Gesundheitswesen: Wie Zero Trust die Telematik sicherer machen soll

Inhaltsverzeichnis

Die Telematikinfrastruktur (TI) des deutschen Gesundheitswesens steht vor einem Umbruch. Die nächste Generation der TI soll auf eine "Zero Trust"-Architektur (ZTA) umgestellt werden. Als Cybersicherheitsbehörde des Bundes begleitet das BSI die Weiterentwicklung des digitalen Gesundheitswesens. Erst kürzlich hat das BSI die konzeptionellen Grundlagen für eine ZTA und deren Umsetzung in einem eigenen Positionspapier zur Diskussion gestellt.

Eine wirksame Umsetzung sei ein langfristiges Vorhaben und "keine Einmalinvestition", erklärt das BSI. Die Gematik als Betreiberin der TI hat das auch erkannt und erklärt, die Umstellung der TI werde "nicht auf Knopfdruck" passieren. Inzwischen liegt ein "Feinkonzept" der Gematik vor, auf dessen Grundlage zunächst eine Referenzimplementierung entstehen und "erste produktive Anwendungsfälle im Jahr 2024" vorbereitet werden sollen.

Säulen der Telematikinfrastruktur

Die Gematik hat sechs Säulen als tragende Elemente der "Gesundheitsplattform der Zukunft" genannt: neben dem oben beschriebenen föderierten Identitätsmanagement (Säule 1) und einer modernen Sicherheitsarchitektur (Säule 3) sind dies die universelle Erreichbarkeit der Dienste durch Zugangsschnittstellen im Internet (Säule 2), verteilte Dienste (Säule 4), Interoperabilität und strukturierte Daten (Säule 5) und ein automatisiert verarbeitbares Regelwerk (Säule 6).

Die Gematik ist als Governance für das Betriebs- und Sicherheitsmonitoring der TI zuständig. Sie trägt die Betriebsverantwortung und Gesamtverantwortung für die TI. Dienste, die sich an die TI angeschlossen werden sollen, müssen im Regelfall zugelassen oder bestätigt werden. Der entsprechende Prozess dafür wird durch die Gematik gesteuert. Kontrolle sollen in bestimmten Bereichen aber auch die Nutzer der TI haben.

Aus dem isolierten Gesundheitsnetz soll ein nutzerfreundlicheres und gleichzeitig sicheres sowie datenschutzkonformes System werden. Nutzern könnten gemäß Plänen dann von überall aus jederzeit auf die Dienste der "TI 2.0" mit ihren eigenen Endgeräten zugreifen, auch ohne spezielle Hardware. Dafür sollen zunächst passende Open-Source-Produkte gefunden werden, für die dann zusammen mit den Partnern aus der Industrie die Spezifikationen entwickelt werden, erklärte eine Gematik-Sprecherin.

Das Feinkonzept der zukünftigen TI (PDF) ist ein "aktueller Arbeitsstand" – eine mehr oder weniger fundierte Absichtserklärung für die künftige Grundarchitektur. Für die Vertiefung und Realisierung des Konzepts sei "die Einbeziehung weiterer Stakeholder nötig", heißt es in dem Papier. Als Stakeholder werden neben der Industrie "mit ihren Erfahrungen bei Umsetzung und Betrieb" das Bundesamt für Sicherheit in der Informationstechnik (BSI), der Bundesdatenschutzbeauftragte (BfDI) und weitere Akteure genannt. Zusätzlich seien gegebenenfalls Abstimmungen "auf politischer Ebene" nötig.

Zero Trust

Die Zero Trust Architektur (ZTA) ist ein Sicherheitskonzept, bei dem jeder Zugriff auf Ressourcen innerhalb eines Netzwerks streng authentifiziert, autorisiert und überwacht wird – unabhängig davon, ob der Zugriff von innerhalb oder außerhalb des Netzwerks erfolgt. Als Ressourcen sind hier alle Datenquellen und Rechendienste zu verstehen. Es besteht grundsätzlich keine Vertrauensbasis innerhalb oder außerhalb des Netzwerks. Dies bedeutet, dass jeder Nutzer, jedes Gerät und jede Anwendung innerhalb des Netzwerks als potenzielle Bedrohung betrachtet wird – bis das Gegenteil bewiesen ist. Das Konzept basiert auf dem Prinzip der "geringsten Rechte", und einer granularen Zugriffskontrolle. Benutzer, Geräte und Anwendungen erhalten nur Zugriff auf die Ressourcen, für die sie Berechtigung haben und die sie aktuell benötigen, um ihre Arbeit zu erledigen. Die TI 2.0 folgt den Grundprinzipien der IST Special Publication 800-207.

