computerwoche.de

Archiv

IT im Gesundheitswesen/Die elektronische Unterschrift im Kliniktest

Mit digitalem Brief und Siegel

22.11.2002
In Verbindung mit etablierten Prozessen und Infrastrukturen lässt sich die digitale Signatur auch mit geringem Aufwand einführen. Das Resultat - Vermeidung von Medienbrüchen und ein Mehr an Sicherheit - vermag dennoch zu überzeugen. Von Matthias Winkler*

Krankenhäuser dokumentieren praktisch ihre gesamte Tätigkeit - Behandlung, Pflege, Diagnose, Forschung und Verwaltung - in DV-Systemen. Handschriftliche Notizen existieren, wenn überhaupt, nur noch im Übergangsstadium vor der Erfassung im Computersystem. Textverarbeitung, Tabellenkalkulation und betriebswirtschaftliche Software haben Schreibmaschine und Aktenordner abgelöst. Mehr und mehr lassen sich medizinische und administrative Systeme zudem so integrieren, dass durchgängige elektronische Prozesse und Datenflüsse möglich werden. Doch nach wie vor werden Papierbelege ausgetauscht - und dies, obwohl viel Geld in betriebswirtschaftliche Systeme investiert wurde. Einer der Gründe: Es müssen Dokumente unterschrieben werden, und das geht nur auf Papier. Dies ist beispielsweise bei der Anforderung von Medikamenten durch das Pflegepersonal auf den Stationen der Fall. Die Apothekenbetriebsverordnung sieht vor, dass jede Medikamentenbestellung durch einen Arzt abgezeichnet ist. Also erfasst die Krankenschwester ihre Medikamentenanforderung zwar im Computer, druckt sie aber aus, um sie einem Arzt zur Unterschrift zu geben. Dieser schickt das Formular zusammen mit allen anderen Anforderungen, die während des Tages aufgelaufen sind, per Hauspost an die Krankenhausapotheke - obwohl die Bestellung schon längst im Computer erfasst ist.

Die Möglichkeit, Dokumente elektronisch zu unterschreiben, würde Medienbrüche dieser Art verhindern. Die Vorteile liegen auf der Hand: Zum einen ließen sich Prozesse beschleunigen oder zumindest vereinfachen, zum anderen ist die digitale Signatur der handschriftlichen in vier Punkten klar überlegen. Sie ermöglicht die zweifelsfreie Bestimmung der Identität des Signierenden (Authentizität), sie garantiert, dass das signierte Dokument den Empfänger unverändert erreicht hat (Integrität), sie vereinfacht die Überprüfung, ob der Sender zum Kreis der Unterschriftsberechtigten zählt (Gültigkeit), und sie dokumentiert den Unterzeichnungsprozess lückenlos und unbestechlich (Verbindlichkeit).

Lange Inkubationszeit

Von technischer wie von juristischer Seite steht der Einführung digitaler Signaturen wenig im Weg. Dennoch haben sich bislang nur wenige potenzielle Anwender von den Vorteilen überzeugen lassen. Nach anfänglicher Euphorie ziehen sich inzwischen sogar Anbieter zugehöriger Dienstleistungen vom Markt zurück. So hat im Mai dieses Jahres die Deutsche Post ihre Tochter Signtrust mangels Nachfrage aufgelöst. Für die Zurückhaltung des Marktes sind zum einen die hohen Kosten für die Implementierung digitaler Signierverfahren verantwortlich. Dabei fallen weniger die Investitionen in die nötige Hard- und Software ins Gewicht als der Aufwand für die Verwaltung von elektronischen Karten, Schlüsseln und Zertifikaten. Experten kalkulieren, dass dieser Posten drei Viertel der Gesamtkosten ausmacht. Zum anderen ist das Nutzenversprechen digitaler Signaturen gering, solange es nur wenige Anwendungsmöglichkeiten gibt. So kommt elektronische Signaturtechnik bislang hauptsächlich in bilateralen Geschäftsbeziehungen zum Einsatz. Im Gesundheitswesen mit seinem hohen Grad an Vernetzung müssen aber möglichst alle Partner eingebunden werden, wenn die Technik ihren Nutzen entfalten soll.

