gemF_TI-Gateway_V1.0.0
Elektronische Gesundheitskarte und Telematikinfrastruktur
Feature:
TI-Gateway
| Version | 1.0.0 |
| Revision | 572642 |
| Stand | 15.02.2023 |
| Status | freigegeben |
| Klassifizierung | öffentlich |
| Referenzierung | gemF_TI-Gateway |
Dokumentinformationen
Änderungen zur Vorversion
Anpassungen des vorliegenden Dokumentes im Vergleich zur Vorversion können Sie der nachfolgenden Tabelle entnehmen.
Dokumentenhistorie
| Version |
Stand |
Kap./ Seite |
Grund der Änderung, besondere Hinweise |
Bearbeitung |
|---|---|---|---|---|
| 1.0.0 | 15.02.23 | freigegeben | gematik | |
Inhaltsverzeichnis
1 Einordnung des Dokuments
Die Schnittstelle zwischen der zentralen Infrastruktur der TI und der dezentralen Umgebung bildet derzeit die dezentrale Komponente Konnektor, die eine gesicherte Verbindung zum VPN-Zugangsdienst der TI aufbaut. Um im Sinne der TI2.0 Komplexität aus der dezentralen Umgebung zu entfernen, wurde das Produkt TI-Gateway definiert, welches die Funktion von Zugangsdienst und Teilfunktionen des Konnektors in einem Dienst zusammenfasst. Dieses Feature-Dokument beschreibt das TI-Gateway (Anbieter TI-Gateway, Produkt Zugangsmodul und Anpassungen am Produkt Highspeed-Konnektor) und beinhaltet Blattanforderungen, die nicht bereits Teil anderer Spezifikationen der gematik sind. Der vollständige Anforderungshaushalt ergibt sich aus den Steckbriefen für den Anbieter TI-Gateway und den Produkten, die Teil des TI-Gateway sind.
1.1 Zielsetzung
Dieses Dokument soll ein Verständnis für das TI-Gateway vermitteln und die Anforderungslage vervollständigen. Dadurch sollen Hersteller und Anbieter in die Lage versetzt werden, das Produkt herzustellen bzw. dessen Betrieb zu ermöglichen.
1.2 Zielgruppe
Hersteller, Anbieter, Nutzer und andere Stakeholder.
1.3 Abgrenzungen
Das Dokument beinhaltet nur neue bzw. geänderte Anforderungen. Die vollständige Anforderungslage für die Produkttypen des TI-Gateways und den Anbieter des TI-Gateways ergeben sich aus den Produkttypsteckbriefen, dem Anbietersteckbrief und den darin referenzierten Anforderungen.
1.4 Methodik Anforderungen
Anforderungen als Ausdruck normativer Festlegungen werden durch eine eindeutige ID sowie die dem RFC 2119 [RFC2119] entsprechenden, in Großbuchstaben geschriebenen deutschen Schlüsselworte MUSS, DARF NICHT, SOLL, SOLL NICHT, KANN gekennzeichnet.
Da in dem Beispielsatz „Eine leere Liste DARF NICHT ein Element besitzen.“ die Phrase „DARF NICHT“ semantisch irreführend wäre (wenn nicht ein, dann vielleicht zwei?), wird in diesem Dokument stattdessen „Eine leere Liste DARF KEIN Element besitzen.“ verwendet. Die Schlüsselworte werden außerdem um Pronomen in Großbuchstaben ergänzt, wenn dies den Sprachfluss verbessert oder die Semantik verdeutlicht.
Anforderungen werden im Dokument wie folgt dargestellt:
<AFO-ID> - <Titel der Afo>
Text / Beschreibung
[<=]
Dabei umfasst die Anforderung sämtliche zwischen Afo-ID und Textmarke [<=] angeführten Inhalte.
2 Einordnung in die Telematikinfrastruktur
Das TI-Gateway ist ein zentraler Dienst der Telematikinfrastruktur, der Leistungserbringern anstelle eines Konnektors ermöglicht,
- eHealth-Kartenterminals (und darüber TI-Smartcards) zu nutzen,
- Services zu nutzen, wie sie vom Anwendungskonnektor und den Fachmodulen des Konnektors angeboten werden und
- über das Netzwerk auf offene Fachdienste und WANDA zuzugreifen.
Anbieter des TI-Gateways können darüber hinaus ihren Kunden weitere Services anbieten, müssen dann jedoch transparent machen, dass diese nicht Teil des zugelassenen TI-Gateways sind. (siehe A_23472)
Durch die Verschiebung der Funktionalitäten, die heute vom Konnektor im lokalen Netz des Nutzers bereitgestellt werden, in einen im Rechenzentrum betriebenen Dienst stehen zwangsläufig gewisse Funktionen nicht mehr zur Verfügung. Dies sind konkret:
- Schutz des lokalen Netzes des Nutzers gegenüber Angriffen aus dem Internet (bei Konnektor ausschließlich bei Anbindung "in Reihe" gegeben)
- Sicherer Internet Service (SIS)
- Zeitdienst für das lokale Netz
- DHCP Server für das lokale Netz
- VSDM im Offline-Betrieb
- VSDM im Standalone-Betrieb (nur bei Nutzung von zwei Konnektoren gegeben)
Nutzer bzw. die von ihnen beauftragten IT-Dienstleister (DVO) müssen entsprechend alternative Lösungen für die Funktionen umsetzen, die zuvor über den Konnektor genutzt wurden (sofern die Funktionen benötigt werden). Dies gilt insbesondere für die Absicherung des lokalen Netzes gegen das Internet, falls vor der Nutzung des TI-Gateway ein Konnektor in Anbindungsart "in Reihe" installiert war.
3 Technisches Konzept
Die Anbieterzulassung für das TI-Gateway setzt eine Produktzulassung Zugangsmodul und eine Produktzulassung Highspeed-Konnektor (HSK) voraus. Die Komponente http-Proxy ist als Teil des Produkttyps HSK umzusetzen. Die Anbieterzulassung für das TI-Gateway umfasst die Produkte Intermediär-VSDM, wobei ein bereits unter der Anbieterzulassung VPN-Zugangsdienst betriebener Intermediär nachgenutzt werden kann.
Abbildung 1: Anbindung TI-Gateway
Das Zugangsmodul ermöglicht und sichert
- den Zugriff für die fachliche Nutzung auf die HSK-Instanz
- den Zugriff für die Administration einer HSK-Instanz
- den Zugriff auf offene Fachdienste und WANDA der Telematikinfrastruktur
Der HSK stellt bereit
- die Basisdienste der Telematikinfrastruktur für LE-Umgebungen
- die Fachmodule
- die Kartenterminalintegration für die LE-Umgebung
Die Produkte Intermediär und http-Proxy bieten Funktionalitäten, die bei Nutzung von Konnektoren durch den VPN-Zugangsdienst abgedeckt werden.
Die Anbindung an die Telematikinfrastruktur erfolgt über einen SZZP oder SZZP-light. Die Anbindung über ein SZZP-light-plus, die bei einer Anbieterzulassung HSK vorgeschrieben ist, wird für das TI-Gateway nicht unterstützt.
4 Rollenkonzept TI-Gateway
Die gematik lässt ein Unternehmen als Anbieter des TI-Gateways zu. Der Anbieter erbringt Betriebsleistung und Service unter Verwendung zugelassener Produkte. Der Anbieter kann dazu Unterauftragnehmer beauftragen (siehe auch gemKPT_Betr.) Die Beziehungen der Firmen untereinander wird im Rollenkonzept nicht betrachtet.
Damit Mitarbeiter des Anbieters oder seiner Unterauftragnehmer nicht auf medizinische Informationen oder unberechtigt auf personenbezogene Daten zugreifen, werden die betrieblichen Tätigkeit in verschiedenen Rollen zugeordnet und es wird geregelt, welche Rollen ein Mitarbeiter innehaben kann.
Abbildung 2: Übersicht Rollen und Komponenten
4.1 Reseller
Der Reseller betreut den Kunden kaufmännisch und qualifiziert einen Neukunden bevor im Onboardingprozess dem Kunden einen HSK-Instanz erzeugt/zugeordnet wird.
Der Reseller steuert das Onboarding von LE-Institutionen inklusive dem Erzeugen von HSK-Instanzen im „Werkszustand“ (automatisiert) über die Onboarding- & Registrierungskomponente des Zugangsmoduls. Der Reseller beauftragt die Löschung von HSK-Instanzen durch den Infrastrukturbetreiber (4-Augen-Prinzip).
Im Rahmen des Onboardings werden auch automatisiert der Administrations-Zugang an den Leistungserbringer bzw. den von diesem beauftragen lokalen Administrator (DVO) vergeben (Zugangsdaten abrufbar über das Nutzer-Portal) und die HSK-Instanzen zugewiesen. Der Reseller hat auf diese Daten keinen Zugriff. Dieser Prozess ist automatisiert und erfordert keinen manuellen Eingriff des Resellers oder Betreibers.
Der Reseller hat keinen Zugriff auf medizinische Daten oder die fachliche Konfiguration von HSK-Instanzen.
Der Reseller kann am Zugangsmodul abrechnungsrelevante Information einsehen bzw. abrufen.
Der Reseller hat keinen Zugriff auf das HSK-Basissystem oder die HSK-Instanzen.
4.2 Betreiber
Der Betreiber überwacht und steuert technische Komponenten des TI-Gateways inkl. der RZ-Infrastruktur darum.
Der Betreiber greift auf das HSK-Basissystem über die Admin-Rolle "Basissystem-Admin" zu. Dazu gehört die Installation von Softwareupdates und das Erzeugen und Wiederherstellen von Backups der HSK-Instanzen (Snapshots). Dabei hat der Betreiber keinen Zugriff auf den Inhalt und die Konfiguration der HSK-Instanzen und deren fachliche Logs und er hat ebenso keinen Zugriff auf medizinische Daten. Der Infrastrukturbetreiber führt die Löschaufträge des Resellers von HSK-Instanzen aus.
Der Betreiber überwacht und administriert das Zugangsmodul.
Der Infrastrukturbetreiber kann technische Parameter wie die Ressourcenauslastung überwachen und technische Parameter wie die Ressourcenzuweisung für HSK-Instanzen ändern. Diese Aufgabe kann auch an den Reseller für dessen jeweiliges Kontingent von HSK-Instanzen übertragen werden.
4.3 Hersteller des HSK
Der Hersteller interagiert mit dem HSK-Basissystem mit der Rolle Hersteller. In dieser Funktion konfiguriert er den HSK für die Betriebsart "TI-Gateway" und koppelt den HSK mit dem HSM.
Der Hersteller stellt Softwareupdates bereit und wird für 3rd-Level-Support/Debugging hinzugezogen.
Der Hersteller des HSK hat keinen Zugriff auf Logs aus den HSK-Instanzen. Wenn diese für den Support notwendig sind, müssen diese von einer Administrator-Rolle pseudonymisiert bereitgestellt werden.
4.4 HSK-Instanz Administrator z.B. Dienstleister vor Ort (DVO)
Die Administration der HSK-Instanz wird vom Leistungserbringer oder einem von ihm beauftragten Dienstleister durchgeführt (DVO). Diese Rolle entspricht somit dem lokalen Administrator, wie er auch beim Einboxkonnektor agiert.
Der DVO greift aus der Leistungserbringerumgebung oder über einen eigenständigen Zugang auf die Administrationsschnittstelle der HSK-Instanz zu. Im Fall des eigenständigen Zugangs steuert der LE über das Nutzer-Portal des Zugangsmoduls welche Person/Organisation(DVO) auf seine Instanz zugreifen kann. Der DVO authentifiziert sich in jedem Fall direkt am Admin-Interface der HSK-Instanz.
Der LE/DVO nimmt die initiale Anbindung der HSK-Instanz an die LEI vor (Pairing der KTs und Konfiguration der Primärsysteme, beidseitige Authentisierung). Auch ein späteres Hinzufügen von neuen Primärsystemen hat stets einen lokalen Anteil auf Grund der notwendigen Konfiguration in Clientsystem und HSK-Instanz für die beidseitige Authentisierung und Zugriffssteuerung (Infomodell).
Der lokale Administrator kann fachliche Logs der HSK-Instanz einsehen.
Die Erreichbarkeit der Administrations-Schnittstelle der HSK-Instanz muss für den LE von seinen Systemen aus jederzeit gegeben sein. Dabei müssen zwei unabhängige Sicherungsschichten umgesetzt werden, eine für den Zugang zum Administrations-Interface und eine durch Authentisierung an der HSK-Instanz.
Eine Erreichbarkeit der fachlichen Schnittstellen (SOAP, LDAP, CETP, SICCT) über ein anders Netz bzw. einen anderen Zugang als den VPN-Zugang ist ausgeschlossen. Der Nutzer kann einem DVO den Zugriff auf die Administrationsschnittstelle seine HSK-Instanz auch jederzeit wieder über das Nutzer-Portal entziehen.
