Seite 2: Datensicherheit

Inhaltsverzeichnis

Eine Anforderung an die TI ist, dass niemand unbefugt individuelle nutzerbezogene Profile über die Nutzung der TI-Dienste erstellt. Kein Akteur darf die Möglichkeit haben, systematisch und unberechtigt auf sensible medizinische Daten der Versicherten zuzugreifen. Schwachstellen im System, verdächtige Aktivitäten, Bedrohungen und Angriffe sollen frühzeitig erkannt werden. Zu diesem Zweck wird ein "komponentenübergreifendes Monitoring" in Echtzeit durchgeführt:

1. Betriebsmonitoring (Informationen zu Verfügbarkeit, Auslastung und Performance der Komponenten)
2. Security-Monitoring (Prüfung des Sicherheitszustands aller eigenen und zugehörigen Komponenten, der durch sie geschützten Ressourcen und die erfolgten Zugriffe, zum Beispiel Abgleich der Komponenten auf neu veröffentlichte Common Vulnerabilities and Exposures – CVE)
3. Monitoring des Regelwerks

Die Informationen werden außerhalb der überwachten Komponenten in der TI-Infrastruktur übergreifend gesammelt, gespeichert und ausgewertet. Das Konzept sieht vor, mithilfe dieser Informationen "eine stetige Verbesserung des Regelwerks und seiner Umsetzung zu ermöglichen". Durch das Monitoring soll im Bedarfsfall schnell reagiert werden können. Informationen über den Sicherheitsstatus von Komponenten und mögliche Sicherheitsvorfälle werden vom System direkt an das Security Information and Event Management (SIEM) beziehungsweise dem Security Operations Center (SOC) gemeldet. Denkbar ist auch, dass die Gematik im Sinne der Transparenz "konsolidierte Informationen" aus dem Monitoring der Öffentlichkeit zur Verfügung stellt.

Mit der TI 2.0 will die Gematik ein robustes System schaffen und "fachdienstübergreifend essenzielle Komponenten" hochverfügbar betreiben. Sie will das System skalierbar machen, Komponenten redundant und die Kopplung zwischen den Komponenten weitgehend lose auslegen. Die Kommunikation zwischen den Komponenten der TI wird "nach dem Stand der Technik" verschlüsselt und gegenseitig authentifiziert –, unabhängig vom Standort des Teilnehmers und der Netzzugehörigkeit. Es wird eine Public-Key-Infrastruktur im "TI-Vertrauensraum" eingerichtet. Alle öffentlichen Schlüssel der Identity Provider (IDP), Dienste und Komponenten der TI werden registriert. Nur registrierte Teilnehmer sind berechtigt, die Dienste des TI-Verbundes zu nutzen. Die Übertragung medizinischer Daten erfolgt verschlüsselt zwischen den Entitäten, die vom Eigentümer der medizinischen Daten – dem Versicherten – zum Zugriff auf diese Daten autorisiert wurden.

Bestehende Lösungen für Identitätsprovider

Die TI 2.0 soll die Nutzeridentitäten nicht über einen zentralen Dienst, bei dem alle Daten liegen, sondern über ein föderiertes Identitätsmanagement verwalten, das aus verschiedenen branchenspezifischen IDPs besteht. Da es Dienstleister für solche Identitätslösungen gibt, wird laut Florian Hartge, Chief Production Officer der Gematik, voraussichtlich nicht jede Krankenkasse ein eigenes System entwickeln, sondern eine bestehende Lösung einkaufen.

Nutzer, Anwendungen und IDP gelten als Teilnehmer innerhalb der TI-Förderation. Sie soll einen Vertrauensraum schaffen, in dem verschiedene Teilnehmer abgesichert über Vertrauensketten (Trust chain) miteinander kommunizieren können –, ohne dass die Teilnehmer vorher über organisatorische Prozesse miteinander verknüpft werden. Die TI-Föderation baut auf dem Standard OpenID Connect Federation 1.0 auf. Die Autorisierung und Authentisierung von Anwendungen und Nutzern orientiert sich der Gematik-Wiki zufolge an den Standards zu Auth 2.0 und OpenID Connect.OpenID Connect. Die föderierten Identitäten ermöglichen es dem Nutzer, sich mit einer einzigen Identität bei verschiedenen Diensten anzumelden, ohne dass er sich bei jedem Dienst separat anmelden muss.

Technische Voraussetzungen

Teilnehmer können die TI 2.0 nur nutzen, wenn sie sicher identifiziert und authentifiziert wurden und ein Gerät verwenden, das die sichere Verarbeitung von Gesundheitsdaten und ihrer kryptografischen Schlüssel ermöglicht. Der Zugang zu Ressourcen werde pro Sitzung gewährt und nur dann, wenn der Nutzer vorher erfolgreich die vorgegebene Authentifizierung und Autorisierung durchlaufen hat. Die Identifizierung muss durch eine vertrauenswürdige Instanz erfolgen, etwa durch die Online-Ausweisfunktion oder mit der elektronischen Gesundheitskarte samt PIN und einem Vor-Ort-Verfahren durch Postident inklusive Zustellung oder eine Identifizierung der eigenen Person. Steht die Identität einmal sicher fest, können Nutzer ihre ID-Informationen als Identitätsmittel bei einem Identitätsprovider hinterlegen. Ein Identitätsprovider könnte etwa eine Krankenkasse sein.

Der IDP muss dem Anwender für eine sichere Authentifizierung eine elektronische ID (eID) bereitstellen. Nutzer können mehrere Identitätsmittel haben, um sich ausweisen, beispielsweise über eine ID-Karte (Online-Ausweisfunktion), über die eGK samt PIN oder über eine gerätegebundene ID (durch die Gerätebindung und einen zweiten Faktor). Als denkbar sehen die Gematik und weitere Akteure auch die Nutzung einer eID-Wallet im IDP-Ökosystem. Die Identität des Nutzers speichert der IDP in einem ID-Token.

Ein Single-Sign-On (SSO) soll die Authentisierung für unterschiedliche Fachdienste erleichtern. Außer Identitäten von natürlichen Personen sind Organisationsidentitäten für medizinische Einrichtungen vorgesehen. Mitarbeiter solcher Einrichtungen könnte sich wahlweise als natürliche Person (vergleiche HBA) oder über die Organisationsidentität anmelden. Für medizinische Einrichtungen wird hinter dem AUM in der Regel ein organisationsspezifisches Identitäts- und Zugriffsmanagement (IAM) betrieben. Dort können organisationsinterne Identitäten der Mitarbeiter verwendet werden, welche nicht in der Föderation registriert sein müssen. Stattdessen ist die Organisation mit einer Organisationsidentität in der Föderation der TI registriert. Bei einer Authentisierung eines Zugriffs sollte neben der Organisationsidentität auch die für den Zugriff verwendete organisationsinterne Identität in pseudonymisierter Form als Attribut in das ID-Token einfließen und so der ZTA zur Verfügung gestellt werden.