Signatur in SAP IS-H / i.s.h.med unter Berücksichtigung des elektronischen Heilberufsausweises

Inhalt

Autorenreferat

1 Einleitung
1.1 Gegenstand und Motivation
1.2 Problemstellung
1.3 Zielsetzung

2 Grundlagen
2.1 Definitionen und Begriffsbestimmungen
2.2 Ziele und Eigenschaften der elektronischen Signatur
2.3 Gesetzliche Rahmenbedingungen und Signaturstufen
2.4 Grundprinzip der elektronischen Signatur
2.5 Der elektronische Heilberufsausweis (HBA)
2.5.1 Zweck und Ziele
2.5.2 Entwicklungsgeschichte des HBA
2.5.3 Ausgabeverfahren
2.5.4 Äußerer Aufbau des Heilberufsausweises
2.5.5 Struktur und Technik des HBA
2.6 Public-Key-Infrastruktur (PKI)
2.6.1 Zertifizierungsdiensteanbieter (ZDA)
2.6.2 Signaturerstellungseinheiten
2.6.3 Signaturanwendungskomponenten
2.7 Einfach- und Mehrfachsignaturen
2.7.1 Einfachsignatur
2.7.2 Mehrfachsignatur
2.7.2.1 Stapelsignatur
2.7.2.2 Komfortsignatur
2.8 Die Signaturkomponenten der Telematikinfrastruktur
2.8.1 Security Module Cards (SMC)
2.8.2 Die Signaturanwendungskomponenten (SAK)
2.8.2.1 Der Konnektor und dessen Signaturanwendungskomponente
2.8.2.2 Der Trusted Viewer
2.8.2.3 Kartenterminals
2.8.2.4 Das RFID-Token
2.8.3 Berufsausweise (BA)
2.9 Architekturkonzepte zur Verwaltung von HBA-Karten im Krankenhaus
2.9.1 Dezentrale Lösungsarchitektur
2.9.2 Zentrale Lösungsarchitektur (VERSA-Konzept)
2.10 Datenaustausch bzw. -speicherung über die Telematikinfrastruktur
2.10.1 Die Pflichtanwendungen
2.10.1.1 Versichertenstammdaten
2.10.1.2 Das elektronische Rezept
2.10.2 Die freiwilligen Anwendungen
2.10.2.1 Der Notfalldatensatz
2.10.2.2 Die Arzneimitteldokumentation
2.10.2.3 Der elektronische Arztbrief
2.10.2.4 Die elektronische Patientenakte (ePA)

3 Analyse und Beschreibung der anzupassenden Prozesse im IS-H / i.s.h.med
3.1 Krankenhausinformationssysteme im Allgemeinen
3.2 Vorstellung des klinischen Informationssystems unter IS-H und i.s.h.med
3.2.1 Administrative Funktionen im IS-H
3.2.2 Medizinisch-/Pflegerische Funktionen im i.s.h.med
3.3 Darstellung der Ist-Analyse
3.3.1 Zu betrachtende Anwendungen
3.3.2 Vorgehen
3.4 Muss-Anwendungen für den HBA
3.4.1 Ist-Zustands-Analyse: Verordnungshandling ambulante Rezeptverordnung
3.4.2 Ist-Zustands-Analyse: Notfalldaten
3.4.3 Ist-Zustands-Analyse: Arzneimitteldokumentation
3.4.4 Ist-Zustands-Analyse: Arztbriefschreibung
3.5 Weitere Einsatzbereiche für den HBA
3.6 Signaturstufenbetrachtung
3.7 Anwendungen für den BA (Mitarbeiterausweis)

4 Analyse und Beschreibung der notwendigen technischen Anpassungen im IS-H / i.s.h.med
4.1 Anforderungen
4.2 Public-Key-Infrastruktur
4.3 Konfiguration und Dimensionierung des Konnektors
4.4 Management der HBA-Karten im Krankenhaus
4.5 Zusammenfassung der Anforderungen
4.6 Referenzmodell der Systemarchitektur
4.6.1 Anwendungskonnektor
4.6.2 Trusted Viewer
4.6.3 Krankenhausinterner Verzeichnisdienst
4.6.4 Anwendungssystem mit integrierter Benutzerverwaltung
4.6.5 Signatursoftware
4.6.6 Konvertierung vom DOC-Format ins PDF-Format
4.6.7 Das zentrale Trust Center der Telematikinfrastruktur
4.6.8 Weitere dezentrale Komponenten (Karten- und Kartenterminaldienste)
4.7 Signaturintegration in IS-H / i.s.h.med
4.7.1 Geeignete Signaturdatenformate
4.7.2 Anpassung des Workflows

5 Vorschlag zur Umsetzung der organisatorischen Prozessänderungen
5.1 Vorgehen
5.2 Muss-Anwendungen des HBA
5.2.1 Signieren von eRezepten bei der ambulanten Behandlung
5.2.1.1 Vorbetrachtungen
5.2.1.2 Erstellung und Signierung von elektronischen Rezepten
5.2.2 Signatur des Notfalldatensatzes in der eGK
5.2.2.1 Vorbetrachtungen
5.2.2.2 Notfalldaten-Signaturprozess
5.2.3 Arzneimitteldokumentation
5.2.3.1 Vorbetrachtungen
5.2.3.2 Arzneimitteldokumentation-Signaturprozess
5.2.4 Signieren von externen und internen Arztbriefen
5.2.4.1 Vorbetrachtungen
5.2.4.2 Arztbrief-Signaturprozess

6 Automatisierung ausgewählter Signaturprozesse mittels der SAP R/3- Workflowtechnologie
6.1 Allgemeines zu Workflow-Management-Systemen (WFMS)
6.2 SAP Business Workflows
6.3 Der Arztbrief-Workflow
6.3.1 Die Aufbauorganisation
6.3.2 Die Ablauforganisation
6.3.3 Erweiterung des Workflows um die Signaturschritte
6.3.4 Notwendige Komponenten

7 Fazit und Ausblick
7.1 Zielerfüllung
7.2 Diskussion und Ausblick
7.2.1 Diskussion
7.2.2 Ausblick

Quellenverzeichnis.

Kurzzeichenverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

Autorenreferat

Mit der Einführung der Telematikinfrastruktur im deutschen Gesundheitswesen müssen Ärzte, Zahnärzte, Apotheker etc. in Zukunft jeden Tag mit ihrem Heilberufsausweis unzählige Unterschriften leisten.

Diese Arbeit beschäftigt sich mit den organisatorischen und technischen Schritten zur Ein- führung der elektronischen Signatur und des HBA in einem Krankenhausinformationssystem. Nach Behandlung der notwendigen theoretischen Grundlagen, wird eine Analyse hinsichtlich des gegenwärtigen Unterschriftsverhaltens und den zuständigen Signatur-Akteuren in einem Krankenhaus vorgenommen. Anschließend werden Referenzprozesse erarbeitet, mithilfe derer eine Ablösung des bisherigen Umgangs mit signaturrelevanten Daten/Dokumenten und im Hinblick auf die Einsatzbereiche des HBA hin zu allgemeingültigen und praktikablen Prozessen nachvollziehbar sind. Dazu werden Modelle entwickelt, welche die zukünftigen Signaturabläufe mit dem HBA darstellen. Mittels einer Referenzarchitektur wird aufgezeigt, wie ein klinisches Informationssystem unter IS-H und i.s.h.med um die Signatur- und HBA- Komponenten angepasst und erweitert werden muss. Abschließend wird eine potentielle Umsetzung eines Signaturprozesses anhand eines Beispiel-Workflows zur Arztbriefschrei- bung demonstriert.

