Ab kommendem Jahr sollen Versicherte der GKV ein Anrecht auf eine digitale Identität bekommen, die dann von der jeweiligen Krankenkasse zur Verfügung gestellt wird. Diese „Gesundheits ID“ soll irgendwann zum universellen Authentisierungsmittel im deutschen digitalen Gesundheitswesen werden – und dann die bisherige Krankenversichertenkarte zwar nicht ablösen, aber zumindest sinnvoll und umfassend ergänzen. Die Barmer ist hier der Vorreiter: Ihre digitale Identität, die von T-Systems und Verimi umgesetzt wird, hat bereits die Zulassung der gematik erhalten. „Wir gehen davon aus, dass noch in diesem Jahr weitere Zulassungen von Anbieter für Identitätslösungen der Krankenkassen folgen werden“, sagte gematik-Chef Markus Leyck Dieken bei einem Workshop zu digitalen Identitäten der Deutschen Telekom.
Auf dem Weg zur digitalen Brieftasche
Bemerkenswert ist das deswegen, weil das Gesundheitswesen bei den digitalen Identitäten ausnahemsweise mal eine Vorreiterrolle hat. Zwar gibt es digitale Identitäten in Deutschland prinzipiell schon, Stichwort elektronischer Personalausweis. Sie haben aber Akzeptanzprobleme, auch weil bisher verpflichtende Massenanwendungen fehlen, die die digitale Identität unverzichtbar machen. Könnte das Gesundheitswesen hier helfen?
Vielleicht. Ziel müsse letztlich eine echte digitale Wallet sein, in der alle Arten von Nachweisen wie z.B. Ausweise, der Führerschein, die Geburtsurkunde, der Studienabschluss, eine Bank-ID und auch Event-Tickets sicher abgelegt werden können, sagte Dirk Backofen, verantwortlich für das Geschäftsfeld Digitale Identitäten bei der Deutschen Telekom. Als zentrales Element könnte in dieser ID-Wallet der elektronische Personalausweis dienen, an denen verschiedene ID-Attribute wie auch die Gesundheits-ID oder zum Beispiel ein Heilberufsausweis angekoppelt werden. Prinzipiell lässt sich das noch viel weiterdenken, in Richtung Online-Logins aller Art, oder auch in Richtung digitaler Abbildung von Facharztqualifikationen. Im besten Fall endet mit der digitalen Identität in einer Smartphone-Wallet das Zeitalter der ellenlangen Login-Passwort-Listen, die heute fast alle Menschen in irgendeiner Form irgendwo führen.
Der elektronische Personalausweis als Anker
Skalierbar und nutzerfreundlich werde eine solche Wallet aber nur, wenn die Identitäten aufeinander aufbauten, so Backofen: „Die Kunden wollen nicht für jede Identität eine eigene Lösung“. Vielmehr müsse es darum gehen, einen „zentralen Vertrauensanker“ zu haben, für den einmal, und nur einmal, ein kryptografisch gesichertes Identifizierungsverfahren z.B. auf Basis des elektronischen Personalausweises mit Ausweis-PIN durchlaufen wird und der dann für alle Anwendungen gleichermaßen genutzt werden kann.
Das passt auch zu den Plänen der Europäischen Union, eine digitale Identität für alle europäischen Mitgliedsstaaten einzuführen. In Europa läuft das unter dem Begriff European Digital Identity (EUDI) Wallet. Die EUDI-Wallet orientiert sich an ähnlichen Angeboten, die es bereits im Baltikum und auch in Skandinavien gibt. Ab Sommer 2024 sollen mehrere so genannte Large Scale Pilots, also großangelegte Pilotversuche, stattfinden, in denen die EUDI-Wallet anhand von verschiedenen Use Cases erprobt wird. Als zentraler Vertrauensanker ist für die EUDI-Wallet das jeweilige nationale Ausweisdokument vorgesehen.
Technisch basieren all diese Lösungen auf der SSI-Technologie. SSI steht für Self-Sovereign-Identity, also selbstbestimmte Identität. „Die SSI-Technologie hat sich über die Jahre deutlich weiterentwickelt“, so Backofen. Noch vor einigen Jahren wurde als zugrundeliegendes ID-Element oft eine Blockchain benutzt. Moderne SSI-Implementierungen kommen ohne Blockchain aus.
„Wir sind die Ouvertüre“
Und was hat das jetzt alles mit den digitalen Identitäten im Gesundheitswesen zu tun? Eine ganze Menge, wenn es nach T-Systems und nach der gematik geht. Die Idee ist, dass das Gesundheitswesen – Stichwort E-Rezept – jene Massen-Use-Cases liefert, die letztlich der digitalen Identität insgesamt zum Durchbruch verhelfen. „Wir sind die Ouvertüre und möglicherweise der entscheidende Türöffner, damit es endlich losgeht mit den digitalen Identitäten“, so Leyck Dieken.
Tatsächlich ist die digitale Gesundheits-ID sogar etwas mehr als nur Ouvertüre. Es seien im Zuge der Spezifizierung der digitalen Identität durch die gematik wichtige Grundlagenarbeiten im Hinblick auf die skalierbare und sichere Nutzung des Vertrauensankers elektronischer Personalausweis auch außerhalb des Gesundheitswesens geleistet worden, erläuterte Backofen. Auf diese Vorarbeiten können Lösungsanbieter jetzt aufsetzen. Das betrifft insbesondere die so genannte vertrauenswürdige Ausführungsumgebung (VAU), ein zentrales Sicherheitselement.
