Grundzüge eines Sicherheitskonzepts für Arztpraxen unter Berücksichtigung der Gesundheitstelematik

Transkript

1 Fachbereich 3 Mathematik und Informatik Diplomarbeit Grundzüge eines Sicherheitskonzepts für Arztpraxen unter Berücksichtigung der Gesundheitstelematik Eingereicht von Raffael Rittmeier Matrikelnummer Gutachter Dr. Karsten Sohr 2. Gutachter Prof. Dr. Hans-Jörg Kreowski Bremen, den 22. November 2009

2 ii

3 Rittmeier, Raffael Grundzüge eines Sicherheitskonzepts für Arztpraxen unter Berücksichtigung der Gesundheitstelematik Diplomarbeit, Fachbereich 3 Mathematik und Informatik Universität Bremen, November 2009 This work is licensed under the Creative Commons Attribution-Share Alike 3.0 Germany License. To view a copy of this license, visit or send a letter to Creative Commons, 171 Second Street, Suite 300, San Francisco, California, 94105, USA.

4

5 Danksagung Ich möchte mich bei all denjenigen bedanken, die mich während meines Studiums und vor allem in meiner Abschlussphase unterstützt haben. Mein Dank gilt Dr. Karsten Sohr und Prof. Dr. Hans-Jörg Kreowski für die umfangreiche Betreuung. Besonders danken möchte ich meiner Familie, meiner Freundin und meinen Freunden für die Unterstützung und Hilfe bei den Korrekturen. Diese Arbeit ist nicht geschlechtergerecht formuliert, ich bitte dies zu entschuldigen. v

6

7 Erklärung Ich versichere, die Diplomarbeit ohne fremde Hilfe angefertigt zu haben. Ich habe keine anderen als die angegebenen Quellen und Hilfsmittel benutzt. Alle Stellen, die wörtlich oder sinngemäß aus Veröffentlichungen entnommen wurden, sind als solche kenntlich gemacht. Bremen, den 22. November 2009 vii

8

9 Kurzfassung Arztpraxen setzen heute zunehmend auf digitalisierte Arbeitsprozesse. Diese Entwicklung geht nicht ausschließlich von den Ärzten selbst aus. So sind Ärzte ab 2010 verpflichtet ihre Abrechnung leitungsgebunden elektronisch [KBV08] zu übertragen, statt wie bisher quartalsweise einen Datenträger bei der Kassenärztlichen Vereinigung einzureichen. Mit der neuen elektronischen Gesundheitskarte (egk) sollen die Beteiligten des Gesundheitswesens über das Internet vernetzt werden. Der Konnektor spielt eine besondere Rolle, da er das Bindeglied zwischen Arztpraxis und zentraler Telematikinfrastruktur (TI) ist. Durch die zunehmende Digitalisierung und Vernetzung wird die Informationssicherheit in Arztpraxen immer wichtiger. Ärzte speichern und verarbeiten medizinische Daten ihrer Patienten und damit besonders schützenswerte personenbezogene Informationen, nach Bundesdatenschutzgesetz (BDSG). Diese Daten müssen unter allen Umständen vertraulich behandelt werden. Bei der elektronischen Speicherung und Verarbeitung von Patientendaten müssen auch die Computersysteme besonders geschützt sein, um unbefugten Zugriff zu verhindern [BK08a]. Durch eine Onlineverbindung entstehen zusätzliche Risiken, die in der folgenden Arbeit erörtert werden. Ziele In der vorliegenden Diplomarbeit werden die informationstechnischen Bedrohungen und Risiken in Arztpraxen auszugsweise analysiert. Es werden Maßnahmen empfohlen, um den Bedrohungen entgegenzuwirken und die Risiken zu senken. Die dabei entwickelte Vorgehensweise zeigt die Grundzüge eines Sicherheitskonzepts zum Schutz der personenbezogenen Daten in Arztpraxen auf. Die Darstellung der Bedrohungen in Bedrohungsbäumen soll Ärzte und ihre Angestellten für den Datenschutz und die Informationssicherheit der Patientendaten sensibilisieren. ix

10 Methoden Um Einblicke in Arztpraxen zu gewinnen, wurden zu Beginn Gespräche mit den verantwortlichen Ärzten zweier Arztpraxen geführt und die Infrastruktur dieser Arztpraxen aufgenommen. Anschließend wurde die Infrastruktur nach BSI-Grundschutz [BSI08d] analysiert und eine Bedrohungsanalyse in Anlehnung an Eckert [Eck08] und Schneier [Sch99] erstellt. Die Analyse wurde teilweise vereinfacht dargestellt, da eine vollständige Analyse nach BSI-Grundschutz nicht Inhalt dieser Arbeit ist. Eine detailliertere Analyse wurde beispielhaft am Server des Praxisverwaltungssystems (PVS) demonstriert. Dabei liegt der Schwerpunkt auf dem Schutzziel Vertraulichkeit. Zusätzlich wurde die Integration des Konnektors in das Praxisnetz analysiert. Da zu diesem Thema nur wenig Literatur zur Verfügung steht, wurden hier vor allem die Spezifikationen und Konzepte der Gesellschaft für Telematikanwendungen der Gesundheitskarte mbh (GEMATIK) herangezogen [gem08b] [gem08c]. Die Ergebnisse der Analyse wurden im Anschluss mit einer dritten Arztpraxis abgeglichen. Ergebnisse Die Ergebnisse der Diplomarbeit sind die Grundzüge eines Sicherheitskonzepts und ein beispielhafter Maßnahmenkatalog, der den Schutz von Patientendaten auf dem Praxisserver verbessern soll. Es berücksichtigt Ergebnisse aus der Infrastrukturanalyse, der Schutzbedarfsfeststellung, der Bedrohungs- und Risikoanalyse. Die Geschäftsprozesse der Praxis bilden die Grundlage für die Infrastrukturanalyse. Diese beinhaltet die Erhebung der eingesetzten Anwendungen, des Netzplans, der IT- Systeme und der Praxisräume. Darüber hinaus werden geplante Änderungen durch die Einführung von Telematiksystemen berücksichtigt (v.a. der Konnektor). In der Schutzbedarfsfeststellung werden Anwendungen, IT-Systeme, Räume und Kommunikationsverbindungen definierten Schutzbedarfskategorien zugeordnet. Dabei wird zwischen den Schutzzielen Vertraulichkeit, Integrität und Verfügbarkeit unterschieden. So wird z. B. festgestellt, dass der Praxisserver mit den Patientendaten einen sehr hohen Schutzbedarf in Bezug auf die Vertraulichkeit und die Integrität hat. Der Schutzbedarf in Bezug auf die Verfügbarkeit des Praxisservers ist hoch. In der Bedrohungs- und Risikoanalyse werden verschiedene Bedrohungen untersucht und ihre Risiken ermittelt. Allgemeine Bedrohungen können aus den BSI-Grundschutzx

11 katalogen abgeleitet werden. Da es keine speziellen Grundschutzkataloge für Arztpraxen gibt und Patientendaten nach BDSG besondere personenbezogene Daten sind, wird eine erweiterte Analyse am Beispiel des PVS-Servers durchgeführt. Die Bedrohungen und Angriffsmöglichkeiten werden in einer Baumdarstellung angeordnet und bewertet (engl.: Attack Trees, im Folgenden Bedrohungsbäume genannt). Dabei wird zwischen verschiedenen Angreifertypen unterschieden (z. B. Innentäter und externer Angreifer). Die sich daraus ergebenden Bedrohungen und Risiken können durch geeignete Maßnahmen oder Umstrukturierungen vermindert werden. Die Bedrohungs- und Risikoanalyse wird beispielhaft an dem Praxisserver demonstriert. Es werden organisatorische und technische Maßnahmen zur Risikoreduktion vorgeschlagen. Konkret können viele Risiken durch eine physikalische Trennung von Praxisnetz und Internet sowie den Einsatz verschlüsselter Dateisysteme beseitigt werden. Weitere Maßnahmen sind z. B. das Vorhalten von Ersatzsystemen um Störungen zu überbrücken, das regelmäßige Erstellen von Back-ups, kontrollierte Fernwartungen, der Einsatz von Firewalls und sicheren Kommunikationskanälen (VPN) und die restriktive Konfiguration von Browser und Mailclients. Fazit Gesetzliche Vorgaben und die Einführung von Telematiksystemen fordern einen Internetanschluss der Arztpraxen. Dabei muss der unbefugte Zugriff auf Patientendaten unbedingt unterbunden werden. Am Beispiel des PVS-Servers wurde in dieser Arbeit ein an Arztpraxen angepasster Maßnahmenkatalog erarbeitet. Bei dem Einsatz der Maßnahmen muss jedoch beachtet werden, ob sie nicht nur geeignet und wirksam sind, sondern auch mit den Interessen der Arztpraxen abgestimmt werden. Optimierte Praxisabläufe sollten nicht durch die ausgewählten Maßnahmen behindert werden. Durch die Implementierung von Bedrohungsbäumen grenzt sich die entwickelte Vorgehensweise von ähnlichen Arbeiten ab, z. B. der Checkliste in den Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis [BK08a]. Die individuelle Erfassung der Bedrohungen anhand des Sicherheitskonzepts kann die Ärzte für das potenzielle Risiko sensibilisieren. Sicherheitsdienstleister können sich an dem Konzept orientieren um eine erweiterte Sicherheitsanalyse anzubieten. Diese muss organisatorische Maßnahmen, wie z. B. Schulungen und verhaltensregelnde Policies, stärker einbeziehen als es in dieser Arbeit möglich war. xi

