|
Ungeliebte IT-Sicherheit – kompliziert – aufwändig – teuer – lästig |
Marcel Weinand
Sind das die Begriffe, die ihnen beim Lesen des Begriffes „Sicherheit von Informationstechnik (IT)“ einfallen? Dann empfinden sie so wie viele andere IT-Benutzer. Immer noch erwarten IT-Hersteller von ihren Kunden, dass diese sich in die Geheimnisse der Administration komplexer Sicherheitsfunktionen einarbeiten. Der legitime Wunsch der normalen IT-Anwender nach einfacher und beherrschbarer, aber vor allem auch zuverlässiger IT-Sicherheit scheint ein unerfüllbarer Traum zu sein. Kann das nicht geändert werden? An diese Fragestellung hat sich mit den Datenschützern des Bundes und der Länder das Bundesamt für Sicherheit in der Informationstechnik (BSI) gewagt. Es wurde in vielen Arbeitssitzungen gemeinsam eine Sicherheitsarchitektur entwickelt, die einen großen Schritt hin zu einer anwenderfreundlichen IT-Sicherheit ermöglicht, die den oben genannten Wünschen einen großen Schritt näher kommt. Das erarbeitete Konzept wurde von DFKI1 in die Form eines international anerkannten und vom BSI zertifizierten Schutzprofiles[1] gebracht.
Stellt man den beliebten Vergleich zwischen der Sicherheit eines handelsüblichen Rechners und der Sicherheit eines Autos an, dann stellt man große Unterschiede fest. Die Unterschiede betreffen dabei nicht nur die Qualität der Sicherheitsfunktionen, sondern auch deren Bedienbarkeit und Beherrschbarkeit. So kann jeder Autofahrer die Sicherheitssysteme eines PKW bedienen, denn die „Anwender-Schnittstelle“ ist überall gleich: angefangen von den Bremsen oder den Sicherheitsgurten, über die Hupe, den Blinker, die Warnblinkanlage, das Licht, verschiedene Anzeigen usw. bis hin zu den angenehmen Sicherheitstechniken wie der Zentralverriegelung. Geringfügige Unterschiede zwischen den PKW-Typen sind leicht erkennbar und zu bedienen.
Daneben gibt es im Auto viele Sicherheitssysteme, die keine Aufmerksamkeit des Fahrers beanspruchen: Knautschzonen, Airbags, Antischleuder- oder Antiblockiersysteme, Zweikreisbremssysteme usw. Kein Autohersteller käme auf die Idee, ein ABS-System einzeln anzubieten und dem Autofahrer den korrekten Einbau zuzumuten.
Bezogen auf die Informationstechnik scheint ein vergleichbarer Komfort der Sicherheit unrealistisch. Der IT-Benutzer ist in der Regel gefordert, selbst zu entscheiden, welche „Sicherheitszutaten“ er benötigt. Sicherheitsprodukte wie Virenscanner, Firewalls oder Verschlüsselungssoftware muss er zusätzlich kaufen. Und er muss sogar in der Lage sein, das Produkt korrekt zu installieren und zu konfigurieren, damit die Sicherheit überhaupt wirksam werden kann. Wie selbstverständlich wird vorausgesetzt, dass der Benutzer das Betriebssystem, die benutzte Datenbank, die Zugangssoftware zum Internet etc. sicherheitstechnisch beherrscht und administrieren kann.
Diese Komplexität überfordert die meisten IT-Benutzer und führt zur unsicheren Nutzung der IT. Dabei ist dem IT-Benutzer durchaus bewusst, dass ITSicherheit dringend notwendig ist: Insbesondere die in Zusammenhang mit dem Internet fast täglich publizierten Schwachstellen sind wesentliche Ursachen für die zögerliche Akzeptanz von E-Commerce und E-Government-Anwendungen.