Herzstück Vertrauenswürdige Ausführungsumgebung
Was ist die „VAU“? Vorgesehen ist bei den digitalen Identitäten nicht nur eine Verschlüsselung der gespeicherten („at rest“) sowie der transportierten („at transport“) Daten, sondern eine komplette Verschlüsselung während der gesamten Verarbeitung der Daten („at process“). Eine Möglichkeit, das zu erreichen, ist die Nutzung von deutschen Open Sovereign Clouds (OSC) mit einem Confidential Computing, wie sie auch die T-Systems aus Deutschland heraus anbietet. Die ID-Daten liegen hier nicht auf dem Smartphone, sondern verschlüsselt in der Open Sovereign Cloud mit Schlüsselerzeugung in speziellen Hardware Secure Modules (HSMs).
Damit umgeht man das Problem, dass der Zugriff auf die Datentresore der modernen Smartphones (Trusted Secure Elements) aktuell nur bei Samsung S20+ Geräten möglich ist. Apple verwehrt derzeit noch den Zugriff auf die Trusted Secure Elements. Der Personalausweis und die Gesundheits-ID werden so DSGVO-konform in eben jener Cloud-basierten VAU abgelegt, die die gematik für die digitalen Identitäten des Gesundheitswesens spezifiziert hat – und die künftig so oder ähnlich auch jenseits des Gesundheitswesens genutzt werden können.
Vorbild CovPass: Identity-Check-In der Apotheke
Leyck Dieken skizzierte, wie das konkret ablaufen könnte mit der digitalen Identität der GKV-Versicherten. Der erste Schritt ist die Erstautorisierung. Diese ist möglich mit dem elektronischen Personalausweis oder mit der eGK. Aus den geschilderten Gründen empfiehlt es sich, den ePersonalausweis dafür zu nutzen. Denn dann steht jener „Identitäts-Anker“ zur Verfügung, der, einmal aktiviert, auch für eine unaufwändige Freischaltung weiterer digitaler Identitäten und Anwendungen genutzt werden kann, etwa beim Online-Banking.
Die Erst-Identifizierung erfolgt bei der digitalen Gesundheits ID entweder digital über das kryptografisch gesicherte Einlesen des elektronischen Personalausweises oder der NFC-eGK mit PIN, alternativ persönlich. Eine Option ist hier die Krankenkassenfiliale, eine andere die Postfiliale. Deutlich mehr verspricht sich Leyck-Dieken aber von einem anderen Weg, dem Apo-Ident-Verfahren. Hier erfolgt die Identifizierung in der Apotheke, mit Hilfe eines Lesegeräts, das die Apotheken kostenneutral leasen können: „Ich glaube, das wird gut funktionieren, das hat der CovPass gezeigt. Vor allem gibt uns das die Möglichkeit, die Menschgen aktiv anzusprechen.“
Wie das alles zusammenhängt
Bei der Barmer ID, und vermutlich auch bei anderen ID-Angeboten weiterer Krankenkassen, wird es zunächst so laufen, dass die jeweilige Kassen-App das zentrale Identifizierungs-Tool ist. Wenn der einmal identifizierte User dann den elektronischen Personalausweis für andere Anwendungen nutzen will, dann könnte die Barmer-App quasi als Identifizierungs-App genutzt. Dies geschieht im Idealfall über einfache biometrische Verfahren wie Face-ID oder Touch-ID, alternativ über eine sechsstellige PIN. Technisch seien diese Biometriefunktionen in der ID-Lösung der Barmer alle angelegt, so Backofen. Sie würden aber erst dann aktiviert, wenn letzte regulatorische Probleme gelöst sind. Derzeit ist der Einsatz von Biometrie für die Gesundheits-ID noch nicht möglich. Das soll sich aber ändern, die gematik-Spezifikation berücksichtigt diese Änderungen bereits fakultativ. Spätestens dann könnte die Gesundheits-ID auch genutzt werden, um sich zum Beispiel unkompliziert bei einer Telemedizinanwendung anzumelden.
Einen Schritt weitergedacht könnte dann irgendwann die europäische EUDI-Wallet zur zentralen ID-App auf dem Smartphone werden. Auch diese App würde die vertrauensvolle Ausführungsumgebung und den digitalen Personalausweis als Anker nutzen. In der Wallet liegen dann nach Art einer Brieftasche zum Beispiel der elektronische Führerschein, Bankkarten, die elektronische Gesundheits-ID und natürlich irgendwann dann auch die EU ID liegen, alle verknüpft mit dem „Anker“ elektronischer Personalausweis in der VAU. Wie so eine Wallet-App aussehen könnte, hat T-Systems in Berlin jetzt anhand ihrer „T-Wallet“ erstmals live vorgeführt: „Die T-Wallet ist komplett EUDI-konform und bildet ebenso die von der gematik für die VAU festgelegten Spielregeln ab“, so Backofen.
Bleibt die Frage, was passiert, wenn das Mobiltelefon verloren geht. Auch hier hilft das Konzept der Confidential Computing Cloud mit der VAU. Denn die relevanten ID-Daten liegen gesichert in der Cloud, und nicht auf dem Handy. Die Reaktivierung geschieht mit einer PUK, ähnlich wie das vom Online-Banking bekannt ist. Danach muss der Ausweis dann noch einmal mit dem neuen Gerät gekoppelt werden. Nur wenn sowohl Handy als auch PUK verloren gehen, muss der komplette Identifizierungsprozess von vorne durchlaufen werden.