[erschienen in: Forum der Medizin-Informatik 1 (1997), 10-13]
Durch Kommunikation, E-Mail, World Wide Web und Telemedizin soll das Gesundheitswesen in den nächsten Jahren wesentliche neue Impulse erhalten. Naive Verwendung dieser Techniken bringt aber auch eine ganze Reihe neuer Gefahren für die mit ihnen bearbeiteten oder übermittelten medizinischen Daten, die eigentlich sicher vor Ausspähung und Verfälschung sein müssen. Diese Daten werden über lokale und öffentliche Netze geschickt, die viel zu leicht abhörbar und manipulierbar sind. Anschluß medizinischer Informationssysteme an öffentliche Netze, sensible Daten in offenen Systemen - geht das überhaupt? Oder verhindert der Datenschutz, wenn er ernst genommen wird, die Telemedizin? Sind die ärztliche Schweigepflicht und die Sicherheit des Patienten mit diesen Kommunikationstechniken vereinbar?
Für viele der Probleme gibt es Lösungen. Die technischen Grundlagen dafür beruhen hauptsächlich auf kryptographischer Verschlüsselung. Die Kryptographie gewährleistet aber nicht nur, daß Daten nicht unbefugt gelesen werden können, sie liefert auch Mittel zur Authentisierung, also zur sicheren Erkennung von Kommunikationspartnern. Darüber hinaus gestatten ihre Methoden sogar, die Fälschungssicherheit und Verbindlichkeit von Dokumenten und Kommunikationsinhalten zu sichern; das Mittel hierfür ist die elektronische Unterschrift (digitale Signatur). Die Umsetzung der technischen Lösungsvorschläge in die Praxis beginnt gerade erst. Wesentliche Voraussetzung ist dazu der Aufbau einer geeigneten Infrastruktur, für die zur Zeit einige Ansatzpunkte geschaffen werden.
Medizinische Daten im Netz, gar im öffentlichen, weltweiten Netz - da kann den, der Datenschutz in der Medizin und ärztliche Schweigepflicht ernst nimmt, schon ein ungutes Gefühl beschleichen. Auch für das Gesundheitswesen gilt, was der Hamburgische Datenschutzbeauftragte über die vernetzte Verwaltung gesagt hat:
»Durch die umfassende Vernetzung besteht die Gefahr, daß die Verwaltung sich zu einem informationellen Ganzen entwickelt, dem der Bürger weitgehend machtlos gegenübersteht.« [4]Konkret für die Telemedizin hat der Berliner Datenschutzbeauftragte formuliert:
»Schon jetzt erlaubt das Internet im Bereich der Telemedizin, Ferndiagnosen durch ausländische Spezialisten einzuholen oder diese sogar bei Teleoperationen über tausende von Kilometern hinweg mitwirken zu lassen. Der betroffene Patient liegt nicht mehr, wie zu Zeiten Rudolf Virchows, in einem Operationssaal, in dem eine begrenzte Zahl von Medizinstudenten dem Operateur zusehen können. Der Eingriff in seinen Körper ist vielmehr weltweit im Netz zu verfolgen.« [3]Was bedeutet es für den Patienten, in einer für ihn extremen Situation des Ausgeliefertseins um seine Einwilligung dazu gefragt zu werden? Kann er Nutzen und Gefahren vorurteilsfrei abwägen? Die Diskussion um diese Probleme sollten wir ernst nehmen. Ich will mich hier aber der technischen Seite zuwenden: Sind die Daten, die auf diese Weise um die Erde jagen, überhaupt genügend zu sichern - so daß wenigstens kein Unbefugter sie lesen oder manipulieren kann?
Einige der Herausforderungen an die IT-Sicherheitstechnik seien hier aufgeführt: Daten im Netz nehmen oft einen kaum vorhersehbaren Weg über mehrere Knotenrechner; selbst eine Datenübertragung ins eigene Land kann um die ganze Welt laufen. Jeder, bei dem die Daten vorbeikommen, kann sie sehen und bei geeignetem technischen Geschick sogar verändern. Der Aufwand dazu scheint zunächst groß, läßt sich aber durch Automatisierung eingrenzen: Bereits jetzt kreisen im Internet automatische Scan-Programme, die Datenströme filtern und auswerten; hier sind besonders im Netz übertragene Paßwörter ein leicht auszumachendes Ziel - das Internet bietet keinen Schatten und kein Versteck. Netzadressen, auf denen Sicherheitsmaßnahmen oft aufbauen, sind manipulierbar - der Kommunikationspartner auf der anderen Seite der Verbindung könnte ein ganz anderer sein, als man glaubt. Unvorsichtige Dateiübertragung öffnet dem Einfall von Schadprogrammen (»Viren« und dergleichen) Tor und Tür. Durch die in viele Standard-Software, wie etwa Textverarbeitungsprogramme, eingebauten Makromöglichkeiten ist sogar der vorsichtige Anwender nicht mehr sicher, der gelernt hat, daß man nicht einfach Programme unklarer Herkunft auf seinen Rechner laden darf. Mit E-Mail kann man sich solche Schadprogramme sogar fast ohne eigenes Zutun einfangen. Selbst durch Informationsabruf im World Wide Web können Schäden auf dem eigenen Rechner hervorgerufen oder Daten unbemerkt von diesem in die Welt verschickt werden; der euphorische Trend zu Java und ähnlichen Möglichkeiten verschlimmert das noch: Hier wird das Laden von Programmen über das Netz sogar als Non-Plus-Ultra herausgestrichen. Das Einstöpseln eines Modems kann den durch ein Firewallsystem mühsam errichteten Schutz des Internetanschlusses für das ganze Krankenhaus zunichte machen. Kurz - man kann hinsehen, wo man will, öffentliche Netze sind unsicher.
