Case Study
CompuGroup Medical Deutschland: Ein hochsicherer VPN-Zugangsdienst für das gesamte Gesundheitswesen
Der Aufbau der Telematikinfrastruktur gilt als das größte IT-Projekt im Gesundheitsbereich. Sie vernetzt Ärzte, Apotheken, Krankenhäuser und Krankenkassen und schafft in Deutschland den Zugriff auf die Gesundheitsdaten von 70 Millionen gesetzlich Versicherten. Angesichts der hochsensiblen Daten ist es auch ein großes IT-Security-Projekt. Der Aufbau des ersten zugelassenen VPN-Zugangsdienstes zeigt, welche besonderen Herausforderungen gelöst werden mussten.
Laut gematik (Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH) werden rund 70 Millionen gesetzlich Versicherte, 180.000 niedergelassene Ärzte und Zahnärzte, 20.500 Apotheken, 2.000 Krankenhäuser und 118 Krankenkassen die Telematikinfrastruktur (TI) nutzen. „Seit November 2017 befindet sich die Telematikinfrastruktur im Produktivbetrieb. Der reguläre Betrieb folgt auf eine dreijährige Erprobungsphase einschließlich einer langjährigen Zulassungsphase für eine Vielzahl sicherheitsrelevanter Komponenten“, erläutert Arthur Steinel, General Manager im Geschäftsbereich TELEMED der CompuGroup Medical Deutschland AG. Als Projektleiter für den VPN-Zugangsdienst, einer zentralen Komponente der TI, hat er einen tiefen Einblick in das gesamte Projekt. Die CompuGroup Medical (CGM) SE ist ein führendes E-Health-Unternehmen mit Software-Produkten zur Unterstützung aller ärztlichen und organisatorischen Tätigkeiten in Arztpraxen, Apotheken, Laboren und Krankenhäusern.
Sichere Telematikinfrastruktur
Die TI sorgt für die flächendeckende digitale Vernetzung der Akteure im Gesundheitsbereich und dient als sichere Plattform für den Informationsaustausch und die Nutzung von Fachanwendungen. Sie ermöglicht im ersten Schritt die Online-Prüfung und Aktualisierung von Versichertenstammdaten. Im zweiten Schritt folgt die qualifizierte elektronische Signatur (QES). Sie ermöglicht die rechtssichere Unterschrift z. B. des Arztes in digitaler Form. Damit können u. a. Abrechnungen signiert versendet oder Arztbriefe elektronisch verschickt werden. Die TI schafft zudem die Voraussetzungen dafür, dass die Daten der Patienten (z. B. Arztbriefe, Notfalldaten, Daten über die Medikation) in einer elektronischen Patientenakte bzw. in einem Patientenfach für die Patienten bereitgestellt werden können.
Die TI ist ein geschlossenes Netz auf der Basis eines VPN-Zugangsdienstes (Virtual Private Network), zu dem nur registrierte Nutzer Zugang erhalten.
Zu den Sicherheitsanforderungen gehörte der Aufbau eines gegenüber dem Internet abgeschotteten VPN-Netzes. Dabei erfolgt die sichere Authentifizierung der Teilnehmer bspw. in einer Arztpraxis auf Basis von Chipkarten (Praxis- bzw. Institutionskarte). Sie kommunizieren über einen sogenannten Konnektor, einen VPN-Router mit fest eingebauter Chipkarte.
Die TI-Plattform liefert die Infrastruktur und stellt darauf aufbauende grundlegende Sicherheitsfunktionen zur Verfügung. Die wichtigsten Elemente sind:
- sichere, verschlüsselte Kommunikation und Schutz vor dem Zugriff auf sensible Informationen
- gesicherte Authentisierung der Kommunikationspartner
- Nutzung einer qualifizierten elektronischen Signatur
- Die verwendeten kryptografischen Verfahren werden durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig überprüft und an die neuesten Entwicklungen angepasst.
