Eigentlich soll die Telematikinfrastruktur (TI) im deutschen Gesundheitswesen gerade durchstarten – nachdem sie bisher kaum mehr konnte, als Versicherten-Stammdaten abzugleichen. Die ersten elektronischen Patientenakten werden derzeit in einem erweiterten Feldtest befüllt und das elektronische Rezept steht kurz vor seinem Start. Doch wie sieht die übergreifende Digitalstrategie im Gesundheitswesen aus? Ende Januar veröffentlichte die Projektgesellschaft Gematik, die den Aufbau der TI im Auftrag des von Jens Spahn geleiteten Gesundheitsministeriums koordinieren soll, ein Whitepaper zur "TI 2.0". In dieser grundlegend neu konzipierten TI des Gesundheitswesens sollen demnach ab 2025 viele Dinge wegfallen, mit denen sich Versicherte, Ärzte und Apotheker heute befassen müssen – unter anderem die Hardware, ohne die sie gar nicht auf die TI kämen.

Hinweg mit der Hardware!

Trotz des sperrigen Untertitels "Whitepaper Telematikinfrastruktur 2.0 für ein föderalistisch vernetztes Gesundheitssystem" machte die Veröffentlichung des Papiers am 21. Januar Schlagzeilen. Die Gematik schlägt nämlich nichts Geringeres vor als die Abschaffung jener Identitätsanker, die heute im deutschen Gesundheitswesen zum Einsatz kommen: Softwarebasierte Identitätsprozesse sollen die elektronische Gesundheitskarte der Versicherten, den Heilberufeausweis der Ärzte, die in den Kartenlesegeräten eingesetzte "SMC-B"-Institutionenkarte und nicht zuletzt die Konnektoren ersetzen – also die VPN-Hardware, die Praxen, Krankenhäuser und Apotheken mit der Telematikinfrastruktur verbindet.

Besonders der angedachte Wegfall der Konnektoren erregt die Gemüter. Bis heute sind noch nicht einmal alle der bundesweit rund 180.000 Arztpraxen und Kliniken überhaupt über so ein Gerät an die TI angeschlossen: Folgt man den Zahlen eines Anbieters, waren im Februar 2021 noch 15 bis 20 Prozent unversorgt. Sie benötigen den Konnektor in den kommenden Monaten trotz der neuen Pläne aber ebenfalls noch, um obligatorische Dienste wie die elektronische Patientenakte zu erreichen und befüllen zu können – und müssen ihn dann voraussichtlich nur wenige Jahre später wieder abschaffen. Dabei war der Konnektor-Anschluss die Maßnahme, die alle Beteiligten, von Praxen und Kliniken über IT-Dienstleister bis hin zu den Herstellern, wohl am meisten Nerven gekostet hat. Teuer war es obendrein: Rund zwei Milliarden Euro sind bisher in den Ankauf und die Installation der Geräte geflossen. Finanziert haben dies letzten Endes die Versicherten, da die Kassen den Ärzten und weiteren "Leistungserbringern" Kostenpauschalen für die Geräte erstattet haben. Die aktuell erst anlaufenden Anschlüsse der Apotheken stehen sogar noch aus.

Sollen bald ausgedient haben: Die Gematik erwägt, die Konnektoren in Praxen und Kliniken durch eine Software-Lösung auf Basis von OAuth 2.0 zu ersetzen. (Bild: Gematik)

Das Whitepaper verdeutlicht in einer Bewertung des bisherigen Betriebs allerdings auch, dass eben diese Hardware-Konnektoren dazu beigetragen haben, die Telematikinfrastruktur als TI 2.0 neu zu konzipieren. Die sogenannten "offenen Zugangsschnittstellen im Internet" in der TI 2.0 sind demnach die Antwort der Gematik auf den Ausfall der TI 1.0 im Sommer 2020. Damals waren nach einem fehlerhaften Zertifikatswechsel rund 80.000 Arztpraxen aus der telematischen Infrastruktur geflogen. Bei zwei Dritteln der Praxen musste ein Softwareupdate der Konnektoren vor Ort durch Dienstleister neu eingespielt werden. Die gesamte Störungsbeseitigung dauerte 52 Tage. Aufgrund des Zwischenfalls stehe die Gematik in der Verantwortung, "die Resilienz der TI noch weiter zu erhöhen".

