Volltext
Bezeichnung des Auftrags durch den Auftraggeber: Erstellung eines Sicherheitsgutachtens der Telematikinfrastruktur. Gegenstand des externen Sicherheitsgutachtens der Gesundheitstelematik ist die Beurteilung und Bewertung der Wirksamkeit und Angemessenheit der spezifizierten und geplanten Sicherheitsmaßnahmen und der Sicherheitsarchitektur der Telematikinfrastruktur durch unabhängige, anerkannte Sicherheitsexperten. Durchzuführen und zu erstellen sind eine gezielte Identifikation und Auffinden von Schwachstellen, eine detaillierte Bewertung optionaler Sicherheitsmaßnahmen, eine zusammenfassende Bewertung der Wirksamkeit und Angemessenheit der Sicherheitsmaßnahmen der Telematikinfrastruktur sowie eine priorisierte Liste von Umsetzungsempfehlungen zur Gewährleistung des notwendigen Sicherheitsniveaus der Telematikinfrastruktur. Die Bewertung in den einzelnen Sicherheitsdomänen: 1. Sicherheitsmanagement-Prozesse (Sicherheitskonzept, Sicherheitsorganisation, Verfahren und Verantwortlichkeiten); 2. Anwendungssicherheit (Webservices, Authentisierung, Autorisierung, Signatur); 3. Schlüsselverwaltung, Krypto-Konzepte, Krypto-Algorithmen, (Public-Key-Infrastrukturen, Kryptokonzepte u.a., Datenerhalt und Umschlüsselung); 4. Dezentrale Komponenten der Telematikinfrastruktur in den Umgebungen der Leistungserbringer (Kartenterminals, Konnektor, SAK); 5. Karten- und Kartenmanagement (Heilberufsausweise und Gesundheitskarten); 6. IT-Infrastruktur und Netzwerksicherheit (Frontend-, Backend-Netz, VPN, IT-Systeme und Administrationsprozesse) ist jeweils von anerkannten Sicherheitsexperten aus Industrie und Wissenschaft mit ausgewiesenen langjährigen Erfahrungen im jeweiligen Bereich durchzuführen. Der Bewerber hat für die Bewertung der 6 Sicherheitsdomänen jeweils ein Personalteam aufzustellen, bestehend aus je 3 Mitgliedern, darunter mindestens ein wissenschaftlich und ein in der Praxis ausgewiesenes Mitglied. Aufbauend auf diesen Bewertungen einzelner Sicherheitsdomänen ist eine zusammenfassende Gesamtbewertung der Telematikinfrastrukur zu erstellen, wobei zusätzlich die Identifikation und Bewertung der Sicherheitsrisiken durchzuführen ist, die sich aus dem Zusammenspiel der einzelnen Sicherheitsdomänen in einem normalen Geschäftsprozess ergeben.