Einleitung

Die Kommunikation im Gesundheitswesen wird in zunehmendem Maße über das Internet abgewickelt; die Menge der im Internet angebotenen nützlichen medizinischen Informationen wächst immer weiter. Daher ist der Internet-Anschluss von Krankenhäusern und Arztpraxen weit verbreitet und kaum noch zu vermeiden.

Diese Entwicklung kollidiert aber mit den Datenschutz- und -sicherheitsanforderungen eines Krankenhauses oder einer Arzpraxis. Bei unvorsichtigem Direktanschluß sind alle Daten auf lokalen Rechnern und Netzen gefährdet; sie können ausgespäht oder von unbefugten Internet-Teilnehmern unbemerkt verfälscht werden. Diese berechtigten Sicherheitsbedenken haben viele Verantwortliche bisher von einem Anschluss an das Internet absehen lassen.

Die vom Internet ausgehenden Gefahren können wesentlich reduziert werden, wenn der Anschluss über ein sogenanntes Firewall-System vorgenommen wird. Dieses besteht aus einer Kombination von Routern mit einem Gateway-Rechner. Bei sorgfältiger Konfiguration kann dieses Vorgehen als ausreichende Sicherheitsvorkehrung gegen Angriffe aus dem Internet angesehen werden. Datenschutz und Sicherheit im lokalen Netz werden dadurch aber in keiner Weise verbessert; hierfür sind gesonderte Maßnahmen erforderlich, die Gegenstand weiterer Empfehlungen dieser GMDS-Arbeitsgruppe sind oder sein werden.

Für Arztpraxen sollte der Internet-Zugang nur über ein geschlossenes Ärztenetz oder regionales Gesundheitsnetz hergestellt werden, das nach außen durch ein Firewall-System geschützt ist. Das Ärztenetz selbst ist als »Intranet« zu behandeln; die interne Kommunikation ist von der externen möglichst strikt zu trennen, im Innern sind die informationellen Einheiten auch gegeneinander abzusichern. Ein solches Intranet kann durchaus mit Hilfe der VPN-Technik (Virtual Private Networks) über das offene Internet betrieben werden, wobei die Schutzmaßnahmen allerdings eine erhebliche Sachkenntnis erfordern.

Grundsätze zur sicheren Internet-Anbindung

Die Anbindung an das Internet hat das Ziel: Möglichst komfortable Nutzung der Internet-Dienste bei möglichst großer Sicherheit vor unbefugten Zugriffen von außen. Es ist sorgfältig zu prüfen, welche Internet-Dienste wirklich benötigt werden. Die Arbeitsgruppe schlägt hierzu vor:

1. Außerhalb des durch den Firewall geschützten Bereiches dürfen keine personenbezogenen Daten gespeichert oder verarbeitet werden. Solche Daten dürfen bei der Übermittlung auch nicht den Außenbereich durchqueren.
   
   
2. Interaktive Dienste (Zugriff auf externe WWW-, Informations- oder Befundserver, telnet, ftp) sollen nur vermittelt werden, wenn die Kontaktaufnahme von der Klinik oder dem Ärztenetz in die Außenwelt erfolgt, nicht umgekehrt. Ausnahmen können für Krankenhäuser zugelassen werden, müssen dann aber einer strengen Überwachung unterliegen; eine sicherheitstechnisch akzeptable Lösung hierfür kann durch einen Modem-Server geschaffen werden. Sicherheitsempfehlungen der Arbeitsgruppe zu Modem-Verbindungen liegen vor.
   
   
3. E-Mail soll in beiden Richtungen möglich sein. Für eingehende Mail sind Filter gegen Schadprogramme (»Viren-Filter«) einzurichten. Bei ausgehender Mail sind die Datenschutzvorschriften zur Übermittlung sowie die ärztliche Schweigepflicht zu beachten. Eine ausführlichere Empfehlung der Arbeitsgruppe zum Umgang mit E-Mail ist in Vorbereitung.
   
   
4. Erlaubt sollte nur das TCP/IP-Protokoll sein; andere Protokolle (z. B. Novell-IPX, NetBEUI) sollten gesperrt werden.
   
   
5. Dienste, die gefährliche Sicherheitslücken haben oder hohes Vertrauen zwischen den beteiligten Rechnern voraussetzen, werden gesperrt. (Beispiele: Filesharing, Terminalserver, Telekonferenzen).
   
   
6. Ebenso werden aktive Inhalte (Java, JavaScript und ActiveX) gesperrt, d. h. im Firewall ausgefiltert. Bei Java und JavaScript können für einzelne vertrauenswürdige Verbindungen Ausnahmen geschaltet werden.
   
   
7. Individuelle Verbindungen, die den Firewall umgehen, sind zu verhindern. Mögliche Ausnahmen sind in der entsprechenden Empfehlung zu Modem-Verbindungen formuliert.
   
