Authentifizierungsverfahren im digitalen Gesundheitswesen
Regelmäßig erreicht uns die Frage, warum es im digitalen Gesundheitswesen so aufwändig ist, sich zu authentifizieren. Der Beitrag erläutert, auf welchen rechtlichen Vorgaben dies beruht, warum dies sinnvoll ist, welche Authentifizierungsmöglichkeiten existieren und was in diesem Zusammenhang zu beachten ist.
Spagat zwischen Sicherheit und Komfort
Authentifizierungsverfahren sichern den Zugriff auf gespeicherte Daten. Idealerweise sind die betreffenden Verfahren so ausgestaltet, dass diese sowohl sicher als auch komfortabel sind. Aus der Natur der Sache heraus sind dem Komfort allerdings gewisse Grenzen gesetzt. Denn die Hürden, die man sich selbst nicht auferlegt, existieren dann auch nicht für potentielle Angreifer.
Vergleichbar ist dies wie bei einer Wohnungstür: Jeder schließt sie aus Sicherheitsgründen ab. Obwohl dies weniger komfortabel ist. Authentifizierungsverfahren sind also keine Bevormundung, es geht wie bei einer Wohnungstür um Ihren eigenen Schutz.
Warum sind Authentifizierungsverfahren im Gesundheitswesen so aufwändig?
Authentifizierungsverfahren werden abhängig von ihrer Sicherheit in drei Stufen eingeteilt, beginnend mit dem Vertrauensniveau „niedrig“, über „substantiell“ bis hin zu „hoch“. Aus Art. 32 DSGVO ergibt sich das Erfordernis, den Zugriff auf Gesundheitsdaten so abzusichern, dass dieser erst möglich ist, nachdem die Zugriffsberechtigung der zugreifenden Person durch eine Authentifizierung mit dem Vertrauensniveau „hoch“ verifiziert wurde (vgl. die Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 1. September 2020. Die konkreten Anforderungen, die Authentifizierungsverfahren eines bestimmten Vertrauensniveaus erfüllen müssen, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) in der Technischen Richtlinie BSI-TR-03107 „Elektronische Identitäten und Vertrauensdienste im E-Government“ definiert. Hierauf aufbauend hat die Gesellschaft für Telematik (gematik) speziell für die im Gesundheitswesen eingesetzte Telematikinfrastruktur Festlegungen für das Vertrauensniveau „hoch“ getroffen („Festlegung der gematik bzgl. der Zulässigkeit von Identifikationsverfahren für das Level of Assurance (LoA) gematik-ehealth-loa-high“).
Der Grund, wieso beim Zugriff auf Gesundheitsdaten eine Authentifizierung mit Vertrauensniveau „hoch“ vorgenommen werden muss, ist folgender: Nach der DSGVO besteht für Gesundheitsdaten ein besonderer, über den allgemeinen Datenschutz hinausgehender Schutz (vgl. Art. 9 Abs. 1 DSGVO, Art. 4 Nr. 15 DSGVO, Erwägungsgrund 51 DSGVO). Gesundheitsdaten sind ihrem Wesen nach besonders sensibel. Im Zusammenhang mit ihrer Verarbeitung können erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten. So kann etwa eine unbefugte Offenlegung von Gesundheitsdaten zu Stigmatisierungen führen, besonders dann, wenn es sich um Krankheiten oder Behinderungen handelt, für die die Gesellschaft weniger Verständnis aufbringt. Ein einmal eingetretener Schaden lässt sich nur unzureichend wirtschaftlich beziffern, geschweige denn kompensieren.
Die Verpflichtung, eine dem Schutzbedarf der personenbezogenen Daten angemessene Authentifizierung durchzuführen, trifft die jeweils datenschutzrechtlich Verantwortlichen, bei der von den Krankenkassen angebotenen elektronischen Patientenakte also die jeweilige Krankenkasse (§ 341 Abs. 4, § 307 Abs. 4 Sozialgesetzbuch Fünftes Buch (SGB V)).
