[erschienen in: Zentralblatt für Gynäkologie 119 (1997), 452-456]

Schlüsselwörter: Datenschutz, Datensicherheit, offene Systeme, Health Professional Card

Zusammenfassung: Durch Informationsverarbeitung und Vernetzung soll das Gesundheitswesen in den nächsten Jahren wesentliche neue Impulse erhalten. Die gegenwärtig eingesetzten Informationssysteme, Arbeitsplatzcomputer, Abteilungsrechner und Netze sind aber offene Systeme; Informationsverarbeitung und Datenübermittlung ist mit den hohen Datenschutzanforderungen der Medizin nicht zu vereinbaren. Die technischen Voraussetzungen für mehr Sicherheit sind gegeben; sie können jedoch nicht nachträglich auf bestehende Systeme aufgepfropft werden, sondern sind von den Herstellern in die Systeme einzubinden. Für Anwender enstehen durch konsequente technische Sicherheitsmaßnahmen kaum Beeinträchtigungen der Arbeitsabläufe, sie müssen sich künftig nur noch mit ihrem elektronischen Ausweis (Health Professional Card) ins System einloggen. Der Aufwand für organisatorische Maßnahmen und Personalausstattung in medizinischen Einrichtungen ist jedoch nicht zu vernachlässigen. Konsequente Sicherheit führt zu einer wesentlichen Verbesserung der Qualität der Informationen und der Erfüllung gesetzlicher Auflagen. Die dadurch entstehenden Kosten werden vom Rationalisierungseffekt der Informationstechnik aufgefangen, mindern ihn aber.

Title: Data Security in Medical Information Systems

Key words: Data protection, data security, open systems, Health Professional Card

Summary: Information technology and networks should improve health care in the next few years. But the information systems in use are open systems; processing and transporting data by them is incompatible with the high privacy requirements of patient information. We have the technical means to achieve better security, but we cannot build them into existing systems by way of addition - the suppliers of hard- and software must integrate them into the systems, beginning with the system design, in a way that doesn't detract users from their proper tasks; users shouldn't have to do more then log into the IT system with their Health Professional Card. On the other hand the expense of organisational means and security personnel in health care environment is not negligible. But a thorough realization of security features will substantially improve the quality of information and the compliance with the law. The costs will reduce the profit of information technology, but not completely.

Datenschutz und Datensicherheit? - Fragen und Probleme

Durch Informationsverarbeitung und Vernetzung soll das Gesundheitswesen neue Impulse erhalten. Die Betreuungsprozesse sollen durch informationslogistische Begleitung effizienter und straffer werden. Die integrierte Versorgung (`shared care') führt zu weiterer Arbeitsteilung und Verzahnung des medizinischen Bereichs.

Aber wo bleiben bei all diesen Überlegungen zu Effizienz und Kostendämpfung die Qualität und die Sicherheit? Was geschieht mit der ärztlichen Schweigepflicht, wenn Patientendaten auf Rechnern gespeichert und über Netze geschickt werden? Wie zuverlässig, wie sicher sind die Daten? An wen dürfen Daten übermittelt werden? Welche Daten? Welche Folgen für den Patienten haben Entscheidungen aufgrund gespeicherter Daten? Welche rechtlichen Konsequenzen?

Neben den grundlegenden datenschutzrechtlichen Aspekten drängt sich dabei immer mehr die Frage nach der Sicherheit in den Vordergrund. Sind die Daten sicher vor Unbefugten? Welchen Weg nehmen die Daten im Netz? Was nützt ein Paßwort als Zugriffsschutz? Welche Gefahren drohen vom Internet? Was kann passieren, wenn an einen Rechner im Krankenhaus oder in der Arztpraxis ein Modem gestöpselt wird? Ist Fernwartung medizinischer Informationssysteme zulässig? Gefährlich? Wie verhindert man die ungebetenen Eindringlinge, die in Anlehnung an die medizinische Terminologie »Viren« genannt werden, die Schadprogramme, die sich inzwischen sogar als Anhängsel an Textdokumente verbreiten können? Wissen wir noch, welche Informationen wir wirklich aus der Hand geben? Was die Systeme, denen wir unsere Daten anvertrauen, wirklich mit diesen machen? Wie wichtig ist den Herstellern der Informationssysteme die Sicherheit? Sehen wir uns zunächst die datenschutzrechtlichen Grundlagen an und werfen wir dann einen etwas genaueren Blick auf den Stand der Technik bei der Informationssicherheit.

