Sichere Kartenspiele auf dem Smartcard-Workshop

Der zweitägige Smartcard-Workshop des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) beschäftigte sich im 18. Jahr seines Bestehens vor allem mit der Sicherheit von Smartcards und Ausweisen, in denen SmartCards verbaut sind. Wie kann das Auslesen von elektronischen Reisepässen störsicher gemacht werden, wie greift man mit PACE sicher auf den elektronischen Personalausweis zu, mit welchen Kryptoalgorithmen kann die elektronische Gesundheitskarte über einen längeren Zeitraum ausgegeben werden, auch wenn sich die Anforderungen an die Stärke der Kryptoalgorithmen zwischenzeitlich ändern? Daneben gab es Referate aus der Praxis und eine Preisverleihung an Pionieren der Chiptechnologie.

Mit fünf Referaten bildete die elektronische Gesundheitskarte einen thematischen Schwerpunkt des Workshops. In seinem Referat über die Algorithmenkataloge in Deutschland beschäftigte sich Georg Illies vom Bundesamt für Sicherheit in der Informationstechnik detailliert mit der technischen Richtlinie 03116 (PDF-Datei) für die Gesundheitskarte. Er zeigte, warum nach den erfolgreichen Angriffen auf die Hashfunktion SHA-1 oder auf die Blockchiffre DES im Laufe der Ausgabe der Gesundheitskarten und Heilberufsausweise auf andere Standards wie AES und elliptische Kurven umgestellt werden muss.

Alfred Fiedler von der Projektgesellschaft Gematik stellte das "Security Access Modul" (SAM) als Lösung des Generationen-Problems bei der elektronischen Gesundheitskarte vor. SAM ist ein im Kartenterminal laufendes Programm, das als "Übersetzer" zwischen den Algorithmen der ersten Chipkartengeneration (ab 2008 mit RSA 2048 Bit, 3TDES und SHA-256) und der zweiten Generation (ab 2011 mit elliptischen Kurven, AES und SHA-256) funktioniert. Er muss erst dann mit einem Upgrade des Terminals ausgetauscht werden, wenn 2015 die dritte Karten-Generation ausgerollt wird.

Das zum Herbst 2008 bevorstehende Rollout der ersten Karten-Generation entscheidet über die Akzeptanz der Gesundheitskarte bei den Versicherten. Bei den Ärzten sind hingegen Lösungen gefragt, die das Unterschreiben von elektronischen Rezepten vereinfachen. Ulrich Waldmann vom Veranstalter SIT stellte den aktuellen Stand der Arbeiten an der Komfort- und Stapelsignatur vor, die bis zum 21. März abgeschlossen sein sollen. Bei beiden Verfahren soll der Arzt bei der Rezeptausstellung von der jeweils neuen Eingabe der Signatur-PIN entlastet werden. Statt der PIN soll ein RFID-Token (z.B. ein Chip am Schlüsselbund) in einer Entfernung von 5 cm am Lesegerät als Unterschriftsaulöser funktionieren, alternativ soll ein Fingerabdruck des Arztes am Kartenterminal die Unterschrift auslösen. Ob die biometrische Methode überhaupt zum Einsatz kommt, ist Waldmann zufolge noch nicht sicher. Das von den Terminal-Herstellern gemeinsam vorgeschlagene Fingerprint-Modul ist nicht nach den BSI-Vorgaben mit der Mechanismenstärke "mittel" oder "hoch" zertifizierbar. Außerdem lehnt das BSI als für die Sicherheit zuständige Aufsichtbehörde das Einzel-Enrollment des unterschreibenden Arztfingers an jedem Terminal ab. Wenn biometrisch in Umgebungen unterschrieben werden soll, in denen mehrere Lesegeräte zum Einsatz kommen, so muss das Enrollment nach Ansicht von BSI und Gematik aus Gründen der Sicherheit zentral am Konnektor erfolgen. Bislang werden jedoch keine Konnektoren mit Fingerprint-Modulen produziert.

Einen anderen Blick auf die medizinische Telematik lieferten Marjan Sušelij und TomaŽ Marčun vom Institut der slovenischen Krankenversicherer. Slovenien hat seit 7 Jahren ein System mit einer elektronischen Gesundheitskarte im Einsatz, das nunmehr abgelöst werden soll. Bereits beim alten System konnten die Bürger die Daten ihrer Karte einsehen, mussten dazu aber staatlich finanzierte eKioske aufsuchen. Im Zuge der allgemeinen Internet-Akzeptanz verlangten die Patienten nach neuen Karten, die sie selbst ohne Kiosk einsetzen können. Sie werden nun zusammen mit neuen Heilberufsausweisen ab Mai 2008 ausgerollt werden. Beide Karten-Varianten kommen als Javacard-Anwendungen mit qualifizierten Signatur-Zertifikaten, die gebraucht werden, um die zentral gespeicherten medizinischen Daten abzufragen. Da es in Slowenien nur drei gesetzliche Krankenkassen gibt, soll die in Deutschland sehr umstrittene Form der zentralen Haltung von Patientendaten problemlos möglich sein. Die Referenten berichteten, dass es in Slowenien keine Akzeptanzprobleme geben soll, obwohl die Datenbank neben allgemeinen Daten wie Versicherung, Zusatzversicherungen und den gewählten Hausarzt auch Einzeldaten wie die verschriebenen elektronischen Rezepte, Schwangerschaftsdaten (samt Daten zur künstlichen Befruchtung), Langzeitkrankheiten (z.B. Diabetes) und die Bereitschaft zur Organspende aufnehmen soll. "Das Online-System wird ein wertvolles Werkzeug zur Analyse der Gesundheit der slowenischen Bevölkerung werden", erklärte Marjan Sušelj in Darmstadt. (Detlef Borchers) / (jk)