6
Schwerpunkt DuD • Datenschutz und Datensicherheit 30 (2006) 3 155 Sichere Telematikinfrastruktur im Gesundheitswesen Die eHealth-Gesamtarchitektur in Deutschland wird getestet Michael Meyer, Ulf Hönick Die Einführung der elektronischen Gesundheitskarte in Deutschland ver- zögert sich weiter. Doch inzwischen sind immerhin für Mitte des Jahres die Pilotversuche in acht Modellregionen angekündigt. Dr. Michael Meyer Geschäftsleiter elektronische Ge- sundheitskarte Deutschland bei Siemens, München / Berlin E-Mail: [email protected] Ulf Hönick Senior Project Ma- nager bei Siemens, München E-Mail: [email protected] Einleitung Alltag in vielen Arztpraxen in Deutschland: Ungeduldige Patienten sitzen im Warte- zimmer und harren auf ihren Behandlungs- termin. Gestresste Ärzte ertrinken in der Formularflut und haben immer weniger Zeit für ihre eigentliche Aufgabe. Die manuelle Registrierung neuer Patienten ist ebenso zeitaufwändig wie die umständliche Ein- sicht in die handgeschriebene Krankenakte. Mehrfachuntersuchungen sind an der Ta- gesordnung, da kein Zugriff auf die Ergeb- nisse vorausgegangener Anamnesen besteht. Gleiches gilt für die Verschreibung von Arzneimitteln, die eventuell mit einer be- reits bestehenden Medikation unverträglich sind. Denn noch immer sterben in Deutsch- land mehr Menschen an fehlerhafter Medi- kation als an den Folgen von Verkehrsunfäl- len. Das Bundesministerium für Gesundheit und Soziales geht von jährlich 7.000 bis 24.000 Fällen aus. Auch die Beschaffung von Medikamen- ten in der Apotheke mit einem Papier- Rezept, das der Arzt ausgestellt und unter- schrieben hat, ist alles andere als bequem. Immer wieder gibt es Medienbrüche, auch bei der Abrechnung der erbrachten Leistun- gen auf den verschiedenen Ebenen. Beson- ders kritisch wirken sich diese Gebrechen unseres Gesundheitswesens aus, wenn es um wertvolle Minuten geht. Etwa bei der Notaufnahme im Krankenhaus. Nicht vor- handene Daten, die wichtig für eine erfolg- reiche Erstbehandlung wären, oder die Verordnung unverträglicher Medikamente verzögern nicht nur den Erfolg der ärztli- chen Hilfe, sondern können im schlimmsten Fall zu lebensbedrohlichen Situationen führen. Die Folgekosten sind gewaltig, von den Auswirkungen für die betroffenen Patienten ganz zu schweigen. Die Kostenexplosion im Gesundheitswesen zwingt zu Maßnahmen, die zu einer spürba- ren und langfristigen Senkung der Ausga- ben beitragen, und damit zu einer grundle- genden Gesundheitsreform. Um den medi- zinischen Fortschritt nicht in sein Gegenteil zu verkehren, dürfen diese Maßnahmen jedoch nicht zu Lasten der Versorgungsqua- lität gehen. Eines ist klar: Mit den bisherigen pa- piergebundenen Verfahren lässt sich die Kostenspirale im Gesundheitswesen nicht bremsen. Der Schlüssel zur Lösung der Probleme liegt vielmehr in verlässlichen, jederzeit und überall für alle berechtigten Personen verfügbaren Patientendaten sowie einem sicheren Datentransfer. Die Einfüh- rung einer solchen Telematikinfrastruktur mit der elektronischen Gesundheitskarte als Kernelement ist deshalb der richtige Weg aus der Kostenfalle. Wenn sie vollständig realisiert ist, erfolgt die Registrierung des Patienten automatisch mit Hilfe seiner Chipkarte gibt es für jeden Versicherten nur eine einzige elektronische Krankenakte, die sämtliche notwendigen Informationen enthält und die bestmögliche Behand- lung garantiert können Mehrfachuntersuchungen entfal- len, da jede bisherige Untersuchung ver- lässlich dokumentiert ist werden Medikamenten-Unverträglich- keiten und bestehende Allergien automa- tisch geprüft und bei der Verschreibung von Arzneimitteln berücksichtigt lassen sich Rezepte speichern, von der Apotheke auf elektronischem Wege ab- rufen und mit den Dienstleistern elektro- nisch abrechnen

Sichere Telematikinfrastruktur im Gesundheitswesen

Embed Size (px)

Citation preview

Page 1: Sichere Telematikinfrastruktur im Gesundheitswesen

Schwerpunkt

DuD • Datenschutz und Datensicherheit 30 (2006) 3 155

Sichere Telematikinfrastruktur im Gesundheitswesen

Die eHealth-Gesamtarchitektur in Deutschland wird getestet

Michael Meyer, Ulf Hönick

Die Einführung der elektronischen Gesundheitskarte in Deutschland ver-zögert sich weiter. Doch inzwischen sind immerhin für Mitte des Jahres die Pilotversuche in acht Modellregionen angekündigt.

