Elektronische Signatur und beweissichere Archivierung Begriffsdefinitionen und neue Entwicklungen am Markt Christian Schmitz, Senior IT-Security Consultant Copyright 2000-2008, AuthentiDate International AG
Agenda Elektronische Signaturen Schlüssel zu medienbruchfreien Prozessen? Das Archiv als zentraler Baustein im ehealth Gesetzeskonforme Massenbelegerfassung Rechtssichere, elektronische Freigabeprozesse Langzeitarchivierung signierter Dokumente Beispiele aus der Praxis Copyright 2000-2008, AuthentiDate International AG Seite 2
Warum existieren heute noch Medienbrüche? Elektronische Daten z.b. Verträge, Rechnungen, Bestellungen, etc. Drucken Versenden Scannen Manuell erfassen? Elektronische Daten Copyright 2000-2008, AuthentiDate International AG Seite 3
Elektronische Signaturen Schlüssel zu medienbruchfreien Prozessen? Elektronische Elektronische Daten Daten z.b. Verträge, z.b. Rechnungen, Verträge, Rechnungen, Bestellungen, etc. Bestellungen, etc. Drucken Versenden Scannen Manuell erfassen! Elektronische Elektronische Daten Daten Copyright 2000-2008, AuthentiDate International AG Seite 4
Anforderungen an Signaturlösungen Deutsches Signaturgesetz EU-Signaturrichtlinie D EU Deutsches Signaturgesetz EU-Signaturrichtlinie Copyright 2000-2008, AuthentiDate International AG Seite 5
Signaturarten Einfache Signatur Fortgeschrittene Signatur Qualifizierte Signatur mit Anbieterakkreditierung Elektronische Signatur ohne Verschlüsselung z.b. eingescannte Unterschrift keine Kryptografie Keine Rechtssicherheit Signatur ist einem Schlüsselinhaber zugeordnet Verwendung von kryptographischen Schlüsselpaaren (öffentlich / privat) Verhindert nachträgliche Änderung an signierten Daten ohne Berücksichtigung einer vertrauenswürdigen Instanz bzw. Aufsichtsbehörde Speicherort des Zertifikats auf der Festplatte (Softwarezertifikat) als Beweismittel zulässig aber Problem der Beweislast (keine Beweislastumkehr) Keine Rechtssicherheit Speicherort auf einer Smart Card = sichere Signaturerstellungseinheit Berücksichtigung eines akkreditierten Trust Centers (Online Abfrage OCSP) Allgemeine Rechtssicherheit (Vermutungsregel des 292a ZPO) Beweislastumkehr vor Gericht Gültigkeit 30 Jahre Speziell in Deutschland / allgemein in Europa Uneingeschränkte Rechtssicherheit Rechtssicherheit (d.h. Ersatz der Papierunterschrift ) und maximale Sicherheit ist gemäß Signaturgesetz nur mit der Sicherheitsstufe qualifizierte Signatur zu erreichen. Copyright 2000-2008, AuthentiDate International AG Seite 6
Signaturen vs. Zeitstempel Elektronische Signaturen Personenbezogene Signaturen WER & WAS z.b. elektronische Unterschrift Vertragswesen Bestätigungsprozesse Genehmigungsschritte Zeitstempel WANN & WAS z.b. Langzeitarchivierung Patentrecht / geistiges Eigentum Beweissicherung Copyright 2000-2008, AuthentiDate International AG Seite 7
Anforderungen an Signaturlösungen Deutsches Signaturgesetz EU-Signaturrichtlinie D EU Deutsches Signaturgesetz EU-Signaturrichtlinie Signatur Hard- & Software gesetzliche Anforderungen erfüllen zentral integrierbar transparent für Anwender für Massenprozesse integrierbar hoch performant Copyright 2000-2008, AuthentiDate International AG Seite 8
AuthentiDate Leistungen! Elektronische Daten Elektronische z.b. Daten Verträge, Rechnungen, z.b. Verträge, Bestellungen, Rechnungen, etc. Bestellungen, etc. Signatursoftware + Trust Center Services Elektronische Daten Elektronische Daten Copyright 2000-2008, AuthentiDate International AG Seite 9
AuthentiDate Wer wir sind, was wir tun Produkte & Services zur Integration von personenbezogenen Signaturen & Zeitstempeln in Geschäftsprozesse Standardmäßig voristalliert in viele marktgängige Softwarelösungen (z.b. Archiv, Scan, DMS/ECM, ebilling) Gesetzeskonform mit dem Deutschen Signaturgesetz und der EU-Signaturrichtlinie IT-Security Beratung & Sicherheitskonzepte Akkreditierter Zertifizierungsdiensteanbieter gemäß Deutschem Signaturgesetz durch die Bundesnetzagentur Hoch performante Bereitstelung von Zeitstempeln Copyright 2000-2008, AuthentiDate International AG Seite 10
