Gesundheitswesen: Wie Zero Trust die Telematik sicherer machen soll
Mit einem Zero-Trust-Modell will die Gematik die Telematikinfrastruktur fĂĽr das Medizinwesen auf ein neues Sicherheitsniveau bringen. Ein Blick ins Feinkonzept.
Die Telematikinfrastruktur (TI) des deutschen Gesundheitswesens steht vor einem Umbruch. Die nächste Generation der TI soll auf eine "Zero Trust"-Architektur (ZTA) umgestellt werden. Als Cybersicherheitsbehörde des Bundes begleitet das BSI die Weiterentwicklung des digitalen Gesundheitswesens. Erst kürzlich hat das BSI die konzeptionellen Grundlagen für eine ZTA und deren Umsetzung in einem eigenen Positionspapier zur Diskussion gestellt.
Eine wirksame Umsetzung sei ein langfristiges Vorhaben und "keine Einmalinvestition", erklärt das BSI. Die Gematik als Betreiberin der TI hat das auch erkannt und erklärt, die Umstellung der TI werde "nicht auf Knopfdruck" passieren. Inzwischen liegt ein "Feinkonzept" der Gematik vor, auf dessen Grundlage zunächst eine Referenzimplementierung entstehen und "erste produktive Anwendungsfälle im Jahr 2024" vorbereitet werden sollen.
Die Gematik hat sechs Säulen als tragende Elemente der "Gesundheitsplattform der Zukunft" genannt: neben dem oben beschriebenen föderierten Identitätsmanagement (Säule 1) und einer modernen Sicherheitsarchitektur (Säule 3) sind dies die universelle Erreichbarkeit der Dienste durch Zugangsschnittstellen im Internet (Säule 2), verteilte Dienste (Säule 4), Interoperabilität und strukturierte Daten (Säule 5) und ein automatisiert verarbeitbares Regelwerk (Säule 6).
Die Gematik ist als Governance für das Betriebs- und Sicherheitsmonitoring der TI zuständig. Sie trägt die Betriebsverantwortung und Gesamtverantwortung für die TI. Dienste, die sich an die TI angeschlossen werden sollen, müssen im Regelfall zugelassen oder bestätigt werden. Der entsprechende Prozess dafür wird durch die Gematik gesteuert. Kontrolle sollen in bestimmten Bereichen aber auch die Nutzer der TI haben.
Aus dem isolierten Gesundheitsnetz soll ein nutzerfreundlicheres und gleichzeitig sicheres sowie datenschutzkonformes System werden. Nutzern könnten gemäß Plänen dann von überall aus jederzeit auf die Dienste der "TI 2.0" mit ihren eigenen Endgeräten zugreifen, auch ohne spezielle Hardware. Dafür sollen zunächst passende Open-Source-Produkte gefunden werden, für die dann zusammen mit den Partnern aus der Industrie die Spezifikationen entwickelt werden, erklärte eine Gematik-Sprecherin.
Das Feinkonzept der zukünftigen TI (PDF) ist ein "aktueller Arbeitsstand" – eine mehr oder weniger fundierte Absichtserklärung für die künftige Grundarchitektur. Für die Vertiefung und Realisierung des Konzepts sei "die Einbeziehung weiterer Stakeholder nötig", heißt es in dem Papier. Als Stakeholder werden neben der Industrie "mit ihren Erfahrungen bei Umsetzung und Betrieb" das Bundesamt für Sicherheit in der Informationstechnik (BSI), der Bundesdatenschutzbeauftragte (BfDI) und weitere Akteure genannt. Zusätzlich seien gegebenenfalls Abstimmungen "auf politischer Ebene" nötig.
Die Zero Trust Architektur (ZTA) ist ein Sicherheitskonzept, bei dem jeder Zugriff auf Ressourcen innerhalb eines Netzwerks streng authentifiziert, autorisiert und überwacht wird – unabhängig davon, ob der Zugriff von innerhalb oder außerhalb des Netzwerks erfolgt. Als Ressourcen sind hier alle Datenquellen und Rechendienste zu verstehen. Es besteht grundsätzlich keine Vertrauensbasis innerhalb oder außerhalb des Netzwerks. Dies bedeutet, dass jeder Nutzer, jedes Gerät und jede Anwendung innerhalb des Netzwerks als potenzielle Bedrohung betrachtet wird – bis das Gegenteil bewiesen ist. Das Konzept basiert auf dem Prinzip der "geringsten Rechte", und einer granularen Zugriffskontrolle. Benutzer, Geräte und Anwendungen erhalten nur Zugriff auf die Ressourcen, für die sie Berechtigung haben und die sie aktuell benötigen, um ihre Arbeit zu erledigen. Die TI 2.0 folgt den Grundprinzipien der IST Special Publication 800-207.
Vertraue niemandem, ĂĽberprĂĽfe alles
Die Zero-Trust-Architektur (ZTA) sieht die Überwachung des Zustands der Komponenten der TI, des Zustands der Netzinfrastruktur und der Kommunikation, der Auslastung und des Sicherheitsstatus vor. Die Kernfunktion der Architektur ist die Autorisierung des Zugriffs von Nutzern auf Ressourcen im System der TI. In der TI 2.0 soll der Schutz der Daten beim Zugriff über das Internet durch eine dynamische Prüfung der folgenden Punkte gewährleistet werden, um vor allem eine hohe Granularität und Dynamik der Zugriffskontrolle zu gewährleisten:
- der beobachtbare Zustand / Informationen zur Nutzeridentität
- der beobachtbare Zustand des genutzten Geräts
- der beobachtbaren Zustand der Anwendung/des Dienstes
- gegebenenfalls weitere "Verhaltens- und Umgebungsattribute" (wie zum Beispiel den Kontext der Anfrage)