4.5 Remote-Administrator
Der Remote-Administrator übernimmt kontinuierliche Überwachungs- und Wartungsaufgaben. Der Remote-Administrator ist eine eingeschränkte Administrator-Rolle, die nicht über alle Rechte verfügt. Insbesondere kann der Remote-Administrator keine neuen Clientsysteme anlegen oder bestehende Clientsystem-Identitäten ändern. Dadurch ist ausgeschlossen, dass ein Remote-Administrator als Innentäter sich selbst als Clientsystem konfiguriert und somit dauerhaft remote mittels der Identität der jeweiligen LEI auf die TI und ihre Fachdienste zugreifen kann (bspw. ePA).
Der Remote-Administrator darf keinen Zugriff auf die SOAP/CETP-Schnittstellen haben (Ausschluss durch Netzwerk und/oder Authentifizierung)
Die Rolle entspricht dem bisherigen Remote-Administrator bei Einboxkonnektoren. Die Rolle ist optional.
4.6 Kunde - Leistungserbringer
Der Kunde, also der Leistungserbringer ist der Nutzer der fachlichen Schnittstellen(SOAP, LDAP, CETP, SICCT) einer konkreten HSK-Instanz und Inhaber einer SMC-B-Identität. Der Kunde hat Administrativen Zugang zu seiner HSK-Instanz.
Der Nutzer des Zugangsmoduls mit der Rolle Kunde
- bezieht ein Zugangsprofile zum TI-Gateway und
- vergibt/entzieht den Remote-Zugang zum Admin-Interface seiner HSK-Instanz für DVO.
Der Kunde hat einen Vertrag mit dem Anbieter des TI-Gateway und beauftragt ggf. einen DVO.
Weitere Rollen
Die Hersteller von anderen Komponenten (Intermediär, Zugangsmodul) haben abgesehen von ggf. Support für die von ihnen entwickelten Komponenten keine Rolle im Betrieb.
4.7 Rollenkombinationen & Rollenausschlüsse
Durch die Beschränkung der Rollen, die ein Mitarbeiter eines Anbieters TI-Gateway und seiner Unterauftragnehmer innehat, soll der Zugang zu medizinischen und personenbezogenen Versichertendaten verhindert werden.
Personen können mehrere der oben genannten Rollen ausführen. Folgende Rollen können dabei kombiniert werden
Abbildung 3: Szenarien mit erlaubten Rollenkombinationen
A_23237 - Rollenausschluss Betreiber - DVO
Der Anbieter des TI-Gateways MUSS sicherstellen, dass Personen aus dem Betrieb des TI-Gateways (Rolle Betreiber) nicht zeitgleich als lokale Administratoren von HSK-Instanzen des TI-Gateway (Rolle DVO) tätig werden und dass entsprechende Prozesse definiert und etabliert sind, die dies dauerhaft gewährleisten und eine regelmäßige Validierung der Umsetzung durchsetzen. Die Umsetzung des Rollenausschluss MUSS die Weisungsbefugnis von Vorgesetzten berücksichtigen. Das heißt, dass kein Vorgesetzter direkte Weisungsbefugnis sowohl für Personen mit der Rolle Betreiber als auch für Personen mit der Rolle DVO innehaben darf (ausgenommen ist das Management des Unternehmens). [<=]
A_23238 - Rollenausschluss Hersteller - andere Rollen
Der Anbieter des TI-Gateways MUSS sicherstellen, dass keine Personen, die in der Herstellung (Entwicklung/Implementierung) des HSK und/oder des Zugangsmoduls tätig ist, Aufgaben eines Betreibers, Resellers oder DVOs übernimmt und dass entsprechende Prozesse definiert und etabliert sind, die dies dauerhaft gewährleisten und eine regelmäßige Validierung der Umsetzung durchsetzen. [<=]
Die Einschränkung aus den obigen Anforderung muss vertraglich zwischen Anbieter und seinen Unterauftragnehmern festgelegt werden. Die Unterauftragnehmer müssen diese Einschränkung vertraglich mit ihren Mitarbeitern festlegen.
A_23239 - Rollenkombination Betreiber - Reseller
Der Anbieter des TI-Gateway MUSS sicherstellen dass für das Löschen von HSK-Instanzen ein 4 Augen Prinzip unter Mitwirkung des Resellers zur Anwendung kommt. [<=]
5 Spezifikation Zugangsmodul
5.1 Onboarding und Registrierung
Abbildung 4: Onboarding und Registrierung
Der Anwender soll von dem System durch den Registrierungs- und Onboardingprozess geführt werden. Der Prozess soll in der Regel ohne Intervention eines Administrators auf Seiten des TI-Gateways durchgeführt werden. Im Folgenden wird der Prozess exemplarisch beschrieben. Die Konkrete Umsetzung darf davon abweichen, solange die formulierten Anforderungen erfüllt werden. Die Automatisierung manueller schritte ist ausdrücklich erwünscht.
Der Reseller oder im Falle einer Selbstregistrierung der Leistungserbringer startet den Registrierungsprozess.
Der Leistungserbringer richtet eine Zwei-Faktor-Authentisierung (2FA) für seinen Zugang ein.
Nach erfolgreicher Registrierung erfolgt das Onboarding:
1. Das Onboarding-Modul löst am HSK-Server die Erzeugung einer HSK-Instanz aus. Darauf erhält das Onboarding-Modul die virtuelle IP-Adresse der HSK-Instanz und das initiale Admin-Passwort.
2. Das Onboarding-Modul generiert die benötigten VPN-Profile mit Credentials und der Inner-IP für die LE-Umgebung. Der LE wählt, ob er ein VPN-Profile für ein VPN-Gateway, mehrere VPN-Profile für Software-VPN-Clients auf verschiedenen Rechnern oder separate VPN-Profile für Kartenterminals benötigt.
3. Das Onboarding-Modul konfiguriert den VPN-Server und das Routing für diese LE-Umgebung zu der zugehörigen HSK-Instanz. Wenn ein über VPN angeschlossener DVO auf die HSK-Instanz zugreifen soll, gibt der LE diesen Netzwerkzugriff frei.
4. Der Nutzer oder sein DVO lädt die Zugangsdaten für die initiale Einrichtung aus dem Onboarding-Modul. Er richtet die lokale Umgebung inkl. des VPN-Clients ein. Über eine VPN-Kanal konfiguriert der DVO die HSK-Instanz. Dabei prüft der DVO zunächst das HSK-AK.AUT-Zertifikat. Anschließend ändert der DVO das Passwort zum Administrations-Zugang der Instanz, prüft auf ein "sauberes" ( = leeres) Informationsmodell und erzeugt oder importiert eine individuelle TLS-Identität für die Instanz, welche dann in den Clientsystemen verteilt wird. Somit kann später bei jeder Server-Authentifizierung konkret die Instanz der LEI verifiziert werden (statt nur der HSK). Ansätze zur Authentifizierung der konkreten HSK-Instanz über eigene AK.AUT-Identitäten pro Instanz sind ebenso zulässig. Der DVO richtet initial mindestens das Informationsmodell für ein Kartenterminal mit einer SMC-B ein.
5. Das Onboarding-Modul prüft die SMC-B (Nutzung SMC-B über KT und HSK-Instanz; ggf. lokale Onboarding-Softwarekomponente notwendig, welche die Aufrufe der Konnektor-Operation steuert). Im Falle einer gültigen SMC-B schaltet das Onboarding-Modul das Routing aus dem LE-Netz zu WANDA und offenen Fachdiensten frei.
5.1.1 Nutzerportal
A_23241 - Nutzer-Portal für Leistungserbringer
Das Zugangsmodul MUSS ein Nutzer-Portal zur Interaktion des Leistungserbringers mit dem TI-Gateway bereitstellen, welches über eine Verbindung mit prüfbarerer Authentizität des Servers und Schutz der Vertraulichkeit und Integrität erreicht wird. Wird das Nutzer-Portal über einen Web-Browser erreicht, MUSS es sich mit einem Extended Validation TLS-Zertifikat eines Herausgebers gemäß [CAB Forum] authentisieren und OCSP-Stapling [RFC-6066] umsetzen. [<=]
Das Zugangsmodul kann eine lokale Softwarekomponente umfassen. Das Zugangsmodul interagiert mit dem HSK über einen technischen User mit der Rolle Zugangsmodul.
A_23242 - TI-Gateway Zugangsmodul - Zwei-Faktor-Authentifizierung für Leistungserbringer
Das Zugangsmodul MUSS den Leistungserbringer für den Zugang zum Nutzer-Portal mit zwei Faktoren authentifizieren und dabei sowohl durchsetzen, dass die Faktoren aus verschiedenen Kategorien stammen:
als auch, dass die Faktoren nicht unabhängig voneinander angreifbar sind.
[<=]
Informationen zu Biometrie-Klassen unter Android sind unter https://source.android.com/docs/compatibility/cdd zu finden.
A_23338 - TI-Gateway Zugangsmodul - Schutz der Zugangsdaten
Das Zugangsmodul MUSS die Nutzer-Portal-Zugangsdaten/-faktoren der Nutzer geschützt vor unberechtigter Kenntnisnahme und Manipulation - auch von Administratoren - speichern. Das Zugangsmodul MUSS Änderungen von Zugangsdaten/-faktoren von Nutzern mit zwei Faktor Authentisierung nur erfolgreicher Zwei-Faktor-Authentisierung zulassen. [<=]
A_23339 - TI-Gateway Zugangsmodul - Maßnahmen bei vergessenen oder verlorenen Zugangsfaktoren
Wenn das Zugangsmodul Maßnahmen zum Zurücksetzen von Zugangsfaktoren für das Nutzer-Portal implementiert, DARF es NICHT die Sicherheit der Zwei-Faktor-Authentisierung aushebeln. [<=]
Dies kann bspw. über ein registriertes E-Mail-Konto des Nutzers geschehen, sofern dieses in dem Sinne als dritter Faktor fungiert, also nicht bereits in die 2FA eingebunden ist und jeweils nur ein Faktor zurückgesetzt werden kann, also nicht beide gleichzeitig.
A_23363 - TI-Gateway Zugangsmodul - Freischaltung von HSK-Instanzen für Nutzer
Das Zugangsmodul MUSS durchsetzen, dass HSK-Instanzen erst erzeugt werden, wenn diesbezüglich ein Vertrag abgeschlossen wurde (Freigabe durch Reseller). [<=]
Die obige Anforderung zielt darauf ab, dass neue Nutzer vertrieblich qualifiziert werden, bevor sie Zugang zu einer HSK-Instanz bekommen. Damit soll ausgeglichen werden, dass die technische Berechtigungsprüfung mit der SMC-B erst später im Onboardingprozess erfolgen kann.
A_23353 - TI-Gateway Zugangsmodul - Erzeugung HSK-Instanz und VPN-Profil
Das Zugangsmodul MUSS für registrierte Nutzer folgendes erzeugen und für den Nutzer bereithalten:
- Eine oder mehrere HSK-Instanzen - entsprechend der Freigabe des Resellers - am HSK des TI-Gateway, wobei als Rückgabeparameter das initiale Passwort für den Instanz-Administrator und die Routinginformationen für die jeweilige Instanz erhalten wird.
- Ein VPN-Profil bestehend aus Daten, die für den Aufbau der VPN-Verbindung notwendig sind. (bspw. Client-Schlüssel und -Zertifikat, Informationen zu Adressierung und Routing, Vertrauensanker zur Authentifizierung des VPN-Konzentrators durch den Client).
Als Variante zur Zustellung des VPN-Profiles über das Nutzerportal kann auch ein Provisionierungssystem angebunden werden, wenn z.B. vorkonfigurierte VPN-Gateway-Hardware zum Einsatz kommt.
Für den Fall, dass seine VPN-Schlüssel korrumpiert wurden, gilt:
A_23439 - TI-Gateway Zugangsmodul - Wechsel von VPN-Profilen
Das TI-GW-Zugangsmodull MUSS dem LE ermöglichen, bestehende VPN-Profile zu deaktivieren und neue VPN-Profile zu generieren.
