M
it der fortschreitenden Vernet- zung im Gesundheitswesen stei- gen zugleich die Anforderungen an die informationstechnische Sicher- heit und die „Verlässlichkeit“ der Syste- me, die in der Medizin ohnehin beson- ders hoch sind. Einzuhalten sind die Datenschutzgesetze; in mancher Hin- sicht viel strenger sind aber die Anfor- derungen der ärztlichen Schweige- pflicht: Sie gilt auch gegenüber Netzbe- treibern, Gerätelieferanten, Wartungs- technikern und Kollegen, die nicht di- rekt an der Behandlung eines Falles be- teiligt sind.Die medizinischen Netze basieren in der Regel auf der etablierten Internet- Technik, dem TCP/IP-Protokoll. Ge- schlossene Netze werden mit der VPN- Technik realisiert (Virtual Private Net- work), die es ermöglicht, das Internet
als Träger zu nutzen, indem sie durch kryptographische Verschlüsselung auf der Netzebene für logische Abschot- tung sorgt.
Die Datenschutz- und Sicherheits- probleme der Vernetzung sind ein Dauerthema – es treten immer wieder neue Gefährdungen auf, und zwar schneller, als die alten beherrscht wer- den. Durch die Netzanbindung hat der eigene Rechner weltweiten Kontakt;
sich blind auf die Technik zu verlassen wäre äußerst naiv. Fragwürdig ist be-
sonders die Sicherheit der gängigen Massensoftware – angefangen vom Textverarbeitungsprogramm bis hin zum Web-Browser. Hier nur zwei Bei- spiele, wie leicht der Arzt gegen seine Schweigepflicht verstoßen kann, selbst wenn er sich vor „Hackern“ schützt:
Durch die inzwischen gängige Fern- wartungspraxis wird das ärztliche Be- handlungsteam unzulässigerweise um unbekannte – möglicherweise auf der entgegengesetzten Seite der Welt sit- zende – Mitarbeiter von IT-Firmen er- weitert, die vollen Einblick in die Pati- entendaten haben. E-Mail-Kontakt mit Patienten, selbst wenn der Inhalt kryp- tographisch verschlüsselt wird, führt wegen der Aufbewahrungspflicht der Verbindungsdaten durch den Provider zum Entstehen von Patientenlisten außerhalb der Arztpraxen.
Die Perspektiven für die weitere Ent- wicklung der allge- meinen IT-Sicher- heit werden von Fachleuten sehr pes- simistisch beurteilt.
Eine Hinwendung der führenden Massensoftware-Schmie- den zu solidem Design und zu einem rea- listischen Nutzermodell und eine Ab- kehr von überladener
Mammut-Software sind nicht in Sicht. Die Beherrschbarkeit und Verlässlichkeit der Technik nimmt ab. Wir sind weiter entfernt von einer ordnungs- gemäßen Datenverar- beitung als je zuvor.
Gleichzeitig sind die notwendigen Si- cherheitstechniken aber ausgereift, und die flächendeckende Einführung we- sentlicher Komponenten im Gesund- heitswesen steht bevor. Wie weit die Sicherheitsprobleme der Informations- technik (IT) dadurch beherrschbar wer- den, kann erst die Zukunft zeigen. Si- cherheit ist wie eine Kette – ein schwa- ches Glied macht die ganze Kette nutz- los.
Sicherheitsziele und -technik
Das vorrangige Sicherheitsziel im Ge- sundheitswesen ist, Schaden vom Pati- enten abzuwenden. Zum einen dürfen Patienten nicht durch fehlerhafte Infor- mationen oder Prozeduren geschädigt werden. Zum anderen dürfen ihre Da- ten nicht für Unbefugte sichtbar wer- den; die Weitergabe von personenbezo- genen Patientendaten oder der Zugriff auf solche ist nur im Behandlungskon- text zulässig, und auch da muss der Um- fang minimiert werden. Zur Sicherheit gehört auch die Qualität von Informa- tionen: Jeder kann alles ins Netz stellen – auch medizinische Fehlinformatio- nen. Wie soll man als Arzt mit infor- mierten oder fehlinformierten Patien- T H E M E N D E R Z E I T
Deutsches Ärzteblatt½½½½Jg. 98½½½½Heft 33½½½½17. August 2001 AA2085
Medizinische Netzwerke
Sicherheit – eine dauerhafte Aufgabe
Der Einsatz von Informationstechnik (IT) im Gesundheitswesen bietet unbestritten einen großen Nutzen, enthält jedoch
auch hohe Sicherheitsrisiken. Wer sich schützen will, muss einige grundlegende Sicherheitsregeln beachten.
