Administrative Aspekte von Sicherheitsrichtlinien

Unter administrativen Schutzmaßnahmen versteht man Aktionen, die kontinuierlich den Be-trieb begleiten. Zu den technisch-administrativen Schutzmaßnahmen z¨ahlen Systempflege, Reaktion auf Sicherheitsvorf¨alle sowie ihre Dokumentation und Infrastrukturvorkehrun-gen. Im Folgenden werden einige infrastrukturelle administrative Sicherheitsrichtlinien vorgestellt, wobei lediglich die f¨ur medizinische Forschungsnetze relevanten Aspekte be-leuchtet werden und die Untersuchung nicht abschließend ist. Administrative Aspekte von Informationssicherheitsmaßnahmen werden ausf¨uhrlich in den BSI IT-Grundschutz-Katalogen [bsi11d] er¨ortert. Auf die f¨ur die untersuchten Inhalte relevanten Bausteine und Module der Grundschutz-Kataloge wird bei der Er¨orterung der administrativen Aspekte der Sicherheitsrichtlinien im Rahmen dieses Abschnitts verwiesen.

Administrative Trennung von medizinischen und identifizierenden Daten: IDAT und MDAT^W werden konform zu § 40 Abs. 2 S. 2 BDSG (Verarbeitung und Nutzung personenbezogener Daten durch Forschungseinrichtungen) auf zwei unterschiedlichen Servern aufbewahrt. Die beiden Server sind physikalisch getrennt und werden von zwei unterschiedlichen Administratoren(-Teams) betreut. Es ist darauf zu achten, dass auch die wechselseitige Unabh¨angigkeit ihrer weisungsbefugten Vorgesetzten gegeben ist (vgl.

[PB06], [RDSP06]). Als zus¨atzliche Sicherheitsmaßnahme dient die Zugriffseinschr¨ankung f¨ur Wissenschaftler auf pseudonymisierte MDAT^W. So hat ein Angreifer, der die Identit¨at eines Wissenschaftlers angenommen hat, Zugriff auf lediglich einen fest definierbaren Teil der medizinischen Daten (MDAT^S) mit einem geringen Reidentifizierungsrisiko (vgl.

[RDSP06], [PRDS05]). Er ist somit nicht in der Lage, beliebige Abfragen gegen die Behandlungsdatenbank durchzuf¨uhren.

Aufzeichnung von Zutritten zu den kritischen Forschungsnetzbereichen: S¨amtliche Forschungsnetzserver, die Patientendaten enthalten, sind in speziell abgesicherten Ser-verr¨aumen aufzustellen. Den Zugang zu den R¨aumen soll nur f¨ur Administrationspersonal

durch die Authentifizierung mithilfe einer SmartCard nach der PIN-Eingabe m¨oglich sein. Zugang zu den R¨aumen soll f¨ur institutsfremde Personen nach M¨oglichkeit vermie-den wervermie-den und darf nur in Begleitung eines befugten Forschungsnetzmitarbeiters oder -dienstleisters beim Vorliegen einer Genehmigung des zentralen Benutzerservices erfolgen.

Name der institutsfremden Person, Zeitpunkt, Grund und Dauer des Besuches sind in einer Protokollliste festzuhalten (vgl. [bsi11d, M 2.16-2.17]).

Unterbrechungsfreie Stromversorgung: Alle kritischen Infrastrukturbestandteile sind an eine USV-Anlage anzuschließen. USV kann nicht nur Stromausf¨alle f¨ur eine kurze Zeit uberbr¨¨ ucken, sondern sch¨utzt die Forschungsnetzanlagen vor ¨Uber- und Unterspannung, Frequenz¨anderungen und Oberschwingungen. Eine ¨Uberbr¨uckungszeit f¨ur Stromausf¨alle von 10 bis 15 Minuten gilt als angemessen. F¨ur das geordnete Herunterfahren von Systemen empfiehlt BSI eine St¨utzzeit von 30 bis 60 Minuten, die sich aus der Wartezeit (ca. 10 Minuten) und der doppelten Shutdown-Zeit zusammensetzt (vgl. [bsi11d, M 1.25, M 1.28, M 1.70]).