Vertraue niemandem, überprüfe alles

Die Zero-Trust-Architektur (ZTA) sieht die Überwachung des Zustands der Komponenten der TI, des Zustands der Netzinfrastruktur und der Kommunikation, der Auslastung und des Sicherheitsstatus vor. Die Kernfunktion der Architektur ist die Autorisierung des Zugriffs von Nutzern auf Ressourcen im System der TI. In der TI 2.0 soll der Schutz der Daten beim Zugriff über das Internet durch eine dynamische Prüfung der folgenden Punkte gewährleistet werden, um vor allem eine hohe Granularität und Dynamik der Zugriffskontrolle zu gewährleisten:

1. der beobachtbare Zustand / Informationen zur Nutzeridentität
2. der beobachtbare Zustand des genutzten Geräts
3. der beobachtbaren Zustand der Anwendung/des Dienstes
4. gegebenenfalls weitere "Verhaltens- und Umgebungsattribute" (wie zum Beispiel den Kontext der Anfrage)

Datensicherheit

Eine Anforderung an die TI ist, dass niemand unbefugt individuelle nutzerbezogene Profile über die Nutzung der TI-Dienste erstellt. Kein Akteur darf die Möglichkeit haben, systematisch und unberechtigt auf sensible medizinische Daten der Versicherten zuzugreifen. Schwachstellen im System, verdächtige Aktivitäten, Bedrohungen und Angriffe sollen frühzeitig erkannt werden. Zu diesem Zweck wird ein "komponentenübergreifendes Monitoring" in Echtzeit durchgeführt:

1. Betriebsmonitoring (Informationen zu Verfügbarkeit, Auslastung und Performance der Komponenten)
2. Security-Monitoring (Prüfung des Sicherheitszustands aller eigenen und zugehörigen Komponenten, der durch sie geschützten Ressourcen und die erfolgten Zugriffe, zum Beispiel Abgleich der Komponenten auf neu veröffentlichte Common Vulnerabilities and Exposures – CVE)
3. Monitoring des Regelwerks

Die Informationen werden außerhalb der überwachten Komponenten in der TI-Infrastruktur übergreifend gesammelt, gespeichert und ausgewertet. Das Konzept sieht vor, mithilfe dieser Informationen "eine stetige Verbesserung des Regelwerks und seiner Umsetzung zu ermöglichen". Durch das Monitoring soll im Bedarfsfall schnell reagiert werden können. Informationen über den Sicherheitsstatus von Komponenten und mögliche Sicherheitsvorfälle werden vom System direkt an das Security Information and Event Management (SIEM) beziehungsweise dem Security Operations Center (SOC) gemeldet. Denkbar ist auch, dass die Gematik im Sinne der Transparenz "konsolidierte Informationen" aus dem Monitoring der Öffentlichkeit zur Verfügung stellt.

Mit der TI 2.0 will die Gematik ein robustes System schaffen und "fachdienstübergreifend essenzielle Komponenten" hochverfügbar betreiben. Sie will das System skalierbar machen, Komponenten redundant und die Kopplung zwischen den Komponenten weitgehend lose auslegen. Die Kommunikation zwischen den Komponenten der TI wird "nach dem Stand der Technik" verschlüsselt und gegenseitig authentifiziert –, unabhängig vom Standort des Teilnehmers und der Netzzugehörigkeit. Es wird eine Public-Key-Infrastruktur im "TI-Vertrauensraum" eingerichtet. Alle öffentlichen Schlüssel der Identity Provider (IDP), Dienste und Komponenten der TI werden registriert. Nur registrierte Teilnehmer sind berechtigt, die Dienste des TI-Verbundes zu nutzen. Die Übertragung medizinischer Daten erfolgt verschlüsselt zwischen den Entitäten, die vom Eigentümer der medizinischen Daten – dem Versicherten – zum Zugriff auf diese Daten autorisiert wurden.

Bestehende Lösungen für Identitätsprovider

Die TI 2.0 soll die Nutzeridentitäten nicht über einen zentralen Dienst, bei dem alle Daten liegen, sondern über ein föderiertes Identitätsmanagement verwalten, das aus verschiedenen branchenspezifischen IDPs besteht. Da es Dienstleister für solche Identitätslösungen gibt, wird laut Florian Hartge, Chief Production Officer der Gematik, voraussichtlich nicht jede Krankenkasse ein eigenes System entwickeln, sondern eine bestehende Lösung einkaufen.

Nutzer, Anwendungen und IDP gelten als Teilnehmer innerhalb der TI-Förderation. Sie soll einen Vertrauensraum schaffen, in dem verschiedene Teilnehmer abgesichert über Vertrauensketten (Trust chain) miteinander kommunizieren können –, ohne dass die Teilnehmer vorher über organisatorische Prozesse miteinander verknüpft werden. Die TI-Föderation baut auf dem Standard OpenID Connect Federation 1.0 auf. Die Autorisierung und Authentisierung von Anwendungen und Nutzern orientiert sich der Gematik-Wiki zufolge an den Standards zu Auth 2.0 und OpenID Connect.OpenID Connect. Die föderierten Identitäten ermöglichen es dem Nutzer, sich mit einer einzigen Identität bei verschiedenen Diensten anzumelden, ohne dass er sich bei jedem Dienst separat anmelden muss.

