01.02.2020 Dieser Artikel als .pdf

Digitale Signatur und Telematikinfrastruktur

Über Verschlüsselung in der Telematikinfrastruktur des deutschen Gesundheitswesens wurde und wird viel diskutiert. Wie sicher ist sie? Kann man die Sicherheit von Verschlüsselung messen oder ist das nur ein Meinungsaustausch? Wie viele verschiedene kryptographische Schlüssel neben- und nacheinander hat ein Dokument in der elektronischen Patientenakte? Brauchen wir ein Recht auf Verschlüsselung?

Vermutlich liegt es ausschließlich an einer unerklärlichen Müdigkeit, die mich neuerdings bei dem Thema Verschlüsselung befällt, dass Argumentationslinien über Datensicherheit und Schweigepflicht von Telematik-Befürworter*innen und Gegner*innen gleichermaßen mich an die Szene mit Louis de Funès erinnern: »Nein! Doch! Oh!«

Deshalb will ich einen neuen Blickwinkel versuchen, ein Reframing der Voraussetzungen, von denen aus wir schlussfolgern. Weitere Ideen brauchen wir allein schon aus dem Grund, dass der Digitalisie­rung im Gesundheitswesen nach wie vor eine Strategie fehlt. Ich bin davon überzeugt, dass sich neue Einsichten gewinnen lassen, wenn wir die Telematikinfrastruktur nicht zuerst von ihrer Verschlüsselung her denken, sondern von der digitalen Signatur.

Auch das Bundesamt für Sicherheit in der Informationstechnik denkt offenbar in diese Richtung und hat eine neue Referatsleiter-Stelle »eID-Strukturen für die Digitalisierung« ausgeschrieben. Digitale Signaturen können sowohl bei verschlüsselten Daten als auch bei unverschlüsselten Daten angewandt werden. Das macht sie zu einem geeigneten Denkrahmen außerhalb der Verschlüsselungsdiskussion.

In Anbetracht der Länge dieses Textes drei für mich ungelöste Fragen vorab:

  1. Die Telematikinfrastruktur bietet für das Fachgebiet der Psychotherapie keine nützlichen Funktionen. Auch auf absehbare Zeit wird sie keine Anwendungen bereitstellen, die den zeitlichen, finanziellen, emotionalen und datenschutzrechtlichen Nachteil ihres Betriebs aufwiegen. Entweder kann man trotzdem versuchen, seltene psychotherapeutische Anwen­dungsfälle zu konstruieren. Vielleicht möchte ein Patient dem Therapeuten die Alltagsfort­schritte gegen seine Agoraphobie zeigen und lädt Selfies vom Einkaufen und Zugfahren in die elektronische Patientenakte? Oder man begründet den Zwangsanschluss knapp und für alle einigermaßen verständlich mit jenen »eID-Strukturen«, genauer mit der »Qualifizierten elek­tronischen Signatur« als einer Nachfolgerin für die herkömmliche Unterschrift. Die hier zugrunde liegenden Auffassungen über die Effizienz zentralisierten »Vertrauens« sind jetzt in der Welt (und in der Telematikinfrastruktur und in ihrem Versichertenstammdatenmanage­ment) und wir können nicht erwarten, dass alles bald wieder verschwindet. Auch diese Begründung schließt sorgfältige Patientenaufklärung und gegebenenfalls rechtliche Schritte gegen den unüberlegten und voreiligen Zwangsanschluss nicht aus. 
  2. Für sich selbst scheint die Psychotherapie inzwischen mehrheitlich zu dem Schluss gekommen zu sein, dass die Bündelung ihres diagnostischen und methodischen Wissens in eine schulen­übergreifende »Allgemeine Psychotherapie« nicht wünschenswert ist. Vielleicht möchte zur Veranschaulichung dieser Einsicht einer unserer Ost-Landesverbände einen Überblick über die Kybernetik-Diskussion in der DDR geben und zeigen, »wie hinter der Ausbreitung der Kyber­netik der Wille steckt, eine Einheit des Wissens, wie es vielleicht im 17. Jahrhundert noch vorstellbar war, wiederzufinden«? 
  3. Sollte eines Tages tatsächlich das Recht auf Verschlüsselung Gesetz werden, ließe sich daraus ein Recht auf »Fortgeschrittene elektronische Signatur« ableiten? Und falls dem so wäre, müsste dann die Telematikinfrastruktur eine Möglichkeit zur »Fortgeschrittenen elektroni­schen Signatur« für Versicherte anbieten?

Deshalb jetzt zu den Grundlagen. Schon ihrem Namen nach ist die digitale Signatur so etwas wie eine Unterschrift: nur eine bestimmte Person (oder ein bestimmtes Gerät) kann sie erzeugen und alle können sie überprüfen. Damit erfüllt die digitale Signatur den doppelten Zweck, die Authentizität von Daten (d.h. die sichere Zuordnung zu einem bekannten Absender) und deren Integrität (d.h. ihre Unversehrtheit seit dem Absenden) sicherzustellen. Hierin unterscheidet die digitale Signatur sich von Verschlüsselung, die Vertraulichkeit herstellen soll. Es wäre ein schönes Wortspiel zu behaupten, eine Signatur erzeuge Vertrauen und eine Verschlüsselung erzeuge Vertraulichkeit. Aber das stimmt nicht. Dass auf der Basis digitaler Signaturen demnächst Freundschaften geschlossen werden, ist nicht zu erwarten. Vielmehr ist ein typisches Gedankenexperiment über Authentizität ein eher kriegerisches: das Problem der byzantinischen Generäle.

Außerhalb des Digitalen legt eine philosophische und psychoanalytische Betrachtung von Authenti­zität nahe, dass ein fest umrissenes »Wahres Selbst« und Authentizität eher Gegensätze sind als ein­ander ähnliche Vorstellungen. Authentizität und Vertrauen setzen nicht Dogmen, Definitionen, Rechenschritte oder Geldbeträge voraus, sondern einen beständigen zwischenmenschlichen Aus­tausch. Im Kontrast dazu ermöglichen digitale Signaturen Kommunikation dadurch, dass sie in ein Klima das Misstrauens hinein das Angebot einer gemeinsamen Definition von Wahrheit machen.

Hier wird der Bezug der digitalen Signatur zum Gesundheitswesen deutlich. Ist es eine Provokation zu sagen: wer nicht für digitale Signaturen arbeiten will, soll auch nicht für Geld arbeiten?

In Heft 26/2019 der Computerzeitschrift c’t erschien ein Artikel des Diplom-Informatikers und IT-Sicherheitsberaters Thomas Maus. Dort entwirft er Alternativen zum jetzigen Modell der Digitalisie­rung im deutschen Gesundheitswesen. Der Text erwähnt Verschlüsselung kein einziges Mal. Nicht, weil der Autor meint, Verschlüsselung sei nutzlos oder unwichtig. Sondern weil er digitale Vernetzung von den Signaturen her denkt.

Grob gesagt entsteht eine digitale Signatur beim »Entschlüsseln« einer Zahl, die gar nicht verschlüs­selt war. Zumindest bei der häufig verwendeten Signatur mittels des RSA-Kryptosystems ist das so. Das mag zunächst unlogisch klingen, jedoch sind hier »Entschlüsseln« und »Signieren« nur nachträg­liche menschliche Deutungen für die jeweils gleichen mathematischen Operation des modularen Potenzierens. Dem Computer ist es egal, was die Zahlen bedeuten, mit denen er rechnet. Der Philosoph Jean Baudrillard spricht von der Mathematik als referenzlosen Zeichen. Diese referenzlosen Zeichen treten als »Hyperrealität« in Konkurrenz mit Konstrukten, die wir bisher als unsere »Realität« wahrgenommen haben. Wer die nötige Geduld mitbringt, kann sich in Kapitel 5 der »Standards für asymmetrische Kryptographie« von den identischen Formeln für das Signieren (Kapitel 5.2.1.) und das Entschlüsseln (Kapitel 5.1.2.) überzeugen. Deshalb der Gedanke, ob ein Recht auf Verschlüsse­lung automatisch zu einem Recht auf Signatur führt.

Genau wie das asymmetrische Entschlüsseln benötigt auch das digitale Signieren einen privaten Schlüssel. Und genau wie das asymmetrische Verschlüsseln benötigt auch das Überprüfen einer digitalen Signatur einen öffentlichen Schlüssel. Bei allen diesen Vorgängen bleiben die Daten, denen die Methode eigentlich dient, außerhalb des RSA-Algorithmus.

Denn beim digitalen Signieren wird zunächst der komplette Inhalt eines Dokuments mit einer kryptographischen Hashfunktion wie SHA-256 in eine Zahl mit vorgegebener Länge umgerechnet. Erst anschließend wird dieser Hashwert von einem bestimmten Absender für beliebige Empfänger »sicher entpackt« – um die Metapher des »Entschlüsselns« einer Zahl, die nicht verschlüsselt war, hier noch einmal umzuformulieren.

Ähnlich wird beim asymmetrischen Entschlüsseln ein von einem beliebigen Absender erzeugter sym­metrischer Schlüssel vorgegebener Länge durch einen bestimmten Empfänger »entpackt«. Anschlie­ßend wird mit dem so erhaltenen Schlüssel ein symmetrisches Verfahren wie der Advanced Encryption Standard (AES) auf die Daten angewandt.

Beim Prüfen einer digitalen Signatur durch einen beliebigen Empfänger wird der Hashwert des fraglichen Dokuments berechnet und die übermittelte Signatur des Dokuments mit dem öffentlichen Schlüssel des bekannten Absenders »verschlüsselt«. Stimmen beide Zahlen überein, gelten Authenti­zität und Integrität des Dokuments als bestätigt. Wer jetzt sagt, dann hätte der Absender sich das »sichere Entpacken« des Hashwertes in eine Signatur doch sparen und ihn gleich unverändert mitsenden können, ist auf die Metapher von »Klartext« und »Schlüsseltext« hereingefallen, die sich hier mit der Metapher von »Verschlüsseln« und »Entschlüsseln« überkreuzt. Die Kunst von Maurits Cornelis Escher verdeutlicht gut den Unterschied zwischen einem mathematisch-geometrischen Muster und dessen Interpretation.

Um es zusammenzufassen: Nur das Ergebnis der Hashfunktion wird signiert bzw. verifiziert und nur der symmetrische Schlüssel wird asymmetrisch verschlüsselt bzw. entschlüsselt. Die Mathematik hinter allen diesen Vorgängen ist im Wesentlichen dieselbe.

Wer sich mit der Technischen Anlage Datenschutz der Kassenärztlichen Bundesvereinigung näher beschäftigt, findet am Beginn von Kapitel 2.9 den Satz: »Chipkarten können sichere Träger von kryptographischen Schlüsseln sein.« Ähnlich des Eingangs in den Kaninchenbau in »Alice im Wunder­land« kann dieser Satz in unerwartete Zusammenhänge führen. Zunächst aber hat die Kassenärzt­liche Bundesvereinigung die Tür zu klein gemacht, denn die Eigenschaft einer Hardware, sicherer Träger von kryptographischen Schlüsseln sein zu können, hängt nicht von der Chipkarten-Form ab. Der allgemeine Begriff ist »Security-Token«. Unter ihnen eignen sich besonders OpenPGP-Cards zur unabhängigen Nutzung, z.B. innerhalb einer Praxis, ohne die Notwendigkeit einer Zertifizierungs­stelle und ohne übermäßige technische Vorkenntnisse.

Schaut man bei einer OpenPGP-Card wiederum in ihre Spezifikation, sieht man, dass immer ein »AUT key«, ein »DEC key« und ein »SIG key« zusammen gehören. Jeder dieser Unterschlüssel besteht aus einem privaten Schlüssel (im Wesentlichen zwei sehr großen Primzahlen) und einem öffentlichen Schlüssel (im Wesentlichen diese beiden sehr großen Primzahlen miteinander multipliziert). Sechs Teilschüssel – ist nicht spätestens das jetzt zu kompliziert? Ein Blick in Listen möglicher Schlüsselarten bei der Internet Engineering Task Force oder der Wikipedia zeigt, dass es hätten noch mehr sein können:

  • Authentifizieren bedeutet, eine Zugangsberechtigung zu erhalten, z.B. sich über das Inter­net auf einen Server einzuloggen.
  • Signieren bedeutet, ein Dokument oder allgemein Daten auf die oben beschriebene Weise zu verarbeiten, um zu garantieren, dass man das Dokument oder die Daten entweder selbst verfasst hat oder dass man aus anderen Gründen »unterschreibt«, z.B. um Kenntnisnahme oder Zustimmung zu zeigen (Authentizität). Zugleich werden die Daten dabei gegen nach­trägliche Veränderung geschützt (Integrität). Der umgekehrte Vorgang ist das Überprüfen (Verifizieren) einer Signatur.
  • Verschlüsseln ist das Umwandeln von Daten in nicht interpretierbare Zeichenfolgen mit dem Ziel, die Vertraulichkeit zu wahren. Der umgekehrte Vorgang ist das Entschlüsseln.
  • Zertifizieren bedeutet, einen öffentlichen Schlüssel einer anderen Person zu signieren, um damit einen Zertifizierungspfad und somit transitives Vertrauen herzustellen. Der umge­kehrte Vorgang ist das Überprüfen (Verifizieren) eines Zertifikats. Ist kein Schlüsselpaar extra zum Zertifizieren vorgesehen, kann hierfür das Signaturschlüsselpaar verwendet werden.

