Inhalt

Inhalt   

Autorenreferat   II

Inhalt   III

1  Einleitung  1

1.1  Gegenstand und Motivation  1

1.2  Problemstellung  2

1.3  Zielsetzung  3

2  Grundlagen  5

2.1  Definitionen und Begriffsbestimmungen  5

2.2  Ziele und Eigenschaften der elektronischen Signatur  7

2.3  Gesetzliche Rahmenbedingungen und Signaturstufen  8

2.4  Grundprinzip der elektronischen Signatur  11

2.5  Der elektronische Heilberufsausweis (HBA)  12

2.5.1  Zweck und Ziele  12

2.5.2  Entwicklungsgeschichte des HBA  13

2.5.3  Ausgabeverfahren  14

2.5.4  Äußerer Aufbau des Heilberufsausweises  14

2.5.5  Struktur und Technik des HBA  16

2.6  Public-Key-Infrastruktur (PKI)  17

2.6.1  Zertifizierungsdiensteanbieter (ZDA)  17

2.6.2  Signaturerstellungseinheiten  18

2.6.3  Signaturanwendungskomponenten  19

2.7  Einfach- und Mehrfachsignaturen  19

2.7.1  Einfachsignatur  20

2.7.2  Mehrfachsignatur  20

III

Inhalt

2.7.2.1  Stapelsignatur  21

2.7.2.2  Komfortsignatur  21

2.8  Die Signaturkomponenten der Telematikinfrastruktur  22

2.8.1  Security Module Cards (SM)C  22

2.8.2  Die Signaturanwendungskomponenten (SAK)  23

2.8.2.1  Der Konnektor und dessen Signaturanwendungskomponente.  23

2.8.2.2  Der Trusted Viewer  23

2.8.2.3  Kartenterminals  24

2.8.2.4  Das RFID-Token  24

2.8.3  Berufsausweise (BA)  25

2.9  Architekturkonzepte zur Verwaltung von HBA-Karten im Krankenhaus  27

2.9.1  Dezentrale Lösungsarchitektur  27

2.9.2  Zentrale Lösungsarchitektur (VERSA-Konzept)  28

2.10  Datenaustausch bzw. -speicherung über die Telematikinfrastruktur  29

2.10.1  Die Pflichtanwendungen  30

2.10.1.1  Versichertenstammdaten  30

2.10.1.2  Das elektronische Rezept  30

2.10.2  Die freiwilligen Anwendungen  30

2.10.2.1  Der Notfalldatensatz  30

2.10.2.2  Die Arzneimitteldokumentation.  31

2.10.2.3  Der elektronische Arztbrief  31

2.10.2.4  Die elektronische Patientenakte (ePA)  32

3  Analyse und Beschreibung der anzupassenden Prozesse im IS-H / i.s.h.med.  33

3.1  Krankenhausinformationssysteme im Allgemeinen  33

3.2  Vorstellung des klinischen Informationssystems unter IS-H und i.s.h.med  35

3.2.1  Administrative Funktionen im IS-H  35

IV

Inhalt

3.2.2  Medizinisch-/Pflegerische Funktionen im i.s.h.med  36

3.3  Darstellung der Ist-Analyse  37

3.3.1  Zu betrachtende Anwendungen  37

3.3.2  Vorgehen  38

3.4  Muss-Anwendungen für den HBA  39

3.4.1  Ist-Zustands-Analyse: Verordnungshandling ambulante Rezeptverordnung  39

3.4.2  Ist-Zustands-Analyse: Notfalldaten  41

3.4.3  Ist-Zustands-Analyse: Arzneimitteldokumentation  41

3.4.4  Ist-Zustands-Analyse: Arztbriefschreibung  42

3.5  Weitere Einsatzbereiche für den HBA  44

3.6  Signaturstufenbetrachtung  46

3.7  Anwendungen für den BA (Mitarbeiterausweis)  46

4  Analyse und Beschreibung der notwendigen technischen Anpassungen im IS-H /  

i.s.h.med   48

4.1  Anforderungen  48

4.2  Public-Key-Infrastruktur  49

4.3  Konfiguration und Dimensionierung des Konnektors  50

4.4  Management der HBA-Karten im Krankenhaus  51

4.5  Zusammenfassung der Anforderungen.  52

4.6  Referenzmodell der Systemarchitektur  53

4.6.1  Anwendungskonnektor  54

4.6.2  Trusted Viewer  54

4.6.3  Krankenhausinterner Verzeichnisdienst  54

4.6.4  Anwendungssystem mit integrierter Benutzerverwaltung  55

4.6.5  Signatursoftware  55

V

Inhalt

4.6.6  Konvertierung vom DOC-Format ins PDF-Format  55

4.6.7  Das zentrale Trust Center der Telematikinfrastruktur  56

4.6.8  Weitere dezentrale Komponenten (Karten- und Kartenterminaldienste)  56

4.7  Signaturintegration in IS-H / i.s.h.med.  56

4.7.1  Geeignete Signaturdatenformate  56

4.7.2  Anpassung des Workflows  58

5  Vorschlag zur Umsetzung der organisatorischen Prozessänderungen  61

5.1  Vorgehen  61

5.2  Muss-Anwendungen des HBA  62

5.2.1  Signieren von eRezepten bei der ambulanten Behandlung  62

5.2.1.1  Vorbetrachtungen  62

5.2.1.2  Erstellung und Signierung von elektronischen Rezepten  63

5.2.2  Signatur des Notfalldatensatzes in der eGK  68

5.2.2.1  Vorbetrachtungen  68

5.2.2.2  Notfalldaten-Signaturprozess  68

5.2.3  Arzneimitteldokumentation  70

5.2.3.1  Vorbetrachtungen  70

5.2.3.2  Arzneimitteldokumentation-Signaturprozess  72

5.2.4  Signieren von externen und internen Arztbriefen  73

5.2.4.1  Vorbetrachtungen  73

5.2.4.2  Arztbrief-Signaturprozess  73

