Was bisher geschah
Die Technik ist historisch gewachsen …
Wie ich bereits in meinen vorherigen Beiträgen versucht habe zu verdeutlichen, beruhen die sehr auf Sicherheit fokussierten Ideen zur TI auf Basis von technischen Möglichkeiten der 00-er Jahre. Diese Periode war allgemein auf der ganzen Welt eine deutlich hardwarelastigere Zeit als heute. Software-Lösungen wurde damals eine Absicherung der eigenen IT-Landschaft nicht zugetraut. Hardware vor Ort galt weitestgehend noch als vor Zugriffen von Unberechtigten als sicherste Lösung. So mussten Geräte vor Ort betrieben und für Außenstehende unzugänglich platziert werden. Dies galt seinerzeit auch in vielen anderen Branchen als das einzig vertrauenswürdige Mittel, insbesondere an dieser Stelle, wo es letztlich um Gesundheitsdaten geht. Mittlerweile gibt es eine Vielzahl an Optionen, die mit deutlich weniger Elektronik vor Ort auskommen. Daher kann man davon ausgehen, dass man aus der heutigen Ausgangslage heraus wahrscheinlich den Einstieg in die TI von Grund auf anders konzepiert hätte. Letztlich gilt hier: Hätte, hätte Fahrradkette! Außen vor blieben und bleiben bis heute noch Bürger:innen, die privat versichert sind und keine Leistungen aus der gesetzlichen Krankenkasse beziehen.
Doch welche Kompontenten benötigt eine durchschnittliche Gesundheitseinrichtung (z. B. eine Praxis oder eine Apotheke), um sich Zugang zu der TI zu verschaffen und welche Voraussetzungen müssen im Vorfeld erfüllt sein? Schauen wir uns das im Einzelnen an:
1. Internetanschluss mit VPN-Zugang
Alles beginnt mit einem Internetanschluss, den eine Gesundheitseinrichtung eingerichtet haben muss. Gängige Angebote der offiziellen Anbieter sind völlig ausreichend. Das bedeutet, dass jede Institution (egal ob Krankenhaus oder Apotheken), die gesetzlich Krankenversicherte behandelt oder betreut, einen Onlinezugang haben muss. Ansonsten wäre beispielsweise eine offizielle Arztpraxis heute nicht mehr in der Lage, im Rahmen der gesetzlich geregelten Gesundheitsversorgung zu handeln. Während dies heutzutage kaum noch als Hürde angesehen wird, war dies in Zeiten der 00-er Jahre durchaus noch keine Seltenheit, wenn etwa eine Zahnarztpraxis aus Sicherheitsgründen von einem Internetzugang absah.
Weiterhin wird für die Zugänglichkeit ein VPN-Dienst (Virtuell-Private-netzwork) vorausgesetzt. Dieser soll gewährleisten, dass abgeschirmt vom freien Internetverkehr ein abgesicherter Datenverkehr in der TI stattfinden kann. Der VPN-Dienst muss von dem Betreiber der TI, die gematik GmbH, geprüft und zertifiziert worden sein.
Aktuell gibt es nur drei VPN-Anbieter, die die Vorgaben der gematik erfüllen:
- Arvato Systems Digital Gmbh
- CompuGroup Medical Deutschland AG
- T-Systems International GmbH
2. Der Konnektor
Ein Konnektor ist optisch gegenüber einem handelsüblichen Internetrouter kaum zu unterscheiden. Das Sicherheitsniveau liegt jedoch deutlich höher, da ausschließlich über VPN eine Verbindung zur TI aufgenommen wird. In dieser vom Internet abgekoppelten technischen Umgebung werden zudem komplexe Verschlüsselungsmethoden für den Datenaustausch verwendet. Die Konnektoren sind mit den IT-Systemen von Arztpraxen, Krankenhäuser, Apotheken und sonstige Gesundheitseinrichtungen verbunden. Damit bewegen sich alle TI-Teilnehmer in einem in sich geschlossenen sicheren Netzwerk, zu dem nur ausgewählte Berechtigte Zutritt haben.
Des Weiteren stellt der Konnektor die Brücke für einen Datenverkehr zu Kartenlesegeräten der Gesundheitseinrichtungen her. Hierdurch werden Informationen aus den gesteckten Versicherten-Karten (eGK) ausgelesen und über die TI vermittelt.
Die gematik GmbH prüft und zertifiziert Konnektoren von Herstellern, bevor diese für die Nutzung für die TI zugelassen werden. Die Auswahl an zugelassenen TI-Konnektoren ist bis heute sehr überschaubar.
