ArchivDeutsches Ärzteblatt1-2/2000Elektronischer Arztausweis: Sicherheit ist keine Hexerei

THEMEN DER ZEIT: Berichte

Elektronischer Arztausweis: Sicherheit ist keine Hexerei

Dtsch Arztebl 2000; 97(1-2): A-25 / B-18 / C-18

Krüger-Brand, Heike E.

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...
LNSLNS Als erste Health Professional Card (HPC) ist die Spezifikation des elektronischen Arztausweises von den ärztlichen Körperschaften gebilligt worden. Anfang 2000 werden konkrete Anwendungen erprobt.

Hunderte Patienten-Blätter frei im Internet" - so lautete Ende letzten Jahres eine Meldung der Computerzeitschrift c't. Die Risiken, die mit der zunehmenden Ablösung der papiergebundenen Kommunikation durch die elektronischen Medien einhergehen, liegen auf der Hand. Vernetzte Strukturen und integrierte Versorgungsformen, wie beispielsweise Praxisnetze, erfordern jedoch die verstärkte Nutzung moderner Kommunikations- und Informationstechnologien im Gesundheitswesen. Für den wachsenden Kommunikationsbedarf sämtlicher Teilnehmer - dazu gehören unter anderem Arztpraxen, Krankenhäuser, Apotheken, Krankenkassen, ärztliche Körperschaften - müssen daher praktikable Techniken entwickelt werden, die einen vertrauenswürdigen und rechtssicheren elektronischen Austausch sensibler Daten ermöglichen. Intelligente Ausweiskarte
Eine wesentliche Voraussetzung für den sicheren Umgang mit Patientendaten in komplexen Kommunikationssystemen und -beziehungen ist der elektronisch lesbare Arztausweis. Bereits 1996 wurde daher ein von der Kassenärztlichen Bundesvereinigung (KBV) und der Bundes­ärzte­kammer (BÄK) gebildeter Arbeitskreis "Elektronischer Arztausweis" ins Leben gerufen. Das Ende 1997 in Kraft getretene Signaturgesetz (SigG) schuf darüber hinaus die rechtliche Grundlage dafür, die bisherige Funktion des Arztausweises mit neuen Möglichkeiten einer ärztlichen "Professional Card" zu verbinden. Der neu konzipierte Arztausweis als erste Health Professional Card (das heißt "Ausweis- und Funktionskarte für Mitarbeiter im Gesundheitswesen") beinhaltet folgende Funktionalitätserweiterungen:
- die eindeutige Identifikation in elektronischen Kommunikationssystemen, - die Authentifizierung (gegenseitige Erkennung der Kommunikationspartner in offenen Netzwerken),
- die elektronische Unterschrift gemäß SigG,
- die Verschlüsselung von Nachrichten während des Transports,
- Zusatzfunktionen (zum Beispiel die Anerkennung von Weiterbildungen). Der HPC-Arbeitskreis sollte zudem klären, welche Infrastruktur bei den ärztlichen Körperschaften vorhanden sein muss, damit beispielsweise Zertifizierungsverfahren für die im Zusammenhang mit der digitalen Signatur verwendeten Schlüssel möglich sind. Seit Juli 1999 liegt die unter Federführung des Zentralinstituts für die kassenärztliche Versorgung, Köln, von der GMD - Forschungszentrum Informationstechnik GmbH, Darmstadt, erarbeitete technische Spezifikation des elektronischen Arztausweises vor. Eine Schlüsselhinterlegung bei staatlichen Behörden ("Key Escrow" - Schlüsselhinterlegung beim Treuhänder), wie sie beispielsweise in den USA praktiziert wird, wurde bei den Beratungen zum Arztausweis ausdrücklich abgelehnt und daher auch in der Spezifikation ausgeschlossen. Ergänzt um technische Richtlinien der BÄK und der KBV, wurde die Version 1.1 kürzlich von den Körperschaften abgesegnet und ist jetzt erprobungsreif. Aufbau und Funktionen
Der elektronische Arztausweis ist eine Plastikkarte im Kreditkartenformat ("Smart Card") mit integriertem Kryptoprozessor, der die für die elektronische Signatur notwendigen asymmetrischen Verschlüsselungsverfahren ermöglicht. In seiner Eigenschaft als bloßer Sichtausweis entspricht der elektronische Ausweis dem heute üblichen blauen Papierausweis: Die Karte zeigt auf der Vorderseite Name, Buchnummer und Lichtbild des Arztes, den Namen der ausstellenden Lan­des­ärz­te­kam­mer sowie ein Hologramm (siehe Abbildung).
Die elektronischen Funktionen des Ausweises umfassen zunächst das Basiszertifikat: Der Arzt kann sich allein durch das Einstecken der Karte in einen Chipkartenleser - ohne zusätzliche Sicherheitsmechanismen - ausweisen. Zu den Identifikationsdaten auf dieser obersten Ebene gehören die Bezeichnung "Physician", der Name des Karteninhabers, die ausstellende Ärztekammer und die elektronische Signatur dieser Ärztekammer. Optional kann auch ein digitales Bild des Karteninhabers gespeichert werden. Damit der Ausweis auch im Ausland genutzt werden kann, sind die Identifikationsdaten einfach strukturiert und in englischer Sprache gehalten. Über die Eingabe einer PIN, mit der sich der Nutzer der Karte gegenüber authentifiziert, lassen sich darüber hinaus drei asymmetrische Schlüsselpaare (siehe auch Kasten) für verschiedene kryptographische Verfahren aktivieren:
