Die folgenden Abschnitte diskutieren grundlegend das zu erwartende Sicherheitsniveau des Movi-Konzepts. Grundlage der Diskussion und Einschätzung ist die Durchführungsverordnung der Europäischen Kommission (EU) 2015/1502 zur Festlegung von Mindestanforderungen an technische Spezifikationen und Verfahren für Sicherheitsniveaus elektronischer Identifizierungsmittel [5]. Die Erfüllung der Interoperabilität nach (EU) 2015/1501 [4] wird nicht betrachtet.
2 Zuordnung des Sicherheitsgrads
2.1 Anmeldung
2.1.1 Beantragung und Eintragung
2.1.2 Identitätsnachweis und -überprüfung (natürliche Person)
2.1.3 Identitätsnachweis und -überprüfung (juristische Person)
2.1.4 Verknüpfung von elektronischen Identifizierungsmittel natürlicher und juristischer Personen
2.2 Verwaltung elektronischer Identifizierungsmittel
2.2.1 Merkmale und Gestaltung elektronischer Identifizierungsmittel
2.2.2 Ausstellung, Auslieferung und Aktivierung
2.2.3 Aussetzung, Widerruf und Reaktivierung
2.2.4 Verlängerung und Ersetzung
2.3 Authentifizierung
2.3.1 Authentifizierungsmechanismus
2.4 Management und Organisation
2.4.1 Allgemeine Bestimmungen
2.4.2 Veröffentlichte Bekanntmachung und Benutzerinformation
2.4.3 Informationssicherheitsmanagement
2.4.4 Aufbewahrungspflichten
2.4.5 Einrichtung und Personal
2.4.6 Technische Kontrollen
2.4.7 Einhaltung und Prüfung
3 Erwartetes Sicherheitsniveau
Als Grundlage der eIDAS Bewertung dienen die Konzeption des Gesamtsystems sowie die logische Definition der im Movi-Kontext erarbeiteten virtuellen elektronischen Gesundheitskarte (veGK), welche hier zu finden ist. Festzuhalten ist, dass nicht alle Aspekte der eIDAS-Bewertung im Rahmen des Movi-Projektes betrachtet werden konnten, da einige Aspekte konkrete Systeme, Komponenten und Prozesse eines späteren Produktivsystems adressieren.
Die Europäische Union etabliert mit der eIDAS-Verordnung [6] eine technologieneutrale Rahmenbedigungen, mit der gegenseitiges Vertrauen in Identifizierungsprozesse erreicht werden kann. Die Verordnung unterscheidet dabei drei Vertauensniveaus niedrig, substantiell und hoch. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) führt das Konzept der Vertrauensniveaus in der Technischen Richtlinie TR-03107 [8] weiter aus.
Eine Übertragung der eIDAS-Verordnung auf Mobilgeräte diskutiert das BSI in der Technischen Richtlinie TR-03159 [6]. Unterschieden wird zwischen den beiden Prozessen zur Anmeldung und Verwaltung elektronischer Identifizierungsmittel.
Nicht alle Aspekte der eIDAS-Bewertung sind im Rahmen des Movi-Projektes zu Bewerten, zum Beispiel wenn sie organisatorische Aspekte oder eine konkrete spätere Infrastruktur adressieren. Zur Vollständigkeit werden diese Bewertungspunkte zwar aufgeführt, jedoch nicht weiter diskutiert. Dies betrifft primär den Abschnitt 2.4 Management und Organisation und alle Aspekte der Identitätsfeststellung im Rahmen der eGK
Die Registrierung erfolgt unabhängig von der späteren Authentisierung, weshalb es keine spezifischen Anforderungen für mobile Szenarien gibt. Es müssen jedoch alle Anforderungen von (EU) 2015/1502 zum Anmeldungsprozess erfüllt sein.
Sicherheitsniveau: Niedrig, Substantiell, Hoch
Es ist gewährleistet, dass der Antragsteller die Geschäftsbedingungen für die Benutzung des elektronischen Identifizierungsmittels kennt.
Betrifft den allgemeinen Informationsfluss zwischen Betreiber des späteren Produktivsystems und Versichertem, daher nicht Betrachtungsgegenstand.
Es ist gewährleistet, dass der Antragsteller die empfohlenen Sicherheitsvorkehrungen im Zusammenhang mit dem elektronischen Identifizierungsmittel kennt.
Betrifft den allgemeinen Informationsfluss zwischen Betreiber des späteren Produktivsystems und Versichertem, daher nicht Betrachtungsgegenstand.