3. Kartenlesegeräte
Kartenlesegeräte begegnen uns meistens an der Kasse im Einzelhandel. Sie begegnen und auch in Anmeldebereichen von Arztpraxen. In den Kartenlesegeräten von Gesundheitseinrichtungen werden Institutionskarten (SMC-B), elektronische Heilberufsausweise (eHBA) sowie elektronische Gesundheitskarten (eGK) eingesteckt und zu unterschiedlichen Zwecken ausgelesen. Die Geräte werden nicht für Zahlungsverkehr eingesetzt. Beispielsweise werden Patientendaten ausgelesen und in Echtzeit geprüft, ob eine Person aktuell auch tatsächlich bei Krankenkasse versichert ist. Seit Kurzem müssen Ärzt:innen das Kartenlesegerät, um medizinische Dokumente digital mit ihrem eHBA zu unterschreiben.
Nicht jedes beliebige Kartenlesegerät kann zur sicheren Verbindung zum Konnektor aufbauen. Darüber hinaus sind nicht alle Geräte zur Nutzung im Rahmen der TI zugelassen. Technisch notwendig sind sogenannte gSMC-KT (gerätespezifische Security Module Card-Kartenterminal), welche sich im Inneren des Kartenlesegerätes befinden und daher in der Regel für Nutzer unerreichbar sind.
Wie bei den Konnektoren und VPN-Zugängen werden auch die Kartenlesegeräte von der gematik GmbH geprüft und zertifiziert. Ohne eine offizielle Zulassung der gematik ist jedes andere Lesegerät nicht erlaubt. Derzeit sind folgende Geräte für die Nutzung in der TI zugelassen:
4. Die Institutionskarte (SMC-B – Sicherheitsmodulkarte Typ B oder auch Secure Module Card – Betriebsstätte; auch Praxisausweis genannt)
Manche nennen sie Institutionskarte, andere bezeichnen sie als Praxisausweis. Und beide haben recht. Eine SMC-B-Karte wird allgemein von jeder Gesundheitseinrichtung benötigt, wenn sie Zugang zur TI benötigt. Sie ist die Grundlage für die digitale Identität der Praxis und berechtigt sie als Institution einen Zugang zur TI zu erhalten. Wohlgemerkt, es handelt sich um eine Institutionskarte. Sie ist keiner konkreten Person zugeordnet. Sie steht innerhalb der TI für eine Praxis, eine Apotheke oder auch ein ganzes Krankenhaus. Sie kann jedoch auch für eine bestimmte Abteilung oder die Fachklinik eines Krankenhauses stehen. Im Gegensatz zu anderen Karten verbleibt die SMC-B-Karte dauerhaft in einem zugelassenen Kartenlesegerät. Glücklicherweise ist eine SMC-B-Karte nicht in jedem Kartenlesegerät einer Praxis notwendig. Sofern weitere Kartenlesegeräte in der Praxis oder einem Krankenhaus vorhanden sind, können diese auf die SMC-B-Karte auch aus der Ferne zugreifen. Die SMC-B dient der Verschlüsselung zwischen Kartenlesegerät und Konnektor.
Nun ist die Bestellung einer solchen Karte nicht vergleichbar mit der Bestellung eines Buches im Internet. Zur Erinnerung: Die TI ist ein geschlossenes System, zu denen nur berechtigte Gesundheitseinrichtungen Zugang haben dürfen. Folglich bedeutet dies, dass eine SMC-B-Karte nicht ohne Weiteres von beliebigen Institutionen oder Personen im Internet bestellt werden kann. Es gibt Kontrollinstanzen, die bestimmt, welche Einrichtungen eine SMC-B-Karte beantragen dürfen. Bei Arztpraxen ist dies beispielsweise die Kassenärztliche Vereinigung des jeweiligen Bundeslandes. Diese geben den SMC-B-Anbietern die Genehmigung dazu, eine Institutionskarte für die antragstellende Organisation zu produzieren. Sie ist zugleich auch berechtigt, eine SMC-B-Karte umgehend zu sperren, sofern beispielsweise eine Praxis geschlossen wird und von keinem Nachfolger übernommen wird. Ähnliche Kontrollinstanzen sind zuständig für Zahnärzte, Krankenhäuser, Apotheken etc. und müssen hier gleichermaßen akurat vorgehen.
Es gibt nur eine halbe Handvoll Anbieter von SMC-B-Karten. Nachfolgend eine Liste der von der gematik zugelassenen Anbieter:
- D-Trust GmbH (Ein Unternehmen der Bundesdruckerei GmbH)
- medisign GmbH
- T-Systems International GmbH
5. Der elektronische Heilberufsausweis (eHBA)
Neben Gesundheitseinrichtungen, die über die SMC-B-Karte in der TI eindeutig identifziert werden können, ist es darüber hinaus erforderlich, dass sich die in diesen Institutionen tätigen Gesundheitsfachkräfte eindeutig über die TI identifizierbar sind. Insbesondere in einer großen Institution, wie zum Beispiel eine Universitätsklinik, wo rasch tausende von Menschen arbeiten, muss in der TI auch klar erkennbar sein, wer konkret was in der TI durchgeführt hat. So wurde gleichermaßen eine Kartenlösung für die Heilberufler:innen Pflicht.