[<=]
A_23281 - Schutz der privaten VPN-Schlüssel und initialer Passwörter bei zentraler Speicherung
Das Zugangsmodul MUSS das VPN-Profil eines Nutzers sowie das initiale Instanz-Administrator-Passwort ausschließlich dem authentifizierten Nutzer (Leistungserbringer) oder dem authentifizierten DVO, der vom Nutzer ausgewählt wurde, zugänglich machen. Die privaten Schlüssel für die VPN-Clientauthentisierung, die VPN-Serverauthentisierung und das initiale Instanz-Administrator-Passwort MÜSSEN bei der zentralen Speicherung vor unberechtigtem Zugriff und Manipulation - auch von Administratoren beim Zugangsmodul - geschützt sein, wobei dies neben organisatorischen Maßnahmen auch durch technische Maßnahmen unterstützt sein muss. So ist bspw. eine persistente Speicherung im Klartext und ohne Maßnahmen zum Erkennen von Änderungen unzulässig (siehe dazu auch A_23366*). [<=]
Es ist zulässig, dass DVOs über ein VPN an das TI-Gateway angeschlossen werden und nach Freigabe durch den LE als Administrator auf die HSK-Instanz des LE zugreifen. (Siehe 5.3 Routing und Firewall)
A_23385 - TI-Gateway Zugangsmodul - Sichere Übermittlung VPN-Profil an DVOs
Das Zugangsmodul MUSS das VPN-Profil eines DVOs vertraulich und integer an den authentifizierten DVO übermitteln. Dies muss jedoch nicht zwingend über das selbe Nutzerportal geschehen wie für Leistungserbringer. [<=]
A_23243 - Netzzugang zur TI nach SMC-B Prüfung
Das Zugangsmodul MUSS die SMC-B der LE-Institution inkl. Besitz des privaten Schlüssels und Online-Sperrstatus prüfen bevor es die Netzwerkverbindung zu WANDA und offenen Fachdiensten freigibt. Für diese Authentisierung wird die Identität HCI.AUT verwendet. [<=]
5.1.2 Initiale Authentifizierung der HSK-Instanz
Im Rahmen der Ersteinrichtung der HSK-Instanz muss sich der Nutzer bzw. der vom Nutzer beauftragte DVO bei der ersten Verbindung mit der Management-Schnittstelle davon überzeugen, dass er tatsächlich mit einem echten TI-Highspeed-Konnektor kommuniziert. Dafür muss die Authentizität des HSK über dessen TI-Identitäten (AK.AUT) geprüft werden. Hierbei kann eine HSK-weit genutzte Identität verwendet werden, diese muss also nicht Instanz-individuell sein. Erst dem Etablieren dieser Vertrauensbeziehung können nachfolgende Prüfschritte und die Ersteinrichtung stattfinden, wobei dann bspw. auch individuelle Identitäten und Zertifikate für spätere Verbindungen zur SOAP- und Management-Schnittstelle erzeugt werden.
Der einfachste Fall - wie er auch bei Einbox-Konnektoren vorliegt - ist ein über den Webbrowser bediente Administrations-GUI. Diese hat für die Zertifikatsprüfung den Nachteil, dass Webbrowser keine TI-Zertifikate positiv validieren. Im Falle von Einboxkonnektoren können entsprechende Warnungen des Browsers durch die manuelle Prüfung von im Browser anzeigbaren Zertifikatsdaten sowie vor allem die gleichzeitige Kontrolle über Konnektor, Netzwerk und Client akzeptiert werden. Dies ist beim TI-Gateway nicht möglich. Es ist ein essentieller Schritt bei der ersten Verbindung die Authentizität technisch vollständig zu prüfen.
Allein mit einem Webbrowser ist dies also beim TI-Gateway nicht möglich (oder nur höchst umständlich). Daher ist ein zusätzlicher Software-Client notwendig, der mindestens die Prüfung des TI-Zertifikats übernimmt und entweder weiter gefasst ist und auch die Management-GUI umfasst oder zumindest eine Validierung des anschließend im Browser mit einer Warnung angezeigten Zertifikats ermöglicht (Abgleich von Fingerprint des im Software-Client geprüften Zertifikats gegen den im Browser anzeigbaren Fingerprint). Letztere Variante ermöglicht anschließend eine Nutzung des Browsers für die Administration. In der Minimal-Version ist der Software-Client ein Kommandozeilen-Tool.
Sofern ein Browser involviert ist, sind die dadurch gegebenen Implikationen von Herstellern und Anbietern zu berücksichtigen, wie die in Webbrowsern nicht vorhandene Unterstützung von Zertifikaten und Schlüsseln, die auf Brainpool-Kurven basieren. Auch wenn nur einmalig bei der initialen Verbindung das C.AK.AUT in Zusammenspiel mit einem Webbrowser verwendet werden soll (weil anschließend Instanz-individuelle self-signed-Zertifikate erzeugt oder importiert werden), ist dies technisch nicht möglich, wenn das C.AK.AUT auf Brainpool-Kurven basiert.
Die geschilderte Prüfung der Authentizität gegen eine TI-Identität muss lediglich einmalig als initialer Schritt stattfinden. Über die so gebildete Vertrauensbeziehung ist die Erzeugung oder der Import individueller Nicht-TI-Identitäten möglich, wie es auch Einbox-Konnektoren heute schon unterstützen. Diese Identitäten können dann in Form von Allow-Listen in die genutzten Clientsysteme importiert werden, sodass spätere Authentifizierungen gegen diese Prüfbasis durchgeführt werden. Erzeugung und Import individueller Nicht-TI-Identitäten kann für eine einfache Handhabung in das Tool Integriert werden.
Grundsätzlich ergibt sich somit initial folgender Ablauf:
- Nutzer bzw. DVO (im Folgenden nur DVO) hat VPN-Profil, Inititial-Passwort und Software-Client heruntergeladen
- DVO hat den VPN-Client installiert / eingerichtet und den VPN-Tunnel aufgebaut
- DVO kennt IP-Adresse seiner HSK-Instanz und kann diese von seinem Clientystem aus über den VPN-Tunnel erreichen
- DVO nutzt den Software-Client, welcher parametrisiert mit der IP-Adresse der HSK-Instanz einen TLS-Verbindungsaufbau zur Management-Schnittstelle der Instanz durchführt und das C.AK.AUT prüft
- Der Software-Client gibt im Positiv-Fall das Prüfergebnis sowie den SHA-256 Wert des geprüften C.AK.AUT aus
- DVO verbindet sich über Webbrowser mit der HSK-Instanz
- Der Webbrowser gibt eine Warnung zur unsicheren Verbindung aus
- DVO lässt sich über die weiteren Informationen das Zertifikat und dort den SHA-256 Wert anzeigen
- DVO vergleicht die SHA-256 Werte und akzeptiert im Positiv-Fall die Verbindung im Browser
- Es findet die Ersteinrichtung unter Berücksichtigung weiterer Prüfungen im Webbrowser statt (siehe A_23340*).
Da der Software-Client die Zertifikatsprüfung durchführt, muss genau dieser Aspekt durch einen Gutachter technisch geprüft werden (A_23341*).
Für den Highspeed-Konnektor ist in diesem Zusammenhang A_23469* und A_23470* in Kapitel zu beachten.
A_23341 - TI-Gateway Zugangsmodul - Client-Software für Prüfung HSK-TLS-Zertifikat
Das TI-GW-Zugangsmodul MUSS eine Client-Software umfassen, welche unter Angabe der IP-Adresse der HSK-Instanz einen TLS-Verbindungsaufbau zur Management-Schnittstelle dieser Instanz durchführt, dabei das C.AK.AUT Zertifikat des HSK wie folgt prüft:
- Prüfung der Signatur des Zertifikats gegen ein aktuell gültiges Komponenten-CA-Zertifikate [GEM.KOMP-CAX.der] vom TSL-Downloadpunkt https://download.tsl.ti-dienste.de/SUB-CA/,
- Prüfung auf zeitliche Gültigkeit des Zertifikats,
- Prüfung auf die Zertifikatstyp-OID oid_ak_aut,
- Prüfung auf Sperrstatus "good" mittels des OCSP-Responders der Komponenten-CA im Internet
(RSA: http://download.crl.ti-dienste.de/ocsp | ECC: http://download.crl.ti-dienste.de/ocsp/ec),
Die Internet-Schnittstelle des OCSP-Responders der Komponenten-CA für die RU/TU finden sich hier:
- RSA: http://download-testref.crl.ti-dienste.de/ocsp
- ECC: http://download-testref.crl.ti-dienste.de/ocsp/ec
A_23340 - TI-Gateway Zugangsmodul - Beschreibung Authentifizierung & Verifikation HSK-Instanz
Der Anbieter TI-Gateway MUSS seinen Nutzern (Leistungserbringer bzw. deren DVO) Informationen zur Hand geben, dass beim initialen Verbindungsaufbau zur Administrationsschnittstelle der HSK-Instanz deren Authentizität überprüft werden muss und wie dies möglich ist. Dies umfasst mindestens
- die technische Prüfung des TLS-Zertifikats C.AK.AUT des HSK mittels des Software-Clients (seihe A_23341*)
- Bei Verwendung eines Webbrowsers zur Administration:
- der Abgleich des SHA-256 Werts des im Browser bei der Verbindung zur Management-Schnittstelle der HSK-Instanz mit einer Sicherheitswarnung angezeigten Zertifikats gegen den durch den Software-Client angezeigten SHA-256 Wert
- die Verifikation, dass die HSK-Instanz zur Änderung des Passworts für den Admin-Account auffordert,
- die Änderung des Passworts des Admin-Accounts,
- die Verifikation, dass keine weiteren Admin-Nutzer in der HSK-Instanz angelegt sind,
- die Verifikation, dass das Informationsmodell der HSK-Instanz leer/unkonfiguriert ist bei der Ersteinrichtung,
- Import der individuellen HSK-Instanz-Identität in die "Allowlist" der Clientsysteme und den ggf. für die Administration genutzten Webbrowser
- entweder durch die Erzeugung oder den Import einer HSK-Instanz-individuellen Server-Identität
- oder durch die Nutzung der AK.AUT-Identitäten sofern diese HSK-Instanz-individuell sind, also genau eine AK.AUT-Identität immer genau einer HSK-Instanz zugeordnet ist.
[<=]
Die oben in A_23340* dargestellten Prüfungen sind wie bereits zu Beginn des Abschnitts geschildert einmalig beim initialen Verbindungsaufbau durchzuführen. Anschließende Zertifikats-Prüfungen erfolgen gegen eine Allowlist wie im letzten Punkt von A_23340* beschrieben.
5.1.3 Betriebsfunktionen für den Leistungserbringer
A_23302 - Anzeige Verfügbarkeit und Service Level
Der Produkttyp TI-Gateway-Zugangsmodul MUSS dem Leistungserbringer die aktuelle Verfügbarkeit des Services und die erreichten Werte für die Service-Level zur Verfügbarkeit anzeigen. [<=]
Umgesetzt werden kann diese Anforderung über das Nutzer-Portal oder über eine lokale Softwarekomponente. Bei einer lokalen Softwarekomponente muss die Internet-Verfügbarkeit mit überwacht werden, um nicht die Verfügbarkeit der TI-Gateway Services zu verzerren. Verfügbarkeitsdaten werden vom HSK ermittelt und dem Zugangsmodul bereitgestellt (siehe A_23446).
5.2 VPN
Der VPN-Service des TI-Gateway-Zugangsmoduls ermöglicht es Leistungserbringerumgebungen eine VPN-Verbindung zum TI-Gateway aufzubauen. Es sind unterschiedliche VPN-Lösungen und -Clients erlaubt, solange sie den folgenden Sicherheits-Mindestanforderungen genügen.
A_23351 - TI-Gateway-Zugangsmodul - Verbindungen ausschließlich über VPN
Das Zugangsmodul MUSS sicherstellen, dass Verbindungen zur Nutzung von HSK-Instanzen des HSK des TI-Gateways ausschließlich über einen VPN-Kanal akzeptiert werden. [<=]
A_23379 - TI-Gateway-Zugangsmodul - VPN - Protokoll
Das Zugangsmodul MUSS Nutzer mittels eines VPN-Kanals anbinden, welcher auf den Protokollen IPsec/IKEv2 oder WireGuard beruht und dafür VPN-Server und VPN-Client bereitstellen. [<=]
Als VPN-Protokolle sind aktuell IPsec/IKEv2 oder WireGuard vorgesehen.
| Hinweis bzgl. WireGuard Das WireGuard-Protokoll und die darin genutzten kryptographischen Algorithmen befinden sich derzeit noch in einer detaillierteren Sicherheitsbewertung, weshalb diese aktuell noch mit einem Vorbehalt versehen sind. Dies betrifft die Anforderungen
|
Andere Protokolle sind nicht grundsätzlich ausgeschlossen, müssen jedoch mit der gematik abgestimmt werden. In Bezug auf das WireGuard-Protokoll siehe auch:
- "Whitepaper Wire Guard" https://www.wireguard.com/papers/wireguard.pdf
- "Mechanised Cryptographic Proof" https://hal.inria.fr/hal-02100345v3/document
Es kann für eine LEI sowohl eine VPN-Verbindung zu einem VPN-Router aufgebaut werden, als auch mehrere VPN-Verbindungen zu einzelnen Rechnern und Kartenterminals. Dabei müssen unterschiedliche VPN-Client-Identitäten zum Einsatz kommen.