6  Automatisierung ausgewählter Signaturprozesse mittels der SAP R/3-  

Workflowtechnologie   76

6.1  Allgemeines zu Workflow-Management-Systemen (WFMS)  76

6.2  SAP Business Workflows  76

6.3  Der Arztbrief-Workflow  78

VI

Inhalt

6.3.1  Die Aufbauorganisation  78

6.3.2  Die Ablauforganisation  79

6.3.3  Erweiterung des Workflows um die Signaturschritte  87

6.3.4  Notwendige Komponenten  88

7  Fazit und Ausblick.  90

7.1  Zielerfüllung  90

7.2  Diskussion und Ausblick  93

7.2.1  Diskussion  93

7.2.2  Ausblick  93

Quellenverzeichnis   95

Kurzzeichenverzeichnis   101

Abbildungsverzeichnis   103

Tabellenverzeichnis   105

VII

1 Einleitung

1.1 Gegenstand und Motivation

Die Einführung der Gesundheitskarte und der Aufbau einer zugehörigen Telematikinfrastruktur ist derzeit das größte Telematik-Projekt seiner Art weltweit. Aufgrund der hohen Sensibilität der Patientendaten stellen die Dokumentation und der Austausch der administrativen und medizinischen Daten strenge Sicherheitsvoraussetzungen an alle an der Behandlung eines Patienten beteiligten Personen.

Um zu gewährleisten, dass nur berechtigte Personen auf die Gesundheitskarte eines Versicherten zugreifen können, wurde mit dem Gesundheitsmodernisierungsgesetz 2004 (GMG) die Einführung des elektronischen Heilberufsausweises für jeden Arzt und die übrigen approbierten Heilberufe wie Zahnärzte, Apotheker und Psychotherapeuten beschlossen, welcher neben Verschlüsselungs- und Authentifizierungsfunktionen über eine elektronische Signatur-Anwendung gemäß Signaturgesetz (SigG) [SigG] und Signaturverordnung (SigV) [SigV] verfügt. So dürfen Daten nur nach entsprechender Authentifizierung und Signierung des Heilberuflers in die Telematikinfrastruktur eingestellt bzw. jede medizinische Information muss künftig signiert im Informationssystem des Krankenhauses abgelegt werden. Unter einer elektronischen Signatur werden dabei verstanden „an Dateneinheiten angehängte Daten oder kryptographische Transformationen, die es dem Empfänger ermöglichen, die Authentizität und die Integrität der Dateneinheit festzustellen und die Daten gegen Fälschung (z.B. durch den Empfänger) zu sichern.“ [Häber 2005, S. 8] Über die Signatur, die in Form eines kryptographischen Schlüssels auf der HBA-Karte gespeichert ist und mittels dieser ausgelöst werden kann [BÄK], ist somit der Urheber bzw. Sender eines elektronischen Dokumentes jederzeit feststellbar und es kann nachgeprüft werden, ob das Dokument während der Aufbewahrung bzw. der Übertragung zwischen zwei kommunizierenden Personen manipuliert wurde. Darüber hinaus schafft sie die notwendigen Voraussetzungen für eine beweiskräftige, rechtskonforme Langzeitarchivierung von elektronischen Dokumenten in einem digitalen Archiv [ArchiSig 2003].

Der HBA als Signaturkarte ist spezifiziert ([BÄK HBA1, BÄK HBA2, BÄK HBA3]). Die Spezifikationen wurden im gemeinsamen Auftrag der zuständigen Ärztekammern von dem Fraunhofer Institut für Sichere Informationstechnik erarbeitet und beschreiben aufbauend auf den in den ISO/IEC-Standards definierten Kartenkommandos und Sicherheitsarchitektur die Eigenschaften und Anforderungen an die Funktionalität des Kartenbetriebssystem.

1

In einem Krankenhaus werden täglich von den dort tätigen Personen zahlreiche Dokumente unterschrieben und kommuniziert. So sind laut [Brandner 2002] ca. 60 % der klinischen Dokumente unterschriftsrelevant, wobei ein Arzt im Durchschnitt 30 Unterschriften pro Tag leistet. Ein Überblick über die unterschreibungsberechtigten Berufsgruppen in einem Krankenhaus fehlt.

Heutzutage werden zunehmend viele Daten und Dokumente im Krankenhaus durch den Einsatz rechnergestützter Werkzeuge für die Informationsverarbeitung, so genannte rechnerunterstützte Anwendungsbausteine, elektronisch erfasst. Beispielsweise wird in vielen Krankenhäusern und Kliniken die stationäre und ambulante Aufnahme, Patientenabrechnung mit dem SAP R/3-Modul IS-H als Patientenverwaltungssystem (PVS) durchgeführt. Die medizinischen Daten werden vor allem in dem in IS-H hochintegrierten Anwendungssoftwareprodukt i.s.h.med als Klinisches Dokumentations- und Managementsystem (KDMS) von der Firma Siemens Medical Solutions GSD mbH elektronisch dokumentiert. Das Signieren der Dokumente kann dabei direkt aus dem rechnerbasierten Anwendungsbaustein erfolgen, in welchem das Dokument erzeugt wurde.

