Insights
Telematik 2.0: Privacy und Datensouveränität in Zero-Trust-Architekturen
Zero-Trust-Architekturen gewinnen für die IT-Sicherheit immens an Bedeutung. In Enterprise-Umgebungen fokussieren sie auf den Schutz von Unternehmensdaten. Im Gesundheitswesen oder bei Behörden gilt es hingegen, die sensiblen personenbezogenen Daten der Patienten und Bürger zu schützen, unter Berücksichtigung der Datenhoheit. Das erfordert andere Herangehensweisen.
Ein Kommentar von Steffen Ullich, Technology Fellow, genua GmbH
Zero-Trust-Architekturen haben zum Ziel, in einem unsicheren Umfeld, zum Beispiel bei der Telearbeit, den sicheren Zugriff auf Daten zu ermöglichen und gleichzeitig den möglichen Schaden durch kompromittierte Anwender oder Systeme zu minimieren. Zum einen erfolgt dies durch eine granulare, strikte Beschränkung der Möglichkeiten: Es werden nur so viele Zugriffsrechte wie nötig erlaubt und dies nur so lange wie erforderlich. Zum anderen wird durch starke Methoden der Nutzerauthentisierung und die Überprüfung des Zugangsgerätes sichergestellt, dass das vom Nutzer erreichbare Sicherheitsniveau zum Schutzbedarf der Daten passt.
In Enterprise-Umgebungen steht der Schutz von Unternehmensdaten im Mittelpunkt. Beim Zugriff durch Mitarbeiter, Partner oder Dienstleister werden eine Kontrolle über die Zugangsgeräte sowie eine Verhaltensauswertung der Nutzerzugriffe im Allgemeinen als wichtige Sicherheitsfaktoren akzeptiert. Risikoabwägungen zwischen Effizienz, Usability, Privacy und Datenschutz können auf Unternehmensebene getroffen werden.
Telematik stellt erhöhte Anforderungen an Privacy und Datensouveränität
Im Gesundheitswesen geht es hingegen um den Schutz von Patientendaten. Der Zugang erfolgt dabei über die privaten Geräte von Patienten beziehungsweise mehr oder weniger sicher verwaltete Geräte bei Leistungserbringern in Praxen oder Kliniken. Entsprechend dem Verständnis hinsichtlich Privacy, Datensouveränität und Datenschutz in Deutschland und der EU sollte ein tiefgehender Eingriff in diese Geräte zur Überprüfung der Sicherheit vermieden werden, beispielsweise beim Zugriff auf die elektronische Patientenakte. Auch muss eine Verhaltensanalyse im Kontext von Zero Trust, wie sie bei Unternehmen-IT üblich ist, berücksichtigen, dass Zugriffsmuster gegebenenfalls bereits medizinisch relevante personenbezogene Daten darstellen. Ebenso lassen sich Patientendaten betreffende Risikoabwägungen nicht treffen, ohne die Interessen der Patienten einzubeziehen. Dazu gehört auch das Risiko, dass sich kritische Dienstleister wie beispielsweise Identitätsprovider beim Betrieb einer Zero-Trust- Architektur universellen Zugriff auf Patientendaten verschaffen.
Die Problematik der hohen Anforderungen an Privacy und Datensouveränität im Gesundheitswesen ist auf Behörden und Verwaltung übertragbar. Hier geht es um den Schutz von personenbezogenen Daten von Bürgern bei der Digitalisierung von öffentlichen Vorgängen in der Verwaltung. Aber auch mit Blick auf Enterprise-Architekturen ist es ein Gewinn, wenn die Sicherheitseigenschaften von Zero-Trust-Architekturen unter Berücksichtigung der Privatsphäre von Mitarbeitern ausreichend gewährleistet werden können. Auch Risiken durch Dienstleister, die für den Betrieb einer Zero-Trust-Infrastruktur einbezogen werden, haben an Aufmerksamkeit gewonnen. Dies ist nicht zuletzt Vorfällen geschuldet wie:
-
Sicherheitslücken beziehungsweise unsicheren Prozesse bei Microsofts Management von Keys und Zugriffsberechtigungen,
-
die teilweise Kompromittierung des Identitätsanbieters Okta und
-
die vielfältigen Sicherheitslücken in Zugriffskontrollprodukten verschiedener Sicherheitshersteller, welche die Zuverlässigkeit der Zugriffskontrolle oder auch die Sicherheit der Endgeräte gefährdet haben.