- Ein Datenschutz- und Informationssicherheitsmanagementsystem (DSMS/ISMS) überwacht den datenschutzkonformen und sicheren Betrieb der TI.
Ein flächendeckender VPN-Zugangsdienst für das Gesundheitswesen
„Von der gematik als Zulassungsbehörde werden an einen flächendeckenden VPN-Zugangsdienst sehr hohe Anforderungen an die Funktionalität und Sicherheit gestellt“, berichtet Arthur Steinel. Um an der Erprobungsphase des VPN-Zugangsdienstes teilnehmen zu können, mussten die zentralen Hochsicherheitskomponenten, Firewalls und VPN-Konzentratoren, eine Zertifizierung durch das BSI auf der Basis von Schutzprofilen nach Common Criteria (CC) für IT-Produkte nachweisen. Mit den Schutzprofilen setzt das BSI Mindeststandards für ausgewählte Produktgruppen wie Netzwerk- und Kommunikationsprodukte. „Die Lösungen des deutschen IT-Sicherheitsherstellers genua GmbH, die vom BSI regelmäßig zertifiziert werden, erfüllen diese hohen Anforderungen“, so Steinel.
genua ist ein deutscher IT-Sicherheitshersteller mit Sitz in Kirchheim bei München. Als zentrale Firewall sowie als VPN-Konzentrator wird die Firewall & VPN-Appliance genuscreen eingesetzt. genuscreen ist eine hochwertige IT-Sicherheitslösung mit Zertifizierung nach CC EAL 4+ und Zulassung bis zur Geheimhaltungsstufe VS-NfD.
Physisch getrennt von der sonstigen Telematikinfrastruktur erhalten die Teilnehmer auch die Möglichkeit eines sicheren Internetzugangs. Der sogenannte Secure Internet Service (SIS) ist extra abgesichert. Der Projektleiter bezeichnet die dafür genutzte dreistufige Firewall als eine weitere wichtige Sicherheitskomponente. Das BSI empfiehlt zur Sicherung von Datennetzen mit mittlerem oder hohem Schutzbedarf den Einsatz mehrstufiger Firewall-Lösungen, die sich aus unterschiedlichen Systemen zusammensetzen. Die Firewall genugate besteht aus einem Application Level Gateway und einem Paketfilter und bietet somit bereits zwei Stufen. Dieses Konzept hat auch das BSI überzeugt, das genugate mehrfach nach CC in der Stufe EAL 4+ zertifiziert hat. Dabei wurde stets der starke Widerstand gegen direkte Angriffe hervorgehoben. Hier erfüllt genugate als einzige Firewall weltweit die CC-Anforderungen der Stufe EAL 7.
Die Firewall genugate, kombiniert mit einem weiteren Paketfilter, ergibt die angestrebte dreistufige Sicherheitslösung. Die drei Firewalls sind in Reihe geschaltet: Zunächst prüft ein Paketfilter (PFL) die Daten auf der Netzwerk- und Transportschicht-Ebene. Dann folgt das Application Level Gateway (ALG) auf der Anwendungsebene. Als dritte Stufe folgt ein weiterer Paketfilter, den die Daten bei ihrem Weg durch das gesamte Firewall-System durchlaufen müssen.
„Die Komponenten des VPN-Zugangsdienstes mussten schließlich in Hunderten von Tests nachweisen, dass sie die funktionalen und sicherheitstechnischen Anforderungen der Produktsteckbriefe tatsächlich erfüllten“, erklärt der Projektleiter. Die Anforderungen für den VPN-Zugangsdienst umfassten allein über 300 Seiten. Und je Anforderung musste ein Testnachweis erbracht werden. Zu den Nachweisen gehörten so unterschiedliche Dinge wie das Abdecken des korrekten Verhaltens des Dienstes bei fehlerhaften kryptografischen Karten oder dass im Sicherheitsprotokoll IPsec (Internet Protocol Security) die geforderten Verschlüsselungsalgorithmen unterstützt werden und auch funktionieren, während unsichere nicht verwendet werden dürfen.