A_23375 - TI-Gateway-Zugangsmodul - VPN - Authentisierung
Das Zugangsmodul MUSS für den VPN-Kanal eine zwingende beidseitige Authentisierung am Server und Client durchsetzen, wobei jeweils sowohl die eigene Authentisierung als auch die Authentifizierung des Gegenübers mindestens anhand statischer asymmetrische Schlüsselpaare stattfinden muss und dabei für die Schlüsselpaare asymmetrische Algorithmen aus der Menge {RSA3072, ECC-NIST-P-256, ECC-Brainpool256r1, ECC-Curve25519} verwendet werden müssen. [<=]
A_23376 - TI-Gateway-Zugangsmodul - VPN - Transportschutz
Das Zugangsmodul MUSS für den VPN-Kanal am Server und am Client einen Transportschutz für alle übermittelte Daten bzgl. Vertraulichkeit und Integrität durchsetzen unter Verwendung symmetrischer Chiffren aus der Menge {AES128, AES256, ChaCha20Poly1305}. [<=]
A_23377 - TI-Gateway-Zugangsmodul - VPN - Ephemere Sitzungs-Schlüssel
Das Zugangsmodul MUSS für den VPN-Kanal Forward-Secrecy Server- und Client-seitig durchsetzen mit ephemeren ECDH-Schlüsseln aus der Menge {ECC-NIST-P-256, ECC-Brainpool256r1, ECC-Curve25519}. [<=]
A_23378 - TI-Gateway-Zugangsmodul - VPN - Hash-Funktionen
Das Zugangsmodul MUSS für alle im Rahmen des Aufbaus und Betriebs des VPN-Kanals notwendigen Hashwertberechnungen Hashfunktionen aus der Menge {SHA256, BLAKE2s} im Server und im Client verwenden. [<=]
A_23380 - TI-Gateway-Zugangsmodul - VPN - Prüfung Sperrstatus Clients
Das Zugangsmodul MUSS bei der Client-Authentifizierung durch den Server im Rahmen des VPN-Verbindungsaufbau den Sperrstatus der Client-Identität prüfen (Vergleich A_23261*). [<=]
A_23381 - TI-Gateway-Zugangsmodul - VPN - Abbruch Verbindungsaufbau im Fehlerfall
Das Zugangsmodul MUSS durchsetzen, dass sowohl im Server als auch im Client, wenn Fehler im Rahmen der beidseitigen Authentisierung oder des Schlüsselaustauschs auftreten, jeweils ein Abbruch des Verbindungsaufbaus stattfindet. [<=]
A_23364 - TI-Gateway-Zugangsmodul - VPN-Client - Server-Authentifizierung
Der VPN-Client eines TI-Gateway-Zugangsmoduls MUSS den VPN-Server gegen eine ihm vorliegende Prüfbasis authentifizieren. [<=]
Die Prüfbasis hängt vom gewählten Authentifizierungsverfahren ab: Schlüssel, Zertifikat, CA-Zertifikat...
A_23365 - TI-Gateway-Zugangsmodul - VPN-Client - VPN-Protokoll
Der Hersteller des VPN-Client eines TI-Gateway-Zugangsmoduls MUSS das VPN-Protokoll im Client entsprechend A_23375*, A_23376*, A_23377*, A_23378*, A_23379* und A_23381* umsetzen und dies im Rahmen des Sicherheitsnachweis (Produktgutachten) mindestens durch entsprechende Tests inkl. Negativ-Testfälle im Blackbox-Ansatz verifizieren lassen. [<=]
Idealer Weise können bestehende Sicherheitsnachweis zum VPN-Client nachgenutzt werden.
A_23382 - TI-Gateway VPN-Client - Nutzerinformation
Der Anbieter des TI-Gateways MUSS seine Nutzer verständlich zum sicheren Umgang mit den privaten VPN-Client-Schlüsseln und zur korrekten Installation und Nutzung des VPN-Clients informieren. [<=]
A_23245 - VPN-Server Konfiguration durch Onboarding-Modul
Der VPN-Server des Zugangsmoduls MUSS ausschließlich Verbindungen annehmen, für die er vom Onboarding-Modul ein VPN-Profil erhalten hat. [<=]
5.3 Routing und Firewall
A_23246 - Routing zur zugewiesenen HSK-Instanz
Das TI-GW-Zugangsmodul MUSS sicherstellen, dass eine LE-Institution nur die Interfaces der ihr zugewiesenen HSK-Instanz erreichen kann. [<=]
Einem Kunden können mehrere HSK-Instanzen zugewiesen werden, aber einer HSK-Instanz kann nur einem Kunden zugewiesen sein. Siehe auch A_23390
A_23370 - Zugang zum Administrationsinterface einer HSK-Instanz
Das TI-GW-Zugangsmodul MUSS sicherstellen, dass das Administrationsinterface einer HSK-Instanz nur aus dem Netz der zugeordneten LE-Institution und einem möglicherweise vom Leistungserbringer freigegebenen DVO-Netz möglich ist. [<=]
Für den Zugang zum Administrationsinterface sind zwei unabhängige Sicherungsschichten umzusetzen. Eine Schicht kontrolliert den Zugang zum Administrationsinterface, die zweite Schicht ist die Authentisierung an der HSK-Instanz.
A_23394 - Routing zum fachlichen Interface einer HSK-Instanz
Das TI-GW-Zugangsmodul MUSS sicherstellen, dass das fachliche Interface (SOAP, LDAP, CETP) einer HSK-Instanz nur aus dem Netz der zugeordneten LE-Institution möglich ist - also auch explizit nicht aus einem möglicherweise vom Leistungserbringer für die Administration freigegebenen DVO-Netz. [<=]
A_23371 - DVO-Netzzugang entziehen
Das TI-GW-Zugangsmodul MUSS es einem Leistungserbringer ermöglichen, den Zugang zum Administrationsinterface aus einem DVO-Netz auch wieder zu entziehen. [<=]
5.4 Sicherheit & Datenschutz
TIP1-A_5389-01 - TI-GW-Zugangsmodul, zyklische Prüfung der C.HCI.AUT Zertifikate
Das Zugangsmodul MUSS die Gültigkeit (inkl. Online-Sperrstatus) aller aktiven C.HCI.AUT (SM-B-AUT-Zertifikat) einmal täglich prüfen.
[<=]
TIP1-A_5390-01 - TI-GW-Zugangsmodul, gesperrtes C.HCI.AUT Zertifikat
Das Zugangsmodul MUSS, wenn die zyklische Prüfung ergeben hat, dass eine HSK-Instanz keinen Zugriff auf ein gültiges C.HCI.AUT (SM-B-AUT-Zertifikat) hat, das mit dieser Instanz assoziierte Routing zu offenen Fachdiensten und Wanda unverzüglich entfernen und den Leistungserbringer benachrichtigen. Die Anzahl der auf diese Weise gesperrten Zugänge muss an die gematik reported werden. [<=]
Die eigentliche Gültigkeitsprüfung der SM-B wird durch den HSK durchgeführt (A_23444). Die Freischaltung der offenen Fachdienste und Wanda wird durch A_23243* geregelt.
A_23248 - DDoS-Protection
Das TI-GW-Zugangsmodul und der Anbieter des TI-Gateway MÜSSEN Angriffe auf die Verfügbarkeit des TI-Gateways (DDoS) an seinen Schnittstellen zum Internet abwehren und dabei die Empfehlungen des BSI sowie, wenn ein qualifizierter Dienstleister zum Schutz vor DDoS-Angriffen beauftragt wird, die Kriterien des BSI zur Auswahl qualifizierter Dienstleister berücksichtigen. [<=]
Empfehlungen des BSI zur Abwehr von DDoS-Angriffen sind unter https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Gefaehrdungen/DDoS/ddos_node.html und Kriterien für entsprechende Dienstleister sind unter https://www.allianz-fuer-cybersicherheit.de/Webs/ACS/DE/Informationen-und-Empfehlungen/Informationen-und-weiterfuehrende-Angebote/Qualifizierte-Dienstleister/qualifizierte-dienstleister_node.html zu finden.
A_23249 - Erkennung und Abwehr unberechtigter Zugriffe
Das TI-GW-Zugangsmodul MUSS Maßnahmen zum Erkennen und zur Abwehr unberechtigter Zugriffe aus dem Internet sowie aus angeschlossenen LEI- und DVO-Netzen umsetzen (bspw. durch Paketfilter, Netflow, IDS/IPS, ALG). [<=]
Auch aus per VPN angeschlossenen Netzen von Leistungserbringerinstitutionen sowie ggf. DVOs dürfen nur erlaubte Kommunikationen/Protokolle/Funktionen möglich sein. Insbesondere kann vor der Prüfung der SMC-B nicht sicher davon ausgegangen werden, dass tatsächlich Leistungserbringer über einen VPN-Kanal mit dem TI-Gateway interagieren.
A_23392 - Sperrung VPN-Zugänge bei detektierten Angriffen
Das TI-GW-Zugangsmodul MUSS, wenn über Netze von angeschlossenen Nutzern (LEI/DVO) Angriffe detektiert werden, die Nutzer dieser Zugänge unverzüglich darüber informieren und Maßnahmen bis hin zur Sperrung der betroffenen VPN-Zugänge umsetzen. Eine vollständige Sperrung des Zugangs muss dabei immer das letzte Mittel sein. [<=]
A_23393 - Prozesse zur schnellen Kommunikation und Entsperrung von VPN-Zugängen
Der Anbieter TI-Gateway MUSS Prozesse zur Behandlung und Klärung erkannter Angriffe aus Nutzer-Netzen etablieren, sodass eine schnelle Kommunikation mit betroffenen Kunden und eine Klärung der Situation möglich ist und eine Sperrung möglichst, vermieden werden kann, sofern dies sicherheitstechnisch vertretbar ist. Ebenso müssen Situationen, die zu einer Sperrung geführt haben, schnellst möglich geklärt werden können um den Zugang wieder zu entsperren. [<=]
TIP1-A_4338-01 - TI-GW-Zugangsmodul, Sicherung zum Transportnetz Internet durch Paketfilter
Das TI-GW-Zugangsmodul MUSS das TI-Gateway zum Transportnetz Internet durch einen zustandslosen Paketfilter (ACL) absichern, welcher ausschließlich die erforderlichen Protokolle weiterleitet. Der Paketfilter MUSS frei konfigurierbar sein auf der Grundlage von Informationen aus OSI Layer 3 und 4, das heißt Quell- und Zieladresse, IP-Protokoll sowie Quell- und Zielport. [<=]
TIP1-A_4339-01 - TI-GW-Zugangsmodul, Platzierung Paketfilters Internet
Der Paketfilter des TI-GW-Zugangsmoduls zum Schutz der VPN-Konzentratoren in Richtung Transportnetz Internet DARF NICHT auf den VPN-Konzentratoren implementiert werden. [<=]
A_23342 - TI-GW-Zugangsmodul - Richtlinien für den Paketfilter zum Internet
Der Paketfilter des TI-GW-Zugangsmoduls MUSS die Weiterleitung von IP-Paketen an der Schnittstelle zum Internet auf genau die Protokolle beschränken, die für die verwendete VPN-Technologie und das Nutzer-Portal zwingend erforderlich sind. Ein Verbindungsaufbau aus dem TI-GW-Zugangsmodul in Richtung Internet MUSS unterbunden werden. Ausnahmen davon bspw. für die Erreichbarkeit von Update-Servern sind mit dem Gutachter abzustimmen, von diesem zu bewerten und im Falle der Abnahme (positiven Bewertung) durch den Gutachter nachvollziehbar im Gutachten zu dokumentieren. [<=]
A_23457 - Weiterleitung gesammelter Informationen zu Bedrohungen an zentrales Security Monitoring
Der Anbieter TI-Gateway MUSS die Informationen über potenzielle Bedrohungen, die durch die Umsetzung von A_23248*, A_23249*, A_23342* und TIP1-A_4338* gesammelt werden an ein zentrales Security Monitoring (siehe GS-A_5557* und A_20719*) zur übergreifenden Erkennung und Analyse weiterleiten. [<=]
TIP1-A_4292-01 - TI-GW-Zugangsmodul, Härtung des VPN-Konzentrators
Die VPN-Konzentratoren des Zugangsmoduls MÜSSEN so konfigurieren werden, dass ausschließlich die erforderlichen Netzwerkprotokolle und kryptographischen Methoden akzeptiert werden. [<=]
A_23343 - TI-GW-Zugangsmodul - Kein direkter Zugriff auf zentrale Dienste und gesicherte Fachdienste
Das TI-GW-Zugangsmodul MUSS einen direkten Zugriff aus dem Internet und den Netzen angeschlossener Nutzer auf gesicherte Fachdienste und zentrale Dienste verhindern. [<=]
A_23344 - TI-GW-Zugangsmodul - Verbindungen bei Komponentenausfall beenden
Das TI-GW-Zugangsmodul MUSS sicherstellen, dass alle bestehenden VPN-Verbindungen beendet werden und keine neuen Verbindungen zugelassen werden, wenn nachgelagerte Komponenten vollständig ausgefallen sind und dadurch die Nutzung des TI-Gateways nicht mehr möglich ist. [<=]
A_23345 - TI-GW-Zugangsmodul - Härtung Zugänge
Das TI-GW-Zugangsmodul MUSS sicherstellen, dass es ausschließlich definierte und gehärtete Schnittstellen anbietet - auch für die Administration - ohne Low-Level-Zugänge mit Systemrechten. [<=]
A_23366 - TI-GW-Zugangsmodul - Nutzung HSM
Das TI-GW-Zugangsmodul MUSS für die Erzeugung von Zufallszahlen und Schlüsseln ein nach FIPS 140-2 Level 3 oder Common Criteria EAL 4 zertifiziertes HSM verwenden und geheime Schlüssel in diesem HSM vor Zugriff geschützt speichern, so dass nur das TI-GW-Zugangsmodul selbst die Schlüssel nutzen kann. Dies bezieht sich mindestens auf folgende Schlüssel:
- Geheime Schlüssel zur Authentisierung gegenüber dem HSK
- Schlüssel zum Schutz von Vertraulichkeit und Integrität persistent gespeicherter Daten (bspw. die privaten Schlüssel von VPN-Konzentratoren)
A_23473 - TI-GW-Zugangsmodul - Nachnutzung HSM des HSK
Das TI-GW-Zugangsmodul KANN das HSM des Highspeed-Konnektors nachnutzen, sofern der Highspeed-Konnektor dies entsprechend A_23474* und A_23475* zulässt. HSM-Administrator bleibt in diesem Fall jedoch der Hersteller des HSK. [<=]
A_23390 - TI-Gateway-Zugangsmodul - Eigene HSK-Instanz pro Kunde
Das TI-GW-Zugangsmodul MUSS jedem Nutzer seine eigene virtuelle HSK-Instanz zuweisen, sodass nie unterschiedliche Nutzer die selbe HSK-Instanz verwenden. [<=]
Es ist weiterhin möglich, dass Leistungserbringer bspw. in Gemeinschaftspraxen oder einem MVZ eine einzige HSK-Instanz gemeinsam verwenden. In diesem Fall treten die Leistungserbringer gegenüber dem TI-Gateway-Anbieter als ein einziger Nutzer auf. Dies ist analog zur Nutzung eines Einbox-Konnektors mit einem VPN-Zugang durch mehrere Leistungserbringer, wobei diese ebenso gegenüber dem VPN-Zugangsdienst-Anbieter als ein Nutzer erscheinen.