Dr. Michael Meyer Geschäftsleiter elektronische Ge-sundheitskarte Deutschland bei Siemens, München / Berlin

E-Mail: [email protected]

Ulf Hönick Senior Project Ma-nager bei Siemens, München

E-Mail: [email protected]

Einleitung Alltag in vielen Arztpraxen in Deutschland: Ungeduldige Patienten sitzen im Warte-zimmer und harren auf ihren Behandlungs-termin. Gestresste Ärzte ertrinken in der Formularflut und haben immer weniger Zeit für ihre eigentliche Aufgabe. Die manuelle Registrierung neuer Patienten ist ebenso zeitaufwändig wie die umständliche Ein-sicht in die handgeschriebene Krankenakte. Mehrfachuntersuchungen sind an der Ta-gesordnung, da kein Zugriff auf die Ergeb-nisse vorausgegangener Anamnesen besteht. Gleiches gilt für die Verschreibung von Arzneimitteln, die eventuell mit einer be-reits bestehenden Medikation unverträglich sind. Denn noch immer sterben in Deutsch-land mehr Menschen an fehlerhafter Medi-kation als an den Folgen von Verkehrsunfäl-len. Das Bundesministerium für Gesundheit und Soziales geht von jährlich 7.000 bis 24.000 Fällen aus.

Auch die Beschaffung von Medikamen-ten in der Apotheke mit einem Papier-Rezept, das der Arzt ausgestellt und unter-schrieben hat, ist alles andere als bequem. Immer wieder gibt es Medienbrüche, auch bei der Abrechnung der erbrachten Leistun-gen auf den verschiedenen Ebenen. Beson-ders kritisch wirken sich diese Gebrechen unseres Gesundheitswesens aus, wenn es um wertvolle Minuten geht. Etwa bei der Notaufnahme im Krankenhaus. Nicht vor-handene Daten, die wichtig für eine erfolg-reiche Erstbehandlung wären, oder die Verordnung unverträglicher Medikamente verzögern nicht nur den Erfolg der ärztli-chen Hilfe, sondern können im schlimmsten Fall zu lebensbedrohlichen Situationen führen. Die Folgekosten sind gewaltig, von den Auswirkungen für die betroffenen Patienten ganz zu schweigen.

Die Kostenexplosion im Gesundheitswesen zwingt zu Maßnahmen, die zu einer spürba-ren und langfristigen Senkung der Ausga-ben beitragen, und damit zu einer grundle-genden Gesundheitsreform. Um den medi-zinischen Fortschritt nicht in sein Gegenteil zu verkehren, dürfen diese Maßnahmen jedoch nicht zu Lasten der Versorgungsqua-lität gehen.

Eines ist klar: Mit den bisherigen pa-piergebundenen Verfahren lässt sich die Kostenspirale im Gesundheitswesen nicht bremsen. Der Schlüssel zur Lösung der Probleme liegt vielmehr in verlässlichen, jederzeit und überall für alle berechtigten Personen verfügbaren Patientendaten sowie einem sicheren Datentransfer. Die Einfüh-rung einer solchen Telematikinfrastruktur mit der elektronischen Gesundheitskarte als Kernelement ist deshalb der richtige Weg aus der Kostenfalle. Wenn sie vollständig realisiert ist, ♦ erfolgt die Registrierung des Patienten

automatisch mit Hilfe seiner Chipkarte ♦ gibt es für jeden Versicherten nur eine

einzige elektronische Krankenakte, die sämtliche notwendigen Informationen enthält und die bestmögliche Behand-lung garantiert

♦ können Mehrfachuntersuchungen entfal-len, da jede bisherige Untersuchung ver-lässlich dokumentiert ist

♦ werden Medikamenten-Unverträglich-keiten und bestehende Allergien automa-tisch geprüft und bei der Verschreibung von Arzneimitteln berücksichtigt

♦ lassen sich Rezepte speichern, von der Apotheke auf elektronischem Wege ab-rufen und mit den Dienstleistern elektro-nisch abrechnen

Page 2: Sichere Telematikinfrastruktur im Gesundheitswesen

Sichere Telematikinfrastruktur im Gesundheitswesen

156 DuD • Datenschutz und Datensicherheit 30 (2006) 3

1.1 Die wesentlichen Elemente der eHealth-

Gesamtarchitektur Um die mit der geplanten Einführung der elektronischen Gesundheitskarte verbunde-nen vielfältigen Vorteile auch tatsächlich erschließen zu können, wird eine breitban-dig vernetzte und serverbasierte Telemati-kinfrastruktur (TI) zur Unterstützung durchgängiger elektronischer Prozesse im Gesundheitswesen benötigt. Sie muss den höchsten Anforderungen an Interoperabili-tät, Verfügbarkeit, Verlässlichkeit und In-formationssicherheit genügen. Außerdem soll sie anwenderfreundlich, zukunftssicher und wirtschaftlich sein und muss sich an offenen Standards und dem Prinzip der Plattformunabhängigkeit orientieren.

Die wesentlichen Elemente einer e-Health-Gesamtarchitektur in Deutschland sind:

Die elektronische Gesundheitskarte (eGK) Sie ersetzt für ca. 80 Millionen Versi-cherte in Deutschland die bisherige Krankenversichertenkarte und hat fol-gende Hauptfunktionen: die Identifizie-rung und Authentifizierung des Versi-cherten über einen integrierten Mikro-chip, die Speicherung seiner Basisdaten, die Autorisierung des Zugriffs auf zent-rale Patientendaten und Anwendungen sowie die Speicherung von Verweisen auf zentral gespeicherte Daten.

