Diskussion des Sicherheitsniveaus nach eIDAS

Die folgenden Abschnitte diskutieren grundlegend das zu erwartende Sicherheitsniveau des Movi-Konzepts. Grundlage der Diskussion und Einschätzung ist die Durchführungsverordnung der Europäischen Kommission (EU) 2015/1502 zur Festlegung von Mindestanforderungen an technische Spezifikationen und Verfahren für Sicherheitsniveaus elektronischer Identifizierungsmittel [5]. Die Erfüllung der Interoperabilität nach (EU) 2015/1501 [4] wird nicht betrachtet.

Inhalt

1 Grundlagen

2 Zuordnung des Sicherheitsgrads

2.1 Anmeldung
2.1.1 Beantragung und Eintragung
2.1.2 Identitätsnachweis und -überprüfung (natürliche Person)
2.1.3 Identitätsnachweis und -überprüfung (juristische Person)
2.1.4 Verknüpfung von elektronischen Identifizierungsmittel natürlicher und juristischer Personen

2.2 Verwaltung elektronischer Identifizierungsmittel
2.2.1 Merkmale und Gestaltung elektronischer Identifizierungsmittel
2.2.2 Ausstellung, Auslieferung und Aktivierung
2.2.3 Aussetzung, Widerruf und Reaktivierung
2.2.4 Verlängerung und Ersetzung

2.3 Authentifizierung
2.3.1 Authentifizierungsmechanismus

2.4 Management und Organisation
2.4.1 Allgemeine Bestimmungen
2.4.2 Veröffentlichte Bekanntmachung und Benutzerinformation
2.4.3 Informationssicherheitsmanagement
2.4.4 Aufbewahrungspflichten
2.4.5 Einrichtung und Personal
2.4.6 Technische Kontrollen
2.4.7 Einhaltung und Prüfung

3 Erwartetes Sicherheitsniveau

4 Quellen

1 Grundlagen

Als Grundlage der eIDAS Bewertung dienen die Konzeption des Gesamtsystems sowie die logische Definition der im Movi-Kontext erarbeiteten virtuellen elektronischen Gesundheitskarte (veGK), welche hier zu finden ist. Festzuhalten ist, dass nicht alle Aspekte der eIDAS-Bewertung im Rahmen des Movi-Projektes betrachtet werden konnten, da einige Aspekte konkrete Systeme, Komponenten und Prozesse eines späteren Produktivsystems adressieren.

2 Zuordnung des Sicherheitsgrads

Die Europäische Union etabliert mit der eIDAS-Verordnung [6] eine technologieneutrale Rahmenbedigungen, mit der gegenseitiges Vertrauen in Identifizierungsprozesse erreicht werden kann. Die Verordnung unterscheidet dabei drei Vertauensniveaus niedrig, substantiell und hoch. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) führt das Konzept der Vertrauensniveaus in der Technischen Richtlinie TR-03107 [8] weiter aus.

Eine Übertragung der eIDAS-Verordnung auf Mobilgeräte diskutiert das BSI in der Technischen Richtlinie TR-03159 [6]. Unterschieden wird zwischen den beiden Prozessen zur Anmeldung und Verwaltung elektronischer Identifizierungsmittel.

Nicht alle Aspekte der eIDAS-Bewertung sind im Rahmen des Movi-Projektes zu Bewerten, zum Beispiel wenn sie organisatorische Aspekte oder eine konkrete spätere Infrastruktur adressieren. Zur Vollständigkeit werden diese Bewertungspunkte zwar aufgeführt, jedoch nicht weiter diskutiert. Dies betrifft primär den Abschnitt 2.4 Management und Organisation und alle Aspekte der Identitätsfeststellung im Rahmen der eGK

2.1 Anmeldung

Die Registrierung erfolgt unabhängig von der späteren Authentisierung, weshalb es keine spezifischen Anforderungen für mobile Szenarien gibt. Es müssen jedoch alle Anforderungen von (EU) 2015/1502 zum Anmeldungsprozess erfüllt sein.

2.1.1 Beantragung und Eintragung

Sicherheitsniveau: Niedrig, Substantiell, Hoch

  1. Es ist gewährleistet, dass der Antragsteller die Geschäftsbedingungen für die Benutzung des elektronischen Identifizierungsmittels kennt.

