StartE-HealthGesundheitsID: Zugang zu digitalen Gesundheitsdiensten

GesundheitsID: Zugang zu digitalen Gesundheitsdiensten

(Oktober 2024) Die elektronische Gesundheitskarte war bisher im Gesundheitssystem die einzige Möglichkeit, sich in der Telematikinfrastrukur zu authentisieren. Mit der GesundheitsID wird nun eine Alternative geschaffen, auf die sich Gerätehersteller und App-Entwickler einstellen müssen. Nach der Identifizierung über die eGK oder den Personalausweis kann sie für die Anmeldung bei Gesundheits-Apps genutzt werden. Für das Testen von neuen Anwendungen und Geräten bietet sich eine virtuelle Simulation an, die das Verhalten von Gesundheitskarte oder Personalausweis im Test simuliert und Manipulationen erlaubt. Hersteller können ihre Produkte damit zielgerichteter entwickeln und die Zulassung schneller und sicherer erreichen.

GesundheitsID als Alternative zur elektronischen Gesundheitskarte

Aktuell ist im Gesundheitssystem die elektronische Gesundheitskarte (eGK) der Identitätsnachweis für die Versicherten. Man kennt es von Arztbesuchen: Wer als Patient zum ersten Mal oder im neuen Quartal eine Haus- oder Facharztpraxis betritt, der steckt am Empfang zunächst einmal seine eGK in den Kartenleser. Das Gerät identifiziert darüber den Patienten, prüft, ob er versichert ist – die Praxissoftware kann damit eine Verbindung zur Patientenakte herstellen. Künftig wird die eGK nicht mehr die einzige Möglichkeit sein, sich innerhalb der Telematikinfrastruktur (TI) des Gesundheitswesens auszuweisen. Die TI stellt den Datenaustausch sicher und gewährleistet die Vertraulichkeit und Integrität der ausgetauschten Informationen. Der Gesetzgeber treibt die Einführung digitaler Identitäten im Gesundheitswesen als Alternative für Authentifizierung und Zugriffskontrolle voran. Schon heute können sich Versicherte von ihrer Krankenkasse eine solche zur Verfügung stellen lassen, die sogenannte GesundheitsID. Sie enthält die notwendigen Informationen wie die Krankenversicherungsnummer (KVNR), über die ärztliche Leistungen abgerechnet werden, und die Krankenversicherung des Patienten.

GesundheitsID: keine Zukunftsmusik mehr

Die GesundheitsID ermöglicht den Zugang zu TI-Anwendungen ohne eine Karte: Patienten können sich damit via Smartphone-App zum Beispiel in ihre elektronische Patientenakte einloggen oder E-Rezepte aufrufen, ähnlich einfach wie beim Login ins Online-Banking. Dafür müssen sie sich zunächst authentisieren: Die Identifikation erfolgt beim ersten Login mit der elektronischen Gesundheitskarte oder dem Personalausweis. Danach kann die GesundheitsID über das registrierte Smartphone für die Anmeldung genutzt werden. Der Vorgang der Identifikation muss in regelmäßigen Abständen wiederholt werden. Später soll eine einfachere Authentifizierung etwa mit Fingerabdruck oder Gesichtserkennung möglich werden.

Künftig soll die GesundheitsID auch die Nutzung von Digitalen Gesundheitsapps (DiGAs) und anderen Drittanwendungen möglich machen, auch die Anmeldung in Patientenportalen von Krankenhäusern soll via GesundheitsID erfolgen. Ab 2026 kann die GesundheitsID statt eGK in den Arztpraxen als alternativer Versicherungsnachweis eingesetzt werden. Die Koexistenz beider Systeme für eine gewisse Zeit ist wahrscheinlich, bis digitale Identitäten etabliert sind. Ob die GesundheitsID die eGK komplett ablösen wird, hängt unter anderem vom technologischen Fortschritt, Sicherheitsüberlegungen, wirtschaftlichen Vorteilen, regulatorischen Entwicklungen und der Bewältigung von Übergangs- und Akzeptanzproblemen ab.

Karten- und hardwareunabhängige TI 2.0

Mit der GesundheitsID will der Gesetzgeber den Zugang zu Online-Anwendungen vereinfachen und eine karten- und hardwareunabhängige TI 2.0 erschaffen. Dabei entspricht das geforderte Vertrauensniveau der GesundheitsID demjenigen der Online-Ausweisfunktion des Personalausweises. Für Gesundheitsapps ist eine 2-Faktor-Authentifizierung vorgesehen. Denn Gesundheitsdaten gelten als „besonders schützenswert“ im Sinne der DSGVO, da sich der Schaden, der durch Missbrauch entstehen kann, anders als zum Beispiel bei Bankdaten, nicht wirtschaftlich beziffern lässt. Um sichere digitale Identitäten zu entwickeln, hat die gematik, Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH, Spezifikationen geschaffen. Die gematik ist für die Entwicklung, Einführung und Pflege der TI zuständig, legt die Standards fest und kontrolliert sie. Hersteller müssen nachweisen, dass ihre Geräte und Apps für den Einsatz in der TI den Spezifikationen genügen. Sie benötigen ein Sicherheitsgutachten des BSI und die funktionale Zulassung der gematik, für die umfangreiche, zeitlich limitierte Tests erforderlich sind.

