{"id":37684,"date":"2022-03-10T17:53:44","date_gmt":"2022-03-10T16:53:44","guid":{"rendered":"http:\/\/iuzb.de\/?p=37684"},"modified":"2022-03-11T17:22:35","modified_gmt":"2022-03-11T16:22:35","slug":"stellungnahme-von-secunet-konnektoren-speichern-praxisdaten","status":"publish","type":"post","link":"https:\/\/iuzb.de\/?p=37684","title":{"rendered":"Stellungnahme von secunet &#8211; Konnektoren speichern Praxisdaten"},"content":{"rendered":"<p style=\"text-align: justify;\"><strong>Stellungnahme der secunet Security Networks AG zur Bewertung des Auftretens von Zertifikatsseriennummern einer elektronischen Gesundheitskarte in Konnektor-Logs (siehe Berichterstattung in c\u2019t Ausgabe 6\/2022)<\/strong><\/p>\n<p style=\"text-align: justify;\">Stand: 25. Februar 2022<\/p>\n<p style=\"text-align: justify;\">W\u00e4hrend des Betriebs des secunet konnektors (im Folgenden \u201eKonnektor\u201c) m\u00fcssen nach den Spezifikationen der gematik eine Vielzahl von Zertifikaten gepr\u00fcft werden. Dies umfasst unter anderem die Zertifikate der eGK (elektronische Gesundheitskarte).<\/p>\n<p style=\"text-align: justify;\">Schl\u00e4gt die Online-Pr\u00fcfung der Zertifikate fehl, so wird im Konnektor ein Log-Eintrag erzeugt, der auch die Seriennummer des jeweiligen Zertifikats enth\u00e4lt.<\/p>\n<p style=\"text-align: justify;\">Diese Eintr\u00e4ge werden auf der Festplatte des Konnektors nach den Vorgaben der gematik dauerhaft gespeichert. Der Konnektor verf\u00fcgt deshalb \u00fcber eine Speichergr\u00f6\u00dfe f\u00fcr Protokolldateien, so dass Eintr\u00e4ge (protokollierte Ereignisse ab der Schwere \u201eWarning\u201c) \u00fcber einen Zeitraum von bis zu einem Jahr darin vorgehalten werden k\u00f6nnen.\u00a0 Die Speicherung erfolgt rollierend. \u00dcbersteigt die Anzahl der Eintr\u00e4ge gewisse Grenzen, so werden \u00e4ltere Eintr\u00e4ge \u00fcberschrieben.<\/p>\n<p style=\"text-align: justify;\">Auf diese Weise k\u00f6nnen Leistungserbringer-Institutionen wie Arztpraxen oder Krankenh\u00e4user oder deren Dienstleister fehlgeschlagene Zertifikatspr\u00fcfungen \u00fcber die vielen Zertifikatstypen hinweg nachvollziehen und die Ursachen beheben, um einen reibungslosen Betrieb zu erm\u00f6glichen. Nur diese haben dabei Zugriff auf diese Daten \u00fcber die GUI des Konnektors oder \u00fcber eine REST-Schnittstelle.<\/p>\n<p style=\"text-align: justify;\">Hinsichtlich der Zertifikate der eGK kann dabei nach Auffassung von secunet nur theoretisch und indirekt \u2013 \u00fcber mehrere Stufen, die nicht miteinander kommunizieren d\u00fcrfen \u2013 von der Seriennummer des eGK-Zertifikats in den Konnektor-Logs auf den Inhaber der eGK geschlossen werden. Die Seriennummer des eGK-Zertifikats kann ausschlie\u00dflich von den zertifikatsausgebenden Trust Service Providern (TSP) aufgel\u00f6st werden. Damit w\u00fcrde sich ein TSP allerdings rechtswidrig verhalten. Der TSP wiederum hat praktisch und rechtlich keine Zugriffsm\u00f6glichkeit auf die gegenst\u00e4ndlichen Konnektor-Logs. Nur die Leistungserbringer-Institutionen und von ihnen beauftragte Dienstleister k\u00f6nnen auf Konnektor-Protokolle zugreifen. Da die Seriennummern keine Information dar\u00fcber enthalten, welcher TSP Zertifikatsherausgeber ist, besteht hier neben der rechtlichen Unzul\u00e4ssigkeit ein weiterer tats\u00e4chlicher Schutzmechanismus, um eine Zuordnung durch die Leistungserbringer auszuschlie\u00dfen.<\/p>\n<p style=\"text-align: justify;\">Aus diesen Gr\u00fcnden sind nach Auffassung von secunet die Zertifikats-Seriennummern nicht als personenbezogene Daten zu werten. Daher liegt weder ein Versto\u00df gegen die Spezifikationen noch gegen geltende Datenschutzbestimmungen vor.<\/p>\n<p style=\"text-align: justify;\">Ungeachtet dieser Auffassung wird secunet dem Wunsch der gematik entsprechen und die Protokollierung der Seriennummer des Zertifikats der eGK derart anpassen, dass die Seriennummern nicht mehr aus den Logs ermittelt werden k\u00f6nnen. Dies gilt auch f\u00fcr historische Seriennummern.<\/p>\n<p style=\"text-align: justify;\">In den Werkseinstellungen wird nur im Fall, dass eine gesperrte eGK verwendet wird, die Seriennummer des Krypto-Zertifikats im Protokoll gespeichert. Durch \u00c4nderung des Loglevels auf FATAL kann auch f\u00fcr diesen Fehlerfall sofort ohne Firmwareupdate die Protokollierung der Seriennummer unterbunden werden.<\/p>\n<p style=\"text-align: justify;\">Des Weiteren weist secunet im Zusammenhang mit den Aussagen der c\u2019t (Ausgabe 6\/2022) zur Protokollierung der ICCSN darauf hin, dass diese gem\u00e4\u00df TIP1-A_4710 im Fehlerfall durch Fachmodule in Protokolleintr\u00e4gen ausdr\u00fccklich gespeichert werden darf. Diese Protokolleintr\u00e4ge werden im Einklang mit den Spezifikationen der gematik nach 30 Tagen unwiderruflich gel\u00f6scht.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Stellungnahme der secunet Security Networks AG zur Bewertung des Auftretens von Zertifikatsseriennummern einer elektronischen Gesundheitskarte in Konnektor-Logs (siehe Berichterstattung in c\u2019t Ausgabe 6\/2022) Stand: 25. Februar 2022 W\u00e4hrend des Betriebs [&#8230;]<\/p>\n","protected":false},"author":8,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"iawp_total_views":2,"footnotes":""},"categories":[252],"tags":[],"class_list":["post-37684","post","type-post","status-publish","format-standard","hentry","category-telematik"],"_links":{"self":[{"href":"https:\/\/iuzb.de\/index.php?rest_route=\/wp\/v2\/posts\/37684","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/iuzb.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/iuzb.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/iuzb.de\/index.php?rest_route=\/wp\/v2\/users\/8"}],"replies":[{"embeddable":true,"href":"https:\/\/iuzb.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=37684"}],"version-history":[{"count":6,"href":"https:\/\/iuzb.de\/index.php?rest_route=\/wp\/v2\/posts\/37684\/revisions"}],"predecessor-version":[{"id":37690,"href":"https:\/\/iuzb.de\/index.php?rest_route=\/wp\/v2\/posts\/37684\/revisions\/37690"}],"wp:attachment":[{"href":"https:\/\/iuzb.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=37684"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/iuzb.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=37684"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/iuzb.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=37684"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}