KIM Fachdienst

Ein NoSpamProxy-Kunde aus dem Krankenhausbereich und Leser der MSXFAQ hat mich im Oktober 2020 auf einen weiteren "Mail-Service" aufmerksam gemacht. Anscheinend sind SMTP und SMIME/PGP immer noch suspekt und es gibt schon wieder einen eigenes geschlossenes Nachrichten-System. Diesmal betrifft es die Mediziner, die damit Patientendaten "sicher" untereinander übertragen sollen. Alles natürlich "verschlüsselt" und "signiert". Irgendwie habe ich ein Déjà-vu mit De-Mail, ePost, beA und andere geschlossene Dienste.

"KIM" steht für Kommunikation in der Medizintechnik und ist quasi ein geschlossenes Mailsystem zwischen Praxen, Krankenhäusern, Versicherungen etc.

Doppelte Schlüssel

KIM nutzt SMIME zum signieren und verschlüsseln von Mails. Wir sollten alle wissen, dass für jede Mailadresse ein eigenes Schlüsselpaar aus privatem und öffentlichem Schlüssel zu erstellen ist und der öffentliche Schlüssel durch eine PKI signiert und öffentlich bereitgestellt wird. Anscheinend hat ein nicht genannter Dienstleister das nicht verstanden und für mehrere KIM-Endpunkte das gleiche Schlüsselpaar genutzt. KIM oder SMIME sind hier nicht das Problem aber die Umsetzung durch den Dienstleister.

Ich frage mich da schon, wie jemand überhaupt ein Schlüsselpaar mit privatem Key zwischen Kunden überträgt und warum die Zertifizierungsstelle diesen Fehler nicht erkennt. Schließlich ist der öffentliche Schlüssel für all diese Zertifikate identisch!

KIM: Kaos In der Medizinischen Telematikinfrastruktur (TI)
https://media.ccc.de/v/37c3-12030-kim_kaos_in_der_medizinischen_telematikinfrastruktur_ti/playlist#t=967

Funktion

Ich bin kein Mediziner und habe auch keinen Zugriff auf ein Praxissystem. Ich kann also nur mit etwas aus den Veröffentlichungen verschiedener Anbieter zusammensuchen. Wir wissen alle, dass Marketing-Texte nicht immer stimmen und wichtige Aussagen gerne unterschlagen.

Ich gehe aber nicht davon aus, dass ein Arzt Befunde per "Outlook/Thunderbird" über IMAP4/SMTP versendet sondern in seiner Branchensoftware unterwegs ist. Er wird seine Behandlung entsprechend PC-gestützt erfassen und auch die Befunde direkt aus der Software versenden. Damit dürfte die KIM-Funktion durch die Hersteller der Software integriert werden. Dies suggeriert auch der Prozess der Gematik, der in vier Schritten beschreibt:

Schritte Meine Anmerkungen

Schritt 1: Der Kardiologe verfasst einen Arztbrief in seiner Praxissoftware und signiert den Arztbrief mit seinem Heilberufsausweis.

Hier wird wohlgemerkt nicht von Verschlüsselung sondern nur durch Signatur durch den Arzt gesprochen.

Schritt 2: Anschließend wählt der Kardiologe den überweisenden Allgemeinmediziner in seiner Praxissoftware bzw. aus dem KIM-Adressbuch als Empfänger aus und die gesamte Nachricht wird im Hintergrund mit der Institutionskarte der Praxis (SMC-B) zusätzlich signiert.

Die Praxis signiert noch mal? Kann sie ja machen aber von Verschlüsslung steht da nichts, obwohl durch die Auswahl des Empfängers ja auch ein Key verfügbar sein könnte

Schritt 3: Die Nachricht mit dem Arztbrief wird verschlüsselt an den Allgemeinmediziner versendet

 ich „hoffe“ doch mit dem PublicKey des Empfängers und nicht wieder mit einem „Service Key“. Das haben Sie bei BEA schon falsch gemacht und bei De-Mail ebenso.

Schritt 4: Die Praxissoftware des Allgemeinmediziners nimmt die Nachricht entgegen. Sie wird automatisch entschlüsselt und auf Datenmanipulation hin überprüft.

