Nebenprodukte der en Gesundheitstelematik-lattform: die Druckluft-Kugelschreiber und Teflonpfannen der gematik rof. Dr. Markus Gumbel Institut für Medizinische Informatik Übersicht -rojekt: Architektur und Funktionsweise Neue Technologien mit Schwerpunkt Ticket-Konzept Application-Domain-Separation im Diskussion & Ausblick 2 -rojekt Integration verschiedenster Technologien Hardwarenah (s, hipkarten, ) Service-Oriented-Architecture ublic-key-infrastructure Breite öffentliche Diskussion, v.a. über Sicherheit, z.b. http://www.egk-kritik.info http://www.diekrankheitskarte.de http://www.e-card-nein-danke.de Kosten und Nutzen Wirtschaftlicher Nutzen umstritten Technologien in anderen Bereichen einsetzbar? Gibt es e Technologien? Verlauf Nutzen 5 Jahre Min. -1,1 Erwartet -0,8 Max. 0,1 10 Jahre Min. -2,0 Erwartet 0,5 Max. 9,0 Investitions- und Betriebskosten in Milliarden Euro 1 1 Quelle: Bernnat, Rainer: Endbericht zur Kosten-Nutzen-Analyse der Einrichtung einer Telematik-Infrastruktur im deutschen Gesundheitswesen. 2006 3 4
Architektur-Überblick (nicht vollständig) Datenobjekt wird erstellt Asthma verwaltung - %d#5y Asthma Asthma VN Datenobjekt wird mit signiert und mit verschlüsselt Datenobjekt wird mit entschlüsselt %d#5y ea Verschlüsseltes Datenobjekt Was ist? SIT; IN ard-to- ard verwaltung SM M - VN ISec- und TLS- VN- ea 5 6 hipkarten, s und Netzwerk Smart-ards Detaillierte Zugriffsrechte für Dateisystem ard-to-ard-authentifizierung s: Netzwerkfähig Virtual rivate Network (VN) Standard -Industrie-Komponenten Std. Interoperabilitätsprobleme Skalierungsprobleme Hardware-Identität als Zertifikate Was ist? (2) SIT; IN ard-to- ard verwaltung SM M - VN gematik- rotokoll (SOA + Erweiterungen) ISec- und TLS- VN- ea 7 8
gematik-rotokoll auch: Telematik-Details (TTD) Adressierung des s + Operation über Authentifizierung der Akteure (bzw. des s) mit Hilfe von XML-Signaturen Identifikation des Eigentümers der Daten alt. Std. Transport von Tickets bzw. Schlüsseln zum Ver- und Entschlüsseln der medizinischen Daten und zum Management der Zugriffsrechte Was ist? (3) SIT; IN ard-to- ard verwaltung SM M - VN gematik- rotokoll (SOA + Erweiterungen) ISec- und TLS- VN- ea Serverseitiges Ticket- System 9 10 Ticket-Konzept Erstellen eines sicheren Dokuments Ende-zu-Ende-Sicherheit & pro Fachdienst (= nur ) Daten sind BLOB keine Datenbankabfrage etc. möglich Weniger als Fraunhofer- Ticket-Konzept: kein virtuelles Dateisystem Idee aus Kerberos entnommen übergibt Ticket Bob Alice Ticket Ich bin vertraulich. gewährt Zugriff harlie pro 1. Dokument wird mit Dokument generiertem symmetrischen Schlüssel (SK) verschlüsselt 2. SK wird asymmetrisch für alle autorisierte ersonen verschlüsselt 3. Dies wird mit einer ID gespeichert Ich bin vertraulich. AB 0D ID: 001 AB 0D Bob (u.) harlie (u.) Xhdug Xhdug Hx$d k4bf Hx$d k4bf Folie 11 Folie 12
Zugriff auf ein sicheres Dokument 1. Bob erhält verschl. Dokument und verschl. SK 2. Er entschlüsselt SK mit privaten Schlüssel 3. Dokument wird symmetrisch mit SK entschlüsselt ID: 001 Xhdug Xhdug AB 0D Hx$d Hx$d Bob (r.) AB 0D Was ist? (4) SIT; IN ard-to- ard verwaltung SM M 1) Sichere sowie 2) nachladbare Module Ich bin vertraulich. - VN gematik- rotokoll (SOA + Erweiterungen) ISec- und TLS- VN- ea Serverseitiges Ticket- System Folie 13 14 -Anwendungen Application Domain Separation Zwei Arten von Anwendungen Wie isolieren wir die Anwendungsdomänen? Must-have (und hochsicher) nachladbare (Mehrwertanwendungen bzw. Management) Wiederverwendbarkeit (3rd party) Komponenten Widerspruch 1 2 3 4 ommon-riteria-zertifizierung benötigt ein minimales und starres, aber zumindest isoliertes System Mehrwertanwendungen bedingen Installation von potenziell gefährlicher Software OS-Ebene (z.b. virtuelles OS) rocess-ebene (verschiedene native Anwendungen) Komponenten-Ebene (innerhalb einer Java Virtual Machine) Ressourcen-freundlich Weniger komplex und einfacher zu warten Anpassung an Applikations-Server 1 2 3 4 15 16
Neues Sicherheitskonzept für Komponenten http://de.wikipedia.org/w/index.php? title=datei:astronaut-eva.jpg& filetimestamp=20050507194037 Standard-JavaSecurity + Erweiterungen Quelle: leicht modifiziert nach lay Bennett: http://www.claybennett.com/pages2/security.html http://de.wikipedia.org/w/index.php?title=datei:100_0783.jg &filetimestamp=20050906222905 Unter Java: OSGi http://de.wikipedia.org/w/index.php? title=datei:macro_biro_tip.jpg& filetimestamp=20061127105907 Urheber: Daniel Schwen Diskussion 17 Diskussion & Ausblick 18 Diskussion & Ausblick (Forts.) Einzigartig: Komplexität & Sicherheitsaspekte Beweisbarkeit der Sicherheit auch hier nicht möglich. ommon-ritieria-zertifizierung immer noch eine Kunst Herkunft der Technologien wenig transparent: kaum Quellenangaben in gematik-dokumenten Anwendbarkeit für andere Länder? Fraglich. Implementierungshinweise im Anforderungsdokument ( 291a): z.b. USB-Token als Alternative verbaut Zusammenspiel der Komponenten: Wo sollte idealerweise welche Funktion sein? Wenige medizinische Aspekte Application-Domain-Separation in MedizintechnikGeräten 19 20
Vielen Dank! m.gumbel@hs-mannheim.de http://www.mi.hs-mannheim.de/gumbel 21