12 Die Informationssicherheit in Arztpraxen lässt sich letztlich nur verbessern, wenn den Ärzten der Mehrwert der Sicherheitsmaßnahmen und die Konsequenzen bei Nichtbefolgen der gesetzlichen Vorgaben bewusst wird. xii

13 Inhaltsverzeichnis Abbildungsverzeichnis xv Tabellenverzeichnis xvi Glossar xvi 1. Einleitung 1 2. Grundlagen Datenschutz Ärztliche Schweigepflicht Betriebliche Datenschutzbeauftragte Vertraulichkeitsvereinbarungen Grundlagen der Informationssicherheit Schutzziele Angriffsmöglichkeiten Maßnahmen Grundlagen der Telematikinfrastruktur Aufbau der Infrastruktur Ausbaustufen Telematikanwendungen Der Konnektor Methoden Untersuchung der Infrastruktur der Arztpraxen Akquise Gesprächsleitfaden Erstellung eines Sicherheitskonzepts für Arztpraxen Infrastrukturanalyse Schutzbedarfsermittlung Bedrohungs- und Risikoanalyse Maßnahmenkatalog Gesundheitstelematik: Analyse des Konnektors Ergebnisse Infrastrukturanalyse Erfassung der Anwendungen Netzplanerhebung xiii

14 Inhaltsverzeichnis Erfassung der IT-Systeme Erfassung der Räume Änderungen durch die Telematikinfrastruktur Dezentrale Telematiksysteme Netzplan mit Konnektor Schutzbedarfsermittlung Schutzbedarfsermittlung der Anwendungen Schutzbedarfsermittlung der IT-Systeme Schutzbedarfsermittlung der Räume Schutzbedarfsermittlung der Kommunikationsverbindungen Bedrohungs- und Risikoanalyse Angriffsziel: unbefugter Zugriff auf vertrauliche Patientendaten Bewertung der Bedrohungen Maßnahmen zum Schutz personenbezogener Daten Gesundheitstelematik: Analyse des Konnektors Missbrauch der Managementschnittstelle Auswirkungen von Design- und Implementierungsfehlern Anbindung der Primärsysteme Zusammenfassung Allgemeine Bedrohungen und organisatorische Maßnahmen Bedrohungen durch Patienten Bedrohungen durch Innentäter Bedrohungen durch externe Angreifer Gesundheitstelematik: Analyse des Konnektors Fazit Einblicke in die Arztpraxen Sicherheitsanalyse mit Bedrohungsbäumen Analyse der Telematikinfrastruktur Ausblick Literatur 83 Primärliteratur Sekundärliteratur A. Anhang 93 A.1. Schutzbedarfsfeststellung A.1.1. Anwendungen A.1.2. IT-Systeme A.1.3. Räume A.2. Gesprächsleitfaden A.2.1. Einleitung A.2.2. Grundlagen A.2.3. Rechner xiv

15 Abbildungsverzeichnis A.2.4. Datenübertragung A.2.5. Backups A.2.6. Fernwartung A.3. Anfrage an die BÄK A.4. Anfrage an die Gematik A.5. Anfrage an das BSI A.6. Anfrage an die Aufsichtsbehörden für den Datenschutz A.6.1. Text der Anfrage A.6.2. Antwort Hamburg A.6.3. Antwort Bayern A.6.4. Antwort Mecklenburg-Vorpommern A.6.5. Antwort Schleswig-Holstein A.6.6. Antwort Berlin A.6.7. Antwort Bremen A.6.8. Antwort Baden-Württemberg A.6.9. Antwort Nordrhein-Westfalen A Antwort Sachsen A Antwort Rheinland-Pfalz A Antwort Berlin (2) A.7. Anfrage an die PVS-Hersteller A.7.1. Text der Anfrage A.7.2. Antwort TurboMed A.7.3. Antwort PSYPRAX A.7.4. Antwort HASOMED A.7.5. Antwort docexpert A.7.6. Antwort MCS A.8. Graphische Bedrohungsbäume Abbildungsverzeichnis 2.1. Überblick über die Telematikinfrastruktur (Release 2) Übersicht der Release- und Funktionsabschnitte [gem08b, 35] Aufbau des VPN-Tunnels zur Telematikinfrastruktur [gem08c, 134] Beispielszenario zur Abgrenzung der Schutzbedarfskategorien Bedrohungsbaum in der Textform Grafischer Bedrohungsbaum Netzplan: Praxis mit separatem Internet PC Netzplan: Praxis mit Konnektor und Verbindung zur TI Bedrohungsbaum: Angriffsziel und sechs Subziele Bedrohungsbaum: Angriffe auf den PVS-Server (Subziel 1) Bedrohungsbaum: externe Speichermedien (Subziel 2) xv

16 Tabellenverzeichnis 4.6. Bedrohungsbaum: LAN (Subziel 3) Bedrohungsbaum: Internet (Subziel 4) Bedrohungsbaum: ISDN (Subziel 5) Bedrohungsbaum: Telefon (Subziel 6) Beispielhafter Bedrohungsbaum für einen Konnektor - Vertraulichkeit [HSK08, 148ff] A.1. Bedrohungsbaum PVS lokaler Angriff A.2. Bedrohungsbaum PVS entfernter Angriff A.3. Bedrohungsbaum externe Speichermedien A.4. Bedrohungsbaum LAN A.5. Bedrohungsbaum Internet A.6. Bedrohungsbaum ISDN A.7. Bedrohungsbaum Telefon Tabellenverzeichnis 3.1. Beispielhafte Bewertung der Bedrohungen mit drei Angreifern Relevante Geschäftsprozesse Auflistung der Anwendungen Auflistung vorhandener und geplanter IT-Systeme Zuordnung der Anwendungen zu den IT-Systemen Auflistung der betroffenen Räume Auflistung geplanter Telematikkomponenten (dezentral) Schutzbedarfsermittlung der Anwendungen in Bezug auf die Vertraulichkeit Schutzbedarfsermittlung der IT-Systeme in Bezug auf die Vertraulichkeit Schutzbedarfsermittlung der Räume Bewertung der Bedrohungen Maßnahmen zum Schutz vor Bedrohungen: Physikalischer Angriff auf den PVS-Server (Subziel 1.1) Maßnahmen zum Schutz vor Bedrohungen: Anschluss eines eigenen Systems in der Praxis (Subziel 1.2.1) Maßnahmen zum Schutz vor Bedrohungen: Lokale Übernahme eines PVS- Clients (Subziel 1.2.2) Maßnahmen zum Schutz vor Bedrohungen: Entfernter Angriff über ISDN (Subziel 1.2.3) Maßnahmen zum Schutz vor Bedrohungen: Entfernter Angriff über DSL (Subziel 1.2.4) A.1. Vollständige Schutzbedarfsermittlung der Anwendungen A.2. Schutzbedarfsermittlung der IT-Systeme A.3. Schutzbedarfsermittlung der Räume xvi

17 Glossar Glossar GEMATIK AdV AES AK AMTS ARP AVS BA BDSG BSI BVerfG BÄK CA CC DAK DDoS DECT DHCP DHP DoS DSL EAL egk epa FTA GG GMG HBA IDS Gesellschaft für Telematikanwendungen der Gesundheitskarte mbh. Anwendungen zur Wahrnehmung der Versichertenrechte. Advanced Encryption Standard. Anwendungskonnektor. Arzneimitteltherapiesicherheit. Address Resolution Protocol. Apothekenverwaltungssystem. Berufsausweis. Bundesdatenschutzgesetz. Bundesamt für Sicherheit in der Informationstechnik. Bundesverfassungsgericht. Bundesärztekammer. Certificate Authority. Common Criteria. Deutsche Angestellten-Krankenkasse. Distributed Denial-of-Service. Digital Enhanced Cordless Telecommunications. Dynamic Host Configuration Protocol. Virginia Department of Health Professions. Denial-of-Service. Digital Subscriber Line. Evaluation Assurance Level. elektronische Gesundheitskarte. elektronische Patientenakte. Fault Tree Analysis. Grundgesetz. Gesetz zur Modernisierung der gesetzlichen Krankenversicherungen. Elektronischer Heilberufsausweis. Intrusion Detection System. xvii

