Hintergrund und Zusammensetzung von Sicherheitsrichtlinien als Komponenten

einer Sicherheitsarchitektur

Vorbeugen ist einfacher als Heilen: Es ist schwieriger, ein wirksames Sicherheitskonzept f¨ur eine bereits bestehende Infrastruktur zu erstellen, als noch in der Planungsphase ihre kritischen Aspekte zu analysieren und diese bei der Erstellung des Sicherheitskon-zeptes zu ber¨ucksichtigen. Viele f¨ur die medizinischen Forschungsnetze geltenden da-tenschutzrelevanten Fragestellungen werden in den generischen Datenschutzkonzepten der TMF [RDSP06] untersucht und beantwortet: Es wird u. a. hinterfragt, ob die ein-zelnen Teilziele des Forschungsnetzes auch ohne die Verarbeitung personenbezogener Daten erreicht werden k¨onnen, ob der Umfang der personenbezogenen Daten reduziert werden kann, ob der Personenbezug ¨uber den gesamten Verarbeitungsablauf erhalten bleiben muss, zu welchen Zeitpunkten Anonymisierung und Pseudonymisierung erfolgen m¨ussen etc. Die im Folgenden als Ausgangsbasis f¨ur die Ausf¨uhrungen in diesem

Ka-4Dies k¨onnen z. B. bestimmte Betriebssystemst¨ande, installierte Sicherheitspatches, unternehmenseigene Compliance-Software etc. sein.

pitel verwendeten generischen Datenschutzkonzepte der TMF wurden von anerkannten Sicherheitsexperten ausgearbeitet und auf ihre Schw¨achen und Weiterentwicklungsbedarf analysiert (vgl. [HDR⁺10], [PSM⁺09], [Pom09]), sodass es an dieser Stelle nicht sinnvoll erscheint, die f¨ur ein medizinisches Forschungsnetz relevanten Aspekte der generischen Konzepte erneut aufzulisten. Vielmehr werden die Ergebnisse der o. g. Untersuchungen als Grundbausteine eines Forschungsnetzes vorausgesetzt, auf denen die Ausf¨uhrungen dieses Abschnittes basieren.

In der urspr¨unglichen Version dieses Abschnitts wurde die in [RDSP06] vorgesehene Auf-teilung in klinisch und wissenschaftlich fokussierte Forschungsnetze (Typ A und Typ B) ber¨ucksichtigt. Die beiden Netztypen haben unterschiedliche Anforderungen an die Sicher-heitsarchitekturkomponenten, da sie sich in der Art der Datenspeicherung, des Zugriffs und des Pseudonymisierungs- bzw. Anonymisierungsprozesses unterscheiden. Im Vergleich zu den wissenschaftlich orientierten Netzen, deren Prozesse keinen unmittelbaren Einfluss auf die klinische Prozesse aufwiesen, stellten die klinisch fokussierten Forschungsnetze aufgrund der Besonderheiten ihrer Datenprozessierung eine besondere Herausforderung dar (vgl. [RDSP06, S. 20 ff.]):

• F¨ur die Behandlung ist eine eindeutige Identifikation des Patienten auf dem Bild-schirm des behandelnden Arztes zwecks Dateneingabe bzw. -abfrage notwendig.

• Eine automatische Zusammenf¨uhrung vonIDAT undMDAT erfolgt auf dem Rechner des behandelnden Arztes:⁵

– Die identifizierenden Patientendaten werden auf dem Rechner des Arztes im Klartext eingegeben.

– Die ¨Ubertragung der IDAT an die Patientenliste erfolgt durch die Verschl¨ usse-lung auf dem Transportweg (SSL).

– Die Speicherung derIDAT- undMDAT- Daten erfolgt zentral auf zwei r¨aumlich und administrativ verteilten Datenbanken in verschl¨usselter Form.

– Die Datenspeicherung erfolgt in den sogenannten Industrie-Standard-Datenbanken.

– Ein restriktives rollenbasiertes Zugriffsberechtigungskonzept mit zeitlich limi-tierten Accounts sorgt daf¨ur, dass die Datenzusammenf¨uhrung nur durch den behandelnden Arzt durchgef¨uhrt werden kann.

– Die Datenzusammenf¨uhrung beim behandelnden Arzt erfolgt ¨uber eineTempID, sodass derPID nie dieIDAT- respektive MDAT-Datenbank verl¨asst.

• Derzeit ist keine geeignete serverbasierte Schl¨usselinfrastruktur vorhanden (und bezahlbar), die die im generischen Datenschutzkonzept beschriebenen Verfahren

5In den klinisch fokussierten Forschungsnetzen ist die Umgehung der zentralen IDAT-Speicherung vorstellbar, sodass dieIDAT-Daten auf dem Rechner des behandelnden Arztes abgelegt werden k¨onnten.