    Betrifft den allgemeinen Informationsfluss zwischen Betreiber des späteren Produktivsystems und Versichertem, daher nicht Betrachtungsgegenstand.

  2. Es ist gewährleistet, dass der Antragsteller die empfohlenen Sicherheitsvorkehrungen im Zusammenhang mit dem elektronischen Identifizierungsmittel kennt.

    Betrifft den allgemeinen Informationsfluss zwischen Betreiber des späteren Produktivsystems und Versichertem, daher nicht Betrachtungsgegenstand.

  3. Die einschlägigen Identitätsdaten für den Nachweis und die Überprüfung der Identität werden erfasst.

    Betrifft im Kontext der veGK die Erfassung der Identitätsdaten der eGK bei deren Beantragung, da diese der veGK als Vertrauensanker dient, daher nicht Betrachtungsgegenstand. Bei Reg 1.a) -> eGK als Vertrauensanker -> Qualität der eGK, und ihrer zugrunde liegenden Daten, als Identifizierungsmittel durch den Gesetzgeber festgelegt.

2.1.2 Identitätsnachweis und -überprüfung (natürliche Person)

Sicherheitsniveau: Niedrig

  1. Es kann davon ausgegangen werden, dass die Person im Besitz eines Beweismittels ist, das von dem Mitgliedstaat, in dem das elektronische Identifizierungsmittel beantragt wird, an­erkannt wird und die beanspruchte Identität repräsentiert.

    -

  2. Es kann davon ausgegangen werden, dass das Beweismittel echt ist oder laut einer verlässlichen Quelle existiert und dass das Beweismittel dem Anschein nach gültig ist.

    -

  3. Eine verlässliche Quelle hat Kenntnis davon, dass die beanspruchte Identität existiert und es kann davon ausgegangen werden, dass die Person, die diese Identität beansprucht, da­mit identisch ist.

    -

Sicherheitsniveau: Substantiell

Zusätzlich zum Niveau Niedrig muss eine der Alternativen der Nummern 1 bis 4 erfüllt sein:

  1. Es ist überprüft worden, dass die Person im Besitz eines Beweismittels ist, das von dem Mitgliedstaat, in dem das elektronische Identifizierungsmittel beantragt wird, anerkannt wird und die beanspruchte Identität repräsentiert,

und

das Beweismittel ist geprüft worden, um seine Echtheit festzustellen, oder einer verlässli­chen Quelle ist bekannt, dass es existiert und sich auf eine reale Person bezieht,

und

es wurden Vorkehrungen getroffen, um das Risiko zu mindern, dass die Identität der Per­son nicht mit der beanspruchten Identität übereinstimmt, z. B. im Hinblick auf verlorene, gestohlene, ausgesetzte, widerrufene oder abgelaufene Beweismittel.

ODER

  1. Ein Identitätsdokument wird im Rahmen eines Registrierungsverfahrens in dem Mitglied­staat, in dem es ausgestellt wurde, vorgelegt und bezieht sich dem Anschein nach auf die Person, die es vorlegt,

und

es wurden Vorkehrungen getroffen, um das Risiko zu mindern, dass die Identität der Per­son nicht mit der beanspruchten Identität übereinstimmt, z. B. im Hinblick auf verlorene, gestohlene, ausgesetzte, widerrufene oder abgelaufene Dokumente.

ODER

  1. Bieten Verfahren, die zuvor von einer öffentlichen oder privaten Stelle in demselben Mit­gliedstaat für andere Zwecke als die Ausstellung elektronischer Identifizierungsmittel ver­wendet wurden, eine gleichwertige Sicherheit, die der des Niveaus „Substanziell“ in Ab­schnitt 2.1.2 entspricht, so braucht die für die Registrierung zuständige Stelle solche frü­heren Verfahren nicht zu wiederholen, sofern die gleichwertige Sicherheit von einer Kon­formitätsbewertungsstelle im Sinne des Artikels 2 Absatz 13 der Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates (1) oder von einer gleichwerti­gen Stelle bestätigt wird.