18 Glossar IP ISDN KBV KIS KV LAN MAC MBO-Ä MITM NK PKI PP PVS RFID RSA Internet Protocol. Integrated Services Digital Network. Kassenärztliche Bundesvereinigung. Krankenhausinformationssystem. Kassenärztliche Vereinigung. Local Area Network. Media Access Control. Musterberufsordnung für die deutschen Ärztinnen und Ärzte. Man-in-the-middle. Netzkonnektor. Public Key Infrastructure. Protection Profile. Praxisverwaltungssystem. Radio Frequency Identification. Rivest-Shamir-Adleman. SAK Signaturanwendungskomponente. SGB V Sozialgesetzbuch V. SOAP Simple Object Access Protocol. SPAN Switched Port Analyzer. StGB Strafgesetzbuch. TI TK VIP VOD VODD VODM VoIP VPN VSD VSDD VSDM WAN Telematikinfrastruktur. Telekommunikation. Very Important Person. Verordnungsdaten. Verordnungsdatendienst. Verordnungsdatenmanagement. Voice over Internet Protocol. Virtual Private Network. Versichertenstammdaten. Versichertenstammdatendienst. Versichertenstammdatenmanagement. Wide Area Network. xviii

19 1 Einleitung Ende April 2009 gelang es Unbekannten in ein Computersystem des Virginia Department of Health Professions (DHP) einzubrechen. Zehn Millionen US Dollar Lösegeld wurden für über 8 Millionen Patientendaten aus dem Virginia Prescription Monitoring Program und 35,5 Millionen Rezeptdaten verlangt. Das DHP bestätigte diese Angaben bisher nicht, informierte aber Personen, deren Sozialversicherungsnummer möglicherweise in dem gecrackten Computersystem gespeichert waren. 1 In den USA ist Erpressung mit gestohlenen Patientendaten kein Einzelfall. So wurden 2008 ein US-Gesundheitsdienstleister und dessen Kunden erpresst [pmz08]. Auch in Deutschland gibt es Datenpannen. T-Mobile, die Mobilfunktochter der Deutschen Telekom, schützte den Onlinezugriff auf 30 Millionen Kundendaten nur mit simplen Passwörtern [ASE08]. Von solchen Skandalen, gezielten Angriffen und Erpressungen blieben Arztpraxen und der Gesundheitssektor in Deutschland bisher verschont. Doch dies könnte sich bald ändern. Ab 2010 sind Ärzte verpflichtet ihre Abrechnung leitungsgebunden elektronisch [KBV08] zu übertragen, d.h. Ärzte benötigen einen Onlinezugang. Hinzu kommen die Entwicklungen rund um die neue elektronische Gesundheitskarte (egk), deren Anwendungen ebenfalls eine Onlineverbindung vorsehen. Eine flächendeckende Vernetzung von etwa Arzt- und Zahnarztpraxen mit den weite- 1 Die Sozialversicherungsnummer (engl.: Social Security Number) hat in den USA die Funktion einer allgemeinen Personenkennzahl für staatliche und teilweise private Stellen. Die Benachrichtigung der Betroffenen resultiert aus einem so genannten Security Breach Notification Law. 44 Staaten der USA (und der District of Columbia, Puerto Rico und die Virgin Islands) haben ein entsprechendes Gesetz, nach dem Verstöße gegen die Sicherheit personenbezogener Informationen gemeldet werden müssen. Obwohl Deutschland strengere Datenschutzgesetze hat, fehlt hier die Verpflichtung, Betroffene zu informieren. [Wik09; DAB09; DHP09a; DHP09b; NCS09] 1

20 KAPITEL 1. EINLEITUNG ren Akteuren des deutschen Gesundheitswesen ist absehbar. Damit steigen die Bedrohungen und Risiken z. B. durch unbefugten Zugriff auf Patientendaten. An Patientenakten interessierte Diebe mussten früher in die Praxis einbrechen und Papierakten aus der Praxis entwenden. Heute reicht ein Computer- oder Festplattendiebstahl, wenn elektronische Patientenakten geführt werden. Durch die Onlineanbindung von Arztpraxen muss der Einbrecher nicht mehr vor Ort sein, dadurch sinkt das Entdeckungsrisiko. Die Bundesärztekammer und die Kassenärztliche Bundesvereinigung haben bereits 2008 Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis [BK08a] veröffentlicht. Die Empfehlungen beinhalten organisatorische und technische Maßnahmen, die die Informationssicherheit in Arztpraxen sicherstellen sollen. Die Technische Anlage enthält Auszüge aus dem Leitfaden Informationssicherheit und den IT-Grundschutzkatalogen des Bundesamts für Sicherheit in der Informationstechnik (BSI) [BK08b]. Trotzdem werden die bestehenden Empfehlungen und das Thema allgemein nur unzureichend von der Ärzteschaft berücksichtigt. Ärzte engagieren IT-Dienstleister, die die IT-Infrastruktur der Praxis pflegen. Doch auch die Dienstleister wollen kosteneffizient arbeiten und bevorzugen Systeme, die nur zusammengesteckt werden und funktionieren. Die Praxisleitungen berufen nur selten einen betrieblichen Datenschutzbeauftragten, individuelle Sicherheitskonzepte liegen meistens nicht vor. Die im Zusammenhang mit der egk geplante Telematikinfrastruktur (TI) soll personenbezogene und medizinische Daten zentral speichern: die administrativen Daten (VSD) früher, die elektronischen Verordnungen (VOD) und elektronische Patientenakte (epa) später. Werden Daten zentral gespeichert, so erhöht sich die Wertdichte und die mögliche Bedrohung durch Angriffe steigt. IT-Kriminelle erhalten bei einem erfolgreichen Angriff dann nicht nur Patientendaten einer Arztpraxis, sondern möglicherweise Patientendaten aus ganz Deutschland. Vor diesem Hintergrund wird in der vorliegenden Arbeit die Informationssicherheit in Arztpraxen erforscht. Dazu werden drei Arztpraxen analysiert und beispielhaft eine Bedrohungs- und Risikoanalyse durchgeführt. Die dabei entwickelte Vorgehensweise soll die möglichen Bedrohungen strukturiert darstellen und Ärzte für das potentielle Risiko sensibilisieren. In Bezug auf die geplante TI wird untersucht, welche Komponenten sich kritisch auf den Schutz personenbezogener Daten in Arztpraxen auswirken können. Es wird gezeigt, welche Sicherheitsmaßnahmen eine Arztpraxis umsetzen muss, um Patientendaten angemessen und wirksam zu schützen. 2

21 Die Arbeit ist folgendermaßen gegliedert: Im folgenden Kapitel 2 werden die inhaltlichen Grundlagen aus den Bereichen Datenschutz, Informationssicherheit und der TI erklärt. Im dritten Kapitel werden die verwendeten Methoden erläutert. Beschrieben werden die Vorgehensweise zur Erfassung der Daten und der Ablauf der darauf folgenden Analyse. Es wird außerdem erklärt, wie in dieser Arbeit Bedrohungsbäume verwendet werden, um die Bedrohungs- und Risikoanalyse zu erweitern. Die Ergebnisse in Kapitel vier sind der Kern dieser Arbeit. Das Kapitel beginnt mit der Infrastrukturanalyse und der Schutzbedarfsermittlung, die sich an der Vorgehensweise nach BSI-Grundschutz orientieren. Die beispielhaft durchgeführte Bedrohungs- und Risikoanalyse wird durch Bedrohungsbäume erweitert. Die vorgeschlagenen Sicherheitsmaßnahmen reduzieren die zuvor ermittelten Bedrohungen und Risiken. Der Konnektor wird als Bestandteil der geplanten TI untersucht. Am Ende des Kapitels sind die Ergebnisse zusammengefasst. In Kapitel fünf folgt das Fazit mit der Diskussion der Ergebnisse und einem Ausblick auf die weiteren Entwicklungen. 3