Der Heilberufsausweis (HBA) Mit dem Heilberufsausweis können die rund zwei Millionen Ärzte, Apotheker und sonstige in Heilberufen Tätigen sich elektronisch ausweisen, Rezepte und Arztbriefe unterschreiben und sich bei den zentralen Diensten als berechtigter Nutzer authentifizieren. Weiterhin er-möglicht der Heilberufsausweis eine ver-trauliche Übermittlung von Dokumenten zwischen Heilberuflern mittels Ver-schlüsselung wie z.B. in der Teleradiolo-gie.

Die Institutskarte (SMC) Das dritte Element der mehrstufigen Chipkarten-Sicherheitsarchitektur ist die Institutskarte oder Secure Module Card (SMC). Sie übernimmt die Authentifizie-rung der Arztpraxis, der Apotheke oder des Krankenhauses gegenüber der Tele-matikinfrastruktur. Gleichzeitig ist sie auch für die Übertragungssicherheit ver-antwortlich, wenn zum Beispiel ein Arzt-brief an die Einrichtung und nicht den einzelnen Arzt direkt adressiert ist. Dann sorgt die SMC für die verschlüsselte Ü-bertragung der sensiblen Daten.

Das Kartenapplikationsmanagement (KAMS) Das Kartenapplikationsmanagement dient zum Verwalten und Speichern der Kar-tendaten und Anwendungen sowie der Aufbereitung von Personalisierungsda-ten für die Erst- und Folgeausstellung von Chipkarten. Ebenso zählt das Veran-lassen der Kartenerstellung für Erst- und Folgekarten beim Chipkartenpersonali-sierer, die Entgegennahme und Bearbei-tung von Kartensperrungen sowie die Erzeugung und Verteilung von Sperrlis-ten zu seinen Aufgaben. Dazu ist die Anbindung an die unterschiedlichen Trust Center (Certification Authorities) erforderlich. Das für das KAMS einge-setzte System muss mandantenfähig sein und über ein integriertes Keymanage-ment verfügen. Die Verwaltung und Per-sonalisierung von Karten mit unter-schiedlichen Kartenbetriebssystemen sollte ebenso möglich sein, wie die Nachpersonalisierung bereits ausgege-bener Karten und das Nachladen von Applikationen.

Der Konnektor Die Einführung der Telematikinfrastruk-tur im Gesundheitswesen hat zur Folge, dass alle Praxisverwaltungs-, Apothe-kenverwaltungs- und Krankenhausin-formationssysteme (die so genannten Primärsysteme) an die neue Umgebung angepasst werden müssen. Der Konnek-tor ist das Bindeglied zwischen den Pri-märsystemen (z.B. Arzt-PC mit Arztpra-

xis-Software), den Kartenterminals für die elektronische Gesundheitskarte und Heilberufeausweise auf der einen Seite und den Access-Gateways der Telemati-kinfrastruktur für die gesetzlichen Diens-te auf der anderen Seite. Gleichzeitig ist es wichtig, dass sich auch Offline-Dienste der Leistungserbringer mit Hilfe des Konnektors nutzen lassen.

Er besteht aus einer Kombination von Hard- und Software und wird einem funktional orientierten Zulassungsverfahren unterzo-gen. Seine Sicherheit wird außerdem im Rahmen einer Common Criteria-Evaluie-rung von unabhängiger Stelle bestätigt. Der Konnektor stellt für die Kommunikation zwischen Primärsystem (als dem führenden System mit der Geschäftslogik) und den durch Dritte bereitgestellten Mehrwertan-wendungen einen „transparenten Kanal“ zur Verfügung und dient dabei als IP-Gateway. Er ist gleichzeitig die „Sicherheitsleitzentra-le“ der durch Konnektor und Praxisverwal-tungssystem bereitgestellten Signaturan-wendungskomponente. Dabei muss er Pro-zesse und Kanäle derart verwalten, dass eine unberechtigte Nutzung ausgeschlossen ist.

Als Knotenpunkt zwischen zentraler Te-lematikinfrastruktur und dem internen Netz beim Arzt, im Krankenhaus oder der Apo-theke ergeben sich zwangsläufig hohe An-forderungen in punkto Manipulationssi-cherheit an den Konnektor. Insbesondere muss er in sicherer Weise auf eine fest integrierte Institutskarte zugreifen können. Das Gerät schafft eine sichere Kommunika-tionsumgebung und schützt zentrale Appli-kationen und Patientendaten vor unberech-tigten Zugriffen aus dem Internet.

Abb. 2: Heilberufsausweis

Zu den geplanten Funktionalitäten der hochsicheren zertifizierten Hardwarebox zählen neben digitaler Signatur, Anschluss an ein Virtuelles Privates Netz (VPN) dem transparenten Kanal für Mehrwertdienste und der Steuerung der Kartenterminals auch das Remote-Management und eine allge-

Abb. 1: Wichtige Komponenten der geplanten Telematikinfrastruktur

Page 3: Sichere Telematikinfrastruktur im Gesundheitswesen

Michael Meyer, Ulf Hönick

DuD • Datenschutz und Datensicherheit 30 (2006) 3 157

meine Programmierschnittstelle, um die Fachlogik nachladbar realisieren zu können. Gleichzeitig ist der Konnektor mandanten-fähig (z.B. für Praxisgemeinschaften) zu gestalten. Experten rechnen mit rund 300.000 Konnektoren, die in Deutschland zu installieren sind.

Die Netzinfrastruktur Eine hochverfügbare und breitbandige Netzinfrastruktur, die den schnellen und sicheren Austausch der benötigten Da-tenmengen garantiert, ist die Vorausset-zung für die Realisierung der Gesamtlö-sung. Diese umfasst sowohl den An-schluss der im Gesundheitswesen Täti-gen an die zentralen Anwendungen als auch die breitbandige Vernetzung der zentralen Infrastrukturdienste unterein-ander. Dabei werden besonders hohe An-forderungen an Servicequalität, Flexibi-lität und Gesamtkosten gestellt. Sicherer Zugriff auf Informationen, unabhängig von Ort und Zeit und Kommunikation ohne Einschränkungen sind dabei ent-scheidend und können über ein VPN rea-lisiert werden.

Die zentralen Infrastruktur-Dienste Infrastruktur-Dienste beinhalten unter anderem alle für den sicheren Zugriff und Datenspeicherung notwendige Ser-vices wie z.B. Zertifikats-, Verzeichnis- und Berechtigungsdienste. Denn überall, wo es um sensible Informationen geht, benötigen die richtigen Personen die richtigen Zugriffsrechte zur richtigen Zeit. Hierfür sorgen Identity- und Ac-cess-Management Lösungen. So genann-te Meta Directories ermöglichen den Abgleich von Daten zwischen den ein-zelnen in einer Einrichtung bereits vor-handenen Verzeichnissen und sorgen bei einer Datenspeicherung mit höchsten Si-cherheitsanforderungen dafür, dass sen-sible Daten wie z.B. elektronische Pati-entenakten anonymisiert gespeichert und erst beim Datenabruf dem Patienten zu-geordnet werden.

Sie spielen zukünftig eine wichtige Rolle im Gesamtkonzept und haben auch erhebliche Auswirkungen auf die zu realisierenden Anwendungen. Denn die Beantwortung der Frage „Wer darf was und gegebenenfalls wann?“ ist entscheidend für eine sichere und vertrauenswürdige Architektur. Je nachdem, ob man als Patient, Arzt, Apothe-ker oder in einer anderen Rolle Funktionen nutzt, sind verschiedene Berechtigungen innerhalb der Architektur notwendig.

Die definierten Rollen und die Zugriffe auf die Ressourcen müssen auch sicher, konsi-stent und nachvollziehbar verwaltet werden. Ein Identity Management stellt dies sicher. Es beschreibt die Art und Weise, wie die Authentifizierung und die Autorisierung im Rahmen der Prozesse der Telematikinfra-struktur umgesetzt und verwaltet werden. Für die zertifikatsbasierten Dienste stellt der Verzeichnisdienst dabei die notwendigen Zertifikate über die X.500/LDAP-Tech-nologie an jedem Punkt der Architektur zur Verfügung, so dass die Anwendungen diese verarbeiten können und die Systeme über die Verwendung der Chipkarten (eGK, HBA) abgesichert werden können.

Abb. 3: Digitale Patientenakte

Der Versichertenstammdatendienst (VSDD) Eine wesentliche Basisfunktion der Te-lematikinfrastruktur wird die Bereitstel-lung der Versichertenstammdaten durch die zuständige Krankenversicherung ü-ber einen Versichertenstammdatendienst (VSDD) sein. Hierdurch wird es dem Leistungserbringer ermöglicht, das Ver-sicherungsverhältnis auf Gültigkeit und Umfang online gegen den vorhandenen

Datenbestand der Krankenversicherun-gen zu prüfen.

Der VSDD ist technologisch eng mit dem KAMS verzahnt und erfüllt folgende Auf-gaben: Zentrale Informationsquelle für versicherungsrelevante Daten, Veröffentli-chung der Zertifikate und öffentlicher Schlüssel sowie Veröffentlichung aktueller Versichertendaten inklusive Zuzahlungssta-tus. Dazu müssen eine Reihe von Funktio-nalitäten realisiert werden. So etwa Stan-dardschnittstellen (LDAP, X.509, SOAP), Mandantenfähigkeit, Ausfallsicherheit, eine hohe Performance mit kurzen Antwortzei-ten, eine umfangreiche Speicherkapazität für Millionen von Einträgen, Revisionssi-cherheit und eine integrierte Zertifikatsver-waltung.

1.2 Sichere Infrastruktur ist wichtige

Erfolgsvoraussetzung Bereits im Jahr 2002 wurden die grundle-genden Sicherheitsansprüche an telemati-sche Systeme im Gesundheitswesen in einem Beitrag der Datenschutzbeauftragten der Länder und des Bundes formuliert: Authentizität (Zurechenbarkeit), Nutzungs-festlegung, Vertraulichkeit, Integrität, Nicht-Abstreitbarkeit von Datenübermitt-lungen, Revisionsfähigkeit, Rechtssicher-heit, Validität und Verfügbarkeit sind dem-nach die grundlegenden Sicherheitsziele, die Systemen zur medizinischen Datenver-arbeitung gesetzt sind. Zwei dieser Ziele können von der Sicherheitsinfrastruktur nicht gewährleistet werden: Die Validität

Abb. 4: eHealth-Gesamtarchitektur in Deutschland

Page 4: Sichere Telematikinfrastruktur im Gesundheitswesen

Sichere Telematikinfrastruktur im Gesundheitswesen

158 DuD • Datenschutz und Datensicherheit 30 (2006) 3

der Daten bleibt abhängig von der Qualität der eingegebenen Informationen und kann nur anwendungsbezogen erreicht werden. Die Rechtssicherheit – sie setzt Revisions-sicherheit voraus – muss durch die Gestal-tung der Geschäftsprozesse im Sinne der Gesetzgebung sichergestellt werden.