Verschiedene Schlüsselpaare für verschiedene Funktionen lassen es zu, abweichende Gültigkeitszeit­räume zu definieren, z.B. die Authentifizierung häufiger zu wechseln als die Verschlüsselung und diese wiederum häufiger als die Zertifizierung. Auch lässt sich so einer der Schlüssel an Vertraute weitergeben (beispielsweise an einen Arbeitgeber, der den Zugriff auf verschlüsselte Arbeitsergeb­nisse braucht), ohne dass die anderen Funktionen mit kompromittiert werden. Man soll nie Daten mit demselben (privaten) Schlüssel signieren, mit dem man sie (per öffentlichem Schlüssel) verschlüsselt. Mathematische Wege, auf denen das sich für einen Angriff ausnutzen ließe, sind zwar kompliziert und von der konkreten Software abhängig. Aber sicher ist sicher.

Das Thema digitale Signatur berührt die Funktionen Signieren und Zertifizieren. Beide Funktionen gemeinsam können zum Aufbau einer Public-Key-Infrastruktur benutzt werden. Auch die Telematik­infrastruktur baut auf einer Public-Key-Infrastruktur auf und führt eine Liste der Vertrauensdienste­anbieter (Produkttyp TSPX509) ihrer digitalen Zertifikate. Der Begriff Vertrauensdiensteanbieter entstammt der eIDAS-Ver­ordnung (electronic IDentification, Authentication and trust Services) der Europäischen Union. Sie soll einer Fragmentierung digitaler Anwendungen und einem Mangel an Interoperabilität entgegen wirken. Ebenfalls in der eIDAS-Verordnung definiert ist die Unterscheidung zwischen Fortgeschrittener elektronischer Signatur und Qualifizierter elektronischer Signatur. Dass hier durch den Gesetzgeber der Begriff »digital« durch »elektronisch« ersetzt wurde, hat weniger technische Gründe, sondern soll deutlich machen, dass es sich um juristische Begriffe handelt.

Während die Gültigkeit Qualifizierter elektronischer Signaturen per Definition von einer zentralen Zertifizierungsstelle abhängt, können Fortgeschrittene elektronische Signaturen von einem Unter­zeichner auch »unter seiner alleinigen Kontrolle« verwendet werden. Und während Qualifizierte elek­tronische Signaturen eine gesetzlich vorgeschriebene Schriftform auf Papier ersetzen, dürfen Fortge­schrittene elektronische Signaturen gemäß § 127 BGB immerhin noch für formfreie Vereinbarungen Verwendung finden. Fortgeschrittene elektronische Signaturen können in einem dezentralen Netz des Vertrauens organisiert sein.

Bezüge wie der auf die eIDAS-Verordnung, die Internet Engineering Task Force oder den Advanced Encryption Standard lassen sich zu einer Einsicht verallgemeinern, die ich nicht hätte anders formulie­ren wollen: »Das Potenzial der Standardi­sierungs­organi­sationen als neutrale Plattform für breiten Konsens jenseits von Standesorganisationen und anderen Interessengruppen wird leider nicht in allen Ländern erkannt.« Auch die Bertelsmann-Stiftung fragt auf Seite 191 ihrer Expertise zu elektroni­schen Patientenakten, ob eine nationale und branchenspezifische Public-Key-Infrastruktur überhaupt noch zeitgemäß sei.

Vielleicht lässt sich die Telematikinfrastruktur in ihrer jetzt geplanten Form als eine Art Mittelweg ver­stehen, zwischen der bisherigen, etwas weniger beschleunigten und weniger transparenten Offline-Gesundheitsversorgung und der Aufnahme und Weiterentwicklung bestehender internationaler Standards. Ich bin der Meinung, zwischen zwei Stühlen sitzt man am härtesten.

Während die Telematikinfrastruktur die Qualifizierte elektronische Signatur mittels Heilberufsausweis und SMC-B umsetzt, ignoriert sie die Fortgeschrittene elektronische Signatur. Dabei böte letztere sowohl Versicherten eine Möglichkeit, Dokumente selbst zu signieren, als auch Praxen einen zweiten Weg, um Signaturen zu erstellen, beispielsweise bei der direkten digitalen Kommunikation mit Versicherten oder bei einem Ausfall der Telematikinfrastruktur. (Korrektur am 03.02.2020: die Organisations-Signatur mittels SMC-B ist keine Qualifizierte oder Fortgeschrittene elektronische Signatur.)

