Dezentrales De-Mail-Gateway

BITMARCK VERNETZT
DER KUNDENTAG
De-Mail: Pflicht oder Kür in der GKV?
Jörg Czeczine, BITMARCK
Essen, 04. November 2015
De-Mail: Pflicht oder Kür in der GKV?
06.03.2012: Telekom-Vorstandschef René Obermann
und Bundeskanzlerin Angela Merkel geben auf der
CeBIT 2012 den Startschuss für De-Mail
Quelle: http://www.t-systems.de/news-media/startschuss-fuer-de-mail/816952
3 | De-Mail – Pflicht oder Kür in der GKV?
Inhaltsverzeichnis
 Was ist De-Mail?
 Wie nutze ich De-Mail?
 De-Mail-Diensteanbieter
 Warum De-Mail?
 Rechtlicher Rahmen
 Spezifische Regelungen für Krankenkassen
 Mögliche Architekturen für die Anbindung an De-Mail
 Einführungs-Szenarien und Kosten für De-Mail
 Kennzahlen und Fakten
4 | De-Mail – Pflicht oder Kür in der GKV?
Was ist De-Mail?
 Mit De-Mail können elektronische Nachrichten so einfach verschickt werden, wie Sie es
von E-Mail gewöhnt sind
 Im Gegensatz zur E-Mail können bei De-Mail aber sowohl die Identität der
Kommunikationspartner als auch der Versand und der Eingang von De-Mails jederzeit
zweifelsfrei nachgewiesen werden
 Die Inhalte einer De-Mail können auf ihrem Weg durch das Internet nicht mitgelesen
oder gar verändert werden
 Vertraulicher Versand und Empfang von De-Mails durch
– Abgesicherte Anmeldeverfahren und Verbindungen zu
den De-Mail-Anbietern
– Verschlüsselte Transportwege zwischen den De-Mail-Anbietern
5 | De-Mail – Pflicht oder Kür in der GKV?
Wie nutze ich De-Mail?
 Um De-Mail Nutzen zu können, muss sich der Anwender
(juristische oder natürliche Person) bei einem akkreditierten De-Mail-Diensteanbieter (DMDA)
anmelden und ein De-Mail-Konto eröffnen
– Es erfolgt eine Überprüfung der Identität (z. B. anhand Personalausweis, Reisepass oder
über neuen Personalausweis (nPA)
 Danach können De-Mails mit anderen De-Mail-Teilnehmern ausgetauscht werden
Abbildung: De-Mail-Versand und –Empfang (Grundprinzip),
Quelle: Bundesministerium des Innern, De-Mail-Leitfaden für Behörden, Seite 7
6 | De-Mail – Pflicht oder Kür in der GKV?
Akkreditierte De-Mail-Diensteanbieter
Dienstanbieter
Dienste
Domänen
1&1 De-Mail GmbH
Postfach- & Versanddienst,
1und1.de-mail.de
Verzeichnisdienst
Mentana-Claimsoft
GmbH
Telekom
Deutschland GmbH
gmx.de-mail.de
sec.de-maul.de
web.de-mail.de
Postfach- & Versanddienst,
fp-demail.de
Verzeichnisdienst
mc-demail.de
fpbrief.de-mail.de
anwalt.de-mail.de
Postfach- & Versanddienst,
t-online.de-mail.de
Verzeichnisdienst
T-Systems
International GmbH
Postfach- & Versanddienst,
Verzeichnisdienst
7 | De-Mail – Pflicht oder Kür in der GKV?
de-mail-systems.de-mail
Warum De-Mail?
