Otter 2001.pdf

Die österreichische Bürgerkarte mit 

Sozialversicherungs- und elektronischer 

Signaturfunktion 

Dipl.-Ing. Heinz Otter 

Projektteam „SV-Chipkarte“, Wien 

1 Einführung 

1.1 Die Bürgerkarte im europäischen Umfeld 

Absichtserklärungen und Entwicklungen in Europa zeigen, dass international der 

Einsatz von Informationstechnologien bei der Begegnung des Bürgers mit dem Staat 

rasch zunimmt. Die Aktivitäten hierzu werden durch konzertierte Maßnahmen wie 

eEurope in besonderem Maße gefördert und sogar durch vereinbartes Benchmarking 

der Projektfortschritt „gemessen“. Trotz des ggf. ausgelösten terminlichen Druckes 

bei der Umsetzung der EU-Initiative darf nicht versäumt werden, in diesen Projekten 

wirksame Mechanismen einzusetzen, welche den Schutz der Bürger und die Sicherheit 

der Verwaltung gewährleisten. 

Im Gefolge der eEurope-Initiative (z.B. Lissabon, 4/2000) wurde in der Regierungsklausur 

vom 20.11.2000 einstimmig der Einsatz von Chipkartentechnologie zur Vereinfachung 

der Amtsgeschäfte des Bürgers („Bürgerkarte“) vereinbart. 

Die Entstehung der österreichischen Bürgerkarte ist eng mit der Einführung des Systems 

„SV-Chipkarte“ der österreichischen Sozialversicherungsträger verknüpft. Zur 

Verdeutlichung der historischen Zusammenhänge findet sich im Anhang ein kurzer 

Abriss der Projektgeschichte der SV-Chipkarte bis zur gegenwärtigen Auftragsvergabe. 

Als Trägermedium des offenen Konzeptes „Bürgerkarte“ wurde somit die durch den 

Hauptverband der österreichischen Sozialversicherungsträger (HV) beauftragte und 

als Keycard zu realisierende SV-Chipkarte – ergänzt durch elektronische Signaturen 

– bestimmt. Die besondere Eignung zur Kombination mit Bürgerkarten-Funktionen 

ergibt sich aus der Planung gem. dem gesetzlichen Auftrag (56. ASVG Novelle): 

In der "Datentasche Krankenscheinersatz" befindet sich der aktuelle Versicherungsnachweis 

und die Anspruchsberechtigung im Sinne eines Krankenscheins. 

• Auf der SV-Karte sind keine sensiblen Daten zugänglich. 

• Für die Anwendungen der SV-Karte benötigt man i.d.R. keine PIN. 

• Aus Sicht der Karte wird Standardtechnologie eingesetzt. 

• Es wurden auf der Karte zur Investitionsabsicherung hinreichende Reserven an 

zusätzlichen Ressourcen vorgesehen. 

Im Rahmen der Ausschreibung des SV-Projektes durch den HV wurde neben der 

komplexen Funktionalität der SV-Applikation auch die Option „Elektronische Signatur“ 

für die „SV-Keycard“ angefragt und von den Bietern beantwortet. Dies ermöglicht 

zunächst die Beschaffung eines funktional geeigneten Kartenpotentials. An dieser 

Stelle ist jedoch klar festzuhalten, dass die Terminalinfrastruktur des SV-Projektes für 

Zwecke der öffentlichen Verwaltung von der Bürgerkarte nicht genutzt werden kann. 

11. GMD-SC Workshop Österreichische Bürgerkarte Seite 1 von 16 

6.-7. Februar 2001 H. Otter

Solche „elektronischen Amtsgeschäfte“ sind die Aufgabe Dritter und die erforderliche 

Infrastruktur ist von diesen durch gesonderte Vergabeverfahren zu beschaffen. 

1.2 Allgemeine Merkmale der Bürgerkarte 

Eine Bürgerkarte ist der Identifikations- und Berechtigungsausweis zur Nutzung von 

öffentlichen Telematik-Anwendungen über den Datenhighway. Zusätzlich kann sie 

neben den Daten zur Identifikation des Karteninhabers und dessen Berechtigungsbedingungen 

auch die Funktion einer „Datentasche“ haben, welche applikationsbezogene 

Informationen transportiert. 

Aus dem Blickwinkel der Technik wird durch den Einsatz der elektronischen Signatur 

die rechtswirksame Zuordnung von identifizierenden Daten (Vorname, Name,...) zu 

Personen erreicht. Dadurch werden Transaktionen aus Verwaltung und Wirtschaft 

auf elektronischem Wege ermöglicht. 

Durch Bereitstellung eines privaten und kryptographisch gesicherten Datenspeichers 

auf der Karte (mit limitierter Größe und Nutzung mit zeitlicher Begrenzung) wird der 

Umgang mit Bürgerkarten-Anwendungen im Komfort gesteigert. 

Durch die Synergie zwischen SV- und eAmt-Anwendungen ergeben sich wesentliche 

Einsparungen (1 + 1 = 1 ¼). 

1.3 Hauptanwendungsbereiche der Bürgerkarte 

Die Beschlusslage zur Bürgerkarte führt zu einer „janusköpfigen“ Ausformung dieser 

Chipkarte als Keycard-System für zwei große Anwendungsbereiche (siehe Abb. 1): 

A) Health-Bereich (Applikation Krankenscheinersatz): 

Zugang zu medizinischen Leistungen für Karteninhaber auf der rechtlichen 

Basis der österreichischen Sozialversicherungen. 

Absicherung gegen unbefugte Nutzung durch Dritte: 

Die Karte wird beim Arztbesuch ohne PIN verwendet. Die Authentizität der Karte 

wird vom SV-System mittels einer Professional Card im Terminal überprüft. Zur 

Verifikation der Zusammengehörigkeit von Karte und Überbringer sind neben 

administrativen auch systemtechnische Mechanismen vorgesehen. 

