ArchivDeutsches Ärzteblatt33/2001Medizinische Netzwerke: Sicherheit – eine dauerhafte Aufgabe

THEMEN DER ZEIT

Medizinische Netzwerke: Sicherheit – eine dauerhafte Aufgabe

Dtsch Arztebl 2001; 98(33): A-2085 / B-1767 / C-1663

Pommerening, Klaus

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...
LNSLNS Der Einsatz von Informationstechnik (IT) im Gesundheitswesen bietet unbestritten einen großen Nutzen, enthält jedoch auch hohe Sicherheitsrisiken. Wer sich schützen will, muss einige grundlegende Sicherheitsregeln beachten.

Mit der fortschreitenden Vernetzung im Gesundheitswesen steigen zugleich die Anforderungen an die informationstechnische Sicherheit und die „Verlässlichkeit“ der Systeme, die in der Medizin ohnehin besonders hoch sind. Einzuhalten sind die Datenschutzgesetze; in mancher Hinsicht viel strenger sind aber die Anforderungen der ärztlichen Schweigepflicht: Sie gilt auch gegenüber Netzbetreibern, Gerätelieferanten, Wartungstechnikern und Kollegen, die nicht direkt an der Behandlung eines Falles beteiligt sind.
Die medizinischen Netze basieren in der Regel auf der etablierten Internet-Technik, dem TCP/IP-Protokoll. Geschlossene Netze werden mit der VPN-Technik realisiert (Virtual Private Network), die es ermöglicht, das Internet als Träger zu nutzen, indem sie durch kryptographische Verschlüsselung auf der Netzebene für logische Abschottung sorgt.
Die Datenschutz- und Sicherheitsprobleme der Vernetzung sind ein Dauerthema – es treten immer wieder neue Gefährdungen auf, und zwar schneller, als die alten beherrscht werden. Durch die Netzanbindung hat der eigene Rechner weltweiten Kontakt; sich blind auf die Technik zu verlassen wäre äußerst naiv. Fragwürdig ist besonders die Sicherheit der gängigen Massensoftware – angefangen vom Textverarbeitungsprogramm bis hin zum Web-Browser. Hier nur zwei Beispiele, wie leicht der Arzt gegen seine Schweigepflicht verstoßen kann, selbst wenn er sich vor „Hackern“ schützt: Durch die inzwischen gängige Fernwartungspraxis wird das ärztliche Behandlungsteam unzulässigerweise um unbekannte – möglicherweise auf der entgegengesetzten Seite der Welt sitzende – Mitarbeiter von IT-Firmen erweitert, die vollen Einblick in die Patientendaten haben. E-Mail-Kontakt mit Patienten, selbst wenn der Inhalt kryptographisch verschlüsselt wird, führt wegen der Aufbewahrungspflicht der Verbindungsdaten durch den Provider zum Entstehen von Patientenlisten außerhalb der Arztpraxen.
Die Perspektiven für die weitere Entwicklung der allgemeinen IT-Sicherheit werden von Fachleuten sehr pessimistisch beurteilt. Eine Hinwendung der führenden Massensoftware-Schmieden zu solidem Design und zu einem realistischen Nutzermodell und eine Abkehr von überladener Mammut-Software sind nicht in Sicht. Die Beherrschbarkeit und Verlässlichkeit der Technik nimmt ab. Wir sind weiter entfernt von einer ordnungsgemäßen Datenverarbeitung als je zuvor. Gleichzeitig sind die notwendigen Sicherheitstechniken aber ausgereift, und die flächendeckende Einführung wesentlicher Komponenten im Gesundheitswesen steht bevor. Wie weit die Sicherheitsprobleme der Informationstechnik (IT) dadurch beherrschbar werden, kann erst die Zukunft zeigen. Sicherheit ist wie eine Kette – ein schwaches Glied macht die ganze Kette nutzlos.
Sicherheitsziele und -technik
Das vorrangige Sicherheitsziel im Gesundheitswesen ist, Schaden vom Patienten abzuwenden. Zum einen dürfen Patienten nicht durch fehlerhafte Informationen oder Prozeduren geschädigt werden. Zum anderen dürfen ihre Daten nicht für Unbefugte sichtbar werden; die Weitergabe von personenbezogenen Patientendaten oder der Zugriff auf solche ist nur im Behandlungskontext zulässig, und auch da muss der Umfang minimiert werden. Zur Sicherheit gehört auch die Qualität von Informationen: Jeder kann alles ins Netz stellen – auch medizinische Fehlinformationen. Wie soll man als Arzt mit informierten oder fehlinformierten Patienten umgehen? Ein weiteres wichtiges Sicherheitsziel ist es, die Persönlichkeitsrechte des im Netz Informationen suchenden Arztes zu schützen.