ODER

  1. Werden elektronische Identifizierungsmittel aufgrund eines gültigen notifizierten elektro­nischen Identifizierungsmittels des Sicherheitsniveaus „Substanziell“ oder „Hoch“ und un­ter Berücksichtigung des Risikos einer Änderung der Personenidentifizierungsdaten ausge­stellt, so brauchen die Prozesse für den Nachweis und die Überprüfung der Identität nicht wiederholt zu werden. Wurde das zugrunde gelegte elektronische Identifizierungsmittel nicht notifiziert, so muss das Sicherheitsniveau „Substanziell“ oder „Hoch“ von einer Kon­formitätsbewertungsstelle im Sinne des Artikels 2 Absatz 13 der Verordnung (EG) Nr. 765/2008 oder von einer gleichwertigen Stelle bestätigt werden.

Sicherheitsniveau: Hoch

Es müssen entweder die Anforderungen der Nummer 1 oder der Nummer 2 erfüllt sein:

  1. Zusätzlich zum Niveau Substanziell muss eine der Alternativen der Buchstaben a bis c erfüllt sein:

a) Ist überprüft worden, dass die Person im Besitz eines mit Foto oder biometrischen Merkmalen versehenen Identitätsnachweises ist, der von dem Mitgliedstaat, in dem das elektronische Identifizierungsmittel beantragt wird, anerkannt wird, und dass der Iden­titätsnachweis die beanspruchte Identität repräsentiert, so wird das Beweismittel ge­prüft, um festzustellen, ob es laut einer verlässlichen Quelle gültig ist,

und

anhand des Vergleichs eines oder mehrerer körperlicher Merkmale der Person mit An­gaben aus einer verlässlichen Quelle wird festgestellt, dass der Antragsteller mit der beanspruchten Identität übereinstimmt.

ODER

b) Bieten Verfahren, die zuvor von einer öffentlichen oder privaten Stelle in demselben Mitgliedstaat für andere Zwecke als die Ausstellung elektronischer Identifizierungsmittel­ verwendet wurden, eine gleichwertige Sicherheit, die der des Niveaus „Hoch“ in Ab­schnitt 2.1.2 entspricht, so braucht die für die Registrierung zuständige Stelle solche früheren Verfahren nicht zu wiederholen, sofern die gleichwertige Sicherheit von einer Konformitätsbewertungsstelle im Sinne des Artikels 2 Absatz 13 der Verordnung (EG) Nr. 765/2008 oder von einer gleichwertigen Stelle bestätigt wird,

und

es werden Schritte unternommen, um zu belegen, dass die Ergebnisse der früheren Verfahren noch gültig sind.

ODER

c) Werden elektronische Identifizierungsmittel aufgrund eines gültigen notifizierten elek­tronischen Identifizierungsmittels des Sicherheitsniveaus „Hoch“ und unter Berücksich­tigung des Risikos einer Änderung der Personenidentifizierungsdaten ausgestellt, so brauchen die Prozesse für den Nachweis und die Überprüfung der Identität nicht wie­derholt zu werden. Wurde das zugrunde gelegte elektronische Identifizierungsmittel nicht notifiziert, so muss das Sicherheitsniveau „Hoch“ von einer Konformitätsbewer­tungsstelle im Sinne des Artikels 2 Absatz 13 der Verordnung (EG) Nr. 765/2008 oder von einer gleichwertigen Stelle bestätigt werden,

und

es werden Schritte unternommen, um zu belegen, dass die Ergebnisse des früheren Verfahrens zur Ausstellung eines notifizierten elektronischen Identifizierungsmittels noch gültig sind.

ODER

  1. Legt der Antragsteller keinen anerkannten, mit Foto oder biometrischen Merkmalen ver­sehenen Identitätsnachweis vor, so werden exakt dieselben Verfahren angewandt, die auf nationaler Ebene in dem Mitgliedstaat, zu dem die für die Registrierung zuständige Stelle gehört, erforderlich sind, um einen solchen anerkannten, mit Foto oder biometrischen Merkmalen versehenen Identitätsnachweis zu erlangen.

-

2.1.3 Identitätsnachweis und -überprüfung (juristische Person)

Da die veGK nur zur Identifikation natürlicher Personen eingesetzt wird, ist 2.1.3 nicht anwendbar und daher nicht Betrachtungsgegenstand.

2.1.4 Verknüpfung von elektronischen Identifizierungsmittel natürlicher und juristischer Personen

Da die veGK nur zur Identifikation natürlicher Personen eingesetzt wird, ist 2.1.4 nicht anwendbar und daher nicht Betrachtungsgegenstand.