Die vom Gesetzgeber geforderte Einführung des HBA und damit der elektronischen Signatur impliziert technische und organisatorische Veränderungen in einem Krankenhaus. Zum einen müssen die Signatur und die damit verbundenen neuen Prozesse in die Arbeitsabläufe des klinischen Personals integriert werden, zum anderen ist die Beschaffung neuer Hard-und Software sowie die Adaptierung des bestehenden Informationssystems erforderlich. Dabei steht die einfache und schnelle Handhabung der Signaturkarte HBA durch den Heilberufler im Zentrum des Interesses.

Mit dem bundesweiten Rollout des HBA und damit der Einführung der elektronischen Signatur ergibt sich eine Vielfalt zusätzlicher Anwendungsmöglichkeiten, die sich zukünftig auf die mit der eGK eingeführten freiwilligen Anwendungen erstrecken werden (Online-Anwendung).

1.2 Problemstellung

Problem 1:

Es ist nicht hinreichend bekannt, an welchen Stellen innerhalb eines Krankenhauses die Signatur mit welcher Sicherheitsausprägung zum Einsatz kommen muss/wird.

2

Problem 2:

Es ist nicht hinreichend bekannt, welche Auswirkungen eine krankenhausweite Signatur- und HBA-Einführung im Hinblick auf die unterschriftsrelevanten Prozesse und die Krankenhaus-IT mit sich bringt. Problem 3:

Es ist nicht hinreichend bekannt, wie elektronische Signaturvorgänge mittels des HBA innerhalb eines Krankenhausinformationssystems (KIS), basierend auf den Softwareprodukten SAP IS-H und i.s.h.med, effektiv und effizient umgesetzt werden können.

1.3 Zielsetzung

Aus den oben genannten Problemen lassen sich folgende Ziele für diese Arbeit ableiten: Ziele zu Problem 1: Ziel 1.1:

Ziel ist es, die signaturrelevanten Daten- und Dokumenttypen innerhalb eines Krankenhauses und die damit verbundenen Aufgaben sowie die jeweils unterschriftsberechtigten Personengruppen in ihrer Funktion zu identifizieren. Die Analyse erfolgt am Beispiel des rechnergestützten Krankenhausinformationssystems unter SAP IS-H und i.s.h.med (als Primärsystem). Ziel 1.2:

Ziel ist es, festzustellen, welche Signaturstufe für den jeweiligen Einsatzzweck erforderlich ist. Ziele zu Problem 2: Ziel 2.1:

Ziel ist es, geeignete Signaturprozesse mittels des HBA im KIS aufzuzeigen. Dabei sollte insbesondere auf deren praktische Anwendbarkeit Wert gelegt werden.

Es sollen Prozessmodelle entstehen, die als Referenz für das eigene Krankenhaus genutzt werden können.

3

Ziel 2.2:

Ziel ist es, ein Soll-Konzept für die hard- und softwaretechnische Anpassung und Parametrierung hinsichtlich der Integration der Signaturfunktion, des HBA und der hierfür zu etablierenden Sicherheitsinfrastruktur in ein rechnergestütztes KIS zu erarbeiten. Es sollen Modelle der Systemarchitektur und ein Umsetzungsvorschlag entstehen, die als Referenz zur Ausgestaltung eines einrichtungsspezifischen KIS genutzt werden können. Ziele zu Problem 3: Ziel 3.1:

Ziel ist die Definition und praktische Umsetzung ausgewählter Workflow-Szenarien für den automatisierten Ablauf standardisierter Signaturvorgänge innerhalb des SAP eigenen Workflow-Management-Systems (SAP Business Workflow).

4

2 Grundlagen

In diesem Kapitel sollen die zum Verständnis dieser Diplomarbeit notwendigen Grundlagen vermittelt werden. Nach einführenden Definitionen grundlegender Begriffe wird aufgezeigt, welche Ideen und Gesetze die Basis der elektronischen Signatur und des Heilberufsausweises bilden. Es soll gezeigt werden, wie der HBA aufgebaut ist und welche Funktionen er bietet. Weiterhin soll erklärt werden, welche Anwendungen signaturrelevant sind, auf welchen Prinzipien diese beruhen und welche Ziele man damit verfolgt. Schließlich werden etablierte Lösungskonzepte zur Integration von HBAs in ein KIS vorgestellt.

2.1 Definitionen und Begriffsbestimmungen

Definition: Unterschrift

Eine Unterschrift ist das schriftliche Bekenntnis zum Inhalt einer Urkunde durch den eigenhändigen Namenszug, der nicht unbedingt lesbar seine, jedoch charakteristischen Eigenschaften aufweisen muss (nach [Meyers Lexikon 2008]).

