Informationsbroschüre „G2 Karten“

Einführung der elektronischen Gesundheitskarte
Informationsbroschüre
„G2 Karten“
Version:
1.0.0
Stand:
23.07.2012
Status:
freigegeben
Klassifizierung:
öffentlich
Referenzierung: [gemInfo_G2_Karten]
Autor:
Vergabeteam
Seite 1 von 8
Version: 1.0.0
© gematik - öffentlich
Stand: 23.07.2012
Informationsbroschüre „G2 Karten“
Dokumentinformationen
Dokumentenhistorie
Version Stand
1.0.0
23.07.2012
Kap. Grund der Änderung, besondere Hinweise Bearbeitung
Freigegeben durch den Lenkungsausschuss
der gematik am 23.07.2012
gematik
Seite 2 von 8
Version: 1.0.0
© gematik - öffentlich
Stand: 23.07.2012
Informationsbroschüre „G2 Karten“
1. Ausgangssituation und Rahmenbedingungen
Zur Sicherstellung des erforderlichen Schutzes von (Sozial-)Daten und Verfahren in der
Telematikinfrastruktur sind langfristig geeignete Kryptoverfahren einzusetzen. Um mit den
im Gesundheitswesen eingesetzten Chipkarten (insbesondere eGK, HBA und SMC) diese
Anforderungen erfüllen zu können, ist eine neue Generation von Chipkarten („G2“) und
damit korrespondierender Zertifikatsinfrastrukturen durch die gematik bereitzustellen.
In Generation 2 basieren alle im Gesundheitswesen eingesetzten Karten auf einer
gemeinsamen Betriebssystemplattform. Die in den Losen 1 und 2 ausgeschriebene
Entwicklung und Bereitstellung von Kartenbetriebssystemen (COS) stellt sicher, dass alle
bekannten Kartentypen (eGK, HBA, SMC-B, gSMC-K und gSMC-KT) auf der Basis der
ausgeschriebenen COS konfiguriert und personalisiert werden können und für die
Erprobung Online-Rollout (Stufe 1) sowie den Produktivbetrieb zur Verfügung stehen.
2. Ausschreibungsgegenstand
Insoweit führt die gematik als Auftraggeber und verantwortliche Vergabestelle das
vorliegende Vergabeverfahren durch. Diese Ausschreibung für die „G2 Karten“ wird in
verschiedene Lose unterteilt. Die Beauftragung erfolgt auf Basis einer
Rahmenvereinbarung.
2.1 Lose 1 & 2
Auf die Lose 1 und 2 entfällt die Entwicklung eines Kartenbetriebssystems (Card
Operating System – COS). Bestandteil der Lose 1 und 2 ist jeweils auch die Konfiguration
und die Herstellung geeigneter Objektsysteme, für die der COS-Entwickler die
Verantwortung trägt. Die zur Angebotsabgabe aufgeforderten Bewerber (Bieter) haben
jeweils zwei Hauptangebote unter Einbeziehung von zwei von einander verschiedenen
Prozessorchipherstellern abzugeben. Bewirbt sich ein Unternehmen sowohl auf Los 1 als
auch auf Los 2, so kann der Zuschlag auf nur ein Los erfolgen (Zuschlagslimitierung). Die
Bewerber können sich auf beide Lose oder nur auf ein Los bewerben. In jedem Fall erhält
das wirtschaftlichste Angebot den Zuschlag auf ein Los (Los 1) und das
nächstbestplatzierte Angebot eines anderen Bieters den Zuschlag auf das andere Los
(Los 2), wenn der Prozessorchiphersteller nicht mit dem des Erstplatzierten identisch ist.