B) Öffentlicher Bereich (Applikation „elektronische Amtsgeschäfte“): 

Zugang zu telematisch ausgerüsteten öffentlichen Einrichtungen der Verwaltung 

des Bundes, der Länder und der Kommunen zur Erledigung amtlicher Vorgänge 

wie Einbringen und Bescheide mittels authentischer und nicht bestreitbarer 

elektronischer Transaktionen des Karteninhabers. 

Absicherung gegen unbefugte Nutzung durch Dritte: 

Gem. Konzept Elektronische Signatur: PIN-Eingabe des Karteninhabers. 

2 Grundlegende Begriffe 

Im Rahmen der Projektgeschichte hat es sich gezeigt, dass es dem Verständnis förderlich 

ist, mögliche Mehrdeutigkeiten von Begriffen der Kartenwelt frühestmöglich 

auszuräumen. Für diesen Vortrag wird das Wording gem. Tabelle 1 vereinbart. 



Bürgerkarte 

Keycard 

Verwendung der 

Bürgerkarte als 

SV-Keycard 

Verwendung der 

Bürgerkarte als 

eAmt-Keycard 

Funktion 

Elektronische 

Signatur 

Datentasche 

Multiapplikative Prozessor-Chipkarte für Anwendungen im Health- und 

Öffentlichen Bereich nach dem Keycard-Prinzip, wobei der Kartenkörper 

beidseitig Informationen tragen kann. Das Layout der Chipseite 

wird Symbole (Logos) von Sozialversicherung, Österreich und Europa 

aufweisen, darüber hinaus die zur Personalisierung gehörigen Schriftfelder 

und Sicherheitsmerkmale. Das Layout der Gegenseite kann E- 

lemente der folgenden Aufzählung enthalten: Unterschriftfeld, Foto, 

Applikationslogos, Bedruckungsbereich, Thermochrom-Fläche, Sicherheitsmerkmal. 

Das Konzept der Keycard besagt, dass die Chipkarte als "Zugangsbzw. 

Zugriffsschlüssel" zu verstehen ist, welcher die „Safe-Türe“ zu 

einer Anwendung, Dienstleistung oder Datenbasis für den Karteninhaber 

"aufsperrt". Applikationsspeicher-Bereiche auf einer Keycard 

enthalten daher i.a. nur administrative Daten des Karteninhabers, jedoch 

i.d.R. keine applikativen Software-Funktionen. Mit diesen Daten 

ist es Kartenterminals i.d.R. möglich, die Berechtigung des Karteninhabers 

zur Applikationsnutzung zu prüfen. 

Im Projekt der Sozialversicherung (SV-Projekt) ist damit die Chipkarte 

als Zugriffsschlüssel auf die Applikation „Krankenscheinersatz“ gemeint. 

Später können applikative Erweiterungen vorgenommen werden, 

wie z.B. der Auslandskrankenschein (E111). 

Durch Einrichtung der elektronischen Signatur auf der Bürgerkarte 

werden sichere, rechtswirksame elektronische Transaktionen in Verwaltung 

und ggf. Wirtschaft ermöglicht. Dadurch wird die Chipkarte 

zum Zugriffsschlüssel auf z.B. telematik-geeignete eGovernment- 

Applikationen. Solche Transaktionen (z.B. Anbringen, Bescheide) 

werden für den Karteninhaber bequem fernabwickelbar. 

Die funktionale Verfügbarkeit der elektronischen Signatur gem. Signaturgesetz/Signaturverordnung 

[1] auf der Bürgerkarte ist die entscheidende 

Voraussetzung, um eine eAmt-Anwendung zu ermöglichen. 

Für den Karteninhaber sind im Kartenchip frei verwendbare Speicherbereiche 

als Transportmedium für temporäre Informationen (z.B. Bescheide, 

Verwaltungsdaten) reserviert. Zu ihrer sicheren Nutzung - 

Schutz vor dem Zugriff durch Dritte - werden kryptographische Methoden 

zur Wahrung der Vertraulichkeit eingesetzt. 

Tabelle 1: Grundlegende Begriffe 

3 Anwendung der Bürgerkarte als eAmt-Key 

3.1 Anforderungen und Eigenschaften 

Die Bürgerkarte als eAmt-Key muss eine Reihe von Anforderungen erfüllen, welche 

charakteristische Merkmale des Chipkartensystems ergeben. 

• Eine breite Nutzung der Bürgerkarte setzt kompatible Zugänge zur öffentlichen 

Verwaltung voraus, wobei diese Kompatibilität unabhängig von der Verwaltungseinheit 

sein muss. 



• Die Karten-Technologie muss offen sein und verbreiteten Standards genügen, 

damit mittelfristig Interoperabilität nicht nur im Rahmen von eAustria, sondern 

auch für eEurope gegeben ist. 

• Die Sozialversicherungsnummer des Bürgers kann in abgesicherter Form als 

eindeutiger Ordnungsbegriff für öffentliche Anwendungen genutzt werden. 

• Der Karteneinsatz im Bereich eGovernment (und eCommerce) setzt die „sichere 

elektronische Signatur“ voraus. Darüber hinaus ist bei bestimmten Transaktionen 

Vertraulichkeit und Datenschutz geboten. Der Chip der Bürgerkarte enthält 

und schützt somit unterschiedliche kryptographische Schlüssel (privater Schlüssel 

für die elektronische Signatur, Schlüssel zur Absicherung von Authentifizierung 

und Vertraulichkeit). 