Das Äquivalent zur handschriftlichen Unterschrift auf elektronischen Dokumententrägern soll die elektronische Signatur darstellen. Als synonyme Begriffe für die elektronische Signatur werden auch die Begriffe digitale Signatur oder elektronische Unterschrift verwendet. Definition: Elektronische Signatur

Unter einer elektronischen Signatur (auch digitale Signatur) wird eine elektronische Unterschrift verstanden, mit deren Hilfe der Nachweis von Integrität und Authentizität (vgl. Authentifizierung), also der Echtheit (Authentizität) und Unversehrtheit (Integrität), einer Nachricht bzw. eines Dokumentes erbracht werden kann. Dazu wird meist ein asymmetrisches Verschlüsselungsverfahren eingesetzt: Als Chiffrierschlüssel des Unterzeichners wird ein öffentlich zugänglicher Schlüssel verwendet (public key-Verfahren), während der Dechiffrierschlüssel privat bzw. geheim und nur dem Empfänger bekannt ist.

Zur Anwendung der Signatur ist eine so genannte Public-Key-Infrastruktur (kurz: PKI) erforderlich.

Das deutsche Signaturgesetz (SigG) aus dem Jahr 2001 ([SigG]) unterscheidet insgesamt vier verschiedene Sicherheitsniveaus von elektronischen Signaturen, die in Abschnitt 2.3 näher erläutert werden.

5

Definition: Signaturschlüssel

Signaturschlüssel sind einmalige elektronische Daten wie private kryptographische Schlüssel, die zur Erstellung einer elektronischen Signatur verwendet werden (nach § 2 Nr. 4 SigG).

Definition: Signaturprüfschlüssel

Signaturprüfschlüssel sind elektronische Daten wie öffentliche kryptographische Schlüssel, die zur Überprüfung einer elektronischen Signatur verwendet werden (nach § 2 Nr. 5 SigG). Definition: Zertifikat

Zertifikate sind elektronische Bescheinigungen, mit denen Signaturprüfschlüssel einer Person zugeordnet werden und die Identität der Person bestätigt wird (nach § 2 Nr. 6 SigG). Qualifizierte Zertifikate sind Zertifikate besonderer Qualität, die nach § 7 SigG bestimmte Angaben enthalten und die qualifizierte elektronische Signatur eines Zertifizierungsdiensteanbieters tragen müssen (vgl. § 2 Nr. 7 SigG). Definition: Zertifizierungsdiensteanbieter

Zertifizierungsdiensteanbieter sind natürliche oder juristische Personen, die qualifizierte Zertifikate oder qualifizierte Zeitstempel ausstellen (nach § 2 Nr. 8 SigG). Definition: Qualifizierte Zeitstempel

Qualifizierte Zeitstempel sind elektronische Bescheinigungen eines Zertifizierungsdiensteanbieters, dass ihm bestimmte elektronische Daten zu einem bestimmten Zeitpunkt vorgelegen haben (nach § 2 Nr. 14 SigG).

Zeitstempel-, Zertifikats- und Signaturdatenformate sind spezielle Datenformate für Zeitstempel, Zertifikate und elektronische Signaturen. Beispiele hierfür sind das „Time-Stamp Protocol“ (TSP) für Zeitstempel, das „Internet X.509 Public Key Infrastructure Certificate“ für Zertifikate und die „Cryptographic Message Syntax“ (CMS) für elektronische Signaturen. Definition: Zertifikatstatusinformationen

Zertifikatstatusinformationen sind Informationen zu einem Zertifikat, um dessen Gültigkeit beurteilen zu können.

Zertifikatstatusinformationen können über das „Online Certification Status Protocol“ (OCSP) als sogenannte OCSP-Responses bei einem Online-Verzeichnisdienst abgerufen werden.

6

Definition: Dokument

Ein Dokument ist eine mehr oder weniger strukturierte Zusammenfassung einzelner Daten. Es dient dazu, die Daten in einen für eine bestimmte Aufgabe nötigen Zusammenhang zu stellen (nach [Leiner et al. 1999]). Definition: Elektronisches Dokument

Als elektronisches Dokument wird ein Dokument bezeichnet, das seinen physischen Ausdruck auf einem elektronischen Dokumententräger findet.

Ein Dokument kann zwischen Benutzern eines Dokumentationssystems oder auch zwischen Anwendungssystemen ausgetauscht werden. Definition: Elektronisch signiertes Dokument

Als elektronisch signiertes Dokument wird ein elektronisches Dokument bezeichnet, das mit Hilfe eines elektronischen Verfahrens (digital) signiert wurde [Häber 2005, S. 8].

2.2 Ziele und Eigenschaften der elektronischen Signatur

Eine elektronische Signatur soll das Äquivalent zur handschriftlichen Unterschrift auf einem elektronischen Dokument darstellen. Voraussetzung für die Anerkennung einer elektronischen Signatur sind funktionale Parallelen zu den Eigenschaften der eigenhändigen Unterschrift. Eine „gute“ handschriftliche Unterschrift besitzt nach [Schneier 1996] und [Ertel 2001] folgende Eigenschaften:

- Die Unterschrift ist authentisch:

Der Unterzeichner hat willentlich unterschrieben und die Unterschrift kann nur von einer Person erzeugt werden.

- Die Unterschrift ist fälschungssicher:

Der Unterzeichner und kein anderer hat das Dokument unterschrieben.

- Die Unterschrift ist nicht wiederverwendbar:

Sie bezieht sich auf ein bestimmtes Dokument und kann nicht auf ein anderes Dokument kopiert werden.

- Das unterzeichnete Dokument ist unveränderbar:

Nach der Unterzeichnung kann nichts mehr im Dokument oder an der Unterschrift verändert werden.

7

- Die Unterschrift ist bindend:

Der Unterzeichner kann die Unterschrift nicht abstreiten und sie kann dauerhaft wiedergegeben werden.