Eine anwenderfreundliche IT-Sicherheit ist also dringend gefragt! Das BSI hat sich gemeinsam mit den Datenschützern des Bundes und der Länder dieser Herausforderung gestellt und mit dem Projektpartner DFKI eine Sicherheitsarchitektur entwickelt, die eine gravierende Verbesserung der Anwenderfreundlichkeit realistisch werden lässt. Das Projektergebnis wurde in der Form von Schutzprofilen nach ISO 15408 (kurz CC – Common Criteria) erarbeitet... |
|
weiter …
|
|
|
Generische Datenschutzmodelle für die medizinische Forschung |
Peter Debold, Carl-Michael Reng
1 Problemstellung
Vernetzte medizinische Forschung Die Vernetzung medizinischer Forschung wird international mit dem Ziel vorangetrieben, die Forschung auf eine breite Basis zu stellen und ihr hierzu ausreichend große Patientenkollektive verfügbar zu machen. So soll auch die wissenschaftliche Untersuchung seltener Krankheits- und Therapieformen aussagekräftiger werden. Dieses Ziel verlangt, dass Patientendaten nicht nur, wie in traditionellen klinischen Forschungsprojekten, im Rahmen dezidierter Studienprotokolle bereit gestellt werden, sondern dass sie in einem Verbund von Einzelprojekten zusammengeführt und gemeinsam genutzt werden können. Im Vergleich zu traditionellen klinischen Studien erweitert sich auch der Zeitraum der erwünschten Bereitstellung der Daten erheblich, da das Interesse der Nutzung gerade im Hinblick auf das besonders interessante Langzeit- Outcome den Zeithorizont eines Einzelprojektes übersteigt.
Die deutsche Datenschutzkultur definiert für dieses Ansinnen eindeutige Forderungen3: Werden Patientendaten nicht nur für die Behandlung, sondern auch für Forschung genutzt, ist das Einverständnis des Patienten zu einer derartigen Nutzung seiner Daten unverzichtbar. Dennoch ist auch ein vorliegendes Einverständnis kein „Freibrief“ zum wissenschaftlichen Datenaustausch und Datenpooling. Die Befugnisse des Behandlungsvertrags, der den Ärzten in der Regel freien Zugang zu personen- und behandlungsbezogenen Informationen innerhalb des Behandlungszusammenhanges gewährt, dürfen auch mit Genehmigung des Patienten nicht bzw. nur unter sehr eingeschränkten Bedingungen auf Dritte übertragen werden. Die einfache Anonymisierung bzw. Pseudonymisierung ist hierbei nicht ausreichend, um den für vernetzte Forschung erforderlichen Freiheitsgrad im Umgang mit klinischen Daten zu erzielen.
Telematikplattform Medizinische Forschungsnetze
Die Förderung von bundesweit agierenden Forschungsnetzen in Deutschland war mit der Einrichtung einer „Telematikplattform für medizinische Forschungsnetze“ TMF - verbunden, in der die Aktivitäten der Netze im Bereich der Informationstechnologie gebündelt und vereinheitlicht werden sollten. Die TMF ist die Interessensgemeinschaft öffentlich geförderter medizinischer Forschungsverbünde und zahlreicher Koordinierungszentren für Klinische Studien in Deutschland. Sie dient der Koordination von Interessen der Forschungsverbünde in der Entwicklung und im Auf- und Ausbau leistungsfähiger IT-Infrastrukturen für die medizinische Forschung4. Die Kompetenznetze für die Medizin haben hierbei die Aufgabe, über den bundesweiten Zusammenschluss von Forschungsinitiativen die Expertise in Forschung, Lehre, Entwicklung, Anwendung und Dienstleistung zu bündeln5, die Koordinierungszentren für klinische Studien sollen vernetzte Strukturen etablieren, welche die Qualität und Effizienz klinischer Forschung verbessern helfen6. Besonders schwierig und aufwendig war es bisher für die „Forschungsverbünde in der Medizin“ ein gesetzeskonformes Datenschutz-Konzept zu erarbeiten, das sowohl den Interessen der an der Forschung Beteiligten, den Interessen der klinisch Behandelnden und den legitimen und vorrangigen Interessen der Patienten gerecht wird.
Die TMF entwickelte daher einen Pseudonymisierungsdienst für Forschungsdaten, die in einem eigenständigen Dokumentationsprozess gewonnen werden. Außerdem wurde in einem der Kompetenznetze7 ein Konzept entwickelt, das die Bereitstellung von Forschungsdaten direkt aus dem Behandlungsprozess heraus zum Ziel hat.
Nachdem die Entwicklungen mit nachhaltiger Unterstützung der Datenschutzbeauftragten aus Bayern und Berlin einen gewissen Reifegrad erreicht hatten, wurde zwischen der TMF, dem Bundesministerium für Bildung und Forschung und dem Arbeitskreis Wissenschaft der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vereinbart, dass diese Datenschutzkonzepte nicht nur als projektspezifische, sondern auch zu generischen Lösungen weiterentwickelt werden sollten. Ziel der Erstellung dieser generischen Lösungen sollte es sein, für die vernetzte medizinische Forschung allgemeingültige, beispielhafte Lösungen zu generieren. So sollte der Aufwand der datenschutzrechtlichen Konzeption für zukünftige Forschungsverbünde gering gehalten und das erforderliche datenschutzrechtliche Prüfungsverfahren schneller durchgeführt werden können.
Das ehrgeizige Vorhaben, Anfang 2002 gestartet, kam im März 2003 zum Abschluss. Nach intensiven Beratungen zwischen den Entwicklern, der TMF und dem AK Wissenschaft wurden zwei auf gemeinsamer Basis entwickelte Modelle verabschiedet, die nun bundesweit anerkannt sind und als Richtschnur für Projekte der vernetzten Forschung gelten können.
Besondere Rahmenbedingungen für den Datenschutz
Bei der Gestaltung des generischen Datenschutzkonzeptes waren neben vielen komplexen Problemen einige Besonderheiten zu beachten, die in bisher vorliegenden Lösungsansätzen einzelner Forschungsverbünde nur unzureichend Berücksichtigung fanden: ... |
|
weiter …
|
|
|
Datensicherheit in der Telemedizin |
Anforderungen, Möglichkeiten und praktische Umsetzung
Martin H. Ludwig
Diese E-Mail Adresse ist gegen Spam Bots geschützt, Sie müssen Javascript aktivieren, damit Sie es sehen können
IMA Gesellschaft für Informationsmanagement mbH, Dr.-C.-Otto-Str. 133, 44879 Bochum
Datensicherheit ist in der Medizin und insbesondere in der Telemedizin ein grundlegender Faktor, welcher schon in frühen Projektphasen berücksichtigt werden muss. Der Aufsatz gibt einen Überblick über die rechtlichen Vorgaben und die technischen Möglichkeiten der Datensicherheit in der Telemedizin. Er beleuchtet an Hand von Beispielen die sinnvolle Umsetzung und das Zusammenspiel der Bausteine Authentifizierung, Signierung und Verschlüsselung und legt dar, wie die Kernpunkte der Datensicherheit: Vertraulichkeit, Authentizität, Integrität, Verfügbarkeit, Revisionsfähigkeit, Validität und Rechtssicherheit gewährleistet werden können.
Einleitung
Datensicherheit steht in der Telemedizin im Zentrum eines Spannungsdreiecks: Auf der einen Seite stehen Mediziner und kurativ Tätige: Sie müssen auf Krankengeschichte, Befunde, Werte und Bilder der Patienten unverzüglich zugreifen können. Die zweite Seite bilden Verwaltungen und Kostenträger. Ihr Ziel ist es, die sich aus den medizinischen Daten ergebenen Verwaltungs- und Abrechnungsdaten zu verwerten. Die dritte Seite des Dreiecks bildet der Patient. Er möchte optimal behandelt und bei der Wiederherstellung oder Erhaltung seiner Gesundheit unterstützt werden. Diese drei Seiten bedingen unterschiedliche Anforderungen an die Datenverarbeitung in der Telemedizin. Neben gemeinsamen Interessen, wie hundertprozentige Validität der Daten, gibt es auch widerstreitende Aspekte: Für den Mediziner ist eine schnelle Verfügbarkeit von möglichst umfassenden Daten im Allgemeinen wichtiger als weitgehender Datenschutz. Er muss dem Patienten, häufig im Kampf gegen die Zeit, helfen. Durch diese Anforderungen erklären sich die Auswüchse in der aktuellen medizinischen Datenübertragung: personalisierte Befunde, die per Fax oder per Email übertragen werden. Und dem „Argument“, der Datenschützer wäre bei zu hohen Anforderungen für den Tod des Patienten zumindest mitverantwortlich, wenn die medizinischen Daten nicht schnell genug dem kompetenten Arzt zur Verfügung stünden, kann kaum entgegnet werden.
Der mündige Patient hingegen ist sich der Sensibilität seiner medizinischen Daten bewusst. Er weiß um die Notwendigkeit des Zugriffs durch die Mediziner seines Vertrauens, aber auch um die Gefahren der unautorisierten Verwendung. Beim „einfachen Bürger“ ist es im günstigsten Fall nur das ungute Gefühl, dass die Nachbarin z.B. weiß, dass er zeugungsunfähig ist. Schwerer wiegende Aspekte wären Probleme am Arbeitsplatz, beim Versicherungsabschluss etc. Die möglichen Szenarien sind in der Öffentlichkeit hinlänglich bekannt. Und dies ist ja auch der Hauptgrund dafür, dass die gesetzlichen Anforderungen an den Datenschutz in Deutschland extrem streng sind.