Wie das? Ich hätte erwartet, dass de Praxis oder der Arzt mit seinem Heilberufsausweis das entschlüsselt.

Die Verschlüsselung wird auch von der Firma Telekonnect noch mal thematisiert:

Die Besonderheiten von KIM gegenüber anderen E-Mail-Anbietern sind neben der sicheren und zweifelsfreien Übertragung sensibler Daten, die zentralen Verzeichnis und Adressdienste. So erhält jeder Teilnehmer seine Mailbox und erscheint automatisch in den Adressverzeichnissen. Sie können daher sicher sein, dass der Absender einer Nachricht auch tatsächlich der Absender ist. Genau so verhält es sich auch für die Empfänger der E-Mails.
Quelle: https://telekonnekt.de/index.php/produkte/kim

Auch in der API-Beschreibung gibt es deutliche Hinweise, dass es keine Ende2Ende-Verschlüsselung ist

Danach kann das Clientmodul die Nachricht mit SMTPS an den Mail Server des KOM-LE-Fachdienstes senden. Ist in der E-Mail ein Anhang enthalten größer 25 MB, wird im Clientmodul automatisch der Anhang aus der E-Mail entfernt, symmetrisch verschlüsselt und separat auf einem Speicherort (KAS) verschlüsselt abgelegt.
Quelle: https://GitHub.com/gematik/api-kim/blob/master/docs/Anwendungsfaelle.adoc

Das ähnelt doch sehr einer Transportverschlüsselung (SMTPS) und einer "OneDrive"-ähnlichen Funktion für große Anlagen.

Zuletzt noch ein weites Zitat zur Verbindung:

Voraussetzung für die Teilnahme am KIM-Fachdienst ist ein Anschluss an die Telematik-Infrastruktur.
Quelle: https://telekonnekt.de/index.php/produkte/kim

Die Verbindung selbst ist also "geschlossen" und dürfte ein VPN mit Zertifikaten sein, die schon mehrfach durch die Presse gegangen sind. Wenn es gut gemacht ist, sollte es auch zumindest bis zum Eingang in die Praxis sicher sein. Mit der weiteren Sicherheit in der Praxis selbst dürfte der Arzt oder dessen Dienstleister gefordert sein.

Update: Basierend auf der Veröffentlichung der Seite haben sie Leser gemeldet bzw. auf die Twitter-Meldung (https://twitter.com/msxfaq/status/1321209097417441280) reagiert.  Anscheinend werden die Mails doch per SMIME signiert und verschlüsselt, so dass diese beim Fachdienst nicht lesbar sind. Die vom Arzt signierte Mail wird wohl "umgepackt" und verschlüsselt.


Quelle: Twitter-Meldung: https://twitter.com/MLangguth/status/1321431895155056640

Aber ganz klar ist das damit immer noch nicht, woher die Schlüssel kommen, wer Sie speichert und Zugriff drauf hat. Ich könnte mir nur vorstellen, dass die "TI-Platform" die Schlüssel der Zielpraxis/Klinik nutzt aber vermutlich nicht des individuellen Arztes.

Was ich draus ableite

Wenn die Beschreibung nicht groß vereinfacht oder falsch ist, dann interpretiere ich das Prozedere wie folgt:

  • Absender signiert als Arzt und als Praxis
    Das ist einfach aber keine Verschlüsselung
  • Verschlüsselte Übertragung
    Aus dem Satz "wird verschlüsselt ...  versendet" leite ich nur ab, dass der Transport z.B. per HTTPS, SMTP oder sogar durch das VPN des Telematik-Netzwerks verschlüsselt ist.
  • Unverschlüsselt auf dem Mailserver
    Ich erwarte keine n:m-Kommunikation, bei dem der Sender die Daten direkt zum Empfänger sendet. Ein Hausarzt wird seine PCs Nachts vielleicht herunterfahren. Also gibt es einen "Server" bei einem zentralen Dienstleister, der die Nachrichten unverschlüsselt vorhält.
  • Abruf und Anzeige
    Sicher gibt es "Einzelkämpfer" aber es macht gar keinen Sinn eine Nachrichten mit einem Key für genau einen Arzt zu verschlüsseln. Also gehe ich davon aus, dass der Empfänger die Mail wieder er VPN verschlüsselt abruft und dann aber den Zugriff für alle Ärzte der Klinikgemeinschaft nach Authentifizierung zulässt.