1 Einleitung

1.1 Gegenstand und Motivation

Die Einführung der Gesundheitskarte und der Aufbau einer zugehörigen Telematikinfrastruktur ist derzeit das größte Telematik-Projekt seiner Art weltweit. Aufgrund der hohen Sensibilität der Patientendaten stellen die Dokumentation und der Austausch der administrativen und medizinischen Daten strenge Sicherheitsvoraussetzungen an alle an der Behandlung eines Patienten beteiligten Personen.

Um zu gewährleisten, dass nur berechtigte Personen auf die Gesundheitskarte eines Versi- cherten zugreifen können, wurde mit dem Gesundheitsmodernisierungsgesetz 2004 (GMG) die Einführung des elektronischen Heilberufsausweises für jeden Arzt und die übrigen app- robierten Heilberufe wie Zahnärzte, Apotheker und Psychotherapeuten beschlossen, welcher neben Verschlüsselungs- und Authentifizierungsfunktionen über eine elektronische Signatur- Anwendung gemäß Signaturgesetz (SigG) [SigG] und Signaturverordnung (SigV) [SigV] ver- fügt. So dürfen Daten nur nach entsprechender Authentifizierung und Signierung des Heilbe- ruflers in die Telematikinfrastruktur eingestellt bzw. jede medizinische Information muss künf- tig signiert im Informationssystem des Krankenhauses abgelegt werden.

Unter einer elektronischen Signatur werden dabei verstanden „an Dateneinheiten angehäng- te Daten oder kryptographische Transformationen, die es dem Empfänger ermöglichen, die Authentizität und die Integrität der Dateneinheit festzustellen und die Daten gegen Fälschung (z.B. durch den Empfänger) zu sichern.“ [Häber 2005, S. 8] Über die Signatur, die in Form eines kryptographischen Schlüssels auf der HBA-Karte gespeichert ist und mittels dieser ausgelöst werden kann [BÄK], ist somit der Urheber bzw. Sender eines elektronischen Do- kumentes jederzeit feststellbar und es kann nachgeprüft werden, ob das Dokument während der Aufbewahrung bzw. der Übertragung zwischen zwei kommunizierenden Personen mani- puliert wurde. Darüber hinaus schafft sie die notwendigen Voraussetzungen für eine beweis- kräftige, rechtskonforme Langzeitarchivierung von elektronischen Dokumenten in einem digi- talen Archiv [ArchiSig 2003].

Der HBA als Signaturkarte ist spezifiziert ([BÄK HBA1, BÄK HBA2, BÄK HBA3]). Die Spezifi- kationen wurden im gemeinsamen Auftrag der zuständigen Ärztekammern von dem Fraun- hofer Institut für Sichere Informationstechnik erarbeitet und beschreiben aufbauend auf den in den ISO/IEC-Standards definierten Kartenkommandos und Sicherheitsarchitektur die Eigenschaften und Anforderungen an die Funktionalität des Kartenbetriebssystem.

In einem Krankenhaus werden täglich von den dort tätigen Personen zahlreiche Dokumente unterschrieben und kommuniziert. So sind laut [Brandner 2002] ca. 60 % der klinischen Do- kumente unterschriftsrelevant, wobei ein Arzt im Durchschnitt 30 Unterschriften pro Tag leis- tet. Ein Überblick über die unterschreibungsberechtigten Berufsgruppen in einem Kranken- haus fehlt.

Heutzutage werden zunehmend viele Daten und Dokumente im Krankenhaus durch den Einsatz rechnergestützter Werkzeuge für die Informationsverarbeitung, so genannte rechne- runterstützte Anwendungsbausteine, elektronisch erfasst. Beispielsweise wird in vielen Kran- kenhäusern und Kliniken die stationäre und ambulante Aufnahme, Patientenabrechnung mit dem SAP R/3-Modul IS-H als Patientenverwaltungssystem (PVS) durchgeführt. Die medizi- nischen Daten werden vor allem in dem in IS-H hochintegrierten Anwendungssoftwarepro- dukt i.s.h.med als Klinisches Dokumentations- und Managementsystem (KDMS) von der Firma Siemens Medical Solutions GSD mbH elektronisch dokumentiert. Das Signieren der Dokumente kann dabei direkt aus dem rechnerbasierten Anwendungsbaustein erfolgen, in welchem das Dokument erzeugt wurde.

Die vom Gesetzgeber geforderte Einführung des HBA und damit der elektronischen Signatur impliziert technische und organisatorische Veränderungen in einem Krankenhaus. Zum ei- nen müssen die Signatur und die damit verbundenen neuen Prozesse in die Arbeitsabläufe des klinischen Personals integriert werden, zum anderen ist die Beschaffung neuer Hard- und Software sowie die Adaptierung des bestehenden Informationssystems erforderlich.

Dabei steht die einfache und schnelle Handhabung der Signaturkarte HBA durch den Heilberufler im Zentrum des Interesses.

Mit dem bundesweiten Rollout des HBA und damit der Einführung der elektronischen Signa- tur ergibt sich eine Vielfalt zusätzlicher Anwendungsmöglichkeiten, die sich zukünftig auf die mit der eGK eingeführten freiwilligen Anwendungen erstrecken werden (Online-Anwendung).

1.2 Problemstellung

Problem 1:

Es ist nicht hinreichend bekannt, an welchen Stellen innerhalb eines Krankenhauses die Signatur mit welcher Sicherheitsausprägung zum Einsatz kommen muss/wird.

Problem 2:

Es ist nicht hinreichend bekannt, welche Auswirkungen eine krankenhausweite Signatur- und HBA-Einführung im Hinblick auf die unterschriftsrelevanten Prozesse und die KrankenhausIT mit sich bringt.

Problem 3:

Es ist nicht hinreichend bekannt, wie elektronische Signaturvorgänge mittels des HBA innerhalb eines Krankenhausinformationssystems (KIS), basierend auf den Softwareprodukten SAP IS-H und i.s.h.med, effektiv und effizient umgesetzt werden können.

1.3 Zielsetzung

Aus den oben genannten Problemen lassen sich folgende Ziele für diese Arbeit ableiten:

Ziele zu Problem 1:

Ziel 1.1:

Ziel ist es, die signaturrelevanten Daten- und Dokumenttypen innerhalb eines Krankenhau- ses und die damit verbundenen Aufgaben sowie die jeweils unterschriftsberechtigten Perso- nengruppen in ihrer Funktion zu identifizieren. Die Analyse erfolgt am Beispiel des rechner- gestützten Krankenhausinformationssystems unter SAP IS-H und i.s.h.med (als Primärsys- tem).

Ziel 1.2:

Ziel ist es, festzustellen, welche Signaturstufe für den jeweiligen Einsatzzweck erforderlich ist.

Ziele zu Problem 2: Ziel 2.1:

Ziel ist es, geeignete Signaturprozesse mittels des HBA im KIS aufzuzeigen. Dabei sollte in- sbesondere auf deren praktische Anwendbarkeit Wert gelegt werden. Es sollen Prozessmodelle entstehen, die als Referenz für das eigene Krankenhaus genutzt werden können.

