wie ist denn aktuell der Stand der Sektoralen Identity Provider? Ich habe bisher nur in den Vorabveröffentlichungen überhaupt was davon gelesen. Gibt es da eine Roadmap wann das förderierte Identitätsmanagement laufen muss? Aktuell gibt es ja nur den Identity Provider, welcher auch für das eRezept verwendet wird, aber hierzu ist für Versicherte die NFC-fähige eGK und der PIN nötig. Nach meinem Verständnis kann man sich als Versicherter förderierten Identitätsmanagement mit der Identität der Krankenkasse, also z.B. Zugangsdaten, anmelden. Habe ich das so richtig verstanden? Die eGK+PIN Identifizierung scheint ja nur so semi gut zu klappen, wenn man sich mal die Bewertungen der eRezept App im PlayStore anschaut. Hier ist durchweg von Abbrüchen der NFC Verbindung die Rede.
Föderierte Identityprovider kommen mit den digitalen Identitäten, die der Gesetzgeber für die Versicherten für 2023, für die Leistungserbringer für 2024 vorgesehen hat.
Die Vorabveröffentlichung der gematik ist ein Vorgriff darauf, um diese Technik für das eRezept nutzen zu können. Hier hat der Gesetzgeber nämlich festgelegt, dass die gematik dafür sorgen muss, dass ein Versicherte ab dem 01.01.22 auch ohne eGK auf seine eRezepte zugreifen können muss.
Was nun getan wird ist, das Kassen eine vorläufigen Identityprovider aufbauen können, der die sogenannte "Alternative Versichertenidentität" (kurz al.vi) der ePA akzeptiert und so ein Versicherten-Authentisierungstoken für die eRezept-App erstellen kann.
Im Zuge der später kommenden "digitalen Identitäten" werden die Identityprovider dann auch andere Authentisierungsmittel akzeptieren. Welche das sein werden ist bislang nicht bekannt. Hier scheinen sich gematik und BSI noch zu streiten: BSI beharrt auf hardwaregestützten Schlüsselspeichern für die kryptografische Identität (Smartcard, fidoToken mit cc-zertifiziertem Sicherheitschip, Smartphone mit cc-zertifiziertem Sicherheitschip [also nur das S20 von Samsung]), gematik will es auch für nicht-zertifizierte "sichere" Schlüsselspeicher ermöglichen. "Username mit Passwort" wird in jedem Fall nicht dazu gehören 😉
Das bedeutet man erlaubt jetzt unsicherere Identitäten für den Zugriff auf die ePA, als auf das eRezept? Das ergibt für mich keinen Sinn.
Ich habe bei der TK meine ePA nur mittels Benutzername und Passwort geschützt. Ja, die ist auf mein Smartphone gebunden, aber das ist kein S20 mit BSI zertifizierten Chip.
Auf jeden Fall ist eine Alternative dringend nötig, denn mit den NFC Karten scheint das nur so semi gut zu funktionieren, geschweige denn, dass ich immer noch keine PIN dafür habe und auch keinen kenne, der eine besitzt. Alles andere als Smartphone, was man besitzen muss, wäre meiner Meinung nach zum scheitern verurteilt, daher hoffe ich, dass man das auch ohne BSI Chip hinbekommt, denn sonst sind das wieder Jahre die ins Land gehen, bis überhaupt jemand ein Handy mit passendem Chip besitzt.
Zitat von dhpvs im Beitrag #4Das bedeutet man erlaubt jetzt unsicherere Identitäten für den Zugriff auf die ePA, als auf das eRezept? Das ergibt für mich keinen Sinn.
Schönen Gruß an den Gesetzgeber. Alles, was die TI und ihre Anwendungen betrifft, ist im SGB V geregelt - inklusive der Authentisierungsmethoden und ihrem Sicherheitsniveau. Für die ePA hatte der Gesetzgeber sinnvollerweise zusätzlich zur eGK ein alternatives Verfahren mit (etwas) geringerer Sicherheit erlaubt. Für das eRezept hat er das leider vergessen.🤷♂️ Dort wird zwar für die eRezept-App eine Alternative zur eGK gefordert, aber keine Absenkung des Sicherheitsniveaus erlaubt (nach meiner Kenntnis). Egal, die gematik hat nun aber ein Verfahren gestattet, bei dem der Nutzer seine ePA-Anmeldung für das eRezept nachnutzen kann (also ein Login in der ePA-App für die eRezept-App nachgenutzt werden kann). - Also doch das gleiche Sicherheitsniveau wie bei der ePA, da das selbe Verfahren. Ist zwar gesetzlich so nicht geregelt aber die gematik war mal mutig 😉
Zitat von dhpvs im Beitrag #4Ich habe bei der TK meine ePA nur mittels Benutzername und Passwort geschützt. Ja, die ist auf mein Smartphone gebunden, aber das ist kein S20 mit BSI zertifizierten Chip.
"Nur" Benutzername & Passwort erscheint nur so. Tatsächlich läuft da eine 2FA-Authorisierung, der 2. Faktor ist eben die Bindung an das Smartphone, die im Hintergrund verwendet wird (daher müssen neue Geräte erst "angemeldet" werden, sprich per Mailfreigabe bestätigt werden). Und ja, diese Bindungen haben nichts mit zertifizierten Chips zu tun. (s.o.)