Sind unsere Daten in der geplanten Telematikinfrastruktur wirklich sicher?

Die Daten, die mit der “Gesundheitskarte” verarbeitet werden, werden mit Hilfe eines persönlichen, privaten Schlüssels, der sich auf der Karte befindet, verschlüsselt und der Telematikinfrastruktur übergeben. Absolut sicher…

Was passiert aber, wenn jemand die Karte verliert, die Kasse wechselt, oder wenn die Verschlüsselungsalgorithmen auf den neuesten Stand gebracht werden müssen? Ich stelle mir dazu die Frage, ob es Schlüsselkopien gibt. Leider ist es nicht ganz einfach, darauf eine definitive Antwort zu finden. Es spricht aber einiges dafür, dass im System Schlüsselkopien existieren.

FIFF schreibt:

Die Gesundheitsdaten eines Patienten liegen außerhalb der Arztpraxis nur individuell verschlüsselt vor (…). Nach derzeitigem Stand der Technik kann man davon ausgehen, dass die Verschlüsselung nicht oder nur durch immense Computerleistung überwindbar ist. (…) Bei der eGK ist dies so gelöst, dass der private Schlüssel lediglich auf der Karte des Patienten hinterlegt ist. Der private Schlüssel verlässt die Karte niemals (…). Die noch nach alter Methode verschlüsselten Dokumente müssen alle entschlüsselt, nach der neuen Methode verschlüsselt und wieder gespeichert werden. (…) Dieser außergewöhnliche Aufwand ließe sich nur durch einen zentralen Umschlüsselungsservice vereinfachen, wozu dann allerdings die privaten Schlüssel der Patienten dort bekannt sein müssen. Eine Schlüsselkopie läge also doch vor. (…) Eine andere Schwachstelle ist der Ersteller der Schlüssel, der ebenfalls keine Kopie halten darf. Das Gesetz regelt diesbezüglich gar nichts. Nach derzeitigem Stand wird diese Aufgabe vom Bundesamt für Sicherheit in der Informationstechnologie (BSI) an Privatfirmen (Trust Center) vergeben. Das BSI selbst gehört zum Geschäftsbereich des Bundesministeriums des Innern und ist diesem weisungsgebunden. Wenn man das liest, zuckt man kurz …

Aus der Forschungsgruppe der RUB:

Das größte Problem ergibt sich jedoch aus der Existenz von Schlüsselkopien. Im Fachkonzept Datenmanagement heißt es dazu: ”Bei Erstellung einer Ersatz- oder Folgekarte MUSS sichergestellt werden, dass Anwendungsdaten, welche auf einem Server gespeichert sind (z.B. elektronische Patientenakte), auch unter Nutzung einer neuen eGK abgerufen werden können.” Obwohl in den Spezifikationen mehrfach erwähnt wird, dass keine Schlüsselkopien außerhalb der Karte existieren dürfen, impliziert die Notwendigkeit der Aufrechterhaltung der Onlineanwendungen nach Verlust der elektronischen Gesundheitskarte eine Speicherung von Sicherungskopien der privaten Kartenschlüssel. Ebenfalls in diesem Teil der Spezifikation wird die Möglichkeit eingeräumt, die privaten Kartenschlüssel nicht zufällig zu generieren, sondern von sogenannten Masterschlüsseln abzuleiten: Mit diesem Masterschüssel kann man dann auch ohne Kenntnis des privaten Kartenschlüssels auf alle Daten, die mit einem vom Masterschlüssel abgeleitetem Kartenschlüssel verschlüsselt wurden, zugreifen.

Bei der Gematik selbst habe ich nur gefunden, dass der private Schlüssel entweder im CMS (Card-Management-System) hinterlegt wird oder dort aus einem Master-Key rekonstruiert werden können muss: