Probleme mit KV Safenet bei der KV-No ?


Wie immer stand Ende März 2017 die KV-Quartalsabrechnung in unserer Praxis an, wobei wir neben der eigentlichen Abrechnungsdatei auch eine digital signierte Gesamtaufstellung (eine pdf)  erstellen und zusammen mit der eigentlichen Abrechnungsdatei als Paket mittels KV Safenet an die KV Nordrhein übermitteln.

Zur Signatur wird der HBA (Heilberufeausweis) von medisign verwendet, als Signatursoftware (noch) eine nicht mehr ganz frische Version von OPENLIMIT.

Das läuft an sich auch alles ganz gut.

Wäre nicht eine Woche vorher Sommerzeit-Umstellung gewesen.

Aber der Reihe nach.

Es muß hinzugefügt werden, dass ich zwei Wochen zuvor erfolgreich eine Testabrechnung, inkl. digital signierter Gesamtaufstellung (das ist möglich in KV Safenet 2.1) bereits erfolgreich übermittelt hatte, aber das war vor der Zeitumstellung.

Auf unserer Seite lief die Erstellung der Abrechnung für die beiden Ärzte der Praxisgemeinschaft zunächst ganz problemlos: Erstellen der Abrechnungsdatei, der Gesamtaufstellung, die Signatur mittels der jeweiligen HBA, selbst die Übermittlung zur KV Nordrhein, alles ohne Probleme.

Zurück kam eine Quittung, die besagte, dass die Signatur zwar gültig, aber nicht kontrolliert werden konnte. Nach einigen Anrufen bei der KV ergab sich folgende Situation: Die Signatur sei deswegen abgelehnt worden, weil die überprüfende Software zum Zeitpunkt des Eintreffens der Datei auf dem Server der KV eine Signatur vorfand, die eine Stunde in der Zukunft signiert worden war. Also beispielsweise ist die Abrechnung um 10.27 Uhr eingetroffen, die Signatur aber war – laut der kontrollierenden Software bei der KV – um 11.27 Uhr erfolgt, also in der Zukunft, daher habe die Software die Signatur abgelehnt. Ich müsse die Zeiteinstellung auf meinem Rechner überprüfen, so wurde mir mitgeteilt.

Nun ist es aber so: wäre ein einsendender Rechner nicht umgestellt worden, wäre er um eine Stunde in der Vergangenheit, da die Uhren in der Sommerzeitumstellung vorgestellt wurden.

Mit der Zeit wurde mir also klar, dass das Problem nicht auf unserer Seite liegen kann. Wenn der Rechner, der auf Seiten der KV die Signatur kontrolliert in der falschen Zeitzone liegt, oder die Umstellung nicht mitgemacht hat, wird er jede Signatur als aus der Zukunft kommend empfinden – und offenbar ablehnen.

Es gelang mir schließlich, der KV Nordrhein klar zu machen, dass ein solches Problem nicht auf unserer Seite liegen kann. Ein Mitarbeiter der KV hatte zunächst, um das Problem vordergründig zu lösen, die abgelehnte Abrechnung eine Stunde später wieder ins System gestellt (nun fand der kontrollierende Rechner die Uhrzeit der Signatur in Ordnung) und damit – zunächst – das Problem gelöst. Die Abrechnung war nun gültig und  passierte das System einwandfrei.

Weitere Kontrollen ergaben nach Aussagen des Mitarbeiters folgende Situation: auf ein- und demselben Rechner der KV waren 3 verschiedene Signatursoftware-Programme installiert, offenbar zu Testzwecken. Zwei davon ließen die Signatur anstandslos passieren, eine nicht, genau diese aber kontrolliert alle Abrechnungen und fand viele davon vermeintlich in der Zukunft. Die Systemzeit dieses Rechners war aber offenbar in Ordnung.

Das Problem ist zum Zeitpunkt dieser Niederschrift noch nicht abschließend gelöst, man behalf sich damit, auf Seiten der KV die abgelehnten Abrechnungen (es gab mehrere Kollegen mit dem Problem)  eine Stunde später  noch einmal einzustellen, dann jeweils mit Erfolg.

