerhalt von freiwilligen Anwendungen ausgeführt, wobei die Möglichkeiten aber auch Grenzen dieser Konzepte aufgezeigt werden.
4 Wesentliche Grundlagen
Das Gesamtprojekt Einführung der elektronischen Gesundheitskarte in Deutschland, wie es durch die gematik als Betriebsorganisation geleitet und abgewickelt wird, stellt ein zu komplexes Gebilde dar, als dass es im Rahmen einer solchen Hausarbeit vollumfänglich dargestellt werden könnte.
Einige wesentliche Grundlagen sind jedoch unabdingbar zum Verständnis des Themas Datenerhalt und sollen nachfolgend erörtert werden. Alle referenzierten Quell-Dokumente der gematik basieren auf dem Release 2.3.4 der gematik. Da die eGK als zentrales Medium für die Kommunikation aller Beteiligten untereinander anzusehen ist, soll mit ihr begonnen werden. Dies erfolgt in einem Vergleich mit der Krankenversichertenkarte, die derzeit als Nachweis für den Versicherungsschutz von ca. 80 Millionen Bundesbürgern bei der Inanspruchnahme von medizinischen Leistungen fungiert.
4.1 KVK versus eGK
Die Krankenversichertenkarte[4] (kurz KVK genannt) ersetzt bundesweit seit 1995 den bis dahin gültigen Krankenschein. Bei der aktuell in Deutschland noch verbreiteten KVK handelt es sich um eine reine Speicherkarte, auf der ein minimaler Satz von Versichertendaten gespeichert wird. Die KVK bietet keine weitreichenden Sicherheitsfunktionen, auch wenn der Versicherte auf der Karte zu unterschreiben hat. Die folgenden Angaben finden sich auf der KVK wieder:
- Bezeichnung der ausstellenden Krankenkasse
- Familienname und Vorname des Versicherten
- Geburtsdatum des Versicherten
- Anschrift des Versicherten
- Krankenversichertennummer
- Versichertenstatus
- Tag des Beginns des Versicherungsschutzes
- bei befristeter Gültigkeit der Karte das Datum des Fristablaufs
- ggf. EHIC
Eine weitreichende Prüfung der KVK in der Arztpraxis findet in der Regel nicht statt, so dass durchaus eine andere Person als die versicherte ärztliche Leistungen in Anspruch nehmen kann ohne Kenntnis des behandelnden Leistungserbringers.
Auch um einem weiteren Missbrauch der KVK vorzubeugen, weist die eGK diverse Merkmale für Kontrollzwecke auf. So besitzt die Mikro-Prozessorkarte ein eigenes sicheres Betriebssystem auf einem Chip, dessen Speichergröße von mindestens 64 KB um den Faktor 250 größer ist als derjenige der KVK. Auf der eGK sind nachfolgende Informationen vorzufinden:
- Versichertenstammdaten, die weit mehr Informationen umfassen als diejenigen der KVK
- Schlüssel und Zertifikate, die den Umgang mit der Karte sicher gestalten
- Zugriffsregeln
- Anwendungsdaten
- Foto der versicherten Person (i.d.R. ab dem 16 Lebensjahr obligatorisch)
- ggf. EHIC
Die wesentlichen Unterschiede der beiden Kartengenerationen sind in der Abbildung 2 zusammengefasst.
In mehreren Regionen Deutschlands wird die eGK bereits getestet. Eine Auswahl von Versicherten, die durch Krankenkassen zur Testteilnahme motiviert worden sind, kann bereits heute in bestimmten Arztpraxen und Krankenhäusern den Einsatz der eGK üben. Diese Tests sollen Erkenntnisse im Umgang mit der neuen Versichertenkarten bringen, um vor dem bundesweiten Rollout der eGK mögliche Verbesserungspotentiale auszuschöpfen[5].
4.2 Anwendungen nach § 291a SGB V auf der eGK
Das Gesetz unterscheidet nach § 291a SGB V bezüglich der Funktionen der eGK zwischen Pflichtanwendungen und freiwilligen Anwendungen (s. Abb. 3). Hinsichtlich beider Anwendungsarten sind die Krankenkassen gesetzlich verpflichtet, die Versicherten über die Funktionsweise der eGK, die möglichen Applikationen und die Versichertenrechte aufzuklären.