Gesammelte Erfahrung: Unsere Referenzen im Bereich ehealth Umfangreiche Erfahrung im Aufbau sicherer Telematik-Infrastrukturen im egk-umfeld Strategische Partnerschaften im GKV-Bereich (z.b. für ISKV 21_c) Zahlreiche Referenzen im Bereich gesetzeskonforme Massenbelegerfassung (SRVwV) Copyright 2000-2008, AuthentiDate International AG Seite 11
Archivierung elektronischer (signierter) Daten zentraler Baustein im ehealth KRANKENHAUS- INFORMATIONS- SYSTEM DATENEINGABE Personenbezogene Signatur Zur Bestätigung von Inhalten und Autor (z.b. in Patientenakte) -KIS- ARCHIVIERUNG Zeitstempel Zur Dokumentation des Zeitpunktes der Ablage (für sämtliche Daten) Copyright 2000-2008, AuthentiDate International AG Seite 12
Rechtssichere Massenbelegerfassung Scanner-Arbeitsplatz Nachgelagerte Prozesse und Archivierung Signaturprpüfung Scan Signature Module Papierbelege zur Digitalisierung Personenbezogene signierte Daten zur Weiterverarbeitung & Langzeitarchivierung Copyright 2000-2008, AuthentiDate International AG Seite 13
Rechtssichere Massenbelegerfassung Vorteile im Überblick Vielfach in der Praxis erprobt Bei mehr als 100 gesetzlichen Krankenkassen im Einsatz Umfangreiche Erfahrung in Abnahmeprozessen durch behördliche Aufsichtsorgane Signatursoftware ist standardmäßig bei den marktüblichen Scansoftware Anbietern vorinstalliert Plug & Play nutzbar Hohe technische Flexibilität & komfortable Weiterverarbeitung signierter Daten in Bestandsprozessen Signatur kann in TIFF-Datei integriert oder beigefügt werden Signaturerstellung erfolgt während bereits ein neuer Papierstapel zur Erfassung eingelegt wird Für Massenprozesse konzipiert durch hochperformante Signaturerstellung Copyright 2000-2008, AuthentiDate International AG Seite 14
Signaturen in der Massenbelegerfassung über das Scan Signature Module Scan Prüfung Signatur Erkennung Validierung Übergabe Signiermodul Erkennungsmodul Übergabemodul Einlegen der Belege Auslösen des Scanprozesses Stichprobenartige Prüfung der Images Eingabe der PIN Auslösen des Signiervorganges Signatur der Images Temporäre Bildbereinigung Formular Identifizierung OCR/ICR Prüfung und Korrektur der Indexdaten Manuelle Eingabe Images archivieren Daten in DMS, Workflow oder Datenbank exportieren OMR Bar Code Copyright 2000-2008, AuthentiDate International AG Seite 15
Rahmenbedingungen Signaturen in der Massenbelegerfassung Ziel: Absicherung des Medienbruchs im Scanvorgang Schutz vor unbemerkten Manipulationen nach der Erfassung Anwendungsbereiche: Vorrangig ehealth Bereich - Gesetzliche Krankenkassen, Berufsgenossenschaften, etc. - Überall wo Regelungen der SRVwV zum Tragen kommen - Organisationen, die dem BVA (Bundesversicherungsamt) unterstehen Nutzen: Möglichkeit zur vollständig papierlosen Prozessabbbildung Prozessbeschleunigung und Kostenreduktion (z.b. Transportkosten) Grundlage für vollständig elektronische Archivierung Copyright 2000-2008, AuthentiDate International AG Seite 16
Rechtssichere, elektronische Freigabeprozesse Workflow Management System Archiv 1 2 3 4 5 6 Eingehende Belege abfragen Belege klassifizieren Belege freigeben bzw. signieren Belege prüfen Belege freigeben bzw. signieren Rechtssichere Dokumente des Freigabeprozesses archivieren Freigabe durch Sachbearbeiter Freigabe durch Sachbearbeiter Qualifizierte Zeitstempel Copyright 2000-2008, AuthentiDate International AG Seite 17