• Eine weitere Forderung ist die Offenheit des Systems bzgl. der PKI, d.h. die freie 

Wahl des Zertifizierungsdienste-Anbieters (ZDA). Der ZDA muss unabhängig 

von der Karteninfrastruktur wählbar bleiben, also ist diese einer Mehrzahl von 

Anbietern offen zu halten. 

• Neben der durch die Signatur genutzten Speicherbereiche sind auf der Karte weitere 

derzeit noch ungenutzte Bereiche vorhanden. Diese können vom Bürger - 

ähnlich bequem wie eine Diskette - als Transportmedium für temporäre Informationen 

(z.B. für Bescheide, Verwaltungsdaten) - nach Bedarf verwendet werden. 

Für solche sogen. Datentaschen kann Vertraulichkeit erforderlich sein. In 

diesem Fall sind also kryptographische Schutzmechanismen einzusetzen. Die 

Daten in Datentaschen haben nicht die Qualität eines Originals und erfordern ein 

Backup. 

• Für Kartenausformungen mit Ausweisfunktion ist die Integration eines Fotos 

möglich. Als Optionen bieten sich das optische Aufbringen auf der Kartenoberfläche, 

die elektronisch lesbare und signierte Speicherung im Chip oder beides an. 

Für die erste Nutzung (als Studentenkarte) ist die optische Aufbringung geplant. 

• Wirtschaftliche Vorteile durch Synergie mit der Anwendung als SV-Keycard (im 

SV-Bereich) durch Nutzung gemeinsamer System-Ressourcen. Dadurch amortisieren 

sich die Investitionskosten rascher. Darüber hinaus wird die Karte durch 

Hinzunahme von „eAmt-Anwendungen“ vergleichsweise häufiger als im SV- 

Bereich allein benutzt. Dies reduziert wieder Verwaltungsaufwand durch die Verringerung 

der notwendigen Ersatzprocedere im Falle vergessener Karten. 

3.2 Anwendungen im Kontext eAustria 

Bei den ersten Anwendungen wird an die Ausweis-Funktion gedacht. Hierher gehören 

die Vorhaben 

• Studentenkarte 

• Dienstausweis für Beamte. 

eAmt-Anwendungen für komplexere Verwaltungsprozesse bedürfen seitens der betroffenen 

Bereiche der öffentlichen Verwaltung z.T. noch Systemanalysen bzgl. Telematik-Eignung 

und –Umsetzung der Verwaltungsabläufe. 

Mit Vorteil wird man dabei für vergleichbare Anwendungen auf veröffentlichte Ergebnisse 

und Erkenntnisse im Rahmen der deutschen Projekte unter dem bekannten Titel 

„Media@Komm“ (z.B. Bremen, Esslingen, Nürnberg) aufbauen können. 



Die Verwendung der Bürgerkarte für weitere „eLife-Applikationen“ (z.B. eCommerce, 

eLearning, elektronische Ausweise und sonstige elektronische Berechtigungsdokumente) 

ist, soweit das Medium Chipkarte nicht im Widerspruch zu grundlegenden 

Anforderungen der jeweiligen Applikation steht (z.B. verfügbare freie Kartenfläche), 

technisch möglich. - Über die rechtliche, marketingorientierte oder sicherheitstechnische 

Verträglichkeit des Basiskonzeptes mit anderen „Coapplikationen“ entscheiden 

letztlich Richtlinien des Kartenausgebers bzw. die Bestimmungen des Signaturgesetzes. 

Da die Bürgerkarte als eAmt-Keycard („Signaturcard“) keine Applikationsfunktionen 

speichert, sondern diese über „amt-öffnende“ (SV-fremde) Infrastrukturen dem 

Karteninhaber durch Identifikation und Signatur zugänglich macht, wird es möglich, 

zugleich mit dem anlaufenden Projekt „SV-Chipkarte“ auch für eAmt-Anwendungen 

das grundlegende Kartenpotential für ganz Österreich zu schaffen. 

Es steht künftig jedem Österreicher frei, die elektronische Signatur seiner Bürgerkarte 

zu „aktivieren“ und seinen „eAmt-Key“ zum gegebenen Zeitpunkt in verfügbaren 

Anwendungen praktisch zu nutzen. 

Zur technischen Umsetzung der elektronischen Signatur: 

Es ist beabsichtigt, von den gem. SIGV [1] vorgesehenen Verfahren für die elektronische 

Signatur die „Elliptischen Kurven“ einzusetzen. Diese Wahl bietet Vorteile: 

• Der Speicherbedarf für die erforderlichen Schlüssellängen ist geringer (RSA: - 

zur Zeit noch - 1024 Bit / ECDSA: < 200 Bit). 

• Auf der Chipkarte ist aufgrund der Ausführungszeiten nicht grundsätzlich ein 

Kryptocontroller erforderlich. 

Entsprechend der SigV [1], Anhang 1 wird ausgewählt: 

a) Signaturerstellungsdaten für sichere elektronische Signaturen: 

DSA, auf elliptischen Kurven basierend, mindestens 160 Bit 

b) Zufälle für Signaturerstellungsdaten für sichere elektronische Signaturen: 

Die Signaturerstellungsdaten müssen zumindest in folgender Anzahl von Bitstellen 

durch tatsächliche Zufallselemente beeinflusst sein (qualitätsvoller Zufall). 

DSA, auf elliptischen Kurven basierend, mindestens 160 Bit 

c) Hash-Verfahren: Funktion SHA-1. 

Anmerkung: 

Eine Reihe detaillierterer Fragen zur Bürgerkarte werden unter www.buergerkarte.at 

als Antworten zu FAQs angeboten. 

4 Anwendung der Bürgerkarte als SV-Key 

4.1 Die Funktionalität der SV-Applikation im Überblick 

Es ist bereits Konvention, vergleichende Bewertungen des Leistungsumfanges von 

health-care cards anhand typischer Funktionen solcher Kartensysteme vorzunehmen. 