Die einschlägigen Identitätsdaten für den Nachweis und die Überprüfung der Identität werden erfasst.
Betrifft im Kontext der veGK die Erfassung der Identitätsdaten der eGK bei deren Beantragung, da diese der veGK als Vertrauensanker dient, daher nicht Betrachtungsgegenstand. Bei Reg 1.a) -> eGK als Vertrauensanker -> Qualität der eGK, und ihrer zugrunde liegenden Daten, als Identifizierungsmittel durch den Gesetzgeber festgelegt.
Sicherheitsniveau: Niedrig
Es kann davon ausgegangen werden, dass die Person im Besitz eines Beweismittels ist, das von dem Mitgliedstaat, in dem das elektronische Identifizierungsmittel beantragt wird, anerkannt wird und die beanspruchte Identität repräsentiert.
-
Es kann davon ausgegangen werden, dass das Beweismittel echt ist oder laut einer verlässlichen Quelle existiert und dass das Beweismittel dem Anschein nach gültig ist.
-
Eine verlässliche Quelle hat Kenntnis davon, dass die beanspruchte Identität existiert und es kann davon ausgegangen werden, dass die Person, die diese Identität beansprucht, damit identisch ist.
-
Sicherheitsniveau: Substantiell
Zusätzlich zum Niveau Niedrig muss eine der Alternativen der Nummern 1 bis 4 erfüllt sein:
und
das Beweismittel ist geprüft worden, um seine Echtheit festzustellen, oder einer verlässlichen Quelle ist bekannt, dass es existiert und sich auf eine reale Person bezieht,
und
es wurden Vorkehrungen getroffen, um das Risiko zu mindern, dass die Identität der Person nicht mit der beanspruchten Identität übereinstimmt, z. B. im Hinblick auf verlorene, gestohlene, ausgesetzte, widerrufene oder abgelaufene Beweismittel.
ODER
und
es wurden Vorkehrungen getroffen, um das Risiko zu mindern, dass die Identität der Person nicht mit der beanspruchten Identität übereinstimmt, z. B. im Hinblick auf verlorene, gestohlene, ausgesetzte, widerrufene oder abgelaufene Dokumente.
ODER
ODER
Sicherheitsniveau: Hoch
Es müssen entweder die Anforderungen der Nummer 1 oder der Nummer 2 erfüllt sein:
a) Ist überprüft worden, dass die Person im Besitz eines mit Foto oder biometrischen Merkmalen versehenen Identitätsnachweises ist, der von dem Mitgliedstaat, in dem das elektronische Identifizierungsmittel beantragt wird, anerkannt wird, und dass der Identitätsnachweis die beanspruchte Identität repräsentiert, so wird das Beweismittel geprüft, um festzustellen, ob es laut einer verlässlichen Quelle gültig ist,
und
anhand des Vergleichs eines oder mehrerer körperlicher Merkmale der Person mit Angaben aus einer verlässlichen Quelle wird festgestellt, dass der Antragsteller mit der beanspruchten Identität übereinstimmt.
ODER
b) Bieten Verfahren, die zuvor von einer öffentlichen oder privaten Stelle in demselben Mitgliedstaat für andere Zwecke als die Ausstellung elektronischer Identifizierungsmittel verwendet wurden, eine gleichwertige Sicherheit, die der des Niveaus „Hoch“ in Abschnitt 2.1.2 entspricht, so braucht die für die Registrierung zuständige Stelle solche früheren Verfahren nicht zu wiederholen, sofern die gleichwertige Sicherheit von einer Konformitätsbewertungsstelle im Sinne des Artikels 2 Absatz 13 der Verordnung (EG) Nr. 765/2008 oder von einer gleichwertigen Stelle bestätigt wird,
und
es werden Schritte unternommen, um zu belegen, dass die Ergebnisse der früheren Verfahren noch gültig sind.
ODER
c) Werden elektronische Identifizierungsmittel aufgrund eines gültigen notifizierten elektronischen Identifizierungsmittels des Sicherheitsniveaus „Hoch“ und unter Berücksichtigung des Risikos einer Änderung der Personenidentifizierungsdaten ausgestellt, so brauchen die Prozesse für den Nachweis und die Überprüfung der Identität nicht wiederholt zu werden. Wurde das zugrunde gelegte elektronische Identifizierungsmittel nicht notifiziert, so muss das Sicherheitsniveau „Hoch“ von einer Konformitätsbewertungsstelle im Sinne des Artikels 2 Absatz 13 der Verordnung (EG) Nr. 765/2008 oder von einer gleichwertigen Stelle bestätigt werden,
und
es werden Schritte unternommen, um zu belegen, dass die Ergebnisse des früheren Verfahrens zur Ausstellung eines notifizierten elektronischen Identifizierungsmittels noch gültig sind.
