Elektronische Gesundheitskarte: Datenverlust oder Designproblem?
Nach dem Ausfall eines Hochsicherheitsmoduls für die Verschlüsselung der Testkarten stellt sich die grundsätzliche Frage, wie verschiedene Kartengenerationen zusammen funktionieren.
Der Ausfall eines Hochsicherheitsmoduls für die Verschlüsselung der Testkarten mag für die aktuellen Testläufe der elektronischen Gesundheitskarte (eGK) keine größere Bedeutung haben. Zumindest betonte die für den Test zuständige Projektgesellschaft Gematik gegenüber der Ärztezeitung, dass lediglich einige hundert Testkarten betroffen sein sollen. Doch stellt sich angesichts des Ausfalls die grundsätzliche Frage, wie verschiedene Kartengenerationen zusammenarbeiten können.
Während Deutschland auf die Einführung der elektronischen Gesundheitskarte wartet, schreitet die technische Entwicklung voran. Angesichts der schleppenden Einführung der Karte, die im Herbst zumindest in der Startregion Nordrhein die Patienten erreichen soll, gibt es verschiedene Überlegungen, aus der verfahrenen Situation das Beste zu machen. Zunächst wird die eGK dabei über einen längeren Zeitraum als "herkömmliche Versichertenkarte" eingesetzt werden, bei der nur Anschrift und Versichertennummer ausgelesen werden. Dabei spielt der entsprechende Heilberufsausweis (HBA) der Ärzte und Apotheker keine Rolle, da nur die SMC-Karten der Lesegeräte und die eGK beteiligt sind.
Dementsprechend überlegen sich die zuständigen Gremien von Ärztekammern und Zertifikatsdiensteanbietern, mit der Ausgabe des HBA etwas zu warten und gleich mit der sogenannten "zweiten Generation" zu starten. So können Kosten gespart werden, wenn der HBA nicht schon nach wenigen Monaten getauscht werden muss. Der Begriff "zweite Generation" bezieht sich dabei auf die kryptographischen Funktionen nach Vorgaben der technischen Richtlinie TSR TR-03116 (PDF-Datei) des Bundesamtes für Sicherheit in der Informationstechnik (BSI): Während die erste Generation mit RSA 2048 Bit, 3TDES und SHA-256 verschlüsselt, sollten bei der zweiten Generation elliptische Kurven, AES und SHA-256 zum Einsatz kommen. Diese Kartengeneration soll 2010/2011 eingeführt werden.
Nach Informationen von heise online steht ein Antrag auf der Tagesordnung des zuständigen Fachausschusses, mit der Ausgabe der HBA erst mit der zweiten Generation zu beginnen, weil die eGK viel zu langsam eingeführt wird. Kommt der Antrag durch, so steht die Gematik vor der technischen Herausforderung, mit dem Start der eGK gleich ein funktionierendes Generationenmanagement einzuführen. Wenn in einem CV-PKI-System zwei Karten mit verschiedenen CV-Schlüsseltypen aufeinander treffen, können sie sich nicht gegenseitig authentifizieren. Dieses Problem steht auch hinter dem berichteten Ausfall eines Hochsicherheitsmoduls im Trustcenter von D-Trust. D-Trust kann ohne weiteres neue Root-Zertifikate generieren, doch können die bereits im Umlauf befindlichen Testkarten der ersten Generation keine Authentifizierung mit den neuen Karten durchführen.
Bereits 2008 hatte der Gematik-Mitarbeiter Alfred Fiedler auf dem einem Smartcard-Workshop eine Migrationsstrategie zwischen verschiedenen Krypto-Generationen vorgestellt, die auf der Idee eines SAM (Security Access Moduls) beruhte. Wie Fiedler in seinem Vortrag (PDF-Datei) ausführte, ist das zwischen Connector und Kartenlesegerät geschaltete SAM ein "Übersetzungsmodul", das praktisch die Algorithmen und das Schlüsselmaterial aller Generationen beherrscht. Nur mit SAM können die "Lebensspannen" von eGK und HBA unabhängig von den Generationswechseln geplant werden, die durch Veralten der kryptografischen Technologien bestimmt sind.
Allerdings konnte 2008 nicht die Frage beantwortet werden, wie ein SAM die unterschiedlichen Zugriffsrollen der verschiedenen Karten verwaltet. Die mit der HSM-Panne bekannt gewordene Mitteilung der Gematik spricht davon, "dass zu den derzeit im Umlauf befindlichen korrekten eGK-Musterkarten der Generation 1 insbesondere keine Muster-HBA der Generation 1 mehr produziert werden können, die mit den bereits existierenden eGKs eine erfolgreiche Card-to-Card-Authentifizierung durchführen können." Diese Formulierung deutet darauf hin, dass man noch am Konzept für das Generationen-Management arbeitet.
Siehe dazu auch:
(Detlef Borchers) / (vbr)
