TI-Sicherheit: Datenschutz und Verschlüsselung verstehen.

Gesundheitsdaten gehören zu den sensibelsten Informationen überhaupt. Die Telematikinfrastruktur (TI) wurde daher von Anfang an mit einem mehrschichtigen Sicherheitskonzept entwickelt. Vom verschlüsselten Datentransport über zertifizierte Hardware bis hin zur kartenbasierten Authentifizierung, jede Ebene trägt dazu bei, dass Patientendaten vertraulich bleiben. Doch Technik allein reicht nicht: Auch organisatorische Maßnahmen in Pflegeeinrichtungen spielen eine entscheidende Rolle. Dieser Artikel erklärt, wie die einzelnen Sicherheitsmechanismen zusammenwirken und welche Verantwortlichkeiten daraus für den Praxisalltag entstehen.

Verschlüsselung auf mehreren Ebenen

Die TI setzt nicht auf eine einzelne Verschlüsselungstechnik, sondern kombiniert mehrere Schutzmechanismen, die unterschiedliche Angriffsvektoren abdecken.

Ende-zu-Ende-Verschlüsselung bei KIM

Der Kommunikationsdienst KIM (Kommunikation im Medizinwesen) verschlüsselt Nachrichten Ende-zu-Ende. Das bedeutet: Eine Nachricht wird bereits auf dem sendenden System verschlüsselt und erst auf dem Empfängersystem wieder entschlüsselt. Weder der KIM-Anbieter noch andere Zwischenstationen können den Inhalt lesen. Dieses Prinzip gilt für alle über KIM versendeten Dokumente, ob Arztbriefe, Befunde oder Pflegeüberleitungsbögen.

Transportverschlüsselung innerhalb der TI

Neben der inhaltlichen Verschlüsselung werden alle Daten innerhalb der TI zusätzlich auf der Transportebene geschützt. Die Verbindung zwischen der Pflegeeinrichtung und der zentralen TI-Infrastruktur erfolgt über einen verschlüsselten VPN-Zugangsdienst. Dieser VPN-Tunnel stellt sicher, dass Daten auf dem Weg zwischen dem lokalen Netzwerk und den TI-Diensten nicht abgefangen oder manipuliert werden können. Der Tunnel wird automatisch vom TI-Konnektor aufgebaut und ist für die Anwender im Alltag nicht sichtbar.

Verschlüsselung der elektronischen Patientenakte

Auch die elektronische Patientenakte (ePA) nutzt ein mehrstufiges Verschlüsselungskonzept. Die Daten werden verschlüsselt gespeichert und nur mit einer gültigen Berechtigung und den entsprechenden kryptografischen Schlüsseln entschlüsselt. Der Aktenbetreiber selbst hat keinen Zugriff auf die unverschlüsselten Inhalte.

BSI-Zertifizierung und gematik-Zulassung

Sicherheit in der TI basiert nicht auf Vertrauen, sondern auf nachweisbarer Prüfung. Jede Komponente, die in der TI zum Einsatz kommt, durchläuft einen strengen Zulassungsprozess.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) prüft und zertifiziert sicherheitskritische TI-Komponenten nach international anerkannten Standards (Common Criteria). Die gematik als nationale Agentur für digitale Medizin legt die technischen Spezifikationen fest und erteilt die Zulassung. Erst wenn beide Prüfungen bestanden sind, darf eine Komponente in der TI eingesetzt werden.

Diese Zertifizierung betrifft unter anderem:

• Konnektoren: die zentrale Netzwerkkomponente in jeder Einrichtung
• Kartenlesegeräte: sogenannte E-Health-Kartenterminals
• Smartcards (SMC-B, eHBA): die Identitätsnachweise der Einrichtungen und Personen
• VPN-Zugangsdienstkomponenten: für die gesicherte Netzwerkverbindung

Für Pflegeeinrichtungen bedeutet das: Die eingesetzte Hardware und Software wurde von unabhängigen Stellen auf Herz und Nieren geprüft, bevor sie überhaupt in den Betrieb gehen durfte. Regelmäßige Sicherheitsupdates, die über den Konnektor automatisch eingespielt werden, halten den Schutz aktuell.