Welche Authentifizierungsverfahren existieren im Gesundheitswesen?
Gesetzlich Versicherten stehen verschiedene Authentifizierungsverfahren mit unterschiedlich hohen Vertrauensniveaus zur Verfügung.
Authentifizierungsverfahren, die ein hohes Vertrauensniveau gewährleisten, sind der elektronische Personalausweis (eID), die elektronische Gesundheitskarte (eGK) sowie die GesundheitsID (vom Gesetzgeber als „Digitale Identität“ bezeichnet), jeweils zusammen mit der zugehörigen PIN. Alle drei Authentifizierungsverfahren ermöglichen eine Zwei-Faktor-Authentifizierung mit den Faktoren Wissen und Besitz. Der Wissens-Faktor besteht in der PIN, die beim Authentifizierungsvorgang abgefragt wird. Der Besitz-Faktor wird bei eID und eGK durch die jeweilige Karte abgebildet.
Bei der GesundheitsID übernimmt stattdessen das eigene mobile Endgerät der Versicherten die Rolle des Besitz-Faktors. Aus diesem Grund ist bei der GesundheitsID eine Gerätebindung erforderlich, bei deren Einrichtung Authentifizierungsinformationen in einem sicheren Bereich des mobilen Endgeräts gespeichert werden. Bei den aktuell am Markt verfügbaren nicht zertifizierten Endgeräten muss die Gerätebindung aus Sicherheitsgründen in bestimmten Zeitabständen erneuert werden, wozu sich Versicherte erneut sicher mit eID und eID-PIN oder eGK und eGK-PIN authentifizieren müssen.
Vor diesem Hintergrund kann die GesundheitsID zwar parallel neben eID und eID-PIN oder eGK und eGK-PIN genutzt werden, diese aber nicht vollständig ersetzen. Auch bei ausschließlicher Nutzung der GesundheitsID ist es erforderlich, die Karte(n) weiter gut aufzubewahren und sich die PIN(s) zu merken. Diese werden später wieder benötigt, zur Erneuerung der Gerätebindung (siehe unten, „Warum muss ich bei der GesundheitsID die Gerätebindung erneuern?“) oder spätestens zur Neueinrichtung der GesundheitsID bei einem Wechsel des mobilen Endgeräts.
Warum rät die BfDI von Authentifzierung mittels Biometriefunktion ab?
Wie zuvor beschrieben, erfolgt die Zwei-Faktor-Authentifizierung bei der GesundheitsID mit dem Faktor Besitz – dem eigenen Endgerät – und dem Faktor Wissen – der sechsstelligen GesundheitsID-PIN. Daneben ist in vorgesehen, dass Versicherte nach umfassender Information durch die Krankenkasse über die Besonderheiten des Verfahrens in die Nutzung einer GesundheitsID einwilligen können, die einem anderen angemessenen Sicherheitsniveau entspricht. Diese Bestimmung ist allerdings im Licht der DSGVO einschränkend auszulegen. Nach Art. 32 DSGVO muss der Zugriff auf Gesundheitsdaten so abgesichert werden, dass dieser erst möglich ist, nachdem die Zugriffsberechtigung der zugreifenden Person durch eine Authentifizierung mit dem Vertrauensniveau „hoch“ verifiziert wurde. Über diesen von der DSGVO gewährten Schutz können betroffene Personen nur in engen Grenzen disponieren. Ein regelhafter Verzicht auf die an sich gebotene Authentifizierung ist nicht möglich (vgl. mein Rundschreiben vom 6. Mai 2024 an die Kranken- und Pflegekassen zum Gesundheitsdatennutzungsgesetz und zum Digital-Gesetz).