Einige Kollegen konnten das Problem offenbar vermeiden, indem sie eine signierte Abrechnung erst eine Stunde später mit KV Safenet verschickten, oder die Abrechnungssoftware tut dies von sich aus. Dann natürlich findet der KV Rechner keine Probleme.

Nun also verlangte ich eine korrigierte Quittung. Die sei erstellt und verschickt, erreichte mich aber nicht. Eine Kontrolle auf meiner Seite ergab dazu folgendes: technisch sollte die Quittung aus der pdf Datei („Empfang.pdf“), einer Datei mit der Endung „eda“ und einer „begleitdatei.xml“ bestehen. Im Falle der abgelehnten Abrechnung war das auch der Fall.

Diese Quittung war auch erfolgreich übertragen worden.

Die korrigierte Quittung aber erfolgte ohne „begleitdatei.xml“, die wird aber von Seiten der bei uns verwendeten Software (ISYNET von medatixx) zur Anzeige der mittels KV-Safenet empfangenen Daten benötigt und ist auch Teil der KV Safenet-Spezifikation.

Nach einiger Suche fand ich die (korrigierte) Quittung dann auch in den Tiefen meines Servers und konnte sie einsehen und ausdrucken. Sie war übermittelt, aber aufgrund des beschriebenen Fehlers nicht angezeigt worden.

Ein weiterer Anruf bestätigte auch diesen Fehler auf Seiten der KV No.

Aus meiner Sicht also fanden sich zwei Fehler auf Seiten der KV Nordrhein: zum einen ist die Software zur Überprüfung der Signaturen auffälligerweise eine Woche nach Sommerzeitumstellung in der falschen Zeitzone und lehnt die Signaturen daher ab, zum anderen erfolgt die Rücksendung der Quittungen nicht in jedem Falle gemäß der Spezifikationen für KV Safenet.

Wie unter diesen Umständen jemand seine Abrechnung ohne Detailkenntnisse zuzüglich 30 Telefonate machen soll, ist mir schleierhaft. Das ganze ist weit davon entfernt kundenfreundlich zu sein und natürlich höchst ärgerlich.

Ich denke, ich werde in einigen Tagen mehr zum Thema erfahren, ich werden dann erneut berichten.

Erlebnisse mit der Signatursoftware


Ärztliche Kollegen wissen, dass zumindest in Nordrhein seit längerem die Möglichkeit existiert und gezielt gefördert wird, die KV Abrechnung online zu verschicken. Dabei gab und gibt es aus grundsätzlichen Erwägungen heraus immer noch die so genannte Gesamtaufstellung, die in der Vergangenheit manuell zu unterschreiben war und per Post verschickt wurde.

Seit einiger Zeit schon gibt es nun die Möglichkeit, diese Aufstellung  elektronisch zu erstellen und elektronisch zu signieren.

In Nordrhein wird wie in den meisten anderen KVen auch dazu der elektronische Arztausweis ausgegeben (gelegentlich auch als HBA – Heilberufeausweis bezeichnet), der zur elektronischen Signatur erforderlich ist. Zusätzlich wird speziell in Nordrhein eine Signatursoftware von OPENLIMIT eingesetzt.

Und genau um die soll es hier gehen.

Seit langem schon ärgere ich mich  – wie viele meiner Kollegen auch –  mit dieser Software herum. Anlass bei mir war nun eine notwendig gewordenen Server Neuinstallation in der Praxis, die eine erneute Installation unter anderem auch dieser Software notwendig machte.

Wer sich den Installationsgang einmal ansehen möchte, findet bei GMC Systems eine schöne Anleitung hierzu.

Wie mein betreuendes Softwarehaus mir mitteilte, bin ich mit dem Ärger nicht alleine. Fast jeder Arzt, der diese Software einsetzt, kennt die Ungewissheit bei der Abrechnung, ob die Signatur nun funktioniert oder nicht. So wird der Arztausweis sehr oft von der Software nicht erkannt, oder es gibt gleich eine Fehlermeldung.