22

23 2 Grundlagen There is no such thing as absolute security [CBR03, 3]. 2.1 Datenschutz Datenschutz basiert im Allgemeinen auf den Grundrechten, die in den ersten beiden Artikeln des Grundgesetzes (GG) formuliert sind. Das Bundesverfassungsgericht (BVerfG) etablierte das Recht auf informationelle Selbstbestimmung mit seinem Urteil zum Volkszählungsgesetz vom (auch als Volkszählungsurteil bekannt). Es basiert auf den folgenden Grundrechten [Ber04, 411]: Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit [...] (Artikel 2 Absatz 1 [GG07, 14]) und Die Würde des Menschen ist unantastbar [...] (Artikel 1 Absatz 1 [GG07, 14]) Wilfried Berg begrenzt diese Aussage in seinem Aufsatz Telemedizin und Datenschutz auf die staatliche Datenerhebung und -verarbeitung. Eine unmittelbare Bindung Privater ist hier ebenso ausgeschlossen wie bei nahezu allen anderen Grundrechten [...] [Ber04, 411]. Der Bundesbeauftragte für den Datenschutz schrieb 2005 hingegen, dass das Recht auf informationelle Selbstbestimmung den Einzelnen vor zunehmende[r] Abhängigkeit von Stellen in Staat und Wirtschaft [Mül05, 629] schützen soll. Ärzte müssen aufgrund der Dokumentationspflicht alle als notwendig erachteten Daten über Ihre Patienten speichern und verarbeiten ( 10 MBO-Ä). Das Bundesdatenschutzgesetz (BDSG) regelt den nicht öffentlichen Bereich, zu dem Arztpraxen gehören. In Bezug 5

24 KAPITEL 2. GRUNDLAGEN auf Gesundheitsdaten ist das Gesetz sehr spezifisch. 28 Absatz 6-9 des BDSG erörtert das Erheben, Verarbeiten und Nutzen von besonderen Arten personenbezogener Daten ( 3 Abs. 9) für eigene Geschäftszwecke [BDS90, 25]. Dazu gehören neben Angaben zu Gesundheit oder dem Sexualleben Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen [oder] Gewerkschaftszugehörigkeit [BDS90, 5]. Diese Angaben sind besonders schützenswert. Darüber hinaus gelten alle allgemeinen Teile der Datenschutzgesetze wie z. B. Datenvermeidung und Datensparsamkeit ( 3a BDSG) [Ber04, 412]. In jedem Bundesland gibt es eine Datenschutzaufsichtsbehörde, die die Einhaltung des Gesetzes überprüft. Datenschutzverstöße sind Antragsdelikte. Untersuchungen finden in der Regel erst nach Hinweisen aus der Bevölkerung statt. Aufgrund der besonders sensiblen Daten hat der Landesbeauftragte für den Datenschutz der Freien Hansestadt Bremen im Jahr 2004 die Datensicherheit in Arztpraxen untersucht [Hol04, 117]. Aufgrund der geringen personellen und finanziellen Ausstattung der Behörde ist diese Untersuchung relativ oberflächlich ausgefallen. Unter dem Titel Datenschutz in meiner Arztpraxis bietet das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein vielfältige Informationen für Ärzte und Patienten [ULD01]. Der Datenschutz ist ein wichtiger Teil der vorliegenden Arbeit, da Ärzte verpflichtet sind, sehr persönliche Daten ihrer Patienten zu verwalten. Diese Daten müssen besonders gesichert werden. Wo früher ein abschließbarer Aktenschrank gereicht hat, wird mit der zunehmenden Digitalisierung der technische Schutz immer wichtiger. Ein technischer Schutz alleine ist jedoch unwirksam, wenn dem Praxispersonal ein grundlegendes, technisches Verständnis und die Sensibilisierung für den Datenschutz fehlt Ärztliche Schweigepflicht Ärzte sind verpflichtet, die ihnen anvertrauten Geheimnisse nicht weiterzugeben. Strafrechtlich ist die ärztliche Schweigepflicht im Strafgesetzbuch (StGB) unter 203 Verletzung von Privatgeheimnissen geregelt [stg08, 98f]. Demnach macht sich strafbar, wer unbefugt ein fremdes Geheimnis offenbart, das ihm als Arzt anvertraut worden oder sonst bekannt geworden ist [BK08a, 1026]. Die Schweigepflicht gilt ebenfalls für Gehilfen und Angestellte im medizinischen Bereich. Ärzte können so mit Freiheitsstrafen von bis zu einem Jahr (bei absichtlicher Offenbarung bis zu zwei Jahre) oder zu einer Geldstrafe verurteilt werden. Die Ärztekammern der Bundesländer haben die Schweigepflicht detailliert in ihren Berufsordnungen geregelt. Sie orientieren sich an der Musterberufsordnung für die deut- 6

25 2.1. DATENSCHUTZ schen Ärztinnen und Ärzte (MBO-Ä), die vom Deutschen Ärztetag beschlossen wird. Nach 9 der MBO-Ä haben Ärzte über das zu schweigen, was ihnen über den Patienten anvertraut oder bekannt geworden ist [BAE96, 11f]. Dies gilt auch über den Tod des Patienten hinaus [RSAG07, 84] Ausnahmen von der Schweigepflicht Ausnahmen von der Schweigepflicht sind nach 9, Abs. 2 MBO-Ä möglich. Dazu muss der Arzt von der Schweigepflicht entbunden werden oder die Offenbarung zum Schutze eines höherwertigen Rechtsgutes erforderlich sein [BAE96, 11]. Eine Einwilligung zur Offenbarung durch den Patienten erfolgt entweder ausdrücklich (schriftlich und auf einen konkreten Fall bezogen) oder konkludent (stillschweigend). Eine stillschweigende Einwilligung liegt vor, wenn der Patient aufgrund der Umstände von einer Informationsweitergabe durch den Arzt an Dritte ausgehen muss [BK08a, A1026], z. B. bedingt durch gesetzliche Auflagen. Gesetzlich müssen unter anderem schwere Infektionskrankheiten und Krebs gemeldet werden [IfS00; KRG94]. Weitere gesetzliche Übermittlungsbefugnisse und -pflichten finden sich insbesondere im Sozialgesetzbuch V (SGB V) [BK08a, A1029]. Die Kassenärztlichen Vereinigungen der Bundesländer erhalten so Daten im Rahmen der vertragsärztlichen Versorgung zu Zwecken der Abrechnung, Wirtschaftlichkeitsprüfung und Qualitätssicherung ( 295 ff. SGB V). Aber auch die Krankenkassen erhalten Daten, z. B. Arbeitsunfähigkeitsbescheinigungen [BK08a, A1029]. Im Rahmen der Programmmedizin bzw. der sogenannten managed care -Programme werden seit 2002 außerdem sensible medizinische Daten der teilnehmenden Patienten an die Krankenkassen übermittelt [Wil08]. Mit dem Gesetz zur Modernisierung der gesetzlichen Krankenversicherungen (GMG) werden seit 2004 für jeden Behandlungsfall die folgenden Daten bei den Krankenkassen gesammelt ( 295 Abs. 2 SGB V) [Bun03, 2235]: 1. Die Krankenkasse und zuständige Kassenärztliche Vereinigung (KV), Krankenversichertennummer, Versicherungsstatus ( 291 Abs. 2 Nr. 1, 6 und 7 SGB V) 2. Die Nummer des Arzt-, Zahnarztes oder überweisenden Arzt- oder Zahnarztes 3. Die Art der Inanspruchnahme 4. Die Behandlungsart 7

26 KAPITEL 2. GRUNDLAGEN 5. Das Datum der Behandlung 6. Die abgerechneten Gebührenpositionen mit Diagnosen und Befunden 7. Die Behandlungskosten 8. Zuzahlungen nach 28 Abs. 4 [SGB V] [Bun03, 2235] Die Übertragung erfolgt dabei auf einem Datenträger in maschinell verwertbarer Form oder mittels elektronischer Datenübertragung [sgb09, 235f] Elektronische Datenverarbeitung und -übertragung Die Schweigepflicht gilt selbstverständlich auch für elektronische Kommunikation und Medien. Bei der Erstellung eines Sicherheitskonzepts muss darauf geachtet werden, dass die IT-Geräte keine versehentliche oder absichtlich herbeigeführte Verletzung der Schweigepflicht ermöglichen. Ein unbefugter Zugriff auf vertrauliche Daten einer Arztpraxis kann z. B. geschehen, wenn über einen Computer mit Patientendaten eine Internetverbindung aufgebaut wird oder Dokumente über ein öffentliches Datennetz verschickt werden. Neben der Nutzung von vernetzten Computern muss auch die Nutzung von anderen Geräten überprüft werden, die ein Ausspähen von Daten ermöglichen. Hier sind z. B. Faxgeräte, Kopierer, DECT- oder Voice over Internet Protocol (VoIP)-Telefone zu nennen. Elektronisch gespeicherte Informationen erleichtern die weitere Datenverarbeitung und -nutzung. Die elektronische Form ermöglicht die Verarbeitung und das verlustfreie Kopieren vieler Datensätze in kurzer Zeit. Diese Möglichkeiten verstärken das Missbrauchspotenzial sensibler Informationen. So hat die Deutsche Angestellten-Krankenkasse (DAK) im Zusammenhang mit einem (managed care) Betreuungsprogramm personenbezogene Daten und medizinische Befunde von chronisch kranken Menschen an den Gesundheitsdienstleister Healthways International GmbH weitergegeben. Die Patienten willigten mit der Teilnahme an dem DAK-Programm der Datenweitergabe zwar zu, jedoch waren nur der Patienten in dem Programm eingeschrieben. Demnach sind administrative und medizinische Daten von etwa Patienten durch die DAK ohne Rechtsgrundlage weitergegeben worden [BT 08; AK08] Betriebliche Datenschutzbeauftragte Arztpraxen können betriebliche Datenschutzbeauftragte (bdsb) berufen, um u.a. die Einhaltung der Datenschutzbestimmungen zu überprüfen. Die Bestellung ist nach 4f BDSG 8