- Das erste Schlüsselpaar dient der sicheren Authentifizierung gegenüber einem Client-Server-System. Damit kann der Arzt beispielsweise seine Zugangsberechtigung zu einem Computer, einem Krankenhausinformationssystem oder einem lokalen Netzwerk erwirken.
- Das zweite Schlüsselpaar sorgt für die Verschlüsselung von vertraulichen Daten während des Transports. Da die asymmetrische Verschlüsselung ein relativ langsames technisches Verfahren darstellt, wird hierfür ein Hybridverfahren eingesetzt, das heißt eine Kombination aus symmetrischer und asymmetrischer Verschlüsselung. - Schlüsselpaar Nummer drei ermöglicht die digitale Signatur, mit der elektronische Dokumente nach Maßgabe des deutschen SigG rechtssicher "unterschrieben" werden können. Hier hat der Karteninhaber zusätzlich die Möglichkeit, nur mit seinem Namen zu unterschreiben oder aber so genannte Attributszertifikate, das heißt weitere Qualifikationen seiner Person, in seine Unterschrift mit aufzunehmen. Zur Zeit gibt es vier Attributszertifikate: "Gebietsbezeichnung", "Schwerpunkt", "Zusatzbezeichnung", deren Inhalte von den Lan­des­ärz­te­kam­mern bestätigt werden müssen, sowie das Zertifikat "Genehmigung", das durch die Länder-KVen vergeben wird. Der Karteninhaber kann jederzeit selbst bestimmen, welche Attribute er an seine digitale Unterschrift binden will.
Sicherheitsmanagement
Zur Unterstützung der elektronischen Signatur und zur Erzeugung, Ausgabe, Beglaubigung, Verteilung und Sperrung der verwendeten Schlüssel sind ausgeklügelte Management-Verfahren erforderlich, die als "Public Key Infrastruktur" (PKI) bezeichnet werden. Hierfür spielen als Dienstleister so genannte Trust Center eine wichtige Rolle, weil sie nach dem SigG als "Certification Authority" oder "Trusted Third Party" (TTP) die Benutzer-Schlüssel zertifizieren und die Schlüsselverzeichnisse führen. Voraussichtlich werden die Lan­des­ärz­te­kam­mern als Herausgeber des Arztausweises diese Dienstleistung einer TTP bei Dritten einkaufen. Die ärztlichen Körperschaften müssen zuvor eine Policy erarbeiten, die als bundesweit einheitliche Grundlage eines Vertrages zwischen Zertifizierungsstelle und Ärztekammern dient. Letztere fungieren in dem PKI-Szenario als Registration Authority, das heißt als Annahme- und Ausgabestellen der Ausweise (siehe Grafik). Der Arzt muss zur Beantragung des Ausweises die Ärztekammer zum Zweck der Identifikation persönlich aufsuchen. Nach der Aufnahme sämtlicher Daten (Personalien, Foto, Attributzertifikate und andere) übermittelt die Ärztekammer die Daten an die Zertifizierungsstelle, die ihrerseits die Chipkarte personalisiert, mit den Schlüsseln versieht und den fertigen Ausweis an die Kammer zurückschickt. Von dieser wird dem Arzt der fertige Ausweis ausgehändigt. Erste Modellversuche Anfang 2000
Mit der Ausgabe der neuen Ausweise soll im zweiten Quartal 2000 begonnen werden. Für die Durchführung von Pilotprojekten haben sich die Lan­des­ärz­te­kam­mern Bayern, Niedersachsen und Westfalen-Lippe gemeldet. Die bayerischen Aktivitäten laufen unter Beteiligung der KV Bayerns im Rahmen des HCP-(Health-Care-Professional-)Protokolls, einem Förderprojekt aus Bayern Online II. In Westfalen-Lippe ist im Februar 1999 das CHIN-(Community Health Integrated Network-)Projekt angelaufen. In dem Verbundprojekt unter Leitung des Medizinischen Zentrums für Gesundheit Bad Lippspringe wird in Zusammenarbeit mit der Deutschen Telekom eine umfassende Kommunikationsplattform für Krankenhäuser und Ärzte aufgebaut, die unter Einsatz einer chipkartenbasierten Sicherheitstechnologie einen verbesserten Austausch von Befund- und Bilddokumentationen ermöglichen und zugleich strengen datenschutzrechtlichen Anforderungen Rechnung tragen soll. In diesen und weiteren Projekten wird sich auch zeigen, ob der Arztausweis als Modell für HPC anderer Gesundheitsberufe - bis hin zur Hebamme oder zum Masseur - dienen kann. Zumindest die technische Spezifikation sieht diese Möglichkeit ausdrücklich vor.