Kontrolle der kritischen Bereiche: Innerhalb der kritischen Forschungsnetzbereiche³³ d¨urfen keine Broadcast-Komponenten³⁴verwendet werden. In kritischen Forschungsnetzseg-menten d¨urfen nur Switches installiert werden, die lediglich dedizierte Verbindungen zulas-sen. Die nicht verwendeten SPAN-Ports³⁵ m¨ussen deaktiviert werden. Wireless-Technologie (WLAN, Bluetooth etc.) soll im administrativen Bereich des Forschungsnetzes nicht

ein-gesetzt werden. Die kritischen Bereiche m¨ussen regelm¨aßig auf die unerlaubt installierte Wireless Access-Points untersucht und von diesen ges¨aubert werden (vgl. [bsi11d, M 2.277, M 4.298, G 2.117]).

Dokumentation der Sicherheitsvorf¨alle: S¨amtliche Sicherheitsvorf¨alle m¨ussen sauber dokumentiert werden. Dazu z¨ahlen Malware-Vorf¨alle, Datenverlust, Sicherheitswarnungen der Systeme etc. Die Dokumentation soll in digitaler Form an einer zentralen Stelle erfolgen. Nur berechtigte Personen (Administratoren, Auditors etc.) d¨urfen Zugang zu dieser Dokumentation haben (vgl. [bsi11d, M 6.134]).

Ver¨anderungen der Sicherheitsinfrastruktur: S¨amtliche Ver¨anderungen an der Sicher-heitsinfrastruktur (z. B. ¨Anderungen der Router-Konfiguration, Firewallanpassung, ¨ Ande-rung der IDS-Konfiguration etc.) d¨urfen nur nach dem Vier-Augen-Prinzip erfolgen und m¨ussen einheitlich und ausf¨uhrlich dokumentiert werden (vgl. [bsi11d, M 2.221]).

33Dazu z¨ahlen beispielsweise Netzsegmente, in denen sich Administrationsarbeitspl¨atze, Datenspeicherungs-und Datenarchivierungseinrichtungen, DMZ-Systeme etc. befinden.

34Zum Beispiel Netzwerk-Hubs.

35Monitoring Ports.

Zugriffsrechtevergabe: Die Vergabe und ¨Anderung von Zugriffsrechten erfolgt nur bei der Zustimmung von mindestens zwei dazu bef¨ahigten Personen nach dem

” Need-to-know-Prinzip“ bzw.

”Need-to-Access-Prinzip“.³⁶ S¨amtliche Transaktionen dieser Art sind zu dokumentieren und regelm¨aßig (mindestens zwei Mal im Jahr) zu verifizieren. Zus¨atzlich ist die Integration eines IAM-Systems (Identity- and Access-Management) empfehlenswert. Die Eigenschaften eines IAM-Systems werden im Abschnitt 3.5.9

”Antimalware-Einrichtungen“

ausf¨uhrlich erl¨autert (s. a. Abschnitt 3.5.4).

Datensicherung: Eine Datensicherung ist t¨aglich durchzuf¨uhren. Mindestens ein Mal in der Woche muss ein Full-Backup s¨amtlicher Daten erfolgen. Die t¨aglich anfallenden Backups d¨urfen nicht am Ort der Sicherung aufbewahrt werden. Es ist notwendig, ein unabh¨angiges, auf der Aufbewahrung von Datenbackups spezialisiertes Unternehmen mit der Aufbewahrung der Sicherungsb¨ander zu beauftragen. Die Datensicherung darf nur in verschl¨usselter Form erfolgen, wobei eine symmetrische Verschl¨usselung angewendet werden soll. Empfehlenswert ist der Einsatz von AES mit einer Schl¨ussell¨ange von 256 Bit. Die Anforderung von Backup-Tapes (z. B. zwecks Datenwiederherstellung) darf nur vom fest definierten Personenkreis nach Vier-Augen-Prinzip initiiert werden (vgl. [bsi11d, B. 1.4]).

