Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Signaturbündnis macht Dampf

„Es geht voran“ - das ist die vor-läufige Zwischenbilanz nach einem Jahr Signaturbündnis. Doch die wesentlichen Impulse für die Einführung der digitalen Signatur kommen nicht aus der Wirtschaft, sondern von der Regierung.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 9 Min.
c't Magazin
Von
  • Christiane Schulzki-Haddouti
Inhaltsverzeichnis

Das von der Bundesregierung ins Leben gerufene Signaturbündnis soll bis Ende 2005 die Voraussetzungen dafür schaffen, den elektronischen Rechts- und Geschäftsverkehr flächendeckend mit elektronischen Signaturen abzuwickeln. Dafür will es einen einheitlichen technischen Standard entwickeln für multifunktionale Chipkarten und im Einklang mit dem Signaturgesetz. Die Politik geht hierbei mit drei großen, ehrgeizigen Ausweisprojekten voran: der Gesundheitskarte, der Jobcard und dem digitalen Personalausweis.

Datev-Vorstand Michael Leistenschneider vergleicht die Entwicklung mit der Geschichte der EC-Karte: „Mit den ersten Karten konnte man nur am Geldautomaten der eigenen Bank Geld holen. Heute kann man überall Geld abheben, aber die Geldautomaten unterscheiden zwischen eigenen und fremden Karten und berechnen unterschiedliche Gebührensätze.“ In diese Richtung sollen sich auch Signaturkarten entwickeln, indem sich die Projekte der Industrie an den im Signaturbündnis gesetzten Standards orientieren. Denn ohne Interoperabilität wird die digitale Signatur kaum zum Durchbruch kommen.

Zu den Gründungspartnern des Bündnisses gehören neben Innen- und Arbeitsministerium auch die Bundesversicherungsanstalt für Angestellte und der Bundesverband der Betriebskrankenkassen. Angesichts der Umsätze, die eine flächendeckende Einführung von Signaturlösungen mit sich brächte, ist das Interesse der Industrie enorm. Heute besitzt das Bündnis 36 Mitglieder. Erste Arbeitsergebnisse will es Mitte des Jahres vorstellen.

Vor allem die Banken bringen ihre Expertise mit Nachdruck und Erfolg ein: Ihr Kartenbetriebssystem Seccos hat beste Aussichten, zum künftigen Standard erkoren zu werden. Mitglieder wie Sun Microsystems streben ein Zusammenwachsen des sich entwickelnden Signaturbündnis-Standards mit dem US-amerikanischen Liberty Alliance Standard an. Dabei schlagen sich die Bündnispartner jedoch mit einer Vielzahl von Detailfragen herum. So schreibt der in E-Government-Projekten genutzte ISIS-MTT-Standard acht bis zwölf Dezimalstellen für die Identitätsnummer vor, die Hypovereinsbank-Karte nutzt 18 Stellen und international gängig sind 20 Stellen.

Entschärftes Signaturgesetz

Außerdem drängten die Banken die Regierung, das strenge Signaturgesetz zu überarbeiten, um die Vorgaben endlich auf ein europäisches Niveau abzusenken und digitale Signaturen einfacher handhabbar zu machen. Das Wirtschaftsministerium zeigte sich zunächst aufgeschlossen, doch der Anfang April veröffentlichte Entwurf enttäuschte die Erwartungen. So hatten sich die Banken eine Klarstellung gewünscht, dass sie die Identität ihrer Kunden vor der Ausgabe einer Signaturkarte nicht erneut prüfen müssen. Obwohl das Ministerium die Ansicht vertritt, dass Karten ohne zusätzliche Prüfung ausgegeben werden können, steht davon nichts im Entwurf.

Dafür verankerte die Regierung dort die zentrale Position der Regulierungsbehörde als oberste Gesetzesauslegungsinstanz, oberstes technisches Kontrollgremium und als Root-Betreiber in der Zertifizierungshierarchie. Neu eingeführt wurde, dass Polizei und Geheimdienste jederzeit und kostenlos bei Zertifizierungsdienstanbietern die Kopien von Personalausweisdaten inklusive Lichtbild abfragen können, etwa um Ordnungswidrigkeiten zu verfolgen.

