Drucken
ITSG GmbH • Seligenstdter Grund 11 • D-63150 Heusenstamm

Das Sicherheitsverfahren in der gesetzlichen Krankenversicherung

 

Elektronischer Datenaustausch und Internet

Nur wenige technische Erfindungen haben in der Vergangenheit die Menschen so beeinflusst wie das Internet. Der Effekt ist vergleichbar mit dem Radio, Fernsehen oder Telefon. Innerhalb kürzester Zeit wurde das Internet zu dem vorrangigen Kommunikationsmedium im geschäftlichen Umfeld. Unternehmen, die heute nicht an das Internet angeschlossen sind und Informationen bereitstellen oder daraus beziehen, werden mittelfristig keine Überlebenschance haben. Die Angabe einer Internet-Adresse, auf der die wesentlichen Informationen zu dem Unternehmen, das Leistungsangebot und die Kommunikationsverbindungen dokumentiert werden, wird vorausgesetzt.

Mit dem Siegeszug des Internets hat auch die Kommunikation via Electronic Mail – kurz E-Mail – und die Verteilung von elektronischen Mitteilungen aller Art Einzug in die praktische Arbeit gehalten. Die E-Mail ersetzt bereits heute in vielen Bereichen die Beförderung von Briefen mittels „gelber Post“. Die Zustellung von Nachrichten erfolgt per Knopfdruck in Sekundenschnelle direkt von dem Arbeitsplatz eines Teilnehmers an den Arbeitsplatz eines anderen Teilnehmers. Voraussetzung dafür ist, dass die Teilnehmer über ein Endgerät (i.d.R. PC-System) verfügen, das über einen Zentralcomputer oder direkt am Internet angeschlossen ist. Alle angeschlossenen Systeme sind weltweit miteinander im Internet verbunden und nutzen damit das gleiche Netzwerk.

Damit bildet das Internet heute die wichtigste Kommunikationseinheit im Datenaustausch zwischen öffentlichen Einrichtungen, Unternehmen und Privatpersonen.

Sicherheit der Daten

Zwangsläufig ist die Verteilung und gemeinsame Nutzung in offenen Computer-Netzwerken verbunden mit dem Risiko, dass schutzbedürftige wie z.B. personenbezogene Daten in die falschen Hände geraten. Die Daten können während des Transports zwischen Sender und Empfänger belauscht, abgefangen und auch manipuliert werden. Zudem kann von den Kommunikationspartnern ein falscher Name oder eine unrichtige Anschrift verwendet werden, um die Gegenseite über die wahre Identität zu täuschen. Dies gilt grundsätzlich für eine E-Mail-Nachricht genauso wie für die Bestellung von Waren über das Internet. Der Empfänger einer Nachricht kann deshalb nie ganz sicher sein, ob die erhaltene Nachricht auf dem Transportweg verändert wurde und ob der vermeintliche Absender tatsächlich seinen richtigen Namen oder seine richtige Adresse verwendet hat.

Es wird daher von den Datenschutzbeauftragten des Bundes und der Länder zwingend gefordert, Daten mit personenbezogenen Inhalten zu schützen und somit Manipulationen auf dem Transportwege auszuschließen.

Gleiches triff auf die elektronische Archivierung von Daten zu. Es ist durch geeignete Verfahren sicherzustellen, dass zum Zeitpunkt der Ablage der Information der jeweils Zuständige sich identifiziert und die autorisierte Person bzw. Personengruppe festlegt, die einen Zugang zu den gespeicherten Datenbeständen haben dürfen.

Technische Verfahren

Der Schutz der elektronischen Daten erfolgt heute mittels anerkannter und hochkomplexer Verschlüsselungsverfahren. Dabei werden die Daten nach einem mathematischen Verfahren durch Nutzung eines elektronischen Schlüssels unkenntlich gemacht. Die Daten sind danach nur noch den Anwendern zugänglich, die genau diesen elektronischen Schlüssel kennen. Dieses Verfahren kann man daher nur eingeschränkt benutzen.