Ausgehend von den oben genannten Eigenschaften einer eigenhändigen Unterschrift unterscheidet die Rechtslehre eine Reihe von Schutzfunktionen, die auch die elektronische Signatur aufweisen muss, wenn sie als Äquivalent eingesetzt wird. Nach [Bertsch 2002] und [GAnpFormBegr 2001] sind die Echtheits-, Abschluss-, Warn-, Identifikations- und die Beweisfunktion besonders relevant.

Um das elektronische Äquivalent zur handschriftlichen Unterschrift zu sein, muss die elektronische Signatur die Integrität und die Authentizität der Daten gewährleisten. Analog zu [Bitzer 1999] lassen sich die Begriffe Integrität und Authentizität wie folgt definieren: Definition: Integrität

Die Integrität von Daten ist gesichert, wenn nachträgliche Veränderungen oder Manipulationen am Dokument erkannt werden, unabhängig davon, von welcher Person, an welchem Ort oder zu welchem Zeitpunkt sie vorgenommen wurden. Definition: Authentizität

Der Datenursprung ist sicher festzustellen und somit ist auch der Autor des Dokuments zweifelsfrei zu identifizieren.

Neben Integrität und Authentizität ist die Vertraulichkeit eine weitere Anforderung an die Sicherheit von Informationen oder Daten. Die Vertraulichkeit sichert die Geheimhaltung von Daten, d.h. nur berechtigten Personen darf es möglich sein, Einblick in die Daten zu bekommen.

2.3 Gesetzliche Rahmenbedingungen und Signaturstufen

Im Jahre 2001 wurden mit dem „Gesetz über Rahmenbedingungen für elektronische Signaturen und zur Änderung weiterer Vorschriften“ (Signaturgesetz [SigG]), der „Verordnung zur elektronischen Signatur“ (Signaturverordnung [SigV]) und dem „Gesetz zur Anpassung der Formvorschriften des Privatrechts und anderer Vorschriften an den modernen Rechtsgeschäftsverkehr“ (Formanpassungsgesetz [GAnpForm 2001]) die rechtlichen Grundlagen für die Verwendung der elektronischen Signatur geschaffen. Durch das Formanpassungsgesetz wurde der §126 im BGB dahingehend geändert, dass die gesetzlich vorgeschriebene

8

schriftliche Form durch die elektronische Form ersetzt werden kann, wenn das elektronische Dokument mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz versehen ist. Gemeinsam mit dem Signaturgesetz7 wird also die qualifizierte elektronische Signatur der eigenhändigen Unterschrift gleichgesetzt. Damit erfüllt das Signaturgesetz die Vorgaben der EU-Richtlinie [SigR], die eine rechtliche Anerkennung der elektronischen Signatur fordert. Eine Ergänzung zum Signaturgesetz stellt die Signaturverordnung dar. Sie beinhaltet die technisch-organisatorischen Anforderungen an die elektronische Signatur und die Public-Key-Infrastruktur (PKI). Weitere Gesetze und Verordnungen, in denen die elektronische Signatur durch den Gesetzgeber geregelt ist, sind das „Dritte[s] Gesetz zur Änderung verwaltungsverfahrensrechtlicher Vorschriften ([VwVfÄndG 2002]) sowie diverse spezifische Ver-ordnungen wie z.B. die Strahlenschutzverordnung.

Elektronische Signaturen werden vor allem dort eingesetzt, wo Daten sicher elektronisch übertragen, gespeichert oder verarbeitet werden [Von Seck 2003]. Mit Hilfe der elektronischen Signatur ist nachweisbar, dass das elektronische Dokument nicht verändert wurde und von wem das Dokument elektronisch signiert wurde [Hollerbach et al. 2003a]. Der Gesetzgeber kennt im Signaturgesetz §2 [SigG] vier verschiedene Signaturstufen, die im Folgenden betrachtet werden sollen:

1. einfache elektronische Signatur;

2. fortgeschrittene elektronische Signatur;

3. qualifizierte elektronische Signatur;

4. qualifizierte elektronische Signatur mit Anbieter-Akkreditierung. Unter der einfachen elektronischen Signatur werden verstanden „Daten in elektronischer Form, die anderen elektronischen beigefügt oder logisch mit ihnen verknüpft sind und die zur Authentifikation dienen.“ [§ 2 Nr. 1 SigG] Dies ist z.B. eine eingescannte handschriftliche und dem Dokument angefügte Unterschrift. Da diese jedoch nicht zweifelsfrei einer Person zu-geordnet ist, erfüllt sie keine besonderen Sicherheitsanforderungen und hat daher wenig Beweiswert.

Die fortgeschrittene elektronische Signatur hat zusätzlich zu denen der einfachen elektronischen Signatur folgende Eigenschaften [§ 2 Nr. 2 SigG]:

• ausschließlich dem Schlüsselinhaber zugeordnet;

• dient der Identifizierung des Schlüsselinhabers;

9

• Der Schlüsselinhaber hat die alleinige Kontrolle über die Mittel zur Signaturerzeugung, d.h. nur der Schlüsselinhaber kennt den Signaturschlüssel;

• mit den Daten, auf die sie sich bezieht, so verknüpft sein, dass man nachträgliche Veränderungen erkennen kann. Damit ist die Integrität der Daten gewährleistet. Sie muss aber nicht auf qualifizierten Zertifikaten und überprüften Signaturerstellungseinheiten beruhen. Als Beispiele sind hier Signaturen im Rahmen von Pretty Good Privacy (PGP) ¹ sowie auf Softwarezertifikaten anzuführen.

