Gemäß der Heilberufsgesetze der Bundesländer sind die Ärztekammern Herausgeber der elektronischen Heilberufsausweise (eHBA), die integraler Bestandteil der geplanten Telematik-Infrastruktur sind. Die Grundlagen der Telematik-Infrastruktur sind im Wesentlichen im Sozialgesetzbuch V niedergelegt und im Rahmen mehrerer Gesetze (e-Health-Gesetz, DVG 1 und DVG 2) genauer ausgestaltet worden.
Zur Herausgabe der Ausweise bedienen sich die Ärztekammern sogenannter Vertrauensdiensteanbieter, die die Karten erzeugen und dann an die Ärzte ausgeben. Aktuell gibt es vier Anbieter von eHBA, die Firmen medisign, T-Systems, SHC-GmbH und die D-Trust-GmbH (Bundesdruckerei).
Im Dezember 2019 hat sich der Chaos Computer Club Komponenten beschafft, die den Zugang zur Telematik-Infrastruktur ermöglichen, ohne jeweils dazu autorisiert gewesen zu sein. Unter anderem auch einen elektronischen Heilberufsausweis. Insbesondere konnte dabei durch Änderung der Lieferanschrift der bestellte Ausweis an eine andere Adresse versendet werden. Nach Bekanntwerden dieses Vorfalls wurde die Ausgabe von eHBA ausgesetzt und das Herausgabeverfahren auf Schwachstellen überprüft. Als Konsequenz wurden unter anderem zwei Identverfahren aus dem Antragsprozess ausgeschlossen, die der Identifizierung des Arztes dienen. Hierbei handelt es sich um das BankIdent-Verfahren und das Kammer-Ident-Verfahren, bei denen es möglich war, eine zeitversetzte Identifizierung des Arztes vorzunehmen.
Beide Identverfahren wurden von der Landesärztekammer Hessen (LÄKH) seit jeher als kritisch angesehen. Deshalb hatte sich die LÄKH seinerzeit gegen die Einführung des KammerIdent-Verfahrens in Hessen entschieden.
Folgende Maßnahmen sind festzuhalten, die als Konsequenz aus dem Sicherheitsvorfall getroffen wurden:
1. Es ist nur noch PostIdent als Identverfahren möglich.
2. Es gibt nicht mehr die Möglichkeit, die Anschrift für den Versand des eHBA auszuwählen. Der Versand erfolgt immer an die Meldeanschrift des Arztes.
3. Eine Identifikation des Arztes ist bei jeder Antragstellung erforderlich, also auch bei Anträgen auf Folgekarten.
Mittlerweile wurde nach diesen Änderungen die Herausgabe von eHBA wieder aufgenommen. In Hessen ist es derzeit nur möglich, G0-eHBA über den Vertrauensdiensteanbieter medisign zu bestellen. Auch hat die Landesärztekammer Hessen nach dem oben erwähnten Vorfall ihre eigenen Prozesse im Rahmen des Herausgabeverfahrens überprüft, um sicherzustellen, dass es von unserer Seite aus keine Möglichkeit gibt, als Nichtarzt einen eHBA zu erlangen.
Im Nachhinein zeigt sich, dass die kritische und zurückhaltende Haltung der Hessischen Ärzteschaft gegenüber der derzeitigen Ausgestaltung der Telematik-Infrastruktur der richtige Weg war. Seit Beginn der Herausgabe von eHBA im Dezember 2016 haben nur ca. 250 hessische Ärztinnen und Ärzte einen eHBA bestellt.
Dies ist wahrscheinlich dem Umstand geschuldet, dass für die Ausübung der ärztlichen Tätigkeit derzeit kein eHBA benötigt wird. Die Anwendungen werden nur schleppend eingeführt und es ist gibt derzeit keinen Anlass, sich für den Erwerb eines eHBA zu entscheiden. Dessen ungeachtet wird die Landesärztekammer Hessen im Laufe der nächsten Monate auch Verträge mit den drei anderen Vertrauensdiensteanbietern schließen, um hessischen Ärztinnen und Ärzten auch dort die Bestellung eines eHBA zu ermöglichen. Über weitere Entwicklungen zu diesem Thema werden wir Sie über das Hessische Ärzteblatt und die Webseite der LÄKH zeitnah auf dem Laufenden halten.
Ralf Münzing, Leitung IT, LÄK Hessen