Eine solche Art der Datenzusammenf¨uhrung w¨urde allerdings bedeuten, dass die Sicherheit der dezentral abgelegten Daten durch die Sicherheitsmaßnahmen des Forschungsnetzes kaum garantiert werden kann.

Bei einer dezentralen Datenspeicherung ist außerdem die Einbindung der Labor¨arzte kaum durchf¨uhrbar (vgl. [RDSP06, S. 40]).

tragen k¨onnte. Diese wird m¨oglicherweise erst durch die ¨offentliche Infrastruktur der HPCs und der Gesundheitskarte geschaffen.⁶

• Die Beschr¨ankung der IDAT und MDAT auf notwendige und klar definierte Min-destinhalte entspricht dem Prinzip der Datensparsamkeit (vgl. [RDSP06, S. 39 f.]).

Die praktischen Erfahrungen mit der Ableitung von spezifischen Datenschutzkonzepten aus den beiden generischen Modellen machten diese Aufteilung obsolet, da viele Projekte eine Kombination der beiden Netztypen erfordern.⁷ Die generischen Datenschutzkonzepte befinden sich derzeit in einem Revisionsprozess und sehen durch einen modularen An-satz die Koexistenz von Datenbanken f¨ur den Behandlungs- und den Forschungskontext vor (vgl. [PSM⁺09, S. 1751]). Abbildung 4 stellt das Referenzmodell des k¨unftigen re-vidierten Datenschutzkonzeptes der TMF dar, das die Aufteilung in die Versorgungs-, Studien-, Forschungs-, Bild- und Biobankmodule vorsieht. Die Patientenliste und der Pseudonymisierungsdienst ¨ubernehmen die Rolle des zentralen Identit¨atsmanagements (vgl. [PSM⁺09, S. 1754], [Pom11b], [Pom09, S. 10], [Pom10b]).

Patientenliste

Abbildung 4.:Referenzmodell im k¨unftigen revidierten Datenschutzkonzept der TMF: Die Patientenliste und der Pseudonymisierungsdienst ¨ubernehmen die Rolle des zentralen Identit¨atsmanagements. Der einheitliche modulare Aufbau sieht die Aufteilung in das Versorgungs-, Studien-, Forschungs- und Biobankmodul vor.

Die in den folgenden Abschnitten dieses Kapitels vorgestellten Sicherheitsrichtlinien sind ressourcen-, plattform- und produktunabh¨angig. Man kann in diesem Zusammenhang von sogenannten generischen Sicherheitskonzepten sprechen. Durch die Unabh¨angigkeit

6Nach der aktuellen Rechtsauffassung kann die vor der bundesweiten Einf¨uhrung stehende elektronische Gesundheitskarte zwar f¨ur die Identifizierung eines Patienten, nicht jedoch zu Forschungszwecken verwendet werden (vgl. [RHJ08, S. 50]). Einen guten ¨Uberblick ¨uber die geschichtliche Entwicklung des Projektes

”Elektronische Gesundheitskarte“ bietet [Bor08].

7Beispielsweise f¨ur die Begleitung chronisch kranker Patienten (Typ A) und f¨ur den Aufbau von Langzeitdatenpools (Typ B).

von einer konkreten Implementierung sind diese Konzepte relativ selten Ver¨anderungen unterworfen; sie ¨ubernehmen die Rolle von system¨ubergreifenden Vorgaben. Generische Sicherheitskonzepte werden auch oft als Policies bezeichnet. In einem Unternehmen regeln solche Policies die meisten Organisationsbereiche. Im Konzept der Sicherheits- und Risi-komanagementpyramide (S&R-Pyramide) nach Klaus-Rainer M¨uller [M¨ul11] bilden die Policies die letzte abstrakte Ebene und dienen als Basis f¨ur die Entwicklung systemspezifi-scher Sicherheitskonzepte und ihre Umsetzung – die Sicherheitsmaßnahmen.⁸ Aufgrund des hohen Abstraktionsgrades weisen die Policies unterschiedlicher Organisationen viele Gemeinsamkeiten auf. Einige Sicherheitsrichtlinien ohne besondere Forschungsnetzspezi-fika, die f¨ur einen sicheren Forschungsnetzbetrieb jedoch unabdingbar sind, werden im Abschnitt C.6

”Beispiele f¨ur die Richtliniengestaltung“ vorgestellt.

