18. ITG/VDE Fachtagung Mobilkommunikation (Mobilkomtagung), 15-16 May 2013, Osnabrück, Germany; ITG-Fachbericht No 242, VDE-Verlag Berlin, ISBN 978-3-8007-3516-7, ISSN 0932-6022, pp. 108-113 Aktiver Schutz von Patientendaten in mobilen e-health Clouds Stefan Covaci, Tom Pfeifer, Technische Universität Berlin Armin Schneider, Technische Universität München Thomas Jell, Siemens AG {stefan.covaci tom.pfeifer}@tu-berlin.de armin.schneider@tum.de thomas.jell@siemens.com Kurzfassung Die Experimente zur Verlagerung von sensiblen Patientendaten in cloudbasierte Lösungen und ihre Nutzung in mobilen Anwendungen stießen in den letzten Jahren auf berechtigte Skepsis bei Betroffenen und Behörden, da Bedenken der langfristig sicheren Aufbewahrung sowie geschützten Kommunikation in den ersten Konzepten nicht ausgeräumt werden konnten. Dieser Artikel stellt einen neuen Ansatz der "hybriden" Cloud vor, der die Vorteile der zentralen Verteilung und Wartung anwendungsorientierter Software ermöglicht, die Patientendaten selbst aber in zugelassenen und geschützten Bereichen belässt. Der Ansatz geht einher mit einem innovativen, modularen Softwarekonzept basierend auf "Generic Enablers" und wird derzeit in sieben klinischen Feldversuchen in sieben europäischen Ländern getestet. Themen: Sicherheit und Privatsphäre in Mobile Cloud Computing, Dienste und Diensteplattformen, Mobile Anwendungen 1 Einführung In den letzten Jahren hatten Gesundheitsbehörden und Technologieanbieter öffentliche Cloud-Lösungen als zu unsicher erachtet in Bezug auf Datenschutz und Vertraulichkeit für Lösungen der elektronischen Gesundheitsunterstützung (e-health). Aus diesem Grund ist die allgemeine Begeisterung um Cloud-Technologien nicht unmittelbar auf das Gesundheitswesen übergegangen. So hat Google Health die Forschung in dem Bereich bereits eingestellt und Microsoft Health Vault hat den Fokus der Forschung auf den "einfacheren" Markt des Ambient Assisted Living gesetzt. Damit verteilte Patientendaten, insbesondere für mobile Anwendungen, sowohl gemanagt als auch genutzt werden können, müssen Technologien wie "Platform as a Service" oder "Software as a Service" eingesetzt werden. Das erfordert neu durchdachte Ansätze und Modelle, um die globalen Märkte der Gesundheitsfürsorge zu durchdringen und neu zu stimulieren. Bereits im EC Cloud Report von 2010 [1] wurde der "umgekehrte Cloud-Ansatz" diskutiert die Möglichkeit, Daten nicht mehr zur Cloud zu senden, sondern den Daten die passende Software zukommen zu lassen. Diesen Gedanken voranzutreiben lohnt, auch unter dem Aspekt der Erkenntnis, dass die gesamte Datenmenge schneller als die verfügbare Bandbreite wächst. Insbesondere bei Einbeziehung der Kommunikation im Internet der Dinge [12] wird diese Lücke schnell größer. Daher bringt der Ansatz "Software zu den Daten" weitere Vorteile bei Problemen in den Bereichen Quality of Service und der Sicherheit. Dieser Artikel beschäftigt sich, im Kontext des Gesundheitswesens, mit der Architektur von Software für "Software-to-Data"-Paradigmen, mit besonderem Blickwinkel auf die Sicherheit der Patientendaten bei mobilen Anwendungen. Das hier genutzte Modell der "Service-Oriented-Architectures" (SOA) basiert auf der "Future Internet Core Platform", einem innovativen Konzept, welches aktuell von Projekten im European 7th Framework bereitgestellt wird [2], und das in Feldversuchen in sieben europäischen Kliniken derzeit validiert wird [5]. Angesichts eines rapiden progressiven Wandels des Fürsorge-Modells, in dem ursprünglich Krankenhäuser und Fachärzte im Mittelpunkt standen, hin zu verteilten, patientenzentrierten Ansätzen, gab es zunächst große Hoffnungen, dass die öffentlichen Cloud-Technologien das Management der Patientendaten effektiver und effizienter machen könnten, um so signifikante Ressourcen einzusparen [3]. Die Vision, eine öffentliche Cloud zu nutzen, um damit den Zugriff auf die Gesundheitsdaten, ihre Integration und Administration, jederzeit, überall und egal womit zu ermöglichen, war so überzeugend und real, dass selbst erfahrene Experten die Komplexität falsch eingeschätzt haben [6][7]. In diesem Artikel werden wir nachfolgend den grundlegenden Ansatz der hybriden Cloud-Architekturen diskutieren. Es folgen Details zur Mobilitätsunterstützung durch Generic Enablers und die funktionale
Architektur im Projekt. Anschließend gibt es einen Ausblick auf die aktuellen Feldversuche und werden Schlussfolgerungen gezogen. 2 Hybride Cloud-Architekturen Basierend auf der generellen Fi-Ware-Architektur [2] implementiert das Fi-Star-Projekt [5] eine Hybride Cloud-Architektur für das Software-zu-den-Daten Paradigma in künftigen e-health-konfigurationen. Sie trennt eine "Public Cloud" von der "Private Cloud", wie in Abbildung 1 dargestellt. Die Public Cloud beinhaltet die "Provider Edge" und stellt die Kapazitäten zur Verteilung von Software bereit, die dem Service-Prinzip entsprechend für medizinische Anwendungen zertifiziert ist und mit Software-Updates über den gesamten Lebenszyklus des Systems aktuell gehalten wird. Hier werden auch die Dienste zur Lizenzierung, zur Abrechnung und zur Verwaltung der Generic Enablers (GEs) bereitgestellt. GEs sind ein Kernkonzept von Fi-Ware, sie kapseln spezielle Funktionalitäten für unterschiedlichste Anwendungsfälle mit wohldefinierten Interfaces. Die Private Cloud beinhaltet die "Consumer Edge", die auf Service-orientierten Architekturen (SOA) läuft (z.b. OpenNebula, Eukalyptus). Standardisierte OCCI-Interfaces verbinden die Consumer Edge mit der SOA. Der Download von generischen und nutzungsspezifischen Enablern und Diensten ist der einzige Kontakt punkt zwischen der Public und der Private Cloud. Ebenso besteht ein einziger Kontaktpunkt zwischen der Consumer Edge und den lokalen IT-Systemen der Nutzer vor Ort, seien dies Kliniksysteme oder mobile am Patienten getragene Geräte mit Sensorik und ggf. Aktorik. Die Interaktion zwischen der Public und der Private Cloud in diesem hybriden Ansatz verbietet und verhindert das Übermitteln von Patientendaten in Bereiche, die nicht von der Klinik oder dem Patienten kontrolliert werden können und beseitigt das Grundproblem der früheren, Single-Cloud-basierten Versuche. Die Private Cloud erlaubt die Nutzung existierender Sicherheitseinrichtungen, z.b. Klinik-Firewalls und Zugangsbeschränkungen, die bereits von den örtlichen Behörden zugelassen wurden, und demnach als rechtssicher angesehen werden können. 3 Mobilitätsunterstützung durch Generic Enablers Fi-Star adaptiert und erweitert das Konzept der Generic Enablers (GE) von Fi-Ware [2]. Diese GEs werden
