2006/01/13 Was ist der Peering-Point der Ärztekammer?
Peering-Point (PP) aus technischer Sicht - datenschutzrechtlich bleiben angeschlossene Ärzte verantwortlich - Sicherheitsgewinn des PP sollte nicht überschätzt werden - mögliche Bedeutung des PP im zukünftigen Gesundheitsdatenverbund
Wie kam es zum Peering-Point?
Der Peering-Point der Ärztekammer ist ein Produkt der nunmehr vorgesehenen e-card-Lösung und des Gesundheitstelematikgesetzes. Er ist eine von vielen technisch möglichen Lösungen des IT-Sicherheitsproblems. Basis dieser technischen Lösung sind xDSL-Anschlüsse, die eine permanente Verbindung zum Internet (analog einer "Standleitung") erlauben.
Peering-Point (PP) aus technischer Sicht
Beim PP handelt es sich um einen IP-Router (IP=InternetProtokoll), wie er standardmässig im Internet an tausenden Knoten verwendet wird, mit zusätzlichen Firewall- und Filter-Funktionen. Wie dies hardwaretechnisch realisiert ist, ob es sich um ein Gerät mit beiden Funktionen oder um mehrere Geräte handelt, konnte bisher trotz intensiver Bemühungen nicht festgestellt werden. Dies macht insofern einen Unterschied, als Eingerätelösungen in den Konfigurationsmöglichkeiten eingeschränkt sind und daher auch im Betrieb wesentlich schlechter zu betreuen sind.
Die "Verbindung" zwischen den einzelnen Ärzteanschlüssen und dem PP erfolgt über das öffentliche Internet mit einer sogenannten VirtualPrivateNetwork-Lösung (VPN). Es ist dies eine in der Industrie übliche Methode um verschiedene Standorte oder Filialen über das öffentliche Internet kostengünstig zu vernetzen.
Zwischen den beiden Endpunkten wird durch ein spezifisches Protokoll ein verschlüsselter Datenkanal aufgebaut, über den dann die eigentlichen Daten (hier Gesundheitsdaten) übertragen werden. Für den Benutzer des VPN (Arzt) sieht es so aus, als ob er eine direkte Verbindung zur Gegenseite hätte. Alle zwischengeschaltenen Router und Knoten werden ausgeblendet. Ein Betrachter von außen, etwa ein Betreiber eines Zwischenknotens, kann nur feststellen, dass hier eine Verbindung vorliegt, nicht jedoch welche Daten im Einzelnen übertragen werden.
Es ist insoweit irreführend von einer Datenleitung zu sprechen, da dies suggeriert, es wäre dies eine technisch völlig vom Internet abgekoppelte Lösung. Tatsächlich wird das öffentliche Internet mit einer zusätzlichen Sicherheitseinrichtung genutzt.
Üblicherweise werden derartige VPN-Verbindungen direkt zwischen den Kommunikationspartnern hergestellt. Der Einsatz eines Zwischenknotens, wie ihn der PP darstellt ist eigentlich unüblich und stellt sicherheitstechnisch eine Schwachstelle dar.
Daher ist es nachvollziehbar, dass der Hauptverband auf einen direkten VPN-Kanal zwischen den Ärzten und dem Hauptverband besteht. Genausogut, und das wird in der Industrie laufend praktiziert, können über denselben Internetanschluss mehrere weitere VPN-Kanäle betrieben werden, es könnten auch mehrere hundert parallel betrieben werden.
Bei den Ärzten würden sich derartige VPN-Verbindungen im Zusammenhang mit der Befundübermittlung anbieten, für das Surfen im öffentlichen Internet sind sie sinnlos, da ja nur öffentlich zugängliche Informationen abgerufen werden.
Beim Aufruf bzw. der Übertragung persönlicher Daten über eine Website verwendet man statt VPN-Kanälen, das sogenannte SSL-Protokoll. Es handelt sich im wesentlichen um einen sitzungsbezogenen verschlüsselten Datenkanal, der dieselben technischen Eigenschaften wie eine VPN-Verbindung hat. Diese Lösung verwendet man, da sie in allen Browsern automatisch integriert ist und keinerlei besondere Konfigurationsanforderungen oder Internetkenntnisse beim Benutzer (Arzt) erfordert.
