Sicherheitszertifikate für 13 AOK-Landesverbände
T-Systems erhält Zuschlag für Gesundheitskarte
Geprüfte digitale Signatur
T-Systems liefert nicht die elektronischen Gesundheitskarten, berichtet Dienst, sondern lediglich die auf ihnen abgespeicherten Schlüsselzertifikate. Diese dienen als Beweis für die Identität der versicherten Personen, die durch einen unabhängigen Dritten, in diesem Fall dem Trust Center von T-Systems, bezeugt wird.
Dienst erläutert im Gespräch mit CIO: "Wir liefern diese Zertifikate für die Gesamtzahl der Versicherten der 13 AOK-Landesverbände und betreiben dazu auch einen Sperrdienst, falls eine Karte vor Ablauf ihrer Gültigkeit gesperrt werden muss. Dafür werden wir ein Verzeichnis anlegen, vergleichbar etwa mit einem öffentlichen Telefonbuch, in dem alle Zertifikate hinterlegt sind. Das Verzeichnis ist lediglich für eine geschlossene Benutzergruppe im Netz der Telematik-Infrastruktur des Gesundheitswesens erreichbar. Die Zertifikate können dann zum Beispiel von einem Arzt beim Praxis- oder Krankenhausbesuch zur Bestätigung abgerufen werden."
Ob jetzt nun alle oder nur ein Teil der Patienten- oder doch lediglich Rezeptdaten auf der eGK gespeichert werden, hat mit dem Aufgabenbereich des Trust Centers nichts zu tun. Hier geht es nur um die Identitätsprüfung der Versicherten. Bei einer Zertifizierungsprüfung geht es nur um jene Daten, die als Schlüssel auf der Karte abgelegt und vom Trust Center beglaubigt worden sind. Das Trust Center tritt damit lediglich zu Beginn der Schlüsselerstellung auf der Karte in Erscheinung – in seiner Funktion eines unabhängigen Dritten, der die Identität einer Person beglaubigt – und später dann beim Abgleich mit dem Verzeichnis.
Hier wird bestätigt, ob das Zertifikat gültig oder gesperrt ist. Insofern ist das Trust Center in den jeweils aktuellen Beglaubigungsprozess beziehungsweise in die Online-Gültigkeitsabfrage eingebunden. Für Nicht-Techniker: Das entspricht der Überprüfung von Reisepässen an der Grenze oder auf dem Flughafen, wenn sie von den Grenz- oder Polizeibeamten "durchleuchtet", das heißt auf Gültigkeit oder spezielle Registereinträge abgeglichen werden.
Die erstellte Signatur ist selbst auch nachprüfbar, zum Beispiel ob sie von einem bestimmten Trust Center durchgeführt wurde. Die AOK hat deshalb bei ihrer Ausschreibung nur von der Bundesnetzagentur akkreditierte Trust Center oder solche, die sich ein gesondertes Sicherheitszeugnis ausstellen ließen, berücksichtigt. Diese hohen Bürden, wie sie die AOK aufstellte, werden von der gematik explizit gefordert. Für die spätere Identitätsüberprüfung wird im übrigen ein eigenes, abgesichertes Netzwerk, die Telematik-Infrastruktur des deutschen Gesundheitswesens, eingesetzt.