Die HBSN-Unternehmensgruppe unterstützt die AOK Sachsen-Anhalt bei der Konzeption, technischen Entwicklung und Umsetzung sowie im Betrieb und Service eines Formularcenters innerhalb des digitalen Kundenportals „Meine Gesundheitswelt“.

„Meine Gesundheitswelt“ steht seit Februar 2020 für die AOK-Kunden*innen zur Verfügung. Innerhalb der „Gesundheitswelt“ haben die Kunden über ihr individuelles „Gesundeskonto“ die Möglichkeit, Mehrleistungen über die AOK vergüten zu lassen und ihre Belege und Rechnungen für etwaige Vorleistungen digital für die Abrechnung einzureichen.

Die webbasierte Serviceanwendung „Formularcenter“ ist hierfür ein weiterer Baustein im digitalen Kundenserviceangebot der AOK Sachsen-Anhalt. Mit dem „Formularcenter“ bietet die AOK ihren Kunden*innen eine große Auswahl an vorgefertigten Formularen zur Beantragung von Leistungen der Krankenkasse wie beispielsweise dem Pflegeantrag oder für die Erstattung von Fahrkosten in Behandlungssituationen. Den Versicherten werden die entsprechenden Formulare über das Kundenportal „Meine Gesundheitswelt“ jetzt webbasiert zur Verfügung gestellt.

woman sitting and holding white Acer laptop near brown wooden wall

Mit diesem digitalen Kundenservice werden komplizierte bürokratische Hürden für die Versicherten abgebaut und die Beantragung einfach, schnell und kundenorientiert gestaltet. Gleichzeitig kommt die AOK Sachsen-Anhalt ihrer Verpflichtung zur Erfüllung des Onlinezugangsgesetzes (OZG) gegenüber dem Gesetzgeber nach, Verwaltungsleistungen den Bürger*innen digital anzubieten.

Die Versicherten können direkt online über ihr individuelles Kundenkonto auf das Formularcenter zugreifen und die Beantragung von Leistungen für sich oder für ihre Familienangehörigen ausführen. Die Formulare sind weitestgehend mit den bereits bekannten Daten des Versicherten vorbefüllt. Integrierte Hilfefunktionen, Erläuterungen in Form von Text und Beispielbildern zu notwendigen Anlagen je Antrag und ein dynamisches Verhalten der Formulare vermeiden Widersprüche beim Ausfüllen der Formulare und sorgen für eine erleichterte Beantragung und Prüfung auf Vollständigkeit der Unterlagen. Eine integrierte Upload-Funktion für notwendige Anlagen zum Antrag wird ebenfalls bereitgestellt.

Diese Hilfefunktionen unterstützen nicht nur die Versicherten, sondern auch die Mitarbeiter*innen der AOK Sachsen-Anhalt bei der direkten Weiterbearbeitung der Formulare. Nach dem digitalen Versand durch die Antragsteller werden die Formulare automatisch an das Bestandssystem oscare® weitergeleitet. Pro Formular ist die Verteilungindividuell durch die AOK ausgeprägt und somit werden die Formulare je nach Ausprägung automatisch an Teampostfächer, in die eAkte oder an das oscare® APD für eine direkte Fallanlage gesandt. 

Die Anforderungen an die Anwendung hinsichtlich Prozessablauf, Datenflüsse und technische Umsetzung wurden von der HBSN Consulting gemeinsam mit der AOK Sachsen-Anhalt erarbeitet und weiterentwickelt. Die individuelle Programmierung und technische Umsetzung erfolgte über das Team der xitee. Für die Betriebsüberwachung des Systems und den Kundensupport kommt mit der Health-IT Services nun die dritte Kraft der HBSN-Unternehmensgruppe zum Einsatz und übernimmt die Wartung und den Support der Webanwendung „Formularcenter“ gemeinsam mit der xitee.

Technologien: Angular 11, RxJS, Jasmine, JIRA, Confluence, Bitbucket, Apache httpd, Selenium, SonarQube

Es gibt sechs Grundbausteine (Versionskontrolle, kontinuierliche Integration, Fehlerverfolgung, Unit-Tests / Komponenten-Tests, Reviews / Überprüfung, Code-Analyse), die die Qualität der Software und damit des Produkts selbst sicherstellen. Verschiedene Synergien zwischen den einzelnen Teilen ermöglichen Transparenz und Wartbarkeit. Gleichzeitig dienen diese Bausteine als “Werkzeugkasten” für jeden einzelnen Softwareentwickler.

