Vierundsechzig Kilobyte für Code. Das ist ungefähr so die Größenordnung, an die sich viele noch erinnern werden aus den C64er-Zeiten.
... damals war es Standard, sagt Doktor Alfred Fiedler vom Hersteller Orga in Paderborn. Heute verwandeln vierundsechzig KB die Gesundheitskarte in einen Kleincomputer. Bruno Struif vom Fraunhofer Institut für Sichere Telekooperation in Darmstadt:
Die bisherige Versichertenkarte war eine reine Speicherkarte. Die neue elektronische Gesundheitskarte, wie sie im Jahr 2006 zur Ausgabe kommen soll, wird eine intelligente Smart Card sein. Das heißt, dort sind kryptografische Funktionen drauf, dort sind Schutzmechanismen für die Daten, die dort draufkommen sollen. Und vor allen Dingen kommt ja denn auch das elektronische Rezept.
Eine Variante benutzt eine elektronische Spur, eine digitale Fährte zum Rezept durch ein Netzwerk vom Server.
Das eine Modell geht davon aus, dass in der Karte ein Pointer eingetragen wird, der dann auf das elektronische Rezept zeigt. Und das Rezept wird dann von der Arztpraxis, wo der Arzt es dann auch elektronisch signiert, auf einen Server gestellt. Und die Karte beinhaltet dann den Pointer, damit man das auf einem Server wieder finden kann und an einer beliebigen Apotheke dann auch wieder lesen kann.
Variante zwei speichert das Rezept lokal auf der Karte. Mit Internetapotheken soll sie kommunizieren können. Das mit breiter Mehrheit beschlossene Gesundheitsmodernisierungsgesetz unterscheidet verschiedene Datengruppen. Der Pflichtteil enthält die bisherigen, trivialen Patientendaten. Noch nicht auf die Karte passen Röntgenaufnahmen, EKGs oder computertomographisch generierte Darstellungen. Eine komplette E-Patientenakte ist das also nicht. Jedoch wird eine Fülle von Informationen integriert: Notfalldaten, Blutgruppe, Diabetes-Messwerte, Arzneimitteldokumentation, der elektronische Arztbrief, Patientenfach und -quittung. Der Zugriff auf die Karte bedarf einer Authentisierung durch einen mobilen Handheld-PDA, den der Patient in der Arztpraxis mit sich führt. Nach jedem Schritt schreibt Herr Doktor seine Paraphe auf das Display. Die Karte kann aber auch zentral eingelesen und 'remote', also von verschiedenen Arbeitsplätzen aus, genutzt werden.
Die Karte bleibt stationär an einem Ort, dann wollen Sie aber von verschiedenen Arbeitsplätzen ja auf diese Karte zugreifen. Und das kann man dadurch bewirken, dass man einen so genannten gesicherten Kanal oder Trusted Channel etabliert, der so geartet sein muss, dass Manipulationen auf dem Weg der Kommandos – die Karte erbringt ihre Dienstleistung auf der Basis von Kommandos. Also die Kommandos müssen dann geschützt zu der Karte übertragen werden, so dass also keine Veränderung der Kommandos möglich ist.
Dafür sorgt das komplizierte, mit Prüfsummen arbeitende und ISO-definierte Konzept Secure Messaging. Das heißt: Kommandos auf der Karte müssen authentisch sein und dürfen nicht verfälscht werden. Eventuelles Unterdrücken von Kommandos wäre nachweisbar. Arzt und Patient haben andere Lesebefugnisse als beispielsweise Apotheker oder Arbeitgeber. Möglichen Erpressungsversuchen durch Arbeitgeber bei Bewerbungen oder seitens der Versicherer vor Vertragsabschlüssen muss die Karte schon von der Technologie her robust widerstehen. Bruno Struif:
Diese Zugriffsrechte, das ist noch ein Punkt, der noch nicht endgültig geregelt ist, weil noch nicht so ganz klar ist, welche Heilberufsgruppen jetzt im Sinne der Zugriffsrechte zusammengefasst werden oder wie man das organisieren will. Es wird sicher zur Unterscheidung kommen, dass man zwischen Ärzten und Apothekern gegebenenfalls auch weiter differenziert. Und dann muss die Karte in der Lage sein zu erkennen: Welcher Heilberufler greift denn tatsächlich auf meine Datenstrukturen zu?
Kryptografische Schutzmechanismen, aufwändige Algorithmen sollen den Fingerabdruck auf die Karte bringen und dabei verhindern, dass ein von einem Glas abgenommener Fingerabdruck missbräuchlich in die Karte eingefügt wird. Alfred Fiedler von Orga beschreibt den Aufwand, Unbefugte am Lesen zu hindern. Er weiß, wann es Datenspionen besonders schwer gemacht wird:
Wenn man Daten ablegen will, das die nicht linear hintereinander liegen. Die Adressleitungen, die werden auch nicht schön parallel geführt, und die Datenleitungen auch nicht, sondern das geht kreuz und quer, Scrambling rauf und runter über verschiedene Ebenen. (46) Jeder macht sein eigenes Chaos, stellt aber nach oben hin natürlich eine relativ einheitliche Programmierschnittstelle zur Verfügung. (47) Die darüber liegenden Schichten versuchen, dieses Chaos zu kapseln. Das ist genau auch eine der Aufgaben des Betriebssystems. Der PC in der Arztpraxis, der sieht eigentlich nur ein hierarchisches Dateisystem, wie Sie es zum Beispiel auch vom Explorer oder unter Linux gewohnt sind. Und er sieht neben diesen Dateien natürlich auch noch eine dedizierte Zugriffsregelmechanik.