Beispielhaft seien die Netzwerk/Geräte-Interfaces genannt, die mobile Konnektivität über heterogene Zugangs- und Core-Netzwerke (wie WiFi 802.11, UMTS, LTE) bereitstellen; oder die Enabler für einzelne Komponenten des Internets der Dinge, die Gateways für unterschiedlichste Sensoren und Aktoren anbieten, die sich z.b. auch am oder im Patienten befinden können, und Maschine-zu-Maschine-Kommunikation unterstützen. GEs verfügen über eine offene Spezifikation, die typischerweise die folgenden Punkte umfasst [8]: Beschreibung des Anwendungsbereichs, des Verhaltens und der beabsichtigten Nutzung des GEs, die Terminologie, Definitionen und Acronyme zur Klärung der exakten Bedeutung der Spezifikation, die Signatur und das Verhalten, welche mit den APIs (Application Programming Interfaces) verbunden sind, die dieser GE exportieren soll, Anwendungsentwickler erhalten zu den GEs Kataloginformationen [9], welche die offene Spezifikation, die Referenzimplementierungen (API, Interfaces, Quellcode, Binärdateien, usw.), die Kunden der Referenzimplementierungen, die Handbücher und weitere Entwicklerinformationen umfassen. Zusätzlich enthält dieser Katalog Verweise auf die Instantiierungen, in denen die GEs eingesetzt wurden. Exemplarisch seien hier die GEs für Interfaces zu Netzwerken und Geräten (Interface to Networks and Devices I2ND) genannt, die eine Schlüsselrolle spielen, wenn es darum geht, "Intelligente Konnektivität" zu heterogenen Netzwerkressourcen zu ermöglichen, anstatt nur weitere Schichten darüber zu implementieren ("over the top"). Die allgemeine Architektur der I2ND-Enabler adressiert vier verschiedene Interfaceklassen [8], verbunde ne Endgeräte, Cloud proxies als Interfaces zu Gateways, offene Netzwerkfunktionen und Netzwerkdiens te, die von Netzoperatoren angeboten werden. Die Architektur folgt hierbei dem aus dem "IPsphere"-Projekt stammenden 3-Strata-Modell des Telemanagement Forums (TMF) [10], [11].
4 Funktionale Architektur Das Zusammenwirken der GEs in der funktionalen Architektur des Fi-Star-Projekts [5] mit Service-Lieferanten (Service Providers, SP) und Service-Abnehmern (Service Consumers, SC) ist aus Abbildung 2 ersichtlich. Die Begrifflichkeiten folgen hier den ehealth-anforderungen. Die Architektur berücksichtigt außerdem die Anforderung, dass Softwareelemente durch die Public Cloud geliefert und gewartet werden, während der Service Layer eine Instantiierung der Private Cloud darstellt, skaliert entsprechend den lokalen Anforderungen und betrieben auf lokaler Infrastruktur. Abbildung 3 zeigt schließlich die funktionale Architektur der Hybriden Cloud selbst, mit dem kompletten Management des Lebenszyklus der angebotenen Anwendungen (Application Lifecycle Management, ALM). Man beachte die jeweilige Zuordnung der Phasen zu den Plattformen der Service Providers, SP, und der Service Consumers, SC. 6 Feldversuche Die Nutzbarkeit des Konzeptes der Hybriden Cloud und der Generic Enablers wird derzeit in sieben Feldversuchen, in sieben unterschiedlichen e-health-szenarios, in sieben verschiedenen EU-Ländern, mit sehr heterogenen Anforderungsprofilen untersucht, davon sechs im klinischen Umfeld und einer in der pharmazeutischen Industrie: 1. Osakidetza ist der wichtigste öffentliche Gesundheitsdienstleister im Baskenland. Er beabsichtigt, die Fi-Star-Technologie zur Unterstützung von psychisch kranken Patienten durch Telemedizin einzusetzen. Insbesondere soll die Effektivität telemedizinischer Ansätze bei psychisch kranken Patienten untersucht werden, insbesondere die psychologische Behandlung und psychische Erziehung und Kommunikation über das Internet, mit Desktops, Laptops, Smartphones und Tabletcomputern als Endgeräte. 