Das ist speziell in Praxisgemeinschaften ja gar nicht anders praktikabel. Allerdings ist es aus meiner Sicht schon grenzwertig dann von einer "verschlüsselten" Kommunikation zu sprechen, wenn es nur um eine Transportverschlüsselung geht. Nach meiner Einschätzung kann nicht nur der vom Absender ausgewählte Arzt die Befunde lesen sondern

  • .. jeder andere legitime Arzt in der Zielpraxis
    Das find ich aber noch tolerierbar, wenn das Ziel ein Arztpraxis oder Krankenhaus ist.
  • ... Die Betreiber des Mailservers
    Da es wohl keine Ende2Ende-Verschlüsselung ist, kann auch die Vermittlung, d.h. der KIM Fachdienst die Nachrichten mitlesen, kopieren und auswerten. Ich bin ziemlich sicher, dass früher oder später auch hier Begehrlichkeiten nachgegeben wird, z.B. um statistische Auswertungen zu Krankheiten, Verschreibungswahrscheinlichkeiten nach Praxen oder unter dem Vorwand von Seuchenbekämpfung auch weitergehende Daten erhoben werden
  • Weiterleitung/Weitergabe
    Da die Elemente nicht richtig ähnlich einem DRM geschützt sind, kann ein Arzt den Befund natürlich auch weiter leiten.

Kosten

Der Betrieb so einer Infrastruktur muss natürlich auch bezahlt werden. Die sind ziemlich happig, wenn man die Kosten für ein Postfach bei Office 365 aber auch anderen Providern vergleicht. Die Firma CompuGroup Medical hat dazu folgendes Angebot:


Quelle: https://kim-shop.cgm.com/nav/cgm-kim/ (26. Okt 2020)

Ich bin eigentlich davon ausgegangen dass gebildete und studierte Mediziner nicht auf die gleiche Marketingansprache reagiere, wie private Smartphone-Kunden. Hohe einmalige Bereitstellungskosten und fett gedruckte "0.00€" um den "jetzt sparen" Effekt zu triggern aber dann 6,55€/Mailadresse und 2,69€/GB würden mich eher abschrecken. Es gibt aber auch andere Quelle:


Auszug aus Quelle: https://www.kbv.de/html/30719.php

Wobei das nur die pauschale Erstattung durch die Krankenkassen für KIM ist. Erstattungen für die Telematik-Infrastruktur (VPN-Gateway etc.) sind hier nicht enthalten.

Da sieht man wieder, wohin Monopole/Oligopole führen. Der Arzt wird per Gesetz gezwungen, und die Haus/Hof-Dienstleister der Krankenversicherungen und kassenärztlichen Vereinigungen verteilen das Geld der Versicherungsnehmer, die sich dann über steigende KV-Beiträge wundern.

Interessant ist in dem Zuge, dass z.B. die DGN sogar eine eigene PKI mit SMIME-Zertifikaten betreibt und zukünftig auch KIM Fachdienst-Anbieter sein will.

"Natürlich" ist die RootCA nicht allgemein vertrauenswürdig, obwohl schon die ein oder andere Mail derart signiert bei Instanzen von NoSpamProxy angekommen sind. Damit die Ärzte aber nicht draufzahlen, gibt es die nächste Pauschale:

KIM wird gefördert Die Kassen vergüten die Nutzung der gesicherten Mailbox und des KIM-Fachdienstes über eine monatliche Pauschale.
Quelle: https://telekonnekt.de/index.php/produkte/kim

Eine kurze Suche liefert:

Die Krankenkassen übernehmen eine Betriebskostenpauschale von 23,40 Euro pro Quartal je Praxis für KIM. Zudem gibt es Vergütungspauschalen für den Versand von eArztbriefen.
https://www.aerzteblatt.de/nachrichten/114924/

Übersicht Vergütungsregelungen Arztbriefe/eArztbriefe ab 1. Juli 2020 (1. April 2020)
https://www.kvb.de/fileadmin/kvb/dokumente/Praxis/Abrechnung/Merkblaetter/KVB-Uebersicht-Verguetung-Arztbriefe.pdf

Das deckt dann schon mal die reinen Vertragskosten für knapp 5 Postfächer.