   
8. Eigene Informationsangebote der Klinik oder des Ärztenetzes für externe Stellen (z. B. WWW- oder FTP-Server, Befundserver) sind in der »entmilitarisierten Zone« (DMZ) des Firewall-Systems anzusiedeln (siehe die Abbildung unten). Hier sind selbstverständlich die Datenschutzvorschriften zu beachten; insbesondere ist ein wirksamer Zugriffsschutz einzurichten, wenn personenbezogene Daten bereitgestellt werden sollen. Ein solcher Server ist unbedingt mit SSL zu betreiben, damit Informationen und Passwörter kryptographisch verschlüsselt übertragen werden.
   
   
9. Eigene Mail-Server sollen hinter dem Firewall-System - d. h. im Innenbereich - angesiedelt sein, damit der interne Mail-Austausch nicht über externe Netzsegmente geleitet wird.
   
   
10. Für die entsprechend den Anforderungen des Gesundheitswesens an externe Stellen zu übermittelnden Daten sind kryptographische Verschlüsselungsprogamme zu verwenden.
    
    
11. Die Systemverwaltung der Firewall-Komponenten darf nur über einen gesicherten Zugang (»vertrauenswürdigen Pfad«) möglich sein, am besten nur an der Konsole des jeweiligen Systems.
    
    
12. Für den Betrieb von Firewall-Systemen sind betriebsintern klare Richtlinien und Zuständigkeitsregelungen zu definieren. Diese sollen auch Vorschriften über die Protokollierung, die Behandlung von sicherheitsrelevanten Ereignissen und Sanktionen bei Sicherheitsverstößen enthalten.

Die dem Stand der Technik entsprechende Konfiguration ist:

Dabei wird der Gateway auf Anwendungsebene betrieben (»Application Gateway« mit Proxies für alle zugelassenen Dienste); die Router arbeiten als Paketfilter. Die dabei auftretende Redundanz in den Sicherheitsmaßnahmen ist erwünscht. Der Gateway kann im übrigen je nach dem benötigten Durchsatz auf mehrere parallel geschaltete Rechner verteilt sein.

Diskussion der Vorschläge

1. Das folgt aus den Datenschutzvorschriften und der Schweigepflicht. Ausnahmen sind kryptographisch gesicherte und kontrollierte Kommunikationsverbindungen im Behandlungszusammenhang mit zulässigen Partnern, die ein gleichwertiges Sicherheitsniveau einhalten.
   
   
2. Wichtig ist vor allem die Verhinderung von »Hacker«-Angriffen, die im Internet häufig automatisiert, auch mit frei verfügbarer Software, durchgeführt werden; auf einem ans Netz angeschlossenen Unix- oder Windows/NT-System genügt dann ein schwaches Passwort eines einzigen Benutzers als Einfallspforte, selbst wenn dieser nur beschränkte Zugriffsrechte hat; MS-DOS/Windows-95/-98/-ME-Rechner sind meist schon dann völlig ungeschützt, wenn auf ihnen überhaupt ein Netzprogramm gestartet wird. Und ein ungeschützter Rechner im Intranet reicht bereits aus, um die Sicherheit des ganzen Netzes erheblich zu gefährden.
   
   
3. Die Nutzung von E-Mail ist fundamental für einen erfolgreichen Einsatz des Internets. Dennoch ist die unbeschränkte Freigabe des E-Mail-Dienstes nicht ohne Probleme. Zunächst verhindert die vorgeschlagene Regelung nicht, dass Mitarbeiter des Krankenhauses oder Teilnehmer des Ärztenetzes auf diesem Weg unbefugt Daten nach außen »schmuggeln«. Ein entsprechendes Verbot sollte in die Verpflichtungserklärung aufgenommen werden; darüber hinaus kann die Nutzung von E-Mail auf bestimmte Mitarbeitergruppen eingeschränkt werden. Ein weiteres Problem ist die codierte (z. B. chiffrierte) Zusendung von Viren und anderen Schadprogrammen von außen an Mitarbeiter des Krankenhauses oder Teilnehmer des Ärztenetzes, insbesondere bei Verwendung von Multimedia-Mail (MIME); diese können im Firewall wegen der Codierung nicht erkannt und folglich nicht ausgefiltert werden. Es ist darauf hinzuwirken, dass alle E-Mail-Berechtigten mit dieser Gefahr vertraut sind und nicht unbedacht Programme, Macros o. ä. starten, die auf diesem Weg zu ihnen gelangt sind.
   
   
4. Zur Nutzung der Internet-Dienste reicht das TCP/IP-Protokoll aus. Die anderen Protokolle sind nur für lokale Netze geeignet, da sie voraussetzen, dass alle Rechner im erreichbaren Netz vertrauenswürdig sind. Ist das Internet über diese Protokolle erreichbar, entstehen gefährliche Sicherheitslücken.
   