2.2 Verwaltung elektronischer Identifizierungsmittel
2.2.1 Merkmale und Gestaltung elektronischer Identifizierungsmittel

Sicherheitsniveau: Niedrig

  1. Das elektronische Identifizierungsmittel benutzt mindestens einen Authentifizierungsfak­tor.

    Ja, Besitz des mobilen Endgeräts und Wissen über den Zugriffsschutz (PIN/Passwort) der Schlüssel/Token.

  2. Das elektronische Identifizierungsmittel ist so gestaltet, dass der Aussteller zumutbare Vorkehrungen trifft, um zu prüfen, dass es nur unter der Kontrolle oder im Besitz der Person, der es gehört, verwendet wird.

    Ja, durch die Authentifizierungsfaktoren und durch die Delegation über die eGK.

Sicherheitsniveau: Substantiell

  1. Das elektronische Identifizierungsmittel benutzt mindestens zwei Authentifizierungsfak­toren unterschiedlicher Kategorien.

    Ja, unterschieden werden wissensbasierte, besitzbasierte und biometrische Faktoren. Diese Anforderung ist durch den Besitz des Mobilgerätes sowie entweder einen biometrischen Faktor oder das Wissen einer PIN gegeben.

  2. Das elektronische Identifizierungsmittel ist so gestaltet, dass davon ausgegangen werden kann, dass es nur unter der Kontrolle oder im Besitz der Person, der es gehört, verwendet wird.

    Ja, wenn ein besitzbasierter Faktor verwendet wird, um entweder einen wissensbasierten oder einen biometrischen Faktor zu überprüfen. Unter iOS ist das durch die Verwendung von TouchID/FaceID (mit PIN-Code als Fallback) garantiert, da diese lokal in der SecureEnclave überprüft werden (vgl. [6, 2.2.1 Punkt 2]). Siehe außerdem Schutzniveau Hoch - 2.

Sicherheitsniveau: Hoch
Zusätzlich zum Niveau “Substantiell”:

  1. Das elektronische Identifizierungsmittel bietet Schutz vor Duplizierung und Fälschung wie auch vor Angreifern mit hohem Angriffspotential.

    Ja, sofern Hardware-basierte Schutzmechanismen eingesetzt werden um den Attestierungsschlüssel zu schützen. Je nach Definition des “Angreifers mit hohem Angriffspotential” könnte der Einsatz der TEE schon unzureichend sein (siehe Keymaster - Trusted Execution Environment (TEE), StrongBox Keymaster und Android KeyStore-System - Sicherheitsbetrachtung)

  2. Das elektronische Identifizierungsmittel ist so gestaltet, dass es von der Person, der es ge­hört, zuverlässig vor einer Benutzung durch andere geschützt werden kann.

    Schutz vor Replay-Attacken durch PKCE-Flow Nonces (siehe Authentifizierung auf Basis attestierter kryptographischer Schlüssel - Sicherheitsüberlegungen (A)). Schutz vor passiven Angreifern/Abhören durch Einsatz von Kanalverschlüsselung zwischen Infrastruktur und Mobilgerät des Versicherten. Gegenseitige Authentifizierung prinzipiell auch möglich (siehe Gegenseite Authentifizierung TLS) aber noch konkret zu diskutieren, wodurch auch vor Man-in-the-Middle Angriffen geschützt werden kann, sofern das Mobilgerät während der Registrierungsprozesse 1.a) und 1.b) noch nicht kompromittiert war.
    Wird als Zugriffsschutz des Attestierungsschlüssels ein PIN von ausreichender Entropie verwendet (siehe Vergleich Entsperrmechanismen), welcher nur dem Inhaber der veGK bekannt ist, schützt dieser ausreichend vor Brute-Force-Angriffen. Je nach Geräteimplementierung wir ein Mobilgerät nach einer bestimmten Anzahl von fehlgeschlagenen Zugangsversuchen (temporär) gesperrt, was Brute-Force-Angriffe weiter erschwert. Des Weiteren kann über die Android-Api durchgesetzt werden, dass ein Entsperrter Attestierungsschlüssel nur begrenzte Zeit entsperrt bleibt (siehe Absicherung kryptografischer Schlüssel (A)).

