Diese Komponenten benötigen Sie für Ihren TI-Anschluss
Arzt- und Psychotherapiepraxen, die sich an die Telematikinfrastruktur (TI) anschließen möchten, brauchen eine Reihe neuer Komponenten, die speziell für die TI entwickelt und von der Gematik freigegeben wurden. Dazu zählen der TI-Konnektor, der VPN-Zugangsdienst, neue Kartenterminals sowie elektronische Praxis- und Arztausweise.
Für die Telematikinfrastruktur (TI) wird kein eigenes Netzwerk aufgebaut. Alle Teilnehmer verwenden die vorhandene Infrastruktur des Internets. Daher ist ein normaler Internetanschluss Grundvoraussetzung für die Teilnahme an der TI. Praxen, die bisher noch keinen Internetanschluss haben, müssen diesen bei einem Internetprovider beauftragen.
Telematik-Konnektor
Die TI nutzt zwar die vorhandenen Internet-Anschlüsse, ihre Teilnehmer befinden sich aber in einem eigenen privaten und abgesicherten Netz (virtuelles privates Netzwerk VPN). Den Zugang zu diesem eigenen Netz stellt der Konnektor als sogenannter VPN-Router sicher. Er baut eine auf Netzebene gesicherte Verbindung (IPsec) zur zentralen TI-Plattform über das Internet auf. Sensible Daten, die über diese Verbindung transportiert werden, sind zusätzlich auf Transportebene geschützt (TLS).
In seiner Funktion als Firewall auf Netz- und Anwendungsebene schützt der Konnektor sowohl die Systeme der Praxis vor Angriffen aus dem Internet und vor unberechtigten Zugriffen aus der zentralen TI-Plattform. Konnektor und zentrale TI-Plattform können nicht auf die in der Arztsoftware gespeicherten Daten zugreifen, und Daten aus diesen Systemen werden nur auf Anforderung auf die eGK geschrieben oder an Dienste der TI übertragen. Außerdem enthält der Konnektor einen Sicherheitschip, auf dem die privaten Schlüssel gespeichert sind, die für spätere Anwendungen wie die elektronischen Befundübermittlung benötigt werden. Diese müssen unbedingt vor Missbrauch geschützt werden, so dass der Konnektor zwingend an einem zutrittsgeschützten Ort (z.B. abschließbarer Serverschrank) platziert werden muss.
Viele Ärztinnen und Ärzte misstrauen dem Anschluss an die TI, weil sie befürchten, dass über den Konnektor ein Datenzugriff auf ihre Patientendaten erfolgen könnte. RED medical bietet dagegen einen zusätzlichen Schutz: alle Daten werden außerhalb des physischen Zugriffs der TI in einem sicheren Rechenzentrum gespeichert und zusätzlich Ende-zu-Ende-verschlüsselt. Damit wird technisch sichergestellt, dass kein Unbefugter Zugriff auf die gespeicherten Daten hat (security by design).
VPN-Zugangsdienst
Für die VPN-Verbindung selbst wird ein weiterer Zugangsdienst erforderlich. Dieser stellt die getunnelte Verbindung zwischen der Praxis (dezentrale TI) und der zentralen TI-Plattform her. Es werden nur VPN-Verbindungen mit zuvor registrierten Konnektoren zugelassen, die sich durch eine SMC-B (s.u.) ausweisen. Dadurch wird sichergestellt, dass nur medizinische Institutionen das zentrale Netz der TI erreichen können.
E-Health-Kartenterminal
Mit den E-Health-Kartenterminals werden die elektronische Gesundheitskarte eGK, der elektronische Heilberufsausweis und der Praxisausweis eingelesen. Die neuen E-Health-Kartenterminals können Versichertenkarten nicht nur lesen, sondern auch beschreiben und sind nicht mehr direkt an einen Rechner (über USB) angeschlossen, sondern werden direkt mit dem Konnektor bzw. dem Praxisnetzwerk (LAN) verbunden. Die Verbindung zum Konnektor ist dabei transportgeschützt, so dass Daten, die von den Karten gelesen bzw. auf die Karten geschrieben werden, unbefugten Personen nicht zur Kenntnis gelangen oder von diesen unbemerkt manipuliert werden können. Die Kartenterminals besitzen ein PIN-Pad, ein Display und mindestens zwei Kartenschlitze, in die jeweils eine eGK und ein Heilberufeausweis bzw. Praxisausweis (SMC-B) gesteckt werden. Die bisher verwendeten stationären und mobilen Kartenleser können nicht weiter verwendet werden und müssen ausgetauscht werden.