Die Nutzung mehrerer Instanzen durch einen einzigen Nutzer ist problemlos, solange die Nutzung jeder Instanz entsprechend A_23390* exklusiv durch diesen Nutzer stattfindet.
A_23354 - TI-Gateway-Zugangsmodul - Kopplung HSK, Prüfung Idenität des HSK
Das Zugangsmodul in einem TI-Gateway MUSS bei der beidseitigen Authentisierung mit dem HSK die Identität (I.AK.AUT) des HSK prüfen und seine eigenen Clientsystem-Credentials hinsichtlich Vertraulichkeit und Integrität geschützt speichern. [<=]
A_23362 - TI-Gateway-Zugangsmodul - Kopplung HSK, Geschützter Import Clientsystem-Credentials
Der Anbieter TI-Gateway MUSS einen sicheren Prozess zur Erzeugung und/oder Import der Clientsystem-Credentials des Zugangsmoduls für die Verbindung zum HSK etablieren, der die Vertraulichkeit und Integrität der Clientsystem-Credentials wahrt und gewährleistet, dass Clientsystem-Credentials nicht dauerhaft außerhalb des Zugangsmoduls oder HSK vorliegen. [<=]
Die Administration des Zugangsmoduls lässt somit nur den Import der Clientsystem-Credentials zu, nicht jedoch das Auslesen dieser.
A_23261 - Sperrbarkeit von Institutionen
Der Anbieter TI-Gateway und das Zugangsmodul MÜSSEN über organisatorische und technische Maßnahmen verfügen, um einzelne angeschlossene Institutionen vom Zugang zur TI auszuschließen, unter anderem auch auf Weisung der gematik. [<=]
Die gematik muss den Zugang von Leistungserbringerinstitutionen bspw. für den Fall der Verwendung veralteter, schwachstellenbehafteter Versionen anderer TI-Komponenten sperren lassen können, da solche Komponenten eine Bedrohung für die gesamte TI darstellen können.
A_23490 - TI-Gateway-Zugangsmodul - Keine Unterbrechung TLS-Kanal zur HSK-Instanz-Administration
Das TI-GW-Zugangsmodul DARF NICHT die TLS-Verbindung des Nutzers bzw. DVOs zur Management-Schnittstelle der jeweiligen HSK-Instanz unterbrechen. Die Verbindung ist immer Ende-zu-Ende vom Nutzer bzw. DVO, der sich somit auch immer direkt an der HSK-Instanz authentisiert. [<=]
5.5 Rohdaten-Performance-Reporting
in [gemSpec_Perf#2.5.2] Rohdaten-Performance-Reporting (Rohdatenerfassung v.02)
Tabelle 1 : Tab_gemSpec_Perf_Produkte_Rohdatenerfassung_Version_v02
| PDT |
Produkttyp |
| PDT72 |
TI-Gateway-Zugangsmodul |
Die Zuweisungen der Anforderungen zu dem Produkttypen TI-Gateway-Zugangsmodul sowie zu dem entsprechenden Anbietertypen werden wie folgt vorgenommen:
A_22057 - Performance - Rohdaten - Verpflichtung des Anbieters (Rohdatenerfassung v.02)
hinzufügen der Zuordnung zu Anbietertyp: Anb_TI_Gateway - org./betriebl. Eignung: Prozessprüfung
A_22482 - Performance - Rohdaten - Erfassung von Rohdaten (Rohdatenerfassung v.02)
hinzufügen der Zuordnung zu Produkttyp: TI-Gateway-Zugangsmodul - funkt. Eignung: Test Produkt/FA
5.5.1 Umfang
A_22002 - Performance - Rohdaten - Übermittlung (Rohdatenerfassung v.02)
hinzufügen der Zuordnung zu Produkttyp: TI-Gateway-Zugangsmodul - funkt. Eignung: Test Produkt/FA
A_22000 - Performance - Rohdaten - zu liefernde Dateien (Rohdatenerfassung v.02)
hinzufügen der Zuordnung zu Produkttyp: TI-Gateway-Zugangsmodul - funkt. Eignung: Test Produkt/FA
A_22429 - Performance - Rohdaten - Inhalt der Selbstauskunft (Rohdatenerfassung v.02)
hinzufügen der Zuordnung zu Produkttyp: TI-Gateway-Zugangsmodul - funkt. Eignung: Test Produkt/FA
A_22004 - Performance - Rohdaten - Korrektheit (Rohdatenerfassung v.02)
hinzufügen der Zuordnung zu Produkttyp: TI-Gateway-Zugangsmodul - funkt. Eignung: Test Produkt/FA
A_22005 - Performance - Rohdaten - Frist für Nachlieferung (Rohdatenerfassung v.02)
hinzufügen der Zuordnung zu Produkttyp: TI-Gateway-Zugangsmodul - funkt. Eignung: Herstellererklärung
A_22003-01 - Performance - Rohdaten - Nachlieferung auf Anforderung (Rohdatenerfassung v.02)
hinzufügen der Zuordnung zu Anbietertyp: Anb_TI_Gateway - org.-betr.: Anbietererklärung
A_22996 - Performance - Rohdaten - Zeitpunkte der Übermittlungen (Rohdatenerfassung v.02)
hinzufügen der Zuordnung zu Anbietertyp: Anb_TI_Gateway - org.-betr.: Anbietererklärung
5.5.2 Lieferintervalle
A_21976 - Performance - Rohdaten - Konfigurierbarkeit der Lieferintervalle (Rohdatenerfassung v.02)
hinzufügen der Zuordnung zu Produkttyp: TI-Gateway-Zugangsmodul - funkt. Eignung: Test Produkt/FA
A_22047 - Performance - Rohdaten - Änderung der Konfiguration der Lieferintervalle (Rohdatenerfassung v.02)
hinzufügen der Zuordnung zu Produkttyp: TI-Gateway-Zugangsmodul - funkt. Eignung: Test Produkt/FA
A_22620 - Rohdaten - Umsetzungszeit für Änderung der Lieferintervalle
hinzufügen der Zuordnung zu Anbietertyp: Anb_TI_Gateway - org.-betr.: Anbietererklärung
A_21978 - Performance - Rohdaten - Trennung der Lieferintervalle (Rohdatenerfassung v.02)
hinzufügen der Zuordnung zu Produkttyp: TI-Gateway-Zugangsmodul - funkt. Eignung: Herstellererklärung
A_21975 - Performance - Rohdaten - Default-Werte für Lieferintervalle (Rohdatenerfassung v.02)
hinzufügen der Zuordnung zu Produkttyp: TI-Gateway-Zugangsmodul - funkt. Eignung: Test Produkt/FA
A_21979 - Performance - Rohdaten - Bezug der Lieferverpflichtung (Rohdatenerfassung v.02)
hinzufügen der Zuordnung zu Produkttyp: TI-Gateway-Zugangsmodul - funkt. Eignung: Herstellererklärung
A_21980 - Performance - Rohdaten - Leerlieferung (Rohdatenerfassung v.02)
hinzufügen der Zuordnung zu Produkttyp: TI-Gateway-Zugangsmodul - funkt. Eignung: Test Produkt/FA
5.5.3 Format
A_22001-01 - Performance - Rohdaten - Name der Berichte (Rohdatenerfassung v.02)
hinzufügen der Zuordnung zu Produkttyp: TI-Gateway-Zugangsmodul - funkt. Eignung: Test Produkt/FA
A_21981-02 - Performance - Rohdaten - Format des Rohdaten-Performance-Berichtes (Rohdatenerfassung v.02)
hinzufügen der Zuordnung zu Produkttyp: TI-Gateway-Zugangsmodul - funkt. Eignung: Test Produkt/FA
A_22500-01 - Performance - Rohdaten - Status-Block (Rohdatenerfassung v.02)
hinzufügen der Zuordnung zu Produkttyp: TI-Gateway-Zugangsmodul - funkt. Eignung: Test Produkt/FA
A_21982-01 - Performance - Rohdaten - Message-Block (Rohdatenerfassung v.02)
hinzufügen der Zuordnung zu Produkttyp: TI-Gateway-Zugangsmodul - funkt. Eignung: Test Produkt/FA
A_22513-01 - Performance - Rohdaten - Message-Block im Fehlerfall - JSON (Rohdatenerfassung v.02)
hinzufügen der Zuordnung zu Produkttyp: TI-Gateway-Zugangsmodul- funkt. Eignung: Test Produkt/FA
Neue Anforderungen in Kapitel "3.x.2.2 Format"
A_23269 - Performance - Rohdaten - TI-Gateway-Zugangsmodul - Duration (Rohdatenerfassung v.02)
Der Produkttyp TI-Gateway-Zugangsmodul MUSS bei Rohdaten-Performance-Berichten bzgl. der "duration_in_ms"-Felder die Hinweise der Spalte "Duration" aus Tabelle Tab_gemSpec_Perf_Berichtsformat_TI-Gateway-Zugangsmodul berücksichtigen. [<=]
A_23270 - Performance - Rohdaten - TI-Gateway-Zugangsmodul - Operation (Rohdatenerfassung v.02)
Der Produkttyp TI-Gateway-Zugangsmodul MUSS bei Rohdaten-Performance-Berichten bzgl. der "operation"-Felder die Angabe der Spalte "Operation/Usecase" aus Tabelle Tab_gemSpec_Perf_Berichtsformat_TI-Gateway-Zugangsmodul berücksichtigen. [<=]
Tabelle 2: Tab_gemSpec_Perf_Berichtsformat_TI-Gateway-Zugangsmodul
| Operation / Usecase |
Duration |
|---|---|
| I_Secure_Channel_Tunnel::connect |
Bei Aufruf der Operation beginnt die Messung mit Annahme der Aufrufnachricht an der Außenschnittstelle des Produkttyps und endet mit dem vollständigen Versenden der Antwortnachricht. |
| I_Secure_Channel_Tunnel::disconnect |
-''- |
5.6 Lastanforderungen
GS-A_5545-01 - Performance – TI-Gateway-Zugangsmodul – VPN Konfigurationseinstellungen
Der Produkttyp TI-Gateway-Zugangsmodul DARF den VPN-Durchsatz pro Leistungserbringerumgebung auf die vertraglich vereinbarte Bandbreite reduzieren. [<=]
6 Änderungen am Highspeed-Konnektor
Es sind Anpassungen am Produkt Highspeed-Konnektor notwendig, damit dieses innerhalb eines TI-Gateways verwendet werden kann. Entsprechend ist nachzuweisen, dass eine für die Verwendung im TI-Gateway vorgesehene Produkttypversion durch die genutzten HSKs umgesetzt ist.