   
5. Solche Sicherheitslücken entstehen auch durch einige TCP/IP-Dienste. Die Windows-Dateifreigabe, analog NFS unter Unix, erlaubt den »durchsichtigen« Zugriff auf Dateien anderer Rechner und beruht ebenfalls auf dem Vertrauen in den Fremdrechner. Terminal-Server-Dienste wie ICA/WinFrame oder das X-Protokoll unter Unix ermöglichen interaktive Sitzungen auf fremden Rechnern mit grafischer Benutzungsoberfläche; wegen ihrer Sicherheitsprobleme können sie nur zugelassen werden, wenn sie mit einem sicheren Protokoll wie z. B. SSH gekoppelt werden.
   
   
6. Aktiven Inhalten, dynamischem HTTP u. dgl. wird zur Zeit mit sehr viel Euphorie begegnet. Sinnvolle Anwendungen im Internet sind denkbar, aber bisher kaum zu finden. Dagegen können die vorhandenen Sicherheitsmängel leicht ausgenutzt werden. Bei diesem Konzept werden unbekannte Programmanweisungen unkontrolliert vom externen Server auf den Rechner des Benutzers geladen und sofort ausgeführt. Dies verstößt gegen ein elementares Sicherheitsprinzip und ist untragbar. Daher ist der Gateway mit einer Sperre für Java, JavaScript und ActiveX sowie mit einem Virenfilter auszustatten.
   
   
7. Immer wieder wird versucht, Direktverbindungen unter Umgehung des Firewalls zu schalten; Argument ist dabei die Bequemlichkeit einiger Vorgänge wie Fernwartung, Programm-Update oder Direktzugriff auf Informationen. Solche Verbindungen schaffen eine zusätzliche Route ins interne Netz und machen das gesamte Sicherheitskonzept hinfällig. Zur Problematik der Fernwartung gibt es Stellungnahmen der Datenschutzbeauftragten sowie Formulierungshilfen der Arbeitsgruppe.
   
   
8. Da der Gateway-Rechner aus Sicherheitsgründen möglichst einfach gehalten werden soll, empfiehlt es sich nicht, ihn mit Server-Prozessen zu belasten. In der DMZ sind Server durch den Firewall geschützt; andererseits wirkt sich ein Einbruch in einen solchen Rechner nicht auf das gesamte Innennetz aus.
   
   
9. Sind einer oder mehrere Mail-Server im Innennetz eingerichtet, ist ein Gateway für das SMTP-Protokoll nötig; alternativ kann auch ein Mail-Server in der DMZ betrieben werden, der dann allerdings eine vollständige Benutzerverwaltung für das gesamte Innennetz besitzen muss.
   
   
10. In erster Linie geeignet sind die Verfahren SSL (für Client-Server-Kommunikation) und PGP für E-Mail. Entsprechende kryptographische Infrastrukturen (PKI) sind an vielen Stellen im Aufbau, die Verfahren können und sollten aber auch unabhängig davon genutzt werden.
    
    
11. Ein Zugang über das Netz, der nur mit einem Passwort geschützt ist, ist zu unsicher.
    
    
12. Vorschläge für solche Richtlinien werden von der Arbeitsgruppe noch erarbeitet.

Durch dieses Konzept wird der völlig freie Internet-Zugang zugunsten der Sicherheit etwas behindert; die Unannehmlichkeiten halten sich aber in Grenzen und müssen im Hinblick auf Datenschutz- und Sicherheitsanforderungen einer Klinik oder eines Ärztenetzes in Kauf genommen werden.

An größeren Kliniken oder in Gesundheitsnetzen mit geschultem informationstechnischen Personal sind Abweichungen von diesen Vorschlägen denkbar, wenn sie auf einer definierten Sicherheitspolitik beruhen und in ihren Auswirkungen beherrscht werden. So ist es bei geeigneten baulichen Voraussetzungen durchaus möglich, für einen Teil des Netzes, auf dem dann aber keine personenbezogenen Daten gespeichert oder verarbeitet werden dürfen, einen weniger restriktiven Internet-Anschluß zu schalten; die Kommunikation zwischen diesem Bereich und dem stärker geschützten muss mit besonderer Sorgfalt geregelt werden.

Abschließend sei noch einmal ausdrücklich auf die Gefahren hingewiesen, vor denen ein Firewall-System nicht schützen kann: Sicherheitsverstöße im Innennetz, Umgehung durch direkte Netzverbindungen, Schadprogramme, sofern sie verschlüsselt eingeschleust werden, Angriffe und Fehler auf der Ebene der Anwendungssoftware, menschliches Versagen und neue oder unbekannte Gefahren.

Literatur und Internet-Quellen

Hierfür gibt es eine Extra-Seite.