4.2.1 Pflichtanwendungen
Für die Pflichtanwendungen (s. Abb. 3) bedarf es keiner gesonderten Einwilligung der Versicherten, weil diese Anwendungen vom Gesetzgeber als unerlässlich für das Funktionieren der gesetzlichen Krankenversicherung angesehen werden. Die Karte soll auch künftig als Nachweis der Berechtigung zur Inanspruchnahme von Leistungen bei jedem Besuch z.B. eines Arztes vorgelegt werden. Als Pflichtanwendungen sind im Gesetz vorgesehen:
- Versichertendaten (Berechtigungsnachweis zur Inanspruchnahme von medizinischen Leistungen)
- EHIC
- Elektronisches Rezept (Übermittlung ärztlicher Verordnungen mit Hilfe der eGK)
4.2.2 Freiwillige Anwendungen
Die freiwilligen Anwendungen (s. Abb. 3) sehen die Möglichkeit der Verarbeitung von detaillierten medizinischen Daten vor. Dabei wird im Regelfall die vollständige ärztliche Behandlungsdokumentation, zu der der Arzt aufgrund des Behandlungsvertrages und der ärztlichen Berufsordnung verpflichtet ist, weiterhin beim jeweiligen Arzt originär gespeichert und dort auch verbleiben. Die mittels der eGK künftig zur Verfügung stehenden Behandlungsdaten werden in der Regel (Teil-)kopien dieser ärztlichen Dokumentation sein.
Für die Nutzung einer freiwilligen Anwendung bedarf es einer gesonderten schriftlichen Einwilligung des Versicherten und der dementsprechenden technischen Freischaltung der Anwendung durch PIN-Eingabe[6]. Die Versicherten entscheiden eigenverantwortlich, ob und welche Gesundheitsdaten gespeichert bzw. gelöscht werden und wer auf die Gesundheitsdaten zugreifen darf. Folgende freiwilligen Anwendungen sind vorgesehen (vgl. Abb. 1, dort sind unter der Sparte Fachdienste beispielhaft die AMTS und die ePA aufgeführt):
- Notfalldaten: Speicherung von klinischen Basisdaten für die Versorgung im Notfall wie z.B. Allergien, individuelle Risiken, chronische Vorerkrankungen.
- Arzneimitteltherapiesicherheit (AMTS): Dokumentation und Prüfung abgegebener bzw. verordneter Arzneimittel.
- Arztbriefe: Übermittlung von Befunden, Diagnosen, Therapieempfehlungen, Behandlungsberichten.
- Patientenquittungen: Deren vollelektronische Verwaltung zur Information des Versicherten über die abgerechneten Leistungen und deren vorläufige Kosten.
- Elektronische Patientenakte (ePA): Verwaltung von Befunden, Diagnosen, Therapieempfehlungen, Behandlungsberichten, Röntgenbilder und Impfungen.
Weder für die Pflichtanwendungen noch für die freiwilligen Anwendungen regelt das Gesetz, wo die Daten gespeichert werden, d.h. ob die medizinischen Daten
- auf der eGK zu speichern sind oder
- auf der Karte nur Verweise und Schlüssel zu speichern sind, die auf Dokumente verweisen, die auf zentralen Servern vorgehalten werden.
Da die eGK nur begrenzten Speicherplatz zur Verfügung stellt, werden die Daten der freiwilligen Anwendungen mit Ausnahme der Notfalldaten führend auf den Servern der jeweiligen Fachdienste gespeichert, wobei die Speicherung der medizinischen Daten aufgrund ihres Schutzbedarfs immer verschlüsselt erfolgt[7]. Diese medizinischen Datenobjekte, die beim Fachdienst verschlüsselt abgelegt werden, sind hybrid verschlüsselt und können nur unter Verwendung der eGK des Versicherten oder durch vom Versicherten Berechtigte (z.B. einem Treuhänder) wieder entschlüsselt werden.
Der Zugriff auf die Daten des Versicherten erfolgt über einen Verweis auf den Fachdienst in EF.Verweis der eGK (s. auch Abb. 5). In Verbindung mit dem Lokalisierungsdienst der Telematikinfrastruktur kann somit der Fachdienst jeder freiwilligen Anwendung eindeutig ermittelt werden.
Bei dem Fachdienst werden die medizinischen Daten über sog. Objekt-Referenzen angesteuert, die auch als Objekt Tickets[8] bezeichnet werden. Die Fachdienste sind für den physischen Erhalt der Anwendungsdaten verantwortlich.
4.2.3 Mehrwertanwendungen
Der Vollständigkeit halber seien an dieser Stelle ergänzend zu den Pflichtanwendungen und freiwilligen Anwendungen die sog. Mehrwertanwendungen[9] angeführt, die z.B. von einzelnen Kostenträgern zukünftig als Differenzierungsmerkmal zu anderen Krankenkassen angeboten werden. Stellvertretend seien hier Bonusprogramme genannt, die je nach Ausgestaltung eine gewisse Kundenbindung bewirken können. Solche Anwendungen sind von der Mitbenutzung der Telematik-Infrastruktur nach heutigem Stand weitgehend ausgeschlossen (s. Abb. 1).
4.3 Das Filesystem auf der eGK
Daten werden auf der eGK innerhalb einer Verzeichnisstruktur in Files (Dateien) gespeichert[10]. Da die meisten Chiphersteller über eigene Betriebssyteme (Operating Systems) die Daten auf einer eGK verwalten, sind in Abb. 5 die OS-abhängigen Files in der Farbe orange dargestellt.
Zu den grundlegenden Applikationen der eGK zählen[11]:
- Das Wurzelverzeichnis der eGK, auch root oder Master File (MF) genannt.