Daher vorab ein Überblick für die SV-Applikation: 



Funktionskategorie 

Ausformung bei der österr. SV-Applikation 

1. Versichertenausweis Erweiterung der Ausweisfunktion als „SV-Keycard“ durch 

Anspruchsprüfung des Versichertenverhältnisses und 

in der Folge ggf. Aktualisierung der Versichertendaten 

mittels Offline-(ggf. Online-)Abgleich gegen die SV- 

Anspruchsdatenbank. 

2. Steuerung der 

Inanspruchnahme 

3. Transport 

medizinischer Daten 

4. Träger von 

Gesundheitsdaten 

5. Zugriff auf 

medizinische Daten 

6. Co-Applikationen im 

öffentlichen Bereich 

Controlling des Behandlungsanspruchs durch versicherungsträgerspezifische 

Abbildung der Krankenordnung 

in Form administrativer Datensätze, die sogen „Digitalen 

Anspruchsbelege“, in einem SV-File. Dadurch 

wird eine dezentrale „Buchführung“ über die jeweils erlaubten 

Inanspruchnahmen von Arzt-Fachgruppen unter 

Berücksichtigung von Betriebsfällen (z.B. Überweisung, 

Vertretung) ermöglicht. Grundlage ist dabei das Zweikarten-Prinzip: 

SV-Keycard und Ordinationskarte (als administrative 

Berechtigungskarte des Arztes) 

Als SV-Keycard wird die Bürgerkarte ausschließlich zur 

Übermittlung administrativer Daten-Elemente der Basisapplikation 

Krankenscheinersatz an den Adressaten genutzt: 

• administrativer Teil von Überweisungsdaten 

• Rezeptgebühren-Befreiung 

• ggf. Auslandskrankenschein 

Derzeit lt. gesetzlichem Beschluss nicht vorgesehen 

Der Zugriff auf medizinische Daten in Datenbanken 

des Gesundheitswesens mit Autorisierung durch den 

Patienten erfolgt mittels Elektronischer Signatur. 

Siehe Anwendung der Bürgerkarte als eAmt-Keycard 

(eGovernment, Ausweisfunktionen u.a.) 

4.2 Das SV-Projekt 

4.2.1 Aufgabenstellung und Mengengerüst 

Die Bürgerkarte wird als Keycard-System der österreichischen Sozialversicherung 

bis zum Jahresende 2002 österreichweit alle Arten von Kranken- und Behandlungsscheinen 

(ca. 40 Mio. p.a.) ersetzen. Das bedeutet, dass innerhalb von 2 Jahren ca. 

8.000.000 Versicherte und Angehörige mit Chipkarten und mindestens 12.000 Vertragspartner 

(Ordinationen) mit sogen. SV-Terminals ausgestattet werden müssen. 

Dieses Chipkartensystem stellt damit das größte gemeinsame IT-Projekt der 28 österreichischen 

Sozialversicherungsträger seit Jahrzehnten dar. 

4.2.2 IST-Zustand Krankenscheinausgabe 

Im heutigen System 



• muss sich der Versicherte vom Dienstgeber einen Krankenschein besorgen, 

• diesen dem Arzt übergeben, welcher ihn dann mit seiner (Quartals-)Abrechung 

• dem Krankenversicherungsträger als Leistungsbeleg übermittelt. 

4.2.3 SOLL-Zustand mit SV-Keycard 

Beim neuen System genügt aus der Sicht des Versicherten die Vorlage einer Chipkarte 

(SV-Keycard), welche 

• eine aktuelle versicherungs- und leistungsrechtliche Anspruchssituation des Patienten 

in Form gesicherter Daten gespeichert hat, 

• welche von EDV-Ärzten in ihre Arzt-EDV übernommen werden können 

• oder von Nicht-EDV-Ärzten auf einen papiergebundenen Abrechnungsbeleg gedruckt 

werden. 

Karteninhaber sind nach dem flächendeckenden Rollout alle Versicherten und anspruchsberechtigten 

Angehörigen. 

4.2.4 Die Systemkomponenten 

Die SV-Applikation "Krankenscheinersatz“ erfordert die Systemkomponenten, wie sie 

in Abb. 2 – markiert durch Ziffern (x) - dargestellt sind: 

4.2.4.1 SV-Keycard (1) 

Die SV-Keycard stellt die „zentrale“ Komponente des SV-Gesamtsystems dar. Nach 

dem Prinzip der "Schlüsselkarte" wird der Zugang zu Krankenversicherungsleistungen 

für den Karteninhaber selbst oder für berechtigte Dritte über das SV-Terminal 

"aufgesperrt". Berechtigte Dritte (z.B. Ärzte) benötigen - vergleichbar einem Bankschließfach 

- einen zweiten "Schlüssel" in Form einer Berechtigungskarte (Professional 

Card, projektspezifisch „Ordinationskarte“ genannt). 

Somit dient die SV-Keycard als Anspruchsnachweis des Patienten gegenüber dem 

Arzt (Praktiker, Zahnarzt, Dentisten) und ersetzt die heute vorhandenen Krankenscheinarten 

bei allen Sozialversicherungsträgern. 