Entwicklung mit dem Virtual Card Kit

Zahlreiche Hersteller setzen beispielsweise für die Entwicklung von Kartenlesegeräten das Virtual Card Kit der achelos GmbH ein: Das System, eine Kombination aus Software- und Hardwarekomponenten, simuliert die unterschiedlichen Kartentypen – elektronische Gesundheitskarten und Heilberufsausweise, aber auch Gerätekartentypen – und damit alle SmartCards, die von der gematik für die Telematikinfrastruktur des deutschen Gesundheitsmarktes zertifiziert sind. Damit können diverse kritische Fehler, die eine Karte auslösen kann, etwa bei ungültigen Daten oder abgelaufenen Zertifikaten, simuliert werden.

Das System agiert wie die Gesundheitskarte und erlaubt es den Entwicklern, sich den Ablauf des Prozesses und seine Reihenfolge anzusehen, Protokolle aufzurufen und konkret die Kommunikation zwischen Karte und Kartenleser zu analysieren. Der Ablauf mit der Prüfung der Daten oder dem Eingeben einer PIN wird nachvollzogen. Die Simulation erlaubt es durch Schnittstellen zum Lesen, Speichern und Ändern der internen Zustände des Betriebssystems, beliebige Fehler auf Knopfdruck einzuschleusen: Sie kann am Computer nach Belieben gesteuert werden und der Hersteller auf diese Weise testen, wie sich sein Gerät verhält: etwa, ob die Kommunikation abbricht, Fehler ignoriert werden oder ob es den Prozess einfach weiterlaufen lässt. Mit echten Karten kann die gesamte Fehlerbandbreite nicht erzeugt werden.

Simulationstools für die Entwicklung von Gesundheits-Apps und Kartenlesegeräten

Die veröffentlichte Spezifikation des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sieht vor, dass die GesundheitsID zyklisch durch eine Anmeldung über die Online-Ausweisfunktion des Personalausweises oder über die elektronische Gesundheitskarte (eGK) mit PIN bestätigt werden muss. Dies macht es notwendig, Tests auch mit Personalausweisen, die Teil der Identifizierung für den Zugang zu Online-Gesundheitsanwendungen sind, durchzuführen. Dafür kann nun der Ausweissimulator PersoSim, eine Open-Source-Applikation des BSI, an das System von achelos angebunden werden: So kann sowohl mit Personalausweisen als auch Gesundheitskarten von Herstellern, App-Entwicklern oder Krankenkassen getestet werden. Kommandos lassen sich während der Simulation in Echtzeit mitlesen und protokollieren und Manipulationen sind auf APDU-Ebene möglich – jenem Kommunikationsprotokoll zwischen Sender und Empfänger. Hier kann auf Protokollebene eingegriffen und die technische Kommunikation gestört werden, um Fehler zu generieren, seien es falsche Namen oder Fehler in der Syntax, um zu testen, ob das Lesegerät den Prozess abbricht oder ihn wiederholt.

Das Virtual Card Kit bietet als Simulation des Personalausweises oder der eGK damit die Möglichkeit, deren Eigenschaften zu ändern und zu manipulieren – das unterstützt die Hersteller bei den Themenfeldern Kompatibilität und Standardisierung.

Vorteile der GesundheitsID für Patienten und Entwickler

Das Virtual Card Kit wird über eine Ethernet-Schnittstelle angesprochen, spezielle Treiber oder Installationen sind nicht notwendig. Die virtuelle Chipkartensimulation läuft in einer Java-Umgebung; die Komponente Virtual Card Box dient zur Kommunikation mit der Außenwelt. Das Virtual Card Kit, das gemäß offizieller gematik-Spezifikationen konform zur deutschen Gesundheitskarte ist, stellt nicht nur eine Lösung für die Qualitätssicherung bei der Entwicklung von Kartenlesegeräten dar. Es beschleunigt die Entwicklung und erleichtert die Arbeit, indem es die breite Abdeckung von Fehlern in den Tests ermöglicht und damit die Wahrscheinlichkeit massiv erhöht, eine Zulassung durch die gematik zu erreichen.

GesundheitsID: Fazit

Eine Ausweitung der Authentisierung im Gesundheitswesen mit digitalen Identitäten ist stringent, da sich Dienste allgemein weg von physischer Hardware hin zu Software bzw. Apps entwickeln. Die virtuelle Chipkartensimulation mit dem Virtual Card Kit erleichtert Herstellern die Entwicklung von Apps: Sie ermöglicht umfangreichere Tests durch die Möglichkeit, verschiedenste (interne) Fehlerfälle von Gesundheitskarten und Personalausweisen zu simulieren. Damit ist eine Zulassung bei der gematik schneller und einfacher zu erreichen.

Quelle: Gorden Bittner und Holger Volke (achelos GmbH)

 

 

 

- Anzeige -

Meistgelesen

Mehr