- Die Gesundheitsanwendung DF.HCA (Health Care Application).
- Die Krypto-Anwendung DF.ESIGN.
- Die qualifizierte elektronische Signatur DF.QES (Qualified Electronic Signature).
- Die Beschreibung kryptographischer Objekte DF.CIA_ESIGN.
Im Master File werden die übergreifenden Informationen zum Betriebssystem der Karte, den auf ihr abgebildeten Verzeichnissen, Zugriffsregeln, diverse Schlüssel und Zertifikate gespeichert. Unterhalb des MF werden die weiteren Unterverzeichnisse verwaltet, bspw. das Directory File (DF) der Health Care Application (HCA) - der Gesundheitsanwendung. In diesem Verzeichnis finden sich z.B. die Versichertendaten in den Elementary Files (EF) persönliche Daten (PD), Versichertendaten (VD) sowie geschützte Versichertendaten (GVD) wieder (vgl. Abb. 5.2).
Die elektronische Gesundheitskarte dient im Kontext der freiwilligen Anwendungen in der Regel lediglich zur Speicherung von Verweisen zur Lokalisierung der Fachdienste der vom Versicherten genutzten freiwilligen Anwendungen in dem auf der Karte befindlichen Datenfeld EF.Verweis sowie der Speicherung der zugehörigen Einwilligungsdokumentationen im Datenfeld EF.Einwilligung (vgl. Abb. 5.3). Eine Ausnahme bildet hier das Notfalldatenmanagement[12], da die Notfalldaten auch im Offline-Fall verfügbar sein müssen und deshalb ebenfalls direkt auf der eGK gespeichert werden (vgl. Abb. 5.1).
Bezüglich des Themas dieser Hausarbeit sind insbesondere die Verweise in EF.Verweis und die Einwilligungen in EF.Einwilligung von Belang, da diese auf die neue eGK übernommen werden müssen. Dabei spielt der private (PrK.CH.ENC) sowie der öffentliche (PuK.CH.ENC) Schlüssel (s. Abb. 5.4) eine entscheidende Rolle, wie in den folgenden Ausführungen dargestellt wird.
5 Grundlagen für den Datenerhalt von freiwilligen Anwendungen
Die Notwendigkeit des Datenerhalts kann sich in unterschiedlichen Situationen ergeben. Grundsätzlich ist Datenerhalt immer dann gefordert, wenn für einen Versicherten, der bereits eine eGK besitzt, eine neue eGK ausgestellt werden muss[13].
5.1 Auslöser des Datenerhalts
Aus der Abbildung 6 wird ersichtlich, welche Auslöser zur Erstellung einer neuen eGK führen und damit auch den Datenerhalt von freiwilligen Anwendungen bedingen.
Initial erhält jeder Versicherte eine eGK als Ablösung der bisher verwendeten Krankenversicherungskarte. Anschließend können verschiedene Ereignisse auftreten, die zur Ausstellung einer neuen eGK für den selben Versicherten führen. Dabei sind vier Fälle zu unterscheiden:
- Die eGK des Versicherten wird defekt, verloren oder gestohlen. Der bisherige Kartenherausgeber erstellt eine Ersatzkarte.
- Die eGK des Versicherten wird ungültig oder ungeeignet, z.B. weil sich Daten der optischen Personalisierung (äußere Merkmale der eGK wie z.B. das Bild des Versicherten) ändern. Der bisherige Kartenherausgeber erstellt eine Folgekarte.
- Der Versicherte wechselt die Krankenversicherung und erhält in diesem Zusammenhang eine neue eGK von einem neuen Kartenherausgeber (Neukarte), verfügt aber auch noch über seine alte eGK.
- Wie 3., jedoch verfügt der Versicherte zum Zeitpunkt der Neukartenproduktion nicht mehr über sein alte eGK.
Nach Ausgabe der neuen Karte kann jeder der vier Fälle erneut auftreten. Für den Datenerhalt ist von Bedeutung, dass in den Fällen 1 und 2 die Ersatz- bzw. Folgekarte von demselben Kartenherausgeber ausgegeben wird wie die Vorgängerkarte, wodurch sich der Erhalt insbesondere der übergeordneten Kartendaten einfacher gestaltet. Im Gegensatz dazu ist nach dem Wechsel der Versicherung in den Fällen 3 und 4 ein anderer Kartenherausgeber zuständig, dem zunächst Informationen u.a. über die bisher genutzten Anwendungen und damit verknüpften zu erhaltenden Daten bereitgestellt werden müssen. Die Fälle 2 und 3 haben gemeinsam, dass bei Ausgabe der Folge- bzw. Neukarte die Vorgängerkarte noch verfügbar ist, was nach Defekt, Verlust oder Diebstahl nicht der Fall ist. Dies ermöglicht potenziell, die Vorgängerkarte sowie die auf ihr gespeicherten Daten in den Datenerhaltprozess einzubinden. Die weiteren Ausführungen dieser Hausarbeit beschränken sich auf den Fall 1, d.h. auf die Ausgabe einer Ersatzkarte.