Auf der SV-Keycard (siehe Abb. 3, SV-Applikation) werden folgende Daten des Karteninhabers 

gespeichert: 

File „Grunddaten“: 

• Name und akademischer Grad 

• Geburtsdatum 

• Geschlecht 

• Versicherungsnummer 

• Kartennummer 

Damit Ärzte i.d.R. keine Online-Verbindungen zur Prüfung des jeweiligen Versicherungsstatus 

benötigen, enthält die Karte zusätzliche Daten über die Leistungsansprüche 

des Karteninhabers (gem. den Bedingungen der jeweiligen Versicherung), 

und zwar im File „Versicherungsdaten“: 

• Nachweis eines bestehenden Versicherungsverhältnisses 

(Versicherungsträger, Zeitraum der Anspruchsgültigkeit) 

• Rezeptgebührenbefreiung im Falle sozialer Schutzbedürftigkeit 

Entsprechend zur kassenspezifisch limitierten Anzahl an Krankenscheinen wird die 

äquivalente Menge an Anspruchsbeleg-Datensätzen im File „Digitale Anspruchsbelege“ 

gespeichert. Ein (Default-)Datensatz wird beim Erstbesuch eines Arztes im 

Abrechnungszeitraum mit folgenden Daten aktualisiert: 



• Datum der Inanspruchnahme 

• Fachgruppe des Arztes 

• Versicherungsträger 

• Betriebsfallkennzeichen 

• Kryptographisch anonymisierte Kennzeichnung der beim Erstbesuch im Abrechnungszeitraum 

konsultierten Ordination zur Wahrung der in den Krankenordnungen 

festgelegten Arztwechsel-Bestimmungen. 

Die Datensätze eines Ordinationstages bilden den sogen. Logfile, welcher i.d.R. täglich 

per Online-Transaktion an den Betreiber-Server zu übermittelt wird. 

Technische Realisierung der SV-Keycard: 

Die SV-Applikation mit einem Speicherbedarf von ca. 5 KB wird in einem Chip aus 

der Infineon-Familie SLE66Cxx mit folgenden Merkmalen realisiert: 

64 KB ROM, 16 KB EEPROM, ca. 2 KB RAM, Kryptounterstützung (auch für Elliptische 

Kurven), MMU, Prot.: T=0, T=1, PPS, Maßnahmen gegen SPA/DPA. 

4.2.4.2 Ordinationskarte 

Die Ordinationskarte (Speicherbedarf der Applikation: ca. 10 KB) ist nach dem 

"Zwei-Schlüssel-Prinzip" der Schlüssel der Arztordination. Ohne die Ordinationskarte 

können SV-Keycards nicht verarbeitet werden. Es ist daher vorgesehen, im Arztterminal 

die Ordinationskarte während des Betriebes in gestecktem Zustand zu belassen. 

Technische Realisierung der Ordinationskarte: 

Die Applikation mit einem Speicherbedarf von ca. 10 KB wird in einem Chip aus der 

Infineon-Familie SLE66Cxx mit folgenden Merkmalen realisiert: 

64 KB ROM, 32 KB EEPROM, ca. 3 KB RAM, Kryptounterstützung (auch für Elliptische 

Kurven), MMU, Prot.: T=0, T=1, PPS, Maßnahmen gegen SPA/DPA. 

Die Chipkarten entsprechen den jeweils zutreffenden einschlägigen Normen [2]. 

4.2.4.3 SV-Terminal (Arztterminal) (2) 

Das Arztterminal ist im Sinne des "Schlüsselkarten-Prinzips“ als “Schloß” zu verstehen, 

nach dessen Aufschließen die SV-Keycard Zugang zur SV-Applikation erhält. 

Das Arztterminal benötigt zum Lesen der SV-Keycard eine erfolgreiche Authentisierung 

durch die o.e. Ordinationskarte - in ihrer Funktion als administrative Berechtigungskarte 

des Arztes (Vertragspartners). 

Technische Realisierungen der Terminals: 

Das stationäre Arztterminal wird gem. den Projektanforderungen durch eine Weiterentwicklung 

der Terminal-Familie MCT 5000 realisiert. 

Das mobile Arztterminal ist eine Neuentwicklung aus der Produktlinie MCT 8000. 

Einfache Chipkartenlesegeräte an Arbeitsplatzrechnern (CCRs mit 2 Kartenschlitzen) 

werden durch Produkte der Terminal-Familie MCT 5000 realisiert. 

4.2.4.4 Betreiber-Zentrale (6) 

Unter der Bezeichnung „Betreiber-Zentrale“ werden die zentralen IT-Einrichtungen 

zur Aufrechterhaltung des Betriebes subsumiert. Dazu gehören das ausfallsichere 

Zentralrechnersystem (= Betreiber-Server) mit den dazugehörigen Datenbanken 

(Kartenkunden-Daten, Terminalkunden-Daten, Infrastruktur-Daten, aktuelle Kopie der 

Anspruchsdaten) und Service-Center-Einrichtungen. 



Technische Realisierung: 

Für die zentralen Server sind HP-Rechner und für die Datenbanken ORACLE- 

Produkte geplant. 

4.2.4.5 Anspruchsdatenbank (4) 

Die Anspruchsdatenbank der Sozialversicherung (im Hauptverband) enthält die Anspruchsdaten 

sämtlicher Versicherten und Angehörigen. Sie wird regelmäßig von 

den Krankenversicherungsträgern aktualisiert. Die Änderungen werden dem Betreiber-Server 

übermittelt, welcher sie für die Aktualisierung von SV-Keycards nutzt. 

4.2.4.6 Chipkarten-Netz: Datennetz der SV-Applikation (7) 

Das Chipkarten-Netz ist für den Datenverkehr zwischen Arztterminals und Betreiber- 

Server erforderlich. Die abzuwickelnden Transaktionen umfassen Anspruchsprüfungen, 

Digitale Anspruchsbelege, Aktualisierungsdaten für SV-Keycards und Avisos. 

Ausserdem wird im Regelfall einmal je Ordinationstag eine Online-Verbindung zwischen 

Arztterminal und Betreiber-Server aufgebaut, um Logfiles und Hotlistdaten 

auszutauschen. 

