Verwendung von S&R-Ans¨ atzen in der medizinischen Forschung

Die zweite in dieser Arbeit definierte und im Folgenden untersuchte forschungsleitende Frage lautet (s. a. Abschnitt 2.1.1):

F2: Wie k¨onnen die Sicherheitsmaßnahmen in den medizinischen Forschungsnetzen effizient gestaltet werden?

F¨ur die Ermittlung der in der medizinischen Forschung verwendeten Sicherheits- und Risikomanagementans¨atze (S&R-Ans¨atze) wurden im Rahmen dieser Arbeit die mit der Arbeitsgruppe Datenschutz der TMF abgestimmten Datenschutzkonzepte medizinischer Forschungsnetze analysiert. Diese f¨ur die Beantwortung der zweiten Forschungsfrage durchgef¨uhrte Untersuchung ergab, dass in den einzelnen Forschungsnetzen folgende gesetzliche und normative Bestimmungen, Normen, Standards und Frameworks f¨ur die

Konzeption und Umsetzung von Sicherheitsmaßnahmen angewendet werden:

• Die generischen Datenschutzkonzepte der TMF bzw. bereits bestehende und als sicher eingestufte Sicherheitskonzepte anderer Netze (z. B. [RDSP06]).

• Bundes- und Landesdatenschutzgesetze¹ sowie Vorschl¨age der Bundes- und Landes-datenschutzbeauftragten (beispielsweise [Wir08], [Der07])² sowie die Regelungen der GCP, MBO, AMG, MPG, StrlSchV, StGB, Regulierungen der FDA etc. bestimmten die in den Datenschutzkonzepten beschriebenen Sicherheitsmaßnahmen in Bezug auf die Aufbewahrungsfristen, die Datenweitergabe und die Qualit¨atssicherung.³

• Vertragliche Vereinbarungen, SOPs und Verwendung bestehender Sicherheitsstruktu-ren der dateneingebenden, -speichernden, und -verarbeitenden Stellen.⁴

• Circle of Security⁵.

• BSI-Empfehlungen, BSI-Grundschutz bzw. Grundschutzzertifizierungen.⁶

Einige der untersuchten Datenschutzkonzepte enthalten detaillierte Beschreibungen der einzelnen Phasen des S&R-Prozesses und der zu erf¨ullenden Sicherheitsanforderungen. Die im Datenschutzkonzept des Brain-Net [NB04] aufgef¨uhrten Sicherheitsmaßnahmen basieren beispielsweise auf dem

”Circle of Security“-Ansatz (vgl. [Nor00]). Im Datenschutzkonzept des Brain-Net wird außerdem das Thema der Wirksamkeitsbewertung von Sicherheitsmaß-nahmen thematisiert. Die aufgezeigte M¨oglichkeit zur kontinuierlichen ¨Uberpr¨ufung der Wirksamkeit von Sicherheitsmaßnahmen besteht im Datenvergleich vor und hinter einem Sicherheitssystem (vgl. [NB04, S. 37]).

Einige Konzepte enthalten detaillierte Bedrohungsanalysen sowie Bewertungen der Risiken und der Schutzbed¨urftigkeit einzelner Systeme oder Prozesse (z. B. [Spi07], [HV08], [HWE05]). Die Analysen basieren auf den Hinweisen zur Risikoanalyse und Vorabkontrolle nach dem Hamburgischen Datenschutzgesetz [Wir08] bzw. BSI-Standards zu Risikoanalyse auf der Basis von IT-Grundschutz [bsi08c].

1Beispielsweise Anlage zu§9 Satz 1 BDSG,§§ 5,6,35 BDSG,§§3,5,19 BlnDSG,§9 LDSG B-W, §§9,10 LDSG NRW etc.

2Zum Beispiel in [HHH06], [Spi07], [GM08], [GK10], [MM03], [Han11], [Ill02a], [Law06], [HV08], [W¨oh08], [ABC⁺11], [Spe04], [HHM⁺05], [Lut07], [KP10], [EW06], [HWE05].

3Zum Beispiel in [MM03], [HV08], [Spe04], [Lut07, S. 33], [KP10, S. 22], [EW06].

4Zum Beispiel in [HHH06], [GM08], [GK10], [MM03], [MM03], [W¨oh08], [ABC⁺11], [Han11] [Spe04], [Lut07], [KP10], [EW06].

5Zum Beispiel in [NB04]

6Zum Beispiel in [HHH06], [Spi07], [Spe04], [HHM⁺05], [HWE05], [Han11].

Die Untersuchung einer Reihe weiterer TMF-Materialien ergab eine besondere Relevanz des TMF-Workshops

”Sicherheitskonzepte in der vernetzten medizinischen Forschung“⁷ vom 11. Dezember 2006. Die Workshop-Unterlagen beschreiben die Anforderungen an das Sicherheitsniveau sowie den Umsetzungsstand der Konzepte in den Forschungsverb¨unden und enthalten Expertenberichte aus den Bereichen Industrie und universit¨aren Klinikre-chenzentren ¨uber die verwendeten S&R-Ans¨atze. Als f¨ur die Untersuchung relevant erwiesen sich außerdem die Unterlagen zum TMF-Projekt

”V071-01 IT Service Management“.