Die qualifizierte elektronische Signatur ist nach [SigR] rechtlich mit der eigenhändigen Unterschrift gleichgestellt. Sie hat zusätzlich zu den Eigenschaften der fortgeschrittenen elektronischen Signatur folgende Eigenschaften [§ 2 Nr. 3 SigG]:

• Identität des Unterzeichners durch qualifiziertes Zertifikat erkennbar;

• Erstellung der Signatur mit einer sicheren Signaturerstellungseinheit (Chipkarte). Im Gegensatz zu fortgeschrittenen elektronischen Signaturen dürfen qualifizierte elektronische Signaturen nach [SigG] also nur auf qualifizierten Zertifikaten, welche durch Zertifizierungsdiensteanbieter (ZDA) ausgestellt werden, basieren. Der ZDA erzeugt den Signaturschlüssel und den Signaturprüfschlüssel in einer sicheren Umgebung. Der Signaturschlüssel wird unauslesbar auf einer Chipkarte gespeichert. Dann werden Signaturschlüssel und Identifikationsdaten in einem qualifizierten Zertifikat zusammengefügt und durch eine qualifizierte elektronische Signatur des ZDA bestätigt. Der ZDA ist verpflichtet, die qualifizierte elektronische Signatur 7 Jahre überprüfbar zu halten.

Die qualifizierte elektronische Signatur muss für die Erstellung von Rezepten und Arztbriefen verwendet werden, da diese rechtlich beweissicher sein müssen.

Die höchsten Anforderungen erfüllt die qualifizierte elektronische Signatur mit Anbieter-Akkreditierung. Der Unterschied zu qualifizierten elektronischen Signaturen besteht laut §15 [SigG] darin, dass der Zertifizierungsdiensteanbieter sich hat akkreditieren lassen, d.h. er hat durch ein Gütesiegel nachgewiesen, dass er die organisatorischen und technischen Sicher-heitsvorschriften nach dem Signaturgesetz erfüllt. Dieser erstellt dann qualifizierte elektronische Signaturen auf Anfrage und erbringt den Nachweis für eine Überprüfung qualifizierter elektronischer Signaturen. Für die Akkreditierung ist die Bundesnetzagentur (BNetzA)

¹ Pretty Good Privacy (PGP) ist ein von Phil Zimmermann 1991 entwickeltes Programm zur Verschlüsselung und Signierung von Daten insbesondere in E-Mail-Anwendungen [Wikipedia PGP].

10

zuständig. Die qualifizierte elektronische Signatur mit Anbieter-Akkreditierung fordert im Gegensatz zur qualifizierten Signatur ohne Anbieter-Akkreditierung eine Schlüsselaufbewahrungs- und Überprüfungszeit von 30 Jahren.

2.4 Grundprinzip der elektronischen Signatur

Das Prinzip der elektronischen Signatur entstammt dem Gebiet der Kryptographie und basiert auf einer asymmetrischen Verschlüsselungsmethode (Public-Key-Verfahren). Bei der asymmetrischen Verschlüsselung benötigt jede Person ein Schlüsselpaar, welches sich aus einem Signaturschlüssel (auch privater Schlüssel) und einem Signaturprüfschlüssel (auch öffentlicher Schlüssel) zusammensetzt. Der Signaturschlüssel ist nur dem Besitzer bekannt, während der Signaturprüfschlüssel für jedermann frei zugänglich ist. Da bei elektronischen Signaturen jedoch nicht die Vertraulichkeit eines Dokuments im Vor-dergrund steht, sondern die Gewährleistung von Authentizität und Integrität, wird nicht das gesamte Dokument signiert, sondern nur der abgeleitete, sogenannte Hashwert, der mit Hilfe einer Hashfunktion gebildet wird. Hashfunktionen dienen in der Kryptographie dazu, einen unmanipulierbaren „Fingerabdruck“ von Daten herzustellen. Definition: (Einweg-) Hashfunktion

Eine (Einweg-)Hashfunktion ist eine kollisionsfreie (Einweg-)Funktion, die Nachrichten beliebiger Länge auf einen Hashwert einer festen Länge nach algorithmischen Verfahren komprimiert (nach [Beutelspacher et al. 1999]).

Der Vorteil beim Signieren von Hashwerten ist, dass sich das Signaturverfahren beschleunigt, da nur der „Fingerabdruck“ der Nachricht verschlüsselt wird, und dass die Signatur eine kurze, feste Länge hat. Würde man die gesamte Nachricht signieren, so wäre die Signatur so lange wie die Nachricht selbst.

Um nun ein Dokument digital zu signieren, wird mittels einer vereinbarten Hashfunktion eine eindeutige Checksumme für das elektronische Dokument berechnet. Diese Checksumme wird daraufhin mit dem Signaturschlüssel der signierenden Person verschlüsselt und als Signatur an das Dokument angehängt. Zur Entschlüsselung der Signatur benötigt der Empfänger den zum Signaturschlüssel gehörenden Signaturprüfschlüssel. Beim Empfänger wird mit Hilfe der Hashfunktion erneut die Checksumme aus dem Dokument berechnet. Unter Verwendung des Signaturprüfschlüssels entschlüsselt der Empfänger die elektronische Signatur. Als Ergebnis der Entschlüsselung entsteht wiederum eine

11

Checksumme, die mit der zuvor berechneten Checksumme aus dem Dokument verglichen wird. Stimmen beide überein, ist die Integrität des Dokumentes gewährleistet. Das Dokument wurde genauso erhalten wie es versandt wurde.