Zur Firewallfunktion des Peering-Points
Grundsätzlich ist zu Firewalls zu sagen, dass sie nicht einfach aufgestellt werden können und damit automatisch Schutz gegen Gefahren aus dem Internet bieten. Ob eine Firewall Schutz bietet, welchen Schutz sie bietet oder ob sie nicht sogar zusätzliche Gefahrenquellen enthält, hängt von der Konfiguration, dem laufenden Betrieb und der Auswertung der Vorfallsprotokolle ab.
Es ist dies ähnlich einer Brandschutztür, die nur dann sinnvoll ist, wenn sie richtig eingebaut ist. Ist der Einbau lückenhaft, kann das Feuer trotzdem durchschlagen oder die Türe kann sogar hinderlich sein, wenn sie sich etwa im Brandfall verklemmt und den Zugang zu den geschützten Räumlichkeiten erschwert.
Das Internet kennt eine Fülle von Protokollen und Ports die für die verschiedensten Dienste genutzt werden. Die eigentlichen Daten werden dann mit den entsprechenden Port- und Protokollkennungen und Absender- bzw. Empfängeradresse verschickt (zusammengefasst spricht man von IP-Informationen). Typischerweise verwendet etwa das WorldWideWeb Port 80 des TCP/IP-Protokolls, Port 25 wird für Mailversand verwendet usw.
IP-Firewalls definieren nun, welche dieser Ports, Protokolle und IP-Adressen erlaubt sind. Ein Laie könnte fragen, warum gibt es dann überhaupt nicht erlaubte Internet-Ports, -Protokolle und IP-Adressen? Grundsätzlich haben alle diese IP-Informationen ihre Berechtigung und decken bestimmte Dienste und Bedürfnisse im Internet ab. Im Einzelfall entscheidet dann der Internetnutzer, was für ihn notwendig ist oder nicht.
Im PP-Fall entscheidet jedoch die PP-Gesellschaft für 12.000 Ärzte, was für diese sinnvoll ist oder nicht. Es wird, besonders in der Anfangsphase erheblichen Aufwands bedürfen, die individuellen Interessen dieser Ärzte alle in der Firewallkonfiguration zu berücksichtigen (sofern das Gerät dazu überhaupt technisch in der Lage ist).
Grenzen der Firewall-Sicherheit
Firewalls sperren bestimmte Port- und Protokollkennungen, Absender- und Empfängeradressen, sie können aber auch bestimmte Dienste filtern, d.h. nicht vorhergesehene Datenpakete analysieren. Es würde zu weit führen, die diesbezügliche Technik zu beschreiben.
Von der Firewall nicht erkannt werden jedoch bösartige Programme oder Attacken, die in verschlüsselten Datenpaketen enthalten sind, die als Teil erwünschter Daten als Attachement mit einem Mail verschickt werden oder Teil einer Website sind (z.B. Trapdoor-Programme oder Spyware).
Trapdoor = Programme, die eine Hintertür enthalten über die ein Angreifer eine Verbindung zum Wirtsrechner (beim Arzt) herstellen kann bzw. über die dann vertrauliche Daten vom Wirtsrechner verschickt werden
Spyware = Programme, die das Benutzerverhalten ausspähen, aber auch die Datenbestände des Wirtsrechners analysieren und ausspähen.
Weiters soll es, zumindest nach Aussagen von den Verantwortlichen, keine Beschränkungen in der Abrufbarkeit von Webseiten geben. Was die Gefahr, sich über diesen Weg unerwünschte und gefährliche Programme einzuhandeln wesentlich erhöht. Umgekehrt müsste eine Filterung von Webadressen und eine Beschränkung der Abrufbarkeit als Eingriff in die ärztliche Tätigkeit und als Zensurmaßnahme angesehen werden und wäre abzulehnen. Bei üblichen Webfiltern, die etwa in Unternehmen zur Verhinderung des Zugriffs auf sex- oder gesundheitsbezogene Seiten dienen, besteht die Gefahr, dass dem Arzt benötigte Informaitonen vorenthalten würden.
Sonstige Filterfunktionen
Hervorgekehrt werden auch die Spam- und Wurm-Filterfunktionen für den eMail-Verkehr des PP. Hier darf man sich nicht allzuviel erwarten. Eine Grundfilterung wird mittlerweile schon jetzt jeder Arzt bei seinem Mailprogramm anwenden, darüber hinaus bieten praktisch alle Internetprovider selbst derartige Filterdienste an. Ein Zusatzfilter wird kaum zusätzlichen unerwünschten Mailverkehr entfernen.