Ziel 2.2:

Ziel ist es, ein Soll-Konzept für die hard- und softwaretechnische Anpassung und Paramet- rierung hinsichtlich der Integration der Signaturfunktion, des HBA und der hierfür zu etablierenden Sicherheitsinfrastruktur in ein rechnergestütztes KIS zu erarbeiten. Es sollen Modelle der Systemarchitektur und ein Umsetzungsvorschlag entstehen, die als Referenz zur Ausgestaltung eines einrichtungsspezifischen KIS genutzt werden können.

Ziele zu Problem 3:

Ziel 3.1:

Ziel ist die Definition und praktische Umsetzung ausgewählter Workflow-Szenarien für den automatisierten Ablauf standardisierter Signaturvorgänge innerhalb des SAP eigenen Workflow-Management-Systems (SAP Business Workflow).

2 Grundlagen

In diesem Kapitel sollen die zum Verständnis dieser Diplomarbeit notwendigen Grundlagen vermittelt werden. Nach einführenden Definitionen grundlegender Begriffe wird aufgezeigt, welche Ideen und Gesetze die Basis der elektronischen Signatur und des Heilberufsausweises bilden. Es soll gezeigt werden, wie der HBA aufgebaut ist und welche Funktionen er bietet. Weiterhin soll erklärt werden, welche Anwendungen signaturrelevant sind, auf welchen Prinzipien diese beruhen und welche Ziele man damit verfolgt. Schließlich werden etablierte Lösungskonzepte zur Integration von HBAs in ein KIS vorgestellt.

2.1 Definitionen und Begriffsbestimmungen

Definition: Unterschrift

Eine Unterschrift ist das schriftliche Bekenntnis zum Inhalt einer Urkunde durch den eigenhändigen Namenszug, der nicht unbedingt lesbar seine, jedoch charakteristischen Eigenschaften aufweisen muss (nach [Meyers Lexikon 2008]).

Das Äquivalent zur handschriftlichen Unterschrift auf elektronischen Dokumententrägern soll die elektronische Signatur darstellen. Als synonyme Begriffe für die elektronische Signatur werden auch die Begriffe digitale Signatur oder elektronische Unterschrift verwendet.

Definition: Elektronische Signatur

Unter einer elektronischen Signatur (auch digitale Signatur) wird eine elektronische Unterschrift verstanden, mit deren Hilfe der Nachweis von Integrität und Authentizität (vgl. Authentifizierung), also der Echtheit (Authentizität) und Unversehrtheit (Integrität), einer Nachricht bzw. eines Dokumentes erbracht werden kann. Dazu wird meist ein asymmetrisches Verschlüsselungsverfahren eingesetzt: Als Chiffrierschlüssel des Unterzeichners wird ein öffentlich zugänglicher Schlüssel verwendet (public key-Verfahren), während der Dechiffrierschlüssel privat bzw. geheim und nur dem Empfänger bekannt ist.

Zur Anwendung der Signatur ist eine so genannte Public-Key-Infrastruktur (kurz: PKI) erfor- derlich.

Das deutsche Signaturgesetz (SigG) aus dem Jahr 2001 ([SigG]) unterscheidet insgesamt vier verschiedene Sicherheitsniveaus von elektronischen Signaturen, die in Abschnitt 2.3 näher erläutert werden.

Definition: Signaturschlüssel

Signaturschlüssel sind einmalige elektronische Daten wie private kryptographische Schlüs- sel, die zur Erstellung einer elektronischen Signatur verwendet werden (nach § 2 Nr. 4 SigG).

Definition: Signaturprüfschlüssel

Signaturprüfschlüssel sind elektronische Daten wie öffentliche kryptographische Schlüssel, die zur Überprüfung einer elektronischen Signatur verwendet werden (nach § 2 Nr. 5 SigG).

Definition: Zertifikat

Zertifikate sind elektronische Bescheinigungen, mit denen Signaturprüfschlüssel einer Per- son zugeordnet werden und die Identität der Person bestätigt wird (nach § 2 Nr. 6 SigG).

Qualifizierte Zertifikate sind Zertifikate besonderer Qualität, die nach § 7 SigG bestimmte Angaben enthalten und die qualifizierte elektronische Signatur eines Zertifizierungsdiensteanbieters tragen müssen (vgl. § 2 Nr. 7 SigG).

Definition: Zertifizierungsdiensteanbieter

Zertifizierungsdiensteanbieter sind natürliche oder juristische Personen, die qualifizierte Zertifikate oder qualifizierte Zeitstempel ausstellen (nach § 2 Nr. 8 SigG).

Definition: Qualifizierte Zeitstempel

Qualifizierte Zeitstempel sind elektronische Bescheinigungen eines Zertifizierungsdiensteanbieters, dass ihm bestimmte elektronische Daten zu einem bestimmten Zeitpunkt vorgelegen haben (nach § 2 Nr. 14 SigG).

Zeitstempel-, Zertifikats- und Signaturdatenformate sind spezielle Datenformate für Zeit- stempel, Zertifikate und elektronische Signaturen. Beispiele hierfür sind das „Time-Stamp Protocol“ (TSP) für Zeitstempel, das „Internet X.509 Public Key Infrastructure Certificate“ für Zertifikate und die „Cryptographic Message Syntax“ (CMS) für elektronische Signaturen.

Definition: Zertifikatstatusinformationen

Zertifikatstatusinformationen sind Informationen zu einem Zertifikat, um dessen Gültigkeit beurteilen zu können.

Zertifikatstatusinformationen können über das „Online Certification Status Protocol“ (OCSP) als sogenannte OCSP-Responses bei einem Online-Verzeichnisdienst abgerufen werden.

Definition: Dokument

Ein Dokument ist eine mehr oder weniger strukturierte Zusammenfassung einzelner Daten. Es dient dazu, die Daten in einen für eine bestimmte Aufgabe nötigen Zusammenhang zu stellen (nach [Leiner et al. 1999]).

Definition: Elektronisches Dokument

Als elektronisches Dokument wird ein Dokument bezeichnet, das seinen physischen Ausdruck auf einem elektronischen Dokumententräger findet.

Ein Dokument kann zwischen Benutzern eines Dokumentationssystems oder auch zwischen Anwendungssystemen ausgetauscht werden.

Definition: Elektronisch signiertes Dokument

Als elektronisch signiertes Dokument wird ein elektronisches Dokument bezeichnet, das mit Hilfe eines elektronischen Verfahrens (digital) signiert wurde [Häber 2005, S. 8].

2.2 Ziele und Eigenschaften der elektronischen Signatur

Eine elektronische Signatur soll das Äquivalent zur handschriftlichen Unterschrift auf einem elektronischen Dokument darstellen. Voraussetzung für die Anerkennung einer elektroni- schen Signatur sind funktionale Parallelen zu den Eigenschaften der eigenhändigen Unter- schrift. Eine „gute“ handschriftliche Unterschrift besitzt nach [Schneier 1996] und [Ertel 2001] folgende Eigenschaften:

- Die Unterschrift ist authentisch:

Der Unterzeichner hat willentlich unterschrieben und die Unterschrift kann nur von einer Person erzeugt werden.

- Die Unterschrift ist fälschungssicher:

Der Unterzeichner und kein anderer hat das Dokument unterschrieben.