Kartenbasierte Authentifizierung

Ein wesentliches Sicherheitsmerkmal der TI ist die Authentifizierung über physische Smartcards statt über einfache Passwörter. Dieses Prinzip folgt einer bewährten Sicherheitslogik: Ein Passwort kann erraten, gestohlen oder durch Phishing erlangt werden. Eine physische Karte muss dagegen tatsächlich im Besitz des Nutzers sein.

Die SMC-B (Security Module Card Typ B) identifiziert die Einrichtung als Ganzes. Sie weist nach, dass eine bestimmte Pflegeeinrichtung berechtigt ist, auf TI-Dienste zuzugreifen. Die SMC-B steckt dauerhaft im Konnektor oder Kartenterminal und wird durch eine PIN aktiviert.

Der eHBA (elektronischer Heilberufsausweis) identifiziert hingegen einzelne Personen: etwa Pflegefachkräfte oder Ärzte. Er wird für bestimmte Aktionen benötigt, beispielsweise für qualifizierte elektronische Signaturen oder den Zugriff auf besonders geschützte Daten in der ePA.

Die Kombination aus physischem Besitz (Karte) und Wissen (PIN) wird als Zwei-Faktor-Authentifizierung bezeichnet. Sie bietet einen deutlich höheren Schutz als reine Passwort-Verfahren, weil ein Angreifer beide Faktoren gleichzeitig erlangen müsste.

Organisatorische Sicherheitsverantwortung

Die technischen Sicherheitsmechanismen der TI können nur dann wirken, wenn sie durch organisatorische Maßnahmen in der Einrichtung ergänzt werden. Die Verantwortung dafür liegt bei der jeweiligen Pflegeeinrichtung selbst: und ist auch durch die DSGVO und das SGB V rechtlich verankert.

Physische Kartensicherheit

SMC-B und eHBA sind sicherheitskritische Gegenstände und müssen entsprechend behandelt werden. Konkret bedeutet das:

• Karten müssen vor unbefugtem Zugriff geschützt aufbewahrt werden
• PINs dürfen nicht auf der Karte notiert oder offen zugänglich aufbewahrt werden
• Der Verlust einer Karte muss sofort gemeldet und die Karte gesperrt werden
• Beim Ausscheiden von Mitarbeitenden sind deren eHBAs einzuziehen

Zugriffsmanagement

Nicht jede Person in einer Pflegeeinrichtung benötigt Zugang zu allen TI-Diensten. Es empfiehlt sich, klare Zugriffsregelungen festzulegen: Wer darf auf welche Anwendungen zugreifen? Wer ist berechtigt, Daten in der ePA einzusehen oder zu ergänzen? Ein dokumentiertes Berechtigungskonzept hilft dabei, den Überblick zu behalten und im Prüffall nachweisen zu können, dass der Datenschutz eingehalten wird.

Vorfallmanagement

Trotz aller Schutzmaßnahmen kann es zu Sicherheitsvorfällen kommen: sei es durch technische Störungen, menschliche Fehler oder gezielte Angriffe. Pflegeeinrichtungen sollten deshalb einen Notfallplan haben, der unter anderem folgende Fragen beantwortet:

• An wen wird ein Sicherheitsvorfall intern gemeldet?
• Wann muss die Datenschutzaufsichtsbehörde informiert werden (72-Stunden-Frist nach DSGVO)?
• Welche Sofortmaßnahmen werden ergriffen (z. B. Kartensperrung, Netzwerktrennung)?
• Wie wird der Vorfall dokumentiert und nachbereitet?

Häufige Fragen zur TI-Sicherheit

Die Sicherheitsarchitektur der TI verbindet technische Schutzmaßnahmen mit organisatorischen Anforderungen. Verschlüsselung, BSI-Zertifizierung und kartenbasierte Authentifizierung schaffen eine robuste Grundlage. Entscheidend ist jedoch, dass Pflegeeinrichtungen ihre organisatorische Verantwortung ernst nehmen: Der sichere Umgang mit Smartcards, ein durchdachtes Zugriffskonzept und ein vorbereiteter Notfallplan sind keine optionalen Extras, sondern notwendige Bestandteile eines funktionierenden Datenschutzes. Wer die technischen und organisatorischen Ebenen gleichermaßen berücksichtigt, schafft die Voraussetzungen für einen vertrauenswürdigen und rechtskonformen Umgang mit Gesundheitsdaten.