Tatsächlich ist mittlerweile nicht nur das Entfernen unerwünschter Mails ein großes Problem geworden, sondern auch das unerwünschte Unterdrücken von Mails durch derartige Filterprogramme, die ein Mail fälschlicherweise als Spam klassifiziert haben. Besonders beim Arzt dürfte es schwierig werden Spam mit gesundheitsbezogenen Inhalten von richtigen Mails mit derartigen Inhalten zu unterscheiden, will man nicht eine inhaltliche Kontrolle des Mailverkehrs durchführen.
Nutzen der Firewall
Zusammenfassend muss gesagt werden, dass ab dem Augenblick in dem sich ein Arzt zu einer Internetanbindung entschließt, er auch die persönliche Verantwortung für einen sicheren Betrieb hat. Dies kann der PP nicht abnehmen.
Entweder die Filter- und Firewallmaßnahmen sind zu weitmaschig, dann kann es einem Arzt, bei sorglosem Umgang mit dem Internet trotzdem passieren, dass Sicherheitslücken entstehen, oder sie sind zu engmaschig, dann kann es zu einer unzulässigen Beschränkung seiner Informationsfreiheit und zum unerwünschten Unterdrücken von Informationen kommen.
Welchen Beitrag liefert die angekündigte Sicherheitsüberprüfung?
Wie den Medien zu entnehmen ist, wird die PP-Installation durch den Ziviltechniker Prentner sicherheitstechnisch geprüft. Es bestehen keine Zweifel, dass die Grundkonfiguration den Sicherheitsmindestandard genügen wird.
Mit der Prüfung kann jedoch nur ein bestimmter Ist-Zustand festgestellt werden, schon am nächsten Tag könnten durch Eingriffe in die Firewallkonfiguration diese Sicherheitsstandards durchlöchert oder in das Gegenteil verkehrt werden. Man muss dabei gar nicht an böswillige Eingriffe denken, sondern muss auch beachten, dass sich eine bestimmte Konfiguration schlicht als nicht praxistauglich erweist und durch das Öffnen zusätzlicher Ports zusätzliche Gefahrenstellen entstehen.
Welchen Beitrag liefert der Peering-Point zum Datenschutz?
Wie aus den Ausführungen der Ärztekammer zu entnehmen war, sehen diese den Peering-Point in erster Linie als technische Einrichtung im Dienste der Ärzte. Protokollierungen, wer mit wem mit welchen Protokollen in welchem Umfang tatsächlich kommuniziert hat, finden entweder gar nicht statt oder man hat sich über diese Aufzeichnungen noch keine Gedanken gemacht. Vom Umfang der Aufzeichnungen und den daraus resultierenden Auswertungsmöglichkeiten hängt aber entscheidend ab, wie sicher das System betrieben wird und auch welche Eingriffe in den Datenschutz möglich sind.
Tatsächlich erlauben diese Informationen zwar keinen Einblick welche Befunddaten im Einzelnen übertragen wurden, sie erlauben jedoch einen Überblick welcher Arzt mit welchen Stellen wie häufig kommuniziert.
Diese Daten werden als Verbindungsdaten ebenfalls als schutzwürdig eingestuft und unterliegen bei Kommunikationsanbietern nach dem TKG strengen Verarbeitungsregeln (die PP-Gesellschaft wäre im übrigen ein derartiger Kommunikationsanbieter).
Aus datenschutzrechtlicher Sicht ist der PP-Betreiber als Dienstleister der Ärzte zu verstehen. Zwar dürfen Ärzte, wie alle anderen Datenverarbeiter Dienstleister heranziehen, sie bleiben jedoch als Verantwortliche ihrer Daten verpflichtet, diesen Dienstleister ausreichend zu überwachen und zu überprüfen. Üblicherweise wählt der Auftraggeber einen Dienstleister, dessen Tätigkeit er nachvollziehen kann und dem er rechtlich, organisatorisch und technisch vertraut.
Bei der PP-Lösung ist es gerade umgekehrt. Den Ärzten wird ein Dienstleister vorgesetzt, dessen Tätigkeit bis jetzt nicht nachvollziehbar ist!