Umbaukonzepte

Ausgehend von den Erfahrungen aus der Störung zählt das Whitepaper neun Punkte auf, die bis 2025 verbessert oder verändert werden müssten. Drei davon verdienen besondere Aufmerksamkeit:

Der Zugang zu Diensten auf der TI sollte in Zukunft wie erwähnt unabhängig von Konnektoren erfolgen, auch, um Anwendungen "schneller, wirtschaftlicher und auf Basis neuester technologischer Entwicklungen nutzbar zu machen".

Die bisher auf Chipkarten aufsetzenden Anwendungen sollen auf Dienste der TI verlagert werden, "um Datensilos aufzulösen und eine vollwertige mobile Patientenversorgung zu ermöglichen".

Ein föderiertes Identitätsmanagement mit einheitlichen Standards soll den administrativen Aufwand sowie Identitätsmissbräuche auf ein Minimum reduzieren. Zugleich könne das Identitätsmanagement auch Identitäten außerhalb der TI für "sektor- oder kassenspezifische Anwendungen" bestätigen und "übergreifende Sicherheitsniveaus schaffen".

An die Stelle von Hardware und Chipkarten soll also ein umfassendes Identitätsmanagement treten. Idealerweise kann ein Nutzer dabei nach einem Single Sign-on auf einem Endgerät wie dem Smartphone nach dem Prinzip der "föderierten Identität" auf alle seine in der TI hinterlegten Gesundheitsdaten zugreifen. Das könnte so aussehen, dass der Nutzer sich über eine App bei seiner Krankenkasse authentifiziert, also einer an die TI angeschlossenen und vertrauenswürdigen Stelle. Danach stehen ihm in der App alle Inhalte und Dienste zur Verfügung, für die er eine Zugangsberechtigung besitzt. Der Nutzer bleibt dabei sein eigener Datenmanager innerhalb des föderierten Systems: Er bestimmt weiterhin, welche anderen Nutzer auf seine Daten zugreifen dürfen. Das wahrt Transparenz und Überprüfbarkeit.

Patientenakte und Rezepte samt Zugriffsberechtigung etwa von Ärzten und Apotheken könnte diese Person dann also an einem Ort in nur einer App verwalten, ohne sich gesondert für beides zu authentifizieren, selbst wenn das jeweilige Backend bei unterschiedlichen Dienstleistern liegt. Dazu würde auf der neuen TI 2.0 alles, was es an Hardware-Abhängigkeiten im digitalisierten Gesundheitswesen gibt, durch Softwarelösungen ersetzt werden. Diese sollen nach den Plänen der Gematik dann weitgehend auf Open-Source-Ansätzen aufsetzen.

Quelloffen

Die zentrale Open-Source-Technik für die TI 2.0 ist OpenID Connect. OpenID Connect basiert auf dem Autorisierungsframework OAuth 2.0, einem offenen Protokoll, das eine standardisierte Autorisierung für Web-, Desktop- und Mobilanwendungen ermöglicht. Für die Teilnahme muss sich ein Nutzer zunächst bei einem Identitätsprovider registrieren und legitimieren. Loggt sich dieser Nutzer anschließend ein und authentifiziert sich über OAuth 2.0, regelt der ID-Provider im Hintergrund über das Autorisierungsframework, auf welche einzelnen Dienste und Ressourcen der Nutzer zugreifen darf. Diese einmalige Authentifizierung für mehrere Systeme gleichzeitig ist das berühmte "SingleSign-On". OAuth 2.0 hat sich bereits bewährt: Es kommt auch bei vielen großen Online-Diensten wie Facebook und Google zum Einsatz und kümmert sich dort um Abermillionen Nutzer.

Laut den Plänen der Gematik würden damit Versicherte ihre Gesundheitskarte abgeben, Ärzte ihren Heilberufeausweis. Statt zu einer physischen Karte greifen sie dann zum Smartphone. Die Rolle der Smartcards, die als Identitätsträger und Authentisierungsmittel eine Doppelfunktion haben, käme nach dem Willen der Gematik beispielsweise Krankenkassen, Ärzte- und Apothekerkammern oder Kassenärztliche Vereinigungen als Identitätsprovider zu. Diese würden auch die Authentifizierung der Nutzer durchführen. Durchsetzen sollen die Zugriffsberechtigungen die einzelnen Fachdienste, etwa für elektronische Patientenakte, E-Rezept und ärztliche Kommunikation (KIM) – "auf der Grundlage von elektronischen Identitäten und weiterer Merkmale".

Zwar hat die Gematik ihrem Whitepaper ein Schaubild beigefügt, das die einzelnen Komponenten der TI 2.0 zeigen soll. Der technische Aufbau und die Abhängigkeiten der Dienste untereinander bleiben allerdings noch diffus. (Bild: Gematik)

Zu schnell für viele?

In den "weiteren Merkmalen" steckt eine Menge Sprengstoff. Die TI 2.0 ist nämlich für die europäische Integration ausgelegt. Hier greift die sogenannte "eIDAS-Verordnung" der EU. Sie liefert bereits eine Grundlage für Identifikations- und Authentifikationsprozesse – für Behörden, den Finanzsektor, aber eben auch das Gesundheitswesen.

Die eIDAS-Verordnung besagt, dass der Zugriff auf medizinische Identitätsdaten mit dem Sicherheitsniveau "hoch" zu schützen ist. "Hoch" ist die höchste von drei Stufen; die anderen sind "niedrig" und "substanziell". Die EU-Kommission hat für "hoch" in einer begleitenden Durchführungsverordnung unter anderem festgelegt, dass das elektronische Identifizierungsmittel sowohl vor Duplizierung und Fälschung als auch vor "Angreifern mit hohem Angriffspotential" schützen soll. Diese Anforderung erreicht man allerdings nur mit geeigneter kryptografischer Hardware. Diese muss dazu nach den internationalen "Allgemeinen Kriterien für die Bewertung der Sicherheit von Informationstechnologie" mit "CC EAL 4+" bewertet sein.

Typisch für EAL 4+ sind Chipkarten wie elektronische Gesundheitskarten, Heilberufeausweise und die Institutionenkarten. Auch die embedded Secure Elements (eSE) von Smartphones, also aufgelötete Sicherheitschips, können dieses Niveau erreichen. Solche Chips werden zum Beispiel bereits für das kontaktlose Bezahlen per Smartphone eingesetzt. 2019 erhielt ein eSE erstmals eine Zertifizierung für CC EAL 4+; es steckt im Snapdragon 855.

Mangelware sichere Smartphones

Genau darin liegt der Sprengstoff: Aktuell schätzen Experten, dass solche Hardware in höchstens 30 Prozent der im Umlauf befindlichen Smartphones eingebaut ist. Dieser Anteil mag bis 2025 höher werden. Dennoch wird ein Teil der Versicherten in der gesetzlichen Krankenversicherung sowie der Mitglieder der Ärztekammern bis dahin noch kein Gerät mit Secure Element besitzen. Sollte es strikt nach dem Whitepaper gehen, dürften solche Nutzer keine elektronische ID erhalten. Folgerichtig müssten die Karten (und Lesegeräte) weiter funktionieren.

Im Vorgriff auf dieses Problem hat die Bundesdruckerei bereits mit einigen Partnern das Projekt OPTIMOS durchgeführt, um ein "praxistaugliches Ökosystem sicherer Identitäten für mobile Dienste" zu schaffen. In der Version 2.0 soll es zwar das eIDAS-Sicherheitsniveau "hoch" erreichen, aktuell liegt es dem Staatsunternehmen zufolge allerdings noch auf Stufe "substanziell".

Skepsis bei Nutzern und Kassen

Der von der Gematik geplante Verzicht auf Smartcards gefällt nicht allen Gesellschaftern der Gematik. In einem gemeinsamen Schreiben krisierten Kassenärzte und -zahnärzte, Bundesärztekammer, Krankenhausgesellschaft, Apothekerverband und Krankenkassen die "vorschnelle" Veröffentlichung des Whitepapers. Der Verband der Privaten Krankenversicherungen schloss sich dem an. Mehr noch: Alle Verbände der "Leistungserbringer" im deutschen Gesundheitswesen – von Ärzten bis Hebammen – haben Einwände gegen das Konzept einer TI 2.0, auf der Identitäten allein durch Software vermittelt werden. Die Ärztekammern und der Apothekerverband etwa wollen nicht auf den Heilberufeausweis respektive Apothekerausweis verzichten, da er auch als Sichtausweis dient und die qualifizierte elektronische Signatur (QES) für die rechtssichere digitale Unterschrift ermöglicht. Eine Softwarelösung genießt bei ihnen bisher deutlich weniger Vertrauen. Hinzu kommt, dass die Ausweise bei einer Gültigkeit von fünf Jahren nicht billig sind und womöglich kurz vor der Umstellung noch einmal erneuert werden müssten. Selbst wenn man eine langfristige Ersparnis annimmt, käme für die Kassen und damit die Versicherten noch einmal eine hohe Summe zusammen: Ärzte zahlen 420 Euro, Apotheker 450 Euro, die sie als Betriebskostenpauschale ersetzt bekommen.