Nach langem herum telefonieren  meine ich nun herausbekommen zu haben, worin das Problem besteht: die verteilte Software war und ist NICHT serverfähig, vor allem nicht für Windows terminal Server (WTS 2003 und höher).

Das sagt einem aber niemand.

Es kommt noch besser: Bestellt man die neueste Version dieser Software, was man in Nordrhein bei medisign tun muss, so bekommt man eine WTS fähige Variante nur auf spezielle Anforderung, das heisst auf dem Bestellformular muss dieses händisch vermerkt werden (Mitteilung des telefonischen Supports von medisign). Der gewöhnliche obrigkeitshörige Arzt aber macht hier allenfalls seine Kreuze und schickt das FAX zur Bestellung ab – und bekommt wieder keine lauffähige Software für seinen Server.

Versucht man etwas neutral zu bleiben muss man sagen, dass (offenbar….) eine unter WTS  2008 lauffähige Variante existiert, aber schlicht niemand für die Kommunikation mit den Ärzten zuständig ist. Ich finde es ausserordentlich naiv vom Hersteller, eine unter den gebräuchlichen Servervarianten einer Arztpraxis nicht lauffähige Version zu verteilen und dann auch noch es dem Arzt zu überlassen sich eine lauffähige Vartiante (dann natürlich für Extrakosten) zu besorgen, ohne ihn darüber zu informieren.

Und niemand informiert ihn. Auch die Servicepartner der PVS Hersteller vor Ort wissen nichts von dieser Servervariante der Software, wenn ich nicht 15 Stellen abtelefoniert hätte, wüsste auch ich es bis heute nicht.

Man kann davon ausgehen, dass zahllose Ärzte zumindest in Nordrhein aktuell für die Signatur eine aktuell für Ihre Hardware nicht taugliche Signatursoftware einsetzen ohne dies zu wissen da die seinerzeit ausgelieferte Software NICHT SERVERFÄHIG ist.

Ich nun habe die angeblich taugliche Software bei medisign bestellt und werde nach deren Installation hier erneut berichten.

Quellen:

GMC Software

medisign

ältere Artikel zum Thema

Verschlüsselung von Dateien mit dem elektronischen Arztausweis – Hinweise zur Openlimit Software


Mittlerweile ist zumindest in Nordrhein der elektronische Arztausweis weitgehend verfügbar. Ich hatte über das Antragsverfahren und erste Erfahrungen mit dem elektronischen Arztausweis bereits vor längerer Zeit berichtet. Hier noch einmal eine Übersicht der wesentlichen Berichte:

Details zum neuen Arztausweis

Der neue Heilberufeausweis ist angekommen – 4 Monate nach dem Antrag

Das Antragsverfahren zum neuen Arztausweis – ein Erfahrungsbericht

Nachtrag zum Artikel über das Antragsverfahren zum neuen Arztausweis

Der elektronische Heilberufeausweis macht’s möglich: Online-Abrechnung digital signiert

Mit dem elektronischen Arztausweis erhielt man in Nordrhein auf Wunsch auch ein kleines Kartenlesegerät (nicht zu verwechseln mit einem eGK Lesegerät!) und eine Signatursoftware Openlimit SignCubes. Diese wird zur Signatur und /oder Verschlüsselung von Dateien verwendet. Unter anderem kann man in Nordrhein damit bereits als Kassenarzt seine Abrechnung elektronisch signieren.

