Gemäß einer aktuellen Richtlinie müssen seit 6. Februar 2020 alle gesetzlichen Krankenkassen (GKV) in der Lage sein, digitale Anwender zweifelsfrei online zu identifizieren. Was das bedeutet, erklärt Michael Neumayr. Der Experte ist Senior Sales Manager DACH beim CIAM-Software-Anbieter Onegini.
Um was geht es bei der Richtlinie und der Frist eigentlich?
Michael Neumayr: In Kraft getreten ist die "Richtlinie des GKV-Spitzenverbandes zu Maßnahmen zum Schutz von Sozialdaten der Versicherten vor unbefugter Kenntnisnahme nach § 217f Absatz 4b SGB V" bereits vor einem Jahr, Anfang Februar 2019. Die Versicherer hatten dann zwölf Monate Zeit zur Umsetzung. Krankenkassen sind demnach ab jetzt verpflichtet, für sensible digitale Anwendungen, bei denen Sozialdaten von Usern gelesen oder verändert werden können, eine so genannte Zwei-Faktor-Authentifizierung (2FA) oder Mehrfaktor-Authentifizierung (MFA) einzusetzen. Damit sollen digitale Services besser abgesichert, ein möglicher weiterer Ausbau digitaler Angebote ermöglicht sowie die Datensicherheit erhöht werden.
Ist das realistisch? Wie ist der derzeitige Stand?
Im Grunde ja, es ist realistisch. Zwölf Monate zur Umsetzung sind eine angemessene Frist. So gut wie alle Versicherer haben gehandelt, auch wenn vielleicht nicht alle mit der Implementierung fertig sind. Doch der Aufwand für das Umsetzen der Anforderungen lässt sich durchaus reduzieren, so dass selbst für Organisationen, die mit dem Umsetzen noch nicht so weit sind wie gewünscht, kein allzu großer Verzug entstehen dürfte.
Worauf kommt es eigentlich an?
Wichtig ist, den Hintergrund der Richtlinie zu verstehen, so dass die implementierte Technologie wirklich das adressiert, was der GKV-Spitzenverband meint: Es geht darum, jetzt, aber auch in Zukunft, steigende Anforderungen einzuhalten, die eine Ausweitung der digitalen Service-Angebote mit sich bringt. Das ist unter mehreren Aspekten sinnvoll: Erstens natürlich mit Blick auf den Datenschutz. Cyber-Sicherheit identitätsbasiert aufzusetzen, ist längst ein Gebot der Stunde - angesichts von cleveren Späh-Programmen, die Passwörter bei aktiven User-Eingaben mitlesen, oder von potenten Bots, die Passwörter einfach unentwegt im Hintergrund ausprobieren, bis sie ein schwaches gefunden haben. Zweitens eröffnet identitätsbasierte Authentifizierung auch ein Plus an User-Freundlichkeit und Komfort. Dies kommt zum Sicherheits-Aspekt noch hinzu.
Sind die Krankenkassen denn Nachzügler bei einer Technologie, die in der freien Wirtschaft schon fast selbstverständlich geworden ist?
Nein, das würde ich so nicht sagen. Es kommt immer darauf an, was erreicht werden soll. Wer bislang seine digitalen Services durch übliche Verfahren abgesicherte, hat nicht unbedingt etwas falsch gemacht, hat aber noch nicht die Weichen für kommende Anforderungen gestellt - und sich möglicherweise steigenden Risiken ausgesetzt. Die Versicherer bemerken zunehmend, dass ihre Versicherten sich mehr digitale Services wünschen, mehr online abwickeln wollen, User-Freundlichkeit erwarten und so weiter. Das alles erhöht das Datenaufkommen - auch an sensiblen Daten - und steigert die Anforderungen an die Anwender-Identifizierung. Da tut sich bei herkömmlichen Verfahren bald eine Lücke auf. Ein Beispiel: Ein Versicherter, der für eine kleine Online-Transaktion fünfmal seinen ohnehin risikoanfälligen Usernamen plus Passwort eingeben muss, ist schnell genervt. Dann produzieren Online-Dienste schnell mehr Enttäuschungen als Erfolge.
Welche Faktoren kommen dann zur Anwender-Identifizierung mit Blick auf 2FA und MFA überhaupt in Frage? Und wie lange dauert es, eine entsprechende Lösung aufzusetzen?
Was sich gut bewährt, ist zunächst eine Standort-Bestimmung durchzuführen: Welche Webportale und mobilen Apps sind aktuell in Betrieb? Wie sind Registrierung und Anmeldung per Portal und App organisiert? Welches Sicherheits-Level wird für welche Funktionalität benötigt? Wie sicher sind Versicherer über die Identität Ihrer digitalen Kunden? Gibt es bereits eine Single-Sign-on-Funktion (SSO)? Fragen wie diese helfen, die passende Lösung zu finden und weder überdimensioniert zu planen, noch nach drei Monaten schon wieder an Grenzen zu stoßen.
Wie könnte eine Lösung konkret aussehen?
Zur Kombination verschiedener Authentifizierungs-Faktoren empfiehlt sich folgender Dreischritt: Etwas, das Sie wissen, etwa Benutzername, Passwort oder PIN; etwas, das Sie haben, wie beispielsweise ein mobiles Gerät, eine Gesundheitskarte, ein anderer physischer Token; und etwas, das Sie sind, wie etwa Gesicht, Augenscan, Stimme oder Fingerabdruck. Zeit- und Ortsparameter können weitere Faktoren sein. Das Ganze lässt sich als Plattform-Lösung cloudbasiert recht schnell implementieren und skalieren, ohne eine eigene Infrastruktur dafür aufbauen und hohe Investitionskosten stemmen zu müssen.
Als kurzes Fazit: Ist die Umsetzung der neuen GKV-Richtlinie nun für die Versicherer lediglich eine lästige Pflicht, oder beinhaltet sie auch Chancen? Die Chancen sind enorm: In einer immer digitaleren Wirtschaft wird die Kombination aus Cyber-Security und Anwenderfreundlichkeit zunehmend wettbewerbskritisch. Organisationen, die bereits jetzt eine nachhaltige und ganzheitliche Sicherheitsstrategie in ihre Unternehmenssteuerung einbinden, sind dem Wettbewerb in Sachen digitaler Dienstleistungen im Zweifel den entscheidenden Schritt voraus.
Autor(en): Swantje Francke