27 2.2. GRUNDLAGEN DER INFORMATIONSSICHERHEIT vorgesehen, wenn mindestens neun Arbeitnehmer mit der automatisierten Datenverarbeitung beschäftigt sind oder mindestens 20 Arbeitnehmer auf andere Art und Weise personenbezogene Daten verarbeiten. Der betriebliche Datenschutzbeauftragte ist direkt der Praxisleitung unterstellt und steht dieser beratend zu Seite. Daher kann sich ein leitender Arzt nicht selbst zum bdsb ernennen. Wer die Benennung eines bdsb versäumt begeht eine Ordnungswidrigkeit nach 43 BDSG Vertraulichkeitsvereinbarungen Ärzte und im medizinischen Bereich tätige Hilfskräfte unterliegen nach 203 StGB der ärztlichen Schweigepflicht. Der betriebliche Datenschutzbeauftragte oder die Praxisleitung muss die Angestellten über ihre Verpflichtung zur Verschwiegenheit belehren. Dies kann im Arbeitsvertrag oder in einem gesonderten Dokument erfolgen. Für externe Angestellte und Dienstleister gilt die Schweigepflicht nicht. Sie sollten daher keinen Kontakt zu sensiblen Informationen bekommen. Da dies nicht immer ausgeschlossen werden kann, ist eine vertragliche Regelung in Form einer Vertraulichkeitsvereinbarungen (engl.: non-disclosure agreement (NDA)) notwendig. Dies betrifft vor allem IT-Dienstleister, Reinigungspersonal und ggf. nicht fest angestellte Mitarbeiter. Als Sanktion kann in der Vertraulichkeitsvereinbarung eine Vertragsstrafe festgelegt werden, die bei Zuwiderhandlung gezahlt werden muss. 2.2 Grundlagen der Informationssicherheit Informationssicherheit gewinnt an Bedeutung, weil immer mehr Aufgaben an IT-Systeme abgegeben werden und diese immer häufiger sensible Informationen speichern und verarbeiten. Von den IT-Systemen wird erwartet, dass sie verlässlich arbeiten (IT-Sicherheit). Bezüglich der sensiblen Informationen wird erwartet, dass sie vertraulich behandelt werden (Datenschutz). Weitere Schutzziele sind u.a. Integrität/Authentizität, Verfügbarkeit und Verbindlichkeit/Zurechenbarkeit. Die Informationssicherheit ergibt sich aus IT-Sicherheit und dem Erreichen der Schutzziele. 9

28 KAPITEL 2. GRUNDLAGEN Schutzziele Die Vertraulichkeit, die Integrität und die Verfügbarkeit sind die wichtigsten Schutzziele in der Informationstechnik.Von diesen drei Basiskomponenten lassen sich weitere Schutzziele ableiten, z. B. die Authentizität. In vielen Bereichen ist die Verbindlichkeit bzw. Zurechenbarkeit ein weiteres wichtiges Schutzziel, beispielsweise wenn ein Vertrag abgeschlossen wird. Schutzziele können je nach Anwendung oder Objekt unterschiedlich stark gewichtet werden. So kann die Verfügbarkeit eines Kartenlesegerätes eventuell vernachlässigt werden, wenn ein zweites Gerät vorhanden ist. Wenn jedoch der Server mit den Patientendaten nicht verfügbar ist, so können massive Beeinträchtigungen im Praxisablauf die Folge sein. So müssten z. B. Protokolle schriftlich erfasst werden und später in das Praxisverwaltungssystem (PVS) übertragen werden. Auch das Einlesen der Daten von der egk ist ohne das PVS nicht mehr möglich. In dieser Arbeit ist das wichtigste Ziel der Schutz der Vertraulichkeit Vertraulichkeit Vertraulichkeit bedeutet stark vereinfacht, dass der lesende Zugriff auf Informationen auf bestimmte Personen oder Gruppen beschränkt ist. Vom Militär ist das need to know Prinzip bekannt [Bis03, 4]. Sensible Daten sind nur Gruppen bekannt, die Zugriff auf diese Daten benötigen. Der Umgang mit vertraulichen Daten geht oft einher mit einer Verpflichtung zur Geheimhaltung (Vertraulichkeitsvereinbarung). Datenschutz bezeichnet das Recht des Einzelnen auf Schutz seiner personenbezogenen (oder personenbeziehbaren) Daten. Abgesehen davon ist zu beachten, dass die bloße Information über die Existenz von Daten oder eine Kommunikationshandlung bereits schützenswert sein kann (engl. traffic analysis). So könnte z. B. die Privatsphäre einer Person von öffentlichem Interesse (VIP) verletzt werden, die von einem Journalisten gesehen worden ist, wie sie die Arztpraxis eines Kardiologen betritt und der Journalist daraus Herzprobleme diagnostiziert. Mit Zugriffskontrollmechanismen können Beschränkungen durchgesetzt werden (siehe Seite 13). Kryptografie kann die Vertraulichkeit stärken. In Abschnitt werden diese Maßnahmen genauer erläutert. Durch Pseudonymisierung bzw. die weitergehende Anonymisierung von personenbezogenen Daten kann der Datenschutz gestärkt werden. 10

29 2.2. GRUNDLAGEN DER INFORMATIONSSICHERHEIT Integrität und Authentizität Der Schutz der Integrität von Ressourcen (z. B. Daten oder Dienste) ist wichtig, um eine missbräuchliche, unautorisierte und ggf. unbemerkte Veränderung zu verhindern. Integrität umfasst dabei nicht nur den Inhalt der Daten, sondern oft auch den Ursprung der Daten (Authentizität). Beim Schutz von Integrität wird zwischen präventiven und erkennenden Mechanismen unterschieden [Bis03, 5]. Präventive Mechanismen verhindern den Bruch der Integrität z. B. durch Zugriffskontrolle oder Schreibschutz. Erkennende Mechanismen (z. B. Prüfsummen) verhindern eine unautorisierte Veränderung nicht, erkennen sie aber und zeigen die Integrität nicht länger als vertrauenswürdig an. Die Authentizität kann mithilfe einer (digitalen) Signatur sichergestellt werden (siehe Abschnitt ) Verfügbarkeit Verfügbarkeit bedeutet, dass Ressourcen genutzt werden können. Schutz der Verfügbarkeit bedeutet, dass Unbefugte Daten oder Dienste nicht in ihrer Funktionalität beeinträchtigen können. Ein Angriff auf die Verfügbarkeit wird Denial-of-Service (DoS) genannt. In einer digitalisierten Arztpraxis kann z. B. nur mit einem funktionstüchtigen PVS auf die Patientenakten zugegriffen werden. Funktioniert das System nicht, so kann der Arzt oder die Ärztin nicht auf vorherige Befunde und Diagnosen zurückgreifen Verbindlichkeit und Zurechenbarkeit Bei der Verarbeitung von sensiblen Daten ist auch die Verbindlichkeit (engl.: non-repudiation) bzw. Zurechenbarkeit (engl.: accountability) ein wichtiges Ziel. Eine getätigte Aktion muss einer Person zurechenbar sein, sie darf die Handlung nicht unzulässigerweise abstreiten können. Die Verbindlichkeit ermöglicht den Nachweis einer Aktion gegenüber einer unabhängigen Instanz [BHBS08, 25]. Im medizinischen Bereich ist es wichtig zu wissen, welcher Arzt oder welche Ärztin für eine Diagnose verantwortlich ist oder wer eine Untersuchung durchgeführt hat. Dadurch lassen sich falsche Behandlungen (z. B. Verabreichung falscher Medikamente oder Blutkonserven) aufgrund falscher Diagnosen zwar nicht rückgängig machen, jedoch lassen sich die Verantwortlichen ermitteln. 11