Die praktische Umsetzung des Verzichts erfolgt dadurch, dass Versicherten bei der GesundheitsID angeboten wird, anstelle der GesundheitsID-PIN die Biometriefunktion des mobilen Endgeräts zu nutzen. Die BfDI rät davon ab. Die Biometriefunktion ist nicht vergleichbar sicher wie die Abfrage der sechsstelligen GesundheitsID-PIN. Bei Authentifizierungsvorgängen mit der GesundheitsID unter Verwendung der GesundheitsID-PIN wird das Vertrauensniveau „hoch“ erreicht. Wird statt der GesundheitsID-PIN die Biometriefunktion des eigenen mobilen Endgeräts genutzt, kann stattdessen – abhängig von dessen Hard- und Software – maximal das geringere Vertrauensniveau „substantiell“ erreicht werden. Dies entspricht der übereinstimmenden Bewertung von gematik und BSI (vgl. gematik, Spezifikation Sektoraler Identity Provider, Version 2.4.0 vom 12. Juni 2024, Anforderung A_23701).
Die hard- und softwaretechnischen Anforderungen, die eine Biometriefunktion für das Vertrauensniveau „hoch“ erfüllen müsste, sind vom BSI in den Technischen Richtlinien TR-03107 „Elektronische Identitäten und Vertrauensdienste im E-Government“ sowie TR-03166 „Technical Guideline for Biometric Authentication Components in Devices for Authentication“ definiert. Bei der Bewertung von Biometriefunktionen kommt es entscheidend auf die Resistenz gegen Replay (Erkennung, ob es sich um eine Wiederverwendung einer früher gefertigten Aufnahme eines biometrischen Merkmals handelt), die Güte der Lebenderkennung (Prüfung von Lebenszeichen als Schutzmaßnahme gegen Attrappen) sowie die biometrische Erkennungsqualität (in welchem Umfang auch abweichende biometrische Merkmale akzeptiert werden) an. Nach Untersuchungen des BSI erfüllen die aktuell am Markt erhältlichen mobilen Endgeräte diese Anforderungen nicht in ausreichendem Maße (vgl. BSI, Bewertung von Authentisierungslösungen gemäß TR-03107 in Version 1.1.1, Gliederungspunkt 4.4.1, S. 34 f.).
Verbreitet sind Biometriefunktionen, die auf einem zweidimensionalen Bildabgleich beruhen, etwa Fingerabdruckerkennungen und einfache Gesichtserkennungen. Diese erreichen aus BSI-Sicht lediglich das Vertrauensniveau „niedrig“. Bedingt durch den bloß zweidimensionalen Bildabgleich lassen sich derartige Biometriefunktionen bereits mit vergleichbar einfachen Nachbildungen des biometrischen Merkmals überwinden. Etwas sicherer sind Biometriefunktionen mit dreidimensionaler Gesichtserkennung („TrueDepth-Technologie“ / „FaceID“), die allerdings lediglich bei ausgewählten mobilen Endgeräten eines Herstellers angeboten werden. Hier kann aus BSI-Sicht zumindest das Vertrauensniveau „substantiell“ erreicht werden. Risiken bestehen aber auch hier, weil die Erkennungsqualität nicht präzise genug ist, so dass in manchen Fällen auch Gesichter von nahen biologischen Verwandten akzeptiert werden.
Mit anderen Worten wird bei der GesundheitsID mit Biometriefunktion nicht ausreichend geprüft, ob diejenige Person, die vorgibt auf ihre eigenen Gesundheitsdaten zugreifen zu wollen, auch wirklich diejenige Person ist und zugriffsberechtigt ist. Auch wenn die Krankenkassen bei Einrichtung der Biometriefunktion zu den Besonderheiten dieses Verfahrens informieren, dürfte den wenigsten die Tragweite ihrer Entscheidung bewusst sein. Insbesondere sollten sich Versicherte nicht damit ködern lassen, dass die Biometriefunktion komfortabler sei. In jedem Fall ist der Preis für dieses andere Sicherheitsniveau hoch und wird mit einem Verlust an Datensicherheit erkauft.