Getrennte Datenhaltung: Im Abschnitt 4.3.2

”Bedrohungsorientierte Analyse“ wird die Gefahr eines Sniffing-Angriffs beschrieben. Eine der Auspr¨agungen des Sniffing-Angriffs w¨are das Sammeln von IDAT m¨oglichst vieler Patienten. Dieser Angriff kann durch die Verwendung von TempIDs vermieden werden.³⁷ MDAT^W und IDAT befinden sich in keinem System zum gleichen Zeitpunkt außerhalb des Rechners des behandelnden Arztes.

Der Angreifer k¨onnte versuchen, die Schutzmechanismen derIDAT- und MDAT^W- Daten-banken auszuhebeln. W¨urde es ihm gelingen, die beiden Datenbanken auszusp¨ahen, k¨onnte er die darin enthaltenen Datenbest¨ande zusammenf¨uhren. Die Tatsache, dass die beiden Datenbanken physikalisch voneinander getrennt sind und von unabh¨angigen Administrato-ren verwaltet werden, verkleinert jedoch das damit verbundene Risiko. Es ist sinnvoll, nicht nur unterschiedliche DBMS zu verwenden, sondern auch die Server unter unterschiedlichen Betriebssystemen zu betreiben (s. a. Abschnitt 3.5.8

”Datenbanksicherheit“). Die Verwen-dung von Systemen unterschiedlicher Hersteller ist in vielen anderen Situationen (z. B.

zwecks Erreichung einer qualitativ hochwertigen Redundanz) empfehlenswert. Wenn das Ersatz- oder Ausfallsystem die gleiche Konfiguration wie das prim¨are System aufweist, kann

36Die Rechte sollen Zugriffe nur auf Informationen erm¨oglichen, die f¨ur den jeweiligen Behandlungs- oder Forschungskontex notwendig sind.

37Der behandelnde Arzt fragt bei der Patientenliste nach, ob ein bestimmter Patienteneintrag bereits existiert. Wenn dies der Fall ist, wird eine tempor¨are ID (TempID) erzeugt, die sowohl dem Arzt als auch der Behandlungsdatenbank ¨ubermittelt wird. Die Behandlungsdatenbank wird angewiesen, die TempID f¨ur die Dauer der Abfrage dem entsprechenden Patientendatensatz zuzuordnen. Diese wird nach einer erfolgreichen Abfrage gel¨oscht. Die Kommunikation ( ¨Ubermittlung der TempID) zwischen der Patientendatenbank und der Behandlungsdatenbank erfolgt ¨uber eine sichere Verbindung (vgl. [RDSP06]).

davon ausgegangen werden, dass es prinzipiell die gleichen Schw¨achen, Sicherheitsl¨ucken etc. besitzt. So ist es z. B. nicht sinnvoll bei der Kompromittierung eines Webservers ein Ausweichsystem mit der gleichen Konfiguration wie das erfolgreich angegriffene in Betrieb zu nehmen.

PIN- und SmartCard-Verteilung: Zu den administrativen Schutzmaßnamen geh¨ort auch die Verteilung von SmartCards und PINs an die Teilnehmer. Karten und PIN-Briefe (mehrere PINs sind notwendig z. B. f¨ur elektronische Signatur, Authentifizierung und Entschl¨usselung, Entsperren und ¨Andern der PINs etc.) werden getrennt an die dezentra-len Teilnehmerservices verschickt. Diese k¨onnen von Teilnehmern pers¨onlich gegen eine Unterschrift bei der Vorlage eines Lichtbildausweises abgeholt werden. Sowohl die Karten als auch die Briefe sollten so gestaltet sein, dass das Lesen der PIN in einem unge¨offneten Zustand nicht m¨oglich ist. Außerdem soll das ¨Offnen der Briefe stets nachweisbar sein (vgl. [sch03, S. 12 ff.], s. a. Abschnitt 3.5.3).

