In addition, achelos will contribute its expert knowledge: Dr Karsten Klohs will take part in a panel discussion on “Digital Identities in Healthcare: Practice, Security, Resilience”.

DMEA – Connecting Digital Health 2026 will take place from 21 to 23 April at the Berlin Exhibition Grounds. Around 900 exhibitors, more than 20,000 visitors and approximately 470 speakers are expected at Europe’s leading event for digital healthcare. This year’s key topics include secure networking of stakeholders, digital transformation in medicine and hospitals, digital public health, and the use of AI in medicine.

achelos GmbH, based in Paderborn, will participate as a Bronze Partner at DMEA. At its booth in Hall 6.2, B-103, the company will present its solutions for secure and efficient digitalisation in healthcare. Under the trade fair motto “Digital Identities and Cybersecurity in Healthcare”, achelos will focus on the following key areas:

• TI services
• Electronic patient record (ePA)
• Zero Trust & PoPP
• TI connectivity
• CLM & PKI
• ISMS & C5 & CRA

achelos IT security expert Dr Karsten Klohs will participate in a panel discussion hosted by the German Federal Office for Information Security (BSI) on the topic “Digital Identities in Healthcare: Practice, Security, Resilience”. The session will take place on Wednesday, 22 April, at 11:15 in Hall 5.2, B-112.

“We are delighted to once again present our services as a Bronze Partner at DMEA this year,” says Thomas Freitag, Managing Director at achelos. “Cybersecurity and the protection of sensitive healthcare data are essential. We demonstrate how both can be effectively achieved.”

Appointments can be arranged in advance with our experts Thomas Freitag, Carola Schwarzenberg, Gorden Bittner, Holger Volke and Dr Michael Jahnich: https://www.achelos.de/en/dmea-2026/

achelos GmbH will once again be represented at secIT by heise. The event will take place from 18 to 19 March 2026 at the Hannover Congress Centrum (HCC). achelos will present its solutions to trade visitors, with a particular focus on secure multi-factor authentication. In addition, on 19 March at 11:30 am, achelos will lead a deep dive session entitled “Post-Quantum – Ensuring Cybersecurity in the Future”. The workshop will provide practical insights into how organisations can successfully migrate to post-quantum cryptography.

Furthermore, achelos supports companies in meeting regulatory requirements such as DORA, NIS 2 and VS-NfD. The solutions offered enable organisations to comply with these requirements efficiently, both technically and strategically.

achelos delivers tailored PKI, CLM and CMS solutions that enable organisations to manage their digital identities and cryptographic keys securely and efficiently. Its service approach provides end-to-end support – from strategic planning and implementation to integration, operations and managed services. As a vendor-independent provider, achelos combines proven technologies with hands-on expertise and an established partner network to deliver bespoke and future-proof solutions.

“We are delighted to present our IT security solutions to a specialist audience at secIT by heise,” says Dr Michael Jahnich, Director Business Development | Cybersecurity Systems at achelos. He anticipates in-depth discussions with industry experts. Appointments at the exhibition booth can be arranged in advance here.

secIT by heise is aimed at IT security managers, data centre managers and decision-makers. Around 4,000 visitors and approximately 170 exhibitors are expected at the HCC. The programme includes more than 80 specialist presentations as well as numerous workshops and deep dive sessions covering cybersecurity, compliance, IT infrastructure, incident response, identity management, cloud security and AI

Die achelos GmbH ist erneut auf der secIT by heise vertreten. Die Messe findet vom 18. bis 19.03.2026 im Hannover Congress Centrum (HCC) statt. achelos stellt Fachbesuchern seine Lösungen mit Schwerpunkt auf sichere Multi-Faktor-Authentisierung vor. Außerdem wird es am 19.03. um 11.30 Uhr eine Deep Dive Session zum Thema „Post-Quantum – Wie Cybersicherheit auch künftig gewährleistet werden“ kann unter Federführung von achelos geben. Der Workshop zeigt praxisnah, wie die Migration auf Post-Quantum-Kryptographie gelingt.