Alternativen?

Das Problem dieser Anforderung einer elektronischen Übermittlung ist natürlich die Frage, ob man es überhaupt anders oder besser machen könnte. Ärzte erstellen für jeden Patientenkontakt entsprechende Dokumentationen und fügen Befunde, Bilder u.a. hinzu, die für den nächsten Arzt natürlich hilfreich sind und (teure) Doppeluntersuchungen vermeiden können. Also müssen die Daten von einem Arzt zum anderen kommen. Innerhalb einer Praxisgemeinschaft oder eines Klinikums werden solche Daten normalerweise nicht als "Arztbrief" "umher geschickt" sondern liegen im lokalen vernetzten Informationssystem. Zumindest würde ich das erwarten.

Sobald die Daten aber den eigenen Bereich verlassen müssen, Stichwort "Überweisung", muss natürlich auch die Information übertragen werden. Dazu kann E-Mail oder eine ähnliche Funktion durchaus ein Weg sein. Das Problem dabei ist aber, dass die Information an das richtige Ziel gesendet werden muss und dann auch nur dort vorliegt. Der Empfänger ist zwar ein Arzt aber es wäre schlecht, wenn dann auch nur der Arzt und nicht alle Ärzte einer Praxis oder eines Krankenhauses zugreifen könnten. Also wird die Information sicher nicht mit einem "Arzt-Key" verschlüsselt sondern einer Praxis-Stelle.

Allerdings liegen die Daten so an mehreren Orten und müssen individuell geschützt werden. Zudem lernen wir gerade wie ineffektiv "E-Mail" eigentlich ist:

  • Duplizierung von Informationen
    DAs kennen wir schon von Mails, dass eine Information von Station zu Station verändert und weiter gereicht wird und am Ende mehrfach an vielen Orten liegen. Speicherplatz ist weniger das Problem. Aber der Zugriffsschutz und eventuell veraltete Daten sind durchaus ein Risiko
  • Aktualisierungen werden nicht verteilt
    Natürlich hat jeder Patient eigentlich einen "Hausarzt", bei dem alle Befunde zusammenlaufen sollten. Aber ich bin sicher, dass dies nicht der Fall ist.
  • Verfügbarkeit
    Wenn ein Patient akut in einer anderen Stelle aufschlägt, haben die Ärzte keinen Zugriff auf die bisherigen Daten. Sie haben ja nie eine Kopie bekommen. Natürlich können auf der Versichertenkarte einige Informationen abgelegt werden. Aber Platz ist beschränkt und haben Sie immer ihre Karte dabei, d.h. auch im Schwimmbad, bei Ski-Fahren u.a.?

Wenn man sich das alles so anschaut, dann hat eine zentrale oder semi-zentrale Ablage durchaus seinen Charme. Natürlich gibt es Datenschutzbedenken eines solchen "großen Pools". Das bekommen aber andere Hoster (DATEV, SalesForce, Microsoft) auch gestemmt. Dann könnten Ärzte auch im Notfall die aktuellen Informationen zu einem Patienten erfragen. Sie weisen sich ja per "Heilberufsausweis" aus und müssen irgendwas zum Anwender kennen, z.B. Name o.ä. oder einen QR-Code auf der Überweisung, der für begrenzte Zeit den Zugriff in Verbindung mit dem Heilsberufsausweis erlaubt. Beim ePerso geht so etwas ja auch, dass autorisierte Institutionen mit ihrem Zertifikate mehr Informationen lesen.