Sperrung der Zugriffe: Sollte ein Forschungsnetzteilnehmer die SmartCard verlieren oder Verdacht auf eine Aussp¨ahung des SmartCard-Schl¨ussels, der PIN etc. bestehen, ist das Zertifikat sofort sperren zu lassen (vgl. [sch03, S. 16], s. a. Abschnitt 3.5.6). Es ist sicherzustellen, dass der Nutzer beim Verlassen seines Arbeitsplatzes die SmartCard nicht unbeaufsichtigt l¨asst. Nach einer l¨angeren Zeit ohne Benutzeraktion (z. B. sieben Minuten) ist die Forschungsnetzanwendung zu sperren. Die Entsperrung kann nur durch eine erneute Benutzerauthentifizierung (¨uber SmartCard und PIN) erfolgen.

Informationspolitik: Die im Falle von bekannt gewordenen Sicherheitsl¨ucken zu tref-fenden Maßnahmen sind ein weiteres wichtiges Thema. Mitarbeiter und Teilnehmer des Forschungsnetzes m¨ussen aufgefordert werden, die ihnen bekannt gewordenen Sicher-heitsl¨ucken unverz¨uglich zu melden. Es soll ihnen untersagt werden, selbstst¨andig die Offentlichkeit ¨¨ uber das Vorhandensein von Sicherheitsl¨ucken zu informieren,³⁸ Exploits, die diese L¨ucke ausnutzen, anzufertigen oder Pressestellungnahmen ohne vorherige Ge-nehmigung zu beziehen. Der gemeldete Vorfall ist vom der daf¨ur zust¨andigen Stelle³⁹ zu untersuchen; die erforderlichen Problembehebungsmaßnahmen sind zu treffen. Nach dem Beheben der Sicherheitsl¨ucke d¨urfen die Details des Vorfalls dem relevanten Per-sonenkreis⁴⁰ bekannt gegeben werden. Die Entdecker der Sicherheitsl¨ucken sollten nach M¨oglichkeit honoriert werden, wobei selbstverst¨andlich nicht nur finanzielle Leistungen

38Zum Beispiel durch Verfassen von Meldungen in einschl¨agigen Newsgroups.

39Zum Beispiel Ausschuss Datenschutz oder ein anderes, dem Ausschuss Datenschutz unterstelltes Gremium.

40Internes Administrationspersonal, Entwickler etc. Das Ziel soll sein, ¨ahnliche Fehler in Zukunft zu vermeiden.

in Frage kommen (vgl. [bsi11d, M. 6.58, M. 2.1, M 3.55, M 3.77], s. a. Abschnitte 3.3.2, 3.3.4).

Die vorgeschlagene Vorgehensweise mag dem Full-Disclosure-Prinzip widersprechen, ist jedoch angesichts der hohen Schutzw¨urdigkeit der Patientendaten sinnvoll.⁴¹

Beschlagnahmesicherheit: Strafverfolgungsbeh¨orden k¨onnten (z. B. im Rahmen von staatsanwaltlichen Ermittlungen) ihr Interesse an den Forschungsnetzdaten bekunden. Die Herausgabe der f¨ur die Ermittlung relevanten Daten liegt nicht immer im Interesse des For-schungsnetzes, kann jedoch im Rahmen der Zusammenarbeit mit den Beh¨orden akzeptabel sein. Es sollte jedoch der Fall vermieden werden, dass die Datenbest¨ande des Forschungsnet-zes beschlagnahmt werden. Gesetzliche Grundlage f¨ur die Beschlagnahme der Daten bilden

§94 Abs. 1 und Abs. 2 StPO.⁴² Das f¨ur die Nichtherausgabe von Forschungsnetzdaten (Be-schlagnahmesicherheit) maßgebliche