Abgesehen von der grundsätzlichen Problematik keine Transparenz bei einer Angelegenheit (Verwaltung der Gesundheitsdaten der eigenen Patienten) zu haben, könnten sich auch datenschutzrechtliche Haftungsprobleme ergeben. Verantwortlich für die sichere Verwahrung der Patientendaten ist der Auftraggeber (Arzt) und nicht der Dienstleister, sollte also etwas beim PP passieren, würde die Verantwortung auf den betroffenen Arzt zurückfallen.
Offenbar denkt hier die Ärztekammer beim PP eher an eine "Versicherungskonstruktion", dies wurde auch mit dem "Freikauf von der technischen Verantwortung um 5 EUR/Monat" angedeutet. Der PP soll als technische Installation nach dem "Stand der Technik" allen Ärzten die Verantwortung über die sichere Verwaltung von Patientendaten abnehmen.
Das ist - angesichts der in Österreich niedrigen Datenschutz- und Datensicherheitsstandards und der mangelhaften Aufsicht - möglich, aus Sicht der AREG DATEN jedoch nicht wünschenswert. Für Patienten wird es dadurch noch schwieriger nachzuvollziehen, wer Zugang zu ihren Daten hat. Der Arzt, der bisher als Vertrauensperson anzusehen war, kann sich hinter der undurchschaubaren PP-Lösung "verstecken". Dies wird sicher nicht für alle Ärzte zutreffen, aber für jenen Teil der Ärzteschaft, die eher einen bürokratischen Zugang zum Arzt-Patienten-Verhältnis haben, ist der PP ein geradezu ideales Instrument Datenschutzverantwortung zu delegieren.
Zusammenfassung PP
Insgesamt bietet der PP ein gewisses Maß an Sicherheit, seine Organisation ist jedoch relativ aufwändig und komplex, sodass dieser Zusatz an Sicherheit nicht den gesamten Aufwand rechtfertigt.
Peering-Point als Teil der Gesundheitstelematiklösung
Hinter dem technischen Konstrukt PP steht jedoch ein weitergehender rechtlich-organisatorischer Rahmen. Das neue Gesundheitstelematikgesetz regelt zwar beim ersten Hinsehen nur den technischen Umgang mit Gesundheitsdaten und ist dabei ein wesentlicher Fortschritt zum oberflächlich gehaltenen §14 des DSG 2000 (Sicherheitsbestimmungen). Darüber hinaus werden aber zwei Aspekte geregelt, die gerade bei den niedergelassenen Ärzten Anlass zur Sorge geben müssten (bei den Patienten sowieso).
Erstens soll ein Gesundheitsdiensteanbieterverzeichnis geschaffen werden, das den darin enthaltenen Einrichtungen Zugang zu Gesundheitsdaten ermöglicht.
Zweitens soll dieser Zugriff auf die Gesundheitsdaten wesentlich erleichtert und automatisiert werden.
Bei den Gsundheitsdienstanbietern wird man in erster Linie an Ärzte und Spitäler denken, doch das Gesetz geht wesentlich weiter, auch Gesundheitsverwalter, wie Sozialversicherungen, aber auch Privatversicherungen, Labors und eigens eingerichtete Gesellschaften zur Gesundheitsvorsorge, fallen darunter. Letztlich hat sich das Gesundheitsministerium vorbehalten, Zugriff auf alle Daten zu erhalten.
Es soll zwar in Zukunft keine zentrale Gesundheitsdatenbank geschaffen werden, dies wäre vermutlich auch nicht administrierbar, doch soll ein Gesundheitsverbund entstehen. Das bedeutet, dass jede Gesundheitseinrichtung ihre Patientendaten freigibt und diese von allen anderen Gesundheitseinrichtungen abgerufen werden können.
Wie das technisch im Detail aussehen wird, dazu gibt es derzeit noch kaum Informationen, der PP wäre jedoch auf Grund seiner Konstruktion dafür besonders geeignet.
Das GesundheitstelematikGesetz schränkt zwar die Datenverwendung durch die anderen Gesundheitsdienstleister nach Maßgabe der rechtlichen Möglichkeiten ein, doch für die Überwachung deren Einhaltung wurden keine ausreichenden Instrumente vorgesehen. So fehlt eine Überprüfungsmöglichkeit bei der auskunftgebenden Stelle, ob eine behauptete Zustimmungserklärung eines Patienten zur Übermittlung von Gesundheitsdaten tatsächlich gültig ist.