Im folgenden möchte ich mich mit der Verschlüsselung (also nicht Signatur!) von Dateien mit der erwähnten Ausstattung, also Openlimit Software, Kartenlesegerät und Arztausweis, beschäftigen. Im Grundsatz werden für die Verschlüsselung zwei Schlüssel gebraucht, ein öffentlicher und ein privater, letzterer ist auf dem Ausweis selbst untergebracht. ein Beispiel: Dr. A will Dr. B einen verschlüsselten Arztbrief schicken. Dazu benötigt er dessen öffentlichen Schlüssel (aus einem Verzeichnis), verschlüsselt die Datei mit Hilfe dieses Schlüssels und der Signatursoftware Openlimit signCubes und verschickt die Datei an den Kollegen Dr. B.   Die Datei ist nun so verschlüsselt, dass sie nur vom Kollegen B mit Hilfe des privaten Schlüssels (auf dessen Arztausweis) entschlüsselt werden kann.

Ich habe erste Erfahrungen mit genau diesem Vorgang gemacht und konnte eine Datei verschlüsselt mit einem Kollegen austauschen. Zunächst benötigt man für den Verschlüsselungsvorgang den öffentlichen Schlüssel des Kollegen. Den kann man jedesmal nachschlagen (Hinweise hierzu am Ende des Artikels) oder aber man läßt die Software „automatisch“ in einem Verzeichnisdienst nachschlagen. Dazu müssen aber einige Einstellungen gemacht werden. Den entsprechenden Vorgang möchte ich unter Windows XP hier schildern.

1. Verschlüsselung einer Datei mit der  Openlimit Software

Man geht wie folgt vor: Rechtsklick auf die zu verschlüsselnde Datei aus dem Windows  Explorer, Menueauswahl „Openlimit Sign Cubes“, dann „Datei verschlüsseln“, es öffnet sich ein Fenster zur Auswahl des Zertifikates. Bereits installierte Zertifikate sind links im Fenster dargestellt, neue erhält man entweder  indem man über die Schaltfläche „aus Datei“ die Zertifikatsdatei auswählt, die man zuvor manuell geladen hat oder aber man wählt die Schaltfläche „weitere“ und kommt an den Verzeichnisdienst:

Bild 1: Auswahl des Zertifikates, für das verschlüsselt werden soll

Bild 2: Der Verzeichnis client

Genau hierum geht es im folgenden. Dort vermisst man leider in der normalen, d.h. nicht angepassten Version der Software das Verzeichnis von medisign für die öffentlichen Zertifikate der Schlüssel. Die Verzeichnisse müssen manuell eingetragen werden. Dazu ist eine Anpassung notwendig.

2. Anpassung des OPENLIMIT Signcubes Verzeichnis-clients

Dazu fügt man  in der Datei siqLDAP.ini (C:\Programme\OPENLiMiT) die nachfolgend aufgelisteten drei Einträge hinzu (nachdem man sich eine Sicherheitskopie dieser Datei irgendwohin gespeichert hat!)

——————————————————
[DGN Service/Medisign 2103]
Server=ldap.medisign.de
SearchBase=ou=Mandant2103,o=ENC,c=de
Port=389

[DGN Service/Medisign 2104]
Server=ldap.medisign.de
SearchBase=ou=Mandant2104,o=ENC,c=de
Port=389

[DGN Service/Medisign 2116]
Server=ldap.medisign.de
SearchBase=ou=Mandant2116,o=ENC,c=de
Port=389
——————————————————

Startet man nun den Verschlüsselungsvorgang wie oben beschrieben, so hat man drei neue Servereinträge, die man zur Auswahl des Namens der Reihe nach durchprobiert.

3. Hinweise zur Namenssuche im Verzeichnis-client

Gesucht werden kann nur nach Namen, nicht aber nach Email-Adressen.  Dabei gelten einige Regeln:

Über ‚Start‘ wird der Suchvorgang aktiviert. Mit * setzt man einen Platzhalter.

Suchvarianten:

mei*  –  alle, deren Nachname mit „mei“ beginnt

*mei*  –  alle, deren Nachname oder Vorname „mei“ beinhaltet

meier* – alle, deren Nachname mit „meier“ beginnt.

Die  selektierten Zertifikate werden dann direkt zum Verschlüsseln benutzen und lokal installiert. Man klickt auf ‚Übernehmen‘, ‚Installieren‘ und dann auf ‚Fertig stellen‘.