Klaus Pommerening
´ Tabelle 1CC´
Mindest-Schlüssellängen für kryptographische Verfahren
kurzfristig sicher mittelfristig sicher
symmetrisch 80 Bit 90 (112/128) Bit
asymmetrisch 1 024 Bit 2 048 Bit
Grafik 1
Klartext
Asymmetrische Verschlüsselung und digitale Signatur
öffentlicher Schlüssel privater Schlüssel privater Schlüssel öffentlicher Schlüssel
Geheimtext
Dokument signiertes Dokument
ten umgehen? Ein weiteres wichtiges Sicherheitsziel ist es, die Persönlich- keitsrechte des im Netz Informationen suchenden Arztes zu schützen.
Grundvoraussetzungen einer siche- ren IT sind physische Sicherheit der be- teiligten Rechner sowie Zugangs- und Zugriffsschutz für Informationen. Be- sonders in Netzen kommt als unver- zichtbare Technik die Kryptographie hinzu, die die Grundfunktionen Ver- schlüsselung, digitale Signatur, starke Authentisierung bietet. Diese sollen dem medizinischen Nutzer demnächst bei minimaler Belästigung durch den elektronischen Berufsausweis, die Health Professional Card (HPC), zur Verfügung gestellt werden.
Die Berechtigungsbeziehungen der Subjekte – Teilnehmer und Prozesse – und Objekte – Daten und Informatio- nen – im Netz sind durch gesetzliche Vorgaben klar genug definiert. Diese Vorgaben müssen durch die techni- schen Maßnahmen umgesetzt werden, und zwar konsequent auf allen Ebenen.
Der Vergleich mit der IT-Sicherheit im Bankbereich trügt: Dort geht es um materielle Werte, die einer Kosten-Nut- zen-Rechnung unterliegen und deren Verlustrisiko durch eine Versicherung abgedeckt oder auf den Kunden abge- wälzt werden kann. Im Gesundheitswe- sen dagegen geht es um zu schützende Persönlichkeitsrechte, deren Verlust oft nicht wieder gutzumachen ist.
Technische Grundlagen
Die einfachste kryptographische Basis- technik ist die symmetrische Verschlüs- selung: Hier stehen hocheffiziente Ver- fahren zur Verfügung, die bei einer Schlüssellänge von 128 Bit langfristige Sicherheit gewähren. Der aktuelle Stand der Technik heißt AES, das Nachfolgeverfahren des DES, das im vorigen Jahr von der US-Normierungs- behörde NIST ausgewählt wurde.
Nachteil der symmetrischen Verschlüs- selung ist, dass Kommunikationspart- ner ein gemeinsames Geheimnis (den Schlüssel) haben müssen, sodass diese Technik für digitale Signatur nicht ge- eignet ist (siehe Tabelle 1 und Grafik 1).
Als Ergänzung sind daher asymme- trische Verschlüsselungsverfahren er-
forderlich. Diese benötigen viel größe- re Schlüssellängen; hier sind 2 048 Bit für mittelfristige Sicherheit der Stand der Technik. Vorteil dieser Verfahren ist, dass sie auf einem persönlichen Ge- heimnis (dem privaten Schlüssel) für je- den Teilnehmer beruhen, das er mit nie- mandem teilen muss, das daher als elek- tronische Identität fungieren kann und als Grundlage der digitalen Signatur und der starken Authentisierung geeig- net ist. Das Gegenstück, der dazu pas- sende öffentliche Schlüssel, unterliegt keinerlei Geheimhaltung und kann von jedem zur Prüfung der digitalen Signa- tur oder der Identität sowie zur Über- mittlung vertraulicher Nachrichten an den Besitzer verwendet werden (siehe Grafik 2 und Tabelle 2).
Voraussetzung ist bei flächendecken- der Anwendung, wo die Kommunikati- onsteilnehmer nicht in direktem per- sönlichem Kontakt stehen, dass der öf- fentliche Schlüssel fälschungssicher mit dem Namen des Besitzers und eventuell seiner Qualifikation verbunden ist. Das geschieht, indem eine allgemein aner- kannte übergeordnete Stelle, ein Trust- center, den Datensatz Name + Schlüssel + Qualifikation digital signiert. Das Er- gebnis ist ein so genanntes Zertifikat.
Die dafür nötige organisatorische Struktur wird als PKI (Public Key In- frastructure) bezeichnet.
