Die Digitalisierung des Gesundheitssektors entwickelt sich dynamisch: Digitale Produkte erobern den Markt; Künstliche Intelligenz hält Einzug, Innovationen in Bereichen wie Pflege, Medizin, Gentherapie oder Nanotechnologie sind weitere Treiber. Gleichzeitig ist die Markteinführung neuer Healthcare-Produkte an strenge IT-Sicherheitsbestimmungen gebunden – zu Recht, da sie äußerst sensible Daten zu Gesundheit und Leben von Menschen berühren oder die Therapie beeinflussen. IT-Sicherheit wird umso wichtiger. Doch welche Vorgaben zu beachten, welche Nachweise zu erbringen sind, ist für Anbieter und Betreiber oft nicht leicht zu überblicken.
Kritische Infrastrukturen: Die KRITIS-Verordnung
Besondere Anforderungen an die IT-Sicherheit gelten bereits für bestehende Einrichtungen des Gesundheitswesens, sofern sie vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als Kritische Infrastrukturen klassifiziert sind. Im Gesundheitssektor betrifft das nicht nur die stationäre medizinische Versorgung, sondern auch die Versorgung mit unmittelbar lebenserhaltenden Medizinprodukten, verschreibungspflichtigen Arzneimitteln, Blut- und Plasmakonzentraten sowie die Laboratoriumsdiagnostik ab einer bestimmten Größe. Die jeweiligen Schwellenwerte sind in der BSI-Kritisverordnung definiert. Als Richtgröße gilt hier der Regelschwellenwert von 500.000 von der Einrichtung versorgten Personen.
Laut BSI-Gesetz (§ 8a) müssen die jeweiligen Betreiber nach Stand der Technik angemessene organisatorische und technische Vorkehrungen treffen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer maßgeblichen informationstechnischen Systeme, Komponenten oder Prozesse zu vermeiden. Gegenüber dem Bundesamt ist die IT-Sicherheit alle zwei Jahre durch Sicherheitsaudits, Prüfungen oder Zertifizierungen nachzuweisen. Zusätzlich kann das BSI auch selbst Sicherheitsüberprüfungen durchführen oder durchführen lassen. Bei Nichteinhaltung der gesetzlichen Vorgaben drohen empfindliche Geldstrafen.
Ausweitung der Verordnung auf alle Krankenhäuser: KRITIS „light“
Seit Januar 2022 gelten diese IT-Sicherheitsvorgaben nicht nur für stationäre medizinische Einrichtungen im Sinne der KRITIS-Verordnung, sondern für alle Krankenhäuser. Auch wenn die Nachweispflicht gegenüber dem BSI hier entfällt, müssen Betreiber im Ernstfall mit Schadensersatzforderungen und Haftungsrisiken rechnen. Daher sollten die im Sozialgesetzbuch V (§ 75) hinterlegten Anforderungen in jedem Fall umgesetzt und wie gefordert alle zwei Jahre an den aktuellen Stand der Technik angepasst werden. Orientierung bieten dabei die branchenspezifischen Sicherheitsstandards für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus.
Wann immer also in Krankenhäusern und Einrichtungen der Kritischen Infrastruktur neue Systeme oder Komponenten innerhalb der Kernfunktionen eingesetzt werden, sind diese auch unter KRITIS-Sicherheitsaspekten zu bewerten und in die Prüfprozesse einzubeziehen.
Datensicherheit: Ein Ziel – unterschiedliche Verfahren
Der Schutz der für das Gemeinwesen wichtigen Kritischen Infrastrukturen ist aber nur ein Aspekt der IT-Sicherheit im Gesundheitswesen. Da die Sicherheit der sensiblen Daten auch im Alltagsbetrieb jederzeit gegeben sein muss, sind in allen betroffenen Bereichen Cybersecurity-Anforderungen, Zulassungsvoraussetzungen und Prüfprozesse zu definieren und laufend auf dem aktuellen Stand der Technik zu halten. Die gesetzlichen Rahmenbedingungen dafür sind im Sozialgesetzbuch zusammengefasst. Als nationale Behörde für Cybersicherheitszertifizierung ist das BSI die zentrale Instanz. Allerdings – und das macht es für Antragsteller schwierig zu überblicken – gibt es nicht den einen Prüf- oder Zertifizierungsprozess für die IT-Sicherheit von Gesundheitsprodukten.
Die IT-Sicherheitsprüfungen erfolgen immer in Absprache mit dem BSI oder durch das Bundesamt selbst, sind aber in die jeweiligen Zulassungsprozesse der verschiedenen Services eingegliedert. Zuständig sind jeweils unterschiedliche Institutionen: Etwa die Gesellschaft für Telematik für Anwendungen in der Telematikinfrastruktur oder das Bundesinstitut für Arzneimittel und Medizinprodukte für digitale Gesundheitsanwendungen, netzwerkfähige Medizinprodukte und Pflegegeräte – dazu im Folgenden einige Erläuterungen.
Telematikinfrastruktur: Mehrstufige Prüfprozesse
Zu den Herausforderungen im Healthcare-Sektor gehört die komplexe Struktur aus Betreibern, Leistungserbringern, Kostenträgern und Versicherten. Die Digitalisierung bietet die Chance, die einzelnen Akteure neu zu vernetzten, die Kommunikation und Abläufe dadurch erheblich zu beschleunigen und verbessern. Basis dieser neuen digitalen Vernetzung ist in Deutschland die Telematikinfrastruktur (§ 306 SGB). Dienste wie die elektronische Patientenakte oder der E‑Medikationsplan setzen auf dieser interoperablen Kommunikations- und Sicherheitsarchitektur auf. Für Aufbau und Weiterentwicklung der Telematikinfrastruktur (TI) ist die Gesellschaft für Telematik, gematik, verantwortlich, zu deren Aufgaben auch die Definition und Durchsetzung verbindlicher Standards für Dienste, Komponenten und Anwendungen gehört.
Bei der IT-Sicherheitsbewertung arbeitet die gematik GmbH eng mit dem BSI zusammen. Dazu werden alle TI-Komponenten und Dienste in einem mehrstufigen Prüfungsverfahren gemeinsam mit den Anbietern umfangreichen Tests unterzogen, bevor Sicherheitsevaluationen oder genaue Sicherheitsgutachten erstellt werden. Die einzelnen Anforderungen sind in sogenannten Produktsteckbriefen für die Zulassung der Anbieter in Anbietersteckbriefen hinterlegt.
Auch nach der Zulassung wird der sichere und störungsfreie Betrieb überwacht. Eine unberechtigte Nutzung der Telematikinfrastruktur wie auch die Nichtmeldung von Störungen oder Sicherheitsmängeln kann mit hohen Geldstrafen bis zu 300.000 EUR geahndet werden.
Videosprechstunde – Anbieter von Videodiensten
Während neue TI-Dienste wie die die elektronische Patientenakte (ePA) sicher noch etwas Zeit benötigen, um auch beim Versicherten anzukommen, sind mit Beginn der Pandemie die Nutzerzahlen für andere digitalen Dienstleistung förmlich explodiert: 1,4 Millionen Videosprechstunden wurden allein im ersten Halbjahr 2020 durchgeführt. Im Jahr 2019 waren es dagegen erst knapp 3.000.
Voraussetzung für eine Teilnahme als Videodienstanbieter ist die Erfüllung aller Anforderungen an die technischen Verfahren. Die Anforderungen an Anbieter, Teilnehmer und Vertragsärzte wurden in einer entsprechenden Vereinbarung der Kassenärztlichen Bundesvereinigung und des Spitzenverbandes Bund der Krankenkassen festgelegt.
Unter anderem muss die Kommunikation zwischen Patient und Arzt bzw. Pflegekraft durch eine Ende-zu-Ende-Verschlüsselung gesichert sein und der Videodienst darf keine schwerwiegenden Sicherheitsrisiken aufweisen. Die nötigen Nachweise und Zertifikate zur IT-Sicherheit sind in der Vereinbarung im Einzelnen aufgeführt, Vorlagen für die Bescheinigungen und der Fragebogen mit Prüfkriterien in der Anlage hinterlegt.
Digitale Gesundheitsanwendungen: Die App auf Rezept
Deutschland bietet seit 2020 als erstes Land überhaupt digitale Apps auf Rezept. Diese digitalen Gesundheitsanwendungen (DiGA) sind definiert als Medizinprodukte niedriger Risikoklassen zur Erkennung, Überwachung, Behandlung oder Linderung von Krankheiten oder zur Erkennung, Behandlung, Linderung oder Kompensierung von Behinderungen und Verletzungen. Die Hauptfunktion muss dabei auf digitalen Funktionen basieren (§ 33a SGB). Voraussetzung für eine Kostenübernahme durch die Krankenkassen ist die Aufnahme im Verzeichnis des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM).