ODER
-
Da die veGK nur zur Identifikation natürlicher Personen eingesetzt wird, ist 2.1.3 nicht anwendbar und daher nicht Betrachtungsgegenstand.
Da die veGK nur zur Identifikation natürlicher Personen eingesetzt wird, ist 2.1.4 nicht anwendbar und daher nicht Betrachtungsgegenstand.
Sicherheitsniveau: Niedrig
Das elektronische Identifizierungsmittel benutzt mindestens einen Authentifizierungsfaktor.
Ja, Besitz des mobilen Endgeräts und Wissen über den Zugriffsschutz (PIN/Passwort) der Schlüssel/Token.
Das elektronische Identifizierungsmittel ist so gestaltet, dass der Aussteller zumutbare Vorkehrungen trifft, um zu prüfen, dass es nur unter der Kontrolle oder im Besitz der Person, der es gehört, verwendet wird.
Ja, durch die Authentifizierungsfaktoren und durch die Delegation über die eGK.
Sicherheitsniveau: Substantiell
Das elektronische Identifizierungsmittel benutzt mindestens zwei Authentifizierungsfaktoren unterschiedlicher Kategorien.
Ja, unterschieden werden wissensbasierte, besitzbasierte und biometrische Faktoren. Diese Anforderung ist durch den Besitz des Mobilgerätes sowie entweder einen biometrischen Faktor oder das Wissen einer PIN gegeben.
Das elektronische Identifizierungsmittel ist so gestaltet, dass davon ausgegangen werden kann, dass es nur unter der Kontrolle oder im Besitz der Person, der es gehört, verwendet wird.
Ja, wenn ein besitzbasierter Faktor verwendet wird, um entweder einen wissensbasierten oder einen biometrischen Faktor zu überprüfen. Unter iOS ist das durch die Verwendung von TouchID/FaceID (mit PIN-Code als Fallback) garantiert, da diese lokal in der SecureEnclave überprüft werden (vgl. [6, 2.2.1 Punkt 2]). Siehe außerdem Schutzniveau Hoch - 2.
Sicherheitsniveau: Hoch
Zusätzlich zum Niveau “Substantiell”:
Das elektronische Identifizierungsmittel bietet Schutz vor Duplizierung und Fälschung wie auch vor Angreifern mit hohem Angriffspotential.
Ja, sofern Hardware-basierte Schutzmechanismen eingesetzt werden um den Attestierungsschlüssel zu schützen. Je nach Definition des “Angreifers mit hohem Angriffspotential” könnte der Einsatz der TEE schon unzureichend sein (siehe Keymaster - Trusted Execution Environment (TEE), StrongBox Keymaster und Android KeyStore-System - Sicherheitsbetrachtung)
Das elektronische Identifizierungsmittel ist so gestaltet, dass es von der Person, der es gehört, zuverlässig vor einer Benutzung durch andere geschützt werden kann.
Schutz vor Replay-Attacken durch PKCE-Flow Nonces (siehe Authentifizierung auf Basis attestierter kryptographischer Schlüssel - Sicherheitsüberlegungen (A)).
Schutz vor passiven Angreifern/Abhören durch Einsatz von Kanalverschlüsselung zwischen Infrastruktur und Mobilgerät des Versicherten. Gegenseitige Authentifizierung prinzipiell auch möglich (siehe Gegenseite Authentifizierung TLS) aber noch konkret zu diskutieren, wodurch auch vor Man-in-the-Middle Angriffen geschützt werden kann, sofern das Mobilgerät während der Registrierungsprozesse 1.a) und 1.b) noch nicht kompromittiert war.
Wird als Zugriffsschutz des Attestierungsschlüssels ein PIN von ausreichender Entropie verwendet (siehe Vergleich Entsperrmechanismen), welcher nur dem Inhaber der veGK bekannt ist, schützt dieser ausreichend vor Brute-Force-Angriffen.
Je nach Geräteimplementierung wir ein Mobilgerät nach einer bestimmten Anzahl von fehlgeschlagenen Zugangsversuchen (temporär) gesperrt, was Brute-Force-Angriffe weiter erschwert.
Des Weiteren kann über die Android-Api durchgesetzt werden, dass ein Entsperrter Attestierungsschlüssel nur begrenzte Zeit entsperrt bleibt (siehe Absicherung kryptografischer Schlüssel (A)).