Darüber hinaus unterstützt achelos Unternehmen bei der Umsetzung regulatorischer Anforderungen wie DORA, NIS 2 und VS-NfD. Die angebotenen Lösungen ermöglichen es Organisationen, diese Vorgaben sowohl technisch als auch strategisch effizient zu erfüllen.

achelos realisiert maßgeschneiderte PKI-, CLM- und CMS-Lösungen, mit denen Unternehmen ihre digitalen Identitäten und kryptografischen Schlüssel sicher und effizient verwalten können. Der Leistungsansatz umfasst die ganzheitliche Begleitung – von der strategischen Planung über Implementierung und Integration bis hin zu Betrieb und Managed Services. Als herstellerunabhängiger Anbieter verbindet achelos bewährte Technologien mit praxisorientierter Expertise und einem etablierten Partnernetzwerk, um passgenaue und zukunftssichere Lösungen bereitzustellen.

„Wir freuen uns, unsere IT-Sicherheitslösungen auf der secIT by heise einem Fachpublikum vorstellen zu können“, sagt Dr. Michael Jahnich, Director Business Development | Cybersecurity Systems bei achelos. Er erwartet einen intensiven Austausch mit Branchenexperten. Termine am Messestand können hier vorab vereinbart werden.

Die secIT by heise richtet sich an IT-Sicherheitsverantwortliche, Rechenzentrumsleiter und Entscheider. Rund 4.000 Besucher und etwa 170 Aussteller werden im HCC erwartet. Das Programm umfasst über 80 Fachvorträge sowie zahlreiche Workshops und Deep Dive Sessions zu Cybersecurity, Compliance, IT-Infrastruktur, Incident Response, Identitätsmanagement, Cloud-Sicherheit und KI.

The EU is responding to this with the Cyber Resilience Act (CRA), which already entered into force on 11 December 2024. Its aim is to establish uniform security requirements for products with digital elements and thus increase resilience against cyberattacks. The CRA is a regulation, not a directive. This means it applies directly in all EU Member States without the need for national implementation.

CRA: Manufacturers of digital products must take action

For manufacturers of digital products, this means: as of 11 September 2026, the first mandatory requirements, such as the reporting of vulnerabilities, will apply. From 11 December 2027, 36 months after the CRA entered into force, all requirements must be met in order for products to continue to be marketed within the EU. Depending on the product,  adjustments will be necessary on both a technical and organisational level. The good news is that companies can rely on existing best practices and do not have to reinvent the wheel.

The Scope of the CRA and its product categories

The CRA regulation applies to products with digital elements, i.e. hardware or software that process digital data and can be connected: from smartphones and browsers to control systems in the industrial sector and critical components such as smart cards and hardware security modules.

Depending on the risk class, the depth of proof required for conformity varies: the CRA distinguishes between general products, products with a direct cybersecurity function, and highly sensitive applications in critical infrastructures. For critical products, external third-party testing is required, while general products only require a self-declaration.

The new obligations for manufacturers under the CRA

The obligations of the CRA can be divided into two areas:

• the requirements for product security and
• the requirements for manufacturer processes.

1. The requirements for product security relate to the characteristics of the product, its technical security and its communication channels. The CRA sets out a whole range of demands: for example, the confidentiality and integrity of processed data must be ensured, protection against unauthorised access must be in place, and essential functions must remain available even in the event of an attack. Attack surfaces must be reduced, logging and monitoring capabilities must be available, and security updates must be carried out.
2. The requirements for manufacturer processes concern internal company procedures. Manufacturers must, among other things, introduce processes for the coordinated handling of vulnerabilities, establish vulnerability management, and comply with reporting obligations to authorities such as ENISA. The processes used to meet these requirements must also be documented in order to fulfil the obligation to provide evidence. This means that the CRA demands not only formal conformity but also functioning security processes.

The challenges of implementing the CRA

The main challenge for companies lies in the implementation of the regulatory requirements as some of these are open to interpretation.  For example, the CRA does not specify exactly how data integrity should be protected or how access to sensitive data should be controlled. The specific requirements are only briefly described and do not provide full clarity. Harmonised standards and guidance documents from the European Commission have not yet been published, and some are not expected until shortly before the CRA obligations finally take effect in December 2027.

The harmonised standards are divided into three categories:

• Type A Standards (horizontal frameworks) define overarching principles and terminology but are not product specific.
• Type B Standards (horizontal standards) set out product-independent requirements and focus on processes.
• Type C Standards (vertical standards) concentrate on specific product families such as firewalls or control units and are intended to ensure full coverage of the requirements.