In diesem Fall erhält das Angebot den Zuschlag auf Los 2, welches gleichzeitig ein nicht
mit dem Erstplatzierten identischen Prozessorchiphersteller enthält und dabei das dann
wirtschaftlichste Angebot ist.
i. Entwicklung Kartenbetriebssystem
Ein einheitliches COS ist Grundlage für alle in der Telematikinfrastruktur eingesetzten
Chipkarten. Auf der Grundlage einer vom Auftraggeber zusammen mit den
Vergabeunterlagen bereitgestellten Spezifikation ist auf jeweils einem Prozessorchip ein
anforderungskonformes Betriebssystem in einer Maximalausprägung zu entwickeln.
Wesentliche Eigenschaften der Maximalausprägung des COS sind die verpflichtende
Unterstützung von kontaktbehafteter und kontaktloser Schnittstelle, von mind. 4 logischen
Kanälen sowie der sog. Kryptobox. Die USB-Protokollschnittstelle kann optional, muss
Seite 3 von 8
Version: 1.0.0
© gematik - öffentlich
Stand: 23.07.2012
Informationsbroschüre „G2 Karten“
aber nicht zwingend unterstützt werden. Das Betriebssystem ist nach Common Criteria
(CC) gemäß einem vom BSI zu erstellenden Protection Profile (PP) zu evaluieren. Auf der
Grundlage dieses COS muss auch die qualifizierte elektronische Signatur signaturgesetzbzw. signaturverordnungskonform (SigG/SigV) zu implementieren sein. Neben dem
spezifischen COS Protection Profile ist somit auch das Protection Profile zur QES (BSIPP-0059) in seinen für Chip und COS relevanten Anteilen zu berücksichtigen.
Daneben ist ein anforderungskonformes Betriebssystem in einer Basisausprägung zu
entwickeln. Gegenüber der Maximalausprägung entfällt die Unterstützung der
kontaktlosen Schnittstelle, die Implementierung mehrerer logischer Kanäle sowie der sog.
Kryptobox. Die Basisausprägung ist nicht für die Implementierung einer qualifizierten
elektronischen Signatur vorgesehen. Das Betriebssystem ist nach Common Criteria (CC)
gemäß einem vom BSI zu erstellenden Protection Profile (PP) zu evaluieren.
Die entwickelten Kartenbetriebssysteme müssen den Zulassungsprozess der gematik
durchlaufen, hierfür sind Testlaborkarten vom Auftragnehmer bereitzustellen.
Der Auftragnehmer hat darüber hinaus Serviceleistungen (Wartung/Pflege) für die zu
erstellenden Kartenbetriebssysteme für 3 Jahre mit einer einseitigen Verlängerungsoption
zugunsten der gematik zu erbringen.
Der Auftraggeber wird Nutzungsrechte an den zu erstellenden Kartenbetriebssystemen
zum Zwecke des Aufbaus und Betriebs der Telematikinfrastruktur einräumen und
weitergeben. Einzelheiten werden in den Vergabeunterlagen, insbesondere dem
Vertragswerk und der Leistungsbeschreibung geregelt.
ii. Bereitstellung von gSMC-K und gSMC-KT
Auf der Grundlage der unter i. genannten Maximalausprägung des COS sind nach den
Vorgaben des Auftraggebers je Los 1 und 2 ca. 1.000 gerätespezifische
Sicherheitsmodule für Konnektor (gSMC-K) und ca. 2.000 gerätespezifische
Sicherheitsmodule für Kartenterminals (gSMC-KT) zu konfigurieren und an die
Unternehmen, die den Zuschlag für die Lose 1 und 2 in der Ausschreibung „Online Rollout
Stufe 1“ erhalten haben, zu liefern. Ebenso gehören zum Lieferumfang die für die
Einbindung der Karten in CA-Systeme erforderlichen
Softwarebibliotheken. Die
Beauftragung weiterer Chipkarten bleibt vorbehalten. Die Konfiguration muss den
Zulassungsprozess der gematik durchlaufen, hierzu sind Testlaborkarten vom
Auftragnehmer bereitzustellen.
Zur Unterstützung von Anwendungstests hat der Auftragnehmer weitere ca. 1.500
Musterkarten gSMC-K und weitere ca. 1.500 Musterkarten gSMC-KT zu einem möglichst
frühen Zeitpunkt, unabhängig vom abgeschlossenen Zulassungstest der gematik,
bereitzustellen. Für diese Musterkarten stellt der Auftraggeber die notwendigen
Personalisierungsdaten zur Verfügung.
iii. Bereitstellung von eGK, HBA und SMC-B
Auf der Grundlage der unter i. genannten Maximalausprägung des COS sind nach den
Vorgaben des Auftraggebers je Los 1 und 2 ca. 1.000 HBA und ca 1.050 SMC-B zu
konfigurieren. Die HBA und SMC-B sind an die Unternehmen, die den Zuschlag für die
Lose 3 & 4 dieses Vergabeverfahrens erhalten haben, zu liefern. Ebenso gehören zum
Lieferumfang die für die Einbindung der Karten in CA-Systeme erforderlichen
Softwarebibliotheken. Die Beauftragung weiterer Chipkarten bleibt vorbehalten. Die
Konfigurationen müssen den Zulassungsprozess der gematik durchlaufen, hierzu sind
Seite 4 von 8
Version: 1.0.0
© gematik - öffentlich
Stand: 23.07.2012
Informationsbroschüre „G2 Karten“
Testlaborkarten vom Auftragnehmer bereitzustellen. Die Konfiguration des HBA muss
darüber hinaus eine Bestätigung nach Signaturgesetz/Signaturverordnung haben.
Zur Unterstützung von Anwendungstests hat der Auftragnehmer weitere jeweils ca. 1.500
Musterkarten der Typen HBA und SMC-B und weitere ca. 750 eGK unter Verwendung der
unter i. genannten Maximalausprägung des COS sowie weitere ca. 750 eGK unter
Verwendung der unter i. genannten Basisausprägung des COS zu einem möglichst
frühen Zeitpunkt, unabhängig vom abgeschlossenen Zulassungstest der gematik,
bereitzustellen. Für diese Musterkarten stellt der Auftraggeber die notwendigen
Personalisierungsdaten zur Verfügung.
2.2 Lose 3 & 4
Auf die Lose 3 und 4 entfällt jeweils die Bereitstellung von PKI-Produkten und
-Dienstleistungen für den Test- und Wirkbetrieb sowie die Personalisierung von HBA und
SMC-B sowie die Bereitstellung von Zertifikaten für funktional gleichwertige HSM-B für die
Erprobung im Online-Rollout (Stufe 1). Bewirbt sich ein Unternehmen sowohl auf Los 3
also auch auf Los 4, so kann der Zuschlag auf nur ein Los erfolgen (Zuschlagslimitierung).
Die Bewerber können sich auf beide Lose oder nur auf ein Los bewerben. In jedem Fall
erhält das wirtschaftlichste Angebot den Zuschlag auf Los 3 und das nächstbestplatzierte
Angebot eines anderen Bieters den Zuschlag auf Los 4.
i. X.509
Es ist in der Test- und in der Produktivumgebung je eine Instanz für einen Trust Service
Provider (TSP) für die Herausgabe und Bereitstellung von Zertifikaten der Kartentypen
HBA (QES und nonQES) und SMC-B an die Akteure des deutschen Gesundheitswesens
nach den Vorgaben des Auftraggebers vom Auftragnehmer bereitzustellen. Es wird darauf
hingewiesen, dass für den auf die Erprobungsphase Online-Rollout (Stufe 1) folgenden
Produktivbetrieb eine weitere Zulassung der jeweils zuständigen Sektoren erforderlich
sein wird. Für den Kartentyp eGK ist in der Testumgebung eine Instanz für einen Trust
Service Provider (TSP) für die Herausgabe und Bereitstellung von Zertifikaten nach den
Vorgaben des Auftraggebers vom Auftragnehmer bereitzustellen. Die Aufgaben des TSP
umfassen insbesondere auch die Bereitstellung und den Betrieb von OCSP-Respondern
incl. der notwendigen Netzwerkanbindungen. Die Vorgaben des Signaturgesetzes und der
Signaturverordnung sind für den Bereich der qualifizierten Signaturzertifikate vom
Auftragnehmer zu beachten.
