Lars Hilker
Zentrum für Telematik im Gesundheitswesen GmbH

Der Gesundheitsbrowser ermöglicht den Anwendern im Gesundheitswesen die Nutzung des Internetdienstes WWW und schützt gleichzeitig die sensiblen Daten auf den Systemen mit gleichzeitiger Patientendatenverarbeitung.
Der auf der Mozilla-Architektur basierende Internetbrowser wird nach Common Criteria Entwicklung begleitend evaluiert und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifi ziert. Die Sicherheitsvorgabe lehnt sich dabei dem BISS-Schutzprofi l („Benutzerbestimmbare Informationsfl usssicherheit“) des BSI an. Das im August 2003 gestartete Projekt ist ein Baustein der Landesinitiative eHealth.nrw und wird durch die Landesregierung Nordrhein-Westfalen im Rahmen der Initiative secure-it.nrw 2005 gefördert.

Ausgangssituation

Um die Attraktivität des Internets noch weiter zu steigern, wird bei der Entwicklung von Internetseiten mehr und mehr auf Dynamik und Flexibilität gesetzt. U. a. mit den weit verbreiteten Technologien Java, Java Script und ActiveX, aber auch durch Plugins, die der Erweiterung der Browserfunktionalität dienen.

Der Einsatz dieser Technologien hat aber auch zur Folge, dass durch das unbemerkte Ausführen der in den Internetdokumenten vorkommenden Programme, ein Zugriff auf die lokalen Dateien des Nutzers erfolgen kann. Das kann schwer wiegende Auswirkungen für die gesamte Systemumgebung der betroffenen Einrichtung im Gesundheitswesen haben, da Personen bezogene Daten ausgelesen, modifi ziert oder gar gelöscht werden können. Ebenso kann auch der Zugriff auf lokale Ressourcen wie den Arbeitspeicher, die Betriebssicherheit eines Systems beeinträchtigen. Ist der betroffene Rechner einem Netzwerk angebunden, ist der Schaden meist weitaus höher.

Die Rede ist hier von aktiven Inhalten, deren ausgelöste Aktionen in der Regel nicht verhindert werden können. Insbesondere mit dem häufi g in Webseiten eingebundenen Java-Script verbindet man diese Gefahr. Bei aktiviertem Scripting bieten handelsübliche Browser keinen ausreichenden Schutz. Ebenso kann der alleinige Einsatz von Firewalls diese Bedrohungen nicht abwehren.

Da die hochsensiblen Patientendaten beispielsweise auf Klinik- oder Arztpraxiscomputern höchsten Sicherheitsanforderungen unterliegen, sind diese vor unberechtigtem Zugriff zu schützen. Um ein Höchstmaß an Sicherheit zu gewährleisten, fordert der Bundes- und Landesdatenschutz daher die strikte Trennung von Patientendaten und Internet.

Diese Forderung steht allerdings der stetig wachsenden Bedeutung des Internets gegenüber, dessen Nutzung künftig in Einrichtungen des Gesundheitswesens nicht mehr wegzudenken ist. Medizinische Online-Datenbanken stellen da nur eine der wertvollen Informationsquellen dar.

Eine physische Trennung von Internet und Patientendaten kann daher keine zeitgerechte und für den Arbeitsalltag praktikable Lösung sein. Diese Erkenntnis war gleichzeitig auch die Motivation zur Realisierung eines sicheren Browsers für das Gesundheitswesen.

Ziele und Funktion des Gesundheitsbrowsers

Das Ziel des Gesundheitsbrowsers ist es, allen Akteuren im Gesundheitswesen eine sichere, komfortable und kostengünstige Lösung anzubieten, die den Internetdienst WWW von ihren Patientendaten verarbeitenden Systemen aus nutzen möchten. Zu diesen Akteuren zählen u. a. das Personal in Arztpraxen, Krankenhäusern, Apotheken und Krankenkassen. Er soll die hohen Datensicherheitsanforderungen im Gesundheitswesen mit der Nutzung des unsicheren Internetdienstes WWW vereinbaren und hat die Aufgabe, die von aktiven Inhalten ausgehenden Risiken abzuwehren, ohne dass die Deaktivierung bestimmter aktiver Komponenten, wie Java und Java-Script, notwendig wird. Mit dem sicheren Gesundheitsbrowser werden sicherheitsrelevante Technologien, wie Firewall und Virenscanner, zwar nicht überfl üssig, aber sinnvoll zu schon bestehenden Sicherheitsanforderungen ergänzt.

Um diese Ziele umzusetzen, wird der Gesundheitsbrowser dem Nutzer anzeigen, wenn von seinem System aus unbemerkt Daten während der Internetsitzung verschickt werden sollen, womit ein ungewollter Datenversand unterbunden werden kann. Er verweigert zudem den Zugriff auf sensible Bereiche des Systems, während der Nutzer online ist und verhindert, dass unerwünscht Daten gelesen, modifi ziert oder gelöscht werden. Ein privilegierter Nutzer kann dazu Informationsfl ussregeln für verschiedene Nutzer anlegen und festlegen, welche Dateiformate, Operationen und Informationskategorien für welchen Nutzer zugelassen werden. Die Informationsfl üsse zwischen WWW und dem Gesundheitsbrowser werden somit kontrollierbar.

Damit der Nutzer dem Gesundheitsbrowser Vertrauen entgegenbringt, werden die zum Mozilla Firefox entwickelten Komponenten (s. Abb. 2) Entwicklung begleitend evaluiert und zertifi ziert. Für die Entwicklung des sicheren Browsers wird dazu auf den ISO-Standard 15408 (Common Criteria - CC) sowie auf die BISS-Schutzprofile zurückgegriffen...

Dokumentinformationen zum Volltext-Download
 

 
Rechtlicher Hinweis:

Ein Herunterladen des Dokuments ist ausschließlich  zum persönlichen Gebrauch erlaubt. Jede Art der Weiterverbreitung oder Weiterverarbeitung ist untersagt.