2.2.2 Ausstellung, Auslieferung und Aktivierung

Sicherheitsniveau: Niedrig

  1. Nach der Ausstellung wird das elektronische Identifizierungsmittel auf eine Weise ausgeliefert, bei der davon ausgegangen werden kann, dass es nur die beabsichtigte Person erreicht.

    Siehe Sicherheitsniveau Substantiell - 1.

Sicherheitsniveau: Substantiell

  1. Nach der Ausstellung wird das elektronische Identifizierungsmittel auf eine Weise ausgeliefert, bei der davon ausgegangen werden kann, dass es nur in den Besitz der Person gelangt, der es gehört.

    Die veGK wird nicht ausgeliefert, sondern basierend auf den Sicherheitseigenschaften und Verifikation der eGK auf dem Mobilgerät des Versicherten erzeugt, im Identitätsprovider angelegt und registriert. Die Stärke des Vertrauens darin, ob eine veGK wirklich nur im Besitz der korrespondierenden natürlichen Person gelangt, korreliert mit dem Vertrauen darin, dass die als Vertrauensanker fungierende eGK nur in dem Besitz der die korrespondierende Identität innehabende Person gelangt.
    Nach [6, 2.2.2] muss im Fall, dass eine Person bereits vor der Anmeldung im Besitz der Authentifizierungsfaktoren ist, gewährleistet sein, dass (1) die Authentifizierungsfaktoren angemessen für das Sicherheitsniveau Substantiell sind und (2) die identifizierte Person identisch mit der Person ist, die in Besitz der Authentifizierungsfaktoren ist. Dabei ist (1) nach 2.2.2, Substanziell, Punkt 2 gegeben und (2) wird dadurch gewährleistet, dass dieselben Authentifizierungsfaktoren wie beim Anmeldeprozess überprüft werden.

Sicherheitsniveau: Hoch

  1. Im Aktivierungsprozess wird geprüft, dass das elektronische Identifizierungsmittel nur in den Besitz der Person gelangt ist, der es gehört.

    Nein (siehe Sicherheitsniveau Substantiell - 1. und Ausgabeprozess der eGK).

2.2.3 Aussetzung, Widerruf und Reaktivierung

Sicherheitsniveau: Niedrig, Substanziell, Hoch

  1. Es ist möglich, ein elektronisches Identifizierungsmittel rasch und wirksam auszusetzen und/oder zu widerrufen.

    Aus Sicht des Versicherten durch das Lösch/Sperr-Protokoll 3. (siehe Kontodeaktivierung/-löschung). Aus Sicht des Betreibers der Movi-Infrastruktur über den Identitätsprovider. Prozesse für eine solche Sperrung oder Löschung sind jedoch noch nicht definiert und die dafür notwendigen Schnittstellen sowie die Bedingungen für ihre Nutzung noch nicht spezifiziert.

  2. Es bestehen Vorkehrungen, um eine unbefugte Aussetzung, einen unbefugten Widerruf oder eine unbefugte Reaktivierung zu verhindern.

    Aus Sicht des Versicherten ist eine Aussetzung/Widerruf bzw. eine Reaktivierung nur über die definierten Protokolle 1.a) und 3. möglich, welche stets die Validierung der Vertrauenswürdigkeit des Mobilgeräts sowie der eGK voraussetzt (siehe Lebenszyklus eines Patientenkontos). Die Reaktivierung durch Registrierungsprozess 1.b) setzt den Zugriff auf den postalisch zugestellten Aktivierungscode sowie das Wissen über die KVNR voraus.

  3. Eine Reaktivierung darf nur erfolgen, wenn dieselben Sicherheitsanforderungen wie vor der Aussetzung oder vor dem Widerruf weiterhin erfüllt sind.

    Ja, da der Reaktivierungsprozess äquivalent zum Registrierungsprozess ist, und somit die gleichen Sicherheitsanforderungen gelten.

2.2.4 Verlängerung und Ersetzung

Sicherheitsniveau: Niedrig, Substanziell

  1. Unter Berücksichtigung des Risikos einer Änderung der Personenidentifizierungsdaten müs­sen für die Verlängerung oder Ersetzung dieselben Sicherheitsanforderungen wie beim ursprünglichen Identitätsnachweis- und -überprüfungsprozess erfüllt sein bzw. muss ein gül­tiges elektronisches Identifizierungsmittel desselben oder eines höheren Sicherheitsniveaus zugrunde gelegt werden.