 Kunden erwarten von der Verwaltung eine schnelle Sachbearbeitung und transparente
Möglichkeiten der Nachverfolgung
 De-Mail bildet das Pendant zur Sicherheit eines papierbasierten Briefs, kombiniert mit den
Vorteilen der Schnelligkeit einer E-Mail
– Versandbestätigung: Der Absender erhält eine qualifizierte elektronische
signierte Versandbestätigung
– Eingangsbestätigung: Absender und Empfänger erhalten eine vom De-Mail-Anbieter des
Empfängers qualifiziert elektronisch signierte Bestätigung, dass die De-Mail im Postfach
des Empfängers eingegangen ist („Einwurfeinschreiben“)
– Abholbestätigung: steht nur berechtigten öffentlichen Stellen zur Verfügung.
Möglichkeit für die förmliche Zustellung von Dokumenten („Zustellungsurkunde“) gemäß
Verwaltungszustellungsgesetz
 Zusätzlich können Kostenvorteile entstehen:
– Reduktion von Papier-, Druck-, Porto-, Prozesskosten der papierbasierten
Kommunikation
8 | De-Mail – Pflicht oder Kür in der GKV?
Rechtlicher Rahmen (1)
De-Mail Gesetz vom 28. April 2011
 Regelt die Mindestanforderungen/Grundlagen an einen sicheren elektronischen
Nachrichtenaustausch
 Bildet zusammen mit den technischen Richtlinien des BSI (TR 01201) die Basis von
De-Mail
 Insbesondere für Anbieter von De-Mail-Diensten von Bedeutung
 Überwachung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI)
 Gesetzliche Regelungen stellen sicher, dass alle De-Mail-Nutzer über alle anderen
De-Mail-Anbieter erreicht werden können
– Öffentlicher De-Mail-Verzeichnisdienst (ÖVD)
– Auf Verlangen der Nutzer werden Identitätsdaten im ÖVD veröffentlicht
(z. B. Titel, Name, Vorname, De-Mail-Adresse, postalische Adresse,
Verschlüsselungszertifikat, etc.).
9 | De-Mail – Pflicht oder Kür in der GKV?
Rechtlicher Rahmen (2)
E-Government-Gesetz des Bundes
(Gesetz zur Förderung der elektronischen Verwaltung sowie zur Änderung weiterer Vorschriften)
 Seit 01. August 2013 in Kraft (bis auf wenige Ausnahmen)
 Regelt insbesondere den elektronischen Zugang zur Verwaltung, elektronische
Bezahlmöglichkeiten und elektronische Aktenführung
 Ziel: Förderung der elektronischen Kommunikation mit der Verwaltung
– Hierzu wurden und werden erkannte Hürden und Hemmnisse abgebaut, indem bspw.
Änderungen an weiteren Gesetzen vorgenommen werden
– Anpassung Verwaltungsverfahrensgesetz des Bundes: Absenderbestätigte
De-Mail ersetzt die Schriftform im Bereich des Verwaltungsrechts
– Anpassung SGB: §36a Abs. 2 Satz 4 Nr. 2 und Nr.3 SGB I
 Es soll Bund, Ländern und Kommunen ermöglichen, einfachere, nutzerfreundlichere und
effizientere elektronische Verwaltungsdienste anzubieten
10 | De-Mail – Pflicht oder Kür in der GKV?
Relevante Fristen aus dem EGovG mit Bezug zu De-Mail
Inkrafttreten am
Bedeutung
01. Juli 2014
Pflicht für Behörden von Bund und Ländern,
elektronische Dokumente anzunehmen, auch dann,
wenn diese mit einer qualifizierten elektronischen
Signatur versehen sind („Pflicht zur
Zugangseröffnung“).
Möglichkeit, in der Bundesverwaltung De-Mail als
Ersatz der Schriftform einzusetzen.
1 Jahr nach Bereitstellung eines
zentralen De-Mail-Gateways für die
Bundesverwaltung
Pflicht für Bundesbehörden, per De-Mail erreichbar
zu sein.