5.2 Speicherorte von Daten freiwilliger Anwendungen
Der Übersicht halber sind die Speicherorte zu den Daten freiwilliger Anwendungen noch einmal in einer Tabelle zusammengefasst (vg. Abb. 7). Mit Blick auf den Datenerhalt sind diese je nach Lösungsansatz von unterschiedlicher Relevanz.
6 Lösungsansätze für den Datenerhalt von freiwilligen Anwendungen
Aus Sicht eines Versicherten, die in dieser Hausarbeit verfolgt wird, liegen die Unterschiede vor allem in dem Grad der aktiven Beteiligung des Karteninhabers (vgl. Abb. 8). Ausgehend von einer manuellen Lösung, bei der der Versicherte bei einem Kartenwechsel selbst für das erneute Speichern seiner freiwilligen Anwendungen auf der eGK verantwortlich ist, bieten sich auch teilautomatisierte und schließlich vollautomatisierte Konzeptionen mit geringerer oder keinem Invest des Karteninhabers an.
Die diversen Lösungskonzepte werden in den folgenden Kapiteln näher erläutert.
6.1 Manueller Datenerhalt
Als manueller Datenerhalt wird die grundsätzlich vorhandene Möglichkeit verstanden, die persönlichen medizinischen Daten der freiwilligen Anwendungen durch erneute Bereitstellung durch die Ärzte wieder herzustellen, ohne auf zusätzliche technische Verfahren zurückgreifen zu müssen. Dies ist in nahezu jedem Fall möglich, da durch geltende Bestimmungen die Ärzte der Pflicht zur medizinischen Dokumentation unterliegen. Diese Dokumentation kann unabhängig davon, ob sie elektronisch oder nichtelektronisch erfolgt, zur erneuten Bestückung der Datensammlungen der freiwilligen Anwendungen der eGK genutzt werden. Im einfachsten Fall kann z.B. der Notfalldatensatz erneut von demjenigen Arzt auf eine Ersatzkarte geschrieben werden, der diesen Datensatz zuletzt gespeichert hat. Die Neuerstellung einer elektronischen Patientenakte aus zahlreichen Einzelinformationen, die u. U. bei verschiedenen Ärzten in unterschiedlicher Form gespeichert sind, ist entsprechend aufwändiger, aber grundsätzlich ebenfalls möglich.
Vorteile des manuellen Datenerhalts sind:
- Neben dem Arzt bleibt der Versicherte Herr seiner Daten; es gibt keinerlei Abhängigkeit von organisatorischen oder technischen Instanzen und Prozessen.
Nachteile des manuellen Datenerhalts sind:
- Die Wiederherstellung der elektronischen Datensammlungen der freiwilligen Anwendungen der eGK obliegt allein dem Versicherten und erfordert möglicherweise einen nicht unerheblichen Aufwand.
Aus Sicht der Krankenkassen ist der manuelle Datenerhalt für ihre Kunden kaum zumutbar, solange es für den Versicherten komfortablere Varianten des Datenerhalts gibt.
6.2 Teilautomatisierter Datenerhalt
Als teilautomatisierter Datenerhalt wird nachfolgend die Möglichkeit bezeichnet, den Zugriff auf Daten freiwilliger Anwendungen bei einem Kartenwechsel auf automatisierte elektronische Weise zu erhalten, ohne dass der Versicherte dabei unbekannten Dritten vertrauen muss. Der Versicherte behält dazu ein Geheimnis, das zum Anstoß des Prozesses unbedingt erforderlich ist, in eigener Obhut bzw. verwendet als Treuhänder eine selbst gewählte Vertrauensperson, z. B. aus dem privaten Umfeld (Partner, Eltern oder Kinder) zur Aufbewahrung des Geheimnisses.
6.2.1 Alte eGK
Für die hier beschriebene Variante ist sowohl die alte eGK als auch die Ersatzkarte des Versicherten erforderlich. Der Versicherte steckt in einer sicheren Umgebung seine alte eGK in ein Kartenlesegerät, das mit einem Konnektor über die Telematikinfrastrukur eine Verbindung mit seinen freiwilligen Anwendungen aufnimmt (vgl. Abb. 1). Mittels seines privaten Entschlüsselungsschlüssels werden die hybrid[14] verschlüsselten Anwendungsdaten für ihn zugänglich.
Durch Nutzung einer entsprechenden Funktion im Konnektor oder in einem eKiosk erhält der Versicherte nun die Gelegenheit, nach Stecken seiner Ersatzkarte ein entsprechendes Umschlüsselungsprogramm zu starten. Dieses Programm verschlüsselt die gespeicherten Anwendungsdaten nun auf dem Schlüsselmaterial der Ersatz-eGK um. Wenn dieser Vorgang abgeschlossen ist, sind seine erneut hybrid verschlüsselten Anwendungsdaten nunmehr mittels der Ersatzkarte zugänglich.