Sicherheitsniveau: Hoch
Zusätzlich zum Niveau “Niedrig, Substanziell”:

  1. Erfolgt die Verlängerung oder Ersetzung aufgrund eines gültigen elektronischen Identifizie­rungsmittels, so werden die Identitätsdaten anhand einer verlässlichen Quelle überprüft.
2.3 Authentifizierung

Dieser Abschnitt betrifft die Bedrohungen im Zusammenhang mit der Verwendung der Authentifizierungsme­chanismen und enthält Anforderungen an jedes Sicherheitsniveau. In diesem Abschnitt wird davon ausgegangen, dass die Kontrollmaßnahmen den Risiken des jeweiligen Sicherheitsniveaus angemessen sein müssen.

2.3.1 Authentifizierungsmechanismus

Sicherheitsniveau: Niedrig

  1. Vor einer Herausgabe von Personenidentifizierungsdaten erfolgt eine zuverlässige Über­prüfung des elektronischen Identifizierungsmittels und seiner Gültigkeit.

  2. Werden Personenidentifizierungsdaten als Teil des Authentifizierungsmechanismus gespeichert, müssen sie gesichert sein, um sie vor Verlust und vor Beeinträchtigung, ein­schließlich Offline-Analyse, zu schützen.

  3. Im Authentifizierungsmechanismus sind Sicherheitskontrollen zur Überprüfung des elek­tronischen Identifizierungsmittels implementiert, so dass es höchst unwahrscheinlich ist, dass ein Angreifer mit erhöhtem grundlegenden Angriffspotenzial durch Handlungen wie Erraten, Abhören, Replay oder Manipulation der Kommunikation den Authentifizierungs­mechanismus aushebeln kann.

Sicherheitsniveau: Substantiell
Zusätzlich zum Niveau “Niedrig”:

  1. Vor einer Herausgabe von Personenidentifizierungsdaten erfolgt eine zuverlässige Über­prüfung des elektronischen Identifizierungsmittels und seiner Gültigkeit durch dynami­sche Authentifizierung.

  2. Im Authentifizierungsmechanismus sind Sicherheitskontrollen zur Überprüfung des elek­tronischen Identifizierungsmittels implementiert, so dass es höchst unwahrscheinlich ist, dass ein Angreifer mit mäßigem Angriffspotenzial durch Handlungen wie Erraten, Abhö­ren, Replay oder Manipulation der Kommunikation den Authentifizierungsmechanismus aushebeln kann.

Sicherheitsniveau: Hoch
Zusätzlich zum Niveau “Substantiell”:

  1. Im Authentifizierungsmechanismus sind Sicherheitskontrollen zur Überprüfung des elektro­nischen Identifizierungsmittels implementiert, so dass es höchst unwahrscheinlich ist, dass ein Angreifer mit hohem Angriffspotenzial durch Handlungen wie Erraten, Abhören, Replay oder Manipulation der Kommunikation den Authentifizierungsmechanismus aushebeln kann.
2.4 Management und Organisation

Die nachfolgend aufgelisteten Anforderungen sind nicht Betrachtungsgegenstand dieser Sicherheitsdiskussion, da sie ein etwaiges Produktivsystem adressieren.