Wackelkandidat Gesundheitskarte

Auf dem Regierungsfahrplan ganz oben steht die Gesundheitskarte: Sie soll im Laufe des Jahres 2005 schrittweise eingeführt werden und ab 2006 jedem Patienten zur Verfügung stehen, zunächst aber nur als Speicher für elektronische Rezepte. Davon verspricht man sich erhebliche Einsparungen; immerhin werden in Deutschland jährlich rund 700 Millionen Rezepte ausgestellt. Auf freiwilliger Basis soll die Karte auch die Bereitstellung und Nutzung medizinischer Daten unterstützen wie Informationen für eine Notfallversorgung, Arzneimitteldokumentationen, den elektronischen Arztbrief und die elektronische Patientenakte.

Die Beschreibung einer „herstellerneutralen Telematik-Rahmenarchitektur und Sicherheitsinfrastruktur“ liegt vor; die technische Umsetzung soll bis Oktober in einer ersten Stufe erarbeitet sein. Die Beschreibung stammt von einem Projektkonsortium bestehend aus dem Fraunhofer-Institut IAO sowie den Firmen IBM, SAP, InterComponentWare und ORGA Kartensysteme. Sie beschreibt aber nur die Grundfunktionen der Gesundheitskarte wie die Identifizierung, Authentifizierung, Verschlüsselung und die elektronische Signatur.

20 Monate vor der flächendeckenden Einführung der Gesundheitskarte sind noch viele Fragen offen: Wie werden die Karten an die Terminals angebunden, wie sieht das Kartenmanagement aus und welche digitale Signatur wird genutzt? Wie viel Speicherplatz soll die Gesundheitskarte haben, welche Daten werden darin direkt gespeichert und welche auf einem zentralen Server mit Zugriffsschutz über die Karte. Dies soll ab Ende 2004 eine Reihe von Modellprojekten klären.

Übers Knie

Über den knappen Zeitplan des Gesundheitsministeriums können Experten nur den Kopf schütteln. Allein für die Ausgabe einer PIN-Karte, wie sie im Falle der digitalen Signatur nötig wäre, rechnen Bankexperten mit sechs bis zwölf Monaten Vorbereitungszeit. Wer aber eine solche PIN erzeugen und verteilen soll, wurde in der Gesundheitsbranche, die bislang mit solchen Geschäftsprozessen nichts zu tun hatte, noch nicht diskutiert. Nur wenn die Karte auf die digitale Signatur verzichtet, ist auch keine PIN nötig. Dann aber droht dem Signaturbündnis der Verlust eines breitenwirksamen Projekts. Aus den Papieren des Gesundheitsministeriums ist diesbezüglich jedenfalls keine Festlegung herauszulesen, obgleich sich Ministerin Ulla Schmidt auf der CeBIT bereits mit einer Signatur-Gesundheitskarte ablichten ließ.

Auch die heterogene Systeminfrastruktur bei Ärzten und Apothekern - teilweise sind dort noch DOS-Programme im Einsatz -, die sie nun auf die Karte hin anpassen müssen, bereitet Sorgen. Florian Lanz, Sprecher des BKK Bundesverbandes, rechnet jedenfalls nicht damit, dass „jeder Arzt oder Apotheker zum Starttermin mit der notwendigen Technik ausgerüstet ist“. Das Industriekonsortium rund um IBM fordert hier nur pauschal, sich auf eine „technikneutrale Schnittstelle zu den Primärsystemen“ festzulegen. Diese vom Konsortium als „bIT4health-Connector“ bezeichnete Schnittstelle soll die Integration unterschiedlicher Dienste bereits in der Pilotphase ermöglichen. Der bIT4health-Connector soll auch Zugriffsberechtigungen überprüfen. Ob eine solche Alles-Könner-Schnittstelle jedoch für die in der Praxis vorhandene heterogene Systemlandschaft überhaupt realisiert werden kann, hat noch niemand geprüft.

Die aktuellen Kostenschätzungen für die Einführung der Gesundheitskarte variieren zwischen einer Milliarde Euro seitens des Ministeriums und 1,7 Milliarden durch die Industrie. Spätestens nach zwei Jahren sollen die Kosten amortisiert sein. Das Gesundheitsministerium hält bis jetzt am Starttermin 1. Januar 2006 fest - so steht es auch im Gesundheitsmodernisierungsgesetz. Laut Wirtschaftsminister Wolfgang Clement setzt die Gesundheitskarte „technologische Maßstäbe“. Doch Beobachter bezeichnen das ehrgeizige Projekt schon als „Maut II“.