Vorteile des teilautomatisierten Datenerhalts mit alter eGK sind:
- Der Versicherte ist er Herr über seine Daten.
- Der Anstoß des Erhaltprozesses erfolgt durch den Versicherten selbst.
Nachteile des teilautomatisierten Datenerhalts mit alter eGK sind:
- Diese Prozedur der Umschlüsselung bringt ggf. eine lange Wartezeit mit sich. Dies ist abhängig vom Umfang der gespeicherten medizinischen Daten als auch vom aufwendigen Prozess des Umschlüsselns.
- Sollte die alte eGK defekt sein oder der Versicherte verfügt nicht mehr über sie (gestohlen, verloren), ist der oben beschriebene teilautomatisierte Datenerhalt nicht mehr möglich. Ersatzweise müsste der Versicherte den manuellen Datenerhalt umsetzen.
6.2.2 Privater Treuhänder
Um den teilautomatisierten Datenerhalt auch bei Defekt, Verlust oder Diebstahl der alten Karte nutzen zu können, muss sichergestellt werden, dass der Versicherte alternativ auch eine spezielle Zweitkarte (Treuhänderkarte) verwenden kann, die sich unter der Verfügungsgewalt des Versicherten befindet, oder die eGK eines anderen Versicherten, der als privater Treuhänder fungiert. Der Prozess verläuft dann analog, z.B. an einem eKiosk, mit der Treuhänderkarte anstelle der alten eGK des Versicherten.
Vorteile des teilautomatisierten Datenerhalts mit Treuhänderkarte sind:
- Der Versicherte bleibt Herr seiner Daten; ggf. verwendet er eine Treuhänderkarte oder vertraut einer Person seiner Wahl.
- Die Verwendung einer Treuhänderkarte oder eines privaten Treuhänders ermöglicht den Erhalt der Daten auch bei Defekt, Verlust oder Diebstahl der alten Karte.
- Der Anstoß des Erhaltprozesses erfolgt durch den Versicherten selbst.
- Durch den expliziten Prozess (am eKiosk oder einer anderen Einrichtung der Telematikinfrastruktur) ist der Übergang von der Nutzung der alten Karte zur Ersatzkarte trennscharf und einfach nachvollziehbar.
Nachteile des teilautomatisierten Datenerhalts mit Treuhänderkarte sind:
- Der Versicherte und ggf. der private Treuhänder müssen eine Einrichtung aufsuchen, von der aus die Autorisierung des Treuhänders und ggf. der Erhaltprozess angestoßen werden kann (eKiosk o. ä.).
- Falls es zum Verlust aller Datenträger bzw. Schlüssel kommt, die für den Erhalt vorgesehen waren (z. B. wenn ausschließlich die alte eGK verwendet werden sollte oder eine Treuhänderkarte gemeinsam mit der eGK verloren wurde), verbleibt als Ersatzverfahren nur noch der manuelle Datenerhalt.
6.3 Automatisierter Datenerhalt
Ziel des automatisierten Datenerhalts ist die Wiederherstellung des Zugriffs auf die Daten der freiwilligen Anwendungen eines Versicherten, ohne dass der Versicherte einen eigenen Beitrag dazu leisten muss und ohne dass ein Rückgriff auf den manuellen Datenerhalt notwendig wird. Eine Ausnahme bildet hier das Notfalldatenmanagement, da ein neuer Notfalldatensatz nur im Beisein eines Arztes und des Versicherten auf die Karte geschrieben werden darf. Mögliche Varianten des automatisierten Datenerhalts von freiwilligen Anwendungen werden nachfolgend dargestellt.
6.3.1 Key-Recovery-Verfahren
Das Key-Recovery-Verfahren ist in den Abbildungen 9 und 10 in seinen wesentlichen Grundzügen dargestellt. Bei diesem automatisierten Datenerhaltkonzept werden die in den Grafiken dargestellten Schritte 1 bis 15 in einer jeweils folgenden Tabelle im Einzelnen erläutert[15].