Wenn ich es mir genau überlege, dann könnte man in so einer proprietären Welt doch einfach die Dokumente per "Information protection" verschlüsseln und sichern. In Office365/Microsoft 365 gibt es AIP (vormals DRM/RMS) für solche Aufgaben. Dann wäre der Transport unkritisch und auch die Berechtigung könnte einfach geändert werden aber ohne Zugriff auf die Keyserver sind die Dokumente sicher. Auch Caching und Offline-Zugriff hat Microsoft schon alles gelöst. Das sollte eine Gematik im Eigenbetrieb doch auch hin bekommen.

Sicher muss es aber schon sein, wenn so ein Pool ist schon sehr interessant für unerlaubte Zugriffe. Daher könnte jeder Patient zumindest einmal im Jahr eine Information bekommen, welche Stelle, wann auf welche Daten zugegriffen hat. Banken senden ja auch jedes Jahr die Steuerbescheide zu.

Bei solchen Szenarien frage ich mich aber auch, ob Daten auf dezentralen Systemen den Praxen wirklich "gut" abgelegt sind oder eine Clusterbildung nicht sogar wünschenswert wäre.

KIM und NoSpamProxy?

Der Name "NoSpamProxy" bezieht sich in diesem Kontext nicht auf die AntiSpam-Funktion. Spam sollte in der geschlossenen Umgebung mit signierten Absendern weniger das Problem sein (Phishing mal ausgenommen). Aber NoSpamProxy kann auch SMIME/PGP Funktionen als Gateway übernehmen und sich an DOI, DE-Mail und andere "geschlossene" Systeme anbinden. In dem Thema habe ich die Möglichkeiten einer Verbindung beleuchtet.

Wie auch mit ePost, De-Mail und anderen Diensten analysiere ich solche "Maildienste" auch mit Hinblick auf die Anbindung von NoSpamProxy. Die Punkte klingen ja schon mal interessant.


Quelle: https://www.gematik.de/anwendungen/kim/  (Stand 26. Okt 2020)

Das sind schon interessante Informationen, die auch für eine SMIME/PGP-Kommunikation helfen würden. Stellen Sie sich mal vor, jeder Arzt hat mit seinem Heilberufsausweis und Kartenleser nicht nur eine Anmeldefunktion gegenüber der Applikation sondern er hätte auch ein SMIME-Zertifikat. Wäre dann noch eine Lookup von Mailadresse zum PublicKey möglich, dann könnten diese Informationen auch außerhalb des KIM-Fachdienstes für eine Kommunikation mit Patienten und anderen Partnern ohne KIM-Anbindung genutzt werden. Der Arzt könnte seine Mails signieren und sogar verschlüsselt empfangen. Nur verschlüsselt senden könnte er erst, wenn die Gegenstelle ihr Zertifikat bereitstellt.

Leider habe ich keine weiteren Anknüpfungspunkte dahingehen gefunden, ob die Praxissoftware auch zum Versand und Empfang von SMTP-Mails außerhalb des geschlossenen Netzwerk Telematik-Netzwerks genutzt werden kann oder es eine Brücke irgendwo gibt.

Im schlimmsten Fall muss ein per "normaler Mail" erreichbare Arzt noch parallel eine zweite Mailsoftware betreiben.

Interessanterweise gibt es eine API-Beschreibung der Gematik.

KIM (Kommunikation im Medizinwesen) - API-Dokumentation
https://GitHub.com/gematik/api-kim

Wenn ich die Ausgaben von GIT richtig interpretiere, dann wurde am 30. April 2020 eine "Version „v0.1, 2020“ öffentlich gemacht. Zu "Offenheit" für andere Anbieter interpretiere ich die Bilder in der Beschreibung derart, dass ein alternativer KIM-Fachdienst ganz hinten im Backend für die Übermittlung und Speicherung von Mails arbeiten kann aber das Routing der Zugriffe und die Authentifizierung durch die Gematik erfolgt.

Ich sehe aber keinen Ansatzpunkt einen Connector zu NoSpamProxy anzubringen. Also lassen wir die Ärzte und Kliniken in ihrer eigenen Cloud (oder Blase) weiter arbeiten.

Weitere Links