Da innerhalb des Forschungsnetzes personenbezogene Daten erhoben und verarbeitet werden, m¨ussen die im §9 BDSG⁹ definierten Anforderungen erf¨ullt werden:

• Zutrittskontrolle (kein unbefugter Zutritt zu den Datenverarbeitungsanlagen (DV-Anlagen)),

• Zugangskontrolle (kein unbefugter Zugang zu DV-Anlagen und Systemen),¹⁰

• Zugriffskontrolle (Zugriff nur auf die der Zugriffsberechtigung unterliegenden Daten),

• Weitergabekontrolle (Aufzeichnung der Daten¨ubermittlung sowie kein Lesen, Ver¨ an-dern, L¨oschen oder Kopieren der Daten w¨ahrend der Daten¨ubermittlung),

• Eingabekontrolle (nachtr¨agliche ¨Uberpr¨ufung der Eingaben),¹¹

• Auftragskontrolle (Verarbeitung nur entsprechend den Weisungen des Auftraggebers),

• Verf¨ugbarkeitskontrolle (Schutz gegen zuf¨allige Zerst¨orung und Verlust),

• die zweckgebundene Verarbeitung (getrennte Verarbeitung von f¨ur unterschiedliche Zwecke erhobenen Daten).

Um diese Anforderungen des BDSG zu erf¨ullen, bedarf es Schutzmaßnahmen, die grob in

8Das Konzept der S&R-Pyramide nach [M¨ul11] wird im Abschnitt C.5

”RiSiKo-(Management-)Pyramide:

ein generischer S&R-Ansatz“ vorgestellt.

9Ein Auszug aus dem BDSG befindet sich im Anhang E

”Ausz¨uge aus BDSG und StGB“.

10Im Rahmen der Zutrittskontrolle wird der Zutritt zu R¨aumen oder Geb¨auden bzw. Geb¨audeteilen gere-gelt. Eine der einfachsten Formen der Zutrittskontrolle ist die Schl¨usselvergabe; kompliziertere Formen der Zutrittskontrolle k¨onnen mehrstufige Benutzerauthentifizierung beinhalten. In [bsi11d] befindet sich eine ausf¨uhrliche Anleitung zur Konzeption eines sicheren Zutrittkontrollsystems, die sich aus baulichen, orga-nisatorischen, personellen und technischen Maßnahmen zusammensetzt. Dazu z¨ahlen u. a. Einschr¨ankung des zutrittsberechtigten Personenkreises, ausf¨uhrliche Dokumentation erteilter Zutrittsberechtigungen, sichtbar getragene Zutrittsausweise, Begleitung von Besuchern etc. Im Gegensatz zu der Zutrittskontrolle regelt die Zugangskontrolle den unmittelbaren Zugang zum System. Die Zugangskontrolle beschr¨ankt sich meistens auf die technischen Maßnahmen (z. B. eine SmartCard-basierte Authentifizierung).

11Im Rahmen der Eingabekontrolle muss im Nachhinein ¨uberpr¨uft werden k¨onnen, wer welche Daten zu welchem Zeitpunkt eingegeben bzw. ver¨andert hat. Grundlage daf¨ur sind technische und organisatori-sche Maßnahmen. Organisatoriorganisatori-sche Maßnahmen bestehen in einer m¨oglichst l¨uckenlosen Erfassung und Aufbewahrung der Erfassungsdokumente sowie einer klaren Dokumentation der Eingabeprozeduren. Die technischen Maßnahmen beinhalten Protokollierung bzw. Monitoring der Vorg¨ange, die ausf¨uhrlich im Abschnitt 3.5.12

”Monitoring und Protokollierung“ dargestellt werden.

drei Kategorien eingeteilt werden k¨onnen: organisatorische, administrative und technische Maßnahmen (vgl. [Eck07, S. 37 f.]). Die zentrale in diesem Kapitel untersuchte Fragestel-lung wird in Form der ersten forschungsleitenden Frage zusammengefasst:

F1: Welche Anforderungen werden in Bezug auf die organisatorischen, technischen und administrativen Sicherheitsmaßnahmen an die medizinischen Forschungsnetze gestellt, und welche Anforderungen bestehen in Bezug auf die Sicherheitsmaßnahmen in den medizinischen Forschungsnetzen?

Diese Fragestellung ber¨ucksichtigt die folgenden Sichtweisen: Die externe Sicht der Anfor-derungen bezieht sich auf die Voraussetzungen und die geltenden Rahmenbedingungen der Sicherheitsmaßnahmen. Die interne Sicht der Anforderungen befasst sich mit der m¨oglichen Beschaffenheit des Sicherheitsmaßnahmenportfolios. Diese beiden Sichtweisen, die sich im Hinblick auf die medizinischen Forschungsnetze ergeben, werden in den folgenden Abschnitten 3.3, 3.4 und 3.5 untersucht und er¨ortert.