Die Authentizität wird über das entsprechende Zertifikat sichergestellt, das den Signaturprüfschlüssel einer Person zuordnet und die Identität der Person bestätigt [Brandner et al. 2002]. In eine elektronische Signatur können noch weitere notwendige Informationen eingebunden werden, z.B. der Signaturzeitpunkt, Signatur- und Hashfunktion.

Abbildung 1 - Ablauf der digitalen Signatur

2.5 Der elektronische Heilberufsausweis (HBA)

2.5.1 Zweck und Ziele

Als sichere Signaturerstellungseinheit (SSEE) gemäß Signaturgesetz dient der Heilberufsausweis (kurz: HBA bzw. engl. Health Professional Card - HPC), auf dem der Signaturschlüssel des Arztes und Angehörigen eines Heilberufs ² zur Erzeugung einer qualifizierten elektronischen Signatur sicher hinterlegt ist. Der HBA soll zukünftig sowohl für Einfach-, als auch für Mehrfachsignaturen (siehe Abschnitt 2.7) genutzt werden können, wobei der Signaturschlüssel nur nach Authentifizierung des Inhabers „durch Besitz und Wissen oder durch Besitz und ein oder mehrere biometrische Merkmale“ [SigV] angewendet werden darf. Der Signaturschlüssel zum rechtsgültigen Signieren elektronischer Daten/Dokumente darf also

² Angehörige eines Heilberufs sind nach [Goetz2005] bzw. SGB V § 291a Absatz 4: Ärzte, Zahnärzte, Apotheker, Psychotherapeuten sowie teilweise deren Gehilfen.

12

nur nach Authentifizierung des Inhabers als alleiniger Besitzer dieses Ausweises und mittels PIN-Eingabe bzw. Derivaten ³ angewendet werden.

Weiterhin soll der HBA den bisher üblichen papierbasierten Ausweis des Heilberuflers als Sichtausweis ablösen.

Der HBA dient ferner durch die aufgebrachten personenidentifizierenden Merkmale der eindeutigen Identifikation des Heilberuflers sowie seiner Profession und damit der Authentifizierung des Heilberuflers.

Er ermöglicht außerdem die Verschlüsselung medizinischer Daten, z.B. für den intersektoralen Datentransport und dient dem Heilberufler insbesondere in Verbindung mit der elektronischen Gesundheitskarte (eGK) zum lesenden und schreibenden Zugriff auf die geschützten Versichertenstammdaten und medizinischen Daten der eGK und auf die Daten und Dienste der Telematikinfrastruktur. Beide Karten wirken in einem Verschlüsselungsverfahren mitei-nander und sollen somit Datenmissbrauch verhindern.

2.5.2 Entwicklungsgeschichte des HBA

Die Entwicklung elektronischer Heilberufsausweise geht zurück auf Einführung der Krankenversichertenkarten 1993/1994 und das Signaturgesetz (SigG) von Ende 1997. Damals initiierten erste Ärztekammern in Deutschland die Erprobung neuer Arztausweise in Scheckkar-tenform. Damit sollten die bisherige Funktion des klassischen Arztausweises (Sichtausweis) und die neuen Anforderungen an künftige elektronische Arztausweise zusammengeführt werden. Eine im Juni 1999 fertig gestellte Spezifikation HPC-D (Health Professional Card -Doctor) wurde im Januar 2000 als Version 1.1 gemeinsam von der Kassenärztlichen Bundesvereinigung und der Bundesärztekammer beschlossen und in der Folgezeit in mehreren Pilotprojekten bundesweit erprobt. Aus diesen Erfahrungen wurde dann Ende Juli 2003 unter der nun gemeinsamen Regie der Ärzte und der Apotheker eine auf beide Berufsgruppen abgestimmte und harmonisierte Spezifikation, die Version 2.0, fortgeschrieben. Diese Spezifikation wurde fortgeschrieben bis zur aktuell gültigen Spezifikation 2.3.0, die für den HBA Gültigkeit hat.

³ Unter Derivaten sind in diesem Zusammenhang Methoden wie die Stapel- oder Komfortsignatur und Signatur unter Nutzung biometrischer Komponenten (Fingerabdruck löst Signatur aus) etc. zu sehen. Diese Varianten sind jedoch bisher nicht offiziell durch die gematik zertifiziert.

13

2.5.3 Ausgabeverfahren

Der HBA ist ein Berufsausweis für staatlich anerkannte und verkammerte Heilberufler, wie etwa Ärzte, Zahnärzte, Apotheker und Psychotherapeuten und wird von diesen Kammern ausgegeben. Die Kammern fungieren in diesem Zusammenhang auch als Zertifizierungsdiensteanbieter (siehe Abschnitt 2.6.1).

Hierzu wurde ein Projektbüro eingerichtet und es laufen derzeit die notwendigen Planungen zur Vorbereitung der Ausgabe der HBAs. In den so genannten Ausgabepiloten wird von den Kammern das Verfahren vom Antrag bis zur Ausgabe der HBAs erprobt. Die Ausgabepiloten dienen der Optimierung und Standardisierung der zukünftigen Abläufe zwischen Ärzten, Kammern und Zertifizierungsdiensteanbietern.