Für diese Beantragungen wurde ein dreimonatiges Fast-Track-Verfahren aufgesetzt, die entsprechenden Formulare sind zusammen mit einem Leitfaden über die Website des BfArM abrufbar. Grundsätzliche Vorgaben zur Datensicherheit sind in der Digitalen Gesundheitsanwendungen-Verordnung (§ 4) beschrieben. Dazu gehört u.a. ein Informationssicherheitsmanagement-System auf Basis des BSI-Standard 200–2: IT-Grundschutz-Methodik. Hilfestellung bietet zudem die Technische Richtlinie des BSI zu Sicherheitsanforderungen an digitale Gesundheitsanwendungen.
Regulierungsbedarf bei vernetzten Medizinprodukten
Regulierungsbedarf besteht derzeit noch bei netzwerkfähigen Medizinprodukten. Anders als bei den rein digitalen Gesundheitsanwendungen sind Digitalfunktionen hier meist als Ergänzungen zur bestehenden medizinischen Grundfunktion integriert. Daraus ergibt sich ein äußerst breites und heterogenes Anwendungsspektrum. Zum Teil sind die IT-Sicherheitsanforderungen auch schwieriger zu adressieren, denn diese Netzwerkfunktionen werden häufig über Drittanbieter zugekauft und sind noch nicht bei allen Unternehmen auch in die Qualitätssicherungsprozesse eingebunden. Gleichwohl sind sie als Anbieter haftbar.
Grundlegende Anforderungen an Cyber-Sicherheitseigenschaften von Medizinprodukten wurden erstmals in der EU-Verordnung 2017/745 über Medizinprodukte definiert, die in Deutschland durch das Medizinprodukterecht-Durchführungsgesetz (MPDG) umgesetzt wird. Bei der Umsetzung dieser – recht allgemein gehaltenen – Vorgaben zur IT-Sicherheit helfen Richtlinien und Verfahrensanleitungen wie:
- Guideline der Medical Device Coordination Group
– Leitfaden zur Nutzung des MDS2 (Manufacturer Disclosure Statement)
– Herstellerempfehlung zu Cyber-Sicherheitsanforderungen an netzwerkfähige Medizinprodukte.
Das BSI hat die Cybersicherheit vernetzter Medizinprodukte untersucht und in seinem Abschlussbericht dazu auch die anstehenden Aufgaben formuliert. Die Weiterentwicklung der Regulatorik zur IT-Sicherheit bleibt eine wichtige Aufgabe. Es geht neben der IT-Sicherheit bestehender Produkte vor allem auch darum, Innovationen zum Durchbruch zu verhelfen und ihre schnelle und sichere Markteinführung zu fördern.
Autor: Randolf Skerka, SRC GmbH
Sicherheit von Medizinprodukten gemäß BfArM: IT-Sicherheit ist die zweite Säule neben der Produktsicherheit
Mit der neuen EU-MDR rücken die aus der immer stärker vernetzter Technologie resultierenden Risiken stärker in den regulatorischen Fokus: Die IT-Sicherheit in zulassungspflichtigen Produkten oder Anwendungen nimmt an Bedeutung zu – bei Entwicklung, Herstellung und im Betrieb dieser Produkte sind die sich ergebenden Risiken zu berücksichtigen. Auf die Hersteller von Medizinprodukten kommen neue Herausforderungen zu. Sie müssen sich darauf einstellen, dass die IT-Sicherheit der hergestellten Produkte auch im Zulassungsprozess stärker berücksichtigt wird. Randolf Skerka hat dieses Thema in einem bei medizin & technik veröffentlichten Artikel dargestellt.
Beim Zulassungsprozess für Medizinprodukte stand bisher die Produktsicherheit im Mittelpunkt. Das ändert sich nun. Die europäische Verordnung über Medizinprodukte, (EU) 2017/745 (MDR), ersetzt die Richtlinien über Medizinprodukte (93/42/EWG, MDD) und aktive implantierbare Medizinprodukte (90/385/EWG, AIMDD). Ihre Novellierung wurde durch die zunehmende Digitalisierung notwendig – Medizintechnik und ‑produkte funktionieren nicht mehr autonom, sondern innerhalb vernetzter Systeme, was sie prinzipiell angreifbar macht. Damit sind das Risiko von Personenschäden und die IT-Sicherheit in den Fokus gerückt. Denn Medizinprodukte nehmen direkten Einfluss auf den Körper des Patienten – seien es etwa Infusionspumpen oder bildgebende Verfahren wie Röntgen oder Computertomographien. Hersteller sind nun in der Pflicht, potenzielle Risiken auszuschalten beziehungsweise zu minimieren. Hinzu kommt, dass sich das Sicherheitsniveau eines auf den Markt gebrachten, vernetzten Medizinprodukts im Laufe der Zeit verändert – etwa, wenn neue Sicherheitslücken entstehen. Auch dies bringt neue Anforderungen an den Zulassungsprozess mit sich.
Neue Anforderungen an Diga als Medizinprodukt
Für die Hersteller ist der notwendige Perspektivwechsel hin zu Cybersicherheit eine Herausforderungen: Denn bisher lag ihr Fokus darauf gewünschte Funktionen sicherzustellen. Dabei ging man oft vom Best Case aus. Die IT-Sicherheit nimmt aber die gegenteilige Perspektive ein: Die Verhinderung unerwünschter Funktionen und damit die Fragestellung, wie Technologie manipuliert werden kann. Hinzu kommt, dass zu Medizinprodukten nun auch digitale Gesundheitsanwendungen (Diga), beispielsweise Apps auf Rezept, gehören. Auch diese wirken sich indirekt auf die Gesundheit der Nutzer aus – sei es bei Erinnerungsfunktionen zur Einnahme von Medikamenten oder beim Vorhalten von Blutdruckangaben. Der Nutzer verlässt sich auf die Korrektheit der Informationen – und der Hersteller muss diese gewährleisten können.
Software ist damit nicht mehr nur Bestandteil eines Medizinprodukts, sondern wird selbst zu einem. Die MDR deckt diese neue Realität nun ab; ihre Anforderungen sind, wie üblich, aber nicht konkret. Unter anderem ist es die Aufgabe der für die Prüfung der Produkte zuständigen Benannten Stellen – in der Regel privatwirtschaftliche Unternehmen wie TÜV oder Dekra – diese zu konkretisieren.
Bei Problemen ist das BfArm zuständig
Anders als bei der Zulassung von Arzneimitteln ist das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) nicht in das Inverkehrbringen von Medizinprodukten involviert. Die Voraussetzung dafür stellt das CE-Kennzeichen dar, dessen Erteilung an gewisse Kriterien gebunden ist. Hier übernehmen wieder die benannten Stellen. Anders liegen die Zuständigkeiten für Produkte, die bereits am Markt sind: Für die zentrale Erfassung, Auswertung und Bewertung der bei Anwendung oder Verwendung auftretenden Risiken und für die Koordinierung der zu ergreifenden Maßnahmen bei Problemen von Medizinprodukten ist das BfArM zuständig. In der Euromed-Datenbank werden diese zentral gesammelt und an die Betreiber weitergeben. Ergeben sich Erkenntnisse über Auswirkungen auf die Patientensicherheit bei Medizinprodukten, müssen diese eskaliert und behoben werden. In der Regel werden die Produktverantwortlichen bzw. Betreiber von den Herstellern informiert.
Ein IT-Sicherheitskonzept wird notwendig
Für die Zulassung müssen Hersteller nachweisen, dass sie in der Lage sind, sichere Produkte zu entwickeln – das beginnt mit Security by Design, das späteren Schwachstellen im Betrieb vorbeugt und Secure Coding. Außerdem muss das Produkt in der späteren Anwendung für den Zulassungszeitraum sicher sein – das umfasst vor allem das Schwachstellenmanagement. Neue Hersteller, die medizinische Produkte auf den Markt bringen wollen, müssen an die Hand genommen werden, um den Zulassungsprozess und seine Rahmenbedingungen zu verstehen; etablierte benötigen fachliche beziehungsweise inhaltlich Unterstützung für den Bereich der IT-Sicherheit und den Aufbau neuer Prozesse.
