Ein Blick hinter die Kulissen des Telematik-Netzwerks

Die Elektronische Gesundheitskarte im Test

12.02.2007 | Autor / Redakteur: Michael Vogel / Ulrike Ostler

Karten-Reader und Smartcards für den Gesundheitsausweis aus der Gematik-Testumgebung.
Karten-Reader und Smartcards für den Gesundheitsausweis aus der Gematik-Testumgebung.

Die Einführung der elektronischen Gesundheitskarte ist zweifelsohne ein Mega-Projekt. Inzwischen steht jedoch das Netzwerkkonzept und die ersten Ausschreibungen sind angelaufen.

Manches Detail ist noch im Fluss, aber seit einigen Monaten hat die Netzwerkinfrastruktur, über die sämtliche Dienste rund um die elektronische Gesundheitskarte abgewickelt werden sollen, zunehmend ein Gesicht bekommen.

Im vergangenen Jahr hat die Gematik, eine Betriebsorganisation, die von den Spitzenorganisationen des deutschen Gesundheitswesens im Januar 2005 gegründet wurde, die erforderlichen Standards festgelegt. „Wir sind einer der so genannten Telematik-Zugangsprovider und schreiben nun europaweit das erste der Zugangsnetze aus“, bestätigt Michael Beitz, Leiter der Arbeitsgruppe Infrastruktur bei der Gematik.

Hauptziel der gesamten Telematik-Infrastruktur ist es, eine sichere, geschützte Ende-zu-Ende-Kommunikation mit den erforderlichen Funktionalitäten und Ausfallsicherheiten zu schaffen. Das Konzept reicht von den Primärsystemen – also den Kartenlesegeräten beispielsweise bei Ärzten, in Krankenhäusern oder Apotheken – bis zur Anbindung der Fachdienste, die meistens bei Krankenkassen und anderen Leistungserbringern laufen.

Garantierte Bandbreitenverfügbarkeit: 99,9 Prozent

Zentrales Element des Netzkonzepts ist ein MPLS-Netz (Multi Protocol Label Switching), das die Gematik kürzlich ebenfalls ausgeschrieben hat. Dieses Backbone verbindet alle Beteiligten miteinander.

„Wir haben uns für ein MPLS-Netz entschieden, weil es vielfältige Verkehrsbeziehungen zwischen den Anwendungen und Diensten geben wird“, sagt Beitz. „Außerdem sollen sich die einzelnen Systeme an verschiedenen Standorten in dedizierte, IPsec-basierte Virtual Private Networks zusammenfassen lassen.“ Diese VPNs sollen nach den Vorstellungen der Gematik zentral gemanagt werden und eine garantierte Bandbreitenverfügbarkeit von 99,9 Prozent bieten. „Für den Betrieb des MPLS-Backbone kommen voraussichtlich nicht viele Systemintegratoren in Betracht“, sagt Beitz, „Es werden wohl die vier, fünf üblichen Verdächtigen sein.“

Zugangsnetze stellen die Verbindung her

Am äußersten Rand des Infrastrukturkonzepts liegen die Krankenhäuser, Apotheken, Ärzte und Heilberufler. Die dort stehenden Kartenlesegeräte, Anwendungen und Konnektoren greifen über so genannte Zugangsnetze via MPLS-Backbone auf die Fachdienste zu. Die Verbindung mit dem Zugangsnetz erfolgt per Remote-Access-VPN, wiederum auf der Basis von IPsec, zum VPN-Konzentrator. Als Konfigurations-Back-end dienen RADIUS-Server, die die zentrale Authentifizierung der Einwahlverbindungen sicherstellen.

VPN-Konzentratoren und Infrastrukturserver für Dienste wie RADIUS, DNS oder NTP sind Teil der Zugangsnetze. „Von diesen Netzen wird es mindestens fünf geben“, erläutert Beitz. Jeweils eines wird von der Gematik, dem Deutschen Apothekerverband, der Kassenärztlichen Bundesvereinigung und der Deutschen Krankenhausgesellschaft verantwortet und unabhängig ausgeschrieben oder in Konzession vergeben.“

Aufgrund einer Rechtsverordnung dürfen die Gematik und die Spitzenorganisationen die Zugangsnetze nicht selbst betreiben. „Anfangs wird das Zugangsnetz der Gematik wahrscheinlich die Hauptlast tragen, bis die restlichen Netze aufgebaut sind“, so Beitz. „Später kommt dem Gematik-Zugangsnetz dann primär eine Backup-Funktion im Falle von Störungen in den anderen Netzen zu.“

Mehrere Sicherheitszonen

Die Provider solcher Zugangsnetze müssen für den späteren Betrieb über redundante Router an mindestens zwei verschiedene Internet-Service-Provider per Standleitung angebunden werden. Firewalls und VPN-Konzentratoren sind ebenfalls redundant auszugelegen.

Im MPLS-Backbone unterscheidet das Infrastrukturkonzept primär zwischen Front-end-VPNs, die für die Anbindung zu den Zugangsnetzen sorgen, und Back-end-VPNs, über die die Fachdienste angebunden sind.

Die gesamte Telematik-Infrastruktur ist in verschiedene Sicherheitszonen unterteilt, die auf Netzwerkebene durch Stateful Firewalls voneinander getrennt werden. Mindestens fünf Public-Key-Infrastrukturen (PKI) mit verschiedenen Zertifikatstypen sind für die Telematik-Infrastruktur erforderlich, die für die Authentisierung der beteiligten Nutzergruppen, Geräte und Dienste sorgen.

„Es sind mindestens fünf, weil es prinzipiell auch mehrere Betreiber pro PKI sein könnten“, so Beitz. „Das entscheiden die jeweils Verantwortlichen selbst.“

Zwingend erforderlich ist eine PKI für die elektronische Gesundheitskarte selbst, eine für Heilberufsausweise, eine für Organisationszertifikate (damit beispielsweise auch die Sprechstundenhilfe einer Arztpraxis, die Fachdienste nutzen kann), eine für Gerätezertifikate (für die Konnektoren und VPN-Konzentratoren) sowie eine für Servicezertifikate (SSL-Zertifikate) für die internen Telematikdienste.

Online-Test im Herbst

„All diese technischen Vorgaben sind für die sieben Testregionen verbindlich“, unterstreicht Gematik-Mitarbeiter Beitz. Im Herbst sollen über die bis dahin aufgebauten Netze zwei Feldtests mit jeweils 10.000 Versicherten laufen – „mit realem Versichertenstammdaten- und Verordnungsdaten-Management“, unterstreicht Beitz.

Konkret heißt dies: Die Beteiligten prüfen und aktualisieren die Versichertenkarten online, und auch Rezepte werden wahlweise online bearbeitet. 2008 soll dann der dritte Feldversuch mit noch mehr Versicherten folgen.

Aber es bleibt noch viel Arbeit für Michael Beitz und seine Kollegen zu tun: 300 Krankenversicherungen, 2.200 Krankenhäuser, 21.000 Apotheken, 188.000 Ärzte und 80 Millionen Versicherte müssen in die Telematik-Infrastruktur eingebunden werden.

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2002411 / Design und Umgebung)