- Die Unterschrift ist nicht wiederverwendbar:

Sie bezieht sich auf ein bestimmtes Dokument und kann nicht auf ein anderes Dokument kopiert werden.

- Das unterzeichnete Dokument ist unveränderbar:

Nach der Unterzeichnung kann nichts mehr im Dokument oder an der Unterschrift verändert werden.

- Die Unterschrift ist bindend:

Der Unterzeichner kann die Unterschrift nicht abstreiten und sie kann dauerhaft wiedergegeben werden.

Ausgehend von den oben genannten Eigenschaften einer eigenhändigen Unterschrift unterscheidet die Rechtslehre eine Reihe von Schutzfunktionen, die auch die elektronische Signatur aufweisen muss, wenn sie als Äquivalent eingesetzt wird. Nach [Bertsch 2002] und [GAnpFormBegr 2001] sind die Echtheits-, Abschluss-, Warn-, Identifikations- und die Beweisfunktion besonders relevant.

Um das elektronische Äquivalent zur handschriftlichen Unterschrift zu sein, muss die elektronische Signatur die Integrität und die Authentizität der Daten gewährleisten. Analog zu [Bitzer 1999] lassen sich die Begriffe Integrität und Authentizität wie folgt definieren:

Definition: Integrität

Die Integrität von Daten ist gesichert, wenn nachträgliche Veränderungen oder Manipulationen am Dokument erkannt werden, unabhängig davon, von welcher Person, an welchem Ort oder zu welchem Zeitpunkt sie vorgenommen wurden.

Definition: Authentizität

Der Datenursprung ist sicher festzustellen und somit ist auch der Autor des Dokuments zweifelsfrei zu identifizieren.

Neben Integrität und Authentizität ist die Vertraulichkeit eine weitere Anforderung an die Si- cherheit von Informationen oder Daten. Die Vertraulichkeit sichert die Geheimhaltung von Daten, d.h. nur berechtigten Personen darf es möglich sein, Einblick in die Daten zu bekom- men.

2.3 Gesetzliche Rahmenbedingungen und Signaturstufen

Im Jahre 2001 wurden mit dem „Gesetz über Rahmenbedingungen für elektronische Signa- turen und zur Änderung weiterer Vorschriften“ (Signaturgesetz [SigG]), der „Verordnung zur elektronischen Signatur“ (Signaturverordnung [SigV]) und dem „Gesetz zur Anpassung der Formvorschriften des Privatrechts und anderer Vorschriften an den modernen Rechtsge- schäftsverkehr“ (Formanpassungsgesetz [GAnpForm 2001]) die rechtlichen Grundlagen für die Verwendung der elektronischen Signatur geschaffen. Durch das Formanpassungsgesetz wurde der §126 im BGB dahingehend geändert, dass die gesetzlich vorgeschriebene schriftliche Form durch die elektronische Form ersetzt werden kann, wenn das elektronische Dokument mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz verse- hen ist. Gemeinsam mit dem Signaturgesetz7 wird also die qualifizierte elektronische Signa- tur der eigenhändigen Unterschrift gleichgesetzt. Damit erfüllt das Signaturgesetz die Vorga- ben der EU-Richtlinie [SigR], die eine rechtliche Anerkennung der elektronischen Signatur fordert. Eine Ergänzung zum Signaturgesetz stellt die Signaturverordnung dar. Sie beinhaltet die technisch-organisatorischen Anforderungen an die elektronische Signatur und die Public- Key-Infrastruktur (PKI). Weitere Gesetze und Verordnungen, in denen die elektronische Sig- natur durch den Gesetzgeber geregelt ist, sind das „Dritte[s] Gesetz zur Änderung verwal- tungsverfahrensrechtlicher Vorschriften ([VwVfÄndG 2002]) sowie diverse spezifische Ver- ordnungen wie z.B. die Strahlenschutzverordnung.

Elektronische Signaturen werden vor allem dort eingesetzt, wo Daten sicher elektronisch übertragen, gespeichert oder verarbeitet werden [Von Seck 2003]. Mit Hilfe der elektronischen Signatur ist nachweisbar, dass das elektronische Dokument nicht verändert wurde und von wem das Dokument elektronisch signiert wurde [Hollerbach et al. 2003a].

Der Gesetzgeber kennt im Signaturgesetz §2 [SigG] vier verschiedene Signaturstufen, die im Folgenden betrachtet werden sollen:

1. einfache elektronische Signatur;
2. fortgeschrittene elektronische Signatur;
3. qualifizierte elektronische Signatur;
4. qualifizierte elektronische Signatur mit Anbieter-Akkreditierung.

Unter der einfachen elektronischen Signatur werden verstanden „Daten in elektronischer

Form, die anderen elektronischen beigefügt oder logisch mit ihnen verknüpft sind und die zur Authentifikation dienen.“ [§ 2 Nr. 1 SigG] Dies ist z.B. eine eingescannte handschriftliche und dem Dokument angefügte Unterschrift. Da diese jedoch nicht zweifelsfrei einer Person zu- geordnet ist, erfüllt sie keine besonderen Sicherheitsanforderungen und hat daher wenig Beweiswert.

Die fortgeschrittene elektronische Signatur hat zusätzlich zu denen der einfachen elektronischen Signatur folgende Eigenschaften [§ 2 Nr. 2 SigG]:

- ausschließlich dem Schlüsselinhaber zugeordnet;
- dient der Identifizierung des Schlüsselinhabers; 9
- Der Schlüsselinhaber hat die alleinige Kontrolle über die Mittel zur Signaturerzeugung, d.h. nur der Schlüsselinhaber kennt den Signaturschlüssel;
- mit den Daten, auf die sie sich bezieht, so verknüpft sein, dass man nachträgliche Ver- änderungen erkennen kann. Damit ist die Integrität der Daten gewährleistet.

Sie muss aber nicht auf qualifizierten Zertifikaten und überprüften Signaturerstellungseinheiten beruhen. Als Beispiele sind hier Signaturen im Rahmen von Pretty Good Privacy (PGP)¹ sowie auf Softwarezertifikaten anzuführen.

Die qualifizierte elektronische Signatur ist nach [SigR] rechtlich mit der eigenhändigen Unterschrift gleichgestellt. Sie hat zusätzlich zu den Eigenschaften der fortgeschrittenen elektronischen Signatur folgende Eigenschaften [§ 2 Nr. 3 SigG]:

- Identität des Unterzeichners durch qualifiziertes Zertifikat erkennbar;
- Erstellung der Signatur mit einer sicheren Signaturerstellungseinheit (Chipkarte).

Im Gegensatz zu fortgeschrittenen elektronischen Signaturen dürfen qualifizierte elektronische Signaturen nach [SigG] also nur auf qualifizierten Zertifikaten, welche durch Zertifizierungsdiensteanbieter (ZDA) ausgestellt werden, basieren. Der ZDA erzeugt den Signaturschlüssel und den Signaturprüfschlüssel in einer sicheren Umgebung. Der Signaturschlüssel wird unauslesbar auf einer Chipkarte gespeichert. Dann werden Signaturschlüssel und Identifikationsdaten in einem qualifizierten Zertifikat zusammengefügt und durch eine qualifizierte elektronische Signatur des ZDA bestätigt. Der ZDA ist verpflichtet, die qualifizierte elektronische Signatur 7 Jahre überprüfbar zu halten.