Die aufgeführte Erweiterung der INI Datei wurde auf meine Anfrage ausdrücklich vom Support von Openlimit empfohlen und frei gegeben. Auf meinem Rechner funktioniert es einwandfrei, wenn man in der Suchmaske das Sternchen  wie oben erwähnt verwendet.

4. Hinweise zur manuellen Suche nach den öffentlichen Teilnehmerzertifikaten

Will man Openlimit SignCubes nicht wie oben dargestellt anpassen, muß man den Schlüssel des Kollegen, an den man die Datei verschicken will jedesmal neu suchen und die Schlüsseldatei in dem Verzeichnis client wie oben dargestellt auswählen. Durch Doppelklick auf die Schlüsseldatei ist der Schlüssel für zukünftige Verwendung dauerhaft installiert und findet sich im dem Verzeichnis-client nun im dem linken Fenster. (Siehe Bild 1).

Manuell findet man den Schlüssel für die von medisign ausgegebenen Karten hier. Für die Namenssuche gilt das oben gesagte, also Namen werden immer mit „Sternchen“ gesucht. In dem folgenden Fenster kann man das Zertifikat anklicken und danach im DER Format laden. Seltsamerweise gelingt dies ohne Probleme nur mit dem Internet Explorer, nicht mit firefox, das mit einer Fehlermeldung abbricht. Die so geladene Datei muß nun wie oben aufgeführt ausgewählt werden.

Zuletzt erhält man die verschlüsselte Datei die man nun an den Kollegen verschicken kann. Nur er kann nun die Datei entschlüsseln, da nur er den privaten Schlüssel hierzu hat. Im Augenblick muß man die Datei wohl noch per E-Mail verschicken, in Zukunft erfolgt dies in dem geschlossenen System des online rollouts der eGK. Die Verschlüsselung wird dann überwiegend im Hintergrund erfolgen.

Der Vorgang des Entschlüsselns ist dem gegenüber einfacher. Hierüber werde ich in einem weiteren Artiel berichten.

Quellen und Infos:

Seite der ÄkNo zum Arztausweis

Öffentliche Teilnehmer Zertifikate  von Medisign

Hamburger Ärztekammer gibt elektronischen Arztausweis aus


Die Hamburger Ärztekammer hat laut „Arzt am Abend“ damit begonnen, elektronische Arztausweise auszugeben, allerdings im Moment vorwiegend an Ärzte, die im Auftrag der Behörde für Soziales, Gesundheit, Familie und Verbraucherschutz Gutachten nach dem Schwerbehindertenrecht erstellen. Damit sollen sich die Ärzte gegenüber dem Internetportal GovernmentGateway sicher ausweisen. „Wir haben das Projekt von Anfang an sehr unterstützt, weil wir darin neben dem inhaltlichen Erfordernis auch die Chance sahen, uns für einen zunächst überschaubaren Kreis von Kollegen mit dem Procedere vertraut zu machen, welches mit der Herausgabe von elektronischen Arztausweisen verbunden ist“, erklärte Kammerpräsident Dr. Frank Ulrich Montgomery. Wenn der Startschuss für diese falle, sei dieKammer dann „bestens vorbereitet“.

Auch Microsoft entwickelt ein GovernmentGateway, dabei scheint es sich um eine „Microsoft-Lösungen für die integrierte Verwaltung“ zu handeln. Auch weitere Firmen entwickeln ähnliche Lösungen.

Vortrag fey mit GovernmentGateway Vorstellung

GovernmentGateway Vortrag

Hamburg-Service online Dienste

Praxisdaten speichern: einmal signiert und abgelegt reicht nicht aus


unter diesem Titel ist in der aktuellen Printausgabe von „ArztOnline“ ein interessanter Bericht zum Thema Datensicherheit erschienen. Er wird hier auszugsweise zitiert.