Konkret bedeutet das, dass zum Beispiel elektronische Krankschreibungen (eAU) von einem Arzt:innen ausgestellt, digital unterschrieben werden muss. Bis vor Kurzem taten Mediziner:innen dies mit einer händischen Unterschrift. Digital unterschrieben heißt in diesem Kontext jedoch keineswegs, dass eine händische Unterschrift eingescannt wird und fortan in die entsprechenden Zeilen eines elektronischen Dokumentes platziert wird. Eine solche eingescannte Unterschrift, die irgendwo gespeichert ist, könnte von beliebigen Personen verwendet und kopiert werden. Daher kommt eine solche Lösung nicht infrage und ist juristisch auch nicht anerkannt. Nein, es ist von einer technischen digitalen Signatur die Rede, die vor Gericht auch rechtlich wirksam wäre. Man spricht hier von der sogenannten elektronisch qualifzierten Signatur (QES). Die Funktionsweise einer QES wird zu gegebener Zeit in einem separaten Beitrag erläutert werden.
Ärzte, Zahnärzte und Apotheker haben in den vergangenen Jahren sogenannte elektronische Heilberufsauweise (eHBA) beantragt und erhalten. Darüber hinaus können eHBA-Inhaber sich gegenüber der TI als Heilberufler:in (beispielsweise Ärzte, Zahnärzte, Apotheker, Hebammen, Pflegende) digital ausweisen und Einsicht auf Patientendaten erhalten. Die Karte verfügt über Ver- und Entschlüsselungsfunktionen.
Wie bei der SMC-B erfordert die Antragsstellung für einen eHBA aus Sicherheitsgründen gewissen formellen Vorgaben. Anders ausgedrückt, es kann nicht jeder auf digitalem Wege sein Glück versuchen und einen Heilberufsausweis beantragen. Bestimmte Gesundheitsfachberufe, wie zum Beispiel Ärzte haben bestimmte Befugnisse, die andere Berufsgruppen oder Personen nicht haben. Die Krankschreibung oder die Rezeptausstellung sind hier nur zwei Beispiele von Vielen. Daher muss auch an dieser Stelle 100-prozentig sichergestellt sein, dass auch wirklich nur berechtigte Antragssteller einen eHBA erhalten. Hier kommen wieder Kontrollinstanzen auf den Plan. In der Regel sind dies die entsprechenden Kammern (Landesärztekammern, Apothekerkammern usw.). Pflegende oder Rettungssanitäter verfügen jedoch meistens nicht über eine eigene Berufskammer. Hier kommt ein elektronisches Gesundheitsberuferegister (eGBR) als prüfende und genehmigende Stelle zum Einsatz. Federführend hat diese verantwortungsvolle Aufgabe die Bezirksregierung Münster übernommen.
Bis heute gibt es gerade mal vier von der gematik berechtigte eHBA-Anbieter, die für alle Heilberufler:innen entsprechende Karten nach Genehmigung ausstellen dürfen:
- D-Trust GmbH (Ein Unternehmen der Bundesdruckerei GmbH)
- medisign GmbH
- T-Systems International GmbH
- Stolle & Heinz Consulting GmbH & Co. KG
6. Pflicht: Der sichere E-Mail-Fachdienst KIM (Kommunikation im Medizinwesen)
Eine weitere Pflicht für Teilnehmer an der TI ist der E-Mail-Fachdienst KIM. KIM kann man sich als ein einfaches E-Mail-Programm vorstellen, was sogar mit einfachen Standard-E-Mail-Programmen wie Microsoft Outlook oder das Open-Source-Tool Thunderbird bedienbar ist. Herkömmlichen E-Mails sind regelhaft ungeeignet, um sensible vertrauliche Dokumente (z. B. ein Laborbefund oder ein Arztbrief) auf sicherem Wege von A nach B zu versenden. Dies liegt daran, dass sie ungesichert sind, was bedeutet, wenn sie abgefangen werden, sind sie für jeden direkt klar lesbar (ähnlich, wie eine Postkarte, die ich unerlaubterweise aus einem Briefkasten heraushole). KIM gewährleistet einen sicheren, schnellen Datenaustausch, der in der praktischen Handhabung dem allgemein gängigen E-Mail-Verfahren sehr ähnelt. Allerdings werden die Nachrichten verschlüsselt. Selbst, wenn es jemandem gelänge, diese Nachricht einzusehen, würde er sie nicht lesen können.