Die qualifizierte elektronische Signatur muss für die Erstellung von Rezepten und Arztbriefen verwendet werden, da diese rechtlich beweissicher sein müssen.

Die höchsten Anforderungen erfüllt die qualifizierte elektronische Signatur mit Anbieter- Akkreditierung. Der Unterschied zu qualifizierten elektronischen Signaturen besteht laut §15 [SigG] darin, dass der Zertifizierungsdiensteanbieter sich hat akkreditieren lassen, d.h. er hat durch ein Gütesiegel nachgewiesen, dass er die organisatorischen und technischen Sicher- heitsvorschriften nach dem Signaturgesetz erfüllt. Dieser erstellt dann qualifizierte elektroni- sche Signaturen auf Anfrage und erbringt den Nachweis für eine Überprüfung qualifizierter elektronischer Signaturen. Für die Akkreditierung ist die Bundesnetzagentur (BNetzA) zuständig. Die qualifizierte elektronische Signatur mit Anbieter-Akkreditierung fordert im Gegensatz zur qualifizierten Signatur ohne Anbieter-Akkreditierung eine Schlüsselaufbewahrungs- und Überprüfungszeit von 30 Jahren.

2.4 Grundprinzip der elektronischen Signatur

Das Prinzip der elektronischen Signatur entstammt dem Gebiet der Kryptographie und basiert auf einer asymmetrischen Verschlüsselungsmethode (Public-Key-Verfahren). Bei der asymmetrischen Verschlüsselung benötigt jede Person ein Schlüsselpaar, welches sich aus einem Signaturschlüssel (auch privater Schlüssel) und einem Signaturprüfschlüssel (auch öffentlicher Schlüssel) zusammensetzt. Der Signaturschlüssel ist nur dem Besitzer bekannt, während der Signaturprüfschlüssel für jedermann frei zugänglich ist.

Da bei elektronischen Signaturen jedoch nicht die Vertraulichkeit eines Dokuments im Vordergrund steht, sondern die Gewährleistung von Authentizität und Integrität, wird nicht das gesamte Dokument signiert, sondern nur der abgeleitete, sogenannte Hashwert, der mit Hilfe einer Hashfunktion gebildet wird. Hashfunktionen dienen in der Kryptographie dazu, einen unmanipulierbaren „Fingerabdruck“ von Daten herzustellen.

Definition: (Einweg-) Hashfunktion

Eine (Einweg-)Hashfunktion ist eine kollisionsfreie (Einweg-)Funktion, die Nachrichten beliebiger Länge auf einen Hashwert einer festen Länge nach algorithmischen Verfahren komprimiert (nach [Beutelspacher et al. 1999]).

Der Vorteil beim Signieren von Hashwerten ist, dass sich das Signaturverfahren beschleunigt, da nur der „Fingerabdruck“ der Nachricht verschlüsselt wird, und dass die Signatur eine kurze, feste Länge hat. Würde man die gesamte Nachricht signieren, so wäre die Signatur so lange wie die Nachricht selbst.

Um nun ein Dokument digital zu signieren, wird mittels einer vereinbarten Hashfunktion eine eindeutige Checksumme für das elektronische Dokument berechnet. Diese Checksumme wird daraufhin mit dem Signaturschlüssel der signierenden Person verschlüsselt und als Signatur an das Dokument angehängt. Zur Entschlüsselung der Signatur benötigt der Empfänger den zum Signaturschlüssel gehörenden Signaturprüfschlüssel.

Beim Empfänger wird mit Hilfe der Hashfunktion erneut die Checksumme aus dem Dokument berechnet. Unter Verwendung des Signaturprüfschlüssels entschlüsselt der Empfänger die elektronische Signatur. Als Ergebnis der Entschlüsselung entsteht wiederum eine Checksumme, die mit der zuvor berechneten Checksumme aus dem Dokument verglichen wird. Stimmen beide überein, ist die Integrität des Dokumentes gewährleistet. Das Dokument wurde genauso erhalten wie es versandt wurde.

Die Authentizität wird über das entsprechende Zertifikat sichergestellt, das den Signaturprüf- schlüssel einer Person zuordnet und die Identität der Person bestätigt [Brandner et al. 2002].

In eine elektronische Signatur können noch weitere notwendige Informationen eingebunden werden, z.B. der Signaturzeitpunkt, Signatur- und Hashfunktion.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1 - Ablauf der digitalen Signatur

2.5 Der elektronische Heilberufsausweis (HBA)

2.5.1 Zweck und Ziele

Als sichere Signaturerstellungseinheit (SSEE) gemäß Signaturgesetz dient der Heilberufs- ausweis (kurz: HBA bzw. engl. Health Professional Card - HPC), auf dem der Signatur- schlüssel des Arztes und Angehörigen eines Heilberufs² zur Erzeugung einer qualifizierten elektronischen Signatur sicher hinterlegt ist. Der HBA soll zukünftig sowohl für Einfach-, als auch für Mehrfachsignaturen (siehe Abschnitt 2.7) genutzt werden können, wobei der Signa- turschlüssel nur nach Authentifizierung des Inhabers „durch Besitz und Wissen oder durch Besitz und ein oder mehrere biometrische Merkmale“ [SigV] angewendet werden darf. Der Signaturschlüssel zum rechtsgültigen Signieren elektronischer Daten/Dokumente darf also nur nach Authentifizierung des Inhabers als alleiniger Besitzer dieses Ausweises und mittels PIN-Eingabe bzw. Derivaten³ angewendet werden.

Weiterhin soll der HBA den bisher üblichen papierbasierten Ausweis des Heilberuflers als Sichtausweis ablösen.

Der HBA dient ferner durch die aufgebrachten personenidentifizierenden Merkmale der eindeutigen Identifikation des Heilberuflers sowie seiner Profession und damit der Authentifizierung des Heilberuflers.

Er ermöglicht außerdem die Verschlüsselung medizinischer Daten, z.B. für den intersektoralen Datentransport und dient dem Heilberufler insbesondere in Verbindung mit der elektronischen Gesundheitskarte (eGK) zum lesenden und schreibenden Zugriff auf die geschützten Versichertenstammdaten und medizinischen Daten der eGK und auf die Daten und Dienste der Telematikinfrastruktur. Beide Karten wirken in einem Verschlüsselungsverfahren miteinander und sollen somit Datenmissbrauch verhindern.

2.5.2 Entwicklungsgeschichte des HBA

Die Entwicklung elektronischer Heilberufsausweise geht zurück auf Einführung der Kranken- versichertenkarten 1993/1994 und das Signaturgesetz (SigG) von Ende 1997. Damals ini- tiierten erste Ärztekammern in Deutschland die Erprobung neuer Arztausweise in Scheckkar- tenform. Damit sollten die bisherige Funktion des klassischen Arztausweises (Sichtausweis) und die neuen Anforderungen an künftige elektronische Arztausweise zusammengeführt werden. Eine im Juni 1999 fertig gestellte Spezifikation HPC-D (Health Professional Card - Doctor) wurde im Januar 2000 als Version 1.1 gemeinsam von der Kassenärztlichen Bun- desvereinigung und der Bundesärztekammer beschlossen und in der Folgezeit in mehreren Pilotprojekten bundesweit erprobt. Aus diesen Erfahrungen wurde dann Ende Juli 2003 unter der nun gemeinsamen Regie der Ärzte und der Apotheker eine auf beide Berufsgruppen ab- gestimmte und harmonisierte Spezifikation, die Version 2.0, fortgeschrieben. Diese Spezifi- kation wurde fortgeschrieben bis zur aktuell gültigen Spezifikation 2.3.0, die für den HBA Gültigkeit hat.