Schlüsselprojekt Jobcard

Den Starttermin seiner Jobcard hat Clement vorsichtshalber aus dem Wahljahr 2006 nach 2007 verschoben. Ausgegeben werden soll sie an rund 38 Millionen Arbeitnehmer - aber erst nach der Einführung der digitalen Gesundheitskarte. Ein Gesetzentwurf liegt noch nicht vor, doch ist über die Jobcard schon viel mehr bekannt als über die Gesundheitskarte: Die Jobcard soll Zugriff auf die Daten aller Arbeitnehmer zu den Beschäftigungszeiten, zur Höhe von Entgeltzahlungen sowie zur Auflösung des Beschäftigungsverhältnisses ermöglichen. Damit soll sie Verwaltungsabläufe der Arbeitsämter beziehungsweise Jobcenter beschleunigen, sodass die Bearbeitung und Genehmigung von Lohnersatzleistungen schneller erfolgen kann. Durch Einführung der Jobcard werden Unternehmen von der Ausstellung besonderer Verdienstbescheinigungen befreit, von denen jährlich rund 60 Millionen anfallen. Das Einsparpotenzial beziffert die Regierung auf 500 Millionen Euro pro Jahr.

Das Wirtschaftsministerium will für die Karte keine eigene Infrastruktur aufbauen, sondern auf vorhandene Strukturen zurückgreifen. Die Jobcard-Anwendung könnte etwa auf die Signatur-Card der Deutschen Bank aufgespielt werden. Ende März 2004 wurde ein Grobkonzept vorgestellt, das Feinkonzept soll bis Oktober 2004 stehen. Der Modellbetrieb ist bereits für Anfang November geplant.

Und eins ist klar: Die Jobcard ist eine Signaturkarte. Sie trägt gleich drei Schlüsselpaare: Schlüsselpaar I dient der qualifizierten Signatur, Schlüsselpaar II der Verschlüsselung von Dokumenten sowie E-Mails und Schlüsselpaar III der Authentifizierung. Die Datenformate für die Übermittlung der Daten wurden bereits erarbeitet.

Karten im Wandel

Wie wird eine von den Banken ausgegebene Signaturkarte zur Jobkarte? Das so genannte Registraturfachverfahren kombiniert die ID-Nummer der Karte mit der Rentenversicherungsnummer des Besitzers. Ähnlich könnte aus der Kombination der ID-Nummer mit der Steuernummer eine Elster-Card entstehen oder aus der Kombination ID-Nummer und der vom Einwohnermeldeamt vergebenen Nummer eine Bürgerkarte. Das Verfahren stellt sicher, dass Sachbearbeiter etwa in einer Arbeitsagentur nur auf die für sie relevanten Daten Zugriff erlangen.

Noch entwickeln die Ministerien ihre Kartenprojekte unabhängig voneinander. Um die Gemeinsamkeiten für alle Kartenprojekte hinsichtlich der digitalen Signatur zu definieren, wird die Bundesregierung demnächst eine eCard-Initiative beschließen. Sie will vor allem innerhalb der Ministerien einen Konsens darüber herbeiführen, wie Infrastrukturen für die qualifizierte digitale Signatur und damit zusammenhängende Dienstleistungen zu nutzen sind, um die Projekte Gesundheitskarte, Jobcard und digitaler Personalausweis enger miteinander zu verkoppeln. Dafür will sie wiederum die Arbeitsergebnisse des Signaturbündnisses aufgreifen. Somit könnte endlich ein lückenloser Kommunikationskreislauf zwischen den Ministerien und mit der Wirtschaft in Gang kommen. Ob dies auch den Kartenprojekten Erfolg bringt, bleibt abzuwarten. (ad)

[1] Signatürbündnis: www.signaturbuendnis.de

[2] Jobcard: http://job-card.teamarbeit-fuer-deutschland.de

[3] Gesundheitskarte: www.dimdi.de/de/ehealth/karte/index.htm (ad)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten