GMDS 99

Sicherheit für ein medizinisches Kompetenznetz

Klaus Pommerening
Institut für Medizinische Statistik und Dokumentation
der Johannes-Gutenberg-Universität Mainz

Beim Aufbau von »Gesundheitsplattformen« und Kompetenznetzen sind die besonders hohen Anforderungen an Datenschutz und IT-Sicherheit in der Medizin zu berücksichtigen: Ärztliche Schweigepflicht und Datenschutzgesetze gestatten die Weitergabe von Patientendaten nur im direkten Behandlungszusammenhang; Patienten dürfen keinen Schaden durch fehlerhafte Informationen und Prozeduren erleiden [1]. Eines der Fachgebiete, in denen derzeit ein Kompetenznetz im Rahmen des MedNet-Projektes aufgebaut wird, ist die Pädiatrische Onkologie und Hämatologie.

Struktur des Kompetenznetzes

Ein medizinisches Kompetenznetz besteht aus drei Teilbereichen, die sich teilweise überlappen.

Ein Versorgungsnetz dient der verteilten Versorgung (»Shared Care«). Übermittelt werden Patientendaten, Befunde, Leistungsanforderungen, Abrechnungsdaten zwischen Krankenhäusern, niedergelassenen Ärzten, Verbänden und Kostenträgern sowie auch krankenhausintern.

Ein Studiennetz dient der Kommunikation der Teilnehmer von Therapiestudien. Die Informationsflüsse bestehen zum wesentlichen Teil aus patientenbezogener Therapie-Dokumentation und Rückmeldungen zwischen teilnehmenden Kliniken und Ärzten, Studienzentralen und Referenzzentren (Pathologie, Labordiagnostik, Radiologie). Die Referenzzentren bieten auch Bild- und Materialdatenbanken an. Unterstützt wird der Informationsfluß durch Remote Data Entry zu Studienzentralen und einen Wissensserver. Hier werden u. a. die Texte der Studienprotokolle für Studienteilnehmer vorgehalten. Außerdem wird Software [2] zur Unterstützung der Dokumentation und der Therapie sowie studienspezifische Module und Wissensobjekte angeboten. Weiterhin gibt es Diskussionsforen für Teilnehmer der Studien, in der Regel in geschlossenen Benutzergruppen.

Während Studiennetze nur für einen geschlossenen Teilnehmerkreis vorgesehen sind, wird durch ein Informationsnetz die Öffentlichkeit angesprochen. Ziel ist die Bereitstellung von Fortbildungsmaterial, diagnostischen Hinweisen, Therapie- und Nachsorge-Empfehlungen sowie Informationen für Patienten und deren Angehörige. Angeboten werden auch aktuelle Forschungsergebnisse sowie ein offenes Diskussionsforum mit der Möglichkeit der Expertenbefragung.

Ein Kompetenznetz ist die Summe dieser drei Teilbereiche für ein medizinisches Fachgebiet: Versorgungsnetz und Studiennetz als horizontale Strukturen, Informationsnetz als vertikale Struktur.

Sicherheitsanforderungen

Zur Modellierung des Sicherheitsbedarfs sind Informationen, Teilnehmer und Sicherheitsziele sinnvoll zu gruppieren und klassifizieren.

Objekte und ihr Schutzbedarf

Das Sicherheitsmodell des Kompetenznetzes enthält die folgenden Klassen von Informationsobjekten:

Subjekte und ihre Rechte

Subjekte werden nach Institutionen und Personen, Rollen und Gruppen unterschieden. Dem geschlossenen Netz gehören an:

Ferner gibt es die beiden offenen Teilnehmergruppen niedergelassene Ärzte, Patienten und ihre Angehörigen. Aus diesen Angaben läßt sich eine rollenbasierte Zugriffsmatrix erstellen unter Berücksichtigung von [3]. Die Zuordnung von Personen zu Gruppen und Rollen kann sinnvoll nur dezentral von den jeweiligen Institutionen vorgenommen werden.

Sicherheitsziele

Lösungsansätze

Die Umsetzung der Sicherheitsanforderungen ist vom Prinzip her klar: Die Vertraulichkeit der Übertragung wird durch kryptographische Verschlüsselung gewährleistet, die Authentizität und Verbindlichkeit von Daten und Informationen durch digitale Signatur. Der Zugriffsschutz wird durch starke Authentisierung, rollenbasierte Zugriffsregelungen sowie durch nicht manipulierbare Protokollierung der Zugriffe verwirklicht. Ein Trustcenter muss die benötigte Infrastruktur für das Schlüssel- und Rechtemanagement anbieten. Die praktischen und organisatorischen Probleme der Umsetzung sind aber erheblich. Vorhandene kryptographische Protokolle und sicherheitstechnische Komponenten sind zu einem verlässlichen verteilten Informationssystem zu verschmelzen. Die medizinischen Kommunikationsstandards bieten keine Sicherheitsvorkehrungen; solche müssen also zusätzlich eingerichtet werden. Wichtig ist die einfache Bedienbarkeit für die Nutzer. Die Bereitstellung dieser Infrastruktur ist Aufgabe der Telematikplattform für die medizinische Forschung (TMF). Passende kommerzielle Angebote sind noch nicht in Sicht.

Zur Realisierung der nötigen Sicherheitsfunktionen sind vorläufig die Softwarepakete PGP und SSL am besten geeignet, natürlich in der internationalen Version mit starker Verschlüsselung. Für benutzerbezogene Kommunikation wird PGP verwendet. Die HTML-basierte Client-Server-Kommunikation verwendet SSL; hier werden Tickets in Form von Cookies ausgegeben. Für die digitale Signatur von HTML-Dokumenten gibt es noch keinen anerkannten Standard; daher ist ein Verfahren wie PGP-HTML anzuwenden. Für die Schlüsselspeicherung wird sobald möglich die Health Professional Card verwendet.

Im einzelnen werden folgende Maßnahmen eingesetzt:

Die Authentisierung erfolgt am lokalen System mit dem gewöhnlichen Paßwortverfahren. Die Health Professional Card wird die Umstellung auf starke Authentisierung ermöglichen. Rechteverwaltung und -zuteilung erfolgt über Zertifikate und Tickets analog zu dem in [4] beschriebenen Verfahren. Mehrfaches Login auf verschiedenen Servern ist zu vermeiden. Server und Klienten authentisieren sich gegenseitig mit dem in SSL verfügbaren Verfahren. Verschlüsselt und digital signiert wird auf der Anwendungs- bzw. Endbenutzerebene. Das ist nur sicher, wenn sich die Kommunikationsendpunkte in einer vertrauenswürdigen Umgebung befinden. Die Manipulation von Anwendungssoftware wird durch die Verwendung von Hash-Funktionen ausgeschlossen, was in Verbindung mit der Authentizität des anbietenden Servers als Sicherheitsmaßnahme ausreicht. Für die schwachen Anforderungen an Echtheit und Verbindlichkeit, die an einige der Informationen gestellt werden, reicht der Augenschein, daß sie von einem authentischen Server der GPOH stammen.

Zu beachten sind die Risiken einer Internet-Anbindung für die Integrität der Klienten-Rechner. Aktive Inhalte (Java, JavaScript, ActiveX, Macros) müssen bis auf weiteres gesperrt werden und können daher nicht zur interaktiven Gestaltung des Informationsangebots genutzt werden. Ebenso sind Telekonferenzsysteme wie NetMeeting aus Sicherheitsgründen nicht verwendbar.

Ausblick

Das Kompetenznetz für die Pädiatrische Onkologie und Hämatologie dient als Modellprojekt dafür, wie durch konsequente Anwendung kryptographischer Techniken die Kommunikation in medizinischen Netzen datenschutzgerecht und sicher gestaltet werden kann. Mittelfristig ist die Zusammenarbeit mit einem kommerziellen Plattform-Betreiber anzustreben. Im Dauerbetrieb sollte das Versorgungsnetz über die Kostenträger finanziert werden, das Studiennetz über die Geldgeber der Studien, das Informationsnetz über Teilnehmergebühren und Sponsoring. An Dauerkosten für die Sicherheit fallen an: Trustcenter-Dienste sowie Wartung von Software und Informationen und der Erhalt des Standes der Technik bei den Sicherheitsvorkehrungen, z. B. Austausch von unsicher gewordenen kryptographischen Algorithmen. Diese Kosten sind aufzuteilen nach den Anteilen der drei Komponenten des Kompetenznetzes.

Literatur

  1. Blobel, B., Pommerening, K.: Datenschutz und Datensicherheit in Informationssystemen des Gesundheitswesens. Führen & Wirtschaften im Krankenhaus 2/1997, 133 - 138. Im WWW unter http://info.imsd.uni-mainz.de/AGDatenschutz/Empfehlungen/fuw.html

  2. Wiedemann, T., u. a.: Computer-aided documentation and therapy planning in Pediatric Oncology. In: Medinfo 98. Amsterdam: IOS Press 1998, S. 1306 - 1309.

  3. GMDS-AG »Datenschutz in Gesundheitsinformationssystemen«: Zugriff auf Patientendaten im Krankenhaus. In Vorbereitung. Im WWW unter http://info.imsd.uni-mainz.de/AGDatenschutz/Empfehlungen/Zugriff.html

  4. Sergl, M.: Sicherheitskonzepte für das Kommunikationssystem des Universitätsklinikums Mainz. GMDS 99.