Hinweis: Auf Landesebene werden die Verwaltungsverfahren teilweise in eigenen Verwaltungsverfahrensgesetzen
geregelt, teilweise wird auf das Verwaltungsverfahrensgesetz des Bundes verwiesen. Dort, wo es eigene
Verwaltungsverfahrensgesetze gibt, werden diese sukzessive nach dem Vorbild des Bundes-VwVfG angepasst.
11 | De-Mail – Pflicht oder Kür in der GKV?
Landesspezifische Regelungen
(Geltungsbereich VwVfG – Stand August 2014)
Land
Gesetzesform
De-Mail erfasst
Baden-Württemberg
Vollgesetz
Ja
Bayern
Vollgesetz
noch nicht
Berlin
Verweisungsgesetz (dynamisch)
Ja
Brandenburg
Verweisungsgesetz (dynamisch)
Ja
Bremen
Vollgesetz
Ja
Hamburg
Vollgesetz
Ja
Hessen
Vollgesetz
noch nicht
Mecklenburg-Vorpommern
Vollgesetz
Ja
Niedersachsen
Verweisungsgesetz (dynamisch)
Ja
Nordrhein-Westfalen
Vollgesetz
Ja
Rheinland-Pfalz
Verweisungsgesetz (dynamisch)
Ja
Saarland
Vollgesetz
Ja
Sachsen
Verweisungsgesetz (dynamisch)
Ja
Sachsen-Anhalt
Verweisungsgesetz (dynamisch)
Ja
Schleswig-Holstein
Vollgesetz
noch nicht
Thüringen
Vollgesetz
Ja
12 | De-Mail – Pflicht oder Kür in der GKV?
Spezifische Regelungen für Krankenkassen
 Eine Verpflichtung zur Schaffung eines De-Mail-Zugangs besteht für bundesunmittelbare
Krankenkassen nur dann, wenn sie die Möglichkeit erhalten, diesen über die für
Bundesbehörden einzurichtenden zentralen De-Mail-Gateway zu realisieren
 Krankenkassen haben keinen Zugang zum zentralen De-Mail-Gateway des Bundes
 Eine freiwillige Einrichtung über einen der akkreditierten De-Mail-Diensteanbieter ist
möglich
1.) Prüfdienste des Bundes und der Länder, Leitfaden „Elektronische
Kommunikation und Langzeitspeicherung elektronischer Daten“
2.) Schreiben des Bundesversicherungsamtes (BVA) vom 20.05.2015,
De-Mail im Aufsichtsbereich des Bundesversicherungsamtes, AZ 715
13 | De-Mail – Pflicht oder Kür in der GKV?
Mögliche Architekturen für die Anbindung an De-Mail
14 | De-Mail – Pflicht oder Kür in der GKV?
Mögliche Architekturen für die Anbindung an De-Mail
De-Mail-Web (Variante 1)
 Zugriff auf De-Mail-Konto durch Nutzung einer Web-Oberfläche
 Bei Anmeldung bei einem De-Mail-Diensteanbieter (DMDA) wird automatisch der
Zugang zum De-Mail-Webportal freigeschaltet
 Dieses Verfahren ist verpflichtend von jedem DMDA anzubieten
 Über das Portal können De-Mails erstellt und versandt sowie empfangene De-Mails
geöffnet und gelesen werden
 Nutzung aller definierten De-Mail-Optionen ist möglich (z. B. Bestätigungsnachrichten
anfordern)
 Einrichtung von Unterkonten mit eigenen Zugriffsberechtigungen ist möglich
 kein hoher Schulungsaufwand – leichte Bedienung
 keine Integration und Anbindung
15 | De-Mail – Pflicht oder Kür in der GKV?
Übersicht der Vor- und Nachteile
De-Mail-Web (Variante 1)
Vorteile
Nachteile
• einfache Bedienung wie Web-Mail
• für die Anfangsphase mit wenigen
Nutzungen (gut) geeignet
• sehr geringe Investitionskosten
• keine Anbindung an behördeneigene
IT-Infrastruktur (Medienbrüche)
• kein Massenversand
• sehr eingeschränkte Weiterleitung/
Sachbearbeitung möglich
• Internetzugang der De-Mail-Bearbeiter
notwendig
• Archivierung und Langzeitspeicherung
nur manuell möglich
16 | De-Mail – Pflicht oder Kür in der GKV?
