Hintergrund ist folgender Sachverhalt:

Für das Lesen der Versichertenstammdaten (VSD) von der ab dem IV. Quartal 2011 von den Krankenkassen auszugebenden neuen Gesundheitskarte werden neue Kartenlesegeräte („eHealth-BCS-Kartenterminals“) benötigt. Diese verfügen über einen „Basis-Befehlssatz“ („Basic Command Set“ BCS) zum Lesen der eGK, bieten je nach Hersteller verschiedene Möglichkeiten (USB/seriell/LAN) für den direkten Anschluss an das Primärsystem und sind für eine spätere Anbindung an einen Konnektor über das lokale Netzwerk (LAN) verwendbar (migrationsfähig). Die spätere Anbindung an den Konnektor ermöglicht eine sichere Identifizierung und Kommunikation zwischen dem Primärsystem-Arbeitsplatz und dem dann zu einem „eHealth-Kartenterminal“ zu migrierenden Kartenlesegerät.

Diese Geräte lassen sich grundsätzlich in zwei Gruppen unterteilen:

• Ein Teil der BCS-Geräte ist ausschließlich für das Lesen der Versichertenstammdaten (VSD) von der eGK konzipiert;
• der andere Teil der BCS-Geräte kann zusätzlich im Sinne des Signaturgesetzes als Signatur-Chipkartenlesegerät für qualifizierte elektronische Signaturen (QES) genutzt werden, z. B. durch Verwendung eines elektronischen Arztausweises (HBA) für eine qualifizierte elektronische Arztsignatur.
Nach der von der gematik veröffentlichten Liste der „Herstellerangaben zu den Terminals mit gematik-Zulassung als stationäres Kartenterminal eHealth-BCS“ vom 4.4.2011 sind Geräte folgender Hersteller mit Bestätigungen oder Herstellererklärungen für „QES-Funktionalität“ ausgestattet: CCV Deutschland GmbH, gt German Telematics GmbH, SCM Microsystems GmbH und Hypercom GmbH. Für die Geräte der Firmen Gemalto GmbH und Ingenico Healthcare GmbH ist die QES-Zulassung in Vorbereitung bzw. noch nicht abgeschlossen.

Die Geräte von 3M Deutschland GmbH, HID Global GmbH und ZF Electronics GmbH verfügen nach der gematik-Liste nicht über eine zusätzliche „QES-Funktionalität“ und sind daher von dem hier nachfolgend beschriebenen Sachverhalt nicht betroffen.

Grundsätzliche Einsatzbedingungen nach den Anforderungen der Bundesnetzagentur:
Für Signaturanwendungskomponenten (QES-Funktionalität), zu denen auch ein „QES-Kartenterminal“ zählt, fordert dem Grunde nach die dafür zuständige Bundesnetzagentur als „Regelfall/Standardlösung“ die Nutzung in einem „geschützten Einsatzbereich“, bei dem potentielle Angriffe (über das Internet, das Intranet, einen manuellen Zugriff Unbefugter und Datenaustausch per Datenträger) „durch eine Kombination von Sicherheitsvorkehrungen in der Signaturanwendungskomponente selbst und der Einsatzbedingung mit hoher Sicherheit abgewehrt“ werden. Wichtig für die Eignung für den geschützten Einsatzbereich sind insbesondere „produktspezifische Auflagen“. „Die hohe Sicherheit darf hier nicht nur über Einsatzbedingungen erreicht werden; ein wesentlicher Teil der Sicherheit muss durch konstruktiv-technische Maßnahmen in der Signaturanwendungskomponente selbst erbracht werden.“
Zusatzanforderungen des BSI:

Ausdrücklich im Gegensatz zu diesen allgemein üblichen Standardanforderungen der Bundesnetzagentur hat das BSI stattdessen nun festgelegt, dass die eHealth-BCS-Kartenterminals in Praxen und Krankenhäusern nur bis zu 30 Minuten unbeaufsichtigt bleiben dürfen. Die BCS-Kartenterminals werden durch Siegel, Öffnungs- und Durchbruchsüberwachungen vor Manipulationen geschützt, so dass Manipulationen, für die maximal das o.g. Zeitfenster zur Verfügung steht, mit hoher Wahrscheinlichkeit erkannt werden.

Zusammenfassend formuliert das BSI damit für QES-fähige Kartenterminals (KT), die lediglich zum lokalen Lesen der Versichertenstammdaten der eGK verwendet werden (BCS-Betrieb) folgende
Besondere Anforderungen an die Einsatzbedingungen für das KT im BCS-Betrieb:

• „Das QES-fähige KT ist in Praxen und Krankenhäusern (und anderen Einrichtungen im Gesundheitswesen) in einem sog. kontrollierten „30-Minuten“-Bereich aufzustellen und zu nutzen.
• Die Nutzung des KTs ist ausschließlich auf die Leistungserbringer (LE), das autorisierte fachärztliche Hilfspersonal und den Administrator (alle samt rechtmäßige Nutzer) beschränkt.
• Das KT ist vor der Nutzung oder alle 30 Minuten (durch die rechtmäßigen Nutzer) auf Unversehrtheit zu prüfen (z. B. Sichtprüfung der Siegel). Bestehen Zweifel an der Unversehrtheit des KT, muss es unverzüglich dem Administrator oder dem Her¬steller zur Prüfung vorgelegt werden. Das KT darf nicht weiter genutzt werden.
• Bei der Migration des KT zum eHealth-KT (mit Anbindung an einen Konnektor) hat der Administrator das Gerät auf Authentizität und Unversehrtheit zu prüfen.
• Es sind die Anweisungen in der Bedienungsanleitung zu beachten.“

