TI 2.0: Gematik setzt bei Gesundheits-Sicherheit auf Zero Trust, beauftragt EY

Die für die Digitalisierung des Gesundheitswesens zuständige Gematik vergibt an EY Consulting den Auftrag zur Umsetzung „der zentralen Zero-Trust-Software-Komponenten“ für die Zero-Trust-Architektur der TI 2.0. Damit wird ein Sicherheitsansatz verfolgt, bei dem grundsätzlich kein Zugriff auf Systeme und Daten als vertrauenswürdig gilt – auch nicht aus dem eigenen Netzwerk heraus, gemäß dem Motto „Vertraue niemandem, prüfe alles“. Entstehen soll eine robustere, flexiblere und nutzerfreundlichere TI (Telematikinfrastruktur), die den hohen Anforderungen an Datenschutz und IT-Sicherheit im deutschen Gesundheitswesen gerecht wird.

Jeder Zugriff auf die TI – unabhängig von Nutzer, Gerät oder Standort – soll demnach verifiziert werden. In der Theorie verspricht das mehr Schutz für sensible Gesundheitsdaten. Die praktische Umsetzung in einem hochkomplexen System wie der TI ist nicht ohne Herausforderungen – insbesondere, was Nutzerfreundlichkeit und reibungslosen Betrieb betrifft.

Proof of Patient Presence

Ab Mitte 2026 soll die neue Architektur genutzt werden – zunächst im Rahmen des Versichertenstammdatenmanagements 2.0 (VSDM 2.0) und mit dem bereits angekündigten „Proof of Patient Presence“ (PoPP), das etwa durch eine Prüfung der Anwesenheit des Versicherten für mehr Sicherheit bei Zugriffen auf die ePA sorgen soll. „Der Proof of Patient Presence ist der digitale Nachweis darüber, dass sich Versicherte zum Zeitpunkt des Zugriffs auf eine TI-Anwendung – wie z.B. auf die elektronische Patientenakte (ePA) – tatsächlich in einer medizinischen Versorgungssituation befinden“, heißt es von der Gematik.

Zuerst sollen medizinische Einrichtungen wie Arztpraxen und Apotheken auf die neue Architektur umsteigen, später sollen auch Versicherte über mobile Geräte sicheren Zugang erhalten, etwa zur GesundheitsID. Die vollständige Umstellung aller TI-Dienste ist laut Gematik bis 2029 vorgesehen.

Interessant ist, wie gut bestehende Systeme der Leistungserbringer mit den neuen Komponenten harmonieren werden. Zwar sollen Praxisverwaltungssysteme und Versicherten-Apps weiterverwendet werden können, doch die technische Realität könnte für weiteren Anpassungsbedarf sorgen.

(mack)