Heilberufeausweis
Zugang zur Telematikinfrastruktur erhalten nur Personen und Organisationen, die ihre Identität zuvor elektronisch nachgewiesen haben. Mit dem Heilberufeausweis HBA wird der Nachweis geführt, dass bestimmte Funktionen von einer Ärztin oder einem Arzt autorisiert wurden. Dies wird beispielsweise beim Notfalldatenmanagement, für den eArztbrief, Laborüberweisungen oder Anforderungen von Telekonsilen benötigt. Für die erste Anwendung der TI, das Versicherten-Stammdaten-Management VSDM, wird dagegen noch kein HBA benötigt.
SCM-B – Praxisausweis
Ähnlich wie der HBA dient der Praxisausweis (Security Module Card Typ B – SMC-B) dazu, nachzuweisen, dass eine Praxis eine bestimmte Funktion ausgeführt hat. Mit ihm identifiziert sich eine Praxis beispielsweise gegenüber dem Kostenträger, wenn sie die Prüfung der Versicherten-Stammdaten durchführt.
Der Praxisausweis wird in eines der E-Health-Kartenterminals gesteckt und muss regelmässig durch PIN-Eingabe am Kartenterminal aktiviert werden. Neben der Eigenschaft als “Ausweis” bietet die SMC-B-Karte weitere Sicherheitsfunktionen, denn technisch wird der Zugriff auf medizinische Daten immer mittels Zwei-Karten-Prinzip gewährt. Nur mit einem HBA (Heilberufeausweis) bzw. einer SMC-B und dem Einverständnis des Versicherten (außer beim Notfallzugriff) kann auf dessen Daten zugegriffen werden. Die SMC-B muss dabei zusätzlich durch einen PIN freigegeben werden, so dass eine gefundene oder gestohlene SMC-B für den Zugriff auf eine eGK nicht verwendet werden kann.
Damit sichergestellt ist, dass keine Unbefugten Zugang zur TI erhalten, müssen Vertragsärzte und -psychotherapeuten ihren Praxisausweis bei einem von der gematik zugelassenen Kartenhersteller beantragen. Dieser erstellt und versendet den Praxisausweis, nachdem die zuständige KV die Identität des Antragstellers bestätigt hat. Alle Komponenten werden in einer sogenannten sicheren Lieferkette zugestellt, um zu verhindern, dass auf dem Weg zwischen der Fabrik des Herstellers und der Praxis Unbefugte die Geräte manipulieren und mit Abhöreinrichtungen kompromittieren oder in den Besitz der Zugangstechnologie gelangen.
Einsatz-Szenarien
Beim “integrierten Szenario” wird der TI-Konnektor zwischen den eigentlichen Internet-Router und das Praxisnetzwerk mit Kartenterminals und Arztsoftware geschaltet. In diesem Szenario sind die Arbeitsplätze der Praxis mit dem Internet verbunden, der TI-Konnektor schützt diese durch eine eingebaute Firewall vor Angriffen von außen. Nur bei diesem Szenario kann die Praxis später alle Anwendungen der TI nutzen.
Das sogenannte “Stand-alone-Szenario” sieht dagegen eine physischer Trennung von Arztsoftware und TI vor. Hierfür werden zwei TI-Konnektoren benötigt, von denen nur einer mit dem Internet verbunden ist. Wird eine Versichertenkarte in ein Kartenterminal gesteckt, dass mit diesem “Online-Konnektor” verbunden ist, erfolgt der Abgleich der Versichertenstammdaten mit der zentralen TI. Das Prüfergebnis wird auf die Versichertenkarte geschrieben, die dann in ein zweites Kartenterminal gesteckt wird, das mit dem zweiten “Offline”-Konnektor verbunden ist. Dieser befindet sich im internen Netz der Praxis und ist mit der Arztsoftware verbunden. Durch die physische Trennung der Arztsoftware vom Netz ist ein Angriff auf deren Datenbestände über das Internet nicht möglich, wobei ein Angriff sowieso nicht über die Telematikinfrastruktur erfolgen können. Das “Stand-alone-Szenario” ist deutlich aufwändiger in Anschaffung und Bedienung und kann später die Online-Funktionen wie die elektronische Befundübermittlung nicht nutzen.