Anforderungen im grundlegenden Design verankern
Im Herbst vergangenen Jahres hatte die gematik als nationale Agentur für digitale Medizin ein aus deutschen Herstellern bestehendes Konsortium beauftragt, ein Feinkonzept für eine Zero-Trust-Architektur zu erarbeiten. Dieses berücksichtigt die besonderen Anforderungen des Gesundheitswesens grundlegend im Design, anstatt zu versuchen, bestehende Designs durch Zusatzlösungen halbwegs passend zu machen. Im Konsortium, bestehend aus der genua GmbH in der Rolle des Konsortialführers, der Bundesdruckerei GmbH und der D-Trust GmbH (alle drei Unternehmen gehören zur Bundesdruckerei Gruppe GmbH) sowie der CompuGroup Medical Deutschland AG und dem Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC, brachten jeweils alle Teilnehmer ihre speziellen Erfahrungen und Fähigkeiten in die Konzeption der Architektur ein. So konnte in enger Zusammenarbeit mit der gematik ein Feinkonzept entstehen, das nicht nur sicher und privacy-freundlich ist, sondern auch einfach benutzbar, performant, skalierbar, flexibel, offen und zukunftssicher.
Datenallmacht im digitalen Gesundheitswesen verhindern
Eine wesentliche Anforderung war die Vermeidung von Allmacht. Das bedeutet, dass sich kein Dienstleister in der Infrastruktur universellen Zugriff auf Daten verschaffen kann. Als spezielles Risiko wurden Identitätsprovider gesehen. Deren Kompromittierung könnte dazu führen, dass ein Angreifer verschiedene Nutzeridentitäten annehmen kann. Das Problem wurde gelöst, indem der Identitätsprovider nicht alleinig über den Zugriff entscheiden kann. Es sind immer, mehrere unabhängige Parteien involviert. Im Detail heißt das, dass der Zugriff nicht nur von einem authentifizierten Nutzer, sondern auch von einem registrierten Gerät durchgeführt werden muss. Die Geräteregistrierung findet mittels einer vom Identitätsprovider unabhängigen Authentifizierung des Nutzers statt. Die separaten Zugangsprüfungen werden von einem lokalen Policy-Enforcement-Point in der Kontrolle des jeweiligen Fachdienstes vorgenommen, bevor ein Zugriff auf die dort vorliegenden dienstspezifischen Patientendaten beziehungsweise deren Verarbeitung erlaubt wird. Für die Speicherung sehr sensitiver Daten wie in der elektronischen Patientenakte erfolgt wie bisher zusätzlich eine client-seitige Verschlüsselung als weitere Schutzschicht.
Um tiefe Eingriffe in die Geräte der Anwender zu vermeiden, wird für die Attestierung der Sicherheit auf existierende Plattformdienste der Betriebssystemanbieter zurückgegriffen, die ohne erweiterte Rechte auf dem System benutzbar sind. Um eine möglichst hohe Vielfalt von Endgeräten bei gleichzeitig einfacher Benutzbarkeit für die Anwender zu unterstützen, sind die Sicherheitsanforderungen an den Schutzbedarf angepasst: Die eigenen Daten auf den Endgeräten der Patienten selbst werden als eine andere Risikoklasse behandelt als die Sammlung von Daten verschiedener Patienten auf den Endgeräten der Leistungserbringer.
Eine detaillierte Beschreibung der Architektur finden sich im umfangreichen Feinkonzept (160 Seiten), welches im Fachportal der gematik der Öffentlichkeit kostenfrei zur Verfügung steht.
Der Beitrag ist im Original erschienen in: Behörden Spiegel v. 5.9., Schwerpunkt IT-Sicherheit