Der Ablauf des Ausgabeprozesses der HBAs gestaltet sich folgendermaßen: Der HBA muss von dem Arzt bei seiner entsprechenden Kammer persönlich beantragt werden. Dazu hat der Arzt die Möglichkeit, sich für einen von der Kammer zugelassenen Zertifizierungsdiensteanbieter zu entscheiden, bevor er über seine Kammer die Produktion eines HBA beauftragt. Der Antragsteller wird daraufhin bei der Kammer oder über eine Postfiliale einer Identitätsprüfung mittels eines Ausweisdokumentes (i.d.R. Personalausweis) unterzogen. Nachdem erfolgreich überprüft wurde, dass die Berufserlaubnis/Approbation des Arztes in dessen Berufsakte vorliegt, erfolgt die Bestätigung durch die Kammer/Postfiliale. Anschließend wird der Antrag zusammen mit der Bestätigung an den gewählten Zertifizierungsdiensteanbieter (auch: Trust Center) geleitet, welcher den HBA mit den personenbezogenen Daten und dem persönlichen Signaturschlüssel des Arztes herstellt. Schließlich erfolgt die Auslieferung des HBA an den Heilberufler. Dieser bekommt neben dem Brief, der seinen HBA enthält, einen weiteren Brief mit dem zur Freischaltung notwendigen PIN-Code. [BÄK HBA Ausg]

Die Lebensdauer eines HBA wird durch das Signaturgesetz auf fünf Jahre beschränkt, danach ist ein neuer HBA auszugeben. Krankenhäuser sollten ihren Ärzten rechtzeitig Informationen über dieses Verfahren zukommen lassen und sie organisatorisch unterstützen.

2.5.4 Äußerer Aufbau des Heilberufsausweises

Der HBA wird voraussichtlich wie unten abgebildet aussehen, hier gezeigt am Beispiel eines Arztausweises.

14

Auf der Vorderseite befinden sich der bei allen Karten einheitliche Kartenname (z.B. Arztausweis), ein identifizierendes Foto und die Daten des Karteninhabers, wie Titel, Vor- und Nachname. Zusätzlich sind in der Kartenmitte der Name und das Logo der ausstellenden Ärztekammer eingebracht.

Weiterhin deutlich erkennbar ist der Mikrochip, welcher die kryptographischen Funktionen zur Authentifizierung, Verschlüsselung und digitalen Signatur enthält, die Stammdaten wie Name, Vorname, Versicherungsangaben, Gültigkeit und ein ggf. Passfoto des Karteninhabers.

Die Rückseite wird wie folgt aussehen.

Sie enthält das Unterschriftenfeld für den Arzt und den Bestätigungstext. Der Magnetstreifen ist für zusätzliche, optionale Funktionen vorgesehen.

2.5.5 Struktur und Technik des HBA

Der elektronische Heilberufsausweis ist eine Mikroprozessorkarte, eine so genannte Smart-Card. D.h., er besitzt ein eigenes Betriebssystem, Speicherbereiche für vordefinierte Informationen sowie Signatur-, Verschlüsselungs- und Authentifizierungsfunktionen. Für diese Funktionen besitzt die Karte drei individuelle Schlüsselpaare. Als Speicherplatz sind bis zu 64 Kilobyte geplant, obwohl rein technisch deutlich größere Kapazitäten möglich sind. Zunächst einmal soll der elektronische Arztausweis all jene Funktionen übernehmen, die der heutige Arztausweis besitzt, d.h. er soll als einfacher Sichtausweis dienen können und den heute üblichen Papierausweis ablösen. Zu diesem Zweck werden auf dem Ausweis neben einem Bild des Inhabers dessen Name, Kammerzugehörigkeit und die Gültigkeit aufgedruckt sowie ein kleines Hologramm zur Sicherheit eingefügt.

Persönlich identifiziert wird der Health Professional, im Falle des Arztausweises der Arzt, durch seine Health Professional Daten (HPD), die alleine durch „Stecken“ der Karte verfügbar gemacht und ausgelesen werden. Alle weiteren Funktionen werden erst nach Präsentation einer Authentifikation gegenüber der Karte, d.h. nach Eingabe einer PIN aktiviert. Dies bedeutet, dass allein durch „Stecken“ der Karte sich zunächst einmal der Inhaber als Arzt in seiner Person identifiziert und weitere Funktionen erst durch Freischaltung der Karte verfügbar sind. Die Identifikationsmerkmale im HPD sind sehr einfach strukturiert und beinhalten lediglich den vollständigen Namen des Arztes sowie die englisch gefasste Bezeichnung „Physician“, damit dieser Ausweis auch über den deutschen Sprachraum hinaus interpretiert werden kann. Der HBA beinhaltet ferner den Namen der ausstellenden Ärztekammer und deren digitale Signatur als Zertifikat. Schließlich findet sich im Chip fakultativ eine digitale Kopie jener Fotografie, die außen auf dem Arztausweis aufgebracht ist. Mit diesen Informationen kann sich der Inhaber jederzeit als Arzt ausweisen, übermittelt zunächst jedoch keine weiteren Informationen.

Nach der PIN-Freischaltung durch den Inhaber werden alle weiteren Komponenten der Karte, insbesondere die drei Schlüsselpaare aktiviert. Diese dienen der/dem

- Authentifizierung gegenüber Client-Server-Systemen

- Digitale Signatur

16