2. Medichem Pharmacy in UK untersucht die Zuverlässigkeit der Anwendung von 2D-Barcodes (QR-Codes) auf pharmazeutischen und medizinischen Verpackungen zur Identifizierung der Originalpräparate und zur Erkennung von möglicherweise gesundheitsschädlichen Fälschungen. Diese würden auch Herstellern beim selektiven Rückruf bestimmter Chargen helfen, sowie dem Patienten erlauben, das richtige Präparat in der richtigen Dosis zum richtigen Zeitpunkt einzunehmen. Der Ansatz wird unterstützt durch die gute Verfügbarkeit von QR-Code-Lesern als
Smartphone-App. Der Ansatz findet Unterstützung in den nationalen Standardisierungsbehörden und dem National Health Service (NHS). 3. 4. 5. 6. von Nord-Norwegen (UNN) mit weiteren Partnern patientenbeteiligte Forschungen zur Entwicklung von mobilen Hilfsmitteln für Diabetispatienten. Sie sollen insbesondere in ländlichen Gegenden mit großen Entfernungen den Zugang zu Experten erleichtern. Im Kontext des Fi-Star-Projektes werden insbesondere zwei erweiterte Smartphone-Anwendungen getestet, die einerseits der langzeitlichen Selbstkontrolle zum Blutzuckermanagement dienen (mittels des "2in1 SMART" Glukose-Sensors, einschliesslich Management der Ernährung und Medikamentierung), andererseits eine Hilfestellung zur Kontrolle und Steuerung der persönlichen Stressfaktoren geben, indem kontextuelle und verhaltensbezogene Muster analysiert werden. Das Klinikum rechts der Isar, München, Deutschland, als Universitätskrankenhaus der TU München, testet elektronische Unterstützung minimal-invasiver chirurgischer Eingriffe. Diese Unterstützung reicht von der Positionserkennung von Mitgliedern des Operationsteams über die Kontrolle von Verbrauchsmaterialen bis zur Sicherstellung, dass keine Utensilien im Patienten verbleiben. Hierzu werden Objekte mit RFID-Tags ausgestattet, die über eine entsprechende Infrastruktur von Lesern lokalisiert werden können. Besonderes Interesse besteht in der Integration bereits vorhandener Strukturen in ein umfassenderes Rahmenwerk von Kommunikationstechnologien. Das Krankenhaus John Paul II Hospital in Krakau im südlichen Polen betreibt ein Zentrum zur Rehabilitation onkologischer Patienten. Die Rehabilitation wird durch telediagnostische Ansätze, mit der Fernüberwachung von Vitaldaten mit mobiler Sensorik (EKG, Pulsoxymeter, Blutdruck), der TeleKonsultation und einem Wissensportal für Patienten unterstützt. Viele dieser Komponenten fokussieren auf Applikationen auf dem Smartphone des Patienten. Das rumänische Zentrum für kardiologische Rehabilitation der Carol-Devila-Universität für Medizin und Pharmazie in Bukarest untersucht ein Rehabilitationsszenario mit einer großen Bandbreite diagnostischer Mittel zur Unterstützung stationärer und ambulanter Patienten. Diese tragen ein multisensorisches Diagnosegerät am Handgelenk, dass Herzfrequenz, oxymetrische Daten, Körpertemperatur und mit anschließbaren Zusatzsensoren Blutdruck und EKG erfasst. Es misst insbesondere auch Umgebungsparameter (Temperatur, Luftfeuchtigkeit, Licht) sowie Bewegungsmuster mittels Beschleunigungssensoren, kann ebenso die Lokation feststellen und kommuniziert drahtlos mit einem Smartphone oder Tabletcomputer. Letzterer wird auch genutzt, um dem Patienten informative Videofilme über Herzerkrankungen, Rehabilitationsprogramme und Vorbeugemaßnahmen anzubieten. Die genannte Sensorik kann sportliche Rehabilitationsübungen unterstützen sowie in kritischen Situationen Alarme auslösen. In