Sicherheitsniveau: Niedrig
Nach der Ausstellung wird das elektronische Identifizierungsmittel auf eine Weise ausgeliefert, bei der davon ausgegangen werden kann, dass es nur die beabsichtigte Person erreicht.
Siehe Sicherheitsniveau Substantiell - 1.
Sicherheitsniveau: Substantiell
Nach der Ausstellung wird das elektronische Identifizierungsmittel auf eine Weise ausgeliefert, bei der davon ausgegangen werden kann, dass es nur in den Besitz der Person gelangt, der es gehört.
Die veGK wird nicht ausgeliefert, sondern basierend auf den Sicherheitseigenschaften und Verifikation der eGK auf dem Mobilgerät des Versicherten erzeugt, im Identitätsprovider angelegt und registriert.
Die Stärke des Vertrauens darin, ob eine veGK wirklich nur im Besitz der korrespondierenden natürlichen Person gelangt, korreliert mit dem Vertrauen darin, dass die als Vertrauensanker fungierende eGK nur in dem Besitz der die korrespondierende Identität innehabende Person gelangt.
Nach [6, 2.2.2] muss im Fall, dass eine Person bereits vor der Anmeldung im Besitz der Authentifizierungsfaktoren ist, gewährleistet sein, dass (1) die Authentifizierungsfaktoren angemessen für das Sicherheitsniveau Substantiell sind und (2) die identifizierte Person identisch mit der Person ist, die in Besitz der Authentifizierungsfaktoren ist. Dabei ist (1) nach 2.2.2, Substanziell, Punkt 2 gegeben und (2) wird dadurch gewährleistet, dass dieselben Authentifizierungsfaktoren wie beim Anmeldeprozess überprüft werden.
Sicherheitsniveau: Hoch
Im Aktivierungsprozess wird geprüft, dass das elektronische Identifizierungsmittel nur in den Besitz der Person gelangt ist, der es gehört.
Nein (siehe Sicherheitsniveau Substantiell - 1. und Ausgabeprozess der eGK).
Sicherheitsniveau: Niedrig, Substanziell, Hoch
Es ist möglich, ein elektronisches Identifizierungsmittel rasch und wirksam auszusetzen und/oder zu widerrufen.
Aus Sicht des Versicherten durch das Lösch/Sperr-Protokoll 3. (siehe Kontodeaktivierung/-löschung). Aus Sicht des Betreibers der Movi-Infrastruktur über den Identitätsprovider. Prozesse für eine solche Sperrung oder Löschung sind jedoch noch nicht definiert und die dafür notwendigen Schnittstellen sowie die Bedingungen für ihre Nutzung noch nicht spezifiziert.
Es bestehen Vorkehrungen, um eine unbefugte Aussetzung, einen unbefugten Widerruf oder eine unbefugte Reaktivierung zu verhindern.
Aus Sicht des Versicherten ist eine Aussetzung/Widerruf bzw. eine Reaktivierung nur über die definierten Protokolle 1.a) und 3. möglich, welche stets die Validierung der Vertrauenswürdigkeit des Mobilgeräts sowie der eGK voraussetzt (siehe Lebenszyklus eines Patientenkontos). Die Reaktivierung durch Registrierungsprozess 1.b) setzt den Zugriff auf den postalisch zugestellten Aktivierungscode sowie das Wissen über die KVNR voraus.
Eine Reaktivierung darf nur erfolgen, wenn dieselben Sicherheitsanforderungen wie vor der Aussetzung oder vor dem Widerruf weiterhin erfüllt sind.
Ja, da der Reaktivierungsprozess äquivalent zum Registrierungsprozess ist, und somit die gleichen Sicherheitsanforderungen gelten.
Sicherheitsniveau: Niedrig, Substanziell
Sicherheitsniveau: Hoch
Zusätzlich zum Niveau “Niedrig, Substanziell”:
Dieser Abschnitt betrifft die Bedrohungen im Zusammenhang mit der Verwendung der Authentifizierungsmechanismen und enthält Anforderungen an jedes Sicherheitsniveau. In diesem Abschnitt wird davon ausgegangen, dass die Kontrollmaßnahmen den Risiken des jeweiligen Sicherheitsniveaus angemessen sein müssen.
Sicherheitsniveau: Niedrig
Vor einer Herausgabe von Personenidentifizierungsdaten erfolgt eine zuverlässige Überprüfung des elektronischen Identifizierungsmittels und seiner Gültigkeit.