Bei KIM gewährleisten mehrere Faktoren einen vertraulichen Nachrichtenaustausch im Gesundheitswesen. Ähnlich, wie bei den bereits in diesem Blogbeitrag genannten Sicherheitsverfahren für andere TI-Komponenten, ist eine ähnliche Vorgehensweise zur Beantragung eines KIM-Dienstes erforderlich. Es ist also nicht mögich, dass jede beliebige Person eine KIM–Adresse beantragen kann, wie dies beispielsweise bei „normalen“ E-Mail-Diensten (beispielsweise web.de, gmx.net etc.) der Fall ist. Für KIM-Adressen werden die dahinterstehende Institutionen oder Personen auch eindeutig identifiziert. Gesundheitseinrichtungen können also tatsächlich über eine KIM-Adresse erreicht werden. Veraltete oder falsche KIM-Adressen, wie zum Beispiel bei normalen E-Mail-Adressen, sind so prinzipiell nicht möglich. Darüber hinaus existiert ein Verzeichnisdienst (VzD) für KIM. Dieser VzD stellt quasi ein Adressbuch dar. Das bedeutet konkret, dass KIM-Nutzer nicht selber ihre Adressen anlegen und pflegen müssen, sondern ein valides Adressbuch über Krankenhäuser, Praxen und so weiter für jeden KIM-Anwender nutzbar ist.
Zum einen können nur Institutionen des Gesundheitswesens KIM beantragen, wenn sie über eine SMC-B-Karte verfügen. Die KIM-Adresse wird an die vorhandene SMC-B-Karte gekoppelt. Dies ist allgemein auch meist sinnvoller, da eine Verknüpfung zu einer bestimmten Person mit eHBA unpraktisch ist. Personen (z. B. Ärzte) können ihre Arbeitsstelle wechseln. Krankenhäuser hingegen bleiben in der Regel bestehen, sodass eine KIM-Adresse unabhängig von Personen ist.
Das Gegenteil von Boris Beckers Spruch: „Ich bin drin – Das war ja einfach!“
Leider ist es nicht ganz so einfach, wie in dem Werbespot von dem ehemaligen Internetanbieter AOL mit Tennisprofi Boris Becker. Seit Einführung der TI bemängeln Gesundheitseinrichtungen die häufigen, meist kurzweiligen Verbindungsausfälle. Nicht selten führt dies dazu, dass Geräte neu gestartet werden müssen. Des Weiteren wird die Verbindungsgeschwindigkeit kritisiert. So wird der TI die Eigenschaft eines stabilen Netzwerkes abgesprochen. Damit nicht genug, mussten viele tausende Praxen vor wenigen Monaten ihre Hardware-Konnektoren austauschen. Die auf den Geräten befindichen Zertifikate laufen nach fünf Jahren aus. Dieser Umstand sorgte bei den Fachanwendern für erheblichen Unmut und Kritik gegenüber der gematik. Nach sehr vielen öffentlichen Diskussionen konnte eine Teillösung für bestimmte Konnektoren gefunden werden, um einen Hardwareaustausch zu vermeiden. Andere Konnektoren mussten ausgetauscht werden. So wurde der gematik die Schaffung unnötigen Elektroschrotts vorgeworfen. Neben den damit einhergehenden Kosten für die Betroffenen, sind Besuche und Wechsel von Konnektoren mit Praxisausfallzeiten verbunden, die verständlicherweise sehr ärgerlich für die Betroffenen sind.
Die Geduld dieser Berufsgruppen und ihrer Helfer:innen wurde in den letzten Jahre sehr viel abverlangt. Frustation und Unmut haben sich in weiten Teilen breit gemacht. Hier haben einige IT-Dienstleister eine Option gesehen, Abhilfe zu schaffen für einen alternativen Weg.
Stell Dir vor, es ist TI und Du hast keine Arbeit damit
Die große Hoffnung: TI 2.0
Natürlich ist auch eine Organisation, wie der gematik bewusst, dass Technologien sich in den vergangenen Jahrzehnten weiterentwickelt haben. Die TI in ihrer heutigen Umsetzung erfüllt zwar sehr gut den Anspruch an Sicherheit, aber die technische Umsetzung ist aus der Zeit gefallen und noch nicht hinreichend an Nutzerfreundlichkeit orientiert. Daher gibt es bereits Pläne und Konzepte für die künftige Entwicklung hin zu einer TI 2.0. Wie diese konkret geplant ist, werde ich in einem separaten Blogbeitrag erläutern. Kurzer Spoiler: Die TI 2.0 wird von deutlich weniger Hardware gekennzeichnet sein als die heutige TI 1.0. Mehr davon in einem späteren Blogbeitrag.