Als sicherer Aufbewahrungsort für die elektronische Identität ist die kryp- tographische Chipkarte ideal, also im Gesundheitswesen die HPC. Mit diesen Karten allein ist es aber nicht getan – sie bilden nur ein Glied der langen Kette IT-Sicherheit. Die kryptographischen Funktionen sind in die Anwendungssy- steme und Kommunikationsstandards einzubauen, zum Beispiel um ein Single Logon (einmalige Anmeldung für ver- schiedene Anwendungen) zu realisie- ren. Vor allem aber entfällt die lästige Pflicht, sich viele Passwörter merken zu müssen. Durch die HPC ist auch der Online-Nachweis der ärztlichen Appro- bation gegenüber unbekannten Servern möglich, um Zugriff auf geschützte In- formationen zu erhalten; insbesondere aber kann mit ihrer Hilfe der Zugriff auf Patientendaten und die Authenti- sierung im Netz geregelt werden.
Lösungsansätze
Netzbetreiber sollten über umfangrei- ches Know-how in Sicherheitsfragen verfügen, auf offene Standards setzen und den Einsatz der HPC vorbereiten.
Informationsan- bieter sind für die Sicherheit ihrer Server verantwort- lich. Konkrete Maß- nahmen sind bei- spielsweise, den Server auf das Not- wendigste abzu- specken und ins- besondere nur die unbedingt nötigen TCP-Dienste laufen zu lassen. Jeder Server muss davor geschützt werden, als Sprungbrett für Hacker miss- braucht zu werden. Mail-Server sind, auch wenn das nie ein perfekter Schutz sein kann, mit aktuellen Virenfiltern auszustatten. Client/Server-Verbindun- gen, die sensible Daten übertragen, sind über SSL (Secure Socket Layer) abzuwickeln; das ist ein auf TCP/IP aufsetzendes Protokoll, das Verschlüs- selung und starke Authentisierung be- inhaltet und in den gängigen WWW- Browsern implementiert ist. Für die Nutzer-Authentisierung über SSL sind T H E M E N D E R Z E I T
A
A2086 Deutsches Ärzteblatt½½½½Jg. 98½½½½Heft 33½½½½17. August 2001
´ Tabelle 2CC´
Schwache und starke Authentisierung
schwache Authentisierung starke Authentisierung Wer bist du? Benutzername Zertifikat
Beweise es! Passwort Signatur
Gegenseitige nicht vorgesehen konfigurierbar Authentisierung
Name + Passwort einmalige PIN-Eingabe, Benutzeraktion für jeden Dienst Anmeldung bei Diensten
erledigt die Karte Grafik 2
Authentisierung „unsichtbarer“ Partner
– Wer bist du?
– A.
– Beweise es!
– Gern. Und wer bist du?
– B.
– Beweise es!
– Gern.
X.509-Zertifikate einzusetzen, was ei- nigen organisatorischen Aufwand be- deutet und durch Kompatibilitätspro- bleme erschwert wird. Vorübergehend ist die Authentisierung über Passwort akzeptabel, wenn dieses per SSL ver- schlüsselt zum entsprechend konfigu- rierten Server übertragen wird. Bis auf weiteres muss Informationsanbietern empfohlen werden, auf aktive Inhalte wie JavaScript zu verzichten, außer
in zwingenden Anwendungsfällen wie Remote Data Entry für multizentrische Studien.
Was kann nun ein Nutzer selbst tun?
Die wichtigste Maßnahme ist die strenge Trennung von dienstlicher und privater Nutzung, das heißt getrennte Rechner, die nicht miteinander verbunden sind.
Größere Kliniken, die ein eigenes Firewall-System betreiben, sollten in diesem möglichst strenge Filterregeln etablieren und Verbindungen nur zu ausgesuchten Servern gestatten. Da aber insbesondere mit der E-Mail im- mer ein Einfallstor offen bleibt, sind auch Aufklärung, Schulung und Ver- pflichtung der Nutzer unumgänglich.
Für den dienstlichen Netzbetrieb ist ein geschlossenes Ärztenetz vorzuzie- hen, dessen Betreiber sich zu Sicher- heitsmaßnahmen nach dem Stand der Technik verpflichtet. Dazu gehören ausreichende Verschlüsselung und Au- thentisierung sowie ein möglichst effizi- enter Filter für Schadprogramme. Auf der anderen Seite wird durch solche Fil- ter schnell die Grenze zwischen Sicher- heit und Zensur erreicht. Auch in ei-
nem geschlossenen Netz gilt die ärztli- che Schweigepflicht gegenüber dem Netzbetreiber. Daher ist für die Über- mittlung sensibler Daten eine End- punkt-zu-Endpunkt-Verschlüsselung, das heißt vom Anwendungsprogramm des Senders zu dem des Empfängers, obligatorisch, selbst wenn das Netz auf einer tieferen Schicht schon durch VPN-Technik kryptographisch gesi- chert wird.