Zur Unterstützung der Beantragung und des Herausgabeprozesses von HBA und SMC-B
ist nach den Vorgaben des Auftraggebers eine Schnittstelle bereitzustellen, die die
Anforderungen der Sektoren berücksichtigt. Aufbau und Betrieb der dafür notwendigen
Serverkomponenten in der Test- und in der Produktivumgebung sind vom Auftragnehmer
zu übernehmen.
Optional ist vom Auftragnehmer nach den Vorgaben des Auftraggebers in der Test- und in
der Produktivumgebung je eine Instanz einer X.509-Root für die nonQES-Zertifikate der in
diesem Dokument genannten Kartentypen bereitzustellen.
ii. Personalisierung von HBA
Auf der Grundlage der in Los 1 und 2 konfigurierten HBA, der im Los 5 bereitgestellten
CVC-PKI und der in den Ziffer i. der Lose 3 und 4 aufgebauten PKI sind jeweils ca. 1.000
Seite 5 von 8
Version: 1.0.0
© gematik - öffentlich
Stand: 23.07.2012
Informationsbroschüre „G2 Karten“
HBA für die Erprobung im Online-Rollout (Stufe 1) zu personalisieren. Die betroffenen
Heilberufler (Ärzte, Psychotherapeuten und Zahnärzte) werden vom Auftraggeber
benannt. Der HBA ist Träger eines qualifizierten elektronischen Signaturzertifikates,
hierzu sind die Vorgaben des Signaturgesetzes und der Signaturverordnung vom
Auftragnehmer zu beachten. HBA dürfen nur an Heilberufler ausgegeben werden, es sind
die sektorspezifischen Ausgaberegeln zu beachten. Im Vorfeld der Personalisierung muss
der Auftragnehmer für den jeweiligen Heilberufler u.a. die Bestätigung des Status durch
die zuständige Berufskammer einholen.
iii. Personalisierung von SMC-B
Auf der Grundlage der in Los 1 und Los 2 konfigurierten SMC-B, der im Los 5
bereitgestellten CVC-PKI und der in den Ziffer i. der Lose 3 und 4 aufgebauten PKI sind
jeweils ca. 1.000 SMC-B für die Erprobung im Online-Rollout (Stufe 1) zu personalisieren.
Die betroffenen Krankenhäuser, Vertragsärzte, Vertragspsychotherapeuten und
Vertragszahnärzte werden vom Auftraggeber benannt. SMC-B dürfen nur an Berechtigte
ausgegeben werden, es sind die sektorspezifischen Ausgaberegeln zu beachten. Im
Vorfeld der Personalisierung muss u.a. die Bestätigung des Status durch die zuständige
Institution (DKTIG für Krankenhäuser, Kassenärztliche Vereinigung bzw. KV Telematik
ARGE, Kassenzahnärztliche Vereinigung) vom Auftragnehmer eingeholt werden. Für die
Einbringung in HSM-B sind vom Auftragnehmer nach den Vorgaben des Auftraggebers
Zertifikate zu erstellen und zu liefern.
Weiterhin sind ca. 50 SMC-B als Verifikationskarten-KTR (RSA-CV-Profil 8 bzw.
entsprechende Flagliste für ECC-CV) für Kostenträger nach den Vorgaben des
Auftraggebers zu personalisieren. Verifikationskarten unterscheiden sich von SMC-B
durch das Fehlen von X.509-Zertifikaten, es erfolgt keine Zuordnung zu einer Person. Die
Empfänger der Verifikationskarte-KTR werden durch den GKV-Spitzenverband benannt
und dem Personalisierer mitgeteilt. Der Ausgabeprozess ist mit dem GKV-Spitzenverband
unter Berücksichtigung der bestehenden Sicherheitsrichtlinie für Verifikationskarten-KTR
abzustimmen.