Grundvoraussetzungen einer sicheren IT sind physische Sicherheit der beteiligten Rechner sowie Zugangs- und Zugriffsschutz für Informationen. Besonders in Netzen kommt als unverzichtbare Technik die Kryptographie hinzu, die die Grundfunktionen Verschlüsselung, digitale Signatur, starke Authentisierung bietet. Diese sollen dem medizinischen Nutzer demnächst bei minimaler Belästigung durch den elektronischen Berufsausweis, die Health Professional Card (HPC), zur Verfügung gestellt werden.
Die Berechtigungsbeziehungen der Subjekte – Teilnehmer und Prozesse – und Objekte – Daten und Informationen – im Netz sind durch gesetzliche Vorgaben klar genug definiert. Diese Vorgaben müssen durch die technischen Maßnahmen umgesetzt werden, und zwar konsequent auf allen Ebenen.
Der Vergleich mit der IT-Sicherheit im Bankbereich trügt: Dort geht es um materielle Werte, die einer Kosten-Nutzen-Rechnung unterliegen und deren Verlustrisiko durch eine Versicherung abgedeckt oder auf den Kunden abgewälzt werden kann. Im Gesundheitswesen dagegen geht es um zu schützende Persönlichkeitsrechte, deren Verlust oft nicht wieder gutzumachen ist.
Technische Grundlagen
Die einfachste kryptographische Basistechnik ist die symmetrische Verschlüsselung: Hier stehen hocheffiziente Verfahren zur Verfügung, die bei einer Schlüssellänge von 128 Bit langfristige Sicherheit gewähren. Der aktuelle Stand der Technik heißt AES, das Nachfolgeverfahren des DES, das im vorigen Jahr von der US-Normierungsbehörde NIST ausgewählt wurde. Nachteil der symmetrischen Verschlüsselung ist, dass Kommunikationspartner ein gemeinsames Geheimnis (den Schlüssel) haben müssen, sodass diese Technik für digitale Signatur nicht geeignet ist (siehe Tabelle 1 und Grafik 1).
Als Ergänzung sind daher asymmetrische Verschlüsselungsverfahren erforderlich. Diese benötigen viel größere Schlüssellängen; hier sind 2 048 Bit für mittelfristige Sicherheit der Stand der Technik. Vorteil dieser Verfahren ist, dass sie auf einem persönlichen Geheimnis (dem privaten Schlüssel) für jeden Teilnehmer beruhen, das er mit niemandem teilen muss, das daher als elektronische Identität fungieren kann und als Grundlage der digitalen Signatur und der starken Authentisierung geeignet ist. Das Gegenstück, der dazu passende öffentliche Schlüssel, unterliegt keinerlei Geheimhaltung und kann von jedem zur Prüfung der digitalen Signatur oder der Identität sowie zur Übermittlung vertraulicher Nachrichten an den Besitzer verwendet werden (siehe Grafik 2 und Tabelle 2).
Voraussetzung ist bei flächendeckender Anwendung, wo die Kommunikationsteilnehmer nicht in direktem persönlichem Kontakt stehen, dass der öffentliche Schlüssel fälschungssicher mit dem Namen des Besitzers und eventuell seiner Qualifikation verbunden ist. Das geschieht, indem eine allgemein anerkannte übergeordnete Stelle, ein Trustcenter, den Datensatz Name + Schlüssel + Qualifikation digital signiert. Das Ergebnis ist ein so genanntes Zertifikat. Die dafür nötige organisatorische Struktur wird als PKI (Public Key Infrastructure) bezeichnet.
Als sicherer Aufbewahrungsort für die elektronische Identität ist die kryptographische Chipkarte ideal, also im Gesundheitswesen die HPC. Mit diesen Karten allein ist es aber nicht getan – sie bilden nur ein Glied der langen Kette IT-Sicherheit. Die kryptographischen Funktionen sind in die Anwendungssysteme und Kommunikationsstandards einzubauen, zum Beispiel um ein Single Logon (einmalige Anmeldung für verschiedene Anwendungen) zu realisieren. Vor allem aber entfällt die lästige Pflicht, sich viele Passwörter merken zu müssen. Durch die HPC ist auch der Online-Nachweis der ärztlichen Approbation gegenüber unbekannten Servern möglich, um Zugriff auf geschützte Informationen zu erhalten; insbesondere aber kann mit ihrer Hilfe der Zugriff auf Patientendaten und die Authentisierung im Netz geregelt werden.
Lösungsansätze
Netzbetreiber sollten über umfangreiches Know-how in Sicherheitsfragen verfügen, auf offene Standards setzen und den Einsatz der HPC vorbereiten.