Die Interessen der dritten genannten Gruppe sind auf Grund der Inhomogenität vielfältig. Krankenhausverwaltungen benötigen die medizinischen, patientenbezogenen Daten vor allem zu Abrechnungszwecken. Versicherungen möchten Ausgaben auf ihren Sinn hin überprüfen und Risikopersonen aus ihrem Kundenkreis ausschließen. Die Öffentlichkeit und die Wissenschaft haben ein Interesse an der Erforschung von Heilungsmethoden und Ursachen von Krankheiten. Hierfür sind prinzipiell keine personalisierten Daten notwendig. Trotzdem besteht, insbesondere bei seltenen Krankheiten, die Gefahr der Rückschlussmöglicheiten auf Individuen.
Die Datenverarbeitung und die Datensicherheit in der Telemedizin hat nun die Aufgabe, diese widerstreitenden Interessen der Beteiligten unter Abwägung eben dieser Interessen zu befriedigen. Hierbei kann es nicht Aufgabe der Informatik sein, die Abwägung selbst vorzunehmen. Diese gesellschaftliche Aufgabe muss vom Gesetzgeber gelöst und kodifiziert werden. Hierdurch tritt jedoch ein weiteres Problem der Informatik an den Tag: die gesellschaftlichen Anforderungen wandeln sich und sind auch in unterschiedlichen Ländern stark verschieden. Es müssen also Lösungen gefunden werden, welche ein Höchstmaß an Flexibilität aufweisen.
Schließlich werden alle Lösungen von Menschen benutzt werden. Menschen sind im allgemeinen vergesslich und bequem. Seit der Erfindung des Passwortes gibt es die Notizzettel unter den Tastaturen und Aussprüche wie „Gib mir ´mal eben dein Passwort, meines ist noch nicht eingerichtet...“. Lösungen in der Telemedizin müssen also für alle Beteiligten extrem einfach, logisch und konsistent sein. Das Vorgehen in der Telemedizin sollte sich von bewährten Prinzipien möglichst wenig unterscheiden.
Ärztliche Schweigepflicht
Grundsätzlich gilt, dass der Arzt Garant für die ihm anvertrauten Patientengeheimnisse ist. Neben der moralischen Verpflichtung existiert auch eine ausdrückliche, im § 203 StGB Straf bewehrte Verpflichtung zu Wahrung der Geheimnisse. Deswegen ist er verpflichtet, die Daten vor dem Zugriff Unbefugter zu schützen. [4, 5]
Die Weitergabe der Patientendaten erfolgt nicht unbefugt, wenn der Patient seine Einwilligung erteilt hat. Hierbei kann der Patient auch in das Risiko einer unverschlüsselten Weitergabe einwilligen, denn das Bestimmungsrecht über die Patientendaten liegt beim Patienten. Voraussetzung hierfür ist jedoch, dass er über das Risiko der unverschlüsselten Datenweitergabe informiert wurde und insbesondere auch hinsichtlich Art und Umfang eines Zugriffs Unbefugter und den Verlust der Kontrolle über eine Weiterverbreitung der Daten. Willigt der Patient unter diesen Voraussetzungen ein, erfolgt die Datenübermittlung, auch wenn sie unverschlüsselt ist, befugt. Eine Verantwortung des Arztes – im Bezug auf die Schweigepflicht – für einen weitergehenden Schutz der Daten zu sorgen, notfalls auch gegen den durch die Einwilligung ausdrücklich erklärten Willen des Patienten, besteht nicht. Willigt z.B. der Patient in eine unverschlüsselte Datenübertragung ein, weil er seine Patientendaten nicht für so sensibel hält, dass er das Risiko eines Zugriffs Unbefugter bei einer unverschlüsselten Weitergabe eingeht um sich hierfür z.B. den Weg zu einem entfernten Spezialisten zu ersparen, verstößt der Arzt auch dann nicht gegen das Gebot der ärztlichen Schweigepflicht, wenn tatsächlich ein Zugriff Unbefugter erfolgt. [4] Die Anforderungen an die Aufklärungspflicht dem Patienten gegenüber durch den Arzt sind jedoch sehr hoch anzusetzen. Das Risiko, dass dem Arzt eine nicht genügende Aufklärung über die möglichen Risiken einer unverschlüsselten und ungesicherten Übertragung zur Last gelegt wird, ist demnach sehr hoch. Aus diesem Grunde kann von einer unverschlüsselten Weitergabe aus arzthaftungsrechtlicher Sicht nur abgeraten werden.
Die ärztliche Schweigepflicht gilt grundsätzlich auch zwischen den Ärzten. Eine Übermittlung personenbezogener Daten an einen vor-, mit-, oder nachbehandelnden Arzt bedarf daher der Einwilligung des Patienten. [5]
Rechtliche Rahmenbedingungen
Die rechtlichen Rahmenbedingungen in der Bundsrepublik Deutschland werden durch
- das Bundesdatenschutzgesetz (BDSG),
- die jeweiligen Landesdatenschutzgesetze sowie
- die datenschutzrechtlichen Bestimmungen der jeweiligen Landeskrankenhausgesetze
gebildet.