Mögliche Architekturen für die Anbindung an De-Mail
Dezentrales De-Mail-Gateway (Variante 2)
 Unabhängig von der Nutzung eines Web-Portals
 Lokales, d.h. in der internen IT-Infrastruktur betriebenes De-Mail-Gateway
 Anbindung interne E-Mail an die De-Mail-Infrastruktur
 Aufstellung zwischen De-Mail-Diensteanbieter (DMDA) und den
internen E-Mail-Komponenten
 Nutzung des Standard „E-Mail-Clients“ durch den Anwender
 Keine Medienbrüche
 Massenversand möglich
17 | De-Mail – Pflicht oder Kür in der GKV?
Übersicht der Vor- und Nachteile
dezentrales De-Mail-Gateway (Variante 2)
Vorteile
Nachteile
• Nutzung der bestehenden internen
E-Mail-Infrastruktur
• Massenversand möglich
• Archivierung und Langzeitspeicherung
automatisiert möglich
• keine Medienbrüche
• lokale Administration des Gateways
notwendig
• Zugang zum/über Internet notwendig
• höhere Investitions- und Betriebskosten für
Beschaffung, Integration und Betrieb des
De-Mail-Gateways
18 | De-Mail – Pflicht oder Kür in der GKV?
Mögliche Architekturen für die Anbindung an De-Mail
Zentrales De-Mail-Gateway (Variante 3)
 Zentrale Bereitstellung und gemeinsame Nutzung eines Gateways für mehrere
„Krankenkassen“
 Jede Krankenkasse erhält einen eigene Bereich auf dem zentralen Gateway, der
eigenständig administriert werden kann
 Der Zugriff erfolgt über gesicherte Internetverbindungen oder Leitungen
 Zentrale Gateways bieten sich insbesondere in einem gemeinsamen Rechenzentrum an
19 | De-Mail – Pflicht oder Kür in der GKV?
Übersicht der Vor- und Nachteile
Zentrales De-Mail-Gateway (Variante 3)
Vorteile
Nachteile
• Beschaffung, Installation, Konfiguration
und
Betrieb nur eines zentralen
(mandantenfähigen) Gateways an Stelle
vieler dezentraler Gateways
• Wirtschaftlichkeit
• zentrale und automatische Archivierung
und Langzeitspeicherung möglich
• spezielle Kenntnisse für Installation,
Konfiguration und Betrieb des Gateways
in der Krankenkasse nicht erforderlich
• zentrale Pflege und Support des
Gateways
• zentraler Betrieb nur wirtschaftlich, wenn die
zusätzlichen Kosten für Beschaffung und
Betrieb eines zentralen Gateways durch die
Anzahl der nutzenden Krankenkassen
gedeckt sind
• Zwischen dem zentralen Gateway und der
Krankenkasse wird die De-Mail über die
intern vorhandene Netzinfrastruktur
technisch als E-Mail transportiert. Daher
muss über geeignete Maßnahmen
sichergestellt werden, dass die Nachricht
auch hier sicher transportiert wird (Schutz
vor Verlust, Schutz der Vertraulichkeit, etc.).
20 | De-Mail – Pflicht oder Kür in der GKV?