In größeren Anwenderkreisen, in dem viele Teilnehmer untereinander Daten austauschen, nutzt heute jeder Beteiligte zwei Schlüssel; einen öffentlichen und einen privaten Schlüssel. Die Nachrichten werden von dem Absender bei der Verschlüsselung unter Nutzung des öffentlichen Schlüssels des Empfängers unkenntlich gemacht. Dieser kann nun als Einziger die Nachricht unter Nutzung seines privaten Schlüssels auslesen. Mit diesem Verfahren wird sichergestellt, dass nur die vom Absender berechtigten Empfänger Nachrichten lesen können.

Zur Steigerung des Schutzes wird die digitale Signatur angewendet. Hierzu wird eine Prüfsumme der Nachricht vor dem Versand errechnet und mit dem privaten Schlüssel des Absenders signiert. Der Empfänger kann mit dem öffentlichen Schlüssel des Absenders und nach eigenständiger Ermittlung der Prüfsumme überprüfen, ob die Nachricht auf dem Transportweg eine Veränderung erfahren

Das Trust Center

Es ist erforderlich, dass alle öffentlichen Schlüssel der Teilnehmer in einem zentralen Verzeichnis publiziert werden. Jeder Benutzer kann darauf zugreifen und die öffentlichen Schlüssel zur Prüfung der Unterschriften heranziehen. Zudem muss sichergestellt werden, dass die Zuordnung einer elektronischen Unterschrift zu einer natürlichen Person von einer vertrauenswürdigen Instanz geprüft und erst danach der Schlüssel für die öffentliche Nutzung bereitgestellt wird.

Diese Instanz bildet das Trust Center. Jeder Teilnehmer muss einen Antrag auf Zertifizierung an das Trust Center richten. In einer Registrierungsstelle werden die Angaben des Antragsstellers geprüft und danach die Erstellung eines Zertifikates freigegeben. Danach signiert das Trust Center den öffentlichen Schlüssel des Teilnehmers mit einem eigenen Zertifikat und stellt den jeweiligen öffentlichen Schlüssel in das öffentliche Schlüsselverzeichnis.

Die Art der Identifikation kann unterschiedlich sein und reicht in der Praxis von der einfachen Identifikation per E-Mail bis zur Vorlage z.B. eines Personalausweises oder eines Reisepasses. Dabei dürfte klar sein, dass die Identifikation mittels E-Mail nur einen relativ geringen Wert hat, da insoweit Täuschungen über die wahre Identität relativ einfach zu bewerkstelligen sind.

Datenaustausch mit den gesetzlichen Krankenkassen

Die Krankenkassen haben bereits frühzeitig die elektronische Datenfernübertragung und die Nutzung des Internets für den Datenaustausch mit Geschäftspartnern erschlossen. Auf die damit verbundenen Anforderungen der Datenschutzbeauftragten wurde mit der Einrichtung eines komplexen aber zukunftsträchtigen Sicherheitsverfahrens reagiert. Mit dem Aufbau der organisatorischen und technischen Infrastruktur leistete die GKV erhebliche Vorarbeiten, da bis dahin kein weiterer vergleichbarer Nutzerkreis den aktiven Betrieb aufgenommen hatte.

Seit 1997 nutzen die Teilnehmer an den Datenaustauschverfahren die Verschlüsselungstechnologie mittels zweier Schlüssel. Die ITSG GmbH – als gemeinsame Einrichtung der gesetzlichen Krankenkassen – wurde beauftragt, ein Trust Center für die GKV einzurichten, das seit diesem Zeitpunkt aktiv ist und bis dato mehr als 500.000 Teilnehmerzertifikate erstellt hat.

Die Datenannahmestellen der Krankenkassen und die Geschäftspartner (Arbeitgeber und Leistungserbringer) nutzen unterschiedliche Systeme zur Abgabe der Daten und liefern unterschiedliche Datenmengen. Die gewählte Technologie hat sich als stabil erwiesen und ist mit Akzeptanz bei den Anwendern belegt, da sie sich problemlos in die unterschiedlichen Infrastrukturen einbinden lässt.

Das Verfahren wird durch eine verbindliche Richtlinie geregelt, welche die Grundlage für die Sicherheitsinfrastruktur bildet. Die Arbeit des Trust Centers der ITSG ist durch eine Policy geregelt, an die sich auch das Trust Center der Deutschen Krankenhausgesellschaft gebunden hat.