2.5.3 Ausgabeverfahren

Der HBA ist ein Berufsausweis für staatlich anerkannte und verkammerte Heilberufler, wie etwa Ärzte, Zahnärzte, Apotheker und Psychotherapeuten und wird von diesen Kammern ausgegeben. Die Kammern fungieren in diesem Zusammenhang auch als Zertifizierungsdiensteanbieter (siehe Abschnitt 2.6.1).

Hierzu wurde ein Projektbüro eingerichtet und es laufen derzeit die notwendigen Planungen zur Vorbereitung der Ausgabe der HBAs. In den so genannten Ausgabepiloten wird von den Kammern das Verfahren vom Antrag bis zur Ausgabe der HBAs erprobt. Die Ausgabepiloten dienen der Optimierung und Standardisierung der zukünftigen Abläufe zwischen Ärzten, Kammern und Zertifizierungsdiensteanbietern.

Der Ablauf des Ausgabeprozesses der HBAs gestaltet sich folgendermaßen: Der HBA muss von dem Arzt bei seiner entsprechenden Kammer persönlich beantragt wer- den. Dazu hat der Arzt die Möglichkeit, sich für einen von der Kammer zugelassenen Zertifi- zierungsdiensteanbieter zu entscheiden, bevor er über seine Kammer die Produktion eines HBA beauftragt. Der Antragsteller wird daraufhin bei der Kammer oder über eine Postfiliale einer Identitätsprüfung mittels eines Ausweisdokumentes (i.d.R. Personalausweis) unterzo- gen. Nachdem erfolgreich überprüft wurde, dass die Berufserlaubnis/Approbation des Arztes in dessen Berufsakte vorliegt, erfolgt die Bestätigung durch die Kammer/Postfiliale. An- schließend wird der Antrag zusammen mit der Bestätigung an den gewählten Zertifizierung- sdiensteanbieter (auch: Trust Center) geleitet, welcher den HBA mit den personenbezoge- nen Daten und dem persönlichen Signaturschlüssel des Arztes herstellt. Schließlich erfolgt die Auslieferung des HBA an den Heilberufler. Dieser bekommt neben dem Brief, der seinen HBA enthält, einen weiteren Brief mit dem zur Freischaltung notwendigen PIN-Code. [BÄK HBA Ausg]

Die Lebensdauer eines HBA wird durch das Signaturgesetz auf fünf Jahre beschränkt, danach ist ein neuer HBA auszugeben. Krankenhäuser sollten ihren Ärzten rechtzeitig Informationen über dieses Verfahren zukommen lassen und sie organisatorisch unterstützen.

2.5.4 Äußerer Aufbau des Heilberufsausweises

Der HBA wird voraussichtlich wie unten abgebildet aussehen, hier gezeigt am Beispiel eines Arztausweises.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2 - Vorderseite des HBA [BÄK HBA VoS]

Auf der Vorderseite befinden sich der bei allen Karten einheitliche Kartenname (z.B. Arztausweis), ein identifizierendes Foto und die Daten des Karteninhabers, wie Titel, Vor- und Nachname. Zusätzlich sind in der Kartenmitte der Name und das Logo der ausstellenden Ärztekammer eingebracht.

Weiterhin deutlich erkennbar ist der Mikrochip, welcher die kryptographischen Funktionen zur Authentifizierung, Verschlüsselung und digitalen Signatur enthält, die Stammdaten wie Name, Vorname, Versicherungsangaben, Gültigkeit und ein ggf. Passfoto des Karteninha- bers.

Die Rückseite wird wie folgt aussehen.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3 - Rückseite des HBA [BÄK HBA RüS] 15

Sie enthält das Unterschriftenfeld für den Arzt und den Bestätigungstext. Der Magnetstreifen ist für zusätzliche, optionale Funktionen vorgesehen.

2.5.5 Struktur und Technik des HBA

Der elektronische Heilberufsausweis ist eine Mikroprozessorkarte, eine so genannte Smart- Card. D.h., er besitzt ein eigenes Betriebssystem, Speicherbereiche für vordefinierte Infor- mationen sowie Signatur-, Verschlüsselungs- und Authentifizierungsfunktionen. Für diese Funktionen besitzt die Karte drei individuelle Schlüsselpaare. Als Speicherplatz sind bis zu 64 Kilobyte geplant, obwohl rein technisch deutlich größere Kapazitäten möglich sind.

Zunächst einmal soll der elektronische Arztausweis all jene Funktionen übernehmen, die der heutige Arztausweis besitzt, d.h. er soll als einfacher Sichtausweis dienen können und den heute üblichen Papierausweis ablösen. Zu diesem Zweck werden auf dem Ausweis neben einem Bild des Inhabers dessen Name, Kammerzugehörigkeit und die Gültigkeit aufgedruckt sowie ein kleines Hologramm zur Sicherheit eingefügt.

Persönlich identifiziert wird der Health Professional, im Falle des Arztausweises der Arzt, durch seine Health Professional Daten (HPD), die alleine durch „Stecken“ der Karte verfüg- bar gemacht und ausgelesen werden. Alle weiteren Funktionen werden erst nach Präsenta- tion einer Authentifikation gegenüber der Karte, d.h. nach Eingabe einer PIN aktiviert. Dies bedeutet, dass allein durch „Stecken“ der Karte sich zunächst einmal der Inhaber als Arzt in seiner Person identifiziert und weitere Funktionen erst durch Freischaltung der Karte verfüg- bar sind. Die Identifikationsmerkmale im HPD sind sehr einfach strukturiert und beinhalten lediglich den vollständigen Namen des Arztes sowie die englisch gefasste Bezeichnung „Physician“, damit dieser Ausweis auch über den deutschen Sprachraum hinaus interpretiert werden kann. Der HBA beinhaltet ferner den Namen der ausstellenden Ärztekammer und deren digitale Signatur als Zertifikat. Schließlich findet sich im Chip fakultativ eine digitale Kopie jener Fotografie, die außen auf dem Arztausweis aufgebracht ist. Mit diesen Informa- tionen kann sich der Inhaber jederzeit als Arzt ausweisen, übermittelt zunächst jedoch keine weiteren Informationen.

Nach der PIN-Freischaltung durch den Inhaber werden alle weiteren Komponenten der Karte, insbesondere die drei Schlüsselpaare aktiviert. Diese dienen der/dem

- Authentifizierung gegenüber Client-Server-Systemen
- Digitale Signatur
- Transportverschlüsselung und
- Zugriff auf Daten der elektronischen Gesundheitskarte [Hauser],

wobei die Signierung eine separate, nur für dieses Schlüsselpaar geltende PIN benutzt.

Die Funktionen und Anwendungen des elektronischen Heilberufsausweises werden in [BÄK HBA1] und [BÄK HBA2] spezifiziert.

2.6 Public-Key-Infrastruktur (PKI)

Zur Anwendung der Signatur ist eine so genannte Public-Key-Infrastruktur (kurz: PKI) not- wendig.