... damals war es Standard, sagt Doktor Alfred Fiedler vom Hersteller Orga in Paderborn. Heute verwandeln vierundsechzig KB die Gesundheitskarte in einen Kleincomputer. Bruno Struif vom Fraunhofer Institut für Sichere Telekooperation in Darmstadt:
Die bisherige Versichertenkarte war eine reine Speicherkarte. Die neue elektronische Gesundheitskarte, wie sie im Jahr 2006 zur Ausgabe kommen soll, wird eine intelligente Smart Card sein. Das heißt, dort sind kryptografische Funktionen drauf, dort sind Schutzmechanismen für die Daten, die dort draufkommen sollen. Und vor allen Dingen kommt ja denn auch das elektronische Rezept.
Eine Variante benutzt eine elektronische Spur, eine digitale Fährte zum Rezept durch ein Netzwerk vom Server.
Das eine Modell geht davon aus, dass in der Karte ein Pointer eingetragen wird, der dann auf das elektronische Rezept zeigt. Und das Rezept wird dann von der Arztpraxis, wo der Arzt es dann auch elektronisch signiert, auf einen Server gestellt. Und die Karte beinhaltet dann den Pointer, damit man das auf einem Server wieder finden kann und an einer beliebigen Apotheke dann auch wieder lesen kann.
Variante zwei speichert das Rezept lokal auf der Karte. Mit Internetapotheken soll sie kommunizieren können. Das mit breiter Mehrheit beschlossene Gesundheitsmodernisierungsgesetz unterscheidet verschiedene Datengruppen. Der Pflichtteil enthält die bisherigen, trivialen Patientendaten. Noch nicht auf die Karte passen Röntgenaufnahmen, EKGs oder computertomographisch generierte Darstellungen. Eine komplette E-Patientenakte ist das also nicht. Jedoch wird eine Fülle von Informationen integriert: Notfalldaten, Blutgruppe, Diabetes-Messwerte, Arzneimitteldokumentation, der elektronische Arztbrief, Patientenfach und -quittung. Der Zugriff auf die Karte bedarf einer Authentisierung durch einen mobilen Handheld-PDA, den der Patient in der Arztpraxis mit sich führt. Nach jedem Schritt schreibt Herr Doktor seine Paraphe auf das Display. Die Karte kann aber auch zentral eingelesen und 'remote', also von verschiedenen Arbeitsplätzen aus, genutzt werden.
Die Karte bleibt stationär an einem Ort, dann wollen Sie aber von verschiedenen Arbeitsplätzen ja auf diese Karte zugreifen. Und das kann man dadurch bewirken, dass man einen so genannten gesicherten Kanal oder Trusted Channel etabliert, der so geartet sein muss, dass Manipulationen auf dem Weg der Kommandos – die Karte erbringt ihre Dienstleistung auf der Basis von Kommandos. Also die Kommandos müssen dann geschützt zu der Karte übertragen werden, so dass also keine Veränderung der Kommandos möglich ist.
Dafür sorgt das komplizierte, mit Prüfsummen arbeitende und ISO-definierte Konzept Secure Messaging. Das heißt: Kommandos auf der Karte müssen authentisch sein und dürfen nicht verfälscht werden. Eventuelles Unterdrücken von Kommandos wäre nachweisbar. Arzt und Patient haben andere Lesebefugnisse als beispielsweise Apotheker oder Arbeitgeber. Möglichen Erpressungsversuchen durch Arbeitgeber bei Bewerbungen oder seitens der Versicherer vor Vertragsabschlüssen muss die Karte schon von der Technologie her robust widerstehen. Bruno Struif:
Diese Zugriffsrechte, das ist noch ein Punkt, der noch nicht endgültig geregelt ist, weil noch nicht so ganz klar ist, welche Heilberufsgruppen jetzt im Sinne der Zugriffsrechte zusammengefasst werden oder wie man das organisieren will. Es wird sicher zur Unterscheidung kommen, dass man zwischen Ärzten und Apothekern gegebenenfalls auch weiter differenziert. Und dann muss die Karte in der Lage sein zu erkennen: Welcher Heilberufler greift denn tatsächlich auf meine Datenstrukturen zu?
Kryptografische Schutzmechanismen, aufwändige Algorithmen sollen den Fingerabdruck auf die Karte bringen und dabei verhindern, dass ein von einem Glas abgenommener Fingerabdruck missbräuchlich in die Karte eingefügt wird. Alfred Fiedler von Orga beschreibt den Aufwand, Unbefugte am Lesen zu hindern. Er weiß, wann es Datenspionen besonders schwer gemacht wird:
Wenn man Daten ablegen will, das die nicht linear hintereinander liegen. Die Adressleitungen, die werden auch nicht schön parallel geführt, und die Datenleitungen auch nicht, sondern das geht kreuz und quer, Scrambling rauf und runter über verschiedene Ebenen. (46) Jeder macht sein eigenes Chaos, stellt aber nach oben hin natürlich eine relativ einheitliche Programmierschnittstelle zur Verfügung. (47) Die darüber liegenden Schichten versuchen, dieses Chaos zu kapseln. Das ist genau auch eine der Aufgaben des Betriebssystems. Der PC in der Arztpraxis, der sieht eigentlich nur ein hierarchisches Dateisystem, wie Sie es zum Beispiel auch vom Explorer oder unter Linux gewohnt sind. Und er sieht neben diesen Dateien natürlich auch noch eine dedizierte Zugriffsregelmechanik.