30 KAPITEL 2. GRUNDLAGEN Angriffsmöglichkeiten Der Informationssicherheit steht die Möglichkeit eines Angriffs und damit eine Bedrohung gegenüber. Für Sicherheitsanalysen ist es sinnvoll, die Angreifertypen und die Angriffsarten genauer zu betrachten Angreifertypen Angriffe gehen entweder von Innentätern (z. B. Mitarbeiter, die sich im System auskennen) oder externen Tätern aus. Diese beiden Kategorien lassen sich im Rahmen eines Angreifermodells weiter ausdifferenzieren (siehe Abschnitt 3.2.3). Dabei sollten mögliche Motive, die Ausstattung und das Wissen der verschiedenen Angreifertypen berücksichtigt werden [Eck08, 178f] Angriffsarten Die Angriffsarten lassen sich in aktive und passive Angriffe unterteilen: Passive Angriffe betreffen die unautorisierte Informationsgewinnung und zielen auf den Verlust der Vertraulichkeit ab. Aktive Angriffe betreffen die unautorisierte Modifikation von Datenobjekten und richten sich somit gegen die Datenintegrität oder Verfügbarkeit eines IT-Systems [Eck08, 16]. Das Entdeckungsrisiko bei passiven Angriffen ist geringer, da die Daten selbst nicht verändert werden und die Angriffe oft nicht nachweisbar sind. Beispiele sind das unbefugte Lesen von Dateien oder das Aufzeichnen unverschlüsselter Kommunikation in (drahtlosen) Netzen. Diese Techniken werden genutzt, um z. B. an vertrauliche Zugangsdaten zu gelangen. Bei aktiven Angriffen werden Daten durch den Angreifer unbefugt verändert, gelöscht oder geschrieben. Zu den klassischen Angriffen dieser Art gehören DoS und Maskierungsangriffe. Letztere beinhalten, dass der Angreifer eine falsche Identität vortäuscht. Mittelsperson-Angriffe (engl. middleperson oder MITM attack) stellen eine spezielle Form von Maskierungsangriffen dar. Der Angreifer gibt sich gegenüber zwei Kommunikationspartnern als der jeweils andere Gesprächspartner aus und vermittelt Inhalte an den eigentlichen Empfänger. Dabei können Inhalte unbemerkt modifiziert werden. DoS-Angriffe richten sich gegen die Verfügbarkeit eines IT-Systems. Wird ein solcher Angriff von vielen Systemen (z. B. einem Botnet) ausgeführt, wird dies Distributed Denial-of-Service (DDoS) genannt. 12

31 2.2. GRUNDLAGEN DER INFORMATIONSSICHERHEIT Eine weitere Angriffsmöglichkeit ist das Social Engineering. Es handelt sich dabei um einen nicht technischen Angriff. Hierbei versucht ein Angreifer sein Opfer dazu zu bringen, dass es unabsichtlich oder absichtlich im guten Glauben sensitive Informationen an den Angreifer preisgibt [Eck08, 23] Maßnahmen Maßnahmen werden eingesetzt, um Angriffe zu verhindern bzw. zu erkennen und das Risiko von Angriffen zu reduzieren. Das BDSG fordert öffentliche und nicht öffentliche Stellen auf, geeignete organisatorische und technische Maßnahmen zum Schutz personenbezogener Daten zu treffen. In Anlage zu 9 Satz 1 BDSG werden Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags- und Verfügbarkeitskontrollen explizit genannt. Darüber hinaus ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können [BDS90]. Organisatorische Maßnahmen beziehen sich auf Abläufe im Praxisalltag und sind in der Regel auch ohne technisches Fachwissen umsetzbar. Technische Maßnahmen unterstützen die organisatorischen Maßnahmen, setzen aber oft ein technisches Verständnis bzw. eine kompetente Administration voraus, z. B. bei Verwendung einer Firewall. Organisatorische Maßnahmen sollten in schriftlicher Form fixiert werden, mündliche Absprachen eignen sich nicht. Zur Sensibilisierung der Mitarbeiter für den Datenschutz sind Schulungen hilfreich. Beispiele für organisatorische Maßnahmen sind u. a. das tägliche Erstellen von Sicherungskopien der Patientendaten, die vertraglich geregelte Verschwiegenheitspflicht der Dienstleister und der sachgemäße Umgang mit Speichermedien, die Patientendaten enthalten, sowie deren fachgerechte Entsorgung [BK08a, A1030]. In dieser Arbeit stehen die organisatorischen Maßnahmen nicht im Vordergrund. Im Folgenden wird auf einige technische Maßnahmen detaillierter eingegangen Zugriffskontrolle Eine Zugriffskontrolle schränkt den Zugriff auf IT-Systeme und Daten ein, sodass nur Berechtigte die Ressourcen nutzen können. Eine abgestufte Rechtevergabe ist je nach System möglich. Damit soll unbefugtes Lesen, Kopieren, Ändern oder Löschen unterbunden werden. Moderne Systeme verwenden häufig eine rollenbasierte Zugriffskontrolle [SCFY96]. So werden Benutzer mit einer oder mehreren Rollen verknüpft, die über eine zuvor de- 13

32 KAPITEL 2. GRUNDLAGEN finierte Menge an Zugriffsrechten verfügen. Dies vereinfacht die Berechtigungsvergabe vor allem in größeren Organisationen und Unternehmen Verschlüsselung Bei der Verschlüsselung wird im Allgemeinen eine Nachricht mit einem Schlüssel chiffriert. Nur wenn der richtige Schlüssel bekannt ist, kann die Nachricht wieder entschlüsselt werden, ansonsten kann der Inhalt der Nachricht nicht gelesen werden. Symmetrische Verschlüsselung basiert auf einem gemeinsamen geheimen Schlüssel für Sender und Empfänger. Der Schlüssel sollte nur dem Sender und dem Empfänger der verschlüsselten Nachricht bekannt sein. Wird der geheime Schlüssel offengelegt oder rekonstruiert, so kann die verschlüsselte Nachricht von Dritten gelesen werden. Generell werden symmetrische Algorithmen in zwei Kategorien unterteilt. Entweder arbeitet ein Algorithmus den zu verschlüsselnden Text Bit-weise (teilweise auch Byte-weise) ab, dann wird von Stromverschlüsselung (stream cipher) gesprochen. Bei der Blockverschlüsselung hingegen arbeitet der Algorithmus auf größeren (z. B. 128 bit) Datenblöcken [Sch96]. Symmetrische Verschlüsselung zeichnet sich durch die hohe Geschwindigkeit beim Entschlüsseln großer Datenmengen aus. Ein Problem ist jedoch der Schlüsselaustausch. Die Geheimhaltung des Schlüssels muss sichergestellt werden, auch wenn eine persönliche Übergabe nicht möglich ist. Alternativ kann der geheime Schlüssel durch eine vertrauenswürdige dritte Person verteilt werden. Ein früherer geheimer Schlüssel kann genutzt werden, um einen neuen geheimen Schlüssel auszutauschen, falls zwischen den Kommunikationspartnern bereits eine verschlüsselte Verbindung bestanden hat [Sta07, 53]. Bei der asymmetrischen Verschlüsselung wird jeweils mit einem Schlüsselpaar gearbeitet. Ein Schlüsselpaar besteht aus einem privaten Schlüsselteil und einem öffentlichen Schlüsselteil. Der öffentliche Teil des Schlüssels muss dem Sender bekannt sein, um eine Nachricht für den Empfänger zu verschlüsseln. Der private Teil des Schlüssels hingegen wird nur von dem Empfänger zum Entschlüsseln der Nachricht benötigt. Die Sicherheit dieses Verfahrens basiert auf der Annahme, dass von dem öffentlichen Schlüssel aus nicht auf den privaten Schlüssel geschlossen werden kann. Der öffentliche Schlüssel kann daher veröffentlicht werden, z. B. in 14

33 2.2. GRUNDLAGEN DER INFORMATIONSSICHERHEIT einer Public Key Infrastructure (PKI). Diese Art der Verschlüsselung wird auch Public-Key Encryption genannt. Ein Vorteil der asymmetrischen Verschlüsselung ist der unproblematische Schlüsselaustausch. Da der private Schlüssel nicht ausgetauscht werden muss, kann er besser geschützt werden. Die asymmetrische Verschlüsselung großer Datenmengen ist aufgrund des vergleichsweise hohen Rechenaufwands unpraktikabel. Unter hybrider Verschlüsselung versteht man eine Kombination aus symmetrischer und asymmetrischer Verschlüsselung. Die zu übertragenden Daten werden mit einem geheimen symmetrischen Schlüssel verschlüsselt. Der verwendete Schlüssel wird danach asymmetrisch für alle vorgesehenen Empfänger verschlüsselt [gem08f, 39] und kann sicher übertragen werden. Anschließend können die symmetrisch verschlüsselten Daten verschickt und vom Empfänger entschlüsselt werden. Da nur der symmetrische Schlüssel asymmetrisch verschlüsselt wird, bleibt der Rechenaufwand gering und die eigentlichen Daten können mit dem symmetrischen Schlüssel schnell verschlüsselt werden. Außerdem kann der Schlüsselaustausch sicher über eine PKI ablaufen. Dieses Verfahren wird vielfältig genutzt, z. B. von den Protokollen IPSec, TLS/SSL oder OpenPGP zum Verschlüsseln von s Digitale Signatur Die digitale Signatur ist das elektronische Gegenstück zur handschriftlichen Signatur. Sie bindet (digitale) Dokumente an einen Schlüsselbesitzer, in der Regel eine natürliche oder juristische Person. Die Anforderungen an eine sichere digitale Signatur ergeben sich aus den Eigenschaften der handschriftlichen Signatur. Diese umfassen die Identitäts-, Echtheits-, Abschlussund Warnfunktion [Eck08, 362]. Digitale Signaturen: müssen die Identität des Unterzeichners bestätigen sind nur mit dem Originaldokument gültig und können nicht wiederverwendet werden sind nur gültig, wenn das Dokument nicht nachträglich verändert wurde; Änderungen müssen erkennbar sein 15