2.6.1 Zertifizierungsdiensteanbieter (ZDA)

Ein Zertifizierungsdiensteanbieter (ZDA) ist eine natürliche oder juristische Person oder eine sonstige rechtsfähige Einrichtung, die Zertifikate ausstellt oder andere Signatur- und Zertifi- zierungsdienste erbringt [SigG]. Sie erstellt die Schlüssel und Zertifikate, gibt die zugehörige Signaturkarte aus und hält die öffentlichen Schlüssel in einem Verzeichnisdienst zum Abruf oder zur Prüfung (z.B. bzgl. ihrer Gültigkeit) vor. In einem qualifizierten Zertifikat bestätigt der ZDA, dass der Signaturprüfschlüssel zu dem im Zertifikat aufgeführten Inhaber des Signatur- schlüssels gehört. Das Zertifikat wird durch den ZDA elektronisch signiert und enthält nach [§7 SigG]

1. den Namen des Signaturschlüssel-Inhabers
2. den zugeordneten Signaturprüfschlüssel
3. die Bezeichnung der Algorithmen, mit denen der Signaturprüfschlüssel des Signatur- schlüssel-Inhabers sowie der Signaturprüfschlüssel des Zertifizierungsdiensteanbie- ters benutzt werden kann
4. die laufende Nummer des Zertifikates
5. Beginn und Ende der Gültigkeit des Zertifikates
6. den Namen des Zertifizierungsdiensteanbieters und des Staates, in dem er niederge- lassen ist
7. Angaben, ob die Nutzung des Signaturschlüssels beschränkt ist
8. Angaben, dass es sich um ein qualifiziertes Zertifikat handelt
9. nach Bedarf Attribute des Signaturschlüssel-Inhabers (z.B. Vertretungsmacht). 17

Für den Heilberufsausweis erzeugt der ZDA zusätzlich das Attributzertifikat für den Heilberuf. Da oftmals auch der Zeitpunkt, an dem ein Dokument erstellt und signiert wurde, von Bedeu- tung ist, können über den ZDA Zeitstempel eingeholt werden. Mit einem Zeitstempel bestä- tigt der ZDA nach §2 Abs. 14 Signaturgesetz das Vorliegen elektronischer Daten zu einem bestimmten Zeitpunkt. Für die Sperrung von Zertifikaten betreibt der ZDA einen Sperrdienst. Die Sperrung kann vom Signaturschlüssel- und damit Zertifikatsinhaber beantragt werden, wenn z.B. die Geheimhaltung des Signaturschlüssels nicht mehr gewährleistet ist. Die Sper- rung kann aber auch durch den ZDA oder die Bundesnetzagentur erfolgen. Speziell in Deutschland wird noch danach differenziert, ob der herausgebende ZDA eine Akkreditierung vorweisen kann, d.h., ob die Einhaltung der organisatorisch-technischen Anforderungen durch eine unabhängige Organisation überprüft wurde. Eine für die im medizinischen Umfeld interessante Besonderheit ist die Überprüfbarkeit der Zertifikate bei akkreditierten Anbietern. Sie wird durch die Bundesnetzagentur auf min. 30 Jahre garantiert. Die geforderte Vorhalte- zeit bei nicht akkreditierten Anbietern ist mit 7 Jahren (2 Jahre Gültigkeit + 5 Jahre Vorhal- tung) für die Archivierung medizinischer Daten zu kurz. ZDA sind nach dem Signaturgesetz verpflichtet, den Beginn des Betriebes bei der zuständigen Stelle anzuzeigen. Die Lizenzie- rung und Kontrolle der ZDA erfolgt durch die Bundesnetzagentur (BNetzA), die nach [§3 SigG] die zuständige Behörde ist. Die BNetzA stellt eine Übersicht aller Zertifizierungsdiens- teanbieter zur Verfügung, die für das Ausstellen von qualifizierten Zertifikaten oder von quali- fizierten Zeitstempeln eine Akkreditierung nach dem Signaturgesetz erhalten haben.

2.6.2 Signaturerstellungseinheiten

Für die Speicherung von Signaturschlüsseln und die Erzeugung qualifizierter elektronischer Signaturen sind nach [§ 17 SigG] sichere Signaturerstellungseinheiten zu verwenden, die:

Fälschungen der Signatur erkennbar macht; Verfälschungen der signierten Daten erkennbar macht; und unberechtigte Nutzung der Signaturschlüssel zur Signaturerstellung verhindern.

Als sichere Signaturerstellungseinheit (SSEE) gemäß Signaturgesetz dient meist ein Aus- weis in Form einer Chipkarte, auf dem der Signaturschlüssel und das Zertifikat zur Erzeu- gung einer Signatur sicher hinterlegt sind. Der Signaturschlüssel darf nur nach Authentifizie- rung des Inhabers durch den Besitz dieses Ausweises und das alleinige Kennen von PIN oder Passwort oder durch Besitz und ein oder mehrere biometrische Merkmale angewendet werden.

2.6.3 Signaturanwendungskomponenten

Bei der Prüfung einer qualifizierten elektronischen Signatur sind nach [§ 17 SigG] Signaturanwendungskomponenten zu verwenden, die zeigen:

- auf welche Daten sich die Signatur bezieht;
- ob die Daten verändert wurden;
- wer die Daten signiert hat;
- welchen Inhalt das zugehörige qualifizierte Zertifikat hat;
- welches Ergebnis die Nachprüfung des Zertifikats hatte.

Nach SigG [SigG] und SigV [SigV] bestehen folgende Anforderungen an die Signaturanwendungskomponenten (SAK):

- Unterstützung bei alleiniger Kontrolle über Signaturkarte
- Schutz der Authentisierungsdaten des Schlüsselinhabers
- Sichere Anzeige der zu signierenden und signierten Daten
- Unversehrtheit der zu signierenden Daten
- Signaturerstellung nur durch berechtigt signierende Person
- Anzeigen des Signaturvorganges
- Schutz gegen sicherheitstechnische Veränderungen

Eine Signaturanwendungskomponente dient also dazu, Daten der Signaturerzeugung oder - verifikation zuzuführen und Signaturen oder Zertifikate zu überprüfen sowie die Prüfergebnisse anzuzeigen.

Beispiele für Signaturanwendungskomponenten sind der Konnektor, der Trusted Viewer und das Kartenterminal (siehe Abschnitt 2.8).

2.7 Einfach- und Mehrfachsignaturen

Die folgenden Ausführungen bezüglich der vom HBA zu unterstützenden Einfach- und Mehrfachsignaturen sind an [Waldmann 2009] angelehnt.

2.7.1 Einfachsignatur

Die Einfachsignatur ist nichts anderes als die qualifizierte elektronische Signatur, die gemäß [SigG] und [SigV] mit einer bestätigten Signaturkarte erzeugt wird. Dem Benutzer werden zunächst die zu signierenden Daten (DTBS - data to be signed) angezeigt. Nach erfolgrei- cher Präsentation der Signatur-PIN erlaubt die Signaturkarte die Erzeugung genau einer Signatur.

Die Eingabe der PIN erfolgt gewöhnlich lokal, d.h. direkt am HBA-Terminal, da die Bedin- gungen für eine entfernte PIN-Übertragung mit Secure Messaging nicht unbedingt gegeben sind.