In mehreren Bundesländern finden derzeit Modellversuche zur "Health Professional Card" statt, die einmal allen Beschäftigten im Gesundheitswesen als Ausweis dienen soll. Neben der Ausweisfunktion wird die Karte die Möglichkeit zur digitalen Signierung von Dokumenten bieten. Ziel dieser Projekte ist es, Spezifikationen zu erarbeiten und erste Erfahrungen mit der Implementierung und dem Einsatz der Karte zu sammeln. Bis zum großflächigen produktiven Einsatz wird es allerdings noch einige Jahre dauern. Während die Projektgruppen rund um Bundesärztekammer und kassenärztliche Bundesvereinigung die nötige Grundlagenforschung betreiben, wird andernorts das Thema von der praktischen Seite angegangen. So zum Beispiel in Göttingen, der Wirkungsstätte von Professor Otto Rienhoff, Inhaber eines Lehrstuhls für medizinische Informatik und IT-Direktor des Universitätsklinikums.

Auf Initiative von Rienhoff brachte das Krankenhaus gemeinsam mit dem Softwarelieferanten SAP und dem Anbieter von Sicherheitslösungen Utimaco im Spätsommer 2002 einen Ausweis mit digitaler Signiermöglichkeit auf den Weg. In einem dreimonatigen Projekt schufen die Projektpartner - auf Basis der vorhandenen Mitarbeiterausweise - eine Infrastruktur, die es Ärzten ermöglicht, Medikamentenanforderungen digital abzuzeichnen.

Gegenbeispiel aus dem wirklichen Leben

Der Gewinn neuer Erkenntnisse spielte auch in diesem Projekt eine Rolle - nicht nur für das Klinikum, sondern auch für SAP. Die Softwareentwickler hatten eigens für das Göttinger Krankenhaus ihre Patienten-Management-Software um Funktionen für die digitale Unterschrift erweitert. Inzwischen sind diese Funktionen Teil des Standardlieferumfangs. Für die Anbindung der Sicherheitsprodukte von Utimaco an das SAP-System konnten die Entwickler auf die Standard-Schnittstelle SSF (Secure Store and Forward) zurückgreifen, die allen Anbietern offen steht, die bereit sind, sich zertifizieren zu lassen. Die Motivation des Klinikums Göttingen beschreibt Günther Juretzka, Mitarbeiter im Team von Professor Rienhoff und als Leiter Administrative Systeme verantwortlich für die Implementierung des digitalen Signierverfahrens: "Als IT-Abteilung eines Universitätsklinikums verstehen wir uns nicht nur als Dienstleister für das Krankenhaus, sondern auch als wissenschaftliche Einrichtung, zu deren Aufgaben es gehört, neuen Techniken den Weg zu bereiten. Es ging uns darum, an einem konkreten Beispiel nachzuweisen, dass es für die digitale Signatur schon heute praktische Verwendungsmöglichkeiten gibt."

Nutzt eingeführte Techniken

Der Nachweis ist gelungen. In der Testumgebung läuft das System mittlerweile fehlerfrei. Über die nächsten Monate wird es sukzessive in den einzelnen Stationen des Krankenhauses eingeführt. Der Akzeptanz durch die zukünftigen Anwender haben sich die ITler in Göttingen bereits versichert. Das überrascht nicht, denn die Signaturlösung setzt nahtlos auf bereits eingeführte Techniken auf.

Zur Authentifizierung dient die elektronische Multifunktionskarte, die das Krankenhaus seit dem Jahr 2000 an sämtliche Mitarbeiter und Besucher ausgibt. Sie dient als Sichtausweis sowie - dank eingebautem Mifare-Chip - zur Zutrittskontrolle, Arbeitszeiterfassung, Aufzugsteuerung und als aufladbare Wertkarte zum Bezahlen in den Restaurationsbetrieben. Für die digitale Unterschrift muss die Karte lediglich gegen ein Modell mit einem Kryptochip ausgetauscht werden, der den privaten Schlüssel des Besitzers, die zugehörige persönliche Identitätsnummer (PIN) sowie das Zertifikat enthält, das die Karte als gültig und den Besitzer als zeichnungsberechtigt ausweist. Der Vorteil: Das Krankenhaus nutzt die bestehende Infrastruktur und stellt die Karten selbst her; nur die Rohlinge müssen zugekauft werden. Die nötigen Gerätschaften zum Druck des Passbilds und der Personalisierung des Mifare-Chips sind seit Einführung der Karte im Haus vorhanden. Nur für das Aufspielen und Auslesen des Schlüssels, der PIN und des Zertifikats ist neue Hard- und Software erforderlich. Entscheidend jedoch ist, dass die elektronische Karte an sich nicht neu ist. Sie ist durch ihre vielfältigen Funktionen für die Krankenhausangestellten ein alltägliches Instrument - ein Faktor, der sicher zum sorgsamen Umgang beiträgt.