Durch den Einsatz einer Versionskontrolle wird jede Änderung des Codes nachvollziehbar dokumentiert und jede Version kann jederzeit wiederhergestellt werden. Dies verleiht der Entwicklung Flexibilität und ermöglicht eine genaue Analyse aller auftretenden Fehler der Software.  

Der Einsatz eines CI-Systems (Continuous Integration) ermöglicht eine kontrollierte Kompilierung neuer Softwareversionen sowie ein kontinuierliches Reporting für die Entwickler über auftretende Fehler während der Kompilierung. Zusätzlich können automatisch ermittelte Kennzahlen generiert und gemeldet werden, die den Zustand des Produktes anzeigen. Features und Bugs sowie Meilensteine und Projektaufgaben werden über das Issue-Tracking-System (JIRA und / oder Confluence) verwaltet. Dies schafft eine nachvollziehbare und transparente Entwicklung von der Anforderungsanalyse bis hin zur Auslieferung und ermöglicht das Herstellen von Zusammenhängen zwischen einzelnen Aufgaben oder Features.

Das Zusammenspiel dieser drei Systeme (Versionskontrolle, CI, Issue- Tracker) sowie die Interaktion der Entwickler mit ihnen bringt zusätzliche Vorteile, die die Qualität der Produkte noch weiter steigern. Alle Änderungen müssen nur einmal dokumentiert werden, da die Systeme Versionskontrolle, Issue-Tracking und CI die Änderungen automatisch übertragen. Durch diese automatische Übergabe an das Issue-Tracking- System wird jede Änderung eindeutig einer Anforderung zugeordnet, was eine vollständige Nachvollziehbarkeit jeder Aktion ermöglicht. Der Entwickler erhält durch das CI-System schnelles Feedback, da jede Änderung im Code automatisch eine neue Software-Version erzeugt.


Die Verwendung von Unit-Tests und die Integration dieser Tests in das CI-System ermöglicht eine schnelle Identifikation und Behebung von Fehlern, noch während die Software in der Entwicklung ist.


Zusätzlich wird durch Reviews sichergestellt, dass mindestens zwei Personen den Code sichten und testen, bevor eine Komponente für weitere Tests freigegeben wird.

Als unabhängiges Tochterunternehmen des Verbands der Privaten Krankenversicherung, kurz PKV-Verband, erfüllt compass private pflegeberatung GmbH den Pflegeberatungsanspruch aller Privatversicherten – telefonisch und vor Ort bei den Versicherten. Mit ihren knapp 500 angestellten Pflegeberaterinnen bildet compass die Dienstleistungsbasis für alle Fragen und Beratungsansprüche rund um das Thema Pflege.

Dabei spielt die direkte Bearbeitung, Terminierung und Dokumentation der Beratungsgespräche und Beratungsleistungen eine zentrale Rolle. Zur Unterstützung der Pflegeberaterinnen in ihrer täglichen Arbeit war zuletzt das compass eigene System CKP auf Basis Microsoft Sharepoint 2010, Infopath und einer MS SQL Datenbank im Einsatz.

Das CKP war technisch, aber auch aus User Experience- und Usability-Gesichtspunkten betrachtet, in die Jahre gekommen. Somit wurde das CKP analysiert und Optimierungspunkte für eine zukünftige Anwendung definiert. Dazu gehörten unter anderem eine schnellere Speicherung von Vorgängen ohne Redundanzen, verbesserte Einsatzmöglichkeiten mobiler Endgeräte in der Beratungssituation sowie unterstützende Möglichkeiten während der Beratung wie ein Assessment. Aufgrund der gewünschten Optimierungsfelder hat compass beschlossen, die bisherige Anwendung abzulösen und komplett neu zu programmieren. Den Pflegeberatenden sollte für ihre Arbeit zukünftig ein noch leistungsfähigeres und benutzerfreundlicheres System zur Verfügung stehen.

woman in black leather jacket using macbook air

xitee hat gemeinsam mit HBSN Consulting GmbH den Kunden compass im gesamten Projekt von der Ideenfindung für eine nutzerfreundliche und intuitive Anwendung über die Ausgestaltung von Anwendungsszenarien und der Ausarbeitung von technischen Anforderungen bis hin zur Entwicklung der neuen Kernanwendung unterstützt und begleitet. Die Projektleitung wurde gemeinsam von dem PKV-Verband/compass und der HBSN Consulting übernommen.