34 KAPITEL 2. GRUNDLAGEN dürfen vom Unterzeichner im Nachhinein nicht erfolgreich abgestritten werden [Eck08, 362] In Deutschland werden digitale Signaturen durch das Signaturgesetz und die Signaturverordnung geregelt. Das Gesetz wurde erstmalig am 13. Juni 1997 vom Deutschen Bundestag beschlossen. Eine rechtliche Gleichstellung zur handschriftlichen Signatur erfolgte erst mit der Novellierung des Gesetzes 2001 [BSI06, 3f]. Gesetzlich geregelt sind seitdem drei verschiedene Stufen der elektronischen Signatur: 1. Die (einfache) elektronische Signatur dient der Authentifizierung 2. Die fortgeschrittene elektronische Signatur dient der Authentifizierung, ist ausschließlich dem Unterzeichner zugeordnet, ermöglicht die Identifizierung des Signaturerstellers, ist unter Kontrolle des Unterzeichners erstellt worden und ermöglicht das Erkennen nachträglicher Veränderungen der Daten 3. Die qualifizierte elektronische Signatur verlangt außerdem ein gültiges qualifiziertes Zertifikat und eine sichere Signaturerstellungseinheit [Sig01, 2] Der neue elektronische Heilberufsausweis (HBA) ist beispielsweise mit einer qualifizierten elektronischen Signatur ausgestattet. Ausgegeben werden die Ausweise durch Zertifizierungsdienstanbieter (engl.: Certificate Authority). Die Nutzer tragen die jährlichen Kosten einer solchen Signaturkarte von etwa 100 Euro Zertifizierung und Bewertung von IT-Systemen nach Common Criteria Die Common Criteria (CC) ist ein internationaler Standard um die Sicherheit von informationstechnischen Systemen zu prüfen und bewerten. Die CC basiert auf den Standards und Kriterien aus Europa (ITSEC), den USA (Organge-Book) und Kanada (CTCPEC). Die erste Version der CC wurde 1996 veröffentlicht. Die im Jahr 2006 veröffentlichte CC-Version 2.3 ist als ISO/IEC Standard bekannt. Die zuletzt veröffentlichte Version 3.1 ist noch kein ISO-Standard. In Deutschland delegiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) Prüfaufträge an akkreditierte Dienstleister [Eck08, 211]. Die CC besteht aus drei Teilen. Vereinfacht dargestellt enthält der erste Teil eine Einleitung und eine Übersicht über die Dokumente. Teil 2 beschreibt die Sicherheitsfunktionalitäten und Teil 3 die Vertrauenswürdigkeit eines Systems. Dafür gibt es jeweils verschiedene CC-Funktions- und Vertrauenswürdigkeitsklassen. Die Klassen bestehen aus Familien 16

35 2.2. GRUNDLAGEN DER INFORMATIONSSICHERHEIT von Komponenten. Eine höherwertige Komponente ersetzt die niedrigeren Komponenten der entsprechenden Familie. Die Notation erfolgt anhand der Abkürzungen der Klassen, Familien und Komponentennummer: Klasse_Familie.Komponentennummer Zu den Funktionsklassen gehören: Sicherheitsprotokollierung (FAU), Kommunikation (FCO), Kryptografische Unterstützung (FCS), Schutz der Benutzerdaten (FDP), Identifikation und Authentisierung (FIA), Sicherheitsmanagement (FMT), Privatheit (FPR), Schutz der Sicherheitsfunktionen (FPT), Betriebsmittelnutzung (FRU), Zugriffskontrolle (FTA) und vertrauenswürdiger Pfad/Kanal (FTP) [Com09a]. Die Vertrauenswürdigkeitsklassen bestehen aus: Entwicklung (ADV), Handbücher und Anleitungen (AGD), Lebenszyklus-Unterstützung (ALC), Evaluation (ASE), Tests (ATE) und Schwachstellenbewertung (AVA) [Com09b]. Die Vertrauenswürdigkeitskomponenten sind in sieben Evaluation Assurance Level (EAL) eingeteilt. Für jedes EAL müssen bestimmte Komponenten erfüllt werden. Vereinfacht dargestellt müssen Systeme z. B. für EAL1 funktionell getestet sein; EAL4 benötigt methodische Entwicklung, Tests und Durchsicht; ab EAL5 müssen Systeme (semi-) formal entworfen und getestet werden [BHBS08, 342f]. Für implementierungsunabhängige Anforderungskataloge gibt es CC-Protection Profiles (PPs). Diese Schutzprofile beschreiben in CC-Notation die Anforderungen an die Sicherheit bestimmter Produktgruppen. In Bezug auf die Vertraulichkeit wird ein bestimmtes EAL gefordert. Dies kann um einzelne Komponenten erweitert (augmentiert) werden. Mit der CC existiert ein Standard um die Sicherheit von IT-Systemen zu vergleichen. Für Arztpraxen ist das relevant, weil sie nach 9 BDSG Maßnahmen zum Schutz personenbezogener Daten einsetzen müssen. Werden CC-zertifizierte Produkte eingesetzt, kann die Praxisleitung davon ausgehen, dass die Produkte entsprechend des EAL auf ihre Sicherheit überprüft wurden Abwehr von netzbasierten Angriffen Um netzbasierte Angriffe z. B. aus dem Internet auf das interne Netz zu erschweren, gibt es zwei Strategien, die sich gegenseitig ergänzen. 1. Konfigurationsmanagement (engl. configuration management) beschreibt das Absichern eines Netzes durch organisatorische Maßnahmen. Dazu gehören das regel- 17

36 KAPITEL 2. GRUNDLAGEN mäßige Einspielen von Sicherheitsupdates, die Verwendung von sicheren Passwörtern und eine sichere Konfiguration der IT-Komponente. Nach Anderson lassen sich mit kompetenter Administration und organisatorischer Disziplin neun-einhalb der zehn häufigsten Angriffe abwehren [And01, 374]. 2. Firewalls stehen zwischen zwei Netzteilen und regeln eingehende und ausgehende Verbindungen. Generell wird zwischen drei verschiedenen Arten von Firewalls unterschieden [And01, 375]: a) Packet Filter arbeiten auf dem Internet Protocol (IP)-Level und sind die einfachste Form von Firewalls. Die weiterentwickelten zustandsabhängigen Paket- Filter (engl.: Stateful-Packet-Inspection) erkennen einen Verbindungsaufbau und berücksichtigen Quell- und Zieladressen [Fuh98, 142]. b) Circuit Gateways (auch Proxy-Firewalls genannt) arbeiten auf der Transportschicht (TCP-Session-Level) und sind komplexer als reine Paketfilter. Sie können weitere Funktionalitäten bereitstellen. Ein Virtual Private Network (VPN) verbindet zwei Firewalls über das Internet mit einer verschlüsselten Verbindung. Darüber hinaus können unerwünschte Webseiten oder Newsgroups gefiltert werden [And01, 375]. c) Application Layer Gateways arbeiten auf dem Applikations-Level und sind auch als Proxy bekannt. Sie können bestimmte Anwendungsregeln durchsetzen und z. B. bestimmte -Anhänge, Makros, aktive Web-Elemente und andere unerwünschte Inhalte blockieren. Der Nachteil ist, dass beim Einsatz neuer Software zuerst die Firewallregeln angepasst werden müssen. Dies kann dazu führen, dass die Firewall umgangen wird, z. B. weil der Nutzer eine Kommunikationsverbindung an der Firewall vorbei aufbaut oder weil das Programm seine Kommunikation als meist ungefiltert zulässige HTTP- Kommunikation tarnt. Zusätzlich kann ein Intrusion Detection System (IDS) erfolgreiche Angriffe erkennen und Maßnahmen einleiten. Anti-Viren-Software kann z. B. bösartige Software erkennen. Programme wie Snort 1 sind darauf spezialisiert, Änderungen an systemkritischen Dateien zu erkennen. 1 siehe (Abruf am ) 18