Auch die Software, aus der heraus der Vorgang gestartet wird, ist für die Benutzer nicht neu. Die Abläufe sind es daher mit wenigen Ausnahmen auch nicht: Schwestern und Pfleger fordern wie gewohnt über rollenspezifische Bildschirmmasken die benötigten Medikamente im SAP-System an. Der zuständige Arzt ruft einmal täglich die Liste der zu genehmigenden Anforderungen auf. Ein Klick auf die Schaltfläche "Genehmigen" bewirkt, dass ein Genehmigungsformular generiert, auf den lokalen PC heruntergeladen und auf dem Bildschirm angezeigt wird. Die Anzeige im Dokumentformat ist nötig aus Gründen der "Fairness gegenüber dem Benutzer". Das System muss dem Arzt das Gefühl vermitteln, er unterzeichne ein physisch vorhandenes Dokument. Erst jetzt wird der Arzt aufgefordert, bei eingelegter Mitarbeiterkarte mit seiner PIN zu "unterschreiben". Die Eingabe der PIN schaltet die Karte frei, das Dokument wird mittels des privaten Schlüssels des Arztes signiert (siehe Kasten "Funktionsweise der digitalen Signatur") und vom lokalen PC zurück in das SAP-System geladen. Bis auf den fehlenden Abgleich mit dem unterschriebenen Papierbeleg unterscheidet sich der Vorgang nicht prinzipiell von der bisherigen Arbeitsweise.

In Göttingen wird es nicht bei dieser einen Anwendung zur digitalen Signatur bleiben. Organisationsübergreifende Szenarien sind für Projektleiter Juretzka allerdings derzeit noch Zukunftsmusik. Als nächstes kann er sich eher eine Ausweitung der krankenhausinternen Nutzung vorstellen, beispielsweise zur elektronischen Archivierung von Patientenakten. Wichtig, so Juretzkas Fazit aus der Projekterfahrung, ist in jedem Fall, "dass man Projekte zur digitalen Signatur nicht in einer bezugslosen Laborsituation betreibt, sondern im Rahmen konkreter Geschäftszusammenhänge und eingebettet in die bestehende Lösungslandschaft".(bi)

*Matthias Winkler ist freier Journalist in Kriftel.

So funktioniert die digitale Signatur

Die aktuelle Fassung des Signaturgesetzes (SigG) wurde am 21. Mai 2001 veröffentlicht und ist seit dem 22. Mai 2001 in Kraft. Das Gesetz unterscheidet zwischen einfachen, fortgeschrittenen und qualifizierten digitalen Unterschriften. Für eine einfache Signatur genügt beispielsweise die Eingabe von Benutzername und Passwort. Fortgeschrittene und qualifizierte Signaturen basieren auf dem Verfahren der asymmetrischen Verschlüsselung mittels privatem und öffentlichem Schlüssel. Die qualifizierte Signatur unterscheidet sich von der fortgeschrittenen dadurch, dass sie auf einem zum Zeitpunkt ihrer Erzeugung gültigen Zertifikat beruhen und mit einer Signaturerstellungseinheit erzeugt werden muss. Bei der Signaturerstellungseinheit handelt es sich üblicherweise um eine Chipkarte, die mittels PIN oder biometrischer Verfahren geschützt ist.

Beim Herstellen einer digitalen Signatur wird zunächst das zu signierende Dokument im Hash-Verfahren komprimiert. Ergebnis ist eine kryptografische Prüfsumme. Aus ihr wird unter Anwendung des privaten Schlüssels ein Signaturwert erzeugt. Dieser wird dem Empfänger zusammen mit dem Originaldokument zugestellt. Der Empfänger wendet auf den Signaturwert den öffentlichen Schlüssel an. Ergebnis ist die unverschlüsselte Prüfsumme des Originaldokuments. Eine zweite Prüfsumme wird aus dem beigefügten Originaldokument gebildet. Stimmen die beiden Prüfsummen überein, ist der Nachweis erbracht, dass das Dokument während des Transfers nicht manipuliert wurde. Für die Ausgabe der Schlüssel an die Benutzer ist die Zertifizierungsstelle zuständig. Sie überprüft vor Ausgabe der Schlüssel anhand geeigneter Kriterien die Identität der Schlüsselinhaber und hinterlegt diese Information in einem zum Schlüssel gehörenden Zertifikat. Durch Online-Anfrage oder Nachschlagen in einer Liste kann der Empfänger signierter Dokumente prüfen, ob das Zertifikat des verwendeten Schlüssel noch gültig oder ob es abgelaufen ist, etwa weil die Karte des Schlüsselbesitzers gesperrt wurde. Diese Prüfung wird in der Regel automatisch vom System vorgenommen, so dass der Empfänger nur im Fall eines ungültigen Zertifikats informiert wird.