Sicherheitsdienste Im Rahmen einer serviceorientierten Si-cherheitsarchitektur müssen den Anwen-dungen zentrale Sicherheitsdienste zur Verfügung stehen. Zusätzlich erfordern die Bedingungen im Gesundheitswesen im Hinblick auf die Verfügbarkeit aber auch dezentrale Sicherheitsdienste.

Denzentrale Sicherheitsdienste Viele Arbeitsschritte müssen auch offli-ne, also ohne eine Verbindung zu zentra-len Diensten der Telematikinfrastruktur abgearbeitet werden. Hierzu sind dezen-trale Sicherheitsdienste erforderlich. Um beispielsweise ein eRezept digital mit dem auf dem HBA des Arztes befindli-chen Signaturschlüssel signieren zu kön-nen, greift das Primärsystem über die Diensteschnittstelle auf den eHealth-Konnektor zu. Dieser stellt unter anderen Sicherheitsdiensten einen lokalen „Sig-naturdienst“ bereit.

Zentrale Sicherheitsdienste Den Regelfall stellt jedoch die Nutzung der zentralen Sicherheitsdienste dar. Die-se können sowohl von den Komponenten und Diensten der Telematikinfrastruktur, als auch von den lokalen Sicherheits-diensten des eHealth-Konnektors ange-sprochen werden. Ein einfaches Beispiel für einen möglichen zentralen Sicher-heitsdienst ist die lokale Verwendung ei-nes qualifizierten Zeitstempels, ver-gleichbar dem Datum auf einem Post-stempel.

Netzinfrastruktur Um zur Datenübertragung einerseits die üblichen Infrastrukturen von Internet-providern verwenden zu können, ande-rerseits aber die Vertraulichkeit der Kommunikation zu schützen, basieren sämtliche Verbindungen auf einem Vir-tual Private Network (VPN). Zur Reali-sierung solcher sicherer Verbindungen, d.h. zur zertifikatsbasierten Authentifi-zierung der Kommunikationspartner so-wie der Verschlüsselung des Datenaus-tausches sind heute zwei verschiedene Protokolle gebräuchlich: IPsec (Kurz-form für IP Security) mit Fokus auf Ver-bindung von Servern und Netzwerken und SSL (Secure Sockets Layer) mit Fo-

kus auf der anwendungsnahen Sicherung von Client-Server-Verbindungen, wie etwa in einem Webbrowser. Eine sichere Anbindung von dezentralen Zugangs-punkten, wie Arztpraxen und Kranken-häusern, an die zentralen Dienste der TI sowie eine weitestgehende Anwendungs-unabhängigkeint sind die Rahmenbedin-gungen, die zu einer Entscheidung für IPsec führten.

Im Projekt TempoBy – dem Telemedizin-Portal der Bayerischen Universitätsklinika und des Deutschen Herzzentrums in Mün-chen – ist IP-basiertes „Client-to-Site“-VPN bereits seit längerem im Einsatz. Arztpra-xen, Krankenhäusern und Reha-Kliniken können dabei über das Internet – unabhän-gig vom Standort –jederzeit eine Experten-meinung oder ein Zweitgutachten einholen. Auch die Entgegennahme, Zwischenspei-cherung, Archivierung und Weitergabe aller denkbaren medizinischen Dokumente wie z. B. der Ergebnisse bildgebender Diagnose-verfahren (CT, MR, konventionelles Rönt-gen, Herzkatheter, Sonographie und der-gleichen erfolgt darüber. Die zugangsbe-rechtigten Partner von TempoBy sind dabei innerhalb des Internet durch einen gesicher-ten „Tunnel“ miteinander verbunden. Durch eine Chipkarten-Authentisierung lässt sich die Identität des jeweiligen Teilnehmers zweifelsfrei überprüfen und ihm gegebenen-falls auch zentral die Berechtigung entzie-hen.

Die Sicherheit der geplanten eHealth-Gesamtarchitektur basiert auf mehreren Schichten. Das VPN auf der Transportebene ist nur eine zusätzliche Maßnahme zur Sicherheit des Datenverkehrs. Da auch auf der Applikationsebene über die Smartcards und entsprechende Dienste Authentisierung und Verschlüsselung stattfindet und Kon-nektor und Access-Gateways ebenfalls eine Barriere darstellen, würde selbst das Ein-dringen eines Angreifers in das VPN die Sicherheit der Telematikinfrastruktur insge-samt nicht in Frage stellen können.

1.3 Komfortsignatur-verfahren erhöht die

Akzeptanz Schon heute können die Daten mit Smart-cards durch eine 2048-Bit-Signatur vor Manipulationen geschützt werden. Damit lassen sich auch höchste Sicherheitsansprü-che erfüllen, die nach der deutschen Signa-turverordnung (SigV) erst ab dem Jahr 2010 verbindlich sind. Die SigV stellt an Produk-

te für qualifizierte elektronische Signaturen die Anforderung, dass der Signaturschlüssel innerhalb einer sicheren Signaturerstel-lungseinheit erst nach Identifikation des Inhabers durch Besitz und Wissen oder durch Besitz und ein oder mehrere biomet-rische Merkmale angewendet werden kann.