Arztpraxen sollen und wollen vielfach weg vom Papier. Doch dabei ergibt sich für Ärzte ein Problem: Sie müssen Patientendaten, Röntgenbilder etc. zehn oder gar 30 Jahre aufbewahren – und zwar beweissicher. Technisch ist das durchaus möglich, mit der digitalen Signatur. Doch auch dabei gibt es einiges zu beachten.

Aus der schlichten Empfehlung zur Datensicherung ist ein Maßnahmenbündel geworden. Denn längst genügt es nicht mehr, die elektronische Patientendokumentation auf einem anderen Datenträger zu speichern. Die Speicherung muss beweiskräftig sicher in der Weise sein, dass ein Patientendokument nicht etwa nachträglich geändert werden kann.

Hier kommt die digitale Signatur ins Spiel. Der Arzt unterschreibt ein Dokument elektronisch, dazu wird ein „Hash-Wert“ gespeichert, ehe die Akte in das digitale Archiv wandern kann. Dabei ist der Hash-Wert eine Art technischer Fingerabdruck, da er eine nahezu eindeutige Kennzeichnung einer größeren Datenmenge in Form von Zahlen darstellt. Schon die kleinste Dokumentenänderung wie das Löschen eines Kommas führt dazu, dass dieser „Hash-Wert“ sich verändert.

Auch eingescannte Papier-Dokumente wie die Arztpost oder Gutachten von stationären Aufenthalten fallen unter diese Signatur-Regel. Ist der Prozess des Einscannens und der Archivierung protokolliert, können sie sogar vernichtet werden – eine Aufbewahrungspflicht von Papier gibt es nicht mehr.

In dieser Zeitspanne kann es durchaus passieren, dass die Verfahren veralten, die bei der Signatur und bei der Ermittlung von Hash-Werten eingesetzt werden. Entweder sind dabei die kryptografischen Algorithmen „gebrochen“ worden, oder die wachsende Rechnerleistung lässt es zu, dass eine Signatur aufgeschlüsselt werden kann.

In beiden Fällen müssen neue Signaturen zum Einsatz kommen. Noch sind die Signaturen, die seit etwa 1998 im Einsatz sind, nicht akut gefährdet. Dafür sind – zunächst für den Archivierungsbedarf von Krankenhäusern – Verfahren entwickelt worden, die die Sicherheit des Archivs garantieren sollen.

Das entsprechende Konzept heißt Übersignatur: Alle langfristig zu archivierenden Dokumente werden mit einer Signatur versehen, die den neuesten kryptografischen Anforderungen entspricht. Dabei werden nicht einzelne Dokumente, sondern ganze „Dokumentencontainer“ übersigniert, die unter Umständen ergänzende Befundungen enthalten, die nicht in die Originaldatei eingefügt werden dürfen, sobald diese signiert ist.

Von der signierten fälschungssicheren Speicherung im elektronischen Archiv muss die Verschlüsselung der Patientendaten unterschieden werden, die vor unberechtigtem Daten-Zugriff schützen soll. Nach dem aktuellen Leitfaden ist sie nur dann zwingend erforderlich, wenn der Dokumentationscomputer als Praxiscomputer am Internet angeschlossen ist, also die Gefahr besteht, dass ein Angriff aus dem Internet die Daten kompromittiert.

Nachtrag aus meiner Sicht: wie bekannt dient der neue Arztausweis auch und vor allem als Signaturkarte. Der Artikel unterstreicht aus meiner Sicht die Notwendigkeit der digitalen Signatur und des Arztausweises.

Quelle (erfordert Anmeldung)

verwandte Artikel:

Arztausweis

Gematik: Sicherheitsmechanismen bei Root-Zertifikaten wirksam


Mittlerweile existiert eine Stellungnahme der Gematik zu dem Heiseartikel über das Root-CA Problem. Hierzu heißt es:

Aufgrund eines Hardwarefehlers in dem dedizierten Hochsicherheitsmodul (HSM) der Test-RootCVC-CA ist das Schlüsselmaterial der Test-RootCVC-CA gelöscht worden. Diese Test-Root wird ausschließlich im Zusammenhang mit Musterkarten verwendet. Das Modul wird von einem Zertifizierungsdienst im Auftrag der gematik betrieben. Der Datenfehler betrifft Daten die benötigt werden, damit sich Gesundheitskarten und Heilberufsausweise gegenseitig als „gültig“ erkennen können.

