Mit der Einführung der EGK für alle gesetzlich Krankenversicherten und dem Aufbau einer unterstützenden Telematik-Infrastruktur werden die IT-Systeme in 130000 Praxen, 22000 Apotheken und 2200 Krankenhäusern vernetzt. Damit wird angestrebt, dass die Erbringer medizinischer Leistungen flächendeckend und einrichtungsübergreifend zusammenarbeiten, was letztendlich auch zugunsten der Versicherten die Effektivität und Qualität der Versorgung steigern soll.

Die bisher genutzte Krankenversichertenkarte diente allein der Speicherung einiger weniger Vertragsdaten. Durch erweiterte Möglichkeiten einer strukturierten Datenspeicherung und vor allem durch die von einem integrierten Krypto-Controller verwalteten asymmetrischen Schlüsselpaare soll die neue EGK hingegen komplexe Anwendungen von medizinischen Daten unterstützen. Welche Anwendungen dies sein sollen, ist im Paragraf 291a des Gesetzes zur Modernisierung der gesetzlichen Krankenversicherung (Gesundheitsmodernisierungsgesetz = GMG) beschrieben.

Hierbei wird zwischen vom Versicherten verpflichtend und freiwillig zu nutzenden Anwendungen unterschieden. Die verpflichtenden Anwendungen - vor allem das elektronische Rezept - zielen auf eine Kostenreduktion und die Vereinfachung administrativer Abläufe ab. Demgegenüber sind die freiwilligen Anwendungen wie die Arzneimitteltherapie-Sicherheitsprüfung, die Notfalldaten und die elektronische Patientenakte bislang nicht übergreifend vorhanden.

Damit das alles funktioniert, bedarf es einer die EKG unterstützende Telematik-Infrastruktur:

- Eine Festlegung und Überprüfung individueller Zugriffsrechte ist nur über ein Protokoll wie etwa X.509 möglich und erfordert zentral zugängliche Zertifikatsverzeichnisse sowie Sperrlisten. Die EGK "vertraut" anderen Karten, auf die authentifizierende Merkmale aufgebracht wurden. Sie kann aber nicht die Person authentifizieren, der diese Karte gehört, da hierzu ein Server benötigt würde, was aus Sicht der Karte grundsätzlich nicht vertrauenswürdig wäre. Will man also etwa bei der elektronischen Patientenakte, dass sich die auf die Daten zugreifende Person eindeutig authentifiziert, geht dies nur mit Daten, die auf Servern gespeichert sind.

- Vielen Missbrauchsszenarien, insbesondere im Zusammenhang mit gestohlenen Heilberufsausweisen (HBA), kann nur durch eine Datenspeicherung auf Servern begegnet werden. Nur so sind die Daten dem "direkten Zugriff" durch einen HBA entzogen und lässt sich die Berechtigung der Person prüfen, die den Ausweis vorlegt.

Die Telematik-Infrastruktur muss also besonders sensible medizinische Daten über Server bereitstellen. Zudem werden die vom Versicherten für seine Daten festgelegten Zugriffsrechte eingehalten.

Der Konnektor

In der Lösungsarchitektur wird zwischen dezentralen und zentralen Diensten unterschieden. Der dezentrale Bereich ist dabei alles, was in Arztpraxen, Apotheken und Krankenhäusern sowie weiteren medizinischen Einrichtungen geschieht. Das wichtigste dezentrale Element ist ein Konnektor, der Praxissoftware, Kartenlesegeräte und den Zugang zum zentralen Bereich miteinander verknüpft und gegeneinander absichert. Den Konnektor kann man sich am einfachsten als kleines Kästchen mit vielen Buchsen vorstellen, an das das Intranet einer Arztpraxis mit allen PCs und Kartenlesern sowie eine VPN-Box angeschlossen sind. Der Konnektor bietet Praxissoftware-Systemen eine Schnittstelle an, über die auf Server-seitige Anwendungsdienste zugegriffen werden kann. Die Schnittstelle enthält beispielsweise Funktionen zum Einstellen und Auslesen von elektronischen Rezepten, zur Verwaltung von Patientenakten oder zum Abruf von Informationen über die an einen Versicherten ausgegebenen Medikamente.