| 1 | Der Kartenherausgeber erzeugt bei der Kartenproduktion aus dem privaten Entschlüsselungsschlüssel des Versicherten zusätzlich zwei Teilschlüssel, aus denen der zuständige Datenwiederherstellungsdienst (Data Recovery Service - DRS) den ursprünglichen Schlüssel wieder herstellen kann. |
| 2 | Ein Teilschlüssel (Teilgeheimnis 1) wird beim Kartenherausgeber hinterlegt. |
| 3 | Der andere Teilschlüssel (Teilgeheimnis 2) . . . |
| 4 | . . . wird zur ausschließlichen Verwendung durch einen zuständigen Treuhänder auf der eGK gespeichert. |
| 5 | Bei der erstmaligen Einrichtung einer freiwilligen Anwendung mit Online-Speicherung von Daten wird der Treuhänder informiert und der auf der eGK gespeicherte Teilschlüssel wird dem Treuhänder übermittelt und . . . |
| 6 | . . . dort gespeichert. Bei der Einrichtung weiterer freiwilliger Anwendungen wird der Treuhänder jeweils informiert. |
| 7 | Bei Ausgabe einer neuen eGK beauftragt der Kostenträger den Treuhänder mit der Umschlüsselung der Daten (Grund für Datenerhalt). Der Versicherte ist nicht beteiligt. |
| 8 | Der Treuhänder fordert bei den beauftragten Fachdiensten für die freiwilligen Anwendungen die Objekt Tickets des Versicherten an . . . |
| 9 | . . . und übergibt sie zusammen mit dem bei ihm hinterlegten Teilschlüssel (Teilgeheimnis 2) . . . |
| 10 | . . . dem zuständigen Data Recovery Service zur Umschlüsselung. |
| 11 | Der Data Recovery Service (DRS) fordert beim Kartenherausgeber den dort hinterlegten Teilschlüssel (Teilgeheimnis 1) an, . . . |
| 12 | . . . rekonstruiert den ursprünglichen privaten Entschlüsselungsschlüssel des Versicherten und schlüsselt die Objekt Tickets um. |
| 13 | Die umgeschlüsselten Objekt Tickets werden über den Treuhänder . . . |
| 14 | . . . an die zuständigen Fachdienste verteilt. Die Ersatzkarte wird ohne Informationen zu den vom Versicherten genutzten freiwilligen Anwendungen ausgeliefert. Bei der erstmaligen Nutzung der neuen Karte, überträgt der Treuhänder die Informationen über einen sicheren Kanal auf die Karte. |
| 15 | Nachdem der Treuhänder den Datenerhalt für alle Anwendungen erfolgreich durchgeführt hat, muss der Kostenträger über das Ergebnis des Prozesses informiert werden. |
Vorteile des automatisierten Datenerhalts mittels des Key-Recovery-Verfahrens sind:
- Es ist keine Aktivität des Versicherten erforderlich. Die Ersatzkarte kann bei Erfordernis unmittelbar produziert und zugestellt werden und ist sofort einsetzbar.
- Der Datenerhalt ist auch im Worst Case einfach und schnell möglich, also auch bei Totalverlust der alten eGK und aller anderen Datenträger und Geheimnisse des Versicherten.
- Wird ein privater Schlüssel kompromittiert, erfährt der Treuhänder noch keine Kompromittierung.
- Erst durch die beiden Teilgeheimnisse wird der Umschlüsselungsprozess möglich, was eine zusätzliche Sicherheit darstellt.
Nachteile des automatisierten Datenerhalts mittels des Key-Recovery-Verfahrens sind:
- Der Versicherte tritt die Kontrolle über den Prozess weitestgehend an den Kostenträger und die beteiligten Dienste ab.
- Der Versicherte muss einem institutionellen Treuhänder vertrauen, der zumindest Teile von privatem Schlüsselmaterial verwaltet, das potenziell (d.h. bei unerlaubtem Zusammenwirken mehrerer Beteiligter) zum Zugriff auf eigene medizinische Daten verwendet werden könnte.
- Eine Speicherung der Teilgeheimnisse 2 beim Treuhänder wird erforderlich.
6.3.2 Key-Escrow-Verfahren
Das Key-Escrow-Verfahren (s. Abb. 11) unterscheidet sich maßgeblich in folgenden Punkten vom Key-Recovery-Verfahren:
- Die Objekt-Tickets der freiwilligen Anwendungen eines Versicherten werden nicht nur mit dem öffentlichen Schlüssel des Versicherten verschlüsselt, sondern parallel dazu auch mit dem öffentlichen Schlüssel des zuständigen Treuhänders.
- Dies bedingt, dass der öffentliche Schlüssel des Treuhänders für die entsprechenden Prozesse in Verbindung mit den freiwilligen Anwendungen im Konnektor zur Verfügung steht.
- Der privaten Schlüssel des Treuhänders ist im gesicherten Bereich des Treuhänders vorzuhalten.
| 1 | Bei Ausgabe einer Ersatzkarte beauftragt der Kostenträger den Treuhänder mit der Umschlüsselung der Daten (Grund für Datenerhalt). Der Versicherte ist nicht beteiligt. |
| 2 | Der Treuhänder fordert bei den beauftragten Fachdiensten für die freiwilligen Anwendungen die Objekt Tickets des Versicherten an . . . |
| 3 | . . . und entschlüsselt nun mit seinem privaten Treuhänder-Entschlüsselungsschlüssel die Objekt Tickets. |
| 4 | Anschließend verschlüsselt der Treuhänder die Objekt Tickets für den Versicherten mit dem öffentlichen Schlüssel der Ersatzkarte des Versicherten. |
| 5 | Die umgeschlüsselten Objekt Tickets werden über den Treuhänder an die zuständigen Fachdienste verteilt. Eine entsprechende Statusmeldung wird vom Fachdienst an den Treuhänder zurückgesandt. Die Ersatzkarte wird ohne Informationen zu den vom Versicherten genutzten freiwilligen Anwendungen ausgeliefert. Bei der erstmaligen Nutzung der neuen Karte, überträgt der Treuhänder die Informationen über einen sicheren Kanal auf die Karte. |
| 6 | Nachdem der Treuhänder den Datenerhalt für alle Anwendungen erfolgreich durchgeführt hat, muss der Kostenträger über das Ergebnis des Prozesses informiert werden. |
Vorteile des automatisierten Datenerhalts mittels des Key-Escrow-Verfahrens sind:
- Es ist keine Aktivität des Versicherten erforderlich. Die Ersatzkarte kann bei Erfordernis unmittelbar produziert und zugestellt werden und ist sofort einsetzbar.
