Momentan sind Chipkarten mit 32 bzw. 64 KB Speicher im GesprÀch, d.
h. es werden mit Sicherheit nicht alle Daten auf die Karte passen.
Dies ist aber nicht der Hauptgrund dafĂŒr, dass Daten auf dem Server
gespeichert werden. Wesentliche Argumente fĂŒr eine serverbasierte
Datenhaltung sind vielmehr:
- SicherheitsĂŒberlegungen: Die Gesundheitskarte unterstĂŒtzt keine
X.509 Authentifizierung der zugreifenden Person. Selbst wenn dies
technisch möglich wĂ€re, wĂŒrde es nicht allzu viel bringen, da die
Karte immer auf eine Dritten angewiesen wÀre, der die AuthentizitÀt
z. B. von Sperrlisten garantiert. Dieser "Dritte" kann der Karte aber
mit einem selbstgebastelten LesegerÀt oder einem manipulierten
Konnektor relativ problemlos vorgegaukelt werden. Aus diesem Grund
werden sog. CV-Zertifikate eingesetzt, ĂŒber die bei Datenzugriff
durch die Karte selber eine RollenĂŒberprĂŒfung stattfinden kann (d. h.
die zugreifende Person authentifiziert sich ĂŒber ihren
Heilberufsausweis der Gesundheitskarte gegenĂŒber als Arzt. Dieser
Vorgang lÀuft allein zwischen den Karten ab, d.h. es wird keine
weitere Instanz benötigt und aufgrund des zwischen den Karten
aufgebauten sicheren Kanals ist auch keine Einflussnahme ĂŒber das
LesegerĂ€t möglich). FĂŒr besonders sensible Daten wie z. B. die
Patientenakte ist dieses Schutzniveau jedoch nicht ausreichend, da
Heilberufsausweise auch gestohlen werden können und in vielen FÀllen
die EinschrÀnkung auf eine Rolle nicht ausreichend ist, sondern man
die Zugriffsrechte auf einzelne Ărzte beschrĂ€nken will. Aus diesen
GrĂŒnden wird in der Lösungsarchitektur ein Konzept vorgeschlagen, in
dem viele Daten auf Servern verwaltet werden, der Zugriff und die
EntschlĂŒsselung der Daten aber nur ĂŒber auf der Gesundheitskarte
gespeicherte ZugangsschlĂŒssel (sog. Tickets) möglich ist. Dieses
Konzept vereint die StÀrken der Karte (physikalischer Besitz der
ZugangsschlĂŒssel) und der Server (individuelle RechteĂŒberprĂŒfung,
Zugriffsprotokollierung, etc.), so dass letztendlich ein höheres
Sicherheitsniveau erreichbar ist, als wenn die Daten auf der Karte
liegen wĂŒrden.
- fachliche Anforderungen wie z. B. die Ausstellung von Folgerezepten
(erneute Ausstellung eines Rezepts - z. B. fĂŒr chronisch Kranke -
ohne dass der Versicherte dazu extra in die Arztpraxis kommen muss)
und die Weiterleitung von Entlassungsdokumenten vom Krankenhaus an
den Hausarzt erfordern, dass bestimmte Aktionen möglich sind, ohne
dass dazu auch auf die Karte geschrieben werden muss. Auch hierbei
kann jedoch durch Nutzung asymmetrischer VerschlĂŒsselungsverfahren
sichergestellt werden, dass ein Zugriff auf die Daten nur mit der
Karte des Versicherten möglich ist.
Die Spezifikation der technischen Umsetzung des Sicherheitskonzepts
ist unter
http://www.dimdi.de/de/ehealth/karte/technik/loesungsarchitektur/erge
bnisse/index.htm im Dokument "Gesamtsicht" beschrieben.
h. es werden mit Sicherheit nicht alle Daten auf die Karte passen.
Dies ist aber nicht der Hauptgrund dafĂŒr, dass Daten auf dem Server
gespeichert werden. Wesentliche Argumente fĂŒr eine serverbasierte
Datenhaltung sind vielmehr:
- SicherheitsĂŒberlegungen: Die Gesundheitskarte unterstĂŒtzt keine
X.509 Authentifizierung der zugreifenden Person. Selbst wenn dies
technisch möglich wĂ€re, wĂŒrde es nicht allzu viel bringen, da die
Karte immer auf eine Dritten angewiesen wÀre, der die AuthentizitÀt
z. B. von Sperrlisten garantiert. Dieser "Dritte" kann der Karte aber
mit einem selbstgebastelten LesegerÀt oder einem manipulierten
Konnektor relativ problemlos vorgegaukelt werden. Aus diesem Grund
werden sog. CV-Zertifikate eingesetzt, ĂŒber die bei Datenzugriff
durch die Karte selber eine RollenĂŒberprĂŒfung stattfinden kann (d. h.
die zugreifende Person authentifiziert sich ĂŒber ihren
Heilberufsausweis der Gesundheitskarte gegenĂŒber als Arzt. Dieser
Vorgang lÀuft allein zwischen den Karten ab, d.h. es wird keine
weitere Instanz benötigt und aufgrund des zwischen den Karten
aufgebauten sicheren Kanals ist auch keine Einflussnahme ĂŒber das
LesegerĂ€t möglich). FĂŒr besonders sensible Daten wie z. B. die
Patientenakte ist dieses Schutzniveau jedoch nicht ausreichend, da
Heilberufsausweise auch gestohlen werden können und in vielen FÀllen
die EinschrÀnkung auf eine Rolle nicht ausreichend ist, sondern man
die Zugriffsrechte auf einzelne Ărzte beschrĂ€nken will. Aus diesen
GrĂŒnden wird in der Lösungsarchitektur ein Konzept vorgeschlagen, in
dem viele Daten auf Servern verwaltet werden, der Zugriff und die
EntschlĂŒsselung der Daten aber nur ĂŒber auf der Gesundheitskarte
gespeicherte ZugangsschlĂŒssel (sog. Tickets) möglich ist. Dieses
Konzept vereint die StÀrken der Karte (physikalischer Besitz der
ZugangsschlĂŒssel) und der Server (individuelle RechteĂŒberprĂŒfung,
Zugriffsprotokollierung, etc.), so dass letztendlich ein höheres
Sicherheitsniveau erreichbar ist, als wenn die Daten auf der Karte
liegen wĂŒrden.
- fachliche Anforderungen wie z. B. die Ausstellung von Folgerezepten
(erneute Ausstellung eines Rezepts - z. B. fĂŒr chronisch Kranke -
ohne dass der Versicherte dazu extra in die Arztpraxis kommen muss)
und die Weiterleitung von Entlassungsdokumenten vom Krankenhaus an
den Hausarzt erfordern, dass bestimmte Aktionen möglich sind, ohne
dass dazu auch auf die Karte geschrieben werden muss. Auch hierbei
kann jedoch durch Nutzung asymmetrischer VerschlĂŒsselungsverfahren
sichergestellt werden, dass ein Zugriff auf die Daten nur mit der
Karte des Versicherten möglich ist.
Die Spezifikation der technischen Umsetzung des Sicherheitskonzepts
ist unter
http://www.dimdi.de/de/ehealth/karte/technik/loesungsarchitektur/erge
bnisse/index.htm im Dokument "Gesamtsicht" beschrieben.