der kleinen Stadt Tromsø, im hohen Norden Norwegens, betreiben das Norwegische Zentrum für integrierte Pflege und Telemedizin (NST) und das Universitätskrankenhaus 7. CUP 2000 S.p.A. mit Sitz in der norditalienischen Region Emilia-Romagna ist der nationale Marktführer auf dem Gebiet der ehealth-anwendungen im Internet. Im SOLEProjekt managt die Firma 75 Millionen gesundheitsbezogene Dokumente und ermöglicht deren Austausch zwischen Allgemeinmedizinern, Spezialisten, Krankenhäusern und Apotheken. Im Fi-Star-Projekt werden insbesondere die Anforderungen pneumologischer Patienten untersucht, die an chronisch obstruktiven Lungen-erkrankungen leiden. Die ethischen Anforderungen der Arbeit mit Patientendaten in der Forschung werden in allen Fällen berücksichtigt und im Projekt durch spezielle Arbeitsgruppen überwacht. 7 Schlußfolgerungen Der Artikel präsentiert die Anwendung eines neuartigen Hybrid-Cloud-Konzeptes im Bereich der elektronischen Gesundheitsunterstützung mit besonderer Ausrichtung auf die Einbindung mobiler Endgeräte. Die zweiteilige Architektur vermeidet den ungeschützten Austausch sensibler Patientendaten über das Internet und ermöglicht den Transfer der Anwendung zu den Daten. Dieser Ansatz wird den gegenwärtigen Stillstand in der Vernetzung medizinischer Systeme überwinden helfen und lässt sich auf andere Bereiche sensibler Informationen, sei es in der Verteidigungsindustrie, der elektronischen Verwaltung, der Rechtspflege, usw., übertragen. Die Ergebnisse dieses Artikels wurden zu Teilen ermöglicht durch die Fördermittel im EU-FP7-Projekt Fi-Star (604691).
8 Literatur [1] Schubert L, Jeffery K, Neidecker-Lutz B (2010) The Future of Cloud Computing Opportunities for European cloud computing beyond 2010, European Commission, http://cordis.europa.eu/fp7/ict/ssai/docs/cloudreport-final.pdf [2] EU FP7 FI-Ware Project, http://www.fi-ware.eu [3] Thuemmler C, Fan L, Buchanan W, Lo O, Ekonomou E, Khedim S (2012), E-Health: Chances and Challenges of Distributed, Service oriented Architectures, Journal of Cyber Security and Mobility, Vol 1, No.1, January 2012 [4] Pfeifer, T., Malone, P: Digital Ecosystem for Cross-domain Context Sensing and Trading, 32th IEEE LCN 2007, Dublin, October 15-18 [5] Fi-STAR: Future Internet Social and Technological Alignment Research (2012), http://www.fi-star.eu [6] http://googleblog.blogspot.co.uk/2011/06/update -on-google-health-and- google.html [7] http://www.microsoft.com/engb/healthvault/default.aspx [8] Fi-Ware Media Wiki, http://forge.fiware.eu/plugins/mediawiki/wiki/fiware/index.ph p/main_page [9] Fi-Ware Catalogue, http://catalogue.fi-ware.eu/ [10] Telemanagement Forum (TMF) http://www.tmforum.org/ [11] Einsiedler, H., et al.: Opinion Paper on Mobility and Quality of Experience in an IPsphere Environment, Deutsche Telekom Laboratories, Berlin, 2009 http://www.laboratories.telekom.com/public/deu tsch/publikationen/documents/white_paper_no_ 02.pdf [12] Pfeifer, T.: The Internet of Things. A White Paper, July 2012. http://www.tom-pfeifer.name/ academic/publish/internet_of_things_white_pa per_pfeifer.pdf Reference added after proceedings publication: [13] Thuemmler C, Mueller J., Covaci S., Magedanz T, de Panfilis S, Jell T and Gavras A: Applying the Software-to-Data Paradigm in Next Generation E-Health Hybrid Clouds (2013), Proc 10th International Conference on Information Technology ITNG, IEEE Computer Society, ISBN 978-0-7695-4967-5