A_23361 - TI-Gateway - Zulässige Produkttypversionen Highspeed-Konnektor
Der Anbieter TI-Gateway MUSS eine Highspeed-Konnektor-Version einsetzen, die für die Verwendung im TI-Gateway zugelassen ist. [<=]
Es sind Anpassungen an den Administratorrollen des HSK notwendig. Konkret ersetzt die folgende beiden Anforderung die Anforderungen A_21882 und A_21883 [gemF_Highspeed-Konnektor] für einen HSK, der innerhalb eines TI-Gateway genutzt wird.
A_23359 - Administration des HSK-Basis Systems
Der Highspeed-Konnektor MUSS eine Administration für das Basissystem bereitstellen und folgende separate Administratoren-Rollen umsetzen:
- Hersteller (HSK-Basis)
- Aktivierung der kryptographischen Kopplung zum SZZP-light-plus
- Konfiguration des Schlüssels für die Verbindung zum SZZP-light-plus
- Konfiguration der Kopplung zum HSM und Management HSM
- Leserechte auf das Logging des Basissystems ohne die Logs der HSK-Instanzen
- Nutzer mit Rolle "Hersteller" erzeugen/ändern/löschen
- Basissystem-Administrator
- Verwaltung der instanzenübergreifenden HSK-Konfigurationen inkl. Einspielen Updates
- Ressourcenkonfiguration von HSK-Instanzen
- Leserechte auf das Logging des Basissystems ohne die Logs der HSK-Instanzen
- Backup/Restore von HSK-Instanzen (Snapshots)
- Löschen von HSK-Instanzen
- Nutzer mit Rolle "HSK-Admin" erzeugen/ändern/löschen
- im technisch unterstützten 4 Augenprinzip Nutzer mit Rolle "Zugangsmodul" erzeugen/ändern/löschen
- Zugangsmodul (technischer user)
- Erzeugen und löschen von HSK-Instanzen
- Zuordnen von IP-Adressen zu Konnektor-Instanzen
- Backup/Restore von HSK-Instanzen
- Ressourcenkonfiguration von HSK-Instanzen
TIP1-A_4810-02 - Benutzerverwaltung der Managementschnittstelle
HSK-Instanzen MÜSSEN eine Benutzerverwaltung für die Managementschnittstelle enthalten, in der anmeldeberechtigte Administratoren-Benutzer definiert werden können.
Die Benutzerverwaltung MUSS die Administrator-Rollen Lokaler-Administrator und Super-Administrator unterstützen.
Die Benutzerverwaltung kann weitere Rollen unterstützen.
Den Administrator-Rollen MÜSSEN folgende Rechte zugewiesen sein:
- Lokaler-Administrator:
- ausschließlicher Zugriff über lokalen Endpunkt der Managementschnittstelle
- Verwaltung aller Konfigurationsdaten und Durchführung aller Administratoraktionen mit Ausnahme von:
- Benutzerverwaltung gemäß Tabelle TAB_KON_655
- Remote-Administrator:
- ausschließlicher Zugriff über remote-Endpunkt der Managementschnittstelle
- Verwaltung aller Konfigurationsdaten und Durchführung aller Administratoraktionen mit Ausnahme von:
- Benutzerverwaltung gemäß Tabelle TAB_KON_655
- Konfigurationseinstellungen und Administratoraktionen gemäß Tabelle TAB_KON_851
- Super-Administrator:
- ausschließlicher Zugriff über lokalen Endpunkt der Managementschnittstelle
- Benutzerverwaltung gemäß Tabelle TAB_KON_655
- Verwaltung aller Konfigurationsdaten und Durchführung aller Administratoraktionen
Tabelle 3: TAB_KON_655 Konfigurationen der Benutzerverwaltung (Super-Administrator)
| ReferenzID |
Belegung |
Bedeutung und Administrator-Interaktion |
|---|---|---|
| MGM_USER_LIST |
Liste von Benutzernamen und deren Kontaktdaten |
Liste von Benutzern und deren Kontaktdaten. Benutzerkonten MÜSSEN angelegt, geändert und gelöscht werden können. Das Passwort eines Benutzerkontos MUSS neu gesetzt werden können. |
| MGM_ADMIN _RIGHTS |
Liste von Zugriffsrechten eines Benutzers |
i. Eindeutige Zuordnung eines Benutzerkontos zu einer Rolle. Die Benutzerverwaltung MUSS sicherstellen, dass zu jeder Zeit mindestens ein Benutzerkonto mit der Rolle Super- Administrator vorhanden ist. Gewähren/Entziehen von Rechten für Benutzerkonten: ii. Zugriffsrechte bezüglich der Konfigurationsbereiche. iii. Recht zum Aufbau einer Remote- Management-Session und/oder zur Konfiguration des Remote-Management gemäß TAB_KON_663 (USER_INIT_REMOTESESSION). iv. Recht für einen Werksreset (USER_RESET_PERMISSION) |
Tabelle 4: TAB_KON_656 Konfigurationen der Benutzerverwaltung
| ReferenzID |
Belegung |
Bedeutung und Administrator-Interaktion |
|---|---|---|
| MGM_USER_INFO |
Kontaktdaten |
Der angemeldete Benutzer MUSS seine Kontaktdaten ändern können. Der Benutzername DARF NICHT änderbar sein. |
A_23395 - Backup & Restore von Instanzen (Konfigurationsdaten)
Der Highspeed-Konnektor MUSS ein Backup und Restore der Konfigurationen seiner Instanzen ermöglichen, wobei die Backups entweder den HSK (und seine VAU) nicht verlassen oder mit Schlüsselmaterial des HSK oder der SMC-B hinsichtlich Vertraulichkeit und Integrität so geschützt sind, dass diese nicht unberechtigt eingesehen oder geändert werden dürfen. Unberechtigt ist jeder außer der Inhaber der Instanz (LEI) und der ggf. von ihm berechtigte DVO. [<=]
A_23397 - Sicherung und Wiederherstellung HSK-Basissystem
Der HSK MUSS eine Möglichkeit bieten, die Konfiguration oder den Systemzustand des Basissystems zu sichern und wieder herzustellen.
[<=]
A_23360 - TI-Gateway - Kopplung Zugangsmodul und HSK
Der HSK in einem TI-Gateway MUSS das Zugangsmodul (bzw. Clients in der Rolle "Zugangsmodul") mittels eines beidseitig authentisierten und hinsichtlich Vertraulichkeit und Integrität geschützten Kanals anbinden, wobei der HSK seine, im HSM gespeicherte Identität (z.B. I.AK.AUT) als Server-Authentisierung nutzen. [<=]
A_23258 - Rollenausschlüsse Highspeedkonnektor
Der Highspeed-Konnektor MUSS folgende Einschränkungen bei der Zuordnung von Rollen zu Nutzern durchsetzen:
- Ein Nutzer mit der Rolle Hersteller darf keine andere Rolle haben.
- Ein Nutzer mit der Rolle Zugangsmodul darf keine andere Rolle haben.
A_21853-01 - Feste Kopplung von Konnektor und SZZP
Der Konnektor MUSS eine kryptographische Kopplung mit dem SZZP light plus unterstützen, durch die ausschließlich der Konnektor - und explizit nicht der Administrator der Betriebsumgebung - über die Schnittstellen des SZZP light plus Zugang in die geschützten Bereiche der TI bekommen. Die Kopplung muss aktiviert sein, wenn der Highspeed-Konnektor unter einer Anbieterzulassung Highspeed-Konnektor betrieben wird. Die Kopplung MUSS deaktiviert sein, wenn der Highspeed-Konnektor unter einer Anbieterzulassung TI-Gateway betrieben wird. Die Konfiguration MUSS durch den Hersteller erfolgen. [<=]
A_23303 - TLS mit Client-Authentisierung verpflichtend für Clientsystemanbindungen
Der Highspeed-Konnektor in einem TI-Gateway MUSS im Modus [ANCL_ TLS_ MANDATORY = enabled] und [ANCL_ CAUT_ MANDATORY = enabled] und [ANCL_ CAUT_ MODE = CERTIFICATE] betrieben werden, was global am Basissystem des HSK durch die Rolle "Hersteller" im Rahmen der Inbetriebnahme konfiguriert werden muss und nicht durch andere Administrator-Rollen (Basissystem-Administrator, Zugangsmodul, Administratoren von HSK-Instanzen) deaktivierbar sein darf. [<=]
A_23469 - Unterstützung AK.AUT und individuelle Identität an der Management-Schnittstelle
Der Highspeed-Konnektor in einem TI-Gateway MUSS beim initialen Verbindungsaufbau zur Management-Schnittstelle einer HSK-Instanz immer seine AK.AUT Identität als TLS-Server-Identität verwenden und über die Konfiguration der Instanz auch Instanz-individuelle erzeugte (vgl. A_21699*) oder importierte (vgl. A_21697*) Identitäten für die Management-Schnittstelle unterstützen. [<=]
A_23432 - Verpflichtendes Auto-Update
Der Highspeed-Konnektor in einem TI-Gateway MUSS im Modus [MGM_KSR_AUTO_UPDATE=Enabled] und [MGM_KSR_UTODOWNLOAD=Enabled] betrieben werden, was global am Basissystem des HSK durch die Rolle "Hersteller" im Rahmen der Inbetriebnahme konfiguriert werden muss und nicht durch andere Administrator-Rollen (Basissystem-Administrator, Zugangsmodul, Administratoren von HSK-Instanzen) deaktivierbar sein darf. [<=]
Da Updates des HSK (und somit auch der HSK-Instanzen) global durch den Anbieter des TI-Gateway durchgesetzt werden, bezieht sich die Konfiguration zum Auto-Update rein auf die Kartenterminals. Es kann weiterhin innerhalb jeder einzelnen Instanz durch den Nutzer festgelegt werden, wann automatische Updates der Kartenterminals durchgeführt werden.
Um den Zugang von HSK-Instanzen zur TI auf Institutionen mit gültiger SMC-B zu beschränken, wird nachfolgende Funktionalität neu eingeführt.
A_23444 - Verifikation gesteckter SMC-B
Der Highspeed-Konnektor in einem TI-Gateway MUSS von gesteckten und freigeschalteten SMC-B die Gültigkeit und Echtheit prüfen und das Ergebnis der Prüfung für das TI-Gateway-Zugangsmodul zugreifbar machen. Die Prüfung muss die Zertifikatsprüfung incl OCSP sowie die Verwendung eines Privaten Schlüssels umfassen. Die Prüfung muss nach der Freischaltung sowie einmal täglich erfolgen. [<=]
A_23446 - Messung von Verfügbarkeitsdaten
Der Highspeed-Konnektor in einem TI-Gateway MUSS Verfügbarkeitsdaten für aller aktiven Kartenterminals, die Erreichbarkeit von KIM und eRP Fachdiensten und freigeschaltete SMC-B erheben und dem TI-Gateway-Zugangsmodul zugreifbar machen.
[<=]
Hinweis zum Datenschutz: Der nutzende Leistungserbringer muss mit Vertragsabschluss einwilligen, dass die Daten über seine HSK-Instanzen zugreifbarer SMC-B im TI-Gateway verarbeitet werden und dem Portal-Nutzer der zugeordneten HSK-Instanzen angezeigt werden. Die Daten anderer Karten dürfen vom HSK nicht an das Zugangsmodul gesendet werden.
A_23475 - Nachnutzung HSM durch TI-GW-Zugangsmodul
Der Highspeed-Konnektor in einem TI-Gateway KANN sein HSM dem TI-GW-Zugangsmodul verfügbar machen. [<=]
A_23474 - Nachnutzung HSM durch TI-GW-Zugangsmodul - Absicherung und Prüfung
Der Highspeed-Konnektor in einem TI-Gateway MUSS, wenn sein HSM auch für das TI-GW-Zugangsmodul nutzbar ist, diese Schnittstelle absichern, sodass keine Zugriffe auf den HSK oder die Schlüssel des HSK im HSM durch das TI-Gateway oder dessen Betreiber möglich sind, und die Schnittstelle eindeutig als Außenschnittstelle im Rahmen der Sicherheitsnachweisverfahren ausweisen und dort prüfen lassen. [<=]
A_23476 - Zentrale Umsetzung von KSR-Client, NTP und Namensdienst
Der HSK MUSS die Funktionen KSR-Client, NTP und Namesdienst auf zentral für alle HSK-Instanzen oder einen Cache für alle Instanzen implementieren.