Rechtssichere elektronische Freigabeprozesse Vorteile im Überblick Kostenreduktion & Prozessbeschleunigung Reduzierung von Transportkosten, Kopien und personellem Aufwand zur Weiterleitung von Akten Reduzierung des Papierarchivs Ständiger (auch paralleler) Zugriff auf alle Vorgänge Automatisches, zentrales Monitoring Sofortige Korrekturmöglichkeit bei Fehlern und Verzögerungen Sicherheit & einfache Umsetzung Rechtsverbindliche Verfahren durch Verwendung qualifizierter Signaturen und Zeitstempel nach deutschem Signaturgesetz und EU- Signaturrichtlinie Automatische Erstellung von Zeitstempeln ohne Interaktion der Mitarbeiter Signaturprüfung ohne zusätzliche Software an jedem Arbeitsplatz mit Internetzugang möglich Signatur- und Zeitstempelfunktionalitäten bereits standardmäßig bei vielen Workflow- und Dokumentenmanagement- Systemen vorinstalliert Copyright 2000-2008, AuthentiDate International AG Seite 18
Langzeitarchivierung signierter Daten Archivsysteme müssen verschiedene Aufgaben bei der Langzeitarchivierung (signierter) Daten übernehmen Rechtssichere Dokumentation Wann wurde welches Dokument archiviert? - Erstellung von Zeitstempeln bei Archivierung Signaturprüfung Sind die Signaturen der archivierten Dokumente korrekt? - Prüfung der Integrität & Authentizität von Signaturen Nachsignieren Schutz signierter Dokumente innerhalb des Archivs - Erstellung von Zeitstempeln bei Algorithmenwechseln & Signaturfähiges Archivsystem Copyright 2000-2008, AuthentiDate International AG Seite 19
Zeitstempel gemäß Signaturgesetz zum Langzeitschutz signierter Daten! Gemäß deutschem Signaturgesetz sind zum Nachsignieren von bereits signierten Daten Zeitstempel zu verwenden ( 6 SigG und 17 SigV) Technologie vom Signaturspezialisten AuthentiDate Spezialist für elektronische Signaturen & Zeitstempel Eigenständige Technologie & Softwareentwicklung AuthentiDate International AG ist akkreditierter Zertifizierungsdiensteanbieter nach Signaturgesetz seit 09. November 2001 mit eigenem Trust Center Rechtssichere Zeitstempel lt. neuem Deutschen Signaturgesetz und Europäischer Richtlinien Copyright 2000-2008, AuthentiDate International AG Seite 20
Warum Nachsignieren? Schlüssellängen sind nicht mehr ausreichend Geschwindigkeit der Rechner wird immer schneller Kollisionsresistenz nicht mehr gegeben Daraus folgt: Fälschungen bei signierten Daten werden möglich Gesetzliche Sicht Nachsignieren in 6 SigG und 17 SigV geregelt Zeitstempel lt. BNetzA hierfür anzuwenden Jährliche Veröffentlichung der Bewertung der Algorithmen - RSA 1024 (bis Ende 03/08) - SHA1 (bis Ende 06/08) - RSA 2048 (bis Ende 2014) - SHA-512 (bis Ende 2014) Copyright 2000-2008, AuthentiDate International AG Seite 21
Massenbelegerfassung und Archivierung AOK Bayern & für Das Projekt Digitalisierung und rechtssichere Archivierung des Altarchivs mit über 400 Mio. Dokumenten Rechtssichere Erweiterung des Archivs um 30 Mio. Dokumente jährlich Reduzierung der Aufbewahrungskosten durch digitales Archiv Parallele Verfügbarkeit der Akten an räumlich getrennten Standorten Optimierte Recherche Grundlage für weitere Optimierungen, z.b. elektronische Freigabeprozesse Gesetzeskonformes Nachsignieren mit AuthentiDate Zeitstempeln Ende 2007 Copyright 2000-2008, AuthentiDate International AG Seite 22
Hybride Archivierung von Patientenunterlagen Klinikum Braunschweig & für Das Projekt Langfristige und zugleich rechtssichere Archivierung von Patientenunterlagen durch hybride Archivierung Microverfilmung und gleichzeitiges scannen mit qualifizierten Signatur vereint Vorteile beider Verfahren Langfristiger Erhalt der Beweiskraft der signierten Daten durch gesetzeskonformes Nachsignieren mit AuthentiDate Zeitstempeln Ende 2007 Parallele Verfügbarkeit der elektronischen Daten an räumlich getrennten Standorten Optimierte Recherche Grundlage für weitere Optimierungen (z.b. KIS) Copyright 2000-2008, AuthentiDate International AG Seite 23
Unsere Partner Archiv & Workflow Partner Scan Partner Copyright 2000-2008, AuthentiDate International AG Seite 24
Vielen Dank für Ihre Aufmerksamkeit! Christian Schmitz AuthentiDate International AG Rethelstraße 47 40237 Düsseldorf Telefon: +49 2 11-43 69 89-0 info@authentidate.de www.authentidate.de Copyright 2000-2007, AuthentiDate International AG