Bei Nutzung biometrischer Merkmale wird eine dem wissensbasierten Verfahren gleichwertige Sicherheit gefordert. Dieser Anforderung kann z.B. durch den Besitz einer signaturgesetzkonformen Smartcard und dem Wissen um eine PIN Genüge getan werden. In der Praxis läuft der Signaturpro-zesss so, dass man die Smartcard in ein Karten-Terminal steckt, das zu signierende Dokument mit Hilfe einer Anzeige kontrol-liert wird und die anschließende Eingabe der PIN, gefolgt von einem Auslöseprozess (OK-Button), den eigentlichen Prozess der Signaturerzeugung anstößt.

Abb. 5: Elektronisches Rezept

Bei der relativ großen Anzahl von signatur-gesetzkonformen Unterschriften, die ein Arzt oder Apotheker im Laufe eines Tages leisten muss, entsteht bei dieser Verfah-rensweise ein erhebliches Sicherheitsrisiko durch Ausspähen der PIN. In den ersten Pilotprojekten (z.B. im Knappschaftskran-kenhaus Bottrop) hat sich zudem herausge-stellt, dass zum Beispiel der PIN-Einsatz bei der Unterschrift unter das elektronische Rezept einen zu großen Zeitaufwand mit sich bringt.

Deshalb wurde ein Komfortsignaturver-fahren entwickelt, das den Akt der Auslö-sung der Erzeugung einer elektronischen Signatur deutlich erleichtert. Bei seiner Konzeption wurde besonderer Wert auf die Akzeptanz durch das medizinische Personal gelegt. Es wird angestrebt, unter Einsatz dieses Verfahrens signaturgesetzkonforme

Page 5: Sichere Telematikinfrastruktur im Gesundheitswesen

Michael Meyer, Ulf Hönick

DuD • Datenschutz und Datensicherheit 30 (2006) 3 159

Unterschriften im Rahmen der eHealth-Gesamtarchitektur leisten zu können.

Der Ablauf des Komfortsignaturver-fahrens könnte künftig so aussehen:

1. Der Arzt aktiviert zu Beginn des Tages seinen Praxis-PC. Gleichzeitig schaltet er den Konnektor ein, steckt seinen HBA in den dafür vorgesehenen Kartenleser und gibt seine PIN ein. Die Identifikati-on mittels Besitz und Wissen schaltet den Signaturschlüssel für die Erzeugung von mehreren Signaturen frei, wobei als begrenzendes Merkmal ein Zeitraum o-der eine maximale Anzahl von Signatu-ren konfiguriert sind. Mit der Eingabe der PIN äußert der Arzt den Willen, durch den Einsatz seines Signaturschlüs-sels auf dem HBA im Laufe des gesam-ten Tages elektronische Signaturen zu leisten. Diese werden durch einen kon-taktlosen RFID-Chip unter vorher fest-gelegten, geprüften und bestätigten Rahmenbedingungen ausgelöst.

2. Verbunden mit der PIN-Eingabe perso-nalisiert der Arzt auch den RFID-Chip unter Einsatz des mit dem Konnektor verbundenen Kontaktlos-Lesers. Durch diesen Vorgang ordnet der Konnektor den Kontaktlos-Chip zu einem in Rich-tung der Signaturapplikation auf dem HBA geöffneten Kanal eindeutig zu. Durch Ziehen der Karte, nach einer ge-wissen Anzahl von Signaturen, nach Ab-lauf eines vorher festgelegten Zeitrau-mes oder eine Nutzeraktion im Rahmen einer vom Konnektor bereitgestellten Funktionalität wird die Zuordnung wie-der aufgehoben

3. Will der Arzt nun ein elektronisches Rezept unterschreiben, so löst er über sein Praxisverwaltungssystem einen Vorgang aus, der dafür sorgt, dass ihm das zu unterschreibende Dokument zur Kontrolle präsentiert wird. Nach der Bestätigung erhält er vom System die Aufforderung, innerhalb eines vorher festgelegten Zeitintervalls seinen RFID-Chip mindestens auf einen Abstand von 10 cm zum Kontaktlos-Leser zu bringen. Dadurch wird nach erfolgreicher Kotrol-le der Signaturvorgang auf dem HBA ausgelöst.

4. Nach der Erstellung der Signatur durch den HBA wird diese unter Einsatz des Konnektors dem Rezeptdatensatz zur weiteren Verarbeitung im Verlauf des Geschäftsprozesses elektronische Ver-ordnung angehängt.

Anstelle des Einsatzes von RFID-Chips – etwa in einem Ring – zur Auslösung der Signaturerzeugung gäbe es auch die Mög-lichkeit, eine biometrische Authentifikation als Mittel zur Auslösung zu wählen. Der Konnektor fordert dabei den Benutzer beispielsweise via Praxis-Computer dazu auf, einen Fingerabdruck durch einen Scan-ner überprüfen zu lassen. Der Fingerab-druckleser überträgt auf geschützte Art und Weise die biometrischen Referenzdaten, die wiederum gegen im Konnektor gespeicherte Informationen verglichen werden.