Informationsanbieter sind für die Sicherheit ihrer Server verantwortlich. Konkrete Maßnahmen sind beispielsweise, den Server auf das Notwendigste abzuspecken und insbesondere nur die unbedingt nötigen TCP-Dienste laufen zu lassen. Jeder Server muss davor geschützt werden, als Sprungbrett für Hacker missbraucht zu werden. Mail-Server sind, auch wenn das nie ein perfekter Schutz sein kann, mit aktuellen Virenfiltern auszustatten. Client/Server-Verbindungen, die sensible Daten übertragen, sind über SSL (Secure Socket Layer) abzuwickeln; das ist ein auf TCP/IP aufsetzendes Protokoll, das Verschlüsselung und starke Authentisierung beinhaltet und in den gängigen WWW-Browsern implementiert ist. Für die Nutzer-Authentisierung über SSL sind X.509-Zertifikate einzusetzen, was einigen organisatorischen Aufwand bedeutet und durch Kompatibilitätsprobleme erschwert wird. Vorübergehend ist die Authentisierung über Passwort akzeptabel, wenn dieses per SSL verschlüsselt zum entsprechend konfigurierten Server übertragen wird. Bis auf weiteres muss Informationsanbietern empfohlen werden, auf aktive Inhalte wie JavaScript zu verzichten, außer in zwingenden Anwendungsfällen wie Remote Data Entry für multizentrische Studien.
Was kann nun ein Nutzer selbst tun? Die wichtigste Maßnahme ist die strenge Trennung von dienstlicher und privater Nutzung, das heißt getrennte Rechner, die nicht miteinander verbunden sind.
Größere Kliniken, die ein eigenes Firewall-System betreiben, sollten in diesem möglichst strenge Filterregeln etablieren und Verbindungen nur zu ausgesuchten Servern gestatten. Da aber insbesondere mit der E-Mail immer ein Einfallstor offen bleibt, sind auch Aufklärung, Schulung und Verpflichtung der Nutzer unumgänglich.
Für den dienstlichen Netzbetrieb ist ein geschlossenes Ärztenetz vorzuziehen, dessen Betreiber sich zu Sicherheitsmaßnahmen nach dem Stand der Technik verpflichtet. Dazu gehören ausreichende Verschlüsselung und Authentisierung sowie ein möglichst effizienter Filter für Schadprogramme. Auf der anderen Seite wird durch solche Filter schnell die Grenze zwischen Sicherheit und Zensur erreicht. Auch in einem geschlossenen Netz gilt die ärztliche Schweigepflicht gegenüber dem Netzbetreiber. Daher ist für die Übermittlung sensibler Daten eine Endpunkt-zu-Endpunkt-Verschlüsselung, das heißt vom Anwendungsprogramm des Senders zu dem des Empfängers, obligatorisch, selbst wenn das Netz auf einer tieferen Schicht schon durch VPN-Technik kryptographisch gesichert wird.
Die einfachste Möglichkeit der Endpunkt-zu-Endpunkt-Verschlüsselung ist bei der E-Mail realisierbar. Hier ist das frei verfügbare Programmpaket PGP problemlos zu installieren und zu nutzen. Die zweite Möglichkeit – mit besseren Perspektiven für den Übergang zur HPC – ist die Verwendung von X.509-Zertifikaten, die die Nutzung der Sicherheitsfunktionen des SSL-Protokolls ermöglichen und somit nicht nur für
E-Mail, sondern auch zur starken Authentisierung und zur sicheren Kommunikation mit WWW-Servern geeignet sind. Ihre Handhabung ist allerdings kompliziert und ihre Kompatibilität nicht über alle Anwendungen gesichert.
Auch für die private Nutzung sollte man möglichst hohe Sicherheit einstellen. Dazu gehört zum Beispiel das Deaktivieren aller aktiven Inhalte (JavaScript, Java, ActiveX, Active Scripting) und das Meiden von Anbietern, die auf diesen bestehen. Außerdem empfiehlt es sich, für weit verbreitete Dokument-Typen wie Microsoft-Word so genannte Viewer zu installieren – Programme, die die Dokumente nur anzeigen, ohne Makros auszuführen. Zu empfehlen ist die Installation einer „privaten Firewall“, die auf dem eigenen Rechner den Internetzugang überwacht, eines aktuellen Virenschutzes, eines „Webwashers“, von PGP, sowie die regelmäßige Datensicherung, um nach einem Schadensfall wieder einen sauberen Zustand herstellen zu können. Hier ist auf die Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und der Landesdatenschutzbeauftragten zu verweisen, die im Internet angeboten werden.
Diskussion
Am weiteren Ausbau von Ärztenetzen und der (möglichst einheitlichen) Telematikplattform für das Gesundheitswesen mit der HPC-basierten kryptographischen Infrastruktur führt kein Weg vorbei. Die Nutzung des Internets als Basis für geschlossene (virtuelle) Netze ist sinnvoll und mit der vorhandenen Technik genügend abzusichern; die Sicherheitsproblematik der eingesetzten Massensoftware darf dabei keinesfalls auf die leichte Schulter genommen werden.
Die unvermeidliche Nutzung des „offenen“ Internets gibt diesen Sicherheitsproblemen allerdings eine andere Dimension. Für den Zugang von medizinischen Systemen aus sind hier starke Einschränkungen hinzunehmen, die durch eine Klinik-Firewall oder ein Ärztenetz auferlegt werden.