The publication of a planned Type A Standard is expected in August 2026, fourteen Type B Standards are to be published between September 2026 and October 2027, and one Type C Standard in October 2026.

The guidance documents have also not yet been published: so far, only a publication date has been announced for one guidance document on product classification – 11 December 2025.

Questions to be clarified by these documents include, among others, what obligations arise from the use of open-source components, when a product is considered to have undergone a substantial modification, and how a risk assessment can be carried out.

CRA: Initiating implementation with Best Practices

Waiting until all relevant documents are available is not an option. Those who start implementation early can avoid the high time pressure that will inevitably arise towards the end and prevent additional costs that come with delayed implementation. This can be achieved by companies aligning themselves with already established best practices and security standards such as the IEC 62443 series or industry-specific IoT guidelines. Many of the technical and organisational requirements of the CRA can already be met in this way. Many obligations, such as those concerning vulnerability management, can be fulfilled through existing processes.

Conducting a risk analysis at an early stage is crucial. It provides the foundation for identifying key assets to protect, existing threats, and critical vulnerabilities. Taking this proactive approach saves valuable resources and significantly reduces risk.

Find out more about CRA compliance and how achelos can support you in meeting the new requirements here: https://www.achelos.de/en/services-solutions/services/cyber-resilience-act/

Authors: Philip Asmuth, Team Lead Security Architecture & Evaluation, achelos GmbH

               Denis Bock, Sales Manager Cybersecurity, achelos GmbH

Die EU reagiert darauf mit dem Cyber Resilience Act (CRA), der bereits am 11. Dezember 2024 in Kraft getreten ist. Er verfolgt das Ziel, einheitliche Sicherheitsanforderungen für Produkte mit digitalen Elementen zu etablieren und so die Resilienz gegenüber Cyberattacken zu erhöhen. Der CRA ist eine Verordnung, keine Richtlinie. Damit entfaltet er unmittelbare Geltung in allen EU-Mitgliedstaaten, ohne dass es einer nationalen Umsetzung bedarf.

CRA: Hersteller digitaler Produkte müssen handeln

Für Hersteller digitaler Produkte bedeutet das: Ab dem 11. September 2026 gelten erste verpflichtende Anforderungen wie die Meldung von Schwachstellen und ab dem 11. Dezember 2027, 36 Monate nach dem Inkrafttreten des CRA, müssen alle Anforderungen erfüllt sein, damit Produkte weiterhin auf dem EU-Markt vertrieben werden dürfen. Anpassungen werden abhängig vom Produkt auf technischer und organisatorischer Ebene notwendig. Die gute Nachricht: Unternehmen können bestehende Best Practices nutzen und müssen das Rad nicht neu erfinden.

Der Geltungsbereich des CRA und seine Produktkategorien

Die CRA-Regulierung betrifft Produkte mit digitalen Elementen, das heißt Hard- oder Software, welche digitale Daten verarbeiten und vernetzt werden können: von Smartphones und Browsern über Steuerungssysteme im industriellen Bereich bis hin zu kritischen Komponenten wie Smartcards und Hardware Security Modulen.

Je nach Risikoklasse variiert die Tiefe des erforderlichen Nachweises der Konformität: Der CRA benennt allgemeine Produkte, Produkte mit direktem Cybersecuritybezug, bis hin zu hochsensiblen Anwendungen in kritischen Infrastrukturen. Für kritische Produkte sind externe Prüfungen durch Dritte erforderlich, während allgemeine Produkte lediglich eine Selbsterklärung benötigen.

Die neuen Pflichten der Hersteller nach CRA

Die Pflichten des CRA lassen sich in zwei Bereiche unterteilen:

• die Anforderungen an die Produktsicherheit und
• die Anforderungen an die Herstellerprozesse.

1. Die Anforderungen an die Produktsicherheitbeziehen sich auf die Produkteigenschaften, auf dessen technische Sicherheit und die Kommunikationswege. Der CRA stellt hier eine ganze Reihe von Forderungen: Vertraulichkeit und Integrität der verarbeiteten Daten müssen zum Beispiel sichergestellt sein, der Schutz vor unbefugtem Zugriff bestehen und wesentliche Funktionen auch im Angriffsfall verfügbar sein. Angriffsflächen müssen reduziert werden, Logging- und Monitoring-Möglichkeiten vorhanden sein und Sicherheitsupdates durchgeführt werden.
2. Die Anforderungen an Herstellerprozessebetreffen die unternehmensinternen Abläufe. Hersteller müssen unter anderem Prozesse zur koordinierten Behandlung von Schwachstellen einführen, ein Schwachstellenmanagement etablieren und eine Meldepflicht gegenüber Behörden wie der ENISA einhalten. Die Prozesse, mit denen die Anforderungen erfüllt werden, müssen zudem dokumentiert werden, um der Nachweispflicht Genüge zu tun. Das bedeutet, dass der CRA nicht nur formal die Konformität einfordert, sondern funktionierende Sicherheitsprozesse.

Die Herausforderungen bei der Umsetzung des CRA

Die zentrale Herausforderung für Unternehmen liegt in der Umsetzung der regulatorischen Anforderungen: Teilweise sind diese interpretationsbedürftig formuliert. So lässt der CRA beispielsweise offen, wie konkret Datenintegrität geschützt oder der Zugriff auf sensible Daten kontrolliert werden soll. Die konkreten Anforderungen sind nur kurz ausgeführt und schaffen keine Klarheit. Harmonisierte Standards und Leitliniendokumente der EU-Kommission wurden noch nicht veröffentlicht und teilweise werden sie erst kurz vor dem endgültigen Inkrafttreten der CRA-Pflichten im Dezember 2027 erwartet.

Die harmonisierten Standards werden in drei Kategorien eingeteilt:

• Typ A Standards (horizontale Frameworks) legen die übergreifenden Prinzipien und Begriffe fest, sind aber nicht produktspezifisch.
• Typ B Standards (horizontale Standards) formulieren produktunabhängige Anforderungen und zielen auf Prozesse ab.
• Typ C Standards (vertikale Standards) konzentrieren sich auf konkrete Produktfamilien wie Firewalls oder Steuergeräte und sollen eine vollständige Abdeckung der Anforderungen ermöglichen.

Mit der Veröffentlichung eines geplanten Typ A Standards wird im August 2026 gerechnet, 14 Typ B Standards sollen zwischen September 2026 und Oktober 2027 veröffentlicht werden, ein Typ C Standard im Oktober 2026.

Auch die Leitliniendokumente sind noch nicht veröffentlicht: Bisher wurde nur ein Veröffentlichungsdatum für ein Leitliniendokument zur Produktklassifikation benannt – der 11. Dezember 2025.

Fragen, die durch diese Dokumente geklärt werden sollen, sind unter anderem, welche Pflichten sich aus der Nutzung von Open-Source-Komponenten ergeben, wann ein Produkt als wesentlich verändert gilt oder wie eine Risikobewertung durchgeführt werden kann.

CRA: Mit Best Practices die Umsetzung anstoßen

Warten, bis alle relevanten Dokumente vorliegen, ist keine Option. Wer früh mit der Umsetzung beginnt, kann den hohen Zeitdruck gen Ende umgehen – und auch Kosten vermeiden, die bei einer verzögerten Umsetzung zwangsläufig entstehen.

Das gelingt, indem sich Unternehmen an bereits etablierten Best Practices und Sicherheitsstandards wie der IEC 62443 Reihe oder branchenspezifischen IoT-Richtlinien orientieren. Damit lassen sich bereits heute viele der technischen und organisatorischen Anforderungen des CRA erfüllen. Viele Pflichten etwa zum Schwachstellenmanagement können mit den bestehenden Prozessen erfüllt werden.

Essenziell ist darüber hinaus die frühzeitige Durchführung einer Risikoanalyse. Diese bildet die Grundlage, um zu bestimmen, welche Assets geschützt werden müssen, welche Bedrohungen existieren und welche Schwachstellen kritisch sind. Eine solche proaktive Herangehensweise spart Ressourcen und minimiert Risiken.

Erfahren Sie hier mehr über die Einhaltung der CRA-Vorschriften und darüber, wie achelos Sie bei der Erfüllung der neuen Anforderungen unterstützen kann: https://www.achelos.de/de/services-loesungen/services/cyber-resilience-act/

Autoren:                  Philip Asmuth, Team Lead Security Architecture & Evaluation, achelos GmbH

                                Denis Bock, Sales Manager Cybersecurity, achelos GmbH

The annual award for the best master’s thesis in mathematics at Paderborn University, presented by achelos, has become something of a tradition. Philip Asmuth, Development Team Lead at achelos, received this very prize himself as a graduate back in 2019, while achelos Managing Director Thomas Freitag also graduated from the faculty with a degree in electrical engineering.

"We would like to congratulate Sascha Joachim Holl on his outstanding thesis. This once again underlines the importance of our commitment to promoting and recognising young talent. Indeed, this is why we have been a sponsoring partner of Paderborn University for many years," says Freitag. 

Philip Asmuth congratulated Sascha Joachim Holl, who was unable to attend in person due to professional commitments,  on his MSc thesis entitled "Markov chain Monte Carlo algorithms driven by regeneration-enriched dynamics" and presented the 500 € cheque on his behalf to Professor Dr. Richthammer. Another highlight of the evening, alongside the award ceremony for outstanding academic achievements, was the keynote speech, which this year was given by Professor Sir John Aston from the University of Cambridge.

achelos follows the activities of Paderborn University with keen interest, especially the mathematics degree programme. After all, this is where the skills that are also relevant for IT security are trained. In fact, modern encryption is based on arithmetic operations. This is also precisely where achelos‘ expertise lies. "Our company has a modern organisational structure, cooperative approach to management and flat hierarchies. We are committed to open and fair cooperation – as this is the only way to achieve agility," Freitag continues. In this way, achelos is positioning itself as an attractive employer, not least for students and graduates.

For more information about the company and its support for young talent, visit: www.achelos.de

Sie hat Tradition, die jährliche Auszeichnung der besten Mathematik-Masterarbeit an der Universität Paderborn durch achelos. Philip Asmuth, Development Team Lead bei achelos, erhielt als Absolvent just diesen Preis im Jahr 2019 und achelos-Geschäftsführer Thomas Freitag schloss an der Fakultät sein Studium im Bereich Elektrotechnik ab.

„Wir gratulieren Sascha Joachim Holl zu seiner hervorragenden Leistung – es ist uns ein Anliegen, junge Talente zu fördern und zu würdigen. Deswegen sind wir schon seit vielen Jahren Sponsoring-Partner der Universität Paderborn,“ sagt Freitag. 

Philip Asmuth gratulierte Sascha Joachim Holl, der aus beruflichen Gründen nicht vor Ort sein konnte, zu seiner Masterarbeit mit dem Titel „Markov chain Monte Carlo algorithms driven by regeneration-enriched dynamics“ und überreichte den Scheck über 500 Euro stellvertretend an Herrn Prof. Dr. Richthammer. Ein weiterer Höhepunkt des Abends neben der Preisverleihung für herausragende Studienleistungen war der Festvortrag, der in diesem Jahr von Professor Sir John Aston, University of Cambridge, gehalten wurde.

achelos verfolgt die Aktivitäten der Universität Paderborn und hier vor allem den Studiengang Mathematik mit Interesse. Werden doch gerade hier jene Fähigkeiten geschult, die auch für die IT-Sicherheit relevant sind; schließlich basiert moderne Verschlüsselung auf Rechenoperationen. Genau hier liegt die Expertise von achelos. „Unser Haus hat eine moderne Organisationsstruktur, eine kollegiale Führung und flachen Hierarchien. Wir setzen uns für ein offenes und faires Miteinander ein – nur so ist Agilität möglich,“ so Freitag weiter. Damit positioniert sich achelos nicht zuletzt für Studierende und Absolventen als attraktiver Arbeitgeber.

Weitere Informationen zum Unternehmen und zur Förderung von Nachwuchstalenten finden Sie unter: www.achelos.de

Die DMEA – Connecting Digital Health 2025 findet vom 8. bis 10. April auf dem Berliner Messegelände statt. Über 18.000 Besucher werden auf Europas Leitmesse für ein digitales Gesundheitswesen erwartet, wenn Experten aus IT, Medizin, Wissenschaft, Wirtschaft und Politik zusammenkommen. Themen sind unter anderem künstliche Intelligenz, personalisierte Medizin, die elektronische Patientenakte im Versorgungsalltag oder die Zukunft der Interoperabilität.

Die achelos GmbH aus Paderborn, stellt ihren Messeauftritt in diesem Jahr unter das Motto „Digitale Identitäten und Cybersecurity im Gesundheitswesen“. Als Bronzepartner der DMEA präsentiert sie ihre Lösungen für eine sichere und effiziente Digitalisierung im Gesundheitswesen in der Halle 6.2 am Stand B-105.

achelos setzt dabei folgende Themenschwerpunkte:

• TI Services: Unterstützung bei Entwicklung, Test und Zulassung
• GesundheitsID: von Entwicklung über Integration bis zur Absicherung
• C5 / ISMS: Zertifizierung und langfristige IT-Sicherheitsstrategien
• TI Messenger: umfassende Begleitung zur gematik-Zulassung
• TI Simulator: flexible Simulationsumgebung für die Telematikinfrastruktur
• Digitale Identitäten & Cybersecurity im Gesundheitswesen: erfolgreich und sicher in die TI 2.0.

„Die DMEA ist das Branchen-Event des Jahres und wir freuen uns, erneut als Bronzepartner unsere Dienstleistungen und Produkte vorstellen zu können,“ sagt Thomas Freitag, Geschäftsführer bei achelos. „Cybersicherheit und der Schutz sensibler Daten in der Cloud sind möglich – wir zeigen, wie.“

Der achelos Security-Experte Mario Kemper wird mit Volker Reers von der Qseidon GmbH die Bedeutung des BSI C5 für die Cloud-Sicherheit erläutern: am Mittwoch, 9. April 2025, um 14.15 Uhr im Solution Hub | HUB 1, Halle 1.2. Sie geben Antworten auf die Frage, warum BSI C5 der Goldstandard für Cloud-Sicherheit im Gesundheitswesen ist und wie sich sensible Patientendaten sicher schützen lassen.

Am Stand von achelos freuen sich Gorden Bittner, Thomas Freitag, Holger Volke und Carola Schwarzenberg auf einen fachlichen Austausch. Termine können im Vorfeld gebucht werden: https://www.achelos.de/de/dmea-2025/.

Wie die GesundheitsID im Gesundheitssystem genutzt wird

Aktuell ist im Gesundheitssystem die elektronische Gesundheitskarte (eGK) der Identitätsnachweis für die Versicherten. Betritt ein Patient zum ersten Mal oder im neuen Quartal eine Haus- oder Facharztpraxis, steckt er am Empfang zunächst einmal seine eGK in den Kartenleser. Das Gerät identifiziert ihn, prüft, ob er versichert ist und die Praxissoftware kann eine Verbindung zur Patientenakte herstellen. 

Künftig wird es neben der eGK digitale Identitäten geben, um sich innerhalb der Telematikinfrastruktur (TI) des Gesundheitswesens auszuweisen: Schon heute können sich Versicherte von ihrer Krankenkasse eine solche zur Verfügung stellen lassen, die sogenannte GesundheitsID. Sie enthält die notwendigen Informationen wie die Krankenversicherungsnummer (KVNR) und die Krankenversicherung des Patienten.

GesundheitsID: Die Anwendungsfälle

Die GesundheitsID ermöglicht den Zugang zu verschiedenen TI-Anwendungen ohne eine physische Karte: Patienten können sich damit via Smartphone-App zum Beispiel in ihre elektronische Patientenakte einloggen oder E-Rezepte aufrufen. 

1. Dafür müssen sie sich zunächst authentisieren: Die Identifikation erfolgt beim ersten Login mit der elektronischen Gesundheitskarte oder dem Personalausweis.
2. Danach kann die GesundheitsID über das registrierte Smartphone für die Anmeldung genutzt werden.
3. Der Vorgang der Identifikation muss in regelmäßigen Abständen wiederholt werden.
4. Später soll eine einfachere Authentifizierung etwa mit Fingerabdruck oder Gesichtserkennung möglich werden.
5. Künftig soll die GesundheitsID auch die Nutzung von Digitalen Gesundheitsapps (DiGAs) und anderen Drittanwendungen sowie die Anmeldung in Patientenportalen von Krankenhäusern ermöglichen.

Der Zeitrahmen für die GesundheitsID

Ab 2026 kann die GesundheitsID statt der eGK in Arztpraxen als alternativer Versicherungsnachweis eingesetzt werden. Ob die GesundheitsID die eGK komplett ablösen wird, hängt von verschiedenen Faktoren ab – darunter der technologische Fortschritt, Sicherheitsüberlegungen oder regulatorische Entwicklungen. 

Mit der GesundheitsID will der Gesetzgeber den Zugang zu Online-Anwendungen vereinfachen und eine karten- und hardwareunabhängige TI 2.0 erschaffen. 

Die Sicherheit digitaler Identitäten

Das geforderte Vertrauensniveau der GesundheitsID entspricht demjenigen der Online-Ausweisfunktion des Personalausweises. Für Gesundheits-Apps ist eine Zwei-Faktor-Authentifizierung vorgesehen. 

Um sichere digitale Identitäten zu entwickeln, hat die gematik, Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH, die sogenannten Spezifikationen geschaffen. Hersteller müssen nachweisen, dass ihre Geräte und Apps für den Einsatz in der TI diesen Spezifikationen genügen. Sie benötigen ein Sicherheitsgutachten des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und die funktionale Zulassung der gematik, für die umfangreiche Tests erforderlich sind.

 Die Entwicklung mit dem Virtual Card Kit von achelos

Anwendungen und Geräte in der TI müssen entsprechend hohen Standards entsprechen; für die Entwicklung etwa von Kartenlesegeräten greifen zahlreiche Hersteller auf ein besonderes Werkzeug zurück, das Virtual Card Kit der achelos GmbH. 

Das System, eine Kombination aus Software- und Hardwarekomponenten, simuliert die unterschiedlichen Kartentypen – elektronische Gesundheitskarten, Heilberufsausweise und Gerätekartentypen – und damit alle SmartCards, die von der gematik für die Telematikinfrastruktur zertifiziert sind. 

Damit können diverse kritische Fehler, die eine Karte auslösen kann, etwa bei ungültigen Daten oder abgelaufenen Zertifikaten, simuliert werden. Das System agiert wie die Gesundheitskarte und erlaubt es den Entwicklern, sich den Ablauf des Prozesses und seine Reihenfolge anzusehen und die Kommunikation zwischen Karte und Kartenleser zu analysieren. 

Über die Simulation können beliebige Fehler auf Knopfdruck eingeschleust werden: Sie wird am Computer gesteuert und der Hersteller kann auf diese Weise testen, wie sich sein Gerät verhält: etwa, ob die Kommunikation abbricht, Fehler ignoriert werden oder ob es den Prozess einfach weiterlaufen lässt. Mit echten Karten kann die gesamte Fehlerbandbreite nicht erzeugt werden.

Ausweissimulator PersoSIM wird für weitere Tests angebunden

Die veröffentlichte Spezifikation des BSI sieht vor, dass die GesundheitsID zyklisch durch eine Anmeldung über die Online-Ausweisfunktion des Personalausweises oder über die elektronische Gesundheitskarte (eGK) mit PIN bestätigt werden muss. Dies macht es notwendig, Tests auch mit Personalausweisen, die Teil der Identifizierung für den Zugang zu Online-Gesundheitsanwendungen sind, durchzuführen. 

Dafür kann nun der Ausweissimulator PersoSim, eine Open-Source-Applikation des BSI, an das System von achelos angebunden werden: So kann sowohl mit Personalausweisen als auch Gesundheitskarten von Herstellern, App-Entwicklern oder Krankenkassen getestet werden. 

Kommandos lassen sich während der Simulation in Echtzeit mitlesen und protokollieren und Manipulationen sind auf APDU-Ebene möglich: Hier kann auf Protokollebene eingegriffen und die technische Kommunikation gestört werden, um Fehler zu generieren, seien es falsche Namen oder Fehler in der Syntax, um zu testen, ob das Lesegerät den Prozess abbricht oder ihn wiederholt.

Ein effektives Tool für Entwicklung und Qualitätssicherung

Das Virtual Card Kit stellt als Simulation des Personalausweises oder der eGK nicht nur eine Lösung für die Qualitätssicherung bei der Entwicklung von Kartenlesegeräten dar. Es beschleunigt zudem die Entwicklung, indem es die breite Abdeckung von Fehlern in den Tests ermöglicht und damit die Wahrscheinlichkeit massiv erhöht, eine Zulassung durch die gematik zu erreichen.

Autoren: Gorden Bittner, eHealth-Direktor und Holger Volke, Technischer Leiter – achelos GmbH

—

Besuchen Sie uns auf der DMEA und lernen Sie unser umfangreiches Portfolio für den deutschen Gesundheitsmarkt kennen.
Wir freuen uns auf Ihren Besuch auf unserem Messestand in Halle 6.2 Stand B-105!