- Der Datenerhalt ist auch im Worst Case einfach und schnell möglich, also auch bei Totalverlust der alten eGK und aller anderen Datenträger und Geheimnisse des Versicherten.
- Durch die zusätzliche Verschlüsselung der Objekt Tickets mit dem öffentlichen Schlüssel des Treuhänders benötigt der Letztgenannte nicht den privaten Schlüssel des Versicherten für den Umschlüsselungsprozess.
Nachteile des automatisierten Datenerhalts mittels des Key-Escrow-Verfahrens sind:
- Der Versicherte tritt die Kontrolle über den Prozess weitestgehend an den Kostenträger und die beteiligten Dienste ab.
- Der Versicherte muss einem institutionellen Treuhänder vertrauen.
- Der öffentliche Schlüssel des Treuhänders muss im Konnektor gespeichert werden.
- Wird ein privater Schlüssel kompromittiert, so ist der Treuhänder in Gänze kompromittiert.
7 Fazit
Die Einführung der elektronischen Gesundheitskarte in Deutschland stellt eine große Herausforderung für alle Beteiligten dar, wobei insbesondere die gematik als Entwickler der notwendigen IT-Standards und Grundlagen zu benennen ist.
Mit der Ablösung der Krankenversichertenkarte durch die eGK ergeben sich vielfältige Änderungen, nicht nur in den zukünftig zu verwendenden Medien sondern vor allem in den umfangreichen Prozessen. So wird der Grad der Vernetzung zwischen den versicherten Personen, den Leistungserbringern und den Krankenkassen/Kostenträgern stark zunehmen, Informationen stehen schneller als bisher zur Verfügung und können entsprechend ausgewertet werden. Das Einlösen von Rezepten zum Beispiel, die auf der eGK gespeichert werden können, wird in den Apotheken durch Nutzung der entsprechenden Infrastruktur vereinfacht. Aufgrund stets aktueller Versichertendaten auf der eGK nebst Bild auf dem Kartenkörper wird dem Missbrauch von Versicherungsleistungen zunehmend Einhalt geboten.
Mit der Vielfalt an freiwilligen und zukünftig auch Mehrwert-Anwendungen eröffnet sich nicht nur für den Versicherten sondern auch für die Krankenkassen ein neues Feld der Betätigung. In der Gunst um den Kunden dürften vor allem diese Anwendungen zur differenzierten Wahrnehmung von Krankenkassen und deren Kompetenz im Markt beitragen.
Bis es aber soweit ist, sind noch viele kleine und große Hürden zu überwinden. Diese Hausarbeit zeigt an dem Thema Datenerhalt von freiwilligen Anwendungen beispielhaft auf, dass viele Konzepte der gematik noch der genaueren Ausarbeitung bedürfen und das selbst die dargestellten Lösungskonzepte für den Datenerhalt von freiwilligen Anwendungen vor dem BSI noch bestehen müssen. Denn nur wenn die Sicherheit persönlicher Daten vollumfänglich gewährleistet wird, wird das ein oder andere Konzept in die Praxis Einzug halten[16].
Bei einem Vergleich der dargestellten Datenerhaltkonzepte kann abschließend zusammengefasst werden, dass vor allem diejenigen Verfahren mit einem hohen Automatisierungsgrad die größten Chancen für eine Umsetzung haben. Der rein manuelle Datenerhalt wird in der Praxis aufgrund seines aufwändigen Verfahrens der Neuanlage der freiwilligen Anwendungen nur schwerlich auf Akzeptanz stoßen; weder bei den Leistungserbringern noch bei den Versicherten.
Auch die teilautomatisierten Konzepte bergen für den Versicherten nur eine unzureichende Komplexität, da bei Verlust der alten eGK oder einer Treuhänderkarte auf den manuellen Datenerhalt zurück gegriffen werden müsste.
Von den automatischen Datenerhaltkonzepten erscheint aufgrund der dargestellten Vor- und Nachteile das Key-Recovery-Verfahren das praktikabelste Verfahren zu sein. Nach einer grundsätzlichen Einverständniserklärung durch den Versicherten bei der Nutzung der ersten freiwilligen Anwendung ist seine Mitwirkung bei der Ausgabe einer Ersatzkarte und der damit verbundenen Umschlüsselung der Objekt Tickets nicht erforderlich. Ähnlich verhält es sich beim Key-Escrow-Verfahren, das jedoch aus organisatorischen und sicherheitstechnischen Gründen nachteiliger zu bewerten ist.
