Navigation und Service

BSI-CC-PP-0052-2015

Common Criteria Protection Profile Mobile Card Terminal for the German Healthcare System (MobCT), Version 1.4

Herausgeber / Issuer

Bundesamt für Sicherheit in der Informationstechnik

Godesberger Allee 185 - 189
53175 Bonn

Prüfstelle / Evaluation Facility

T-Systems GEI GmbH

Prüftiefe des Produktes / Assurance of the TOE

EAL3, ADV_FSP.4, ADV_IMP.1, ADV_TDS.3, ALC_TAT.1, AVA_VAN.5

Version der CC / CC Version

3.1 R4

Ausstellungsdatum / Certification Date

19.01.2015

gültig bis / valid until

18.01.2025

Zertifizierungsreport / Certification Report
Schutzprofil / Protection Profile

Das Schutzprofil beschreibt den Evaluierungsgegenstand (EVG) als mobiles Chipkartenterminal für das deutsche Gesundheitswesen. Der EVG kann die sogenannten Versichertenstammdaten einer elektronischen Gesundheitskarte (eGK) eines Patienten auslesen, sie zwischenspeichern, auf einem Display anzeigen und optional über einen Drucker ausdrucken. Die zwischengespeicherten Daten können in das Datenmanagementsystem des Leistungserbringers (zum Beispiel Arzt/Ärztin) übertragen und anschließend im EVG gelöscht werden.
Für den Zugriff auf die geschützten Inhalte der eGK muss der Leistungserbringer zuvor seine eigene Berechtigungskarte, den sogenannten Heilberufsausweis (HBA), in das Chipkartenterminal eingelegt und mittels HBA-PIN freigeschaltet haben.
Der EVG implementiert unter anderem folgende wichtige Sicherheitsfeatures:

  • Zugangskontrolle für gespeicherte Versichertenstammdaten
  • Kontrolle des Informationsflusses für den HBA-PIN
  • PIN für die Management-Schnittstelle und Versichertenstammdaten
  • Kryptographische Unterstützung für die Verschlüsselung der zwischengespeicherten Versichertenstammdaten
  • Protokollierung von Zugriffen auf die eGK
  • Protokollierung der gespeicherten Datensätze
  • Identifizierung und Authentifizierung für Administratoren
  • Management-Funktionalität einschließlich sicherer Firmware-Updates

The Protection Profile describes the Target of Evaluation (TOE) as a mobile smart card terminal for the German healthcare system. The TOE is used to read out the health insurance data from a patient's electronic Health Card (eHC), to store them, to show them on a display and, optionally, to print them on a printer. The stored data can be transferred to a Data Management System of the medical supplier (e.g. physician) and deleted from the TOE afterwards.
For accessing protected data on eHC the medical supplier must have inserted his own authorized card, the Healthcare Professional Card (HPC), into the smart card terminal and unlocked it with the HPC-PIN before.
The security features offered by the TOE include:

  • Access control for stored health insurance data
  • Information flow control for the HPC-PIN
  • PIN for the management interface and health insurance data
  • Cryptographic support for encryption of stored health insurance data
  • Logging accesses to the eHC
  • Protocol generation for stored data records
  • Identification and authentication for administrators
  • Management functionality including secure firmware updates