zZitierweise dieses Beitrags:
Dt Ärztebl 2001; 98: A 2085–2087 [Heft 33]

Anschrift des Verfassers:
Prof. Dr. rer. nat. Klaus Pommerening
Institut für Medizinische Statistik und Dokumentation
Johannes-Gutenberg-Universität
55101 Mainz
E-Mail: pommerening@imsd.uni-mainz.de


Verwendete Abkürzungen
AES = Advanced Encryption Standard, Nachfolger des DES
DES = Data Encryption Standard, veraltetes kryptographisches Verfahren
HPC = Health Professional Card, Ausweis für Berufe im Gesundheitswesen in Form einer kryptographischen Chipkarte
IT = Informationstechnik
NIST = National Institute of Standards and Technology, US-amerikanische Normierungsbehörde
PGP = Pretty Good Privacy, weitgehend frei verfügbares Programmpaket mit starken kryptographischen Funktionen
PKI = Public Key Infrastructure, kryptographische Infrastruktur für ein Netz
SSL = Secure Socket Layer, kryptographischer Zusatz zur TCP/IP-Familie
TCP/IP = Transmission Control Protocol/Internet Protocol, die Familie von Kommunikationsprotokollen, auf denen das Internet basiert
VPN = Virtual Private Network, kryptographischer Schutz für Kommunikationsverbindungen unter der Kontrolle des Netzbetreibers
X.509 = Standard für das Format von Zertifikaten


Nützliche www-Adressen
GMDS-AG „Datenschutz in Gesundheitsinformationssystemen“ 1 http://info.imsd.uni-mainz.
de/AGDatenschutz
Bundesamt für Sicherheit in der Informationstechnik 1 www.bsi.de
Die Datenschutzbeauftragten des Bundes und der Länder: 1 www.datenschutz.de
HCP-Projekt in Bayern 1 www.hcp-protokoll.de
Anzeige

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

Fachgebiet

Zum Artikel

Anzeige

Alle Leserbriefe zum Thema