Da zum heutigen Zeitpunkt weder von der gemaitk zugelassene freiwillige Anwendungen existieren, noch für zumindest die (teil-)automatisierten Verfahren des Datenerhalts die notwendige Infrastruktur als auch die erforderlichen Dienste existieren, wird sich erst in den nächsten Jahren zeigen, ob eines der dargestellten Lösungskonzepte umgesetzt wird.
8 Fußnoten
- ↑ vgl. Sozialgesetzbuch - fünftes Buch: § 291a
- ↑ vgl. Sozialgesetzbuch - fünftes Buch: § 291b
- ↑ vgl. gematik: Gesamtarchitektur (02.09.2008), S. 28
- ↑ vgl. Sozialgesetzbuch - fünftes Buch: § 291
- ↑ vgl. Bundesgesetzblatt I (2006), S. 2199 ff
- ↑ vgl. BGBl. I. S. (1970) Bundesdatenschutzgesetz
- ↑ vgl. gematik: Mehrwertanwendungen (29.08.2008)
- ↑ vgl. gematik: Spezifikation Ticketservice (29.08.2008)
- ↑ vgl. gematik: Facharchitektur Mehrwertanwendungen Typ4 (25.08.2008)
- ↑ vgl. gematik: Speicherstrukturen der eGK für Gesundheitsanwendungen (07.07.2008)
- ↑ vgl. gematik: Spezifikation der elektronischen Gesundheitskarte, Teil 1 – 3 (2008)
- ↑ vgl. Bundesärztekammer: Medizinische Daten der eGK – Notfalldaten (2005)
- ↑ vgl. gematik: Fachkonzept Weiternutzung der Daten des Versicherten bei Kartenwechsel (14.04.2008)
- ↑ vgl. Beutelspacher: Kryptologie (2002)
- ↑ vgl. gematik: Fachkonzept Weiternutzung der Daten des Versicherten bei Kartenwechsel (14.04.2008)
- ↑ vgl. gematik: Übergreifendes Sicherheitskonzept (05.09.2008)
9 Literatur- und Quellenverzeichnis
[01] Beutelspacher, Albrecht; Kryptologie - Eine Einführung in die Wissenschaft vom Verschlüsseln, Verbergen und Verheimlichen; 6., überarbeitete Auflage; Vieweg; Braunschweig/Wiesbaden 2002
[02] Bundesgesetzblatt I (2006) vom 10.10.2006, Seite 2199 ff.: Verordnung über Testmaßnahmen für die Einführung der elektronischen Gesundheitskarte in der Fassung der Bekanntmachung vom 5. Oktober 2006
[03] Bundesärztekammer (Sept.2005): Medizinische Daten auf der elektronischen Gesundheitskarte – Notfalldaten gem. § 291a Abs. 3 Nr. 2, Version 1.0
[04] BGBl. I S. 1970 (22.08.2006): Bundesdatenschutzgesetz
[05] Sozialgesetzbuch (SGB), Fünftes Buch (V): Gesetzliche Krankenversicherung, §§ 291, 291a, 291b, Stand 18.05.2008
[06] gematik: Facharchitektur Mehrwertanwendungen Typ4. Version 1.0.0, Stand 25.08.2008. URL: http://www.gematik.de
[07] gematik: Fachkonzept Weiternutzung der Daten des Versicherten bei Kartenwechsel Version 0.8.0, Stand 14.04.2008. URL: http://www.gematik.de
[08] gematik: Gesamtarchitektur. Version 1.5.0, Stand 02.09.2008. URL: http://www.gematik.de
[09] gematik: Mehrwertanwendung. Fachkonzept Mehrwertkommunikation Leistungserbringer. Version 1.0.0, Stand 29.08.2008. URL: http://www.gematik.de
[10] gematik: Speicherstrukturen der eGK für Gesundheitsanwendungen. Version 1.7.0, Stand 07.07.2008. URL: http://www.gematik.de
[11] gematik: Spezifikation der elektronischen Gesundheitskarte. Teil 1: Spezifikation der elektrischen Schnittstelle, Version 2.2.2, Stand 16.09.2008. URL: http://www.gematik.de
[12] gematik: Spezifikation der elektronischen Gesundheitskarte. Teil 2: Grundlegende Applikationen, Version 2.2.1, Stand 19.06.2008. URL: http://www.gematik.de
[13] gematik: Spezifikation der elektronischen Gesundheitskarte. Teil 3: Äußere Gestaltung, Version 2.2.0, Stand 02.07.2008. URL: http://www.gematik.de
[14] gematik: Spezifikation Ticketservice. Version 1.4.0, Stand 29.08.2008. URL: http://www.gematik.de
[15] gematik: Übergreifendes Sicherheitskonzept der Telematikinfrastruktur. Version 2.4.0, Stand 05.09.2008. URL: http://www.gematik.de
