Authentifizierungsverfahren im digitalen Gesundheitswesen

Authentifizierungsverfahren: Spagat zwischen Sicherheit und Komfort

Wie die Haustür den Zugang zur Wohnung absichert, so wird durch Authentifizierungsverfahren der Zugriff auf die dahinterliegenden Daten abgesichert. Idealerweise sind die betreffenden Verfahren so ausgestaltet, dass diese sowohl sicher als auch komfortabel sind. Dem Komfort sind gewisse Grenzen gesetzt. Hürden, die man sich selbst auferlegt, existieren auch für potentielle Angreifer. So wie Sie nicht möchten, dass jemand Fremdes in Ihre Wohnung eindringt, möchten Sie auch nicht, dass jemand Fremdes an Ihre Daten gelangt.

Warum sind Authentifizierungsverfahren im Gesundheitswesen so aufwändig?

Authentifizierungsverfahren werden abhängig von ihrer Sicherheit in drei Stufen eingeteilt. Die konkreten Anforderungen, die Authentifizierungsverfahren erfüllen müssen, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) in der Technischen Richtlinie BSI-TR-03107 definiert. Die Gesellschaft für Telematik (gematik) hat für die im Gesundheitswesen eingesetzte Telematikinfrastruktur Festlegungen für die verschiedenen Vertrauensniveaus getroffen.

Warum muss beim Zugriff auf Gesundheitsdaten das Vertrauensniveau „hoch“ vorgenommen werden? Gesundheitsdaten sind besonders sensibel und schutzbedürftig und deshalb besteht für sie ein besonderer Schutz (vgl. Art. 9 Abs. 1 DSGVO, Art. 4 Nr. 15 DSGVO, Erwägungsgrund 51 DSGVO. Bei der Verarbeitung können erhebliche Risiken für Grundrechte und Grundfreiheiten bestehen. So kann eine unbefugte Offenlegung von Gesundheitsdaten zu Stigmatisierungen führen, besonders dann, wenn es sich um Krankheiten oder Behinderungen handelt, für die die Gesellschaft weniger Verständnis aufbringt. Ein eingetretener Schaden lässt sich nur unzureichend wirtschaftlich beziffern und hat oft gravierende Folgen für die betroffene Person.

Bei der ePA sind die Krankenkassen in der Verantwortung, eine angemessene Authentifizierung durchzuführen, die der Sensibilität der Daten entspricht.

Welche Authentifizierungsverfahren existieren im Gesundheitswesen?

Es stehen verschiedene Authentifizierungsverfahren mit unterschiedlichen Vertrauensniveaus zur Verfügung.

Authentifizierungsverfahren, die ein hohes Vertrauensniveau gewährleisten, sind der elektronische Personalausweis (eID), die elektronische Gesundheitskarte (eGK) sowie die GesundheitsID (auch als „Digitale Identität“ bekannt), jeweils zusammen mit der zugehörigen PIN. Alle drei Authentifizierungsverfahren ermöglichen eine Zwei-Faktor-Authentifizierung mit den Faktoren Wissen (PIN) und Besitz (Karte).

Bei der GesundheitsID übernimmt das mobile Endgerät (beispielsweise ein Smartphone) der Versicherten die Rolle des Besitz-Faktors. Deswegen ist bei der GesundheitsID eine Gerätebindung erforderlich, bei deren Einrichtung Authentifizierungsinformationen im mobilen Endgerät gespeichert werden. Die Gerätebindung muss aus Sicherheitsgründen in bestimmten Zeitabständen erneuert werden, wozu sich Versicherte erneut authentifizieren müssen.

Die GesundheitsID kann somit zwar parallel neben eID/eID-PIN oder eGK/eGK-PIN genutzt werden, diese aber nicht vollständig ersetzen. Auch bei ausschließlicher Nutzung der GesundheitsID ist es erforderlich, die Karte(n) weiter aufzubewahren und sich die PIN(s) zu merken. Sie werden später wieder benötigt, zur Erneuerung der Gerätebindung (siehe unten, „Warum muss ich bei der GesundheitsID die Gerätebindung erneuern?“) oder zur Neueinrichtung der GesundheitsID bei einem Wechsel des mobilen Endgeräts.

Warum rät die BfDI zu einem achtsamen Umgang bei einer Authentifizierung mittels Biometriefunktion?