[<=]
Durch die obige Anforderung soll die Last auf den zentralen Diensten KSR, NTP und Namensdienst begrenzt werden.
A_23477 - Protokollierung Infomodell - Clientsysteme
Der HSK MUSS im Sicherheitsprotokoll der jeweiligen Instanz protokollieren, wenn ClientsystemIDs und ClientsystemCredentials konfiguriert, geändert oder gelöscht werden. [<=]
A_23495 - HSK: Protokollierung bei physischem Zugang zu Systemen der VAU
Der HSK MUSS das Auslösen der Alarme zum physischen Zugangsschutz (vgl. A_17355*) vor dem Herunterfahren protokollieren. [<=]
6.1 HTTP-Forwarder
Der HSK muss auf Ebene des Basissystems oder als vorgelagerte Komponente einen http-Forwarder bereitstellen.
Der http-Forwarder dient zur Erschwerung einer Profilbildung unter Ausnutzung von Informationen aus OCSP-Anfragen und der IP-Adresse der HSK-Instanzen. Hierfür fungiert diese Komponente in der Funktion eines http-Forwarding-Proxy, der an ihn gerichtete OCSP-Anfragen an die entsprechenden OCSP-Responder weiterleitet sowie die zurückgelieferten OCSP-Antworten an den Absender sendet.
A_23488 - HSK, http-Forwarder - Funktion
Der http-Forwarder MUSS einen http-Forwarder implementieren, der an ihn gerichtete http-Anfragen in der Funktion eines Forwarding-Proxy weiterleitet und die zurückgelieferten http-Antworten an den Absender sendet.
Alle Anfragen, deren Ziel nicht im Namensraum der TI liegt, MÜSSEN an den OCSP-Proxy der TI-Plattform mit einer neu gebildeten Ziel-URL weitergeleitet werden. Die Ziel-URL ist nach folgendem Schema zu bilden:
<URL des OCSP-Proxy>/<bisherige Ziel URL des OCSP Requests>
[<=]
A_23478 - HSK, http-Forwarder - Absenderadresse
Der http-Forwarder MUSS http-Anfragen mit der IP-Adresse des http-Forwarders als Absenderadresse weiterleiten. [<=]
A_23479 - HSK, http-Forwarder - kein Cache
Der http-Forwarder DARF Datenverkehr NICHT in einem Cache zwischenspeichern. [<=]
A_23480 - Anonymisierung
Der http-Forwarder MUSS weitergeleitetem http-Anfragen anonymisieren; insbesondere DARF die IP-Adresse des ursprünglichen http-Klienten NICHT in der weitergeleiteten Anfrage enthalten sein. [<=]
6.2 Anforderungen an den Hersteller des HSK
A_23470 - Rollentrennung HSM-Personalisierung und Betrieb TI-Gateway
Der Hersteller des HSK MUSS sicherstellen, dass Personen die an der Personalisierung des HSM des HSK beteiligt sind nicht zeitgleich am Betrieb des TI-Gateways (Rolle Betreiber) beteiligt sind und dass entsprechende Prozesse definiert und etabliert sind, die dies dauerhaft gewährleisten und eine regelmäßige Validierung der Umsetzung durchsetzen. Die Umsetzung des Rollenausschluss MUSS die Weisungsbefugnis von Vorgesetzten berücksichtigen. Das heißt, dass kein Vorgesetzter direkte Weisungsbefugnis sowohl für Personen im Bereich der HSM-Personalisierung des HSK-Herstellers als auch für Personen mit der Rolle Betreiber beim TI-Gateway innehaben darf (ausgenommen ist das Management des Unternehmens). [<=]
7 Anforderungshaushalt TI-Gateway
Dem Anbietertyp TI-Gateway sind Betriebliche Anforderungen aus den Spezifikationen gemSpec_DS_Anbieter, gemRL_Betr_TI, gemKPT_Betr, gemKPT_Test, gemSpec_Perf, gemSpec_Krypt und gemSpec_Net zugewiesen.
7.1 Neue Anforderungen
7.1.1 Anbietererklärung
A_18737-01 - Sperrung von Zugängen zur TI
Der Anbieter TI-Gateway MUSS nach Weisung der gematik Zugänge zur TI sperren. [<=]
A_23472 - Auftragsverarbeitung bei weiteren Diensten
Der Anbieter TI-Gateway MUSS für weitere Services, bei denen medizinische oder personenbezogende Daten verarbeitet werden, einen Vertrag zur Auftragsverarbeitung mit seinen Kunden schließen und diesen transparent machen, dass solche Services nicht im Rahmen der Anbieterzulassung des TI-Gateways geprüft wurden.
[<=]
Auf Grund der Informationsflüsse ist es sinnvoll das KIM-Clientmodul in das TI-Gateway zu Integrieren.
TIP1-A_4323-01 - TI-Gateway, http-Forwarder - Verteilung
Der Anbieter des TI-Gateways MUSS pro Standort mindestens einen http-Forwarder bereitstellen, der sich netzwerktechnisch in der Service-Zone TI befindet.
[<=]
A_23481 - http-Forwarder - IP-Adresse
Der Anbieter des HSK oder TI-Gateways MUSS jedem http-Forwarder eine IP-Adresse aus dem Adressbereich der Service-Zone des Standortes zuweisen. [<=]
A_23487 - Aktualisierbarkeit von VPN-Clients
Der Anbieter des TI-Gateways MUSS Maßnahmen umsetzen, um die Aktualität der eingesetzten VPN-Clients und weiterer ggf. ausgelieferter Client-Software sicherzustellen.
[<=]
7.1.2 Sicherheitsgutachten
Es sind wie beschrieben Konstellationen möglich und zulässig, bei denen ein Anbieter TI-Gateway nicht selbst alle Anforderungen erfüllt, sondern in der Zusammenarbeit zwischen Reseller und Infrastrukturbetreiber Anforderungen von einer Partei erfüllt und nachgewiesen werden und von der anderen Partei dies im Rahmen der Anbieterzulassung nachgenutzt wird. Es muss jedoch stets nachgewiesen werden, dass in Summe alle Anforderungen erfüllt sind und keine Lücken durch gegenseitige Verweise auf die Verantwortung des anderen entstehen.
A_23352 - Anforderungsabdeckung von zugekaufter Leistung
Der Anbieter des TI-Gateways MUSS, wenn er zur Erfüllung von Anforderungen Leistungen einer andern Partei (Infrastrukturbetreiber oder Reseller) erwirbt bzw. nachnutzt, nachweisen, dass diese Anforderungen für ihn von der anderen Partei erfüllt werden, was mindestens einen Verweis auf den bestehenden Nachweis der anderen Partei zur Erfüllung der nachgenutzten Anforderung und die vertragliche Regelung zur Erbringung eben dieser Leistung durch die andere Partei für den Zulassungsnehmer beinhalten muss. [<=]
TIP1-A_4482-01 - TI-Gateway, Kommunikation LE-Institutionen
Der Anbieter des TI-Gateways MUSS sicherstellen, dass eine direkte Netzwerkkommunikation zwischen LE-Institutionen über das TI-Gateway nicht möglich ist. [<=]
Die geeignete und robuste technische Umsetzung obliegt dem Anbieter (Firewalls, VLANs).
TIP1-A_4341-01 - TI-Gateway, Erkennung von Angriffen
Der Anbieter des TI-Gateways MUSS durch technische und organisatorische Maßnahmen sicherstellen, dass Angriffe aus dem Internet auf das TI-Gateway erkannt werden.
Als geeignete Maßnahmen werden angesehen:
- Auswertung von Logfiles
- Auswertung von Netflow
- Intrusion Detection Systeme (IDS)
Der Anbieter muss dabei berücksichtigen, dass sowohl Bestandskunden, als auch Neukunden, deren SMC-B noch nicht geprüft wurde, möglicherweise ein Angreifer sind.
GS-A_4847-01 - Produkttyp TI-Gateway, DNSSEC im Namensraum Transportnetz
Anbieter des TI-Gateways MÜSSEN den Namensraum Transportnetz per DNSSEC sichern. [<=]
Der Hersteller muss die für sein Produkt erforderlichen Protokolle angeben wie in TIP1-A_4340-01.
A_23494 - 4-Augen-Prinzip bei Wartung HSK
Der Anbieter des TI-Gateway MUSS Zugriffe auf den HSK (vgl. gemF_Highspeed-Konnektor#5.2.1.4) auf Wartungsarbeiten in Notfällen beschränken, ein striktes 4-Augen-Prinzip für diese Zugriffe etablieren und durchsetzen sowie solche Zugriffe protokollieren. Zugriffe auf den HSK durch den Anbieter sind ausschließlich für Wartungsarbeiten beim Ausfall von Hardware-Komponenten wie Netzteilen vorgesehen - sofern solche Wartungen beim eingesetzten HSK überhaupt für den Betreiber möglich sind -, welche zum Ausfall des HSK und zu einer verringerten Verfügbarkeit oder Performance des TI-Gateway führen. [<=]
A_23496 - Erkennen und Melden von Unregelmäßigkeiten bei physischem Zugriff auf HSK
Der Anbieter des TI-Gateway MUSS Prozesse definieren und etablieren, die Unregelmäßigkeiten bzgl. physischer Zugriffe auf den HSK erkennen lassen. Dies umfasst die Prüfung von Protokollen des HSK bzgl. des Auslösens von Alarmen zum physischen Zugang (vgl. A_23495*) und dem Herunterfahren des HSK. Erkannte Unregelmäßigkeiten sind als erheblicher Sicherheitsvorfall zu werten und im Rahmen von GS-A_5555* an die gematik zu melden. [<=]
7.2 Betrieb
7.2.1 Servicezerlegung
7.2.2 Mitwirkungsverpflichtung im TI-ITSM gemäß [gemRL_Betr_TI]
Tab_KPT_Betr_TI_003 Mitwirkungsverpflichtung im TI-ITSM
| Mitwirkung in den TI-ITSM-Prozessen: |
INC |
PRO |
CHG |
SKM |
SLM |
RF |
Perf |
CapM |
KM |
CSI |
CM |
NM |
| Anbieter TI-Gateway |
A/E |
A/E |
A/E |
. | A/E |
A |
A |
A |
A/E |
. |
A/E |
A/E |
Legende:
INC: Incident Management
PRO: Problem Management
CHG: Change Management
SKM: Servicekatalog Management
SLM: Service Level Management
RF: Request Fulfillment
Perf: Perfomance Management
CapM: Capacity Management
KM: Knowledge Management
CSI: Continual Service Improvement
CM: Configuration Management
NF: Notfall Management
A: Auslöser in INC, PRO, CHG
Auslöser (A) ist, wer Incidents, Problems oder Changes eröffnet.
E: Empfänger von INC, PRO, CHG
Empfänger (E) ist wer Incidents, Problems oder Changes zugewiesen bekommt und dessen vollständige Mitarbeit gewährleistet ist.
Auslöser und Empfänger im SKM
Auslöser (A) ist, wer Änderungen im Service Katalog Management einbringt.
Empfänger (E) ist, wer Änderungen im Service Katalog Management aufnimmt.
Portalanbieter (P) ist, wer das TI-Service-Portal zur Verfügung stellt und selbst Nutzer ist.
A/E: Auslöser und Empfänger im SLM
Auslöser (A) ist, wer Änderungen im Servicelevel Management einbringt.
Empfänger (E) ist, wer im Servicelevel Management an Servicelevel-Reviews teilnimmt.
A/E: Auslöser und Empfänger im RF
Auslöser (A) ist, wer Services bei anderen Anbietern abruft.
Empfänger (E) ist, wer einen Servicekatalog führt und Services anbietet.
A/E: Auslöser und Empfänger im Perf
Auslöser (A) ist, wer Performancereports bzw. Rohdaten-Performance-Berichte sendet.
Empfänger (E) ist die gematik.
A/E: Auslöser und Empfänger im CapM
Auslöser (A) ist, wer Kapazitätspläne führt und reportet.
Empfänger (E) ist die gematik (GTI).
A/E: Auslöser und Empfänger im KM
Auslöser (A) ist, wer Artikel in der Wissensdatenbank einstellt.
Empfänger (E) ist, wer Artikel aus der Wissensdatenbank bezieht.
A/E: Auslöser und Empfänger im CSI
Auslöser (A) ist, wer ein CSI-Register führt und reportet.
Empfänger (E) ist die gematik (GTI).