Das jetzige Fehlen einer Signaturmöglichkeit für Versicherte könnte man als Ausdruck eines Vertrau­ens ihnen gegenüber sehen, das Behandlern in dem Maß nicht entgegen gebracht wird. So sind Ver­sicherte mittels der von ihnen eingestellten Daten nicht eindeutig identifizierbar und ihre Daten sind nicht über den digitalen »Misstrauensrabatt« einer Fortgeschrittenen elektronischen Signatur nachver­folgbar. Aber ist nicht ein Argument für die elektronische Patientenakte der Wechsel zu neuen Behandlern, zu denen ein persönliches Vertrauensverhältnis noch nicht besteht?

Andererseits könnte man eine Absicht des Gesetzgebers vermuten, dass er die Daten der Versicherten paternalistisch durch Verschlüsselung zu schützen versucht, während er sich gegen­über der dazu gehörenden Bildung passiv verhält und es aktiv verhindert, dass Versicherte sich als Urheber*innen und Eigentümer*innen der durch sie eingestellten Daten ausweisen können. Der Philosoph Byung-Chul Han schreibt in seinem Buch »Transparenzgesellschaft«: »Die Transparenz­gesellschaft folgt genau der Logik der Leistungsgesellschaft. […] Die Selbstausleuchtung ist effizienter als die Fremdausleuchtung, weil sie mit dem Gefühl der Freiheit einhergeht. […] Darin besteht die Dialektik der Freiheit.« Vielleicht ist auch das so eine Dialektik: je deutlicher Versicherte sich als Urheber ihrer Daten verstehen dürften, um so weniger Fremdausleuchtung würden sie vielleicht fordern oder benötigen.

Wäre also tatsächlich die Gefahr zu groß, dass Versicherte ihre Schlüssel für die Fortgeschrittene elektronische Signatur fälschen oder sich diese entwenden lassen? Bald wird der Straßenverkehr sich autonom ohne den Einfluss menschlicher Fehlerquellen bewegen. Da sollen wir jetzt noch in der Telematikinfrastruktur damit anfangen, risikoreiche Technik in die Hand von (durch Krankheit geschwächten) Menschen zu geben? Digitale Selbstwirksamkeit in den Händen Vieler – wäre das nicht Rezo 2.0?

Oder wird es gerade deshalb bald denkbar sein, dass Versicherte ihre Befunde in der elektronischen Patientenakte am heimischen PC unter Verwendung ihres Security-Token selbst umschlüsseln, so dass nur die dabei festgelegten Behandler*innen nachfolgend die Daten lesen können? Befunde würden selbstverständlich die Qualifizierten elektronischen Signaturen der Behandler behalten, die sie erstellt haben. Die Fortgeschrittene elektronische Signatur des Versicherten, der über die Zugriffs­rechte darauf bestimmt hat, würde angehängt. Auf diese Weise könnten Versicherte Leseberechti­gungen für ihre Daten unabhängig von den Ausbau- und Berechtigungsstufen der elektronischen Patientenakte erteilen.

Wie sich trotz Selbstausbeutung und Selbstausleuchtung ein Gefühl subjektiver Freiheit aufrecht erhalten lässt, untersucht Thomas Noetzel in seinem Buch »Authentizität als politisches Problem«. An dessen Schluss schreibt er:

»Gleichwohl wird an der Behauptung der unvermeidlichen Authentizität festgehalten, denn diese markiert für die Individuen die Übersetzung der Gefahr der Unterwerfung in das Risiko der Zustim­mung zur Unterwerfung in Form des Gesellschaftsvertrages. Luhmanns Unterscheidung von Risiko und Gefahr verdeutlicht diesen Zusammenhang. Selbstzurechnungen möglicher Schäden gelten als Risiken, Fremdzurechnungen als Gefahren. Eigenverursachte Schäden werden zu Risikokalkulationen, fremdverursachte zu bedrohlichen Gefahren. Diese Transformation von Gefahren in Risiken ist die Bedingung der Möglichkeit von legitimer Herrschaft schlechthin und heißt Selbstbestimmung.«

Nach Fertigstellung seiner Ballade »Die Bürgschaft« schrieb Friedrich Schiller an Johann Wolfgang von Goethe: »Ich bin neugierig ob ich alle Hauptmotive, die in dem Stoffe lagen, glücklich heraus­gefunden habe. Denken Sie nach ob Ihnen noch eines beifällt; es ist dieß einer von den Fällen, wo man mit einer großen Deutlichkeit verfahren und beinahe nach Principien erfinden kann.«

 

Titelbild:  eigene Fotomontage
Bildquellen:  Donald W. Winnicott (Google) und Security Key (Wikimedia Commons)
Digitale Signatur und Telematikinfrastruktur

Beitragsnavigation