Technische Realisierung: 

Modem (mind. 4400 bps) oder ISDN, Kommunikationsprotokoll: TCP/IP 

4.2.4.7 Call Center 

Das Call Center ist als wichtige betriebsunterstützende Dienstleistung Teil des Service-Centers 

und wird für die Systempartner (Ärzte / Ordinationshilfen, Karteninhaber 

u.a.) für alle Fragen zum Chipkartensystem eingerichtet. Neben dieser Beratungsfunktion 

steuert es auch den Technischen Service und stellt die Schnittstelle zum 

Kartenmanagement dar (Veranlassung von Sperren verlorener Chipkarten, Karten- 

Neubestellungen etc.). 

4.2.5 Offenheit des Systems der SV-Keycard 

Die Sozialversicherungsgesetze haben die Eigenschaft, in relativ kurzen Abständen 

(Monate) geändert zu werden. Ebenso kurzfristig ist die operative Erfüllung dieser 

Gesetze umzusetzen. Darüber hinaus ist zu berücksichtigen, dass neue Applikationen 

des Health-Bereichs vom Gesetzgeber vorgeschrieben werden können oder im 

Gefolge von eEurope ergänzende interoperable Anforderungen gestellt werden. 

Das vorliegende Konzept trägt dem Rechnung durch: 

• Nachladbare Terminals 

Erweiterung des Funktionsumfanges durch aktualisierte Software (freier Terminal- 

Speicher nach Laden der Applikation: >5 MB) 

• Nachladbares Kartensystem 

aufgrund ausreichender Chipressourcen (s. 4.2.4.1) und Sicherheitsmaßnahmen 

• Skalierbare Betriebszentrale. 

Zu beachten ist auch die Weiterentwicklung der Technik. Dies bedingt, dass die 

Kompatibilität mehrerer gleichzeitig in Betrieb befindlicher Chipkarten- und Terminal- 

Generationen gewährleistet werden muss. 

4.2.6 Die SV-Keycard in der Arztordination 

In der Praxis sind im ADMIN-Bereich der Ordination eine Reihe von „Betriebsprozessen“ 

abzudecken bzw. der Abwicklung mit Karte anzupassen. Die wichtigsten Fälle 

sind: 



• Regelfall 

Die Chipkarte ist bei Inanspruchnahme eines Arztes vorzulegen. Abhängig von der 

Organisation der Arztordination wird die Chipkarte dann bei jedem Arztbesuch o- 

der nur beim ersten Arztbesuch im Abrechnungszeitraum bzw. bei Änderungen im 

Versicherungsverhältnis eingelesen. 

• Fehlende Chipkarte 

Bei einer fehlenden (vergessenen, verlorenen) Chipkarte steht dem Arzt ein Ersatzprocedere 

zur Verfügung, das sogen. "Aviso", welches es ihm ermöglicht, 

beim Betreiber-Server nachzufragen, ob eine Person Versicherungsschutz hat. 

Voraussetzung ist, dass der Patient – wenn er dem Arzt nicht bekannt ist - seine 

Identität glaubhaft machen kann und seine Versicherungsnummer weiss. 

• Überweisungen, Zuweisungen 

können nur teilweise durch die SV-Keycard abgelöst werden, da sie medizinische 

Angaben (Diagnosen, Untersuchungen, Behandlungen) beinhalten und auf der 

Chipkarte keine medizinischen Daten gespeichert werden dürfen. Deshalb muss 

auch weiterhin ein Überweisungsschein ausgestellt werden. Die SV-Keycard dient 

in solchen Fällen (mit Patientenkontakt) als Anspruchsnachweis. 

4.2.7 Vorteile der SV-Keycard als Krankenscheinersatz 

Der Ersatz des Krankenscheins durch die Chipkarte bringt folgende Vorteile: 

• Die Versicherten haben einen leichteren Zugang zu ärztlicher Hilfe, da kein Krankenschein 

mehr vom Dienstgeber geholt werden muss, dadurch 

‣ kein Bargeld-Einsatz bei spontanem Arztbesuch und 

‣ verstärkte Wahrung der Intimsphäre 

• Die Dienstgeber ersparen sich den Aufwand für die Krankenschein-Ausstellung 

und –Verwaltung. 

• Bei den Ärzten werden sich die Fälle fehlender Krankenscheine reduzieren. EDV- 

Ärzte (derzeit ca. 40% der Vertragsärzte) haben zusätzlich die Möglichkeit, das 

System für ihre Patientenverwaltung und für die Abrechnung zu nutzen. Die Abrechnung 

selbst erfolgt wie bisher. 

• Die SV-Träger (Kassen) ersparen sich ebenfalls die Ausgabe der Krankenscheine 

(z.B. für Pensionisten). Darüber hinaus sind für die Kassen Vorteile aufgrund der 

Effizienzsteigerung durch verstärkte EDV-Abrechnung zu erwarten, da EDV-Ärzte 

die Vorteile des Systems rasch erkennen werden. 

4.2.8 Wirtschaftlichkeitsaspekte 

Die Investitionskosten für die Hauptanwendungen der Bürgerkarte werden aus Mitteln 

der Sozialversicherung und des Bundes aufgebracht. Für die SV-Applikation 

werden von Seiten der Wirtschaft 300 Mio. Schilling (ca. 22 Mio. €) als einmalige Abgeltung 

für den Entfall der Krankenscheinausstellung geleistet. Für den Versicherten 

ist die Einführung der SV-Keycard mit keinen Kosten verbunden. Damit amortisiert 

sich das Chipkartensystem (allein für den Aspekt SV-Applikation) bei volkswirtschaftlicher 

Betrachtung binnen 2 Jahren. 