Die Einfachsignatur ist weiterhin wie bei einer gewöhnlichen Signaturkarte außerhalb einer gesicherten Einsatzumgebung möglich. Des Weiteren kann die Einfachsignatur in gesicherten Einsatzumgebungen mit der im nächsten Abschnitt beschriebenen Stapel- und Komfortsignatur kombiniert werden.

Die Einfachsignatur ist für den HBA in normaler Büroumgebung vorgesehen und kann innerhalb und außerhalb des elektronischen Gesundheitswesens (LAN des Leistungserbringers) verwendet werden.

2.7.2 Mehrfachsignatur

Im Gegensatz zur Einfachsignatur sind bei der Mehrfachsignatur nach erfolgreicher PINEingabe nicht nur eine, sondern eine endliche Anzahl Signaturen durch den HBA möglich. Dies soll auf eine besonders gesicherte Einsatzumgebung (z.B. in einem Trust Center) beschränkt sein, welche durch die Signaturanwendungskomponente des Konnektors (SAKKonnektor) kontrolliert und mittels des integrierten Sicherheitsmoduls SMC-K (siehe Abschnitte 2.8.1 und 2.8.2) gegenüber dem HBA nachgewiesen wird.

Die PIN kann sowohl lokal als auch entfernt eingegeben werden. Dies bietet dem Anwender die Möglichkeit, seinen HBA in einem gesicherten Bereich (von außen unzugänglichen Raum) zentral aufzubewahren und Signaturen von verschiedenen Arbeitsplätzen aus zu ers- tellen.

Die Mehrfachsignatur unterteilt sich in zwei Varianten, die Stapel- und die Komfortsignatur.

2.7.2.1 Stapelsignatur

Definition Stapelsignatur:

Die Stapelsignatur ermöglicht die Erstellung mehrerer Signaturen in rascher Folge und ohne Unterbrechung unmittelbar hintereinander nach dem Anzeigen der zu signierenden Dokumente (Stapel) und der darauf folgenden einmaligen Eingabe der PIN. Sobald der gesamte Stapel signiert wurde, wird der im HBA gesetzte Status der PIN-Authentifizierung des Heilberuflers automatisch gelöscht (nach [BSI StaSig]).

Nach [gematik Konnektor] sind maximal 250 Signaturen im Rahmen einer Stapelsignatur möglich.

2.7.2.2 Komfortsignatur

Die Komfortsignatur geht hinsichtlich der Benutzerfreundlichkeit über die Stapelsignatur hi- naus: Das Signieren mehrerer Dokumente kann nach einmaliger PIN-Eingabe über einen längeren Zeitraum, z.B. einen Arbeitstag, erfolgen, d.h. es können zeitlich versetzt mehrere Stapel signiert werden. Die PIN-Eingabe erfolgt z.B. zu Beginn des Arbeitstages, also vor dem Anzeigen der Dokumente, welche zu dem Zeitpunkt noch gar nicht bekannt sein müs- sen. Sobald der Benutzer das Signieren eines Dokuments oder Dokumentenstapels auslö- sen möchte, muss er sich mittels RFID-Token oder Biometriemodul (siehe Abschnitt 2.8.2.4) authentifizieren zwecks „Willensbekundung“. Der Sicherheitszustand dieser zusätzlichen Be- nutzerauthentifizierung wird nach dem Signieren automatisch gelöscht. Der Status der PIN- Authentifizierung bleibt hingegen im HBA solange erhalten, bis er manuell vom Benutzer oder automatisch durch die SAK-Konnektor nach anderen Kriterien (z.B. nach einem defi- nierten Zeitraum) gelöscht wird. Es ist deshalb aus Sicht des HBA möglich, einen weiteren Stapel von Dokumenten zu signieren, ohne die PIN erneut eingeben zu müssen (nach [BSI KomSig]).

Da der Signaturschlüssel des HBA über einen langen Zeitraum frei geschaltet ist, sind zusätzliche, durch die SAK-Konnektor kontrollierte, Sicherheitsmaßnahmen (außerhalb des HBA) notwendig, um die Karte gegen Entnahme und Missbrauch zu schützen.

Die nach [BSI KomSig] mögliche Auslösung der Komfortsignatur mit einem biometrischen Merkmal ist in den Spezifikationen von Token und gematik-Kartenterminal derzeit noch nicht vorgesehen.

2.8 Die Signaturkomponenten der Telematikinfrastruktur

Wie bereits erwähnt, ist zur Anwendung der Signatur eine Public-Key-Infrastruktur erforderlich. Bevor man die Pflichtanwendungen, die freiwilligen medizinischen Anwendungen und weitere denkbare Applikationen betrachtet, ist es hilfreich, zuerst die den HBA umgebende Infrastruktur und ihre Komponenten zu betrachten.

2.8.1 Security Module Cards (SMC)

Neben dem HBA sind die so genannten Security Module Cards (kurz: SMCs) Bestandteile der dezentralen Komponenten der Telematikinfrastruktur. Eine SMC ähnelt im Aufbau dem HBA, hat allerdings einen eingeschränkten Funktionsumfang. Sie wird in [BÄK HBA3] spezi- fiziert.

Bei den SMCs wird zwischen zwei Ausführungen unterschieden, der SMC-A und der SMC-B: Die SMC-A dient der fernbedienten Nutzung eines HBAs bzw. für den Einsatz in Organisationsstellen nach einer vorhergehenden Autorisierung durch einen HBA. Sie ist ohne jegliche Signatur- und Verschlüsselungsfunktionen.

Die SMC-B wird ebenfalls für die fernbediente Nutzung eines HBAs bzw. für Einsatz in Or- ganisationsstellen nach einer vorhergehenden Autorisierung durch einen HBA verwendet. Darüber hinaus biete sie Funktionen zur fortgeschrittenen Signatur und Entschlüsselung.

Die SMC-B wird für eine Einrichtung zentral im Konnektor installiert und dient der Repräsenation der Einrichtung gegenüber der Telematikinfrastruktur.

Das Bundesministerium für Gesundheit (BMG) hat im Oktober 2007 ein Schreiben erlassen, mit dem der § 291a SGB V um den Zugriff auf die geschützten Daten der eGK über die SMC-B (Institutionskarte) erweitert wurde, sodass der HBA dafür nicht mehr notwendig ist. Folglich wird dieser nur noch in solchen Anwendungsfällen verwendet, in denen ausdrücklich eine Signaturerstellung durch den Heilberufler gefordert ist (wie z.B. beim Handling elektro- nischer Rezepte) [DKG SMC].

[...]

---

¹ Pretty Good Privacy (PGP) ist ein von Phil Zimmermann 1991 entwickeltes Programm zur Verschlüsselung und Signierung von Daten insbesondere in E-Mail-Anwendungen [Wikipedia PGP].

² Angehörige eines Heilberufs sind nach [Goetz2005] bzw. SGB V § 291a Absatz 4: Ärzte, Zahnärzte, Apotheker, Psychotherapeuten sowie teilweise deren Gehilfen.

³ Unter Derivaten sind in diesem Zusammenhang Methoden wie die Stapel- oder Komfortsignatur und Signatur unter Nutzung biometrischer Komponenten (Fingerabdruck löst Signatur aus) etc. zu sehen. Diese Varianten sind jedoch bisher nicht offiziell durch die gematik zertifiziert.