Nachfolgend möchten wir Ihnen eine Information der gematik zur IT-Sicherheit von Kartenlesegeräten weitergeben.
Zukünftig wird für den Zugriff auf Versichertendaten das Verfahren „Proof of Patient Presence“ (PoPP) eingeführt, bei dem die Versichertenidentität u. a. über die eGK nachgewiesen wird.
Dafür können künftig nicht nur eHealth-Kartenterminals, sondern auch Standardkartenleser wie USB-Kartenleser oder die NFC-Schnittstelle eines Dienst-Smartphones genutzt werden. Da diese Geräte direkt an den PoPP-Service angebunden sind und keine PIN-Eingabe erfolgt, ist der zusätzliche Schutz eines Kartenterminals hierbei nicht zwingend erforderlich.
Diese gelten als IT-Peripherie und unterliegen denselben Sicherheitsanforderungen wie andere Komponenten Ihrer IT-Umgebung. Zu den Risiken gehören mögliche Schwachstellen in Firmware oder Treibern, unsichere drahtlose Übertragungen, fragwürdige Zusatzsoftware oder bei Smartphones vorinstallierte problematische Funktionen. Auch bei Dienst-Smartphones gelten dieselben Sicherheitsanforderungen wie bei jedem anderen IT-System: regelmäßige Updates und Beschränkung auf notwendige Apps.
Daher wird empfohlen, nur vertrauenswürdige Geräte aus seriösen Quellen zu beziehen. Bei Kartenlesegeräten können Sie z. B. auf eine Zertifizierung nach BSI TR-03119 achten. Zudem finden Sie auf der Seite der AusweisApp eine Liste mit geeigneten Geräten.
Weitere Hinweise für einen sicheren Umgang mit Ihrer IT finden Sie auf der Seite der ABDA zur IT-Sicherheit.