4.2.9 Die SV-Projekt-Umsetzung 

• Die wesentlichen Meilensteine des SV-Projektes sind: 

‣ Die Einrichtung einer Musterordination 



‣ Ein Probebetrieb mit ausgewählten (Referenz-)Ärzten 

‣ Die Ausstattung (Kartenausgabe und Installierung der Terminals) der ersten 

Region 

‣ die flächendeckende Ausstattung aller Bundesländer bis Ende 2002. 

• Die Umstellung soll bundesländerweise vor sich gehen, wobei darauf bedacht genommen 

werden wird, dass möglichst alle Patienten eines Arztes in dem Bundesland 

mit der SV-Chipkarte ausgestattet sind. Mischsituationen können sich temporär 

in Grenzregionen zwischen umgestellten und nicht umgestellten Bundesländern 

ergeben. 

• Die Reihenfolge der Einführung in den Bundesländern wird mit den Ärztekammern 

und den Sozialversicherungsträgern abgestimmt. 

5 Privatheit und IT-Sicherheit 

Der „herkömmliche“ Datenschutz (privacy) kann nur als Einheit mit der Systemsicherheit 

(IT-Security) systemtechnisch umgesetzt und als Prozess nachhaltig gewährleistet 

werden. Hierzu einige grundsätzliche Anmerkungen. 

5.1 Sicherheitsaspekte 

Um die erwähnte Schlüssel-Eigenschaft der Chipkarte für Zugriffsberechtigte abzusichern, 

ist die Implementierung eines Sicherheitskonzeptes nach dem state of the art 

erforderlich, ferner ein regelmäßiges Monitoring des Sicherheitsstandards im laufenden 

Betrieb unter Berücksichtigung des Zusammenwirkens aller Systemkomponenten. 

Hervorzuhebende Merkmale sind: 

• Der logische „Schlüssel“ der Keycard ist im gesamten System einzigartig (es gibt 

keinen Nachschlüssel). 

• Ein abhanden gekommener Schlüssel wird systemweit gesperrt. 

• Fälschungen oder Duplizierungen von Schlüssel-Komponenten bedeuten eine hohe 

und teure Hürde. 

• Entsprechend der Sensibilität der jeweiligen Applikation werden Sicherheitsstufen 

unterschiedlicher Stärke in entsprechend sinnvoller Kombination mit den Bürgerkartenfunktionen 

implementiert: 

a) Zweite Berechtigungskarte ("Zwei-Schlüssel-System"): 

Die Elektronische Nachbildung des Vieraugen-Prinzips erfolgt durch die Verwendung 

der Ordinationskarte zur Prüfung der Systemzugehörigkeit der SV- 

Keycard. Das Terminal allein kann somit die SV-Applikation nicht zugänglich 

machen. Die Gültigkeit der Ordinationskarte muss in regelmäßigen Abständen 

durch einen Online-Kontakt verlängert werden. Ist das nicht der Fall, verliert 

sie ihre Autorisierung als Systempartner. 

b) Verschlüsselungsverfahren für interne und externe Transaktionen je nach erforderlicher 

Stärke: 

‣ symmetrisch (z.B. 3DES) 

‣ asymmetrisch (ECDSA) 

‣ Kombination asymmetrisch / symmetrisch (s. Abb.3, Add. Appl.-Keys) 



c) Sicherheitsmaßnahmen im Rahmen der Elektronischen Signatur mittels Bürgerkarte, 

entsprechend den gesetzlichen Auflagen gem. [1]. 

Die Kombination sämtlicher Sicherheitsmerkmale des Systems führt für rationale Angreifer 

zur Konsequenz, dass der verbundene Aufwand in keinem Verhältnis zum 

möglicherweise zu erzielenden Nutzen steht. 

5.2 Aspekte zur Privatheit 

Elektronische Abwicklung von Amtsvorgängen erfordert die sichere Umsetzung von 

„Digital Public Identity“ bei Wahrung von Privatheit. In Österreich ist dafür durch 

das Signaturgesetz die Basis geschaffen worden. Telematische Dialoge mit der Verwaltung 

(z.B. Anbringen und Bescheide) sind durch Verwendung der sicheren elektronischen 

Signatur in elektronischer Form möglich, wobei das Signaturgesetz und 

die EU-Richtlinie die erforderlichen Datenschutz-Auflagen vorschreibt. 

Die Bürgerkarte setzt in den Funktionen des eAmt-Key die sichere elektronische Signatur 

und weitere Aspekte der Privatheit wie z.B. Inhaltsverschlüsselung um. 

Die Daten der SV-Keycard sind im Chip der Karte nur mit der Ordinationskarte zugänglich 

und völlig getrennt von der eAmt-Keycard. 

Mit der Ordinationskarte, welche die Schlüssel für die SV-Anwendung enthält, sind 

eAmt-Anwendungen nicht zugänglich. Solche setzten die Implementierung der elektronischen 

Signatur voraus. 

Da mit der elektronischen Signatur dem Signator Pflichten erwachsen, kann diese 

nur auf nachvollziehbare Anforderung durch den Bürger in der Karte aktiviert 

werden. 

Die Karte kommt in „vorbereitetem“ Zustand zum Bürger und wird durch ihn unter 

Vorlage eines gültigen Ausweisdokumentes für die elektronische Signatur aktiviert. 

Damit ist die Bürgerkarte ein Angebot an den Bürger, welches sichere Kommunikation 

im Bereich Bürger / Verwaltung ermöglicht. 