Datenschutz ist, soweit möglich, durch technische Maßnahmen abzusichern - Verhindern ist besser als Verbieten. Zum Beispiel sagt der Hamburgische Datenschutzbeauftragte:
»Verbindungen und Dienste, die sich nicht aus dem Aufgabenprofil eines Mitarbeiters begründen lassen, sind technisch zu unterbinden; organisatorische Maßnahmen, insb. Nutzungsver- und -gebote, reichen insoweit nicht aus.« [4]Hier liegt die Aufgabe der Informatik im Bereich des Datenschutzes.
Die grundsätzlichen Anforderungen an die Informationssicherheit sind
Welche technischen Ansätze sind geeignet, diesen Anforderungen reale Erfüllbarkeit zu verleihen? Physische Sicherheit und kryptographische Verschlüsselung sichern die Vertraulichkeit. Elektronische Unterschrift sichert Integrität und Verbindlichkeit. Physische Sicherheit, Redundanz und Backups sichern die Verfügbarkeit. Eine zentrale Rolle spielt also die Kryptographie; sie ist die Lehre von der Informationssicherheit in offenen Systemen: Man geht davon aus, daß die Informationen physisch nicht geschützt werden können und versucht daher, sie logisch zu schützen. Einige der Leistungen dieses Fachgebiets will ich hier kurz vorstellen.
Zunächst denkt man bei Kryptographie an die Verschlüsselung, die Unkenntlichmachung von Informationen, so daß nur Berechtigte, die den »Schlüssel« dazu haben, sie lesen können. Man unterscheidet symmetrische Verschlüsselung, bei der der Absender der Information zur Verschleierung den gleichen Schlüssel benutzen muß wie der Empfänger zum Lesen, und andererseits asymmetrische Verschlüsselung, bei der sich diese beiden Schlüssel unterscheiden und der eine Schlüssel in der Regel sogar öffentlich bekannt sein darf; der andere ist persönliches Geheimnis des potentiellen Empfängers, das er mit niemand anderem zu teilen braucht. Die Umkehrung dieses Vorgangs, also zuerst Anwendung des geheimen, dann des öffentlichen Schlüssels, ist die technische Grundlage der elektronischen Unterschrift. Sie schützt die Daten vor unbemerkter Verfälschung und kennzeichnet gleichzeitig beweissicher den Urheber:
Ein weiteres Anwendungsgebiet der Kryptographie ist die sichere Identifizierung von Kommunikationspartnern, seien es Menschen oder Maschinen. Bisher wird dazu meistens noch ein Paßwort-Schutz verwendet, und dieser ist in vielfältiger Hinsicht ungeeignet. Besser ist ein »Challenge-Response«-Verfahren: Wer die Identität seines Partners prüfen will, sendet ihm eine einmalig verwendete Zufallsinformation; kann der Partner hierzu eine gültige Unterschrift erzeugen, ist er ausgewiesen. Ein Dritter, der den Vorgang mitliest, kann daraus keinerlei Nutzen ziehen. Ideal für solche Verfahren ist die Implementation auf einer Chipkarte, die die nötigen kryptographischen Mechanismen ausführen kann, auch elektronische Unterschriften leisten kann und für verschiedene kryptographische Anwendungen die passenden Schlüssel speichern kann. Eine solche Karte kann dann als persönlicher Sicherheitsausweis dienen. Zu schützen ist ihre Verwendung (mindestens) durch eine PIN, so daß die Ausweisfunktion durch Besitz (der Karte) und Wissen (der PIN) doppelt gesichert ist.
Detaillierte Ausführungen zu IT-Sicherheit und Kryptographie finden sich in [5], [6] und [7]. Für den Bereich des Gesundheitswesens sei auf [1] und [8] verwiesen.