Die Zwei-Faktor-Authentifizierung bei der GesundheitsID erfolgt mit dem Faktor Besitz (SmartphonE) und dem Faktor Wissen (GesundheitsID-PIN). Daneben ist vorgesehen, dass Versicherte nach Information durch die Krankenkasse über die Besonderheiten des Verfahrens in die Nutzung einer GesundheitsID einwilligen können, die einem anderen angemessenen Sicherheitsniveau entspricht. Ein Verzicht auf die Authentifizierung ist nicht möglich. Die Krankenkassen sind verpflichtet eine Authentifizierungsmöglichkeit mit Sicherheitsniveau „hoch“ anzubieten. Eine biometrische Authentifizierung kann eingesetzt werden, nachdem eine also „hoch“ eingestufte Variante durchlaufen wurde.

Die Versicherten haben die Möglichkeit, von der PIN-basierten Authentifizierung auf die biometriebasierte Authentifizierung zu wechseln. Die Biometriefunktion ist jedoch weniger sicher als die Abfrage der sechsstelligen PIN oder die Nutzung der eGK mit PIN. Diese Information sollte beim Wechsel von PIN zu Biometrie gegeben werden. Wird statt der GesundheitsID-PIN die Biometriefunktion des eigenen Smartphones genutzt, kann maximal das geringere Vertrauensniveau „substantiell“ erreicht werden. Dies entspricht der übereinstimmenden Bewertung von gematik und BSI .

Die hard- und softwaretechnischen Anforderungen, die eine Biometriefunktion für das Vertrauensniveau „hoch“ erfüllen müsste, sind vom BSI in den Technischen Richtlinien „Elektronische Identitäten und Vertrauensdienste im E-Government“ sowie „Technical Guideline for Biometric Authentication Components in Devices for Authentication“ festgelegt.

Bei der Bewertung von Biometriefunktionen kommt es auf die Resistenz gegen Replay (Erkennung, ob es sich um eine Wiederverwendung einer früher gefertigten Aufnahme eines biometrischen Merkmals handelt), die Güte der Lebenderkennung (Prüfung von Lebenszeichen als Schutzmaßnahme gegen Attrappen) sowie die biometrische Erkennungsqualität (in welchem Umfang auch abweichende biometrische Merkmale akzeptiert werden) an. Das BSI hat festgestellt, dass die aktuell erhältlichen Smartphones diese Anforderungen nicht ausreichend erfüllen.

Verbreitet sind Biometriefunktionen, die Fingerabdruckerkennungen und einfacher Gesichtserkennung beruhen. Diese erreichen lediglich das Vertrauensniveau „niedrig“. Bedingt durch den zweidimensionalen Bildabgleich lassen sich derartige Biometriefunktionen bereits mit vergleichbar einfachen Nachbildungen des biometrischen Merkmals überwinden. Etwas sicherer sind Biometriefunktionen mit dreidimensionaler Gesichtserkennung („TrueDepth-Technologie“ / „FaceID“), die lediglich bei bestimmten Smartphones angeboten werden. Hier kann zumindest das Vertrauensniveau „substantiell“ erreicht werden. Risiken bestehen aber auch hier, so dass in manchen Fällen auch Gesichter von nahen biologischen Verwandten akzeptiert werden.

Bei der Biometriefunktion wird nicht in einem den Anforderungen des Sicherheitsniveaus „hoch“ entsprechendem Maße geprüft, ob tatsächliche die zugriffsberechtigte Person auf die Daten zugreift.

Die Biometriefunktion ist komfortabler, erreicht aber nicht das Sicherheitsniveau des PIN-Verfahrens.

Warum muss ich bei der GesundheitsID die Gerätebindung erneuern?

Die eID und die eGK sind kartengebundene Authentifizierungsmittel, bei denen der Besitz-Faktor durch die jeweilige Karte abgebildet wird. Bei der GesundheitsID übernimmt stattdessen das eigene Smartphone die Rolle des Besitz-Faktors. Aus diesem Grund ist bei der GesundheitsID eine Gerätebindung erforderlich, bei deren Einrichtung Authentifizierungsinformationen gespeichert werden. Anders als bei eID und eGK, wo die Kartenherausgeber die Sicherheit der auf den Karten gespeicherten Authentifizierungsinformationen gewährleisten können, ist dies bei mobilen Endgeräten aufgrund verschiedener Hard- und Softwarekonfigurationen nicht so einfach möglich. Darum wird bei mobilen Endgeräten auf eine Zertifizierung gesetzt. Vielen Smartphone fehlt eine solche Zertifizierung. Um eine flächendeckende Verbreitung der GesundheitsID zu ermöglichen, muss bei nicht zertifizierten Smartphones eine sicherheitstechnische Kompensationsmaßnahme ergriffen werden, um die Sicherheit auf andere Weise zu gewährleisten.