A/E: Auslöser und Empfänger im CM
Auslöser (A) ist, wer Reports sendet, in denen die Konfigurationen der verwendeten Produkte dargestellt werden.
Empfänger (E) ist, wer Konfigurationsvorgaben und deren Umsetzung dar z.B. im Zuge eines CRs oder Changes empfängt und umsetzt.
A/E: Auslöser und Empfänger im NM
Aktiv (A) ist, wer im Notfall zuarbeiten und unterstützen muss.
Empfänger (E) stellen einen Notfall-Ansprechpartner bereit.
7.2.3 Spezifische Ausprägungen und Verpflichtungen einzelner Rollen
Tab_KPT_Betr_Betriebliche Rolle_Anbieterkonstellationen
| Spezifische Ausprägung der Rolle |
Zulässige Anbieterkonstellationen |
Bemerkung |
| Anbieter TI-Gateway |
I / II / III |
Anbieter TI-Gateway
Für die Anbieter TI-Gateway gelten die Konstellationen gemäß [gemKPT_Betrieb#3.4.4] abschließend. Der Anbieter kann sich zwischen diesen Konstellationen entscheiden und den Betrieb entweder selbst organisieren und alle Anforderungen des Anbietertypsteckbriefes selbst erfüllen. Alternativ kann er sich bereits im Zulassungsverfahren durch einen Unterauftragnehmer vertreten lassen und sich somit für die Konstellation II oder III entscheiden. Mit Abschluss des Zulassungsvertrages/Zulassungsbescheides verpflichtet sich dann der Anbieter sicherzustellen, dass sein Unterauftragnehmer gegenüber der gematik zur Abgabe aller erforderlichen Erklärungen sowie zur Durchführung aller tatsächlichen Handlungen berechtigt und verpflichtet ist, soweit diese zur Erbringung der Betriebsleistung erforderlich sind.
A_23334 - Bereitstellung Firewall-Konfigurationsdaten vom Anbieter TI-Gateway
Der Anbieter TI-Gateway MUSS alle für die Registrierung und den Verbindungsaufbau zur TI notwendigen Netzwerkinformationen (IP-Zieladressen und Ports) veröffentlichen und dem Gesamtverantwortlichen der TI bereitstellen. Der Anbieter TI-Gateway MUSS diese veröffentlichten Informationen stets aktuell halten [<=]
Die Veröffentlichung dieser Informationen durch den Anbieter kann über unterschiedliche Portale erfolgen, wie z.B. eigene Support-Portale oder die TI-Wissensdatenbank. Zielgruppe für die veröffentlichten Informationen sind sowohl die Leistungserbringer selbst als auch deren betreuende IT-Dienstleister.
Mit diesen Informationen sollen die lokalen Firewalls in den dezentralen Umgebungen der Leistungserbringer möglichst restriktiv konfiguriert werden können. Zeitgleich soll damit eine fehlerfreie Kommunikation von dezentral mit der TI über Ihr TI-Gateway sichergestellt werden.
7.2.4 Supportkonzept
7.2.4.1 Spezifische Ausprägungen
Tab_KPT_Betr_TI_Anbieter_UHD/VHD
| UHD (Anwender) |
VHD (Versicherte)** |
|
| Anbieter TI-Gateway |
Mo - So 0:00 bis 24:00 Uhr (24/7) |
Der Anbieter TI-Gateway stellt seinen Anwendern (Leistungserbringern) einen UHD zur Verfügung.
Spezifische Ausprägungen Anbieter TI-Gateway
A_23335 - Verpflichtung zur Dokumentation von Service Levels im Anwendersupport des Anbieters TI-Gateway
Der Anbieter TI-Gateway MUSS alle Service Levels im Anwendersupport im Rahmen der Zulassung dokumentieren und die gematik über Änderungen informieren. Hierbei MUSS der Anbieter TI-Gateway eine Einteilung in eine oder mehrere verschiedene Serviceklassen (logische Gruppierungen von Service Levels in einer definierten Servicequalität, z. B. Gold, Silber, Bronze) vornehmen. [<=]
7.2.4.2 Organisatorische Service Level
Tabelle x: Tab_gemKPT_Betr_OrgSL_Serviceleistung_Zeiten
| Serviceleistung |
zu Haupt- und Nebenzeit (TIP1-A_7265) |
zu Hauptzeit (A_13573) |
| Anbieter TI-Gateway |
x |
Sind SL nur der Hauptzeit (H) zugeordnet, so kann die Bearbeitung in der Nebenzeit unterbrochen werden und wieder in der Hauptzeit aufgenommen werden. Die Einhaltung dieses SL wird nur in der Hauptzeit gemessen.
7.2.4.3 Technische Service Level / Performance-Kenngrößen
Anwendung Anwendung TI-Gateway-Zugangsmodul (PDT72)
Schnittstellen::Operation bzw. Anwendungsfall
Tab_gemKPT_Betr_TI-Gateway-Zugangsmodul_Operationen/Anwendungsfälle
| Produkttyp / Anwen-dungstyp |
S/A-ID |
Schnittstellen::Operation / Anwendungsfall |
Beschreibung |
Berichtsformat-Alias (sofern von Schnittstellen::Operation bzw. Anwendungsfall abweichend) |
|---|---|---|---|---|
| PDT72 |
S01 |
I* |
||
| PDT72 |
S02 |
I_Secure_Channel_Tunnel::connect |
|
|
| PDT72 | S03 | I_Secure_Channel_Tunnel::disconnect |
Performance-Kenngrößen / SL-Werte
Der Erfassungszeitraum für die aufgeführten Soll-Werte beträgt ein Kalendermonat.
<< Standardsatz von Performance-Kenngrößen. Nicht verwendete bitte streichen. >>
Tab_gemKPT_Betr_TI-Gateway-Zugangsmodul_Performance-Kenngroessen
| Performance- Kenngröße (PKG-ID) |
Beschreibung |
berechnet aus (Rohdaten-BDE, Probing) |
SL-Wert (Soll-Wert) |
min / max |
Normative Referenz |
| TI-Gateway-Zugangsmodul - PDT72 - I* |
|||||
| PDT72-S01-D3-G14 |
Relative Verfügbarkeit im Erfassungszeitraum zur Hauptzeit exkl. Wartung. [%*1000] |
Probing |
99990 | min | A_23431 |
| PDT72-S01-D3-G16 |
Relative Verfügbarkeit im Erfassungszeitraum zur Nebenzeit exkl. Wartung. [%*1000] |
Probing |
99000 | min | A_23431 |
| PDT72-S01-D1-G05 | Anzahl der bestehenden VPN-Tunnel | Rohdaten-BDE | |||
| TI-Gateway-Zugangsmodul - PDT72 - I_Secure_Channel_Tunnel::connect |
|||||
| PDT72-S02-D1-G01 |
Anzahl der Aufrufe im Erfassungszeitraum. [Stück] |
Rohdaten-BDE |
|
|
|
| TI-Gateway-Zugangsmodul - PDT72 - I_Secure_Channel_Tunnel::disconnect | |||||
| PDT72-S03-D1-G01 | Anzahl der Aufrufe im Erfassungszeitraum. [Stück] |
Rohdaten-BDE | |||
Tab_gemKPT_Betr_TI-Gateway-Zugangsmodul_Performance-Kenngroessen_Bildungsregeln
| Kenngröße | Bildungsregel |
|---|---|
| PDT72-S01-D1-G05 | ((PDT09-S01-D1-G05 Vorintervall) + PDT09-S18-D1-G01) - PDT09-S19-D1-G01 |
| PDT72-S01-D3-G14 | TLS Verbindungsaufbau, keine Aggregation der Verfügbarkeiten der Schnittstellen |
| PDT72-S01-D3-G16 | TLS Verbindungsaufbau, keine Aggregation der Verfügbarkeiten der Schnittstellen |
7.2.5 gemKPT_Betr: Anhang A
Tab_gemKPT_Betr_Produkttypen
| ID |
Produkttyp / Anwendungstyp |
Produkttyp-Name / Anwendungsname |
| PDT72 |
gemProdT_TI-Gateway-Zugangsmodul |
TI-Gateway-Zugangsmodul |
7.2.6 gemSpec_Perf#3.x.1 Leistungsanforderungen TI-Gateway
7.2.6.1 gemSpec_Perf#3.x.1.1 Lastmodell TI-Gateway
keine Spezifischen Anforderungen zum Lastmodell
7.2.6.2 gemSpec_Perf#3.x.1.2 Bearbeitungszeiten TI-Gateway
keine Spezifischen Anforderungen zu Bearbeitungszeiten
7.2.6.3 gemSpec_Perf#3.x.1.3 Performancevorgaben TI-Gateway
A_23431 - Performance – TI-Gateway – Verfügbarkeit
Der Anbieter TI-Gateway MUSS zur Hauptzeit eine Verfügbarkeit von 99,9% und zur Nebenzeit von 99% für alle Operationen der technischen Schnittstellen aufweisen.
Wartungsfenster dürfen nur in der Nebenzeit liegen. Genehmigte Wartungsfenster werden nicht als Ausfallzeit gewertet.
Hauptzeit ist Montag bis Freitag von 6 bis 22 Uhr sowie Samstag und Sonntag von 6 bis 20 Uhr. Alle übrigen Stunden der Woche sind Nebenzeit. Bundeseinheitliche Feiertage werden wie Sonntage behandelt, alle übrigen Feiertage wie Werktage.
Der Anschluss an das zentrale Netz muss über die Anschlussoption „redundante Anbindung“ erfolgen.
[<=]
Messung der Verfügbarkeit:
Die Messung könnte z.B. durch eine lokale Softwarekomponente des Zugangsmoduls erfolgen. Für Testaufrufe muss sich eine solche Probe authentifizieren und korrekte Context-Parameter verwenden.
A_23433 - Performance - TI-Gateway - Skalierung
Der Anbieter des TI-Gateway MUSS nachvollziehbar darstellen, wie die Skalierung im Produktivbetrieb erreicht wird.
[<=]
Im Zuge des Zulassungsverfahrens hat der Anbieter des TI-Gateways der gematik gegenüber nachvollziehbar darzustellen, welche technischen Skalierungsmaßnahmen anhand welcher messbarer Parameter er für den Produktivbetrieb plant durchzuführen. Die Skalierungsmaßnahmen können dabei unterschiedliche Ausprägungen und Dimensionen umfassen. Beispielsweise eine automatisierte Ressourcenzuteilung oder eine Anpassung oder Änderung unterschiedlicher technischer Komponenten, die zu einer Produktänderung im Sinne der [gemSpec_OM] führt. Die Darstellung muss Verifikationsbeschreibungen enthalten, mit denen der Erfolg der Maßnahmen ermittelt werden kann.
8 Änderungen an gemILF_PS
Zertifikatsbasierte Clientsystemauthentifizierung muss jetzt vom Primärsystem unterstützt werden.
TIP1-A_4962-01 - Nutzung von TLS-Authentisierungsmethoden
Das Primärsystem MUSS die TLS-Authentisierungsmethoden der Stufen 2 und 4 aus Tabelle Tab_ILF_PS_Konfigurationsvarianten_HTTP und Stufe 2 aus Tabelle Tab_ILF_PS_Konfigurationsvarianten_CETP unterstützen, d. h. TLS mit Server-Authentisierung mit bzw. ohne Client-Authentisierung.
Das PS MUSS für TLS-gesicherte Verbindungen mindestens TLS-Version 1.2 verwenden, es KANN auch TLS Version 1.3 verwenden.
[<=]
9 Beispiele und Referenzimplementierungen
<Optional: Beispiele für Aufrufsequenzen, ausgetauschte Daten, etc. zur Unterstützung der Implementierung>
10 Anhang A – Verzeichnisse
10.1 Abkürzungen
| Kürzel | Erläuterung |
|---|---|
10.2 Referenzierte Dokumente
10.2.1 Dokumente der gematik
Die nachfolgende Tabelle enthält die Bezeichnung der in dem vorliegenden Dokument referenzierten Dokumente der gematik zur Telematikinfrastruktur. Der mit der vorliegenden Version korrelierende Entwicklungsstand dieser Konzepte und Spezifikationen wird pro Release in einer Dokumentenlandkarte definiert; Version und Stand der referenzierten Dokumente sind daher in der nachfolgenden Tabelle nicht aufgeführt. Deren zu diesem Dokument jeweils gültige Versionsnummern sind in der aktuellen, von der gematik veröffentlichten Dokumentenlandkarte enthalten, in der die vorliegende Version aufgeführt wird.
| [Quelle] |
Herausgeber: Titel |
| [gemGlossar] |
gematik: Glossar der Telematikinfrastruktur |
10.2.2 Weitere Dokumente
| [Quelle] |
Herausgeber (Erscheinungsdatum): Titel |