Neben den bereits bei der Analyse der TMF-Datenschutzkonzepte erw¨ahnten Sicherheits-Frameworks, IT-Grundschutz und gesetzlichen Regelungen wurden im Rahmen des TMF-Projektes V016-01 folgende Frameworks und ihre potenzielle Eignung diskutiert: CobiT, BS 7799 und ISO/IEC 17799, ISO 27001, BSI 100-2, 100-3 (vgl. [Pup06, S. 5, 16], [Spe06, S. 9 f.]). Auch die Potenziale der Kombination unterschiedlicher Frameworks bzw. das Zusammenspiel von Standards wurden ber¨ucksichtigt: z. B. ISO 27799 mit ISO 17799 (vgl. [Pup06, S. 7], [Spe06, S. 16 f.]).

Neben den bereits genannten Frameworks wurde das modifizierte Sicherheitsmodell nach [TBC00] vorgestellt (vgl. [BS06]). Dieses Sicherheitsmodell ber¨ucksichtigt neben den managementbezogenen die inhaltlichen, kommunikationsbezogenen und zugangssicher-heitstechnischen Aspekte.⁸ Im Zusammenhang mit der Sicherheit im GRID-Bereich wurde das Globus-Toolkit [the12]⁹ genannt (vgl. [MST06]). Zus¨atzlich zu den bereits erw¨ahnten gesetzlichen und normativen Anforderungen wurden die Sicherheitsanforderungen aus 21CFR11 der FDA [Foo97] als relevant identifiziert (vgl. [Ver06]). Der Abschlussbericht des Workshops betont die Komplexit¨at und Aufwendigkeit einer dauerhaften Umsetzung von Sicherheitskonzepten (vgl. [SD07, S. 6.]).

Im Abschnitt A.1

”Untersuchung der Wirksamkeitsbewertung von Sicherheitsmaßnahmen mithilfe von etablierten S&R-Frameworks“ wird detailliert untersucht, wie die Bewertung der Wirksamkeit und Effizienz bzw. Verh¨altnism¨aßigkeit von Sicherheitsmaßnahmen in den hier aufgef¨uhrten und weiteren etablierten Sicherheits- und Risikoframeworks erfolgt.

Die Analyse ber¨ucksichtigt folgende Frameworks:

• ISO-Normenreihe (ISO 2700X) (Abschnitt A.1.1),

• COBIT 4.1 (Abschnitt A.1.2),

• ITIL V.3 (Abschnitt A.1.3),

7Durchgef¨uhrt im Rahmen des TMF-Projektes

”V016-01 Sicherheitskonzepte“.

8Sicherheitsmanagement (Policies), Content Security (Integrit¨at), Zugangssicherheit (Nichtabstreitbarkeit und Authentizit¨at), Kommunikationssicherheit im Sinne von Vertraulichkeit.

9Die Sicherheitsinfrastruktur von Globus Toolkit ber¨ucksichtigt die Sicherheitsmaßnahmen auf der Message- und Transport-Ebene: Die Standards SAML, WS-Security, SOAP, X.509 und TLS kommen zum Einsatz (vgl. [SW05], [Wel05], s. a. Abschnitt 3.5

”Technische Aspekte von Sicherheitsrichtlinien“). Die gesichtete Dokumentation enth¨alt keine Hinweise im Hinblick auf die verwendeten Risikomanagement-ans¨atze und insbesondere im Hinblick auf die Messung der Effizienz von Sicherheitsmaßnahmenportfolios, sodass die Globus-Sicherheitsinfrastruktur im Rahmen der folgenden Analyse von Sicherheits- und Risiko-managementans¨atzen nicht n¨aher untersucht wird.

• NIST 800-X (Special Publications) (Abschnitt A.1.4),

• BSI IT-Grundschutz (Abschnitt A.1.5),

• Open Source Security Testing Methodology Manual (Abschnitt A.1.6.1),

• Operationally Critical Threat Asset and Vulnerability Evaluation (OCTAVE) (Abschnitt A.1.6.2),

• CCTA Risk Analysis and Management Method (CRAMM) (Abschnitt A.1.6.3),

• SIEM-Systeme (Abschnitt A.1.6.4),

• SAS-Systeme (Abschnitt A.1.6.5),

• HIPAA Security Series (Abschnitt A.1.6.6),

• Circle of Security (Abschnitt A.1.6.7) und

• SSE-CMM, ISSEA (Abschnitt A.1.6.8).

Eine vergleichende Bewertung der Sicherheitsst¨ande einzelner Forschungsnetze mit dem Ziel, die notwendigen Sicherheitsvorkehrungen zu ermitteln und einzuleiten, erfordert einen Ansatz, der mit m¨oglichst wenig zus¨atzlichem Aufwand und ohne umfangreiche Anderung bestehender Strukturen auskommt und dabei die Sicherheitsanforderungen¨ dieser Strukturen ber¨ucksichtigt. Die beschriebene Bandbreite der in den Forschungsnetzen eingesetzten S&R-Frameworks ist groß. Die Ans¨atze unterscheiden sich in der gew¨ahlten Betrachtungsweise der Informationssicherheit, der Handhabung der Fragestellung nach der Notwendigkeit und der Steuerung von Sicherheitsinvestitionen. Auch wenn die be-trachteten Frameworks teilweise gegenseitig die Methoden anderer Ans¨atze nutzen,¹⁰ so kann ihre gegenseitige Kompatibilit¨at nicht als gegeben gelten. G¨abe es eine theoretische Kompatibilit¨at von verwendeten spezifischen Frameworks, und k¨onnte eines der unter-suchten Frameworks die Sicherheitsbed¨urfnisse aller ber¨ucksichtigten Forschungsnetze abdecken, d¨urfte der immense Konsolidierungsaufwand der praktischen Vereinheitlichung entgegenstehen (vgl. [Tou05]).

4.2. Gezielte Ausgestaltung der Sicherheitsarchitektur