Mögliche Rollenverteilung
Bei Nutzung von De-Mail auf einem zentralem Gateway
DMDA
BITMARCK (SP)
Krankenkasse/Kunde
Verwaltung des ServiceProviders (SP)
•
•
Identifizierung des SP
Registrierung des SP
•
Beistellung der relevanten
Unterlagen
•
Vertragsabschluss mit
Service Provider
Tokenhandling/Bestellung
Gateway
•
•
•
Ausstellung des Zertifikats
Aktivierung des Zertifikats
Versand von GW/Zertifikat
•
•
•
Bestellung von Token/GW
Einrichtung GW
Zuweisung der Token zu GW
Account-Management
•
Identifizierung und
Registrierung des Kunden
Prüfung der
Bevollmächtigung des SP
zur Administration des DeMail Kontos
Versand Zugangsdaten
•
Zuordnung des Kunden zu
Token und GW
Administration + Service für die
De-Mail Konten
•
Bereitstellung der
Identifizierungsunterlagen
Aktivierung des De-Mail
Kontos
Administration des De-Mail
Kontos
Betrieb der 7/24 Sperrhotline
Sperren von De-Mail Konten,
Token und SP
•
•
•
Missbrauch/Sperren
•
•
21 | De-Mail – Pflicht oder Kür in der GKV?
•
•
•
Bei Missbrauchsverdacht
Meldung zur Sperrung eines
Tokens
•
Bei Missbrauchsverdacht
Meldung zur Sperrung des
De-Mail Kontos
Einführungs-Szenarien und Kosten De-Mail
 Möglichkeit der Einführung:
– Stufe 1: passive De-Mail-Nutzung (Nur Empfang)
– Stufe 2: aktive De-Mail-Nutzung (Empfang und Versand)
– Stufe 3: De-Mail-Integration (z. B. Integration an DMS-Systeme)
 Kosten für De-Mail:
– Für De-Mail fallen unterschiedliche Kosten an (je nach Diensteanbieter)
– Neben den Bereitstellungkosten fallen auch für den Versand einer De-Mail oder bei
Nutzung von optionalen Funktionen (z. B. „absenderbestätigt“, „Einschreiben“, etc.)
laufende, nutzungsabhängige Gebühren an
22 | De-Mail – Pflicht oder Kür in der GKV?
Kennzahlen und Fakten (1)
 In Deutschland werden pro Jahr ca. 16 Milliarden Papierbriefe verschickt
 Aktuell gibt es ca. 1 Millionen Privatkunden mit persönlicher
De-Mail-Adresse
 Das Bundesinnenministerium geht davon aus, dass bis Ende 2015 bis
zu 200 Behörden und Einrichtungen des Bundes über De-Mail kommunizieren werden
 Auch Bundesländer bereiten die De-Mail-Einführung vor
 Die Hälfte der deutschen Großunternehmen, zehntausende mittelständische Firmen und
mehrere tausend Städte und Gemeinden haben mit De-Mail-Anbietern Verträge
unterzeichnet
 Das Bundesinnenministerium hat seinen Zugang für De-Mails im August 2015 eröffnet
und in einem ersten Schritt ein zentrales De-Mail-Postfach eingerichtet
23 | De-Mail – Pflicht oder Kür in der GKV?
Kennzahlen und Fakten (2)
 Zwischenbericht der Bundesregierung aus Februar 2015
– Erste De-Mail-Dienste waren erst Mitte 2012 bzw. Mitte 2013 verfügbar – somit erst
ein bzw. zwei Jahre nach Inkrafttreten des De-Mail-G im Jahr 2011
– Verbreitung von De-Mail bei Bürgerinnen und Bürgern sowie Unternehmen macht
gute Fortschritte (ca. 1 Mio. Privatanwender und eine hohe fünfstellige Zahl von
identifizierten Organisationen)
– „Erforderliche kritische Masse“ für Netzwerkeffekte konnte noch nicht erreicht werden
– Verzögerungen bei Einführung von De-Mail in der Bundesverwaltung
(u.a. Nachprüfungsverfahren der Ausschreibung)
– Fortführender Bericht soll bis Ende 2016 vorgelegt werden
24 | De-Mail – Pflicht oder Kür in der GKV?

Download Report