Für die Verarbeitung von Patientendaten durch niedergelassene Ärzte gelten die Vorschriften des BDSG. Für die Verarbeitung von Patientendaten durch die Krankenhäuser gelten in Bund und Ländern unterschiedliche Rechtsvorschriften. In einzelnen Ländern liegen sog. bereichspezifische Regelungen der Verarbeitung personenbezogener Daten in Krankenhäusern vor. Soweit keine bereichspezifischen Regelungen vorhanden sind, gelten die allgemeinen datenschutzrechtlichen Bestimmungen. [4, 5]
Fallabhängig müssen demnach die jeweiligen bestehenden Gesetzesgrundlagen bei der Übertragung patientenbezogener Daten beachtet werden. Findet z.B. ein Datenaustausch zwischen zwei niedergelassenen Ärzten statt, gelten hier allein die Bestimmungen des BDSG. Findet hingegen ein Datenaustausch zwischen zwei Krankenhäusern statt, gelten das BDSG, die jeweiligen Landesdatenschutzgesetze sowie die Landeskrankenhausgesetze für das jeweilige Bundesland... |
|
weiter …
|
|
|
Empfehlungen zur IT-Sicherheit von Praxis-Systemen |
Matthias Herbst, Stephen D. Wolthusen
Im Interesse gesteigerter Effizienz der medizinischen Versorgung und der Verwaltung der erbrachten und zu erbringenden Leistungen ist die Verwendung elektronischer Praxis-Systeme kaum zu vermeiden. Dadurch werden Datenbestände, für die nur unzureichende oder keine analogen Rückfallmechanismen existieren, insbesondere auch im Bereich einzelner Arztpraxen (in geringerem Umfang auch in Kliniken) verwaltet, deren Sicherheit gewährleistet werden muss.
Insbesondere sind dabei die folgenden Aspekte von Interesse:
- Gewährleistung von Vertraulichkeit von Patientendaten durch technische Mittel. Hier fordert der Gesetzgeber besondere Sorgfaltspflichten, denen insbesondere bei der Verwaltung dieser Daten in vernetzten IT-Systemen neue Herausforderungen gegenüberstehen. Hierzu ist eine wirksame Zugangsund Zugriffskontrolle zum IT-System erforderlich, die sich insbesondere auch auf vernetzte Systeme oder bewegliche Datenträger erstrecken muss.
- Schutz der Integrität sowohl von Patientendaten als auch von Abrechnungsdaten. Dies betrifft mehrere potentielle Problembereiche, so etwa die Übermittlung von Abrechnungsdaten an kassenärztliche Vereinigungen, insbesondere aber die Datenhaltung innerhalb der ärztlichen Praxis. Die sensiblen Daten sind im Fall von Abrechnungsdaten über mehrere Monate in der unmittelbaren Kontrolle des IT-Systems, bei Patientendaten wie etwa Arztbriefen oder aber auch diagnostischen Hilfsmitteln wie digitalen Photographien müssen Aufbewahrungsfristen eingehalten werden. Bedrohungen der Integrität bestehen so etwa bei Manipulation (zwar potentiell auch durch Mitarbeiter, insbesondere jedoch aber durch unbeaufsichtigte Personen, z.B. zur Erlangung von BtMRezepten), insbesondere aber durch Fehler im IT-System (z.B. schrittweise Korrumpierung von Datenbank-Datensätzen) oder mittelbare Ausfälle verursacht durch eingeschleppte Viren, Würmer, etc.
- Neben der Integrität muss für bestimmte Daten auch die Authentizität dieser Datensätze gewährleistet sein, die gegenüber Dritten (z.B. der zuständigen KV) auch nach längerer Zeit nachgewiesen werden können muss. Dies betrifft insbesondere Arrangements in größeren Gemeinschaftspraxen oder auch im Vertretungsfall, da die Frage der Zuordenbarkeit hier sowohl für den einzelnen Arzt als auch für KVen oder Versicherungen von besonderem Interesse ist.
- Die zügige Wiederherstellbarkeit von Daten nach Defekten an Hard- oder Software, oder aber auch nach Fehlbedienung ist zwar nur im Ausnahmefall mit medizinisch ernsthaften Konsequenzen verbunden (z.B. Behandlung von Allergikern), stellt jedoch für die betriebswirtschaftliche Sicherheit einer Praxis einen wichtigen Aspekt dar.
... |
|
weiter …
|
|
|
Neue Volltexte