Werden Personenidentifizierungsdaten als Teil des Authentifizierungsmechanismus gespeichert, müssen sie gesichert sein, um sie vor Verlust und vor Beeinträchtigung, einschließlich Offline-Analyse, zu schützen.
Im Authentifizierungsmechanismus sind Sicherheitskontrollen zur Überprüfung des elektronischen Identifizierungsmittels implementiert, so dass es höchst unwahrscheinlich ist, dass ein Angreifer mit erhöhtem grundlegenden Angriffspotenzial durch Handlungen wie Erraten, Abhören, Replay oder Manipulation der Kommunikation den Authentifizierungsmechanismus aushebeln kann.
Sicherheitsniveau: Substantiell
Zusätzlich zum Niveau “Niedrig”:
Vor einer Herausgabe von Personenidentifizierungsdaten erfolgt eine zuverlässige Überprüfung des elektronischen Identifizierungsmittels und seiner Gültigkeit durch dynamische Authentifizierung.
Im Authentifizierungsmechanismus sind Sicherheitskontrollen zur Überprüfung des elektronischen Identifizierungsmittels implementiert, so dass es höchst unwahrscheinlich ist, dass ein Angreifer mit mäßigem Angriffspotenzial durch Handlungen wie Erraten, Abhören, Replay oder Manipulation der Kommunikation den Authentifizierungsmechanismus aushebeln kann.
Sicherheitsniveau: Hoch
Zusätzlich zum Niveau “Substantiell”:
Die nachfolgend aufgelisteten Anforderungen sind nicht Betrachtungsgegenstand dieser Sicherheitsdiskussion, da sie ein etwaiges Produktivsystem adressieren.
Sicherheitsniveau: Niedrig, Substanziell, Hoch
Sicherheitsniveau: Niedrig, Substanziell, Hoch
Sicherheitsniveau: Niedrig
Es besteht ein wirksames Informationssicherheitsmanagementsystem für das Management und die Beherrschung von Informationssicherheitsrisiken.
Sicherheitsniveau: Substanziell, Hoch
Zusätzlich zum Niveau “Niedrig”:
Das Informationssicherheitsmanagementsystem folgt bewährten Normen oder Grundsätzen für das Management und die Beherrschung von Informationssicherheitsrisiken.
Sicherheitsniveau: Niedrig, Substanziell, Hoch
Sicherheitsniveau: Niedrig, Substanziell, Hoch
Sicherheitsniveau: Niedrig
Sicherheitsniveau: Substanziell, Hoch
Zusätzlich zum Niveau “Niedrig”:
Sensibles kryptographisches Material, das für die Ausstellung elektronischer Identifizierungsmittel und für die Authentifizierung verwendet wird, ist vor Fälschung geschützt.
Sicherheitsniveau: Niedrig
Es gibt regelmäßige interne Prüfungen (Audits) aller Bestandteile, die für die Bereitstellung der Dienste von Bedeutung sind, um die Einhaltung der betreffenden Vorgaben zu gewährleisten.
Sicherheitsniveau: Substanziell
Es gibt regelmäßige unabhängige interne oder externe Prüfungen (Audits) aller Bestandteile, die für die Bereitstellung der Dienste von Bedeutung sind, um die Einhaltung der betreffenden Vorgaben zu gewährleisten.
Sicherheitsniveau: Hoch
Betreffend der beiden Prozesse Anmeldung und Verwaltung elektronischer Identifizierungsmittel kann das Movi-Konzept das eIDAS Sicherheitsniveau substanziell erreichen. Bei Berücksichtigung der offenen Punkte der eIDAS-Bewertung bezogen auf die Umsetzung eines potentiellen Produktivsystems ist daher ebenfalls das eIDAS Sicherheitsniveau substanziell zu erwarten.
[1] https://fachportal.gematik.de/fileadmin/user_upload/fachportal/files/Spezifikationen/Basis-Rollout/PKI_und_Zertifikate/gematik_PKI_X509_Zertifikate_des_Versicherten_eGK_V1_4_0.pdf
[2] https://fachportal.gematik.de/fileadmin/user_upload/fachportal/files/Spezifikationen/Basis-Rollout/Datenschutz_und_Datensicherheit/gematik_GA_Spezifikation_Kryptographischer_Algorithmen_V1_3_0.pdf
[3] https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32014R0910&from=DE#d1e39-73-1
[4] https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32015R1501
[5] https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32015R1502&from=DE
[6] https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/TechGuidelines/TR03159/TR-03159-1.pdf
[7] https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/TechGuidelines/TR03159/TR-03159-2.pdf
[8] https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03107/TR-03107_node.html