GesundheitsID & Kartensimulation: Effizient testen

Die elektronische Gesundheitskarte (eGK) war bisher im Gesundheitssystem die einzige Möglichkeit, sich in der Telematikinfrastrukur zu authentisieren. Mit der GesundheitsID wird nun eine Alternative geschaffen, um digitale Anwendungen wie Gesundheits-Apps zu nutzen. Sie erfordert die Identifizierung mit der eGK oder dem Personalausweis. Mit einer virtuellen Simulation dieser Karten können Anwendungen und Geräte in der Telematikinfrastruktur einfach getestet und entwickelt werden. 

Wie die GesundheitsID im Gesundheitssystem genutzt wird

Aktuell ist im Gesundheitssystem die elektronische Gesundheitskarte (eGK) der Identitätsnachweis für die Versicherten. Betritt ein Patient zum ersten Mal oder im neuen Quartal eine Haus- oder Facharztpraxis, steckt er am Empfang zunächst einmal seine eGK in den Kartenleser. Das Gerät identifiziert ihn, prüft, ob er versichert ist und die Praxissoftware kann eine Verbindung zur Patientenakte herstellen. 

Künftig wird es neben der eGK digitale Identitäten geben, um sich innerhalb der Telematikinfrastruktur (TI) des Gesundheitswesens auszuweisen: Schon heute können sich Versicherte von ihrer Krankenkasse eine solche zur Verfügung stellen lassen, die sogenannte GesundheitsID. Sie enthält die notwendigen Informationen wie die Krankenversicherungsnummer (KVNR) und die Krankenversicherung des Patienten.

GesundheitsID: Die Anwendungsfälle

Die GesundheitsID ermöglicht den Zugang zu verschiedenen TI-Anwendungen ohne eine physische Karte: Patienten können sich damit via Smartphone-App zum Beispiel in ihre elektronische Patientenakte einloggen oder E-Rezepte aufrufen. 

  1. Dafür müssen sie sich zunächst authentisieren: Die Identifikation erfolgt beim ersten Login mit der elektronischen Gesundheitskarte oder dem Personalausweis.
  2. Danach kann die GesundheitsID über das registrierte Smartphone für die Anmeldung genutzt werden.
  3. Der Vorgang der Identifikation muss in regelmäßigen Abständen wiederholt werden.
  4. Später soll eine einfachere Authentifizierung etwa mit Fingerabdruck oder Gesichtserkennung möglich werden.
  5. Künftig soll die GesundheitsID auch die Nutzung von Digitalen Gesundheitsapps (DiGAs) und anderen Drittanwendungen sowie die Anmeldung in Patientenportalen von Krankenhäusern ermöglichen.

Der Zeitrahmen für die GesundheitsID

Ab 2026 kann die GesundheitsID statt der eGK in Arztpraxen als alternativer Versicherungsnachweis eingesetzt werden. Ob die GesundheitsID die eGK komplett ablösen wird, hängt von verschiedenen Faktoren ab – darunter der technologische Fortschritt, Sicherheitsüberlegungen oder regulatorische Entwicklungen. 

Mit der GesundheitsID will der Gesetzgeber den Zugang zu Online-Anwendungen vereinfachen und eine karten- und hardwareunabhängige TI 2.0 erschaffen. 

Die Sicherheit digitaler Identitäten

Das geforderte Vertrauensniveau der GesundheitsID entspricht demjenigen der Online-Ausweisfunktion des Personalausweises. Für Gesundheits-Apps ist eine Zwei-Faktor-Authentifizierung vorgesehen. 

Um sichere digitale Identitäten zu entwickeln, hat die gematik, Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH, die sogenannten Spezifikationen geschaffen. Hersteller müssen nachweisen, dass ihre Geräte und Apps für den Einsatz in der TI diesen Spezifikationen genügen. Sie benötigen ein Sicherheitsgutachten des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und die funktionale Zulassung der gematik, für die umfangreiche Tests erforderlich sind.

 Die Entwicklung mit dem Virtual Card Kit von achelos

Anwendungen und Geräte in der TI müssen entsprechend hohen Standards entsprechen; für die Entwicklung etwa von Kartenlesegeräten greifen zahlreiche Hersteller auf ein besonderes Werkzeug zurück, das Virtual Card Kit der achelos GmbH. 

Das System, eine Kombination aus Software- und Hardwarekomponenten, simuliert die unterschiedlichen Kartentypen – elektronische Gesundheitskarten, Heilberufsausweise und Gerätekartentypen – und damit alle SmartCards, die von der gematik für die Telematikinfrastruktur zertifiziert sind. 