  • Die durch die betroffenen TEST-SubCVCCAs ausgestellten Zertifikate werden ausschließlich von sog. eGK-Musterkarten verwendet, die u.a. zu Funktions- und Integrationstests in den Projektbüros der Testumgebungen eingesetzt werden. Sie enthalten lediglich fiktive Daten von fiktiven Versicherten. Es handelt sich dabei um höchstens 1.000 Karten. Diese Karten müssen nun ersetzt werden, weil ihre „Echtheit“ im Testverfahren nicht mehr bestätigt werden kann. Eine sichere Authentifizierung ist mit diesen Karten daher nicht mehr möglich.Die Musterkarten sind zu unterscheiden von den ca. 60.000 eGK in den 7 Testregionen (Produktiv-Karten), die bereits echte Daten von echten Versicherten, die am Test teilnehmen, enthalten. Die eGKs in den Testregionen wurden von produktiven SubCVCCAs bestätigt, die wiederum von der produktiven RootCVC-CA bestätigt sind. Die produktive RootCVC-CA ist nicht betroffen.
  • Es hat zu keiner Zeit ein Datenschutzproblem bestanden. Es könnten lediglich die bereits ausgestellten Musterkarten nicht mit neu produzierten Musterkarten zusammenarbeiten. Auch die fiktiven Testdaten konnten zu keinem Zeitpunkt von unberechtigten Dritten eingesehen werden.
  • Der Vorfall hat gezeigt, dass die geplanten Sicherheitsmechanismen voll greifen. Das Hochsicherheitsmodul (HSM) hat den Hardwaredefekt als Angriffsversuch interpretiert und entsprechend der Spezifikation das zu schützende Schüsselmaterial sicher, nicht reproduzierbar und vollständig zerstört.
  • Aufgrund der höheren Kartenanzahl und der Tatsache, dass echte Versicherte, mit echten Karten am Feldtest teilnehmen, hat der Zertifizierungsdienst für die produktiv CVC-CA weitere, voneinander unabhängige HSMs im Einsatz, die Kopien des Schlüsselmaterials enthalten, so dass der Verlust eines HSMs nicht automatisch zum Verlust des Schlüsselmaterials führt.

Offenbar ist für das Testsystem ein Backupverfahren nicht nötig gewesen:

Bis zu ca. 1000 Musterkarten müssen ersetzt werden. Ein gesondertes Backup-Verfahren für die Musterkarten wäre teurer als der Ersatz der Karten.

Echtdaten für „richtige“ eGKs waren nicht betroffen. Offenbar war der Aufbau eines Sicherheitssystems mit allem drum und dran inkl. Backup für die wenigen intern benutzten Testkarten, die ja in den Testregionen schlicht nicht benutzt werden, gar nicht vorgesehen. Die „Echtkarten“ in den Testregionen dagegen werden mit einem wesentlich aufwendigerem System geschützt, dessen Aufbau für die wenigen Testkarten schlicht zu teuer gewesen wäre. Nach meinem Verständnis wird die Firma, die für die gematik die Dienstleistung der Root-CA erbringt, auch von ihr selbst bezahlt. Die Dienstleistung des backups wäre wohl teurer gekommen, als der schlicht Ersatz der wenigen Testkarten. In einem Echtkarteneinsatz in der Onlinephase werden andere Mechanismen greifen.