Warum muss ich bei der GesundheitsID die Gerätebindung erneuern?
Die eID und die eGK sind kartengebundene Authentifizierungsmittel, bei denen der Besitz-Faktor durch die jeweilige Karte abgebildet wird. Bei der GesundheitsID übernimmt stattdessen das eigene mobile Endgerät die Rolle des Besitz-Faktors. Aus diesem Grund ist bei der GesundheitsID eine Gerätebindung erforderlich, bei deren Einrichtung Authentifizierungsinformationen in einem sicheren Bereich des mobilen Endgeräts gespeichert werden. Anders als bei eID und eGK, wo die Kartenherausgeber die Sicherheit der auf den Karten gespeicherten Authentifizierungsinformationen gewährleisten können, ist dies bei mobilen Endgeräten nicht so einfach möglich, weil hier eine Vielzahl von Hard- und Softwarekonfigurationen mit unterschiedlichen Sicherheitsniveaus existieren. Vor diesem Hintergrund wird bei mobilen Endgeräten auf eine Zertifizierung gesetzt. Allerdings existieren viele mobile Endgeräte ohne eine solche Zertifizierung. Um dennoch eine flächendeckende Verbreitung der GesundheitsID zu ermöglichen, muss bei nicht zertifizierten mobilen Endgeräten eine sicherheitstechnische Kompensationsmaßnahme ergriffen werden, um die Sicherheit auf andere Weise zu gewährleisten.
Die sicherheitstechnische Kompensationsmaßnahme besteht darin, dass auf nicht zertifizierten mobilen Endgeräten die Authentifizierungsinformationen lediglich befristet mit einem Ablaufdatum gespeichert werden. Die Zeitspanne für einen Angriff auf die Authentifizierungsinformationen auf diesen Endgeräten ist somit begrenzt. Nach Ablauf sind die Authentifizierungsinformationen ungültig und die Gerätebindung muss erneuert werden. Hierzu müssen sich Versicherte erneut sicher mit eID und eID-PIN oder eGK und eGK-PIN authentifizieren. Auch bei ausschließlicher Nutzung der GesundheitsID ist es deshalb erforderlich, die Karte(n) weiter gut aufzubewahren und sich die PIN(s) zu merken. Diese werden später wieder benötigt, zur Erneuerung der Gerätebindung oder spätestens zur Neueinrichtung der GesundheitsID bei einem Wechsel des mobilen Endgeräts.
Wofür benötige ich eine PIN?
Authentifizierungen mit dem Vertrauensniveau „hoch“ können ausschließlich mit einer Zwei-Faktor-Authentifizierung erreicht werden. Bei eID, eGK und GesundheitsID sind dies die Faktoren Besitz und Wissen. Der Besitz-Faktor wird durch die jeweilige Karte bzw. bei der GesundheitsID durch das mobile Endgerät abgebildet und der Wissens-Faktor durch die jeweils zugehörige PIN. Versicherte, die bereits über eine eID und eID-PIN verfügen, benötigen nicht zwingend auch eine eGK-PIN. Bei Authentifizierungen, für die eine eGK-PIN benötigt wird, wird alternativ auch eine Authentifizierung mit eID und eID-PIN oder mit GesundheitsID und GesundheitsID-PIN angeboten. Die GesundheitsID kann wiederum mit eID und eID-PIN eingerichtet werden.
Auch bei ausschließlicher Nutzung der GesundheitsID ist es erforderlich, die Karte(n) weiter gut aufzubewahren und sich die PIN(s) zu merken. Diese werden später wieder benötigt, zur Erneuerung der Gerätebindung (siehe oben, „Warum muss ich bei der GesundheitsID die Gerätebindung erneuern?“) oder spätestens zur Neueinrichtung der GesundheitsID bei einem Wechsel des mobilen Endgeräts.