Ein Partner wie die SRC GmbH kann im Sicherheitsprozess, bei der Erstellung und dem Ausbau des IT-Sicherheitskonzepts unterstützen: Dieses muss gemäß dem Questionnaire IT Security for Medical Devices der IG-NB erstellt werden. Zunächst erfolgt dabei die Schutzbedarfsfeststellung. Dem schließen sich eine Bedrohungsanalyse und eine Risikoanalyse mit geeigneten Maßnahmen zur Vermeidung von Gefährdungen für Patienten, Anwender und Dritte an. Schwachstellen und ihr Schadpotenzial werden bewertet. Außerdem muss das Sicherheitskonzept dauerhaft in einer kontinuierlichen Auseinandersetzung oder ereignisbasiert aktualisiert werden, um den gesamten Lebenszyklus eines Produkts abzudecken. In den isolierten Systemen früherer Zeit war die IT nach der Markteinführung dagegen keinen Änderungen mehr unterworfen.
Der formale Zulassungsprozess ist das Kerngeschäft des Bonner Unternehmens. Man kennt hier zum einen die Probleme der Hersteller, versteht aber auch die Denkweise der prüfenden, beziehungsweise der benannten Stelle, und kann als Vermittler auftreten. Die Priorität der Hersteller liegt meist auf einer Verkürzung der Zulassungszeit auf ein Minimum und damit auf einer schnellen Time to Market. Das gelingt mit einem Partner schneller. SRC weiß, was die einzureichenden Dokumente beinhalten müssen, kann ihre Eignung prüfen, darüber die notwendige Qualität und den Reifegrad sicherstellen und Rückfragen vermeiden.
IT-Sicherheit fürs Medizinprodukt
Das Gesundheitswesen ist ein komplexes System zur Krankenversorgung und Gesunderhaltung. Es ist geprägt von einem überdurchschnittlich hohen Bedarf an Information, Dokumentation und Kommunikation. Gleichzeitig besteht ein außerordentlich ausgeprägter Anspruch an die Integrität und Vertraulichkeit der Daten, so wie die Verfügbarkeit medizinischer Versorgungsprozesse.
Mit der Neufassung der MDR rückt bei der Zulassung von Medizinprodukten die IT-Sicherheit in den Fokus. Hersteller müssen diese während der Entwicklung und später dauerhaft beim Einsatz im Feld sicherstellen können und damit die Patientensicherheit gewährleisten. Notwendig wird dafür ein IT-Sicherheitskonzept mit Bestandteilen wie Risiko- und Schwachstellenmanagement – eine Daueraufgabe, da neue Risiken kontinuierlich bewertet werden müssen. Für Hersteller ist das mit dem Aufbau neuer Kompetenzen verbunden – hier kann ein externer Partner unterstützen.
Die SRC Security Research & Consulting GmbH aus Bonn bündelt aktuelles Know-how der Informationstechnologie und ihrer Sicherheit. Entstanden aus der Kreditwirtschaft stellt die IT-Sicherheitsexperte SRC ein zentrales Bindeglied zwischen Forschung und Produkten beziehungsweise Dienstleistungen dar.
Dieser Artikel ist bei Medizin und Technik am 21. Februar erschienen.
Digitale Identitäten im Gesundheitswesen – Ein Überblick
Digitale Identitäten im Gesundheitswesen – Ein Überblick
Digitale Identitäten können verschiedenste Ausprägungen haben. Alle haben ihre Berechtigung und alle haben ihre Vor- und Nachteile. Die einen sind besonders komfortabel in der Nutzung, andere sind besonders sicher, wieder andere besonders innovativ. Welche Ausprägung ist für das deutsche Gesundheitswesen die beste Wahl? Gibt es überhaupt die eine Lösung? Aktuell existieren verschiedene Ausprägungen und zukünftig kommt noch eine weitere hinzu.
Digitale Identitäten sind Voraussetzung für die Nutzung digitaler personalisierter Dienste. So auch im Gesundheitswesen. Wer zum Beispiel eine elektronische Patientenakte (ePA) nutzt, möchte in dieser vermutlich seine eigenen Gesundheitsdaten wiederfinden und nicht die Daten einer anderen Person. Noch weniger ist es gewünscht, dass die eigene Patientenakte unberechtigt von anderen Personen eingesehen werden kann. Damit das ePA-Aktensystem den Zugriff auf die Akten korrekt steuern kann, müssen diese einer Identität zugeordnet sein, einer digitalen Identität des Versicherten.
Für die Gestaltung der digitalen Identitäten im Gesundheitswesen ist die gematik GmbH zuständig. Diese wurde bereits im Jahr 2005 auf gesetzlicher Basis (vgl. SGB V) gegründet und erhielt in diesem Zuge die Aufgabe der Etablierung der Telematikinfrastruktur (TI) für die sichere digitale Vernetzung der Akteure des Gesundheitswesens.
Zurzeit existieren verschiedene Ausprägungen digitaler Identitäten in der TI. Am weitesten verbreitet ist die digitale Identität in Form eines kryptografischen Schlüssels in Verbindung mit einem Zertifikat aus der Public Key Infrastruktur (PKI) der TI, welcher auf einer personenbezogenen Smartcard gespeichert ist. Im Fachportal der gematik findet man unter dem Titel „Smartcards in der TI“ eine gute Übersicht, über die in der TI verwendeten Smartcards.
Smartcards in der TI
Die wohl bekannteste Smartcard in diesem Kontext ist die elektronische Gesundheitskarte (eGK), die in Deutschland alle gesetzlich Versicherten von ihrer Krankenkasse bekommen. Die eGK dient dem Versicherten zum einen als Krankenversicherungsnachweis, zum anderen kann sie vom Versicherten zur Authentisierung gegenüber der Fachdienste der TI wie der ePA oder dem elektronischen Rezept (E‑Rezept) verwendet werden.
Neben der eGK existieren in der TI noch weitere Smartcards wie der Heilberufsausweis (HBA), der die digitale Identität eines Leistungserbringers (z. B. Arzt) speichert, die SMC‑B, die als Institutionskarte die digitale Identität einer Leistungserbringerinstitution (z.B. Arztpraxis) speichert sowie gerätespezifische Smartcards für den Konnektor (gSMC‑K) oder eHealth-Terminals (gSMC-KT).
Mit der ePA kam der erste Fachdienst in die TI, auf den der Versicherte von seinem eigenen Endgerät aus über das Internet zugreifen konnte. Die in der Akte gespeicherten Patientendaten gehören zu den besonders schützenswerten personenbezogenen Daten nach Artikel 9 der DSGVO. Die Sensitivität dieser Daten erfordert einen entsprechend hohen Zugriffsschutz. Hierzu gehört auch das Vertrauensniveau der Authentifizierung des Nutzers. Um das notwendige Vertrauensniveau bei der Authentifizierung des Versicherten zu erreichen, wurde die Authentifizierung mittels der eGK spezifiziert. Hierbei nutzt der Versicherte sein persönliches Endgerät und sein ePA Frontend des Versicherten (ePA FdV). Während der Authentifizierung sendet das Aktensystem in einem Challenge-Response-Protokoll eine Zufallszahl. Der Versicherte hält seine NFC-fähige eGK an sein NFC-fähiges Endgerät und signiert mit dem Schlüsselmaterial auf der eGK die Zufallszahl. Die Signatur kann vom Aktensystem verifiziert werden und stellt den Nachweis der erfolgreichen Authentifizierung dar. Dieser Prozess setzt neben einem kompatiblen Endgerät eine NFC-fähige eGK und die Kenntnis der PIN voraus. Die Verwendung eines zusätzlichen Hardware-Tokens wie einer Smartcard stellt außerdem bis heute eine Hürde bei der Nutzung dar. Um diesem Umstand vorbeugend zu begegnen, hat die gematik bereits zur Einführung der ePA auch die sogenannte Alternative Versichertenidentität eingeführt.
Die Alternative Versichertenidentität
Die Alternative Versichertenidentität (al.vi) verlagert die Signatur der Zufallszahl im Challenge-Response-Verfahren zwischen Aktensystem und Frontend von der eGK zu einem Signaturdienst. Beim Signaturdienst ist für jeden Nutzer ein eigener Signaturschlüssel gespeichert, dessen Signaturen wiederum über ein Zertifikat aus dem Vertrauensraum der TI verifizierbar sind. Um den Signaturschlüssel zu verwenden, muss der Nutzer sich beim Signaturdienst authentisieren. Hierbei können beliebige Authentifizierungsverfahren verwendet werden, die das Vertrauensniveau von mindestens substanziell gemäß eIDAS-VO erfüllen. Somit können auch Verfahren ohne zusätzliche Hardware verwendet werden. Der Signaturdienst hat gegenüber der eGK den sicherheitstechnischen Nachteil, dass der Versicherte den Signaturschlüssel nicht mehr unmittelbar unter seiner Kontrolle hat.