Datenverlust bei D-Trust führt zu möglichen Problemen mit eGK Testkarten


Für den Betrieb der eGK wird eine PublicKeyInfrastruktur aufgebaut. Wie bekannt handelt es sich dabei um ein asymmetrisches Krypotsystem. Laut Wikipedia wird dies so definiert:

Ein asymmetrisches Kryptosystem ist ein Kryptosystem, bei dem jede der kommunizierenden Parteien ein Schlüsselpaar besitzt, das aus einem geheimen Teil (privater Schlüssel) und einem nicht geheimen Teil (öffentlicher Schlüssel) besteht. Der öffentliche Schlüssel ermöglicht es jedermann, Daten für den Inhaber des privaten Schlüssels zu verschlüsseln, dessen digitale Signaturen zu prüfen oder ihn zu authentifizieren. Der private Schlüssel ermöglicht es seinem Inhaber, mit dem öffentlichen Schlüssel verschlüsselte Daten zu entschlüsseln, digitale Signaturen zu erzeugen oder sich zu authentisieren.

Der Aufbau der Root-CA ist ein wichtiger Meilenstein bei der Einführung der eGK in Deutschland. Denn der  Grundgedanke für die Sicherheit des gesamten Systems ist, dass Patientenkarte und Arztausweis nicht unabhängig voneinander genutzt werden können. Will der Arzt beispielsweise auf die Daten einer eGK zugreifen, müssen beide Karten ausgelesen werden. Die Karten erkennen sich gegenseitig als echt an und erst anschließend können die Daten auf der eGK ausgelesen werden. Mit anderen Worten: Nur durch den Aufbau der Root-CA bei D-TRUST kann die Echtheit von Karten im Gesundheitswesen verifiziert werden.

Für den Betrieb der PublicKeyInfrastruktur der Gesundheitskarte hat sich die Projektgesellschaft Gematik entschieden, die Root-CA als Dienstleistung an die zur Bundesdruckerei gehörende Firma D-Trust zu vergeben. Dabei wird ein Hardware-Sicherheitsmodul verwendet, das die Schlüssel ausgehend von einer Root-CA (Root Certificate Authority) ausgibt, die letztlich dafür sorgt, dass alle ausgegebenen Schlüssel auf eGK und HBA sich gegenseitig als echt anerkennen.
In diesem Hardware-Sicherheitsmodul ist es zu einem Datenverlust gekommen, so dass nun eine neue Root-CA erzeugt werden muß. Damit erkennen sich zwar alle bisher ausgegebenen Karten weiterhin gegenseitíg als echt an, neue Karten müssten aber auf Grundlage einer neuen Root-CA produziert werden und diese neuen Karten würden die mit der alten Root-CA produzierten nicht erkennen.
In einem Rundschreiben der gematik, das Heise online vorliegt und dort zitiert wird, heisst es:

In der Konsequenz heißt dies, dass zu den derzeit im Umlauf befindlichen korrekten eGK-Musterkarten der Generation 1 insbesondere keine Muster-HBA der Generation 1 mehr produziert werden können, die mit den bereits existierenden eGKs eine erfolgreiche CardtoCardAuthentifizierung durchführen können. Bitte beachten Sie daher, dass die für den nordrheinischen Interoperabilitätstest verteilten korrekten Muster-eGKs ausschließlich für Tests im Basis-Rollout-Szenario verwendet werden können und nach den Basis-Rollout-Tests zu vernichten sind. Obwohl die Muster-eGKs korrekt sind, müssen sie für Tests in künftigen Stufen der TelematikInfrastruktur noch einmal ersetzt werden.

Heise meint dazu:
Das Hickhack um die Datensicherheit einer Root-CA, die eine relativ kleine Menge von Testkarten stützt, mag trivial erscheinen. Indessen überrascht, das ein zentraler Dienst, der auf alle Testkarten einer Generation ausstrahlt, so vernachlässigt wurde. Die Versicherung, dass beim echten System alles richtig gesichert wird, muss man erst einmal glauben – oder auch nicht. Ein System verteilter RootCAs, wie sie vom Karlsruher Gesundheitskarten-Kritiker Thomas Maus vorgeschlagen wurde, könnte hier Abhilfe bringen.

Quelle: Heise Artikel

D-Trust