Erst wenn eine solche Überprüfung er-folgreich war, wird die Erzeugung einer Signatur ausgelöst. Der Konnektor müsste in diesem Fall das biometrische Verfahren unterstützen und verwalten können. Alter-nativ könnte auch ein Match-on-Card-Verfahren eingesetzt werden, das dem Konnektor eine erfolgreiche Überprüfung meldet. In jedem Fall wird aber bei dieser Variante ein zusätzliches System für das biometrische „Enrollment“ benötigt.

Dass diese Überlegungen für eine siche-re eHealth-Gesamtarchitektur keineswegs nur graue Theorie sind, belegen zahlreiche realisierte Projekte im Gesundheitswesen des In- und Auslandes. Auch die ersten Pilotprojekte zur elektronischen Gesund-heitskarte in Deutschland haben bereits die Umsetzbarkeit der Prototypen in der Praxis unter Beweis gestellt. Im Folgenden einige ausgewählte Beispiele dafür.

1.4 Chipkartenprojekte in Italien und den USA

Weltweit wurden in den letzten Jahren etliche Chipkarten-Projekte im Gesund-heitswesen bereits realisiert oder befinden sich in der Umsetzungsphase. So stattete die Region Lombardei in Italien bis Ende 2005 alle Bürger mit Smartcards, den „Carta Regionale dei Servizi della Lombardia – Sistema Informativo Socio Sanitario (CRS-SISS)“ aus, um das Gesundheitswesen effizienter zu gestalten. Vorangegangen war ein erfolgreicher mehrjähriger Feldversuch in der Provinz Lecco mit 320.000 Bürgern. Im September 2003 begann die Region Lombardei mit der flächendeckenden Ein-führung eines Smartcard-basierten Informa-tionssystems für das Gesundheits- und Sozialversicherungswesen. Insgesamt wer-den über neun Millionen Gesundheitskarten an Bürger, Ärzte, Apotheker und Angestell-te im Gesundheitswesen ausgegeben.

Die Krankenversicherung Western Gover-nors’ Association in den USA hat einen Gesundheitspass an mehrere hunderttausend Mitglieder auf der Basis einer Smartcard ausgegeben. Dieser Ausweis umfasst auch einen Notfalldatensatz und dient der besse-ren Kommunikation von medizinischen Daten zwischen den verschiedenen medizi-nischen Einrichtungen.

Abb. 6: Anmeldung ohne Papierkrieg

1.5 Regionales Gesundheitsnetzwerk in

New York Auch ein großer Teil der Bevölkerung im Ballungsgebiet von New York City wird schon bald von einem Chipkarten-Programm für Patienten profitieren. Es macht wichtige persönliche Gesundheitsin-formationen genauer, sicherer und schneller abrufbar und ist Teil einer strategischen Allianz zwischen Siemens, dem Mount Sinai Medical Center und dem Elmhurst Hospital Center. Die Partner wollen die Smartcard-Technologie im gesamten Stadt-gebiet von New York verbreiten und ein regionales Gesundheitsnetzwerk zum Nut-zen der Patienten etablieren.

Zu den auf die Patienten-Smartcards ladbaren Informationen gehören wichtige Daten wie zum Beispiel persönliche Anga-ben, Informationen über allergische Reakti-onen, aktuelle Medikationen oder Laborbe-funde. Der Rollout der Gesundheits-Smartcard, deren Eigentümer der Patient ist, erfolgt stufenweise. Die Erstausgabe von 100.000 Chipkarten ist für das Mount Sinai Medical Center und acht angeschlossene Krankenhäuser vorgesehen. Insgesamt sollen langfristig 45 medizinische Verbund-Einrichtungen im Ballungsraum New York durch die Chipkarteninitiative miteinander vernetzt werden.

Die intelligenten Smartcards bieten ei-nen zeitnahen Zugriff auf wichtige medizi-nische Informationen und helfen, Fehlbe-handlungen zu vermeiden, die auf falsche

Page 6: Sichere Telematikinfrastruktur im Gesundheitswesen

Sichere Telematikinfrastruktur im Gesundheitswesen

160 DuD • Datenschutz und Datensicherheit 30 (2006) 3

oder fehlende Patientendaten zurückgehen. Bei der Aufnahme in das Krankenhaus führt der Patient die Karte in ein Lesegerät ein, entsperrt sie durch Eingabe seiner PIN und ermöglicht damit dem Personal den Zugriff auf seine Krankengeschichte. Zusätzliche Vorteile sind die verkürzte Wartezeit für Patienten sowie der leichtere und sichere Austausch wichtiger Patientendaten zwi-schen medizinischen Einrichtungen.

1.6 Weltweit größtes medizinisches Information-

Service-Center In Malvern im US-Bundesstaat Pennsylva-nia betreibt Siemens als Outsourcing-Dienstleister das weltweit größte Informati-on-Service-Center und Informations-Netzwerk der Medizinbranche und liefert weltweit mehr als 1000 Unternehmen aus dem Gesundheitswesen Applikations-Hosting, E-Commerce, unternehmensweite Systemverwaltung und verteilte Infrastruk-turdienstleistungen. Mehr als 500.000 Gerä-te – rund ein Viertel der medizinischen Einrichtungen in den USA – haben sicheren Zugriff auf 25 verschiedene Applikationen. Diese wurden meist von Siemens selbst entwickelt, umfassen aber auch Standard-software zur Personaleinsatzplanung oder die Klinikverwaltung. Die Speicherung der Daten erfolgt in einem ausfallsicheren, hochverfügbaren und mit den höchsten Sicherheitsstandards ausgestatteten Rechen-zentrum. Gesicherte Netzwerkverbindungen stellen dabei die Verbindung her.