Der Access-Gateway

Über die angeschlossene VPN-Box ist der Konnektor mit einem Access-Gateway verbunden, das den Zugang zu den zentralen Diensten - und damit auch den auf dem Server gespeicherten Daten - herstellt. Arztpraxen, Apotheken und Krankenhäuser müssen an den von ihnen genutzten Access-Gateways registriert sein und sich authentifizieren können. Nachrichten von nicht registrierten Absendern werden von Access-Gateways nicht weitergeleitet. Folglich kann man nicht ohne registrierten Zugang zu einem Access Gateway auf die Anwendungsdienste und damit auch die medizinischen Daten zugreifen. Die Anwendungsdienste ihrerseits sind über Service-Gateways an die Kommunikationsinfrastruktur angebunden. Es besteht dabei keine Möglichkeit, auf einen Anwendungsdienst zuzugreifen, der nicht über ein Service-Gateway führt. Access- und Service-Gateways verfügen über kryptografische Identitäten und können sich so über das X.509-Protokoll gegenseitig authentifizieren. Ein Access-Gateway leitet eingehende Nachrichten immer nur an ein ihm bekanntes Service-Gateway weiter. Dieses wiederum nimmt Nachrichten nur von Access-Gateways entgegen. So können nur Nachrichten autorisierter Nutzer bis zu einem Anwendungsdienst gelangen.

Durch die Authentifizierung der zugreifenden Einrichtung "weiß" ein Access-Gateway, ob es sich um eine Arztpraxis, Apotheke oder eine andere medizinische Einrichtung handelt. Entsprechend dieser Zuordnung wird dem Aufrufer beim Login eine virtuelle IP-Nummer aus einem Adressraum zugewiesen, der eine eindeutige Zuordnung zu einer Rolle erlaubt. Auf den Service-Gateways sind Filter konfiguriert, die den Zugang zu Anwendungsdiensten jeweils nur für bestimmte IP-Nummernbereiche erlauben. Auf diesem Weg kann schon auf Protokollebene ausgeschlossen werden, dass etwa ein Apotheker auf einen Dienst zur Verwaltung von Patientenakten zugreifen kann.

Die Verschlüsselung

Alle medizinischen Daten werden verschlüsselt gespeichert. Um ein möglichst hohes Sicherheitsniveau zu erreichen, sind sowohl das Auffinden als auch der Zugriff und die Entschlüsselung der Daten eines Versicherten nur mit Hilfe des Versicherten und eines auf seiner EGK abgelegten privaten Schlüssels möglich. Im Fall von besonders sensiblen Daten kann der Zugriff zusätzlich auch noch durch eine PIN-Eingabe geschützt werden. Alle Schutzmechanismen sind Bestandteil der so genannten Zugangs- und Integrationsschicht (ZIS). Diese schirmt die gespeicherten Daten gegen die Anwendungen ab, und auch Server-seitige Anwendungsdienste können nur über die Schnittstelle der ZIS auf Daten zugreifen. Die ZIS verwaltet alle medizinischen und personenbezogenen Daten eines Versicherten über ein virtuelles Dateisystem. Jeder Versicherte besitzt einen Wurzelordner, in dem weitere Ordner für die einzelnen Anwendungen enthalten sind. In den Anwendungsordnern sind die zu der Anwendung gehörenden Daten zusammengefasst. Die Struktur des virtuellen Dateisystems ist über kryptografische Verfahren geschützt. So ist ein Traversieren (Durchwandern) des Dateibaums nur mit Hilfe der EGK (oder eines über eine EGK dazu autorisierten Heilberufsausweises) möglich. Ein Aufwärtstraversieren (Durchwandern von einem Datensatz ausgehend zur Wurzel) ist technisch ausgeschlossen. Auch ohne Nutzung von Pseudonymen ist damit sichergestellt, dass selbst der Datenbankadministrator nicht in der Lage ist, einen Datensatz einer Person zuzuordnen.

