Zero-Trust-Prinzipien überprüfen jeden Zugriff
Die neue TI-Sicherheitsarchitektur soll auf Zero-Trust-Prinzipien basieren. »Zero Trust« bedeutet, dass sich Akteure in einem System grundsätzlich erst einmal nicht vertrauen, sondern die Vertrauenswürdigkeit kontinuierlich überprüft wird. So wird das Vertrauen bei jedem Zugriff auf die Ressourcen eines Dienstes neu aufgebaut und geht nach diesem Zugriff wieder verloren. Hierfür müssen für die Kommunikation zwischen den Akteuren stets verlässliche Nachweise erbracht werden, welche dieses Vertrauen begründen. Eine Zugriffskontrolle nach Zero-Trust-Prinzipien ist damit ein datengetriebener, feingranularer Ansatz der Informationssicherheit, der nicht nur externe Bedrohungen, sondern auch interne Gefahrenpotentiale adressiert. Der Zero-Trust-Ansatz hebt sich insofern von klassischen Sicherheitskonzepten ab, die sich in der Regel auf die Sicherung der Unternehmensgrenzen konzentrieren.
Gleichberechtigte Integration aller Akteure
»Unser Vorschlag für eine TI-Sicherheitsarchitektur 2.0 ermöglicht den Zero-Trust-Ansatz, ohne dass proprietäre Komponenten eingesetzt werden müssen. Stattdessen setzt die Sicherheitsarchitektur auf die Endgeräte, die bei den Nutzenden der Gesundheitsdienste bereits vorhanden sind und berücksichtigt deren Sicherheitsfunktionen bei der Autorisierung einzelner Zugriffe auf einen Dienst. Dabei haben wir Optionen für verschiedene Szenarien wie zum Beispiel den Zugriff durch Versicherte, Arztpraxen oder Krankenhäuser berücksichtigt«, erläutert Martin Seiffert, Senior Scientist der Abteilung Secure System Engineering am Standort des Fraunhofer AISEC in Berlin.
Ein weiterer Vorteil der neuen Sicherheitsarchitektur soll die Erweiterung des Kreises der Nutzenden sein. »In der bisherigen VPN-Infrastruktur ist ein direkter Zugriff auf Gesundheitsdienste nur für Leistungserbringer wie Arztpraxen mit einem festen Standort und über den VPN-Konnektor als proprietäre Komponente vorgesehen. Für Leistungserbringer ohne festen Standort oder Versicherte ist dieser Zugriffsweg nicht geeignet. Das Konzept für die TI 2.0 sieht hingegen einheitliche Zugriffsmechanismen für sämtliche Nutzergruppen und auch die Nutzung mobiler Endgeräte vor«, hebt Monika Kamhuber, Wissenschaftlerin aus der Abteilung Secure Operating Systems am Fraunhofer AISEC in Garching hervor.
Dynamisches, flexibel anpassbares Regelwerk
Eine weitere Stärke des Konzepts für die Sicherheitsarchitektur ist, dass bei der Regelung der Zugriffe nicht allein die Identität der Nutzenden ausschlaggebend ist, sondern auch Faktoren wie Ort und Zeitpunkt des Zugriffs sowie Sicherheitsanforderungen an die Endgeräte berücksichtigt werden können. Welche Daten konkret für die Autorisierung eines Zugriffs auf die Gesundheitsdaten erforderlich sind, wird dabei in einem dynamischen Regelwerk festgelegt, das mit dem Stand der Technik mitwächst: Das Regelwerk integriert zügig aktuelle Entwicklungen in der Informationssicherheit und Anpassungen hinsichtlich der Nutzung von Gesundheitsdiensten, ohne dafür jeden einzelnen Fachdienst einzeln aktualisieren zu müssen.
Die Zugriffsanforderungen können für die verschiedenen Nutzergruppen und Anwendungen je nach Risiko festgelegt und bei Bedarf wieder angepasst werden. So können beispielsweise für Ärztinnen und Ärzte höhere Sicherheitsvorgaben beim Zugriff auf Patientendaten nötig sein, wenn diese auf eine Vielzahl von Patientendaten zugreifen können, als für Versicherte, die nur ihre eigenen persönlichen Daten einsehen möchten.
Besonderer Schutz für sensible Patientendaten
Die sichere Verwaltung von Patientendaten und die Wahrung des Datenschutzes haben in einem so sensiblen Umfeld wie dem Gesundheitswesen oberste Priorität. Vor diesem Hintergrund versucht das Konzept des Fraunhofer AISEC und seiner Partner Allmachtstellungen zu vermeiden, indem es dafür sorgt, dass keine der Infrastrukturkomponenten alleine den Zugriff auf die Gesundheitsdienste ermöglichen kann. So kann für den Zugang zur TI 2.0 neben einem Identitätsnachweis auch das Vorhandensein eines ein-malig registrierten Geräts geprüft werden, sodass ein entwendeter oder manipulierter Identitätsnachweis allein ebenso wenig für einen Zugriff ausreicht, wie der Diebstahl eines registrierten Endgeräts.
»Da es sich bei der Telematikinfrastruktur um ein Netz handelt, in dem allen voran persönliche Gesundheitsdaten der Patienten verarbeitet werden, werden an die TI 2.0 sehr hohe Sicherheitsanforderungen gestellt. Unsere Architektur nutzt verschiedene, im Bereich des Identitäts- und Zugriffsmanagements standardisierte und im Rahmen von Zero Trust etablierte Komponenten und macht es so möglich, diesen Anforderungen gerecht zu werden«, so Seiffert.
Das Konzept für eine TI 2.0 auf Basis von Zero-Trust-Mechanismen des Fraunhofer AISEC und der Partner Bundesdruckerei, CompuGroup Medical, D-Trust GmbH und Genua wurde von der gematik GmbH online veröffentlicht.