2.3 Los 5 - Bereitstellung von PKI-Dienstleistungen (CVC-Root)
In Los 5 wird die Bereitstellung von CVC-Produkten und -Dienstleistungen für den Testund Wirkbetrieb ausgeschrieben.
Es ist je eine Instanz einer CVC-Root in der Test- und in der Produktivumgebung nach
den Vorgaben des Auftraggebers vom Auftragnehmer bereitzustellen. Die Root muss
ELC-Kryptographie mit Schlüssellängen von 256, 384 und 512 Bit unterstützen. Weiterhin
stellt der Auftragnehmer nach den Vorgaben des Auftraggebers zwei CVC-CA (eine für
CV-Zertifikate der eGK und eine für CV-Zertifikate aller anderen Kartentypen) der zweiten
Ebene jeweils in der Test- und in der Produktivumgebung bereit.
Die auszustellenden produktiven EE-CVC sind an die Unternehmen, die den Zuschlag für
die Lose 3 & 4 dieses Vergabeverfahrens erhalten haben, zu liefern.
Seite 6 von 8
Version: 1.0.0
© gematik - öffentlich
Stand: 23.07.2012
Informationsbroschüre „G2 Karten“
Anhang - Glossar
Erläuterungen der Fachbegriffe zur TI sind zu finden im Glossar der gematik, veröffentlicht
unter
http://www.gematik.de/cms/de/spezifikation/erlaeuterungen_nutzer/glossar/glossar.jsp.
Hinweise auf die Testregionen finden sich unter
http://www.gematik.de/cms/de/gematik/partner/testregionen/testregionen_1.jsp.
Nachfolgend werden die im Dokument verwendeten Abkürzungen sowie einige, für das
Verständnis wesentliche, weitere Begriffe erläutert:
Begriff
Erläuterung
BSI
Bundesamt für Sicherheit in der Informationstechnik
CC
Common Criteria
CVC
Card Verifiable Certificate
DKG
Deutsche Krankenhausgesellschaft
DKTIG
Deutsche Krankenhaus TrustCenter und Informationsverarbeitung GmbH
eGK
Elektronische Gesundheitskarte
Erprobung /
Erprobungsphase
Die Erprobungsphase ist ein Teil der Einführungsphase der
Telematikinfrastruktur und bietet eine vorgezogene Erprobung des
Wirkbetriebs mit eingeschränkter Teilnehmerzahl und unter Verwendung von
Echtdaten. Ziel dieser Phase ist die Prüfung der Betriebseignung unter realen
Bedingungen, so dass gravierende Betriebsprobleme bereits vor der
Aufnahme des Wirkbetriebs entdeckt und behoben werden können.
Die Erprobungsphase erfolgt in der Wirkbetriebsumgebung und sieht echte
Smartcards (z.B. eGK/HBA) und Versicherte vor, die nicht als Testteilnehmer
zu bezeichnen sind.
(siehe auch Pilot(Pilotbetrieb)
GKV
Gesetzliche Krankenversicherung
GKV-SV
Spitzenverband der Gesetzlichen Krankenversicherungen und Pflegekassen
HBA
Heilberufsausweis
HSM
Hardware-Sicherheits-Modul
KBV
Kassenärztliche Bundesvereinigung
KV
Kassenärztliche Vereinigung
KZBV
Kassenzahnärztliche Bundesvereinigung
KZV
Kassenzahnärztliche Vereinigung
OCSP
Online Certificate Status Protocol
Pilot / Pilotbetrieb
Der Pilotbetrieb ist Teil der Erprobungsphase, in dem für eine größere Anzahl
von Anwendern neue Funktionen bereit gestellt werden, die sie im gewohnten
Umfeld und ohne besondere Vorkenntnisse in Anspruch nehmen.
Ziel des Pilotbetriebs ist die Untersuchung des Betriebsverhaltens (z.B.