Die Krankenkassen wiederum sehen große Probleme, die inzwischen allgemein akzeptierte elektronische Gesundheitskarte durch eine Software-ID zu ersetzen. Sie wollen daher an einer einfachen Karte festhalten, auf der die Versichertennummer steht. Auch die Kosten spielen eine Rolle: Hatte die Einführung der Gesundheitskarte insgesamt noch die stattliche Summe von 700 Millionen Euro gekostet, so wären jetzt nur noch die Folgekosten für neue Karten in Rechnung zu stellen. Bei einem Stückpreis von etwa 50 Cent wäre dafür rechnerisch selbst bei einem komplettem Austausch für Millionen Versicherte nur noch ein Bruchteil erforderlich. Da der elektronische Notfalldatensatz und der Medikationsplan voraussichtlich ab 2023 in die elektronische Patientenkurzakte abwandern sollen, könnte der Chip mit weniger Speicher sogar noch günstiger produziert werden. Für die TI 2.0 hingegen müssten die Kassen als Provider mit zusätzlichen Kosten ein ID-Management für das föderierte System aufbauen oder über Dritte bereitstellen.

Die Gematik war offenbar überrascht von der geballten Kritik der Leistungserbringer und sich zugleich bewusst, dass das Bundesgesundheitsministerium als Mehrheitseigentümer (51 Prozent Stimmenanteil) die neue Software-TI trotz Gegenwehr durchsetzen kann. So beschwerte sich Gematik-Chef Markus Leyck Dieken in seinem Antwortbrief an die Leistungserbringer, dass "unsere gemeinsam in Spezifikation verabschiedeten Produkte wie die ePA selbst von den Mitgestaltern in Misskredit gebracht werden". Die übrigen Gesellschafter forderte Leyck Dieken auf, "auf das Konzept zuzugehen und es erst an den Stellen zu verändern, wo man Besseres einbringt". Offen bleibt allerdings die Frage, was das "Bessere" ist und ob darüber im Zweifel allein die Gematik und das Gesundheitsministerium mit ihrer Mehrheit entscheiden. Vermutlich ist es aber kein Zufall, dass die Gematik auf einer Fachveranstaltung Mitte März 2021 erstmals FIDO2 für die Authentifizierung ins Spiel gebracht hat. Ähnlich wie bei OAuth 2.0 würde dann eine bereits vorhandene und bewährte Technologie genutzt werden.

Details und Kosten: noch unklar

Der Wechsel von Hardware zu Software hat Konsequenzen für die einzelnen Dienste auf der TI. Das elektronische Rezept und der Kommunikations- und Messengerdienst für Ärzte (KIM) können relativ einfach an Open-ID-Lösungen angepasst werden. Ausgerechnet die elektronische Patientenakte (ePA), die alle Versicherten als erste Komponente überhaupt nutzen können, wird sich dagegen nur mit größeren Änderungen für die TI 2.0 umstellen lassen. Damit ein Arzt solch eine ePA anlegen und befüllen kann, ist er derzeit auf den Konnektor in der Praxis angewiesen. Der enthält zu diesem Zweck ein ePA-Fachmodul, das in Zusammenspiel mit seinem elektronischen Heilberufeausweis und der Gesundheitskarte des Versicherten die Zugriffsfreigabe erteilt.