Literatur: 

[1] Signaturgesetz SigG BGBl. I Nr. 190/1999 und Signaturverordnung SigV 

BGBl. II Nr. 30/2000. Texte siehe www.a-sit.at/Deutsch/dokument.htm 

[2] Chipkarten-Standards wie z.B. ISO 7816-xx siehe ggf. Rankl, W., Effing, W.: 

Handbuch der Chipkarten, 3. Auflage, München, Wien, Hanser 1999 



6 Anhang 

6.1 Projekt-Geschichte der SV-Chipkarte 

• Im Entschließungsantrag des österreichischen Parlamentes vom 29.11.96 wurde 

dem Hauptverband der österreichischen Sozialversicherungsträger (HV) die Aufgabe 

übertragen, die Voraussetzungen für die Einführung einer Chipkarte in der 

österreichischen Sozialversicherung zu schaffen. 

• Im Jahre 1997 wurde durch ein Projektteam des HV ein erstes Systemkonzept 

erarbeitet, wobei die Anspruchsprüfung des Versicherten prinzipiell online geplant 

war. Ergänzend wurden u.a. Konzepte für die Rollout-Logistik und die Betriebszentrale 

(funktionaler und organisatorischer Aufbau des künftigen Betreiber- 

Unternehmens) entworfen. 

• Neue konzeptionelle Ideen führten 1998 zur Revision des Online-Konzeptes. Das 

Resultat ergab ein Mischsystem, welches die Anspruchsprüfung überwiegend 

offline vorsah. Es wurden große Anstrengungen unternommen, geeignete Ausschreibungsunterlagen 

für das Gesamtsystem zur Vergabe nach einem „Offenen 

Verfahren“ zu erstellen, welches einen schwer bewältigbaren Aufwand in der 

Spezifikationstiefe erfordert. 

• Im Mai 1999 wurde die „Gesamtvertragliche Vereinbarung“ über das System 

„SV-Chipkarte“ und seine Nutzungsbedingungen mit der Österreichischen Ärztekammer 

abgeschlossen. Am 19.8.99 wurde das Projekt „SV-Chipkarte“ durch die 

56. ASVG-Novelle gesetzlich abgesichert. Auf diesen Grundlagen und der vergaberechtlichen 

Erkenntnis, dass das Gesamtsystem nach einem „Verhandlungsverfahren“ 

auszuschreiben ist, wurde das umfangreiche Vergabeprocedere 

am 21.9.99 mit der „Öffentlichen Erkundung des Bewerberkreises“ europaweit 

gestartet (Phase 1). 

• Für die Phase 2 wurden am 16.3.2000 ausgewählte Bewerber eingeladen, auf 

Basis der Ausschreibungsunterlagen bis 17.5.2000 Angebote zu legen. Die Verhandlungen 

mit den 4 Bietern dauerten bis 3.10.2000. Bewertungsfähige und 

vertragsreife Angebote lagen dann ab 23.10.2000 vor. Nach Bewertung der Angebote 

erfolgte die formelle Benachrichtigung der Bieter über den beabsichtigten 

Zuschlag an das Bieterkonsortium EDS/ORGA im Dezember 2000. 

6.2 Abbildungen 



eAmt-Keycard 

Anwendung eAmt 

(Gegenseite) 

SV-Keycard 

Anwendung im 

SV-Bereich 

Abb. 1: Keycard-Konzept der Bürgerkarte 



1 

System-Konfiguration 

des SV-Projektes 

Logfile 

2 

6 

SV-Keycard 

Verrechnung 

Arzt-EDV 

Leistungsdaten.../.../.../ 

Arztterminal 

ADMIN - Bereich der Ordination 

Hotlist 

(SV-Status- Korr .) 

Tagesabschluß 

3 

freiwillige Anbindung 

Chipkarten-Netz 

Logon 

Konstatierungsprogramm 

7 

5 

4 

Legende: 

Unterbrochene Linien entsprechen 

logischen Verbindungen einzelner 

System-Funktionen 

SV-Träger 

V e r r e c h n u n g 

Hauptverband 

Verrechnungs - 

unterstützung 

Anspruchsdatenbank 

Betriebsfall- 

Logging 

Anspruchsprüfung 

Bestandsführung / Hotlist 

(Aktualisierung: SV-Status, 

Sperrvermerke) 

Kopie der 

Anspruchsdatenbank 

Betreiber-Server 

Daten für Verrechnungsunterstützung 

Betrieb 

Karten-Management 

Key-Management 

Betreuung des laufenden Betriebs 

Verwaltung der Infrastruktur 

Updating der Systemfunktionen 

Nachladen von Applikationen (inkl. Versionen-Verwaltung) 

Abb. 2: Systemkomponenten des SV-Projektes 



MF_BUERGERKARTE 

IF_SCHLUESSEL_BUERGERKARTE 

EF_DATEN_BUERGERKARTE 

DF_eAPPL-KEYS 

DF_eAMT-KEYCARD 

DF_SV-KEYCARD 

DF_eDTx_DATACARD 

IF_SCHLUESSEL_eAPPL 

IF_SCHLUESSEL_eSIG 

IF_SCHLUESSEL_SV 

IF_SCHLUESSEL_eDTX 

EF_GRUNDDATEN_eAPPL 

EF_GRUNDDATEN_eSIG 

EF_GRUNDDATEN_SV 

EF_DATEN_A_eDTX 

EF_KEY_eAPPL 

EF_SIG_KEY_eSIG 

EF_VERSICHERUNGS- 

DATEN_SV 

EF_DATEN_B_eDTX 

EF_ZERTIFIKAT_eAPPL 

EF_ZERTIFIKAT_eSIG 

EF_DIGITALE_ANSPRUCHS- 

BELEGE_SV 

EF_DATEN_C_eDTX 

EF_RFU_SV 

ADD. APPL-KEYS eAMT (El-SIG) SV-APPLIKATION DATENTASCHEN 

Abb. 3: Die File-Struktur der Bürgerkarte im Überblick

Otter 2001.pdf

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?