Technische Voraussetzungen

Teilnehmer können die TI 2.0 nur nutzen, wenn sie sicher identifiziert und authentifiziert wurden und ein Gerät verwenden, das die sichere Verarbeitung von Gesundheitsdaten und ihrer kryptografischen Schlüssel ermöglicht. Der Zugang zu Ressourcen werde pro Sitzung gewährt und nur dann, wenn der Nutzer vorher erfolgreich die vorgegebene Authentifizierung und Autorisierung durchlaufen hat. Die Identifizierung muss durch eine vertrauenswürdige Instanz erfolgen, etwa durch die Online-Ausweisfunktion oder mit der elektronischen Gesundheitskarte samt PIN und einem Vor-Ort-Verfahren durch Postident inklusive Zustellung oder eine Identifizierung der eigenen Person. Steht die Identität einmal sicher fest, können Nutzer ihre ID-Informationen als Identitätsmittel bei einem Identitätsprovider hinterlegen. Ein Identitätsprovider könnte etwa eine Krankenkasse sein.

Der IDP muss dem Anwender für eine sichere Authentifizierung eine elektronische ID (eID) bereitstellen. Nutzer können mehrere Identitätsmittel haben, um sich ausweisen, beispielsweise über eine ID-Karte (Online-Ausweisfunktion), über die eGK samt PIN oder über eine gerätegebundene ID (durch die Gerätebindung und einen zweiten Faktor). Als denkbar sehen die Gematik und weitere Akteure auch die Nutzung einer eID-Wallet im IDP-Ökosystem. Die Identität des Nutzers speichert der IDP in einem ID-Token.

Ein Single-Sign-On (SSO) soll die Authentisierung für unterschiedliche Fachdienste erleichtern. Außer Identitäten von natürlichen Personen sind Organisationsidentitäten für medizinische Einrichtungen vorgesehen. Mitarbeiter solcher Einrichtungen könnte sich wahlweise als natürliche Person (vergleiche HBA) oder über die Organisationsidentität anmelden. Für medizinische Einrichtungen wird hinter dem AUM in der Regel ein organisationsspezifisches Identitäts- und Zugriffsmanagement (IAM) betrieben. Dort können organisationsinterne Identitäten der Mitarbeiter verwendet werden, welche nicht in der Föderation registriert sein müssen. Stattdessen ist die Organisation mit einer Organisationsidentität in der Föderation der TI registriert. Bei einer Authentisierung eines Zugriffs sollte neben der Organisationsidentität auch die für den Zugriff verwendete organisationsinterne Identität in pseudonymisierter Form als Attribut in das ID-Token einfließen und so der ZTA zur Verfügung gestellt werden.

Bring Your own ID Device

Teilnehmer können ihre eigenen Geräte für den Zugriff auf Ressourcen der TI nutzen – vorausgesetzt, ihr Gerät ist zum Zeitpunkt des Zugriffs ausreichend sicher und kann diesen Nachweis auch erbringen. Der Zugriff auf Dienste der TI muss nicht zwingend über dasselbe Gerät passieren, das für die Nutzeridentifizierung (Authentisierung) verwendet wird. Es kann also ein separates Gerät mit einer Software zur Bestätigung der Anmeldung zum Einsatz kommen.

Die Architektur der TI 2.0 sieht das Authentisieren und Attestieren von Endgeräten der Nutzer vor. Diese Authentisierung und Attestierung der Endgeräte soll einen weiteren Sicherheitsanker der ZTA darstellen, der die Identifizierung und Authentisieren des Nutzers durch den IDP ergänzt, jedoch von diesem unabhängig ist.

Über einen Geräte-Token wird der Nachweis über den Besitz eines auf diesen Nutzer registrierten Endgerätes erbracht. Mit diesem zusätzlichen Geräte-Token soll verhindert werden, dass die Ausstellung eines ID-Tokens ausreicht, um eine erfolgreiche Autorisierung an einem Fachdienst vorzunehmen, wodurch dem IDP als Aussteller des ID-Token eine besondere Allmachtstellung in der Architektur zukäme. Für das Geräte-Token wird der OAuth2 Authorization Code Flow genutzt [RFC6740_OAuth2]. Voraussetzung für die Zuordnung der beiden Nachweise (ID-Token und Geräte-Token) zueinander ist eine erfolgreiche Verknüpfung des registrierten Geräts mit der Identität des Nutzers (Geräte-Nutzer-Assoziation).