2.4.1 Allgemeine Bestimmungen

Sicherheitsniveau: Niedrig, Substanziell, Hoch

  1. Betreiber, die eine unter diese Verordnung fallende betriebliche Dienstleistung erbringen, sind eine Behörde oder eine juristische Person, die als solche nach den nationalen Rechts­vorschriften eines Mitgliedstaats anerkannt ist, verfügen über eine eingerichtete Organisa­tionsstruktur und sind in allen Teilen, die für die Bereitstellung der Dienste von Bedeu­tung sind, voll betriebsfähig.
  2. Die Betreiber erfüllen alle rechtlichen Anforderungen, die ihnen im Zusammenhang mit dem Betrieb und der Bereitstellung des Dienstes obliegen, unter anderem auch in Bezug darauf, welche Arten von Informationen abgefragt werden können, wie der Identitäts­nachweis durchgeführt wird und welche Informationen wie lange aufbewahrt werden dürfen.
  3. Die Betreiber können ihre Fähigkeit zur Übernahme des Haftungsrisikos für Schäden nachweisen und verfügen über ausreichende finanzielle Mittel für einen fortlaufenden Be­trieb und eine fortlaufende Bereitstellung der Dienste.
  4. Die Betreiber sind sowohl für die Erfüllung aller Verpflichtungen, die sie an andere Stellen untervergeben, als auch für die Einhaltung der Systemvorgaben verantwortlich, als wür­den sie alle Aufgaben selbst wahrnehmen.
  5. Elektronische Identifizierungssysteme, die nicht durch nationale Rechtsvorschriften einge­richtet werden, müssen über einen wirksamen Beendigungsplan verfügen. In einem sol­chen Plan müssen auch eine geordnete Einstellung des Dienstes bzw. die Fortsetzung durch einen anderen Betreiber, die Art und Weise, wie einschlägige Behörden und End­nutzer informiert werden, sowie Einzelheiten dazu geregelt sein, wie Daten in Überein­stimmung mit den Systemvorgaben zu schützen, aufzubewahren bzw. zu zerstören sind.
2.4.2 Veröffentlichte Bekanntmachung und Benutzerinformation

Sicherheitsniveau: Niedrig, Substanziell, Hoch

  1. Es gibt eine veröffentlichte Definition des Dienstes mit allen geltenden Geschäftsbedin­gungen und Entgelten sowie möglichen Nutzungsbeschränkungen. Die Definition des Dienstes enthält auch eine Datenschutzerklärung.
  2. Es sind geeignete Vorgaben und Verfahren zu schaffen, damit die Benutzer des Dienstes in rascher und verlässlicher Weise informiert werden, wenn sich die Definition des Diens­tes selbst, die geltenden Geschäftsbedingungen oder die Datenschutzerklärung in Bezug auf den betreffenden Dienst ändern.
  3. Es sind geeignete Vorgaben und Verfahren zu schaffen, damit Auskunftsersuchen vollstän­dig und richtig beantwortet werden.
2.4.3 Informationssicherheitsmanagement

Sicherheitsniveau: Niedrig

Es besteht ein wirksames Informationssicherheitsmanagementsystem für das Management und die Beherrschung von Informationssicherheitsrisiken.

Sicherheitsniveau: Substanziell, Hoch

Zusätzlich zum Niveau “Niedrig”:

Das Informationssicherheitsmanagementsystem folgt bewährten Normen oder Grundsätzen für das Management und die Beherrschung von Informationssicherheitsrisiken.

2.4.4 Aufbewahrungspflichten

Sicherheitsniveau: Niedrig, Substanziell, Hoch

  1. Die Aufzeichnung und Aufbewahrung einschlägiger Informationen erfolgt mit einem ef­fektiven Aufzeichnungsverwaltungssystem unter Beachtung geltender Vorschriften und bewährter Verfahren auf dem Gebiet des Datenschutzes und der Datenspeicherung.
  2. Aufzeichnungen werden, soweit nach nationalem Recht oder anderen nationalen Verwal­tungsregelungen zulässig, aufbewahrt und geschützt, solange dies für Prüfungszwecke und für die Untersuchung von Sicherheitsverletzungen sowie für die Zwecke der Daten­speicherung erforderlich ist; danach werden die Aufzeichnungen auf sichere Weise ver­nichtet.
2.4.5 Einrichtung und Personal

Sicherheitsniveau: Niedrig, Substanziell, Hoch

  1. Es gibt Verfahren, die sicherstellen, dass alle Mitarbeiter und Unterauftragnehmer eine ausreichende Ausbildung, Qualifikation und Erfahrung bezüglich der ihnen übertragenen Aufgaben haben.
  2. Es gibt eine ausreichende Anzahl von Mitarbeitern und Unterauftragnehmern für einen angemessenen Betrieb und eine angemessene Ausstattung des Dienstes entsprechend den Vorgaben und Verfahren.
  3. Die zur Bereitstellung des Dienstes genutzten Einrichtungen werden ständig überwacht und vor Schäden durch Umgebungseinflüsse, unbefugten Zugriff oder andere Faktoren geschützt, die die Sicherheit des Dienstes beeinträchtigen können.
  4. Die zur Bereitstellung des Dienstes genutzten Einrichtungen gewährleisten, dass nur be­fugte Mitarbeiter und Unterauftragnehmer Zugang zu Bereichen haben, in denen perso­nenbezogene Daten, kryptografische oder andere sensible Informationen verarbeitet wer­den.
2.4.6 Technische Kontrollen