Der Identity Provider-Dienst
Mit der Einführung des E‑Rezepts setzte die gematik erstmals auf das Modell eines Identity Provider-Dienstes (IDP-Dienst), der heute auch zentraler IDP oder Smartcard-IDP genannt wird. Die Idee dahinter ist, die Funktionalität der Nutzer-Authentifizierung vom Fachdienst zu lösen und diese vom IDP-Dienst durchführen zu lassen. Der IDP-Dienst stellt dem Fachdienst dann auf Basis von OpenID Connect eine Authentifizierungsbestätigung bereit. Auf diese Weise erfüllt jeder Dienst seinen fachlichen Zweck. Außerdem kann der IDP-Dienst zumindest in der Theorie auch die Authentifizierung der Nutzer für weitere Fachdienste, etwa für die ePA übernehmen. Die Funktionalität der Authentisierung muss somit nicht für jeden Fachdienst neu spezifiziert und implementiert werden und der Nutzer kann seine bestehende Registrierung beim IDP-Dienst wiederverwenden. Da für die Authentifizierung beim IDP-Dienst wiederum die eGK verwendet werden muss, liegt hier die gleiche digitale Identität zugrunde wie zuvor bei der ePA. Zwar kann der Nutzer, je nach Eigenschaften seines Endgeräts nach initialer Identifizierung auch biometrische Verfahren für die Authentisierung nutzen, muss sich (außer bei wenigen geeigneten Endgeräten) aber zum Erhalt des Sicherheitsniveaus regelmäßig auch mit der eGK authentisieren.
Fasttrack
Um dem Versicherten einen ähnlich komfortablen Zugang zum E‑Rezept wie zur ePA zu ermöglichen, wurde die Lösung Fasttrack entwickelt. Hierbei wird der IDP-Dienst mit dem Signaturdienst der ePA gekoppelt, so dass eine Authentifizierung über die al.vi möglich wird. Voraussetzung für die Nutzung ist aber, dass der Versicherte über eine ePA verfügt und die al.vi eingerichtet hat.
Föderiertes Identitätsmanagement
Ende 2020 veröffentlichte die gematik das Whitepaper Arena für digitale Medizin und kündigte darin unter anderem die TI 2.0 an. In diesem Zusammenhang wurde ein weiteres Modell für digitale Identität vorgestellt, das föderierte Identitätsmanagement.
Beim föderierten Identitätsmanagement gibt es nicht mehr einen zentralen IDP-Dienst, sondern eine Menge von sogenannten sektoralen Identity Providern (sektorale IDP), die in einer Föderation organisiert sind. Mitunter wird auch von dezentralen IDPs gesprochen. Die Grundlage bildet, wie schon beim zentralen IDP, wieder OpenID Connect. Dies gilt gleichermaßen für die Föderation, welcher der OpenID Connect Federation Standard zugrunde liegt. Die sektoralen IDPs sollen von den Krankenkassen bereitgestellt werden. Die Idee: jede Krankenkasse verwaltet die digitalen Identitäten ihrer Versicherten, führt die Authentifizierung der Versicherten durch und bestätigt diese gegenüber den Fachdiensten in der TI und zukünftigen TI 2.0. Das föderierte Identitätsmanagement soll dabei die Vorgaben aus § 291 SGB V umsetzen, wonach die gesetzlichen Krankenversicherungen ihren Versicherten ab 01.01.2023 auf Verlangen eine digitale Identität zur Verfügung stellen müssen. Da die finalen Spezifikationen zum föderierten Identitätsmanagement Mitte Dezember 2022 noch nicht veröffentlicht sind, wird die tatsächliche Einführung dieser digitalen Identitäten aber wohl noch etwas dauern.
Fazit
In der TI gibt es aktuell verschiedene Ausprägungen von digitalen Identitäten. Mit der Einführung der TI 2.0 könnte das föderierte Identitätsmanagement die anderen Ausprägungen verdrängen. Dies scheint auch der Gesetzgeber zu planen. So heißt es im Digitale-Versorgung-und-Pflege-Modernisierungs-Gesetz (DVPM), dass „die digitalen Identitäten in gleicher Weise wie die elektronische Gesundheitskarte zur Authentisierung des Versicherten im Gesundheitswesen und als Versicherungsnachweis“ dienen sollen. Nach Stand der aktuell veröffentlichten Entwürfe der Spezifikationen spielt die eGK zur Authentisierung des Versicherten aber auch im föderierten Identitätsmanagement weiterhin eine Rolle. Vorerst werden wohl alle beschriebenen Ausprägungen digitaler Identitäten ihre Relevanz für eine funktionierende TI und einem zunehmend digitalen Gesundheitswesen behalten.
___________________________________________________
Autor: Nico Martens, Berater SRC Security Research & Consulting GmbH
Weitere Informationen: https://src-gmbh.de/
Pressekontakt:
Patrick Schulze
WORDFINDER GmbH & CO. KG
Lornsenstraße 128–130
22869 Schenefeld
Tel. +49 (0) 40 840 55 92–18
ps@wordfinderpr.com
www.wordfinderpr.com
Anwendungsbereiche von Digital Identities: Physische Identitäten digital repräsentieren – und schützen
Anwendungsbereiche von Digital Identities:
Physische Identitäten digital repräsentieren – und schützen
Mit der aktuellen Weiterentwicklung der europäischen Verordnung über elektronische Identifizierung und Vertrauensdienste (eIDAS) kann europaweit eine anerkannte und sichere digitale Identität kommen. Digitale Identitäten sind dabei schon lange gang und gäbe – vom E‑Mail-Account, über Social Media bis zu digitalen Behördengängen: Die Nutzung digitaler Dienste erfordert einen Identitätsnachweis. Die dafür nötige Identifikation und Authentifizierung ist abhängig vom dafür genutzten Dienst an verschiedene Schutzniveaus gekoppelt. Unternehmen, die Dienste anbieten wollen, für die digitale Identitäten notwendig sind – für Mitarbeiter, Partner und Kunden – müssen die Voraussetzungen kennen.
Eine digitale Identität stellt die digitale Repräsentation einer physischen Identität dar. Letztere kann ein Mensch sein, aber auch eine Institution, eine Maschine oder ein Server. Im Gesundheitswesen können z. B. Praxen, Krankenhäuser oder Apotheken eine digitale Identität erhalten. Sie stellt in diesem Kontext eine Sammlung von Attributen in elektronischer Form dar, die eine natürliche oder juristische Person charakterisieren – das können Name, Adresse und Geburtsdatum sein, aber auch Benutzername oder Emailadresse. Eine digitale ID muss eindeutig sein, da sie sonst nicht zuordenbar ist; der Prozess der ursprünglichen Identifizierung wird ins Digitale übertragen– für die Erst-Identifikation benötigt es eine Registrierung; die Wiedererkennung erfolgt durch die Authentifizierung. Aus gesellschaftlicher Perspektive gibt es drei Formen von Identitäten: Echte, selbstkonstruierte und anonyme, wobei Letztere zum Beispiel auf Social Media eine teilweise kontroverse Rolle spielen.
Einsatzmöglichkeiten digitaler Identitäten
Digitale Identitäten sind als Grundlage bzw. digitale Repräsentation für digitale Dienste und Prozesse notwendig. Sie kommen überall dort zum Einsatz, wo digitale Dienste angeboten werden und personalisiert sind, was die Erhebung, Speicherung und Verarbeitung von Daten erfordert. Digitale Dienste haben diverse Ausprägungen – vom Social-Media-Benutzerkonto, über Online-Accounts im E‑Commerce, bis hin zum Online-Banking oder digitalen Behördengängen über eGovernment-Angebote. Wie beim Personalausweis kann der Anwendungsbereich einer digitalen Identität über eine reine Identifikation hinausgehen und zum Beispiel eine Altersprüfung möglich sein.
Die zunehmende Digitalisierung erschließt weitere Einsatzmöglichkeiten einer digitalen Identität: Die europäische eIDAS (Verordnung über elektronische Identifizierung und Vertrauensdienste) schafft hier einheitliche Rahmenbedingungen für die Nutzung elektronischer Identifizierungsmittel und Vertrauensdienste über Grenzen hinweg. 2020 wurde die Überarbeitung der eIDAS-Richtlinie gestartet, sie ist derzeit noch nicht abgeschlossen. Ziel ist es, europaweit ein sicheres EU-Identity-Wallet anzubieten. Die eID ist damit das virtuelle Pendant eines Ausweises. Sie soll eine Identifikation und Authentifizierung ermöglichen, eine Überprüfung der Gültigkeit durch Dritte sowie die sichere Speicherung und Darstellung der Identitäten. Außerdem soll sie es erlauben, qualifizierte elektronische Signaturen zu generieren. Dieses digitale Pendant zur Unterschrift erlaubt auf digitaler Ebene rechtsgültige Vertragsabschlüsse.