”Schlupfloch“ weisen § 97 Abs. 1 Satz 3 StPO⁴³ und

41Das Full-Disclosure-Prinzip basiert auf der Tatsache, dass eine Schwachstelle unabh¨angig davon, ob sie jemand kennt oder nicht, existiert. Die Ver¨offentlichung der Schwachstellen mag zwar die Wahrscheinlichkeit eines Angriffs erh¨ohen, hat jedoch keinen Einfluss auf die Schwere der Schwachstelle. Die Ver¨offentlichung einer Sicherheitsl¨ucke ist außerdem die Voraussetzung daf¨ur, dass man sich mit den f¨ur die Beseitigung dieser Schwachstelle erforderlichen Maßnahmen besch¨aftigen kann. Eine Schwachstelle kann vom Angreifer nicht ausgenutzt werden, wenn er diese nicht kennt. Im Umkehrschluss kann sich ein Forschungsnetz gegen einen Angriff nicht sch¨utzen, der nicht bekannt ist. Die grunds¨atzliche G¨ultigkeit des Full-Disclosure-Prinzips f¨ur das Forschungsnetz ist mehr als fraglich. Full-Disclosure ber¨ucksichtigt n¨amlich nicht die f¨ur das Forschungsnetz g¨ultigen Rahmenbedingungen: Geschlossene Infrastruktur mit einem ¨uberschaubaren externen Benutzerkreis, der außerdem in seinem Handeln an die Sicherheitsleitlinie des Forschungsnetzes gebunden ist. Der Full-Disclosure-Ansatz entstand urspr¨unglich aufgrund der langsamen Reaktion von Softwareherstellern auf gemeldete Sicherheitsprobleme. Durch die Ver¨offentlichung von Sicherheitsl¨ucken versprach man sich ein schnelleres Erstellen von Patches. Innerhalb der Full-Disclosure-Gemeinde existieren unterschiedliche Anschauungen, an wen, wann und welche Informationen weitergegeben werden d¨urfen.

So melden viele Full-Disclosure-Anh¨anger den Vorfall erst an den Softwarehersteller und ver¨offentlichen die Details nach dem Ablauf einer bestimmten Frist, was dem Hersteller die M¨oglichkeit gibt, die Sicherheitsl¨ucke zu beheben.

Unabh¨angig von der Anwendbarkeit des Full-Disclosure-Prinzips im geschilderten Zusammenhang ist von dem

”security through obscurity“-Prinzip – der Hoffnung, eine Sicherheitsl¨ucke w¨urde durch den relativ kleinen Bekanntheitsgrad und z. T. nicht vorhandenen Know-how der Teilnehmer nicht bemerkt und nicht ausgenutzt – abzuraten. Auf Dauer w¨urde solche Praxis der Sicherheit des Forschungsnetzes sch¨adigen.

Um das Beheben von gefundenen Sicherheitsl¨ucken zu beschleunigen, kann – alternativ zum in Falle eines Forschungsnetzes kaum anwendbaren Full-Disclosure-Ansatz – die interne priorisierte Behandlung von Sicherheitsvorf¨allen eingesetzt werden. Dies kann z. B. durch entsprechende Vereinbarungen in den SLAs bei externen Produkten/Dienstleistungen oder dem Code-Freeze f¨ur interne Produktweiterentwicklun-gen bis zur Fehlerbehebung sein. In vielen F¨allen kann man sogar das Abschalten von Diensten bis zu einer endg¨ultigen Fehlerbehebung bzw. Kl¨arung der Situation in Erw¨agung ziehen (s. a. Abschnitt 4.3.2

”Bedrohungsorientierte Analyse“).

42

”(1) Gegenst¨ande, die als Beweismittel f¨ur die Untersuchung von Bedeutung sein k¨onnen, sind in Verwahrung zu nehmen oder in anderer Weise sicherzustellen. (2) Befinden sich die Gegenst¨ande in dem Gewahrsam einer Person und werden sie nicht freiwillig herausgegeben, so bedarf es der Beschlagnahme.“

43

”Der Beschlagnahme unterliegen nicht (...) andere Gegenst¨ande einschließlich der ¨arztlichen Unter-suchungsbefunde, auf die sich das Zeugnisverweigerungsrecht der in § 53 Abs. 1 Satz 1 Nr. 1 bis 3b Genannten erstreckt.“