Zahlreiche Hürden beim Aufbau der Telematikinfrastruktur
Der Aufbau der Telematikinfrastruktur erwies sich als schwierige Marathonstrecke mit etlichen zusätzlichen Hürden. Zunächst musste sich CompuGroup Medical gemäß der Sicherheitsnorm ISO/IEC 27001 auf Basis von IT-Grundschutz zertifizieren lassen und ein Informationssicherheits-Managementsystem (ISMS) gegen Gefährdungen der IT-Sicherheit implementieren.
„In einem so großen Sicherheitsnetz mit sehr vielen Teilnehmern und höchst sensiblen Anwendungen ist die höchstmögliche Verfügbarkeit der Systeme eine kritische Anforderung. Deshalb werden alle Systeme in hochverfügbaren Clustern eingesetzt. Zusätzlich steht im Rechenzentrum für jedes Cluster ein Ersatzsystem und das gleiche nochmals in einem räumlich getrennten Zweit-Rechenzentrum“, so der Projektleiter. Fällt eine Komponente aus, steht nur eine kurze Zeit zur Verfügung, in der der Schwenk auf die Ersatzkomponente erfolgt sein muss. „Wir hatten in der Anfangsphase als Betreiber einer essenziellen Komponente der TI als kritische Infrastruktur (KRITIS) gemäß des IT-Sicherheitsgesetzes eine meldepflichtige Notfallsituation durch einen Stromausfall an einem Internet-Hauptknoten. Beim Wechsel zum Ausweichrechenzentrum gab es unerwartete Schwierigkeiten mit Komponenten. Hier haben die Spezialisten von genua zur entscheidenden Lösung beigetragen“, gibt Steinel einen Einblick. Durch den gleichzeitigen Zugriff sehr vieler Konnektoren war eine Überlastsituation entstanden, die manuell behoben werden musste. Die Techniker von genua entwickelten daraufhin eine Lösung, die nun in ähnlichen Situationen einen automatischen Schwenk sicherstellt.
Die laufende Anpassung der TI-Spezifikationen erforderte auch wiederholte Änderungen im VPN-Zugangsdienst. Als Beispiel nennt Steinel eine Aktualisierung des Internet-Standards IKE (Internet Key Exchange) für den kryptografisch abgesicherten Schlüsselaustausch beim IPsec-Protokoll. Die Umstellung auf die neue IKE-Variante konnte schnell umgesetzt werden, da diese Aktualisierung in den Systemen von genua bereits implementiert war.
Hochsicherheitskomponenten haben sich bewährt
Der Projektleiter des VPN-Zugangsdienstes zieht aus den Erfahrungen mit den eingesetzten Sicherheitskomponenten ein durchweg positives Fazit: „Mit dem Beginn des Produktivbetriebs bieten wir den VPN-Zugangsdienst im freien Wettbewerb an. Eine Zertifizierung der Komponenten nach dem BSI-Schutzprofil wird jetzt nicht mehr verlangt. Nach den sehr guten Erfahrungen mit den Komponenten von genua halten wir aber daran fest. Das hat sich bestens bewährt.“ Er verweist auch auf gute Erfahrungen mit dem Support des deutschen Herstellers. Entgegen der sonstigen Philosophie habe man hier kein eigenes Know-how zusätzlich aufgebaut, sondern vertraue auf die gute Beratung durch die Spezialisten von genua.
Als besonderen Nutzen der Lösung sieht er, dass die Technik speziell für sehr hohe Sicherheitsanforderungen konzipiert ist. „Das sind fertige Appliances mit abgestimmten Hardware- und Software-Komponenten. Sicherheit und Funktionalität sind für die erhöhten Anforderungen bereits optimiert. Da bringt das Unternehmen genua viel Erfahrung mit“, zieht der Projektleiter sein Fazit.