Das Authenticator-Modul AUM stellt Informationen über das Endgerät des Teilnehmers und gegebenenfalls dessen Ausführungsumgebung zur Verfügung. Dies können zum Beispiel die Geräteklasse, Zustand des Betriebssystems und der Patch-Zustand sein. Aber auch die Geolokalisation – also der Standort des Geräts - können in Betracht kommen. Das Endgerät muss nicht nur über die notwendigen Funktionen zum Aufbau sicherer Kommunikationsverbindungen verfügen, sondern als Plattform auch insgesamt sicher genug sein. Um zu verhindern, dass ein kompromittiertes Endgerät die Informationen über den Gerätezustand manipulieren kann, müssen die Informationen durch eine vertrauenswürdige Komponente auf dem Gerät zur Verfügung gestellt oder bestätigt werden – zum Beispiel durch Trusted Platform Module (TPM), Trusted Execution Environments (TEE) oder ein Secure Element (SE).

Management durch Teilnehmer

Für die Verwaltung von Zugriffsmöglichkeiten soll es ein Portal geben. Anwender sollen ihre Endgeräte selbst einrichten, hinterlegen und einzelne nutzerspezifische Anpassungen vornehmen können. Bei der Erstellung des Regelwerks für die Nutzung der TI werden möglicherweise auch Attribute identifiziert, die von den Nutzungsgewohnheiten oder Präferenzen einzelner Nutzer abhängen. Generische Soll-Werte können für solche Attribute nur schwer vorgegeben werden. Daher sollen die Nutzer die Möglichkeit erhalten, diese Soll-Attribute selbst für sich zu definieren. Zum Beispiel können sie vertrauenswürdige Orte oder Zeit-Intervalle für einen Zugriff auf Ressourcen festlegen, um neben mehr Sicherheit auch die Effektivität von Regeln zu steigern.

Mit einem "Selfserviceportal für Anbieter und Hersteller" sollen sich Dienstanbieter in Zukunft selbst als Hersteller beziehungsweise Teilnehmer der TI registrieren. In dem Portal ließe sich zum Beispiel ein Zulassungsantrag für ihren Dienst stellen. Dieser würde dann vom Onboarding bis zur Zulassung überwacht. Zudem könne auch steuernd in den Prozess eingegriffen werden. Wenn ein Anbieter seinen Dienst aus der TI zurückziehen will, kann er dies auch über das Selfserviceportal initiieren.

Ein grundsätzliches Basis-Update soll her

Änderungen in der Architektur der TI seien notwendig, da sich "mit dem gewünschten starken Wachstum an Nutzern der TI" die Anforderungen an Skalierbarkeit, Verfügbarkeit, nutzerfreundlicher Sicherheit und mobiler Nutzung geändert haben. Die TI 1.0 mit ihrem abgeschlossenen Client-Server-Netzwerk wäre mit ihrer Architektur vor 20 Jahren noch "State of the Art" gewesen, erfüllt die heutigen gestiegenen Erwartungen der Nutzer aber nicht mehr. Die neue Architektur soll weitestgehend mit bereits vorhandenen "etablierten und standardisierten bzw. anderweitig herstellerunabhängigen Technologien" umsetzbar sein. Damit wäre eine "eine zeitnahe Umsetzung" und eine "langfristig souveräne Weiterentwicklung" möglich.

Teilnehmer sollen über das Internet mit ihren Endgeräten in Form von PCs, Smartphones und Tablets "ohne spezielle Vorrichtungen" auf die IT zugreifen und Daten teilen können. Erfolgskritische Faktoren für die neue TI sind gemäß der Gematik:

• eine einfache Verwendung, inklusive niedrigere Zugriffshürden (Anwendungen sollen stationär und mobil nutzbar sein)
• eine ganzheitliche Sicherheit durch Zero Trust
• Flexibilität bei der Administration der Zugriffsverwaltung (durch ein dynamisches Regelwerk für Zugriffe soll auf aktuelle Entwicklungen schnell reagiert werden können und übergreifende Anpassungen über alle Fachdienste hinweg möglich sein)
• das ganze System soll mit dem Stand der Technik und aktuellen Standards mitwachsen und durch Weiterentwicklungen zukunftssicher sein. Zum Beispiel sollen Verbesserungen bei Sicherheit und Usability der Nutzer-Endgeräte auch in der TI Realität werden.

Alle Dienste der TI 2.0 sollen im Sinne einer universellen Erreichbarkeit, das heißt zeit- und ortsunabhängig, für alle Nutzergruppen direkt über das Internet verfügbar sein. Also mittels eigener Endgeräte und ohne den Umweg über einen Konnektor oder sonstige spezielle Hardware. Wie genau die Umsetzung aussehen wird und ob und welche ID-Wallets zum Einsatz kommen, ist jedoch noch unklar.

(mack)