Zur Zeit ist einiges von der für die Telemedizin notwendigen Sicherehitsstruktur im Entstehen. Zunächst gibt es Schutzmöglichkeiten in der Netz-Struktur des Internet durch Router und Firewall-Systeme, im ISDN ferner durch die Möglichkeit, geschlossene Benutzergruppen einzurichten. Interessant ist auch das von Netscape entwickelte SSL-Protokoll, das es ermöglicht, sichere WWW-Server einzurichten, die mit standardisierten kryptographischen Protokollen arbeiten. Leider ist dieses Angebot auf das abgesicherte Bezahlen per Kreditkarte im Internet zugeschnitten und für andere Anwendungen künstlich eingeschränkt. Erfreulich ist auch, daß die Telekom in ihren Unterlagen zum DOXX-Projekt (»Das Netz der Telemedizin«) auf die integrierten Möglichkeiten zur Verschlüsselung und elektronischen Unterschrift und den optionalen Einsatz von Chipkarten hinweist - leider ist das nicht die HPC; hier zeigt sich deutlich, wie dringend allgemein anwendbare Standards sind. Das HPC-Projekt (»Health Professional Card«) [2] zielt darauf ab, für ärzte und andere Berufsgruppen im Gesundheitswesen eine Chipkarte als Berufsausweis einzuführen, der gleichzeitig die oben erwähnten Funktionen für die IT-Sicherheit bietet.
Bedenklich in diesem Zusammenhang sind die immer noch drohenden gesetzlichen Vorschriften zur Kryptographie-Regulierung. Gerade für medizinischen Anwendungen mit ihren hochsensiblen persönlichen Daten ist die Benutzung starker kryptographischer Verfahren notwendig. überlegungen, für Zwecke der Strafverfolgung geheime Schlüssel bei »Trust Centern« zu hinterlegen, widersprechen der Vorstellung von wirksamem Datenschutz. Schon die Erzeugung eines Schlüssels sollte ausschließlich durch denjenigen erfolgem, dessen persönliches Geheimnis er schließlich sein soll.
Zu den Aufgaben der Medizin-Informatik gehört, die Anforderungen des Datenschutzes bei der Konzeption, Modellierung und Implementation von Informations- und Kommunikationssystemen im Gesundheitswesen, insbesondere für die Telemedizin, zu berücksichtigen und bei Bedarf weiterzuentwickeln. Dazu gehört auch die Mitwirkung beim Aufbau der notwendigen Infrastruktur. Weil Datenschutz und Datensicherheit in offenen Systemen nur mit kryptographischen Methoden wirksam erreicht werden können, gehören Kenntnisse dieser Techniken zum unverzichtbaren Grundlagenwissen von Medizin-Informatikern, und sei es nur, um bei der Beschaffung und Einrichtung von Systemen die nötige Urteilsfähigkeit zu haben. Nur durch flächendeckenden Einsatz solcher Sicherheitstechniken wird die Telemedizin akzeptabel und kann ihren Nutzen für die Patienten voll entfalten und dabei deren Daten wirksam schützen.
Sehen Sie daher auch bei den folgenden Praxisberichten genau hin, wie weit die vorgestellten Sicherheitstechniken schon eingesetzt werden.
| [1] | B. Blobel (Hrsg.): Datenschutz in medizinischen Informationssystemen. Vieweg, Braunschweig 1995. |
| [2] | Arbeitskreis Health Professional Card der Arbeitsgemeinschaft Karten im Gesundheitswesen: Deutscher Modellversuch Health Professional Card (HPC) - Vorläufige Beschreibung - 17.4.1996. News-Gruppen de.sci.medizin, de.soc.datenschutz, auch zu finden unter http://www.uni-mainz.de/FB/Medizin/IMSD/AGDatenschutz/HPC |
| [3] | Bericht des Berliner Datenschutzbeauftragten zum 31. Dezember 1995. http://www.datenschutz-berlin.de/jahresbe/95/vorwort.htm |
| [4] | 14. Tätigkeitsbericht des Hamburgischen Datenschutzbeauftragten (Berichtszeitraum: 1995) http://www.hamburg.de/Behoerden/HmbDSB/TB14/tb_gld00.htm |
| [5] | K. Pommerening: Datenschutz und Datensicherheit. BI-Wissenschaftsverlag, Mannheim 1991. |
| [6] | K. Pommerening: Vorlesung Datenschutz und Datensicherheit. http://www.uni-mainz.de/~pommeren/DSVorlesung. |
| [7] | B. Schneier: Applied Cryptography. Second Edition. Wiley, New York 1996. |
| [8] | The SEISMED Consortium: Data Security for Health Care. 3 Vols. IOS Press, Amsterdam 1996. |