Als Ziel des Projektes wurde festgelegt, die bisherige Anwendung durch eine neue und moderne Web- und Mobilanwendung zu ersetzen, die das Nutzererlebnis für die Anwender*innen verbessern und intuitiver gestalten sollte. Entstanden ist eine browserbasierte Anwendung auf Basis von Java, Spring Boot, MS SQL und Docker.

Umgesetzt wurde diese in einem hybriden Projektmanagement mit einem Zusammenspiel aus klassischem und agilem Vorgehen. Die Kernanwendung wurde unter Berücksichtigung der von compass vorgegebenen Priorität in einzelne Funktionen aufgeteilt, die gemeinsam spezifiziert wurden. Hieraus ergab sich der Inhalt des Backlogs für die Arbeitspakete. Die Entwicklung erfolgte in festgelegten Sprints mit dem Ziel der Auslieferung eines Inkrements nach jedem Sprint.

two women using laptops

Die Kernanwendung ist eine vollständige Neuentwicklung einer Individualsoftware, die speziell auf die Ansprüche und Wünsche von compass ausgerichtet wurde. Sie beinhaltet die komplette Dokumentation für die Pflegeberatung nach § 7a SGB XI und die Beratungsbesuche nach § 37 Absatz 3 SGB XI.

Die intuitive Struktur des Systems führt die Pflegeberatenden als Nutzer durch die gesamten Prozesse von der Anlage neuer Klientinnen in den Basisdaten bis hin zur Terminvereinbarung und Durchführung der Beratung vor Ort oder am Telefon. Die vielseitigen Funktionen umfassen dabei unter anderem eine umfangreiche Dokumentation, die Abrechnung und Erstellung von Rechnungen, den Versand von Faxen aus dem System heraus bis hin zu einem dazugehörigen Dokumentenmanagementsystem. Ebenfalls integriert ist die technische Lösung einer Kalenderfunktion inkl. der Synchronisierung mit Outlook. Des Weiteren wurde ein Assessment integriert. Für die Nutzerinnen wird in Layout und Bedienbarkeit eine benutzerfreundliche Umgebung und Oberfläche für die Arbeit im Büro (Web-Anwendung) und von unterwegs (Mobile) geboten. Die Zugriffsberechtigungen auf die einzelnen Funktionalitäten sind mit einem ausführlichen Rollen- und Berechtigungskonzept umgesetzt worden.

Die Neuentwicklung wurde in 15 Monaten realisiert und „In Time“ im September 2020 eingeführt. Eine Weiterentwicklung der Kernanwendung zur Integration weiterer Funktionalitäten ist für 2022 geplant.

Technologien: Spring Security, OAuth, JWT. Backend: Java, Gradle, Spring Boot, Hibernate. Frontend: JavaScript, Angular. API: Swagger.  Servers: Tomcat und Nginx. Datenbank: MS SQL DB Cluster. Echtzeitsuche über Elastic.

Jede Information, die als „identifiziert oder identifizierbar“ eingestuft werden kann, stellt personenbezogene Daten dar. Das kann ein Name sein, eine Adresse, eine Kartennummer, sogar eine IP-Adresse oder eine Cookie-ID. Die Allgemeine Datenschutzverordnung der EU (GDPR) versucht, das Gleichgewicht zu finden einerseits strikt genug zu sein, um Einzelpersonen einen klaren und fühlbaren Schutz zu bieten, und gleichzeitig flexibel genug legitime Interessen von Unternehmen und der Öffentlichkeit zu berücksichtigen. Die Einhaltung der Anforderungen der GDPR ist bei der Verarbeitung personenbezogener Daten erforderlich.

Datenschutz ist definiert als „rechtliche Kontrolle über den Zugang zu und die Verwendung von personenbezogenen Daten“. Genauer gesagt bezieht sich die GDPR auf „den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten“. Es handelt sich im Wesentlichen um eine Reihe von Gesetzen, Vorschriften und bewährten Verfahren in Bezug auf die Erhebung und Verwendung personenbezogener Daten von Einzelpersonen. Informationssicherheit ist definiert als die Praxis des Schutzes von Informationen (sowohl physische als auch digitale Daten) vor unbefugtem Zugriff, Verwendung, Veränderung oder Störung.

In xitee bieten wir Dienstleistungen an, um Ihre Daten sicher zu halten und zu schützen.