Wie erhalte ich eine PIN?
Die eID-PIN für den Personalausweis bekommen Bürgerinnen und Bürger in Deutschland seit 2017 zusammen mit dem neuen Personalausweis ausgehändigt. Versicherte, die in der Vergangenheit (bis einschließlich 25. März 2024) eine elektronische Patientenakte aktiv beantragt haben, haben aus diesem Anlass bereits eine eGK-PIN von ihrer Krankenkasse erhalten. Bei Bedarf können die PINs für eID und/oder eGK (neu) beantragt werden. Die eGK-PIN erhalten Versicherte auf Verlangen von ihrer Krankenkasse. Informationen dazu gibt es auf dem Internetauftritt der Krankenkasse, deren Hotline oder in deren Geschäftsstelle.
Bei Beantragung der eGK-PIN ist zu beachten, dass vor deren Ausgabe an eine versicherte Person deren Identität geprüft werden muss. Diese Identifizierung wird üblicherweise zusammen mit dem Versand vorgenommen, indem die eGK-PIN per PostIdent-Verfahren zugestellt wird. Bei diesem Verfahren wird die Sendung ausschließlich an den Empfänger persönlich ausgehändigt, der sich dem Postboten gegenüber entsprechend ausweisen muss. Zur Erhöhung der Sicherheit ist die Entgegennahme/Abholung durch eine bevollmächtigte Person bewusst ausgeschlossen. Wird der Empfänger vom Postboten auf sein Klingeln hin nicht angetroffen, wird die PostIdent-Sendung zur nächstgelegenen Postfiliale gebracht. Der Empfänger hat dann sieben Werktage lang Gelegenheit, bei dieser Postfiliale zu deren Öffnungszeiten zu erscheinen, sich auszuweisen und die Sendung persönlich in Empfang zu nehmen.
Da eGK und eGK-PIN wie Schloss und Schlüssel aufeinander abgestimmt sind, muss bei einer nicht entgegengenommenen/rechtzeitig abgeholten eGK-PIN in der Folge auch die eGK neu ausgestellt werden. Die eGK-PIN sollte deshalb nur beantragt werden, wenn auch deren Entgegennahme/Abholung sichergestellt werden kann. Wer bereits über eine eID und eID-PIN verfügt, benötigt nicht zwingend auch eine eGK-PIN. Bei Authentifizierungen, für die eine eGK-PIN benötigt wird, wird alternativ auch eine Authentifizierung mit eID und eID-PIN oder mit GesundheitsID und GesundheitsID-PIN angeboten. Die GesundheitsID kann wiederum mit eID und eID-PIN eingerichtet werden.
Warum ist der Versand der eGK-PIN so kompliziert?
Mit dem Versand der eGK-PIN per PostIdent setzen die Krankenkassen die gesetzlichen Vorgaben aus § 336 Abs. 4 SGB V um, eine Zustellung mit einem sicheren Verfahren an den Versicherten persönlich zu gewährleisten. Hintergrund ist, dass die eGK zusammen mit der eGK-PIN als Authentifizierungsmittel genutzt werden kann für Authentifizierungen mit Vertrauensniveau „hoch“. Die Eignung als Authentifizierungsmittel mit Vertrauensniveau „hoch“ setzt voraus, dass bei dem Authentifizierungsmittel berechtigt davon ausgegangen werden kann, dass die Person, die es benutzt, auch diejenige ist, für die das betreffenden Authentifizierungsmittel ausgestellt wurde. Deshalb muss vor Ausgabe der eGK-PIN an eine versicherte Person deren Identität geprüft werden. Diese Identifizierung wird üblicherweise zusammen mit dem Versand vorgenommen, indem die eGK-PIN per PostIdent-Verfahren zugestellt wird (Einzelheiten zum Versand per PostIdent siehe oben, „Wie erhalte ich eine PIN?“).