Diese Lösung bietet höchste Zuverläs-sigkeit, eine Verfügbarkeit von 99,9 Prozent und eine typische Zugriffszeit von nur 0,5 Sekunden. Zu ihren Vorteilen zählen größt-mögliche Datensicherheit und optimaler Ausfallschutz, geringe Investitionskosten am Anfang und planbare IT-Kosten im laufenden Betrieb sowie weniger Personal-einsatz, weil das Rechenzentrum die Sys-temadministration übernimmt und damit

wesentlich geringere Kosten erforderlich sind als bei einem eigenen Netzwerk mit Applikationen und Datenhaltung. Das Sys-tem ist nach Größe und Funktionalität beispielhaft auch für die Anforderungen an zentrale IT-Dienste einer Telematikinfra-struktur in Deutschland.

1.7 Feldtest mit der Gesundheitskarte in

Bottrop In Bottrop startete am 26. September 2005 der erste Feldtest für das Pilotprojekt „prospeGKT“ zur Einführung der elektroni-schen Gesundheitskarte. 50 Versicherte, drei Arztpraxen sowie das Knappschaftskran-kenhaus Bottrop nehmen daran teil. Die Teilnehmer am Pilotprojekt sind Knapp-schaftsversicherte, die sich auch am Ge-sundheitsnetz prosper in Bottrop beteiligen. Prosper ist eines der erfolgreichen Modelle zur integrierten Versorgung im deutschen Gesundheitswesen. Die Idee dahinter: Die abgestimmte sektorübergreifende Zusam-menarbeit aller Beteiligten im Netz gewähr-leistet eine noch höhere Versorgungsqualität sowie wirtschaftliche Vorteile, an denen alle beteiligt werden. Die Knappschaft ist auch deshalb für diesen Pilottest besonders prä-destiniert, weil sie sowohl Krankenversi-cherer als auch Leistungserbringer ist und die gesamte Kommunikation im Gesund-heitssektor unter einem Dach vereinigt.

Das Pilotprojekt „prospeGKT“ testet ne-ben dem Heilberufeausweis und der Ge-sundheitskarte auch das elektronische Re-zept und die elektronische Patientenakte. Hiervon erhoffen sich die Beteiligten eine verbesserte und wirtschaftlichere Versor-gung. Beispielsweise lassen sich Doppelun-tersuchungen vermeiden, da jeder behan-delnde Arzt auf Knopfdruck auf bereits vorliegende Ergebnisse zurückgreifen kann. Liegen in einer Arztpraxis bereits Befunde vor, braucht beispielsweise das Kranken-haus dann bestimmte Untersuchungen nicht

mehr durchzuführen und umgekehrt. Auf diese Weise lassen sich nicht nur Kosten einsparen, sondern die Patienten werden durch die Untersuchungen auch nicht zweimal belastet. Zusätzlich sind alle Leis-tungserbringer jederzeit über die verordne-ten Medikamente im Bilde und kennen die Therapien, die Ärzte im angeschlossenen Krankenhaus und in den Praxen bei einem Patienten durchführen.

Im ebenfalls im Pilotprojekt eingesetzten Konnektor wurde erstmals das von allen Seiten als kritisch eingeschätzte Ticketing-Konzept praktisch realisiert. Aus Daten-schutzgründen soll bei der Speicherung von medizinischen Daten im Netzwerk auf jegliche personenbezogene Kennzeichnung der Dokumente verzichtet werden. Zu einem Röntgenbild gibt es zum Beispiel nicht nur keinen dem Datensatz zugeordne-ten Namen, sondern auch keine Nummer oder ein anderes Pseudonym. Aufgefunden und einem Patienten zugeordnet werden, können die gespeicherten Informationen ausschließlich mit Hilfe von Verweisen – den Tickets – auf der Chipkarte des Patien-ten. Damit lässt sich das von vielen Kriti-kern beschworene Horrorszenario, bei dem eines Tages die medizinischen Daten von bekannten Persönlichkeiten im Internet auftauchen, wirksam verhindern.

Die bisherigen Erfahrungen im Pilotpro-jekt „prospeGKT“ zeigen, dass sich die vielfältigen Anforderungen an eine sichere und komfortabel zu benutzende eHealth-Gesamtarchitektur in der Praxis umsetzen lassen und alle Komponenten – auch von unterschiedlichen Herstellern – reibungslos zusammenarbeiten. Ab Mitte 2006 sollen sich deshalb alle vorgesehenen Funktionen von den Ärzten und Patienten im Versor-gungsnetz der Bundesknappschaft nutzen lassen. Bis dahin – so der Plan – werden dann auch Apotheken in Bottrop und Ober-hausen an die Telematikinfrastruktur ange-schlossen sein.

Fazit Mit dem für Mitte 2006 angekündigten Start der Pilotversuche in acht Modellregionen wird die Einführung der elektronischen Gesundheitskarte in Deutschland schritt-weise Realität. Diese Chipkarte und eine sichere elektronische Kommunikation sind die wesentliche Voraussetzung für eine effizientere und qualitativ bessere Präventi-on und Versorgung der Bürger in einem integrierten Gesundheitssystem.