Die eIDAS gibt auch vor, dass die EU-Mitgliedstaaten den Bürgern die digitale Identität zur Verfügung stellen müssen; auch die vorgesehene Akzeptanzpflicht kann dazu beitragen, dass andere digitale Identitäten wegfallen. Einkäufe im Ausland oder die Abholung eines Mietwagens könnten damit vereinfacht werden, da die digitale Identität Prozesse effizienter macht. Denn digitale Dienste sind im Vergleich zu analogen Prozessen mit einer Kostenreduktion verbunden; der User profitiert stark von einer einfacheren und bequemeren Handhabung, etwa, wenn sich Behördengänge von zu Hause aus erledigen lassen.
Anders als bei digitalen Identitäten über Google oder Facebook kann durch die Behörden sichergestellt werden, dass der Datenschutz nach DSGVO eingehalten wird. Im Gesundheitswesen sollen digitale Identitäten auf dem Smartphone perspektivisch die elektronische Gesundheitskarte ablösen – aktuell kann dies aber noch nicht realisiert werden.
Sicherheit und Schutz des Users
Ein mögliches Angriffsszenario, das digitale Identitäten in besonderem Maße betrifft, ist der Diebstahl in Form von Impersonation bzw. Identitätsdiebstahl. Das Schadenspotenzial reicht dabei von Hasskommentaren auf Social Media bis zum Zugriff und Missbrauch von persönlichen Daten etwa bei Bankgeschäften oder vertraulichen Gesundheitsdaten. Während der analoge Personalausweis den Missbrauch durch Diebe wegen des darauf abgebildeten Fotos limitiert, sieht der Fall online anders aus. Die digitale Identität muss also besonders geschützt werden. Schutzmaßnahmen können zum Beispiel sichere Passwörter sein oder eine Zweifaktor-Authentifizierung, wie sie bereits im Online-Banking zum Beispiel mit Passwort einerseits und zusätzlicher TAN-Generierung auf einem externen Gerät andererseits stattfindet. Der Hardwaretoken in Smartcards stellt als zertifizierte Ausführung ein Höchstmaß an Sicherheit dar.
Standardisierte Vertrauensniveaus
Das Sicherheitsniveau hängt vom Einsatzzweck der digitalen Identität ab und wird in der Durchführungsverordnung (EU) 2015/1502 geregelt. So liegen zum Beispiel im Online-Banking oder im Gesundheitsbereich besonders sensible, personenbezogene Daten vor, die eines hohen Schutzniveaus bedürfen. Die Verordnung definiert drei standardisierte Vertrauensniveaus: niedrig, substantiell und hoch. Ein niedriger Schutzbedarf entspricht einer Ein-Faktor-Authentifizierung, wie sie in Social Networks oder Foren geläufig ist. Substanziell wird der Schutz durch die bereits genannte Zwei-Faktor-Authentifizierung. Ein hoher Schutz, wenn etwa Gesundheitsdaten betroffen sind, muss allerdings noch stärker abgesichert sein, zum Beispiel mit einem Pass samt Foto und biometrischen Merkmalen. So können Identifizierungen über Video-Ident- oder Post-Identverfahren erfolgen.
Je höher das Sicherheitsniveau, desto komplizierter gestaltet sich allerdings dessen technische Umsetzung. So bringen hochpreisige Smartphones zertifizierte Sicherheitskomponenten mit – während in günstigeren Endgeräten jedoch minderwertigere biometrische Sensoren verbaut werden, die leicht manipulier- oder überbrückbar sind. Sie verfügen also über keine geschützten Speicherbereiche. Smartcards in Gesundheitskarten können dagegen mit ihren Chip-Prozessoren kryptografisches Schlüsselmaterial verwenden und speichern. Damit stellen die dahinterliegenden Infrastrukturen die Echtheit sicher.
Das Zukunftspotenzial digitaler Identitäten
Die Digitalisierung nimmt zu, all ihre Dienste erfordern eine digitale Identität und diese sind bereits weit verbreitet: Im Schnitt hat jeder Bürger 90 digitale Identitäten. Dabei können digitale und analoge Welt verschmelzen, etwa, wenn Zutrittskontrollen in Unternehmen digitalisiert sind und den Nachweis einer digitalen Identität erfordern, oder wenn in Arztpraxen die Gesundheitskarte als ID eingelesen wird. Hier werden Medienbrüche als Hemmnis wahrgenommen, etwa wenn Papierdokumente als Scans bei Krankenkassen eingereicht werden sollen. Digitale Identitäten und die damit mögliche Zuordnung machen die Digitalisierung solcher Prozesse überhaupt erst möglich. Im Bereich eHealth können Ärzte so z. B. Rechnungen und Rezepte digital signieren und versenden.
Unternehmen wiederum können digitale Identitäten in der Breite für Kunden und Mitarbeiter, Endkunden oder Partner nutzen. Damit kann zum Beispiel die Urlaubsbeantragung über ein Portal erfolgen. Nicht zu vernachlässigen sind auch denkbare Anwendungsmöglichkeiten für die Kundenbindung: Denn über digitale Dienste, die Kunden nutzen, lassen sich nicht zuletzt Informationen über deren Verhalten gewinnen – um damit das eigene Angebot besser zuschneiden und optimieren zu können. Dabei müssen sich Unternehmen der verschiedenen Sicherheitsniveaus allerdings zwingend bewusst sein. Nutzerfreundlichkeit ist zwar wichtig – ebenso aber auch der digitale Schutz vor Identitäts- und Datenraub. Ist dieser nicht gewährleistet, können gravierende Auswirkungen die Folgen sein. Ein Beratungsunternehmen wie die SRC GmbH kann hier helfen, Lösungen – kostenpflichtige wie open source – zu beleuchten, Zertifizierungen zu prüfen und die Konformität und damit Rechtssicherheit sicherzustellen.
Fazit
Ohne digitale Identitäten läuft im Internet nichts – digitale Dienste erfordern initial eine Identifikation des Users und für die Weiternutzung eine Authentifizierung zum Beispiel über Passwörter mit zusätzlicher TAN-Generierung im Rahmen von Multifaktor-Verfahren. Von der Art des Dienstes und der dabei genutzten Daten hängen die Erfordernisse an die Sicherheit ab, die über drei Niveaus sichergestellt wird. Unternehmen, die digitale Dienste nutzen wollen, müssen deswegen die Voraussetzungen kennen um die Anwendungspotenziale für Kunden, Partner oder Lieferanten zu nutzen.
___________________________________________________
Autor: Nico Martens, Berater SRC Security Research & Consulting GmbH
Weitere Informationen: https://src-gmbh.de/
Pressekontakt:
Patrick Schulze
WORDFINDER GmbH & CO. KG
Lornsenstraße 128–130
22869 Schenefeld
Tel. +49 (0) 40 840 55 92–18
ps@wordfinderpr.com
www.wordfinderpr.com
SRC unterstützt ID:Smart Workshop 2023 – Call for Papers veröffentlicht
Am 21. und 22. Juni 2023 findet nach zweijähriger Pause der
ID:Smart Workshop 2023
in Darmstadt statt. Wegen der Auszeit durch die Corona Pandemie wird der Workshop in diesem Jahr ausnahmsweise im Juni durchgeführt und soll ab 2024 wieder zur „gewohnten“ Zeit im Frühjahr stattfinden.
Mögliche Beiträge zu den im hier verfügbaren Call for Paper genannten Themen können bis Ende Februar eingereicht werden.
Hinweise zur Anmeldung und zum Programm finden sie auf der Webseite des ID:Smart Workshops.
Weihnachten für alle
Nach zwei Jahren Pandemieeinschränkung können wir uns wieder etwas befreiter darauf freuen, den Advent und die Weihnachtstage mit der Familie und den Freunden zu feiern. Doch mit der Freude mischt sich Traurigkeit, wenn wir die Nachrichten hören und sehen. Der Krieg in der Ukraine ist brutal und der Winter ist kalt. Viele Häuser sind zerstört, kein Strom, kein Wasser, keine Wärme. Auch die Versorgung mit Lebensmitteln ist vielfach zusammengebrochen. Nachdem wir in den letzten Jahren vielfältige Geschäftsbeziehungen in die Ukraine aufgebaut und gepflegt haben, geht uns dies besonders nahe.
Wir haben uns daher entschlossen, in diesem Jahr auf Geschenke an Mitarbeitende und Geschäftspartner zu verzichten und stattdessen die von der Help e.V. organisierte Winterhilfe für die Ukraine zu unterstützen. Wir denken, dass wir damit auch im Sinne aller unserer Geschäftspartner handeln und hoffen, auf diese Weise ein wenig dazu beitragen zu können, dass Weihnachten auch in der Ukraine ankommt.
Für Ihr Vertrauen und für die Zusammenarbeit im zu Ende gehenden Jahr möchten wir uns bei Ihnen herzlich bedanken. Wir sind sehr froh darüber, dass Sie uns auch in einem von räumlicher Distanz geprägten Jahr nahe waren und schauen erwartungsfroh auf das kommende Jahr, um mit Ihnen gemeinsam weitere spannende Projekte umzusetzen. Aber bis dahin bleibt natürlich noch ein bisschen Zeit. Nutzen Sie die freien Tage, um neue Kraft zu tanken und ruhige Stunden zu verbringen.
Wir wünschen Ihnen ein – trotz der Umstände – wundervolles Weihnachtsfest und vor allem genügend Erholung. Und dann natürlich einen guten Start ins neue Jahr voller Ideen und Kraft für neue Aufgaben.
Herzliche Grüße,
Ihr
Gerd Cimiotti
SRC GmbH
Teilgutachten zur Betriebsumgebung von fiskaly signCloud-TSE Instanzen
Seit 2020 ist der Einsatz von zertifizierten Technischen Sicherheitseinrichtungen (TSE) zur Absicherung von Aufzeichnungen in Registrierkassen in Deutschland gesetzlich vorgeschrieben. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Sicherheitsanforderungen an Technischen Sicherheitseinrichtungen veröffentlicht und prüft die Einhaltung dieser zertifizierungsrelevanten Aspekte und Vorgaben durch die TSE-Hersteller. Die Einhaltung der Sicherheitsanforderungen werden durch anerkannte Prüfstellen des BSI bewertet. Bei positivem Prüfungsergebnis zertifiziert das BSI auf Grundlage des Prüfberichts die TSE eines Herstellers.
Nach erteilter Zertifizierung der TSE, muss für die Finanzbehörden zusätzlich nachgewiesen werden, dass der Betrieb einer TSE beim Steuerpflichtigen so erfolgt, dass der zertifizierte Zustand erhalten bleibt.
SRC hat als eine beim BSI anerkannte Prüfstelle das Produkt fiskaly sign Cloud TSE (Version 1.2.0 – 1.0.5) der fiskaly untersucht und das BSI hat hierfür die entsprechenden Zertifikate erteilt. Darüber hinaus hat SRC den Betrieb der fiskaly TSE näher beleuchtet. Die Anforderungen an den Betrieb wurden in intensiver gemeinsamer Zusammenarbeit mit fiskaly analysiert und geprüft. Die Überprüfung der Einhaltung zur Aufrechterhaltung des zertifizierten Zustands konnte für alle von fiskaly im Markt befindlichen o.g. TSE-Versionen durchgeführt werden.
Die Ergebnisse der Prüfung lassen sich in den nachfolgenden Punkten zusammenfassen:
Details sind dem ausführlichen Untersuchungsbericht der SRC zu entnehmen.
Über fiskaly
fiskaly entwickelt innovative SaaS-Infrastruktur und bietet sichere Cloud-Lösungen rund um den Kassenbeleg für Kassenanbieter- und händler in Österreich und Deutschland. Im Bereich der Fiskalisierung betreibt das Unternehmen ein marktführendes Produkt im deutschen Markt, unsere zertifizierte TSE wird bundesweit in einer halben Million Registrierkassen eingesetzt. Mit dem digitalen Kassenbon wurde vor Kurzem ein neues Geschäftssegment eröffnet, die Erschließung neuer europäischer Märkte ist für Ende dieses Jahres geplant.
Gegründet wurde fiskaly 2019 in Wien. Mehr als 50 MitarbeiterInnen in den Büros in Wien, Frankfurt und Berlin tragen zum Erfolg des Unternehmens bei.
fiskaly.com
SRC wird Teil des GEAR (Global Executive Assessor Roundtable)!
PCI SSC und SRC
Das Payment Card Industry Security Standards Council (PCI SSC) ist ein globales Forum, welches Informationssicherheitsstandards für sichere Zahlungen entwickelt und deren Anwendung vorantreibt. Es ist verantwortlich für 15 weltweit anerkannte und verbreitete Standards zur Absicherung von elektronischen Zahlverfahren – von der Zahlkartenproduktion und ‑herausgabe über die Zahlung am Point of Interest oder in Web & App bis hin zur Abwicklung der Zahlungen im Hintergrund. SRC prüft die Nutzung der Informationssicherheitsstandards seit Gründung des PCI SSC im Rahmen entsprechender Audits und Produktprüfungen.
Das PCI SSC legt Wert auf den Austausch zwischen verschiedenen Stakeholdern und nutzt dafür verschiedene Gremien und Aktivitäten. SRC hat sich bisher im Rahmen von Special Interest Groups und Task Forces sowie durch die Teilnahme an Community Meetings und Request for Comment-Phasen beteiligt.
Global Executive Assessor Roundtable
Das PCI SSC gibt seit 2018 im Global Executive Assessor Roundtable (GEAR) erfahrenen Audit-Unternehmen die Möglichkeit, seine obere Führungsebene zu beraten.
Wir freuen uns, dass unser Unternehmen dieses Jahr mit ausgewählt wurde, im Rahmen dieser verantwortungsvollen Mitgliedschaft eine der Schnittstellen zwischen der Führung des PCI SSC selbst und der Führung der Auditierungsgesellschaften zu bekleiden. Hierdurch können wir unsere jahrelange Erfahrung zukünftig auf direktem Wege einbringen.
Die Ernennung gilt für die kommenden zwei Jahre und gibt uns die Möglichkeit, an der Weiterentwicklung von Vorgaben für Audit-Verfahren, neue Schulungsprogramme und Qualifikationsanforderungen zukünftiger Auditierender einflussgebend mitzuwirken. Weitere Aufgabenbereiche der GEAR sind unter anderem, Möglichkeiten zu finden, das Engagement von Auditierenden in aufstrebenden und neuen Märkten zu fördern, und die Fähigkeiten und Fertigkeiten von Auditierenden im Sinne eines Mehrwerts für Zahlungsverkehrs-Unternehmen zu optimieren.
Wir sind stolz, in diesen Kreis aufgenommen worden zu sein, und sehen darin eine Anerkennung unserer bisherigen Leistung und Relevanz auf dem Markt der Zahlungsverkehrssicherheit. Zugleich sind wir uns unserer Verantwortung bewusst, die Stellvertretung für eine große Gemeinschaft an Auditierungsgesellschaften wahrzunehmen, und nehmen dies als zusätzlichen Ansporn für die Zukunft.
Link zum GEAR: https://www.pcisecuritystandards.org/about_us/global_executive_assessor_roundtable/
8‑stellige BINs und PCI DSS
Am 1. April 2022 werden die Kartenorganisationen Visa und Mastercard die BIN (Bank Identification Number) ihrer Karten weltweit von 6 auf 8 Stellen ausdehnen. Von einer 16-stelligen Kreditkartennummer (Primary Account Number, PAN) dienen dann in Zukunft die ersten 8 Stellen zur Identifikation des Kartenherausgebers. Die BIN wird an vielen Stellen genutzt, wo die Verwendung der vollständigen PAN nicht nötig ist – z.B. für das Routing von Transaktionen oder für Reportings.
BINs und PCI DSS
Überall dort, wo eine vollständige PAN genutzt wird, müssen die Systeme, Umgebungen, Prozesse und Personen die Anforderungen des Datensicherheitsstandards PCI DSS (Payment Card Industry Data Security Standard) erfüllen. So sinnvoll der Schutz der PAN durch den PCI DSS ist – für die BIN ist er nicht notwendig.
Im PCI DSS ist daher beschrieben, unter welchen Bedingungen für Teile der PAN nicht der gleiche Schutz wie für die volle PAN notwendig ist. Wird nicht die volle PAN gespeichert, verarbeitet oder übertragen, sondern nur einige Stellen davon, spricht man im PCI DSS von „Trunkierung“. Ist zwar die volle PAN im Hintergrund gespeichert, aber in einer Applikation werden nicht alle Stellen angezeigt, spricht man im PCI DSS bei der Anzeige von „Maskierung“. Im Alltag wird für beide unterschiedlichen Maßnahmen auch der Begriff „ausgeixt“ verwendet; aus Sicht des PCI DSS muss man diese aber unterscheiden.
Für Trunkierung und Maskierung galten bisher folgende Regeln:
Änderung der Regeln für Trunkierung und Maskierung
Aufgrund der Umstellung auf 8‑stellige BINs und der Notwendigkeit vieler Unternehmen, diese zu verarbeiten, haben die Zahlkarten-Organisationen ihre Vorgaben nun aber geändert. In der aktuellen Zusammenfassung im FAQ-Eintrag des PCI SSC ist nun definiert, dass für 16-stellige PANs bei der Trunkierung „first 8, any other 4“ zulässig ist.