Cyber-Angriffe auf kritische Infrastrukturen, wie z. B. auf Krankenhäuser, werden immer aggressiver und häufiger. Um mögliche Risiken in Hinblick auf  Ihre Lösung auszuschließen, bieten wir Penetrationstests an. Ziel ist es, mithilfe von Methoden, die normalerweise von Hackern verwendet werden, Schwachstellen zu identifizieren, durch die das System kompromittiert, vertrauliche Informationen verloren oder die Verfügbarkeit von Diensten beeinträchtigt werden kann.

Darüber hinaus empfehlen und bieten wir eine GAP-Analyse, um Ihre Prozesse, Aktivitäten und Abläufe hinsichtlich der Anforderungen der ISO/IEC 27001 zu bewerten und alle erforderlichen Maßnahmen zu identifizieren, um die Konformität mit den gesetzlichen Anforderungen zu gewährleisten sowie eine mögliche Zertifizierung zu erreichen.

Code-Überprüfung

Unser Quellcode-Review-Service zielt darauf ab, versteckte Schwachstellen und Designfehler aufzudecken und zu überprüfen, ob Sie die wichtigsten Sicherheitskontrollen implementiert haben. Hierbei verwenden wir eine Kombination aus automatischen Scan-Tools und manueller Überprüfung, um Kodierungspraktiken, Performance-Probleme, Sicherheitsschwachstellen, wie Injektionsfehler & Cross-Site-Scripting, Sicherheits-Konfigurationsregeln, integrierte Bibliotheken usw. zu überprüfen.

Der erste Schritt eines Code-Review-Prozesses ist das Durchführen einer Anwendungsanalyse und die Erstellung eines sog. Bedrohungsprofils.

Dem folgt eine Überprüfung des Code-Layouts, um einen spezifischen Code-Review-Plan für jede einzelne Anwendung zu entwickeln.

Anschließend verwenden wir in der Regel einen hybriden Ansatz, um sowohl automatisierte Scans als auch manuelle Code-Review durchzuführen.

Nach Überprüfung des Codes stellen wir Ihnen einen Abschlussbericht mit den gefundenen Schwachstellen sowie Lösungsvorschlägen / Optimierungsschritten zur Verfügung.

Gap-Analyse-Audit

Gap-Analysen zeigen strategische und operative Lücken in Ihrem Unternehmen auf, die verbessert werden sollten. Das Audit ermittelt den Reifegrad Ihrer Informationssicherheit auf Basis der Best-Practice-Anforderungen der ISO/IEC 27001.

Anhand der GAP-Analyse bewerten wir Ihre Prozesse, Aktivitäten und Abläufe im Hinblick auf die Anforderungen der ISO/IEC 27001:2013 und identifizieren alle erforderlichen Maßnahmen, um Konformität mit den gesetzlichen Anforderungen sowie eine optionale Zertifizierung zu erlangen. Mit unserem strukturierten Best-Practice-Modell schützen wir vertrauliche Daten, sichern die Integrität Ihrer Betriebsdaten und erhöhen die Verfügbarkeit Ihrer IT. Der Abschlussbericht enthält dann konkrete Empfehlungen. 

Ausgewählte Prüfungsschwerpunkte nach ISO/IEC 27001:2013:

  • Kontext und Führung der Organisation (Managementverantwortung, Governance, Richtlinien)
  • Planung (einschließlich Risikomanagement)
  • Support (einschließlich Ressourcen, Kompetenz, Kommunikation und Dokumentation)
  • Betrieb (operative Planung und Steuerung)
  • Leistungsbewertung (Überwachung, interne Audits, Managementbewertungen)
  • Zugriffskontrolle, Kryptographie sowie physische und umgebungsbezogene Sicherheit
  • Entwicklung und Wartung von Informationssystemen
  • Management von Sicherheitsvorfällen
  • Business-Continuity-Management
  • Einhaltung von Vorschriften
  • Kontinuierliche Verbesserung

Penetrationstests

Ein Penetrationstest ist ein simulierter Cyber-Angriff auf das Computersystem des Kunden, um es auf ausnutzbare Schwachstellen hin zu überprüfen. Im Zusammenhang mit der Sicherheit von Webanwendungen werden Penetrationstests in der Regel eingesetzt, um die Web Application Firewall (WAF) zu erweitern. Am Ende des Tests steht ein Ergebnisbericht sowie Empfehlungen für Optimierungsmaßnahmen.

Komplexe IT-Systeme sammeln und verarbeiten Daten, die potenziell missbraucht werden könnten.  Da in der Regel zumindest ein Teil des Systems öffentlich zugänglich ist, z.B. ein Webserver, muss sichergestellt werden, dass nur autorisierte Benutzer das System bedienen können und dass die Sicherheitsvorkehrungen keinen unbefugten Personen den Zugriff auf Systemelemente ermöglichen.

