Gesundheits-ID als Leitbild eines Ökosystems digitaler Identitäten

Digitale Identitäten und ID-Wallets werden immer wichtiger und nehmen auf EU-Ebene eine wichtige Rolle ein. Die deutsche Bundesregierung führt einen nationalen Konsultationsprozess zu den technischen, fachlichen und rechtlichen Anforderungen für ein Identitätsökosystem mit verschiedensten Interessenvertretern aus Wirtschaft und Forschung durch.

Das Gesundheitswesen steht nicht im Mittelpunkt des Konsultationsprozesses und der Diskussion um ein Ökosystem digitaler Identitäten. Dabei gibt es im Gesundheitswesen bereits sehr relevante Lösungen, die als Orientierung dienen könnten. Verimi hat zusammen mit T-Systems im Auftrag der BARMER Krankenkasse von der gematik die erste Zulassung für das Produkt Verimi Wallet-as-a-Service als Sektoralem Identitätsprovider im Sinne einer Gesundheits-ID in Deutschland erhalten. Die Gesundheits-ID basiert auf den Spezifikationen der gematik und erfüllt die sehr hohen Sicherheitsstandards der Spezifikation. Das Gesundheitswesen zeigt, dass eine cloud-basierte ID-Wallet und ein sehr hohes Vertrauensniveau kein Widerspruch sind: Das Verimi Wallet-as-a-Service ist auf dem Vertrauensniveau gematik_LoA_high zugelassen! Wenn die verschiedenen Akteure aus Politik und Wirtschaft gemeinsam an Lösungen arbeiten, kann ein Ökosystem digitaler Identitäten erfolgreich und zügig in Deutschland etabliert werden.

Hier dargestellt sind ausgewählte Schlüsselaspekte, die verdeutlichen, wie das Gesundheitswesen ein Leitbild für ein Ökosystem sicherer digitaler Identitäten in Deutschland bieten kann:

1. Hohes Vertrauensniveau im Gesundheitssektor: Ein ID-Wallet im Gesundheitswesen muss per Definition allerhöchsten Sicherheitsstandards entsprechen. Die gematik hat in Zusammenarbeit mit dem BSI und BfDI eine Spezifikation für einen App-basierten Ansatz entwickelt, die diesen Anforderungen gerecht wird. Dies zeigt, dass hohe Sicherheit und Nutzerfreundlichkeit Hand in Hand gehen können.
2. Selbst-Souveräne Identitäten (SSI): Im Gesundheitssektor ist es wichtig, dass der Dienste-Anbieter keinen Zugriff auf persönliche Daten hat. Das Prinzip des Profilverbots des Anbieters stellt sicher, dass die Kontrolle über die Identität beim Nutzer bleibt.
3. Vertrauenswürdige Ausführungsumgebung: Der in den gematik-Spezifikationen vorgegebene Betreiberausschluss führt dazu, dass mittels einer vertrauenswürdigen Ausführungsumgebung (VAU) mit Hilfe von (a) nutzerindividueller Verschlüsselung, (b) dem Einsatz von Hardware Security Modul (HSM) und (c) Edge-Computing sowohl technisch als auch organisatorisch ausgeschlossen wird, dass der Betreiber des ID-Wallet Systems die Nutzerdaten einsehen kann oder Verbindungsdaten ausgewertet werden können.
4. Vielfältige Identitätsattribute: Im Rahmen von eIDAS 2.0 sind neben hoheitlichen PID-Attributen auch zusätzliche Attribute aus authentischen Quellen relevant. Die Gesundheits-ID vereint Attribute aus verschiedenen Quellen, darunter die eID, Krankenkasseninformationen, E-Mail-Adressen und Telefonnummern. Die Gesundheits-ID zeigt somit bereits heute, wie man hoheitliche Identitätsdaten aus dem Ausweis mit dezentralen Identitätsquellen aus dem Gesundheitssektor kombinieren kann.
5. Nutzung des eID Online-Ausweises sowie alternative Ident-Methoden: Die Erstidentifizierung kann mit Hilfe der eID-Funktion des Personalausweises vorgenommen werden. Es ist aber auch möglich, die elektronische Gesundheitskarte (eGK-Smartcard) für die Authentifizierung zu verwenden. Zusätzlich sind lokale Anlaufstellen z.B. in den Geschäftsstellen möglich, um die Identität im ID-Wallet zu hinterlegen. Durch eine Gerätebindung und die aktive Zustimmung der Nutzenden, kann die Verfügbarkeit der digitalen Identität verlängert werden, da diese aus Sicherheitsgründen je nach verbauter Smartphone-Hardware auf 24h bzw. bei den meisten im Markt verfügbaren Endgeräten auf 6 Monate begrenzt ist.
6. Klar definierte Zulassungsanforderungen: Im Gesundheitswesen sind die Anforderungen und Verantwortlichkeiten für das ID-Wallet-System klar festgelegt. Auf Basis der Spezifikationen der gematik, welche im Einvernehmen mit dem BSI und BfDI erstellt wurden, können Vertrauen und Sicherheit bei den Nutzenden erreicht werden.
7. Zentrale Funktionen zur Vertrauenssteuerung: Das Gesundheitswesen setzt auf etablierte Standards wie Hardware Security Module (HSM) und OpenID4Federated Identities. Ein zentrales Element ist der Federation Master, der die Zulassung von ID-Wallets und Relying Parties überwacht. Dadurch wird die Sicherheit und Integrität des Systems gewährleistet.
8. “IT made in Germany”: Die IT-Infrastruktur im Gesundheitssektor stammt aus Deutschland, was die Souveränität und Sicherheit der digitalen Identitäten gewährleistet.

Fazit

Die Lösung von T-Systems und Verimi bietet den Krankenversicherten der BARMER ein sehr bequemes Nutzererlebnis bei voller Transparenz über die Verwendung ihrer Identitätsdaten und höchster Sicherheit ihrer Daten. Das Gesundheitswesen zeigt, dass ein Ökosystem sicherer digitaler Identitäten möglich ist. Diese Erfahrungen sollten als Grundlage dienen, um digitale Identitäten in Deutschland erfolgreich zu etablieren. Sie bieten nicht nur theoretische Ansätze, Konzepte oder Laboranwendungen, sondern bewährte Praktiken ausdem Wirkbetrieb. Der echte Mehrwert für die Gesellschaft ist geschaffen und wird bereits nachgewiesen!

Die Erfahrungen aus dem Gesundheitswesen mögen zwar nicht die alleinige Lösung abbilden, sie bieten jedoch wertvolle Einblicke in die Umsetzung von digitalen Identitäten. Praxiserfahrung der Betreiber und Anwender sowie und die Nutzerfeedbacks könnten in die Diskussion zur Gestaltung eines Ökosystems digitaler Identitäten einfließen. Die Erfahrungen aus dem deutschen Gesundheitswesen könnten in die Entwicklung der eIDAS 2.0 eingebracht werden, um digitale Identitäten in Deutschland erfolgreich zu etablieren. Ein mögliches Leitbild ist etabliert – es in die Diskussion einzubeziehen kann ausschließlich positive Impulse bieten.