Ergänzend dazu weist das BSI weiter auf Folgendes hin:

„Einen Schutz vor Austausch gegen ein manipuliertes Gerät bieten die BCS-Kartenterminals aber nicht. Diesen Schutz wird es erst in der Ausbaustufe II geben, wenn in die Kartenterminals eine Smartcard (SM-KT) eingesetzt wird, die für Verschlüsselung des Datenverkehrs zum Konnektor genutzt wird und die Terminalidentität sicherstellt. Der Konnektor wird feststellen, dass ein unberechtigtes, möglicherweise manipuliertes Terminal angeschlossen ist und die Zusammenarbeit verweigern.“
 
Für Kartenterminals mit zusätzlicher QES-Funktionalität hat das BSI die Anforderungen noch weiter verschärft:

Anforderungen an die Einsatzbedingungen für das KT im QES-Betrieb:
• Das KT ist in Praxen und Krankenhäusern (und anderen Einrichtungen im Gesund¬heitswesen) in einem geschützten Bereich (siehe [Anforderungen der Bundesnetzagentur]) aufzustellen und zu nutzen. Der Signaturkarteninhaber (LE) hat dauerhaft das KT unter seiner alleinigen Kontrolle zu halten.
• Die Nutzung des KTs ist ausschließlich auf einen LE (Besitzer einer HBA) und den Administrator beschränkt.
• Das KT ist vor der Nutzung durch den LE auf Unversehrtheit zu prüfen (z. B. Sichtprüfung der Siegel, siehe Bedienungsanleitung). Bestehen Zweifel an der Unversehrtheit des KT, muss das Gerät unverzüglich dem Administrator oder dem Hersteller zur Prüfung vorgelegt werden. Das KT darf nicht weiter genutzt werden.
• Bei der Migration des KT zum eHealth-KT (mit Anbindung an einen Konnektor) hat der Administrator das Gerät auf Authentizität und Unversehrtheit zu prüfen.
• Es sind die Anweisungen in der Bedienungsanleitung zu beachten.“

Ergänzend dazu führt das BSI aus: „BCS-Kartenterminals, die für QES verwendet werden sollen, dürfen daher ausschließlich in geschützten bzw. isolierten Einsatzbereichen (wie oben beschrieben) aufgestellt sein, also nicht in der Standard-Einsatzumgebung, die vorsieht, dass Terminals bis zu 30 Minuten unbeaufsichtigt sein werden. Das BCS-KT mit QES steht unter der alleinigen Kontrolle des Signaturkarteninhabers und ist genau dieser einen Person (LE) dauerhaft als organisatorische Maßnahme (wie die Signaturkarte, tech¬nische Zuordnung durch die Signatur-PIN) zugeordnet.“

Eine Begründung, warum schon allein für das schlichte Lesen der Versichertenstammdaten im Gegensatz zu den Standardanforderungen verschärfte organisatorische Auflagen gelten sollen, hat das BSI nicht gegeben. Man muss wohl davon ausgehen, dass das BSI Arztpraxen und Krankenhäuser generell als unsichere Umgebungen einschätzt und daher gesonderte Sicherungsmaßnahmen für erforderlich hält.
Aus Sicht der DKG sind diese mitten im gerade stattfinden Basis-Rollout nachgereichten Einsatzbedingungen nicht nachvollziehbar. Es fehlt jegliches Verständnis, warum ein an einem regulären Arbeitsplatz aufgestelltes Kartenterminal zum Lesen von Versichertenstammdaten (VSD) einer besonderen Aufsicht unterzogen werden muss. Eine derartige Anforderung ist weder begründbar noch akzeptabel.
Die regulären Vorkehrungen zum Erkennen von Manipulationen am Kartenterminals, insbesondere das sichtbare Siegel am Gerät, müssen für die in Betracht kommenden Aufstellungsorte von VSD-Kartenterminals ausreichen. Weitergehende Anforderungen sind nicht zur Geschäftsgrundlage der gematik-Gesellschafter für ihre Rollout-Beschlüsse gemacht worden. Daher muss die erkennbare Unversehrtheit des Kartenterminals als Standardlösung ausreichen. Ebenfalls kann nicht in Betracht kommen, Kartenterminals an Patientenaufnahmeplätzen für Zeiten außerhalb der Regeldienstzeit mit einer „Aufsichtskontrollkarte“ zu versehen, in der bei konsequenter Umsetzung alle 30 Minuten eine Aufsicht vermerkt wird, oder sie gar in Aufbewahrungsschränke zu verschließen sind.

Unklar ist ebenfalls, welche „besonderen Einsatzbedingungen“ von Seiten des BSI zu erwarten sein werden, wenn in den folgenden Ausbaustufen der Telematikinfrastruktur auch medizinische Daten (z. B. Notfalldaten) mit Hilfe eines Konnektors und der dann zu „eHealth-Kartenterminals“ migrierten Geräte genutzt werden.

Wir haben dem BMG und dem BSI unsere Bewertung dieser nachgereichten „besonderen Einsatzbedingungen“ mitgeteilt und um eine baldige Klärung gebeten. Die gematik prüft parallel dazu auch die Frage der rechtlichen Grundlage und Zulässigkeit der zusätzlichen BSI-Anforderungen.