Die (Test)Kartennummer 4012888888881881 dürfte dann in Zukunft z.B. in der Form 40128888xxxx1881 gespeichert und verarbeitet werden – es reicht aus, wenn beliebige vier Stellen hinter der BIN ausgeixt sind.
Lediglich für kürzere PANs bleibt es bei den bestehenden Regeln „first 6, any other 4“ (Discover) bzw. „first 6, last 4“ (American Express). Bei der Maskierung wird eine entsprechende Anpassung der PCI DSS-Anforderung mit der Umstellung auf PCI DSS v4.0 erwartet.
Aus Sicherheitssicht ist das Ausixen so weniger Stellen keine Verbesserung – aus der Business-Perspektive ist die Änderung aber wohl notwendig. Es bleibt zu hoffen, dass dies in der Gesamtsicht durch andere Sicherheitsmaßnahmen ausgeglichen wird.
Auf jeden Fall stehen in Zukunft die Anforderungen des PCI DSS der Verwendung einer 8‑stelligen BIN nicht im Wege.
Vorsicht bei der Kombination verschiedener Formate
Händler und Dienstleister, die mit trunkierten Kartendaten arbeiten, sollten – unabhängig von der Länge der BIN – darauf achten, den Schutz der Kartendaten nicht durch die Vermischung verschiedener Formate zu schwächen.
Dies gilt genauso, wenn für Maskierung und Trunkierung unterschiedliche Formate verwendet werden.
IT-Sicherheitsregulierung im Gesundheitswesen: Welche Regeln für die Cybersecurity gelten
Die Digitalisierung des Gesundheitssektors entwickelt sich dynamisch: Digitale Produkte erobern den Markt; Künstliche Intelligenz hält Einzug, Innovationen in Bereichen wie Pflege, Medizin, Gentherapie oder Nanotechnologie sind weitere Treiber. Gleichzeitig ist die Markteinführung neuer Healthcare-Produkte an strenge IT-Sicherheitsbestimmungen gebunden – zu Recht, da sie äußerst sensible Daten zu Gesundheit und Leben von Menschen berühren oder die Therapie beeinflussen. IT-Sicherheit wird umso wichtiger. Doch welche Vorgaben zu beachten, welche Nachweise zu erbringen sind, ist für Anbieter und Betreiber oft nicht leicht zu überblicken.
Kritische Infrastrukturen: Die KRITIS-Verordnung
Besondere Anforderungen an die IT-Sicherheit gelten bereits für bestehende Einrichtungen des Gesundheitswesens, sofern sie vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als Kritische Infrastrukturen klassifiziert sind. Im Gesundheitssektor betrifft das nicht nur die stationäre medizinische Versorgung, sondern auch die Versorgung mit unmittelbar lebenserhaltenden Medizinprodukten, verschreibungspflichtigen Arzneimitteln, Blut- und Plasmakonzentraten sowie die Laboratoriumsdiagnostik ab einer bestimmten Größe. Die jeweiligen Schwellenwerte sind in der BSI-Kritisverordnung definiert. Als Richtgröße gilt hier der Regelschwellenwert von 500.000 von der Einrichtung versorgten Personen.
Laut BSI-Gesetz (§ 8a) müssen die jeweiligen Betreiber nach Stand der Technik angemessene organisatorische und technische Vorkehrungen treffen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer maßgeblichen informationstechnischen Systeme, Komponenten oder Prozesse zu vermeiden. Gegenüber dem Bundesamt ist die IT-Sicherheit alle zwei Jahre durch Sicherheitsaudits, Prüfungen oder Zertifizierungen nachzuweisen. Zusätzlich kann das BSI auch selbst Sicherheitsüberprüfungen durchführen oder durchführen lassen. Bei Nichteinhaltung der gesetzlichen Vorgaben drohen empfindliche Geldstrafen.
Ausweitung der Verordnung auf alle Krankenhäuser: KRITIS „light“
Seit Januar 2022 gelten diese IT-Sicherheitsvorgaben nicht nur für stationäre medizinische Einrichtungen im Sinne der KRITIS-Verordnung, sondern für alle Krankenhäuser. Auch wenn die Nachweispflicht gegenüber dem BSI hier entfällt, müssen Betreiber im Ernstfall mit Schadensersatzforderungen und Haftungsrisiken rechnen. Daher sollten die im Sozialgesetzbuch V (§ 75) hinterlegten Anforderungen in jedem Fall umgesetzt und wie gefordert alle zwei Jahre an den aktuellen Stand der Technik angepasst werden. Orientierung bieten dabei die branchenspezifischen Sicherheitsstandards für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus.
Wann immer also in Krankenhäusern und Einrichtungen der Kritischen Infrastruktur neue Systeme oder Komponenten innerhalb der Kernfunktionen eingesetzt werden, sind diese auch unter KRITIS-Sicherheitsaspekten zu bewerten und in die Prüfprozesse einzubeziehen.
Datensicherheit: Ein Ziel – unterschiedliche Verfahren
Der Schutz der für das Gemeinwesen wichtigen Kritischen Infrastrukturen ist aber nur ein Aspekt der IT-Sicherheit im Gesundheitswesen. Da die Sicherheit der sensiblen Daten auch im Alltagsbetrieb jederzeit gegeben sein muss, sind in allen betroffenen Bereichen Cybersecurity-Anforderungen, Zulassungsvoraussetzungen und Prüfprozesse zu definieren und laufend auf dem aktuellen Stand der Technik zu halten. Die gesetzlichen Rahmenbedingungen dafür sind im Sozialgesetzbuch zusammengefasst. Als nationale Behörde für Cybersicherheitszertifizierung ist das BSI die zentrale Instanz. Allerdings – und das macht es für Antragsteller schwierig zu überblicken – gibt es nicht den einen Prüf- oder Zertifizierungsprozess für die IT-Sicherheit von Gesundheitsprodukten.
Die IT-Sicherheitsprüfungen erfolgen immer in Absprache mit dem BSI oder durch das Bundesamt selbst, sind aber in die jeweiligen Zulassungsprozesse der verschiedenen Services eingegliedert. Zuständig sind jeweils unterschiedliche Institutionen: Etwa die Gesellschaft für Telematik für Anwendungen in der Telematikinfrastruktur oder das Bundesinstitut für Arzneimittel und Medizinprodukte für digitale Gesundheitsanwendungen, netzwerkfähige Medizinprodukte und Pflegegeräte – dazu im Folgenden einige Erläuterungen.
Telematikinfrastruktur: Mehrstufige Prüfprozesse
Zu den Herausforderungen im Healthcare-Sektor gehört die komplexe Struktur aus Betreibern, Leistungserbringern, Kostenträgern und Versicherten. Die Digitalisierung bietet die Chance, die einzelnen Akteure neu zu vernetzten, die Kommunikation und Abläufe dadurch erheblich zu beschleunigen und verbessern. Basis dieser neuen digitalen Vernetzung ist in Deutschland die Telematikinfrastruktur (§ 306 SGB). Dienste wie die elektronische Patientenakte oder der E‑Medikationsplan setzen auf dieser interoperablen Kommunikations- und Sicherheitsarchitektur auf. Für Aufbau und Weiterentwicklung der Telematikinfrastruktur (TI) ist die Gesellschaft für Telematik, gematik, verantwortlich, zu deren Aufgaben auch die Definition und Durchsetzung verbindlicher Standards für Dienste, Komponenten und Anwendungen gehört.
Bei der IT-Sicherheitsbewertung arbeitet die gematik GmbH eng mit dem BSI zusammen. Dazu werden alle TI-Komponenten und Dienste in einem mehrstufigen Prüfungsverfahren gemeinsam mit den Anbietern umfangreichen Tests unterzogen, bevor Sicherheitsevaluationen oder genaue Sicherheitsgutachten erstellt werden. Die einzelnen Anforderungen sind in sogenannten Produktsteckbriefen für die Zulassung der Anbieter in Anbietersteckbriefen hinterlegt.
Auch nach der Zulassung wird der sichere und störungsfreie Betrieb überwacht. Eine unberechtigte Nutzung der Telematikinfrastruktur wie auch die Nichtmeldung von Störungen oder Sicherheitsmängeln kann mit hohen Geldstrafen bis zu 300.000 EUR geahndet werden.