37 2.3. GRUNDLAGEN DER TELEMATIKINFRASTRUKTUR Einsatz in der Praxis Bisher werden die in den vorherigen Abschnitten vorgestellten technischen Maßnahmen in Arztpraxen kaum eingesetzt. Natürlich bestehen vielfältige Möglichkeiten, sich Kryptografie zunutze zu machen, jedoch bedeutet das für die Ärzte unerwünschte Kosten und Mehraufwand. Die Kommunikation erfolgt in der Regel unverschlüsselt, selbst wenn die Praxisverwaltung weitgehend digitalisiert ist und auf Arztpraxen angepasste Lösungen existieren. Dokumente werden nicht digital signiert und sind nicht hinreichend gegen Veränderungen geschützt. Die Bundesärztekammer und die Kassenärztliche Bundesvereinigung haben in ihren Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis [BK08a] dargestellt, wie solche Maßnahmen in der Praxis eingesetzt werden können. In Gesprächen mit verschiedenen Ärzten hat sich jedoch gezeigt, dass die dort beschriebenen Maßnahmen in der Praxis nicht umgesetzt werden, da sie zu umständlich sind oder einen unverhältnismäßigen Mehraufwand bedeuten würden. 2.3 Grundlagen der Telematikinfrastruktur Der Begriff Telematik setzt sich aus Telekommunikation und Informatik zusammen. Als beispielhafte Telematikanwendung können Verkehrsleitsysteme genannt werden, die auf die aktuelle Verkehrslage reagieren. Goetz beschreibt das deutsche Gesundheitssystem als kostspielig und nicht sehr effizient [Goe03]. Mithilfe der Telematik und Informationstechnik soll das deutsche Gesundheitswesen modernisiert werden. Die elektronische Gesundheitskarte und die TI sollen alle Beteiligten des Gesundheitswesens miteinander vernetzen. Die Beteiligten im Gesundheitswesen sind vor allem die sogenannten Leistungserbringer (Ärzte, Krankenhäuser, Apotheken), die Kostenträger (Krankenkassen) und die Patienten. Ziel der TI ist, dass die Akteure auf ein gemeinsames Datennetz zurückgreifen können und so z. B. Versichertenstammdaten (VSD) oder Verordnungsdaten (VOD) online einsehen und verwalten können [gem09]. Kosten könnten eingespart und gleichzeitig die Qualität der Versorgung verbessert werden, so das Bundesministerium für Bildung und Forschung [BMB06, 33]. Dass die elektronische Gesundheitskarte ein politisch wichtiges Projekt ist, zeigt die Hightech-Strategie für Deutschland, in der von dem Leuchtturm elektronische Gesundheitskarte [BMB06, 33] die Rede ist. Die Gesellschaft für Telematikanwendungen der Gesundheitskarte mbh (GEMATIK) wurde 2005 gegründet, um die TI für die elektronische Gesundheitskarte zu entwickeln 19

38 KAPITEL 2. GRUNDLAGEN und zu betreuen. Die GEMATIK ist die Nachfolgegesellschaft des Industriekonsortiums bit4health, das aus IBM Deutschland, dem Fraunhofer-Institut für Arbeitswirtschaft und Organisation, SAP Deutschland, InterComponentWare und ORGA Kartensysteme bestand Aufbau der Infrastruktur Die TI lässt sich in dezentrale und zentrale Komponenten unterteilen. Die in den Arztpraxen, Apotheken und Krankenhäusern eingesetzten Chipkarten, Kartenterminals und Konnektoren gehören zu den dezentralen Komponenten. Die im Auftrag der GEMATIK betriebenen Server und Dienste gehören zu den zentralen Komponenten. Darüber hinaus sind Mehrwertdienste außerhalb der zentralen TI möglich (siehe Abschnitt ). Ein Überblick über die TI (Release 2) ist auf Abbildung 2.1 zu sehen. Abbildung 2.1.: Überblick über die Telematikinfrastruktur (Release 2) Die von den Leistungserbringern eingesetzten Softwaresysteme werden als Primärsysteme bezeichnet. Ärzte verwalten mit ihrem PVS die Daten ihrer Patienten. Für Apotheken und Krankenhäuser gibt es analog dazu Apothekenverwaltungssysteme (AVS) und Krankenhausinformationssysteme (KIS). Die Primärsysteme der Leistungserbringer greifen über dezentrale Telematikkomponente (u.a. Chipkarten, Lesegeräte und Konnektoren) auf die Daten und Dienste der TI zu. Der Konnektor baut ein VPN zu dem VPN- Konzentrator in der TI auf. Dort vermittelt der Broker die Anfragen an die jeweiligen 20

39 2.3. GRUNDLAGEN DER TELEMATIKINFRASTRUKTUR Fachdienste, z. B. an den Versichertenstammdatendienst (VSDD) (siehe Abschnitt 2.3.3). Die Kommunikation zwischen dem Konnektor und der TI wird mittels Simple Object Access Protocol (SOAP) durchgeführt [gem07a, 16]. SOAP ist ein Protokoll zum Austausch von strukturierten Daten über Web Services [W3C04]. Zugriffe auf Anwendungen der Gesundheitstelematik werden mit der elektronischen Gesundheitskarte (egk), dem elektronischen Heilberufsausweis (HBA), dem Berufsausweis (BA) und ggf. den Sicherheitsmodulkarten (SMC-A und SMC-B) autorisiert. Die Chipkarten gehören ebenfalls zu den dezentralen Komponenten der TI Ausbaustufen Die TI soll die medizinischen Daten sämtlicher Bundesbürger speichern und deren Verwaltung verbessern. Das Vorhaben ist sehr komplex und soll daher schrittweise umgesetzt werden. Die Einführung der elektronischen Gesundheitskarte ist in vier Stufen (Release 0-3) und verschiedene Funktionsabschnitte (FA) unterteilt (siehe Abbildung 2.2). Release 0 (Basis-Rollout) beinhaltet die neuen Versichertenkarten mit Lichtbild. Aufseiten der Leistungserbringer werden neue Kartenlesegeräte benötigt. Die Geräte werden herkömmlich direkt an Computer des Primärsystems (z. B. das PVS) angeschlossen. Release 1 bringt die Notfalldaten und Rezepte (VOD) auf die Karte und den Konnektor ohne Onlineanbindung. Mit Release 1 übernehmen die Konnektoren die Koordination der Lesegeräte im LAN. Release 2 beinhaltet Konnektoren mit Onlineanbindung und ermöglicht den Abgleich der VSD. In einem fortgeschrittenen Funktionsabschnitt sollen dann auch die Rezepte online gespeichert werden. Release 3 soll schließlich die Notfalldaten und die Arzneimitteltherapiesicherheit (AMTS) online bringen. Ab diesem Zeitpunkt ist ein Rechtemanagement (AdV) vorgesehen, mit dem die Patienten festlegen können, wer auf die gespeicherten Daten zugreifen kann. Zu einem späteren Zeitpunkt soll noch die epa folgen. Ursprünglich war das Release 0 nicht in der Planung enthalten. Da das Release 1 aber mehrfach verschoben wurde, ist schließlich der Basis-Rollout (Release 0) hinzugekommen. 21

40 KAPITEL 2. GRUNDLAGEN Abbildung 2.2.: Übersicht der Release- und Funktionsabschnitte [gem08b, 35] Telematikanwendungen Die Telematikanwendungen, auch Fachdienste genannt, werden unterteilt in die Pflichtanwendungen, die freiwilligen Anwendungen und die Mehrwertdienste Pflichtanwendungen Zu den Pflichtanwendungen nach 291a Abs. 2 SGB V zählen Rezepte (VOD) und die administrativen Daten (VSD). Daraus ergeben sich zwei Dienste: VSDD: Der VSDD ermöglicht eine regelmäßige Überprüfung und ggf. eine Aktualisierung der VSD. So kann z. B. der Versicherungsstatus überprüft oder eine Adressänderung übernommen werden. Verordnungsdatendienst (VODD): Mit der elektronischen Gesundheitskarte sollen ärztliche Verordnungen in elektronischer und maschinell verwertbarer Form [gem08b, 31] ermöglicht werden. Elektronische Verordnungen können entweder in begrenzter Anzahl auf der egk gespeichert werden oder aber auf einem Server in der TI. Die GEMATIK betont, dass den Patienten mit der elektronischen Gesundheitskarte keine Nachteile gegenüber der aktuellen Situation ohne elektronische Gesundheitskarte entste- 22