Kosten
In etwa drei bis vier Jahren wird nach Einschätzung von Dr. med. Ingo Flenker, Präsident der Ärztekammer Westfalen-Lippe und Vorstandsmitglied der Bundes­ärzte­kammer, der elektronische den traditionellen Arztausweis bundesweit vollständig ersetzen. Die Kosten für die elektronischen Arztausweise liegen bei circa 20 DM je Chipkarte. Darüber hinaus ist zum Lesen der Karten ein multifunktionales Lesegerät erforderlich, das um die 300 DM kostet. Erste Geräte dieses Typs sind inzwischen auf dem Markt erhältlich. Ärzte, die ein neues Chipkartenlesegerät anschaffen wollen, sollten daher direkt auf Geräte dieses Typs umsteigen. Hin-zu kommen schließlich zur Zeit noch nicht näher zu beziffernde Kosten für die Verzeichnis- und TTP-Dienste.
Heike E. Krüger-Brand


Als Annahme- und Ausgabestelle für den neuen Arztausweis sind die Lan­des­ärz­te­kam­mern vorgesehen.

Informationen zur Health Professional Card im Internet
www.hcp-protokoll.de
www.kbv-it.de/hintergr/index.htm
www.zi-koeln.de
www.bundesaerztekammer.de

Asymmetrische Schlüsseltechniken
Die digitale Signatur nach dem SigG beruht auf asymmetrischen Schlüsseltechniken. Dabei werden die Schlüssel immer paarweise generiert und gehalten: Der private Schlüssel ist geheim und wird im Chip der Ausweiskarte gespeichert. Der dazu passende öffentliche Schlüssel ist für jedermann frei zugänglich. Mit dem privaten Schlüssel kann der Sender - vereinfacht dargestellt - ein elektronisches Dokument so chiffrieren, dass jeder, der den öffentlichen Schlüssel des Absenders kennt, das Dokument entschlüsseln und damit die Urheberschaft des Absenders nachweisen kann. Das Dokument ist digital unterzeichnet. Auf der umgekehrten Verwendung der Schlüsselpaare beruht die Transportverschlüsselung: Der Absender verschlüsselt das elektronische Dokument mit dem öffentlichen Schlüssel des beabsichtigten Empfängers, der es mit seinem privaten Schlüssel wieder dechiffrieren kann.

Anzeige

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

Fachgebiet

Zum Artikel

Anzeige

Alle Leserbriefe zum Thema