Fehlplanung: Schon vor dem Regelbetrieb der Telematik-Infrastruktur fordert die von Gesundheitsminister Jens Spahn kontrollierte Gematik einen grundsätzlichen Kurswechsel. (Bild: Michael Kapeler / dpa)

Durch den geplanten Wegfall der Konnektoren müssen die Architekten der TI dieses ePA-Fachmodul sicher an einen erst noch zu findenden Ort verlegen. Da diese Änderung der Zustimmung durch das Bundesamt für Sicherheit in der Informationstechnik bedarf, rechnet niemand damit, vor 2025 mit dem Umbau der ePA fertig zu werden. Doch selbst ohne die Frage nach dem ePA-Konnektor-Problem ist das anvisierte Datum ehrgeizig. Schließlich müssen nicht nur Provider für die Identifikationsdienste gefunden werden, sondern Rechenzentren aus- oder neu aufgebaut werden. Bei der Gematik heißt es dazu bisher nur lapidar: "Mit der Erreichbarkeit aller Fachdienste der TI über das Internet verlagert sich die betriebliche Leistung der TI fast vollständig in Rechenzentren."

Das Zieljahr 2025 bringt noch ein weiteres Problem: Die Konnektoren werden mit Zertifikaten geliefert, die gemäß den Bestimmungen des BSI eine Laufzeit von fünf Jahren haben. Je nach Hersteller und Produktversion laufen die ersten Zertifikate ab Herbst 2022 aus. Es gibt zwar Verfahren, um die Konnektoren mit neuen Zertifikaten auszustatten. Diese erfordern aber je nach Hersteller entweder einen rollierenden Austausch oder einen Besuch eines besonders zertifizierten IT-Dienstleisters. Genau damit haben viele Ärzte schlechte Erfahrungen gemacht. Nun stünde ihnen die gleiche zeit- und ressourcenraubende Prozedur für eine bereits obsolete Technik noch einmal ins Haus, kurz darauf gefolgt von der Umstellung auf die Softwarelösung.

Europäische Perspektiven

Die Diskussion über die TI 2.0, wenn sie denn wirklich kommt, könnte in den nächsten Monaten auch eine europäische Dimension bekommen. Bereits im Februar 2020 hat die EU-Kommission ein Diskussionspapier für eine "gemeinsame europäische Datenstrategie" veröffentlicht. Sie fordert bei den medizinischen Daten einiges ein. Als Teil dieser künftigen Datenstrategie soll ein "europäischer Gesundheitsdatenraum" entstehen. Die Wunschliste ist gerade bei den Gesundheitsdaten lang geworden.

Die Kommission strebt demnach einen Ausbau der grenzüberschreitenden Weitergabe von Gesundheitsdaten an. Zudem sollen bestimmte Arten von Gesundheitsinformationen "wie elektronische Patientenakten‚ Genominformationen (für mindestens 10 Millionen Menschen bis 2025) und digitale medizinische Bilddaten im Einklang mit der DSGVO "über sichere zusammengeschlossene Archive" verknüpft und verwendet werden. Bereits 2022 sollen elektronische "Patientenkurzakten" und elektronische Verschreibungen grenzüberschreitend in den 22 Mitgliedstaaten, die an der digitalen "eHealth-Diensteinfrastruktur" (eHDSI) beteiligt sind‚ genutzt werden können. Über die eHDSI sollen sich dann auch erstmals medizinische Bilddaten, Laborergebnisse und Entlassungsberichte austauschen lassen.

Das ist nur ein Ausschnitt, doch er führt vor Augen, wohin die Reise führen könnte. Mehrfach ist im Abschnitt über die Gesundheitsdaten außerdem die Rede davon, dass ihre Vernetzung die Wettbewerbsfähigkeit der EU-Industrie stärken soll.

Für Deutschland bleibt zu hoffen, dass der Umbau der TI zumindest günstiger und effizienter als ihre Inbetriebnahme wird. Laut GKV-Spitzenverband sollen unter verschiedenen Gesundheitsministern bis einschließlich Jens Spahn allein zwischen 2008 und 2019 insgesamt 2,5 Milliarden Euro in Telematikinfrastruktur-Projekte geflossen sein, ohne die angestrebten Ziele oder überhaupt einen Regelbetrieb zu erreichen. Obendrauf kam nun noch eine wohl bald wieder obsolete Hardware für über zwei Milliarden Euro. Eine ähnlich lange Dauer für die Umsetzung und ähnlich hohe Kosten ließen sich wohl kaum ein zweites Mal rechtfertigen.