§ 97 Abs. 2 Satz 3 StPO⁴⁴ auf. In [RDSP06] wird vorgeschlagen, die Forschungsnetzdaten zwecks Beschlagnahmesicherheit unter die Aufsicht von Rechenzentren von Universit¨ ats-bzw. Großkliniken zu stellen, denn obwohl ein Forschungsnetz mit Patientendaten ar-beitet, genießen diese nicht die Beschlagnahmefreiheit.⁴⁵ Die Beschlagnahmesicherheit der bei den Kliniken untergebrachten und im Behandlungszusammenhang verwendeten Forschungsdaten resultiert aus der ¨arztlichen Schweigepflicht. Die direkte Beauftragung eines Dienstleisters zur Verarbeitung von Forschungsnetzdaten w¨urde eine Beschlagnahme somit nicht verhindern k¨onnen. Wenn aber eine Krankenanstalt einen Dienstleister mit der Verarbeitung von Forschungsnetzdaten beauftragen und dem Forschungsnetz die Nutzung dieser Daten erlauben w¨urde, w¨aren diese Daten vor Beschlagnahme sicher. F¨ur die Be-wertung der Beschlagnahmesicherheit ist auch die Betrachtung des Forschungsnetzes als ein Gehilfe des Arztes interessant, der im Auftrag einer oder mehrerer Krankenanstalten (datenerhebende Stellen) Daten verwaltet. Die Beschlagnahmesicherheit der Daten w¨urde aus der ¨arztlichen Schweigepflicht bzw. aus dem verfassungsrechtlich verankerten Recht des Patienten auf Selbstbestimmung resultieren⁴⁶ und sich auf das Forschungsnetz analog zum

§ 203 Abs. 3 StGB anwenden lassen (vgl. [SPR⁺06], s. a. Anhang E

”Ausz¨uge aus BDSG und StGB“). Die ¨arztliche Schweigepflicht findet jedoch mit h¨ochster Wahrscheinlichkeit keine Anwendung, wenn die Daten dem Arzt (bzw. einer medizinischen Einrichtung) im Rahmen eines Forschungsvorhabens und nicht einer medizinischen Behandlung ¨ubertragen werden.

Eine weitere M¨oglichkeit, die Beschlagnahmesicherheit von Forschungsdaten zu erreichen, k¨onnte darin bestehen, die Forschungsnetzdaten bei einer

”beschlagnahmefesten“ Perso-nengruppe (Geistliche, Abgeordnete, Schwangerschaftsberater, Mitarbeiter von Presse und Rundfunk, Rechtsanw¨alte, Steuerberater etc.) unterzubringen. Nach der aktuellen Rechts-auffassung bietet jedoch noch nicht einmal die die gr¨oßten Erfolgsaussichten in Bezug auf die Beschlagnahmesicherheit bei der Datenunterbringung aufweisende Berufsgruppe der Notare einen Schutz vor Beschlagnahme: Bei einem als Datentreuh¨ander agierenden Notar kann der Bezug zwischen den Forschungsdaten und der Berufsaus¨ubung nicht immer als

ge-44

”Diese Beschr¨ankungen gelten nur, wenn die Gegenst¨ande im Gewahrsam der zur Verweigerung des Zeugnisses Berechtigten sind ... Der Beschlagnahme unterliegen auch nicht Gegenst¨ande, auf die sich das Zeugnisverweigerungsrecht der ¨Arzte, Zahn¨arzte, Psychologischen Psychotherapeuten, Kinder- und Jugendlichenpsychotherapeuten, Apotheker und Hebammen erstreckt, wenn sie im Gewahrsam einer Krankenanstalt oder eines Dienstleisters, der f¨ur die Genannten personenbezogene Daten erhebt, verarbeitet oder nutzt, sind, sowie Gegenst¨ande, auf die sich das Zeugnisverweigerungsrecht der in§53 Abs. 1 Satz 1 Nr. 3a und 3b genannten Personen erstreckt, wenn sie im Gewahrsam der in dieser Vorschrift bezeichneten Beratungsstelle sind. Die Beschr¨ankungen der Beschlagnahme gelten nicht, wenn die zur Verweigerung des Zeugnisses Berechtigten einer Teilnahme oder einer Beg¨unstigung, Strafvereitelung oder Hehlerei verd¨achtig sind oder wenn es sich um Gegenst¨ande handelt, die durch eine Straftat hervorgebracht oder zur Begehung einer Straftat gebraucht oder bestimmt sind oder die aus einer Straftat herr¨uhren.“

45Von Relevanz ist die Feststellung zur Beschlagnahmesicherheit aus dem von TMF vergebenen Rechts-gutachten zu den Biobanken [BGH⁺06].