Damit können diverse kritische Fehler, die eine Karte auslösen kann, etwa bei ungültigen Daten oder abgelaufenen Zertifikaten, simuliert werden. Das System agiert wie die Gesundheitskarte und erlaubt es den Entwicklern, sich den Ablauf des Prozesses und seine Reihenfolge anzusehen und die Kommunikation zwischen Karte und Kartenleser zu analysieren. 

Über die Simulation können beliebige Fehler auf Knopfdruck eingeschleust werden: Sie wird am Computer gesteuert und der Hersteller kann auf diese Weise testen, wie sich sein Gerät verhält: etwa, ob die Kommunikation abbricht, Fehler ignoriert werden oder ob es den Prozess einfach weiterlaufen lässt. Mit echten Karten kann die gesamte Fehlerbandbreite nicht erzeugt werden.

Ausweissimulator PersoSIM wird für weitere Tests angebunden

Die veröffentlichte Spezifikation des BSI sieht vor, dass die GesundheitsID zyklisch durch eine Anmeldung über die Online-Ausweisfunktion des Personalausweises oder über die elektronische Gesundheitskarte (eGK) mit PIN bestätigt werden muss. Dies macht es notwendig, Tests auch mit Personalausweisen, die Teil der Identifizierung für den Zugang zu Online-Gesundheitsanwendungen sind, durchzuführen. 

Dafür kann nun der Ausweissimulator PersoSim, eine Open-Source-Applikation des BSI, an das System von achelos angebunden werden: So kann sowohl mit Personalausweisen als auch Gesundheitskarten von Herstellern, App-Entwicklern oder Krankenkassen getestet werden. 

Kommandos lassen sich während der Simulation in Echtzeit mitlesen und protokollieren und Manipulationen sind auf APDU-Ebene möglich: Hier kann auf Protokollebene eingegriffen und die technische Kommunikation gestört werden, um Fehler zu generieren, seien es falsche Namen oder Fehler in der Syntax, um zu testen, ob das Lesegerät den Prozess abbricht oder ihn wiederholt.

Ein effektives Tool für Entwicklung und Qualitätssicherung

Das Virtual Card Kit stellt als Simulation des Personalausweises oder der eGK nicht nur eine Lösung für die Qualitätssicherung bei der Entwicklung von Kartenlesegeräten dar. Es beschleunigt zudem die Entwicklung, indem es die breite Abdeckung von Fehlern in den Tests ermöglicht und damit die Wahrscheinlichkeit massiv erhöht, eine Zulassung durch die gematik zu erreichen.

Autoren: Gorden Bittner, eHealth-Direktor und Holger Volke, Technischer Leiter – achelos GmbH

Besuchen Sie uns auf der DMEA und lernen Sie unser umfangreiches Portfolio für den deutschen Gesundheitsmarkt kennen.
Wir freuen uns auf Ihren Besuch auf unserem Messestand in Halle 6.2 Stand B-105!

Über die achelos GmbH

"Wir machen die vernetzte Welt sicherer!"
Die achelos GmbH ist ein Beratungs- und Systemhaus für Cybersicherheit und digitale Identitäten, gegründet im Jahr 2008 in Paderborn. Das herstellerunabhängige Unternehmen erarbeitet robuste Lösungen und bietet Servicepakete in verschiedenen Ausbaustufen für sichere Produkte und Anwendungen. Für Kunden aus den Bereichen Gesundheitswesen, Industrie, Öffentlicher Sektor, Digitale Zahlung und Telekommunikation setzt achelos Sicherheitsstandards in lauffähige Lösungen bis zur Compliance um. Sie alle profitieren von diesem ganzheitlichen Ansatz – von Beratung über Konzeption, Softwareentwicklung bis hin zu Zertifizierung und sicherem Betrieb. achelos ist nach ISO 9001, ISO 27001 und Common Criteria zertifiziert und verfügt über ein namhaftes Partnernetzwerk.
www.achelos.de

Firmenkontakt und Herausgeber der Meldung:

achelos GmbH
Vattmannstraße 1
33100 Paderborn
Telefon: +49 (5251) 14212-0
Telefax: +49 (5251) 14212-100
http://www.achelos.de

Ansprechpartner:
Bianca Dören
Public Relations & Events
Telefon: +49 5251 14212-341
Fax: +49 5251 14212-100
E-Mail: bianca.doeren@achelos.de
Silke Esser
Director Marketing
Fax: +49 5251 14212-100
E-Mail: silke.esser@achelos.de
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel