SECURITY ANALYSIS OF THE GERMAN ELECTRONIC HEALTH CARD’S PERIPHERAL PARTS

Ali Sunyaev, Alexander Kaletsch, Christian Mauro, Helmut Krcmar

2009

Abstract

This paper describes a technical security analysis which is based on experiments done in a laboratory and verified in a physician’s practice. The health care telematics infrastructure in Germany stipulates every physician and every patient to automatically be given an electronic health smart card (for patients) and a corresponding health professional card (for health care providers). We analyzed these cards and the peripheral parts of the telematics infrastructure according to the ISO 27001 security standard. The introduced attack scenarios show that there are several security issues in the peripheral parts of the German health care telematics. Based on discovered vulnerabilities we provide corresponding security measures to overcome these open issues and derive conceivable consequences for the nation-wide introduction of electronic health card in Germany.

References

  1. Anderson, R. J., 2001. Security Engineering: a Guide to Building Dependable Distributed Systems. 1st. John Wiley & Sons, Inc.
  2. Bales, S., 2003. Die Einführung der Telematik im Gesundheitswesen als Herausforderung für die Weiterentwicklung der Patientenrechte in Deutschland. [Talk] Bonn: gematik. Available at: http://www.dimdi.de/dynamic/de/ehealth/karte/downlo adcenter/veroeffentlichungen/vortraege/bagh-bonnbal-031107.pdf [Accessed 9 September 2008].
  3. Beck, K., 2000. Extreme programming eXplained: embrace change. Reading, MA: Addison-Wesley.
  4. Berg, W., 2004. Telemedizin und Datenschutz. Medizinrecht, 22 (8), pp. 411-414.
  5. Blobel, B., 2004. Authorisation and access control for electronic health record systems. International Journal of Medical Informatics, Vol. 73 Nr. 3, pp. 251-257.
  6. BSI, Bundesamt für Sicherheit in der Informationstechnik, 2004. Studie zu ISO-Normungsaktivitten ISO/BPM - Anforderungen an Information Security Management Systeme.
  7. Caumanns, J. et al., 2006. Die eGK-Lösungsarchitektur Architektur zur Unterstützung der Anwendungen der elektronischen Gesundheitskarte. InformatikSpektrum, 29 (5), pp. 341-348.
  8. Drees, D., 2007: The Introduction of Health Telematics in Germany. In: European Commission Directorate General Information Society, Information Security Solutions Europe/SECURE 2007 Conference. Poland, Warsaw 25 27 September 2007. Vieweg: Wiesbaden.
  9. Gematik, Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH, 2008a. Spezifikation eHealthKartenterminal. Version 2.6.2.
  10. Gematik, Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH, 2008b. Spezifisches Sicherheitskonzept der dezentralen Komponenten - Einboxkonnektor-Szenario. Version 0.9.0 Kandidat.
  11. Gematik, Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH, 2008c. Übergreifendes Sicherheitskonzept der Gesundheitstelematik. Version 2.3.0.
  12. Gematik, Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH, 2008d. Gesamtarchitektur. Version 1.4.0.
  13. Gematik, Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH, 2008e. Konnektorspezifikation. Version 2.8.0.
  14. Gematik, Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH, 2008f. Facharchitektur Versichertenstammdatenmanagement (VSDM). Version 2.6.0.
  15. Gematik, Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH, 2008g. Facharchitektur Daten für die Nie Notfallversorgung (NFDM). Version 1.7.0.
  16. Gematik, Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH, 2008h. Facharchitektur Verordnungsdatenmanagement (VODM). Version 1.5.1.
  17. Huber, M., Sunyaev, A. & Krcmar, H., 2008. Security Analysis of the Health Care Telematics Infrastructure in Germany. In: INSTICC, International Conference on Enterprise Information Systems 2008. Spain, Barcelona 12-16 June 2008.
  18. Mandl, K.D. et al., 2007. Indivo: a personally controlled health record for health information exchange and communication. BMC Medical Informatics and Decision Making, Vol. 7 Nr. 25.
  19. Mauro, C. et al., 2008. A Proposed Solution for Managing Doctor's Smart Cards in Hospitals Using a Single Sign-On Central Architecture. In: HICSS 41, Hawaii International Conference on System Sciences. Hawaii, Big Island 7-10 January 2008.
  20. Neuhaus, J., Deiters, W. & Wiedeler, M., 2006. Mehrwertdienste im Umfeld der elektronischen Gesundheitskarte. Informatik-Spektrum, 22 (5), pp.332-340.
  21. Schneier, B., 2000. Secrets and lies: digital security in a networked world. John Wiley: New York.
  22. SGB V, 2007. Sozialgesetzbuch. Fünftes Buch. DTVBeck.
  23. Sunyaev, A., von Beck, J., Jedamzik, S. & Krcmar, H., 2008a. IT-Sicherheitsrichtlinien für eine sichere Arztpraxis. Volume 1. Berlin: Shaker.
  24. Sunyaev, A. et al., 2008b. Bewertung und Klassifikation von Bedrohungen im Umfeld der elektronischen Gesundheitskarte. In: Gesellschaft für Informatik, Informatik 2008. Germany, Munich 8-13 September. Gesellschaft für Informatik: Munich.
  25. Sunyaev, A. et al., 2009. Analysis of the Applications of the Electronic Health Card in Germany. In: WI 2009, Proceedings of Wirtschaftsinformatik 2009, Austria, Vienna 25-27 February 2009.
Download


Paper Citation


in Harvard Style

Sunyaev A., Kaletsch A., Mauro C. and Krcmar H. (2009). SECURITY ANALYSIS OF THE GERMAN ELECTRONIC HEALTH CARD’S PERIPHERAL PARTS . In Proceedings of the 11th International Conference on Enterprise Information Systems - Volume 3: ICEIS, ISBN 978-989-8111-86-9, pages 19-26. DOI: 10.5220/0001854000190026


in Bibtex Style

@conference{iceis09,
author={Ali Sunyaev and Alexander Kaletsch and Christian Mauro and Helmut Krcmar},
title={SECURITY ANALYSIS OF THE GERMAN ELECTRONIC HEALTH CARD’S PERIPHERAL PARTS},
booktitle={Proceedings of the 11th International Conference on Enterprise Information Systems - Volume 3: ICEIS,},
year={2009},
pages={19-26},
publisher={SciTePress},
organization={INSTICC},
doi={10.5220/0001854000190026},
isbn={978-989-8111-86-9},
}


in EndNote Style

TY - CONF
JO - Proceedings of the 11th International Conference on Enterprise Information Systems - Volume 3: ICEIS,
TI - SECURITY ANALYSIS OF THE GERMAN ELECTRONIC HEALTH CARD’S PERIPHERAL PARTS
SN - 978-989-8111-86-9
AU - Sunyaev A.
AU - Kaletsch A.
AU - Mauro C.
AU - Krcmar H.
PY - 2009
SP - 19
EP - 26
DO - 10.5220/0001854000190026