Sicherheitsniveau: Niedrig

  1. Es gibt angemessene technische Kontrollen für das Risikomanagement in Bezug auf die Sicherheit der Dienste sowie zum Schutz der Vertraulichkeit, Unversehrtheit und Verfüg­barkeit der verarbeiteten Informationen.
  2. Elektronische Kommunikationswege, die zur Übermittlung personenbezogener oder sen­sibler Informationen verwendet werden, müssen gegen Abhören, Manipulation und Rep­lay geschützt sein.
  3. Der Zugang zu sensiblem kryptografischen Material, das für die Ausstellung elektroni­scher Identifizierungsmittel und für die Authentifizierung verwendet wird, ist streng auf die Rollen und Anwendungen beschränkt, die diesen Zugang unbedingt benötigen. Es ist sichergestellt, dass solches Material niemals dauerhaft im Klartext gespeichert wird.
  4. Es gibt Verfahren, die gewährleisten, dass die Sicherheit dauerhaft aufrechterhalten wird und dass auf geänderte Risikostufen, Vorfälle und Sicherheitsverletzungen reagiert werden kann.
  5. Alle Speichermedien, die personenbezogene, kryptografische oder andere sensible Infor­mationen enthalten, werden in sicherer und geschützter Weise aufbewahrt, transportiert und entsorgt.

Sicherheitsniveau: Substanziell, Hoch

Zusätzlich zum Niveau “Niedrig”:

Sensibles kryptographisches Material, das für die Ausstellung elektronischer Identifizierungsmittel und für die Authentifizierung verwendet wird, ist vor Fälschung geschützt.

2.4.7 Einhaltung und Prüfung

Sicherheitsniveau: Niedrig

Es gibt regelmäßige interne Prüfungen (Audits) aller Bestandteile, die für die Bereitstellung der Dienste von Bedeutung sind, um die Einhaltung der betreffenden Vorgaben zu gewähr­leisten.

Sicherheitsniveau: Substanziell

Es gibt regelmäßige unabhängige interne oder externe Prüfungen (Audits) aller Bestandteile, die für die Bereitstellung der Dienste von Bedeutung sind, um die Einhaltung der betreffen­den Vorgaben zu gewährleisten.

Sicherheitsniveau: Hoch

  1. Es gibt regelmäßige unabhängige externe Prüfungen (Audits) aller Bestandteile, die für die Bereitstellung der Dienste von Bedeutung sind, um die Einhaltung der betreffenden Vorga­ben zu gewährleisten.
  2. Wird das System direkt von einer staatlichen Stelle verwaltet, so erfolgen die Prüfungen nach den nationalen Rechtsvorschriften.

3 Erwartetes Sicherheitsniveau

Betreffend der beiden Prozesse Anmeldung und Verwaltung elektronischer Identifizierungsmittel kann das Movi-Konzept das eIDAS Sicherheitsniveau substanziell erreichen. Bei Berücksichtigung der offenen Punkte der eIDAS-Bewertung bezogen auf die Umsetzung eines potentiellen Produktivsystems ist daher ebenfalls das eIDAS Sicherheitsniveau substanziell zu erwarten.

4 Quellen

[1] https://fachportal.gematik.de/fileadmin/user_upload/fachportal/files/Spezifikationen/Basis-Rollout/PKI_und_Zertifikate/gematik_PKI_X509_Zertifikate_des_Versicherten_eGK_V1_4_0.pdf
[2] https://fachportal.gematik.de/fileadmin/user_upload/fachportal/files/Spezifikationen/Basis-Rollout/Datenschutz_und_Datensicherheit/gematik_GA_Spezifikation_Kryptographischer_Algorithmen_V1_3_0.pdf
[3] https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32014R0910&from=DE#d1e39-73-1
[4] https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32015R1501
[5] https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32015R1502&from=DE
[6] https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/TechGuidelines/TR03159/TR-03159-1.pdf
[7] https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/TechGuidelines/TR03159/TR-03159-2.pdf
[8] https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03107/TR-03107_node.html