Das Dateisystem ist virtuell, so dass es beliebig verteilt werden kann. Hierbei können auch anwendungsspezifisch optimierte Formen der Datenspeicherung beliebig miteinander kombiniert werden. Die Einbindung existierender Datenbestände ist durch die einfache Zugangsschnittstelle unproblematisch und wird nach außen nicht sichtbar. Hierdurch können auch von verschiedenen Einrichtungen verwaltete Daten in einem virtuellen Ordner zusammengefasst und gemeinsam genutzt werden.

Der Zugang zu den Ordnern wird über das Ticket-Verfahren geschützt. Hierdurch ist es möglich, individuelle Berechtigungen für Ordner zu vergeben, Ordner Server-seitig für einzelne Leistungserbringer zu verbergen und den Zugriff auf einen Ordner an eine PIN-Eingabe zu koppeln. Mit Tickets werden auch die auf dem Server gespeicherten Daten geschützt. Damit ein berechtigter Leistungserbringer auf die Daten eines Versicherten zugreifen kann, benötigt er ein Ticket für sie.

Weil alle Anwendungsdaten durch die Zugangs- und Integrationsschicht komplett vom Rest der Telematik-Infrastruktur abgekapselt sind, besteht keine Möglichkeit, auf Server-Daten zuzugreifen, ohne dass der Zugang von der ZIS freigegeben wurde. Diese Freigabe erfolgt nur, nachdem der ZIS ein gültiges Ticket für die angeforderte Operation präsentiert wurde.

Ein Ticket ist immer nur für einen Ordner oder einen Datensatz gültig. Tickets können sowohl rollen- als auch personenbezogen sein. Ein personenbezogenes Ticket kann nur von der Person eingelöst werden, für die es vom Versicherten ausgestellt wurde. Rollenbezogene Tickets können prinzipiell von jedem eingelöst werden, sofern die mit seiner Rolle verbundenen, über das Ticket ermittelbaren Zugriffsrechte den gewünschten Zugang zu einem Datensatz erlauben.

Um an ein Ticket zu gelangen, gibt es drei Möglichkeiten:

• Das Ticket ist auf der EGK gespeichert und kann von dieser gelesen werden. Die Berechtigung zum Zugriff auf die Daten wird in diesem Fall vom Versicherten durch Übergabe der EGK und der darauf gespeicherten Tickets erteilt. Für sensible Daten können die Tickets zudem mittels PIN geschützt werden.

• Das Ticket wird mittels der EGK erzeugt. In diesem Fall wird von der ZIS ein Ticketbausatz angefordert, aus dem im Konnektor unter Nutzung eines auf der EGK des Versicherten abgelegten privaten Schlüssels ein Ticket erzeugt werden kann. Auch hier wird die Berechtigung zum Datenzugriff durch die Übergabe der EGK erteilt. Da der private Schlüssel des Versicherten bei der Ticketerzeugung nachweisbar genutzt wurde, ist sichergestellt, dass der Datenzugriff über die EGK erfolgte.

• Das Ticket wird über den HBA erzeugt. Auch in diesem Fall wird ein Ticketbausatz angefordert. Zur Ticketerzeugung wird nicht die EGK des Versicherten, sondern ein auf dem Heilberufsausweis des berechtigten Arztes befindlicher privater Schlüssel benötigt. Ticketbausätze, aus denen sich mit Hilfe eines HBAs Tickets erzeugen lassen, können nur vom Versicherten unter Nutzung seiner E-Karte erzeugt werden. Durch die drei verschiedenen Möglichkeiten der Ticketerzeugung ist das Verfahren sehr flexibel einsetzbar.

Tickets kombinieren

Alle drei Möglichkeiten lassen sich auch innerhalb einer Anwendung beliebig kombinieren. Beispielsweise könnte der Ordner "Patientenakte" durch ein PIN-geschütztes Ticket auf der EGK gesichert sein. Zum Zugang zu den in der Akte befindlichen Daten kann das zweite Verfahren (dynamische Erzeugung über die EGK) genutzt werden. Dem Hausarzt kann zusätzlich das Recht gewährt werden, über das dritte Verfahren auf den Ordner und die Daten zuzugreifen, um so mit dem Patienten gemeinsam von anderen Ärzten eingestellte Befunde diskutieren zu können. (ajf)