So sind verschiedenste Szenarien denkbar:
(1) Hausärzte stellen ihre Patientendaten für Spitalsbehandlungen oder für weitere fachärztliche Untersuchungen zur Verfügung (es kann auch sein dass sie dazu gesetzlich verpflichtet werden oder diese Daten im Rahmen der SV-Abrechnungen offenlegen müssen) -> eine Privatversicherung holt sich eine Zustimmungserklärung beim Versicherten ein, die alle Ärzte von der Schweigepflicht entbindet und die Bekanntabe der Daten erlaubt -> die Versicherung holt sich über den Gesundheitsdatenverbund alle verstreut freigegebenen Patientendaten (die SV-Nummer ist der Schlüssel) -> der PP organisiert diesen Datenaustausch, protokolliert vielleicht sogar den Datenaustausch. Beides findet jedoch ohne Kenntnisname der Patienten und Ärzte statt (und wäre völlig gesetzeskonform!).
Heute holen die Versicherungen zwar auch derartige Zustimmungserklärungen ein, doch sie müssen bei jedem einzelnen Arzt anfragen und dieser kann immer noch im Einzelfall entscheiden, was er tatsächlich weitergibt.
(2) Ähnliche Ausgangslage, diesmal holt sich der (künftige) Arbeitgeber die Zustimmung ein, dass der Betriebsarzt auf die Daten zugreifen kann.
(3) Es wird eine eigene Gesellschaft gegründet, etwa zur "Vorsorge der Volksgesundheit", diese wird als Gesundheitsdienstanbieter zugelassen und hat - natürlich nur für statistische Zwecke - Zugriff auf die freigegebenen Gesundheitsdaten.
Klarzustellen ist, dass diese Szenarien heute noch nicht im PP aktiviert sind, doch sind sie vom Gesundheitstelematikgesetz her zugelassen und der PP wäre die geradezu perfekte Infrastruktur dazu.
Verschärft wird die Situation dadurch, dass Gesundheitsdiensteanbieter, die Teil des Gesundheitsdatenverbundes sind alle freigegebenen Daten auch automatisiert abrufen können und dazu keine besonderen Identifikationsmaßnahmen notwendig sind. Es ist offensichtlich geplant, dass die Webserver der verschiedenen Einrichtungen automatisch Gesundheitsdaten austauschen sollen (ohne Freigabe der Daten durch einen Arzt im Einzelfall).
Datenschutzinteressen der Ärzte und Patienten sind ausgeblendet
Bedauerlicherweise enthält des GesundheitstelematikGesetz keinerlei Datenschutzverpflichtungen, hier wird bloß auf das DSG 2000 verwiesen, was für den Laien gut klingt, aber letztlich eine Aushöhlung des Datenschutzs bedeutet.
Das DSG 2000 gilt nur subsidiär und enthält eine Fülle von Abwägungsklauseln, die in den jeweiligen Spezialgesetzen geregelt werden müssten.
Nur als Beispiel: Das DSG 2000 kennt zwar eine Protokollierung zur Datenermittlung und Übermittlung, aber nur nach Maßgabe des wirtschaftlich zumutbaren, technisch möglichen und zur Erreichung eines angemessenen Schutzniveaus. Dies bedeutet im Regelfall, dass nur wenige Protokolle geführt werden und Betroffene nicht erfahren woher Daten stammen bzw. an wen sie weiter gegeben wurden.
Es wäre daher von entscheidender Bedeutung gewesen, diesen Punkt im GTG zu regeln, dies ist aber nicht geschehen. Wenn man den gesamten Gesundheitsdatenverbund als sicher deklariert, müssten überhaupt keine Protokolle geführt werden, wer wann welche Gesundheitsdaten von welchem Arzt über welche Patienten abgerufen hat!
Weder Arzt noch Patient hätten in Zukunft einen Überblick über die Datenströme!
Hier sollten die Alarmglocken klingeln und es wäre dringend erforderlich abzuklären, welche Rolle der PP in diesem Gesundheitsdatenverbund tatsächlich einnimmt. Zumindest muss gefordert werden, dass jeder Datenverkehr so protokolliert wird, dass einerseits die Datenströme für die betroffenen Ärzte und Patienten nachvollziehbar sind und andererseits andere Stellen diese Daten nicht verwerten dürfen/können.
mehr --> Votum Separatum zum Gesundheitstelematikgesetz
mehr --> Das neue Gesundheitstelematikgesetz führt zur zentralen Gesund...
|