46Die ¨arztliche Schweigepflicht ist auch als Berufspflicht im§9 MBO- ¨A festgelegt.

geben angenommen werden, wodurch auch der Beschlagnahmeschutz der Forschungsdaten durch die T¨atigkeit als Notar fragw¨urdig erscheint. Nach der aktuellen Rechtsauslegung macht das Bed¨urfnis nach der Aufrechterhaltung des Vertrauensverh¨altnisses zwischen dem Arzt und dem Patient den forschenden Arzt bzw. die entsprechende medizinische Einrichtung zeugnisverweigerungsberechtigt. Somit k¨onnen die im Rahmen von Studien erhobenen Daten dem Beschlagnahmeschutz unterliegen, wenn der Verbleib der Daten in der Einrichtung gegeben ist. Auch die beschlagnahmesichere Aufbewahrung der erho-benen Daten bei einem Dienstleister scheint gegeben zu sein, wenn ein direkter Auftrag des behandelnden Arztes an den Dienstleister zwecks Datenaufbewahrung vorliegt. Hier muss jedoch zwischen den personenbezogenen Daten des Patienten und den medizinischer Dokumentation des Arztes unterschieden werden. Dem Beschlagnahmeschutz unterliegt n¨amlich die ¨arztliche Dokumentation und nicht die sich in der Datenhoheit des Patienten befindenden Daten (vgl. [RHJ08, S. 56 f.]).

Ein Datentreuh¨ander als eine selbstst¨andige, Daten besitzende Stelle ¨ubernimmt die Rolle eines vertrauensw¨urdigen Dritten zwischen den Patienten, Forschern und der Daten haltenden Stelle. Die Unabh¨angigkeit des Datentreuh¨anders wird durch eine klare r¨aumliche und organisatorische Trennung von den Forschern und den Daten haltenden Stellen zum Ausdruck gebracht. Ein Treuh¨ander muss weisungsunabh¨angig sein und sich auf ein Beschlagnahmeverbot berufen k¨onnen. Der Datentreuh¨ander muss außerdem an eine Schweigepflicht gebunden sein und ein Aussageverweigerungsrecht besitzen (vgl. [RDSP06], [MW02]). Der Beschlagnahmeschutz gilt jedoch nur dann, wenn ein unmittelbarer Bezug zur Berufsaus¨ubung besteht, was u. U. im nicht gegebenen Beschlagnahmeschutz der Forschungsdaten resultieren kann. Diese Auffassung wird durch Rechtsgutachten best¨atigt, sodass eine Datenunterbringung z. B. bei einem Notar als Datentreuh¨ander, keine Vorteile im Bezug auf den Beschlagnahmeschutz im Vergleich zum Klinikrechenzentrum bietet.

(vgl. [RHJ08, S. 56 f.], [PSM⁺09, S. 1757]).

Zu den administrativen Komponenten einer Sicherheitsarchitektur geh¨ort auch die Verga-be von Serviceauftr¨agen und eine geordnete Reaktion auf die Sicherheitsvorf¨alle. Diese beiden Aspekte der administrativen Maßnahmen werden im Abschnitt C.2

”Merkmale von administrativen Sicherheitsrichtlinien“ des Anhangs C erl¨autert.

Zusammenfassung: Im Abschnitt 3.4 wurden u. a. die administrativen Aspekte der Sicherheitsrichtlinien f¨ur medizinische Forschungsnetze untersucht. Im n¨achsten Abschnitt erfolgt die Analyse technischer Sicherheitsrichtlinien als Bestandteil der Sicherheitsarchi-tektur eines medizinischen Forschungsnetzes.