Die Systemsicherheit wird bewertet, indem ein simulierter Angriff auf das Computersystem durchgeführt wird. Anhand dieses Tests können Schwachstellen und die Auswirkungen eines möglichen Sicherheitsverstoßes identifiziert werden. Typische Bedrohungen sind z.B. Fehlfunktionen oder Überlastungen des Systems durch übermäßige Nutzung von Komponenten, die im öffentlichen Netzwerk zur Verfügung stehen (API, Webformulare…), der Verlust sensibler personenbezogener Daten oder der unbefugte Zugriff auf eingeschränkte Anwendungsfunktionen. Zu den Hauptformen von Penetrationstests zählen externe, interne und physische Penetrationstests.

Unser Ansatz zur Testmethodik:

  • PLANUNG – Festlegen von Gegenstand und Umfang des Sicherheitsaudits
  • SCANNING – Durchführung eines Kick-off-Workshops mit den Verantwortlichen für IT, Informationssicherheit und den Betrieb der betroffenen IT-Systeme
  • DURCHFÜHRUNG – Durchführung der Penetrationstests nach bewährten und etablierten Standards, wie z.B. dem OWASP Testing Guide. Einsatz bewährter, aktueller Tools und Durchführung ergänzender manueller Analysen/Nachprüfungen (False Positives).
  • ANALYSE UND REPORTING – Ergebnisbericht und Präsentation mit priorisierten Maßnahmenempfehlungen
  • OPTIONAL – Durchführung einer Nachuntersuchung

Vorteile von Penetrationstests:

  • Bessere Beurteilung des aktuellen Schutzniveaus eingesetzter IT-Systeme
  • Bewertung der etablierten Schutzmaßnahmen
  • Reduzierung der Haftungsrisiken, die durch unzureichende Sicherheit Ihrer Systeme entstehen

Jede Information, die als „identifiziert oder identifizierbar“ eingestuft werden kann, stellt personenbezogene Daten dar. Das kann ein Name sein, eine Adresse, eine Kartennummer, sogar eine IP-Adresse oder eine Cookie-ID. Die Allgemeine Datenschutzverordnung der EU (GDPR) versucht, das Gleichgewicht zu finden einerseits strikt genug zu sein, um Einzelpersonen einen klaren und fühlbaren Schutz zu bieten, und gleichzeitig flexibel genug legitime Interessen von Unternehmen und der Öffentlichkeit zu berücksichtigen. Die Einhaltung der Anforderungen der GDPR ist bei der Verarbeitung personenbezogener Daten erforderlich.

Datenschutz ist definiert als „rechtliche Kontrolle über den Zugang zu und die Verwendung von personenbezogenen Daten“. Genauer gesagt bezieht sich die GDPR auf „den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten“. Es handelt sich im Wesentlichen um eine Reihe von Gesetzen, Vorschriften und bewährten Verfahren in Bezug auf die Erhebung und Verwendung personenbezogener Daten von Einzelpersonen. Informationssicherheit ist definiert als die Praxis des Schutzes von Informationen (sowohl physische als auch digitale Daten) vor unbefugtem Zugriff, Verwendung, Veränderung oder Störung.

In xitee bieten wir Dienstleistungen an, um Ihre Daten sicher zu halten und zu schützen.

Cyber-Angriffe auf kritische Infrastrukturen, wie z. B. auf Krankenhäuser, werden immer aggressiver und häufiger. Um mögliche Risiken in Hinblick auf  Ihre Lösung auszuschließen, bieten wir Penetrationstests an. Ziel ist es, mithilfe von Methoden, die normalerweise von Hackern verwendet werden, Schwachstellen zu identifizieren, durch die das System kompromittiert, vertrauliche Informationen verloren oder die Verfügbarkeit von Diensten beeinträchtigt werden kann.

Darüber hinaus empfehlen und bieten wir eine GAP-Analyse, um Ihre Prozesse, Aktivitäten und Abläufe hinsichtlich der Anforderungen der ISO/IEC 27001 zu bewerten und alle erforderlichen Maßnahmen zu identifizieren, um die Konformität mit den gesetzlichen Anforderungen zu gewährleisten sowie eine mögliche Zertifizierung zu erreichen.

Diese Dienstleistung bieten wir in Zusammenarbeit mit unserem Tochterunternehmen Cybrela s. r. o. an.