Videosprechstunde – Anbieter von Videodiensten
Während neue TI-Dienste wie die die elektronische Patientenakte (ePA) sicher noch etwas Zeit benötigen, um auch beim Versicherten anzukommen, sind mit Beginn der Pandemie die Nutzerzahlen für andere digitalen Dienstleistung förmlich explodiert: 1,4 Millionen Videosprechstunden wurden allein im ersten Halbjahr 2020 durchgeführt. Im Jahr 2019 waren es dagegen erst knapp 3.000.
Voraussetzung für eine Teilnahme als Videodienstanbieter ist die Erfüllung aller Anforderungen an die technischen Verfahren. Die Anforderungen an Anbieter, Teilnehmer und Vertragsärzte wurden in einer entsprechenden Vereinbarung der Kassenärztlichen Bundesvereinigung und des Spitzenverbandes Bund der Krankenkassen festgelegt.
Unter anderem muss die Kommunikation zwischen Patient und Arzt bzw. Pflegekraft durch eine Ende-zu-Ende-Verschlüsselung gesichert sein und der Videodienst darf keine schwerwiegenden Sicherheitsrisiken aufweisen. Die nötigen Nachweise und Zertifikate zur IT-Sicherheit sind in der Vereinbarung im Einzelnen aufgeführt, Vorlagen für die Bescheinigungen und der Fragebogen mit Prüfkriterien in der Anlage hinterlegt.
Digitale Gesundheitsanwendungen: Die App auf Rezept
Deutschland bietet seit 2020 als erstes Land überhaupt digitale Apps auf Rezept. Diese digitalen Gesundheitsanwendungen (DiGA) sind definiert als Medizinprodukte niedriger Risikoklassen zur Erkennung, Überwachung, Behandlung oder Linderung von Krankheiten oder zur Erkennung, Behandlung, Linderung oder Kompensierung von Behinderungen und Verletzungen. Die Hauptfunktion muss dabei auf digitalen Funktionen basieren (§ 33a SGB). Voraussetzung für eine Kostenübernahme durch die Krankenkassen ist die Aufnahme im Verzeichnis des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM).
Für diese Beantragungen wurde ein dreimonatiges Fast-Track-Verfahren aufgesetzt, die entsprechenden Formulare sind zusammen mit einem Leitfaden über die Website des BfArM abrufbar. Grundsätzliche Vorgaben zur Datensicherheit sind in der Digitalen Gesundheitsanwendungen-Verordnung (§ 4) beschrieben. Dazu gehört u.a. ein Informationssicherheitsmanagement-System auf Basis des BSI-Standard 200–2: IT-Grundschutz-Methodik. Hilfestellung bietet zudem die Technische Richtlinie des BSI zu Sicherheitsanforderungen an digitale Gesundheitsanwendungen.
Regulierungsbedarf bei vernetzten Medizinprodukten
Regulierungsbedarf besteht derzeit noch bei netzwerkfähigen Medizinprodukten. Anders als bei den rein digitalen Gesundheitsanwendungen sind Digitalfunktionen hier meist als Ergänzungen zur bestehenden medizinischen Grundfunktion integriert. Daraus ergibt sich ein äußerst breites und heterogenes Anwendungsspektrum. Zum Teil sind die IT-Sicherheitsanforderungen auch schwieriger zu adressieren, denn diese Netzwerkfunktionen werden häufig über Drittanbieter zugekauft und sind noch nicht bei allen Unternehmen auch in die Qualitätssicherungsprozesse eingebunden. Gleichwohl sind sie als Anbieter haftbar.
Grundlegende Anforderungen an Cyber-Sicherheitseigenschaften von Medizinprodukten wurden erstmals in der EU-Verordnung 2017/745 über Medizinprodukte definiert, die in Deutschland durch das Medizinprodukterecht-Durchführungsgesetz (MPDG) umgesetzt wird. Bei der Umsetzung dieser – recht allgemein gehaltenen – Vorgaben zur IT-Sicherheit helfen Richtlinien und Verfahrensanleitungen wie:
- Guideline der Medical Device Coordination Group
– Leitfaden zur Nutzung des MDS2 (Manufacturer Disclosure Statement)
– Herstellerempfehlung zu Cyber-Sicherheitsanforderungen an netzwerkfähige Medizinprodukte.
Das BSI hat die Cybersicherheit vernetzter Medizinprodukte untersucht und in seinem Abschlussbericht dazu auch die anstehenden Aufgaben formuliert. Die Weiterentwicklung der Regulatorik zur IT-Sicherheit bleibt eine wichtige Aufgabe. Es geht neben der IT-Sicherheit bestehender Produkte vor allem auch darum, Innovationen zum Durchbruch zu verhelfen und ihre schnelle und sichere Markteinführung zu fördern.
Autor: Randolf Skerka, SRC GmbH
PCI DSS v4.0 kommt – Ein Überblick
Der PCI DSS (Payment Card Industry Data Security Standard) ist als umfassender Datensicherheitsstandard für Zahlkartendaten der internationalen Zahlsysteme bekannt. Das Payment Card Industry Security Standards Council (PCI SSC) entwickelt den Standard im Laufe der Zeit weiter, damit er mit fortschreitenden Risiken und Bedrohungen, der sich ständig verändernden IT- und Zahlungsverkehrslandschaft und geänderten Sicherheitsanforderungen Schritt hält.
Das PCI SSC arbeitet seit langem an der neuen, grundlegend überarbeiteten Version 4.0 des Standards. Nach drei RFC-Phasen in den zurückliegenden Jahren wird die neue Version nun im März 2022 offiziell auf der PCI SSC-Website veröffentlicht.
Einige Änderungen wurden bereits angekündigt und werden im Folgenden vorgestellt.
Neue Validierungsoptionen
Das PCI SSC plant, den Standard flexibler zu gestalten. Traditionell besteht der vorgesehene Weg zur Erfüllung einer PCI DSS-Anforderung darin, ihr Wort für Wort zu folgen. Jetzt plant das PCI SSC, eine Wahlmöglichkeit anzubieten: Für fast jede Anforderung kann ein Unternehmen entweder die traditionelle Variante wählen, sie Wort für Wort zu erfüllen, oder sie kann eine individuelle, „customized“ Validierung nutzen.
Zu jeder Anforderung im Standard wird das Ziel angegeben, das mit der Anforderung erreicht werden soll. Wenn ein Unternehmen der Meinung ist, dass sie dieses Ziel auf andere Weise erreichen möchte, als durch wortwörtliche Befolgung der Anforderung, kann sie ihren Weg dahin dokumentieren. Hierzu gehört auch eine Risikobewertung, um die Angemessenheit des gewählten „customized“ Weges zu überprüfen. Diese Dokumentation, inklusive der Risikobewertung, wird dann dem Assessor zur Verfügung gestellt. Der Assessor identifiziert auf dieser Grundlage geeignete Testverfahren zur Überprüfung der Umsetzung der „customized“ Maßnahmen.
Änderungen an Anforderungen
Um sicherzustellen, dass die PCI DSS-Konformität das ganze Jahr über aufrechterhalten wird, wurden zusätzliche Anforderungen vom PCI SSC angekündigt, z.B. die Notwendigkeit für
Darüber hinaus werden bestehende Anforderungen an veränderte Bedrohungslagen und Sicherheitsanforderungen angepasst. Unter anderem zu den folgenden Themen wurden Änderungen angekündigt:
Auch die Verwendung von 8‑stelligen BINs wird berücksichtigt werden müssen (vgl. unseren Blog-Eintrag).
Die genauen Details zu Änderungen stehen natürlich erst nach der endgültigen Veröffentlichung fest.
Übergangsprozess
Das PCI SSC hat eine Übergangsfrist von zwei Jahren angekündigt, plus eine zusätzliche Übergangszeit für grundlegend neue Anforderungen. Nehmen Sie sich also nach der Veröffentlichung im März 2022 die Zeit, die neue PCI-DSS-Version zu lesen, die Änderungen zu identifizieren und die Auswirkungen auf Ihre Umgebung zu verstehen. Nutzen Sie dieses Jahr, um die Umstellung auf PCI DSS v4.0 zu planen und zu entscheiden, wann der richtige Zeitpunkt für Ihr Unternehmen ist, von Version 3.2.1 auf 4.0 umzusteigen.
Ihr PCI DSS-Berater oder ‑Auditor kann Ihnen helfen, die Intention hinter den Änderungen, Ihren Anpassungsbedarf und die Validierungsanforderungen zu verstehen. Bitte zögern Sie nicht, sie zu kontaktieren. Wenn Sie noch keinen Ansprechpartner zu PCI DSS haben, wenden Sie sich gerne an SRCs Themenverantwortliche.
Um sich einen ersten Überblick über die Änderungen des Standards zu verschaffen, können Sie auch an unserem kostenlosen PCI DSS v4.0‑Webinar am 21./22. April teilnehmen: Hier gehts zur Anmeldung.