Wartung) und Lastverhaltens (z.B. Antwortzeitverhalten und Stabilität) der
neuen Funktionen und der damit verbundenen Infrastruktur. Voraussetzung für
den Pilotbetrieb sind stabile Entwicklungen und Umsetzungen, deren Reife in
Tests zuvor nachgewiesen werden konnten.
Seite 7 von 8
Version: 1.0.0
© gematik - öffentlich
Stand: 23.07.2012
Informationsbroschüre „G2 Karten“
Begriff
Erläuterung
Der Pilotbetrieb legt den Schwerpunkt nicht auf die Fehlerermittlung, wie z.B.
im Feldtest noch teilweise vorgesehen, sondern soll Erkenntnisse zur Stabilität
und Betreibbarkeit unter realen Bedingungen liefern. Trotzdem können
Erkenntnisse aus der Pilotbetriebsphase dazu führen, dass Anpassungen an
Komponenten, Diensten und Anwendungen notwendig sind.
PKI
Public Key Infrastruktur - zentrales Verzeichnis für die öffentlichen Schlüssel in
asymmetrischen Verschlüsselungsverfahren
PP
Protection Profile
Produktivbetrieb /
Produktivphase
Die Produktivphase der TI ist die finale Phase des Wirkbetriebs, in der allen
Anwendern die geplanten Anwendungen zur Verfügung gestellt werden und
für die der vollständige uneingeschränkte Betrieb vorgesehen ist. Alle
Komponenten und Dienste der TI und Fachanwendungen müssen in der
Produktivphase vollständig zugelassen sein.
QES
Qualifizierte elektronische Signatur gemäß Signaturgesetz
SGB
Sozialgesetzbuch
SigG
Signaturgesetz
SigV
Signaturverordnung
SMC-B
Security Module Card, Typ B - Authentifizierungskarte für Institutionen im
Gesundheitswesen mit Signaturschlüsseln
gSMC-K
Security Module Card (Konnektor)
gSMC-KT
Security Module Card (Kartenterminal)
Testbetrieb
Testbetrieb ist eine frühe Stufe im Lebenszyklus von Diensten und Services
der Gesundheitstelematik vor dem Wirkbetrieb und dient der Erprobung der
Implementation.
TestV
Verordnung über Testmaßnahmen für die Einführung der elektronischen
Gesundheitskarte in der Fassung der Bekanntmachung vom 23.09.2009
(BGBl. I S. 3162), zuletzt geändert durch Art. 1 Dritte ÄndVO vom 11.01.2011
(BGBl. I S. 39), wird alternativ auch kurz als RVO bezeichnet.
TI
Telematikinfrastruktur
Die Telematikinfrastruktur ist die bevorzugte Informations-, Kommunikationsund Sicherheitsinfrastruktur des deutschen Gesundheitswesens mit allen
technischen und organisatorischen Anteilen. Die Telematikinfrastruktur
vernetzt alle Akteure und Institutionen des Gesundheitswesens miteinander
und ermöglicht dadurch einen organisationsübergreifenden Datenaustausch
innerhalb des Gesundheitswesens. Die Telematikinfrastruktur unterstützt die
Anwendungen der Versicherten gemäß §291a SGB V und bildet darüber
hinaus die Plattform für weitere interoperable und kompatible ITAnwendungen im deutschen Gesundheitswesen. Die TI enthält die
Komponenten und Dienste der TI-Plattform, die Fachdienste und die
Fachmodule.
TSP
Organisation, welche einen oder mehrere (elektronische) Trust Services
anbietet
Wirkbetrieb
Der Wirkbetrieb ist die reguläre Betriebsphase, in der für Anwender die
geplanten Funktionen zur Verfügung gestellt werden und der Einsatz von
Echtdaten erfolgt. Voraussetzung für den Wirkbetrieb ist der Abschluss von
Testmaßnahmen, in dem ein geeigneter Reifegrad der Komponenten, Dienste
und Anwendungen nachgewiesen werden konnte.
Seite 8 von 8
Version: 1.0.0
© gematik - öffentlich
Stand: 23.07.2012