Die einfachste Möglichkeit der End- punkt-zu-Endpunkt-Verschlüsselung ist bei der E-Mail realisierbar. Hier ist das frei verfügbare Programmpaket PGP problemlos zu installieren und zu nut- zen. Die zweite Möglichkeit – mit besse- ren Perspektiven für den Übergang zur HPC – ist die Verwendung von X.509- Zertifikaten, die die Nutzung der Si- cherheitsfunktionen des SSL-Protokolls ermöglichen und somit nicht nur für E-Mail, sondern auch zur starken Aut- hentisierung und zur sicheren Kommu- nikation mit WWW-Servern geeignet sind. Ihre Handhabung ist allerdings kompliziert und ihre Kompatibilität nicht über alle Anwendungen gesichert.
Auch für die private Nutzung sollte man möglichst hohe Sicherheit einstel- len. Dazu gehört zum Beispiel das De- aktivieren aller aktiven Inhalte (Java- Script, Java, ActiveX, Active Scripting) und das Meiden von Anbietern, die auf diesen bestehen. Außerdem empfiehlt es sich, für weit verbreitete Dokument- Typen wie Microsoft-Word so genannte Viewer zu installieren – Programme, die die Dokumente nur anzeigen, ohne
Makros auszuführen. Zu empfehlen ist die Installation einer „privaten Fire- wall“, die auf dem eigenen Rechner den Internetzugang überwacht, eines aktu- ellen Virenschutzes, eines „Webwash- ers“, von PGP, sowie die regelmäßige Datensicherung, um nach einem Scha- densfall wieder einen sauberen Zustand herstellen zu können. Hier ist auf die Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und der Landesdatenschutzbe- auftragten zu verweisen, die im Internet angeboten werden.
Diskussion
Am weiteren Ausbau von Ärztenetzen und der (möglichst einheitlichen) Tele- matikplattform für das Gesundheitswe- sen mit der HPC-basierten kryptographi- schen Infrastruktur führt kein Weg vor- bei. Die Nutzung des Internets als Basis für geschlossene (virtuelle) Netze ist sinnvoll und mit der vorhandenen Tech- nik genügend abzusichern; die Sicher- heitsproblematik der eingesetzten Mas- sensoftware darf dabei keinesfalls auf die leichte Schulter genommen werden.
Die unvermeidliche Nutzung des
„offenen“ Internets gibt diesen Sicher- heitsproblemen allerdings eine andere Dimension. Für den Zugang von medi- zinischen Systemen aus sind hier starke Einschränkungen hinzunehmen, die durch eine Klinik-Firewall oder ein Ärztenetz auferlegt werden.
❚Zitierweise dieses Beitrags:
Dt Ärztebl 2001; 98: A 2085–2087 [Heft 33]
Anschrift des Verfassers:
Prof. Dr. rer. nat. Klaus Pommerening
Institut für Medizinische Statistik und Dokumentation Johannes-Gutenberg-Universität
55101 Mainz
E-Mail: pommerening@imsd.uni-mainz.de T H E M E N D E R Z E I T
Deutsches Ärzteblatt½½½½Jg. 98½½½½Heft 33½½½½17. August 2001 AA2087
Verwendete Abkürzungen
AES = Advanced Encryption Standard, Nachfolger des DES
DES = Data Encryption Standard, veraltetes kryptographisches Verfahren
HPC = Health Professional Card, Ausweis für Berufe im Gesundheitswesen in Form einer kryptographi- schen Chipkarte
IT = Informationstechnik
NIST = National Institute of Standards and Technology, US-amerikanische Normierungsbehörde PGP = Pretty Good Privacy, weitgehend frei verfügbares Programmpaket mit starken kryptographi-
schen Funktionen
PKI = Public Key Infrastructure, kryptographische Infrastruktur für ein Netz SSL = Secure Socket Layer, kryptographischer Zusatz zur TCP/IP-Familie
TCP/IP= Transmission Control Protocol/Internet Protocol, die Familie von Kommunikationsprotokollen, auf denen das Internet basiert
VPN = Virtual Private Network, kryptographischer Schutz für Kommunikationsverbindungen unter der Kontrolle des Netzbetreibers
X.509 = Standard für das Format von Zertifikaten
Nützliche www-Adressen
GMDS-AG „Datenschutz in Gesundheitsinforma- tionssystemen“ ✑ http://info.imsd.uni-mainz.
de/AGDatenschutz
Bundesamt für Sicherheit in der Informationstech- nik✑ www.bsi.de
Die Datenschutzbeauftragten des Bundes und der Länder:✑ www.datenschutz.de
HCP-Projekt in Bayern✑ www.hcp-protokoll.de