Rechtliche Grundlagen

In Deutschland wird der Umgang mit den Daten neben den Vorschriften zum Berufsgeheimnis, also insbesondere der ärztlichen Schweigepflicht, durch Bundes- und Landesdatenschutzgesetze geregelt. Die deutsche Datenschutzgesetzgebung ist inzwischen in die EU-Richtlinie zum Datenschutz gemündet (»Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr«), die bis 1998 wiederum in nationale Gesetze umgesetzt werden soll. Hierin heißt es sinngemäß: Personenbezogene Daten dürfen nur für einen klar definierten und rechtlich abgesicherten Zweck erfaßt und nicht von diesem Zweck abweichend weiterverarbeitet werden. Dabei hat die Erfassung und Verarbeitung der Daten fair und rechtmäßig zu erfolgen und ist auf ein zweckbezogen adäquates, relevantes und minimales Maß zu beschränken. Die Daten müssen korrekt sein und dürfen nur für eine zweckgebunden unbedingt notwendige Zeit gespeichert werden.

Das generelle Verbot der Erfassung und Verarbeitung sensitiver Daten wird nur aufgehoben, wenn mindestens eine der Voraussetzungen gegeben ist:

• Es liegt eine nachprüfbare (schriftliche) Einwilligung durch den Patienten bzw. seinen Vertreter vor.
• Die Erfassung und Verarbeitung erfolgt für medizinische oder gesundheitsbezogene Zwecke durch Personen, die durch ein Berufsgeheimnis (z.B. die ärztliche Schweigepflicht) oder eine gleichwertige Verpflichtung gebunden sind.
• Der Schutz der vitalen Interessen des Patienten macht die Erfassung und Verarbeitung notwendig.
• Ein unabdingbares, rechtlich gesichertes Gemeininteresse ist über das Individualinteresse zu stellen oder sonstige, rechtlich fixierte Ausnahmen erfordern die Erfassung und Verarbeitung.

Die medizinische Informationsverarbeitung hat aufgrund der ärztlichen Schweigepflicht also erleichterte Bedingungen. Dennoch dürfen die Daten eines Patienten auch hier nur im Rahmen der Zweckbindung des Behandlungsvertrags erhoben und verarbeitet und nicht über die unmittelbare Zweckbindung hinweg weitergegeben werden, auch nicht an andere Fachabteilungen oder an die Krankenhausverwaltung. Die Verantwortung für die Daten liegt beim erhebenden Arzt bzw. der erhebenden Institution; mit dem Patienten kann er auch die Daten an einen Kollegen überweisen, soweit dieser sie für die Weiterbehandlung braucht. Auch der Patient selbst hat Rechte an seinen Daten: Er ist über Erhebung, Speicherung und Verarbeitung zu informieren und hat - mit gewissen Einschränkungen - das Recht auf Einblick in die über ihn gespeicherten Daten mit dem Anspruch auf Korrektur und eventuelle Löschung. Er hat das Recht, daß seine Daten sorgfältig und vertraulich behandelt werden und daß sie zur rechten Zeit am rechten Ort verfügbar sind. Hier ist insbesondere an Notfallsituationen zu denken, wo der Zugriff auf Daten unkompliziert sein muß, aber im unberechtigten Fall nicht folgenlos geschehen darf. Die EU-Richtlinie verlangt außerdem, daß aufgrund gespeicherter Daten keine automatischen Entscheidungen getroffen werden; insbesondere muß bei medizinischen Entscheidungen stets der Arzt das letzte Wort haben.

Ein aktueller Problemkreis ist der Schutz und die Rechtsverbindlichkeit archivierter Daten bei der elektronischen Archivierung, insbesondere im Hinblick auf die Langfristigkeit der im Gesundheitswesen notwendigen Aufbewahrung. Um die parallele Archivierung auf Papier überflüssig zu machen, soll die elektronische Unterschrift (digitale Signatur) verwendet werden; die rechtlichen Rahmenbedingungen sind Gegenstand der aktuellen Gesetzgebungsvorhaben, die Funktion wird weiter unten erläutert.

Eine umfassende Bestandsaufnahme zum Datenschutz in medizinischen Informationssystemen wurde in [1] gegeben.

Der Stand der Technik

Die Datenschutzgesetzgebung verlangt insbesondere, daß die Informationsverbeitung nur in einer Umgebung und auf Systemen erfolgt, die nach dem Stand der Technik abgesichert sind. Die gegenwärtige alltägliche Praxis ist hier leider in einem beklagenswerten Zustand. Es herrschen »offene Systeme« vor: Personal Computer, transportable Datenträger, lokale Netze, Modemanschlüsse, das Internet, und immer mehr Tätigkeiten werden mit Standard-Software erledigt. Diese Systeme sind auch im sicherheitstechnischen Sinne offen, und zwar bis zum letzten Bit. Die Verarbeitung und Speicherung von Daten in solchen offenen Systemen sind mit den Datenschutzvorschriften nicht zu vereinbaren. Sehen wir uns das an einigen konkreten Beispielen an.

Ein interessantes Experiment ist, in MS-Word (oder einem äquivalenten Textverarbeitungsprogramm) eine neue Datei anzulegen, dort drei Sätze hineinzuschreiben und zu speichern; danach löscht man den mittleren Satz und speichert nochmal. Sieht man sich die Datei jetzt mit einem gewöhnlichen Text-Editor an, kann man manche Überraschung erleben: Nicht nur, daß der gelöschte Satz mehrmals darin enthalten ist, man findet auch eine Reihe weiterer Informationen - über die Systemumgebung, aber unter Umständen auch über vorher bearbeitete Dokumente. Selbst Paßwörter aus einer parallel laufenden Internet-Verbindung wurden dort schon gefunden. Kann man solche Dokumente wirklich elektronisch an andere übermitteln? Umgekehrt besteht beim Empfang eines Word-Dokuments, sei es per E-Mail oder per Diskette, die Gefahr, sich ein Virus einzuschleusen - wir übrigens bei anderen Standardprogrammen auch, die ihre Dokumente mit sogenannten Makros anreichern zu müssen glauben.

Als zweites Beispiel sei das unkontrollierte Laden und eventuell unbemerkte Ausführen von Programmcode beim Surfen im World Wide Web genannt; das kann passieren, wenn man die sogenannten Applets in Java, Javascript oder ActiveX nicht sperrt oder aber den MS-Internet-Explorer verwendet, der in letzter Zeit durch krasse Sicherheitslücken Aufmerksamkeit erregt hat. Mit solchen Werkzeugen kann ein einzelner argloser Benutzer sogar den sorgfältig aufgebauten, durch Firewall-Technik geschützten, sicheren Internet-Anschluß eines Krankenhauses unterminieren.

Als drittes Beispiel soll MS-Windows (in allen gängigen Versionen) dienen, das ebenfalls erhebliche Sicherheitsmängel aufweist. Das beginnt mit der Möglichkeit für jedermann, über ein lokales Netz das Paßwort des gerade angemeldeten Benutzers auszulesen, und endet noch nicht bei der Möglichkeit, den paßwortgeschützten Bildschirmschoner durch Tastendruck abzuschalten. Immer neue Sicherheitslücken werden entdeckt, auch in dem angeblich sicheren Windows NT.

Dringende aktuelle Sicherheitsempfehlungen sind also:

• Nicht auf die Sicherheit von Standard-Software bauen!
• MS-Word ist als Datenaustauschformat nicht geeignet!
• Internet-Anschluß nur von isolierten Rechnern oder über ein Firewall-System!
• Aktive Komponenten im World Wide Web (Java, Javascript, ActiveX) im Browser abschalten und im Firewall sperren!

Die grundsätzlichen Anforderungen an die Informationssicherheit sind

• Verfügbarkeit,
• Integrität,
• Verbindlichkeit,
• Vertraulichkeit.

Welche technischen Ansätze sind geeignet, diesen Anforderungen reale Erfüllbarkeit zu verleihen? Die Vertraulichkeit wird durch physische Sicherheit und kryptographische Verschlüsselung gesichert. Elektronische Unterschrift sichert Integrität und Verbindlichkeit. Physische Sicherheit, Redundanz und Backups sichern die Verfügbarkeit.

Eine zentrale Rolle spielt also die physische Sicherheit, aber gerade sie ist in offenen Systemen nur partiell zu verwirklichen. Der zweite grundlegende Ansatz ist die Kryptographie; sie ist die Lehre von der Informationssicherheit in offenen Systemen: Man geht davon aus, daß die Informationen physisch nicht geschützt werden können und versucht daher, sie logisch zu schützen. Dieser Schutz ist bei der Verschlüsselung von Daten augenfällig und leicht zu verstehen. Aber auch die elektronische Unterschrift (oder »digitale Signatur«) beruht auf kryptographischen Methoden: Sie wird aus den Daten eines Dokuments durch einen Algorithmus erzeugt, dem als Parameter ein persönliches Geheimnis des Unterzeichners übergeben wird, dessen Ergebnis aber öffentlich überprüfbar ist. Nur der Besitzer des Signaturschlüssels kann die Unterschrift erzeugen; jeder kann die Unterschrift anhand des dazu passenden sogenannten öffentlichen Schlüssels nachprüfen; nach jeder Änderung des Dokuments paßt die Unterschrift nicht mehr. Dieses Werkzeug ist also ideal geeignet, die Echtheit von ärztlichen Verschreibungen und von Leistungsanforderungen auch bei elektronischer Kommunikation zu sichern.

Ein weiterer Anwendungsfall der Kryptographie ist die sichere Identifizierung (Authentikation) von Kommunikationspartnern, seien es Menschen oder Maschinen. Bisher wird dazu meistens noch ein Paßwort-Schutz verwendet, und dieser ist in vielfältiger Hinsicht ungeeignet: Nachlässigkeit des Besitzers, ungenügende Schutzvorkehrungen des Systems, Abhörbarkeit von Netzen lassen Paßwörter viel zu leicht in falsche Hände geraten. Paßwortschutz entspricht nicht mehr dem Stand der Technik. Besser ist ein »Challenge-Response«-Verfahren: Wer die Identität seines Partners prüfen will, sendet ihm eine einmalig verwendete Zufallsinformation; kann der Partner hierzu eine gültige elektronische Unterschrift erzeugen, ist er ausgewiesen. Ein Dritter, der den Vorgang mitliest, kann daraus keinerlei Nutzen ziehen. Ideal für solche Verfahren ist die Implementation auf einer Chipkarte, die die nötigen kryptographischen Mechanismen ausführen kann, auch elektronische Unterschriften leisten und für verschiedene kryptographische Anwendungen die passenden Schlüssel speichern kann. Eine solche Karte kann dann als persönlicher Sicherheitsausweis dienen. Zu schützen ist ihre Verwendung (mindestens) durch eine PIN, so daß die Ausweisfunktion durch Besitz (der Karte) und Wissen (der PIN) doppelt gesichert ist.

Die technischen Grundlagen für ausreichende Sicherheit sind also vorhanden. Die technische Entwicklung ist schon seit Jahren so weit, daß sichere Informationssysteme gebaut werden könnten. Insbesondere sind Algorithmen zur kryptographischen Verschlüsselung und den damit zusammenhängenden Techniken der elektronischen Unterschrift und der starken Authentifizierung funktionsfähig implementiert und sogar frei verfügbar; auch die Chipkarten-Technik ist schon längst einsatzfertig entwickelt. Was fehlt, sind integrierte Lösungen, Standards, Portabilität und zeitliche Stabilität. Hier sind vor allem die Hersteller gefordert, denn vom Betreiber eines Informationssystems kann nachträglich keine Sicherheit auf ein unsicheres System aufgepfropft werden. Es ist wie bei der Einführung der Sicherheitsgurte in Autos vor einigen Jahren: Sie mußten erst von einem Gesetz vorgeschrieben werden. Der gesetzliche Zwang der Datenschutzgesetze reicht dafür nicht aus, da er die Last den Systembetreibern aufbürdet, die die Daten verwalten, nicht den Systemherstellern.

Kryptographische Methoden erfordern vor allem Know-How bei den Systemherstellern. Die Systembetreiber, also die Verantwortlichen für die Informationstechnik in den Einrichtungen des Gesundheitswesens, brauchen immerhin Grundkenntnisse und müssen entsprechende Infrastrukturmaßnahmen einführen, z. B. geeignete Kartenleser und organisatorische Strukturen für das Schlüsselmanagement. Für den Endanwender allerdings reduziert sich die Kryptographie, wenn die nötigen Voraussetzungen geschaffen sind, auf die Verwendung einer Ausweiskarte. Angst vor Kryptographie braucht niemand zu haben - sie ist mit schon längst üblichen Kompressionsverfahren und Kommunikationsprotokollen sowohl in der Komplexität als auch in der Performanz vergleichbar.

Maßnahmen

Mit Kryptographie allein ist Sicherheit allerdings auch nicht erreichbar; unabhängig von der Technik sind organisatorische Maßnahmen unverzichtbar. Keine Sicherheitsmaßnahme kann etwas nützen, wenn die Verantwortung für ihre Einführung, Anwendung und Überwachung nicht klar geregelt ist. Das kann nur zum Teil von dem gesetzlich geforderten Datenschutzbeauftragten übernommen werden, der ja Jurist oder (in Einrichtungen des Gesundheitswesens) Mediziner sein sollte. Die SEISMED-Guidelines [2] fordern außerdem einen IT-Sicherheitsbeauftragten, der Informatiker mit entsprechenden Fachkenntnissen sein sollte. Er hat die Federführung bei der Erstellung des Sicherheitskonzepts, sorgt für die physische Sicherheit von Rechnern, Netzen und Datenträgern, kontrolliert die Sicherheit von Datenarchiven, sorgt dafür, daß die Konfiguration der Systeme dem Sicherheitskonzept entspricht und nicht irgendwelche Systemvoreinstellungen Sicherheitslücken aufreißen, überwacht das lokale Netz, insbesondere auf ungenehmigte Modems, verwaltet die elektronischen Ausweiskarten, wertet sicherheitsrelevante Systemaufzeichnungen aus, kontrolliert die Implementation von Software, schult IT-Personal und Benutzer, motiviert sie zum sorgfältigen Umgang mit Gefahrenquellen und berät den Datenschutzbeauftragten und die Personalvertretung in technischen Fragen und bei der Formulierung von Verpflichtungserklärungen. Auch einzelne Fachabteilungen im Krankenhaus müssen für diese Aufgaben einen angemessenen Anteil an Personalkapazität einplanen.

Ein aktuelles Problem ist die Fernwartung, für die vertragliche und sicherheitstechnische Vorkehrungen zu treffen sind. Für Einzelheiten soll auf die Informationssammlung im World Wide Web verwiesen werden, die weiter unten genannt wird und in der auch viele Hinweise zu anderen Problembereichen zu finden sind. Wichtig ist jedenfalls, daß die Belastung durch Sicherheitsmaßnahmen durch nach dem Stand der Technik konstruierte Systeme und Standardisierung minimiert wird.

Von den vielen orgnisatorischen Maßnahmen, die durch die Enführung von sicherer Informationstechnik nicht erübrigt werden, sei nur noch die Gestaltung des Eingangsbereichs in Arztpraxen oder Ambulanzen genannt, die gewährleisten muß, daß Wartende nicht Gespräche und Telefonate mithören können, keine fremden Patientenunterlagen sehen und keinen Zugang zu Rechnern, Netzanschlüssen oder Faxgeräten haben.

Perspektiven

Die technische Entwicklung im Bereich der IT-Sicherheit ist zur Zeit in starker Bewegung - in beiden Richtungen. Einerseits führt der zunehmende Einsatz von Standard-Software zu immer größeren Sicherheitsproblemen und darüberhinaus zu einer wachsenden Abhängigkeit von den Herstellern dieser Systeme, deren Problembewußtsein, wie wir gesehen haben, sehr zu wünschen übrig läßt. Allerdings habe ich aus zahlreichen Gesprächen in letzter Zeit den Eindruck gewonnen, daß gerade im Bereich der Krankenhaus-Informationssysteme die Hersteller durchaus wissen, was von ihnen verlangt wird und sich um Sicherheit bemühen; was ihnen fehlt, sind zuverlässige Standards und ein Ende der unseligen politischen Debatte um eine mögliche gesetzliche Einschränkung der Zulässigkeit von kryptographischen Verfahren.

Andererseits gibt es eine Reihe von ermutigenden Entwicklungen. Auf dem konzeptionellen Sektor sind hier die SEISMED-Guidelines [3] zu nennen, die eine gründliche Bestandsaufnahme dessen geben, was zur Erreichung von IT-Sicherheit im medizinischen Umfeld nötig ist. In Folgeprojekten soll die Praktikabilität dieser Leitlinien verbessert und die konkrete Umsetzung demonstriert werden.

Von besonderem Interesse und mit voraussichtlich sehr breiter Wirkung ist das HPC-Projekt (»Health Professional Card«). Es zielt darauf ab, für Ärzte und andere Berufsgruppen im Gesundheitswesen eine Chipkarte als Berufsausweis einzuführen, der gleichzeitig die oben erwähnten Funktionen für die IT-Sicherheit bietet: sichere Authentikation, elektronische Unterschrift und die dazu nötigen kryptographischen Verfahren und Schlüssel. Die praktische Erprobung hat im Magdeburger Tumorregister bereits begonnen. Ein Beschluß der Bundesärztekammer vom Frühjahr 1997 zielt auf die breite Einführung dieses elektronischen Berufsausweises bis 1999. IT-Systeme sollten heute schon für die Integration dieser Karten und der entsprechenden Sicherheitsfunktionen ausgelegt werden.

Ein weiterer Bereich, der zur Zeit zur breiten Einführung von Sicherheitsvorkehrungen führt, ist die Firewall-Technik, die die Vorteile eines Internet-Anschlusses nutzbar machen und dabei vor den Gefahren durch fremde Eindringlinge in das eigene Informationssystem schützen soll. Leider macht die gegenwärtige Entwicklung aktiver Komponenten im World Wide Web wie oben gesehen vieles davon illusorisch. Immerhin wird das Sicherheitsbewußtsein geweckt und es werden standardisierte kryptographische Verfahren auf immer breiterer Basis angewendet. Die Sicherheitsmaßnahmen einer Einrichtung des Gesundheitswesens dürfen sich aber keinesfalls auf die Firewall-Lösung beschränken; abgesehen von deren Unvollkommenheit verlangt der Datenschutz auch Sicherheitsmaßnahmen im Inneren einer Einrichtung, von denen einige oben bereits erwähnt wurden.

Hingewiesen werden soll hier auch noch auf die Arbeitsgruppe »Datenschutz in Krankenhaus-Informationssystemen« der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie (GMDS), die ein Grundsatzpapier mit Leitlinienfunktion zu Datenschutz und Datensicherheit in Informationssystemen des Gesundheitswesens erarbeitet hat [2] und auf einem WWW-Server unter der Adresse

http://www.uni-mainz.de/FB/Medizin/IMSD/AGDatenschutz

Literatur

[1]	Blobel B (Hrsg.): Datenschutz in medizinischen Informationssystemen. Braunschweig - Wiesbaden: Vieweg 1995
[2]	Blobel B, Pommerening K: Datenschutz und Datensicherheit in Informationssystemen des Gesundheitswesens. f & w - führen & wirtschaften im Krankenhaus 14 (1997) 133-138
[3]	The SEISMED Consortium (Eds.): Data Security for Health Care. Vol 1-3. Amsterdam: IOS Press 1996