Diese Maßnahme sieht vor, dass auf nicht zertifizierten Smartphones die Authentifizierungsinformationen befristet mit einem Ablaufdatum gespeichert werden. Die Zeitspanne für einen Angriff auf die Authentifizierungsinformationen ist somit begrenzt. Nach Ablauf sind die Authentifizierungsinformationen ungültig und die Gerätebindung muss erneuert werden. Hierzu müssen sich Versicherte erneut sicher mit eID / eID-PIN oder eGK / eGK-PIN authentifizieren.

Auch bei ausschließlicher Nutzung der GesundheitsID ist es erforderlich, die Karte(n) weiter gut aufzubewahren und sich die PIN(s) zu merken. Diese werden später wieder benötigt, zur Erneuerung der Gerätebindung oder zur Neueinrichtung der GesundheitsID bei einem Wechsel des Smartphones.

Wofür benötige ich eine PIN?

Authentifizierungen mit dem Vertrauensniveau „hoch“ können ausschließlich mit einer Zwei-Faktor-Authentifizierung erreicht werden. Bei eID, eGK und GesundheitsID sind dies die Faktoren Besitz (Karte, Smartphone) und Wissen (PIN). Bei Authentifizierungen, für die eine eGK-PIN benötigt wird, wird in der Regel alternativ auch eine Authentifizierung mit eID und eID-PIN oder mit GesundheitsID und GesundheitsID-PIN angeboten. Die GesundheitsID kann wiederum mit eID und eID-PIN eingerichtet werden.

Auch bei ausschließlicher Nutzung der GesundheitsID ist es erforderlich, die Karte(n) weiter aufzubewahren und sich die PIN(s) zu merken. Diese werden später wieder benötigt, zur Erneuerung der Gerätebindung (siehe oben, „Warum muss ich bei der GesundheitsID die Gerätebindung erneuern?“) oder zur Neueinrichtung der GesundheitsID bei einem Wechsel des mobilen Endgerätes (beispielsweise eines Smartphones).

Wie erhalte ich eine PIN?

Die eID-PIN für den Personalausweis bekommen Bürgerinnen und Bürger in Deutschland seit 2017 zusammen mit dem neuen Personalausweis ausgehändigt. Versicherte, die in der Vergangenheit eine elektronische Patientenakte beantragt haben, haben eine eGK-PIN von ihrer Krankenkasse erhalten. Bei Bedarf können die PINs für eID und / oder eGK (neu) beantragt werden. Die eGK-PIN erhalten Versicherte auf Verlangen von ihrer Krankenkasse.

Vor Ausgabe der eGK-PIN an eine versicherte Person muss deren Identität geprüft werden. Diese Identifizierung wird üblicherweise zusammen mit dem Versand vorgenommen, indem die eGK-PIN per PostIdent-Verfahren zugestellt wird. Bei diesem Verfahren wird die Sendung ausschließlich an den Empfänger persönlich ausgehändigt, der sich dem Postboten gegenüber ausweisen muss. Zur Erhöhung der Sicherheit ist die Entgegennahme/Abholung durch eine bevollmächtigte Person ausgeschlossen. Wird der Empfänger vom Postboten nicht angetroffen, wird die PostIdent-Sendung zur nächstgelegenen Postfiliale gebracht. Dort kann sie vom Empfänger unter Vorlage eines Ausweises abgeholt werden.

Da eGK und eGK-PIN wie Schloss und Schlüssel aufeinander abgestimmt sind, muss bei einer nicht entgegengenommenen/rechtzeitig abgeholten eGK-PIN in der Folge auch die eGK neu ausgestellt werden.

Wer bereits über eine eID und eID-PIN verfügt, benötigt nicht zwingend auch eine eGK-PIN. Bei Authentifizierungen, für die eine eGK-PIN benötigt wird, wird alternativ auch eine Authentifizierung mit eID / eID-PIN oder mit GesundheitsID / GesundheitsID-PIN angeboten.

Warum ist der Versand der eGK-PIN so kompliziert?

Mit dem Versand der eGK-PIN per PostIdent setzen die Krankenkassen die Vorgaben um, eine Zustellung mit einem sicheren Verfahren an den Versicherten persönlich zu gewährleisten. Die eGK wird zusammen mit der eGK-PIN als Authentifizierungsmittel genutzt für Authentifizierungen mit dem Vertrauensniveau „hoch“. Ein Authentifizierungsmittel mit dem Vertrauensniveau „hoch“ setzt voraus, dass bei dem Authentifizierungsmittel davon ausgegangen werden kann, dass die Person, die es benutzt, auch hierzu berechtigt ist. Deshalb muss vor Ausgabe der eGK-PIN an eine versicherte Person deren Identität geprüft werden.

nach oben