Arbeitsgruppe

Datenschutz und IT-Sicherheit im Gesundheitswesen (DIG)

Sicherheitsempfehlungen zu Modem-Verbindungen im Krankenhaus

Erarbeitet von der GMDS-Arbeitsgruppe „Datenschutz in Gesundheitsinformationssystemen“

Aus verschiedenen Gründen kann für Rechner in einem Krankenhaus ein Modem-Anschluß wünschenswert sein:

  • Zugriff auf externe Informationen im Internet.
  • Systemverwaltungsarbeiten in Heimarbeit.
  • Anwendungsbearbeitung in Heimarbeit.
  • Fernwartung durch Firmen.
  • Telemedizinische Anwendungen.

Dabei entstehen erhebliche Sicherheitsrisiken, sowohl für den Schutz der Patientendaten und anderer personenbezogener Daten als auch für die Integrität der angeschlossenen Rechner und des gesamten Krankenhaus-Informationssystems, die besonders sorgfältige Planung, Konfiguration und Dokumentation erfordern.

1. Grundsätze zum Modem-Anschluß

„Remote Access Server“ (RAS) und Modems besitzen umfangreiche und sehr komplexe Konfigurationsmöglichkeiten, wobei die Voreinstellungen oft unsicher sind. Die zuverlässige Konfiguration erfordert erhebliche Systemkenntnisse und Sorgfalt. Da Sicherheitsprobleme nur in einer möglichst einfachen Konstellation beherrschbar bleiben, ist ein zentraler Modem- und Access-Server einzurichten, der unter der Verantwortung einer geeigneten Stelle im Krankenhaus (Rechenzentrum, zentrale Service-Abteilung) betrieben wird. Diese Stelle ist so auszustatten, daß sie die nötige Kompetenz erwerben kann. Weitere Modem-Verbindungen sind in der Regel zu verhindern, weil sie die Sicherheit des gesamten Klinikinformationssystems unkontrolliert untergraben können. (Eine technische Kontrolle auf ungenehmigte Anschlüsse ist allerdings schwierig.) Ausnahmen von dieser Regel können gestattet werden

  • für Rechner, die in der Klinik nicht weiter vernetzt sind und auf denen keine personenbezogenen Daten gespeichert sind - etwa zur Informationssuche im Internet, wenn keine andere Möglichkeit besteht,
  • in begründeten Ausnahmefällen, sofern die unten aufgeführten Maßnahmen getroffen sind und die Möglichkeiten eines sicheren Firewall-Tunnels nicht genützt werden können - etwa um einen 24-Stunden-Notdienst an wichtigen Systemen zu gewährleisten oder wenn eine Fernwartungsverbindung über den zentralen Modemserver nicht möglich ist.

2. Anforderungen an einen Modem-Anschluß

Folgende Anforderungen gelten sowohl für einen zentralen Modem-Server als auch für Einzelanschlüsse, soweit sie für die Einwahl von außen ins Krankenhausnetz verwendet werden sollen:

  • Es ist ein Rückruf-Modem (oder die im allgemeinen besser konfigurierbare Rückrufmöglichkeit des RAS) zu verwenden; die Umgehung der Rückruffunktion sollte ausgeschlossen werden können. Eine Rückrufweiterleitung, wie bei ISDN möglich, ist zu verhindern.
  • Es ist ein verschlüsselndes Modem zu verwenden, damit die übertragenen Daten kryptographisch gesichert sind.
  • An jedem externen Arbeitsplatz ist eine gesicherte Umgebung herzustellen; insbesondere ist der Zugriff durch Familienangehörige oder weitere Personen zu verhindern.
  • Der Datenschutzbeauftragte des Krankenhauses ist von der geplanten Installation in Kenntnis zu setzen; von ihm für diesen Zweck vorgesehene Verpflichtungserklärungen sind zu unterschreiben.
  • Vor Inbetriebnahme ist eine sorgfältige Konfigurationsbeschreibung vorzulegen, aus der insbesondere hervorgeht, ◦welche Anwendung ausgeführt werden soll und welche Daten dabei übertragen werden,
    • welche Übertragungsprotokolle verwendet und wie Nebenwirkungen, wie z. B. IP-Routing, kontrolliert werden,
    • welche sicherheitsrelevanten Konfigurationsoptionen eingestellt werden, insbesondere wie die Rückruffunktion konfiguriert ist,
    • welches kryptographische Verschlüsselungsverfahren verwendet wird,
    • welche Sicherheitsmaßnahmen sonst getroffen werden,
    • wie die Konfigurationsdaten des Modems und gegebenenfalls des RAS vor Zugriff geschützt sind,
    • welche Ereignisse aufgezeichnet werden und wie diese Aufzeichnungen behandelt werden.

Mit dieser Beschreibung belegt der Betreiber des Anschlusses zugleich seine Befähigung, mit dem Anschluß verantwortungsvoll umzugehen.
Bemerkung: Die kryptographische Verschlüsselung der Übertragung ist auch dann wünschenswert, wenn keine personenbezogenen Daten übertragen werden, um die Integrität des Krankenhausinformationssystems nicht unnötigen Risiken auszusetzen, insbesondere, um Paßwörter zu schützen.
Hingewiesen werden soll hier auch auf den Abschnitt über Modems im IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

3. Anwendungsfälle

Die oben formulierten allgemeinen Anforderungen gelten in jedem der folgenden Fälle, sofern nicht ausdrücklich etwas anderes gesagt wird.

3.1 Systemverwaltung

Ein Fernzugriff ist nur bei gründlicher Sachkenntnis zuzulassen. In diesem Fall ist der Zugriff über einen sicheren Firewall-Tunnel oder, soweit das nicht möglich ist, über ein Einzelmodem mit direkter Verbindungsschaltung vorzuziehen. Für die Verwendung eines privaten Rechners gilt das im Abschnitt �Anwendungsbearbeitung� Gesagte.

3.2 Anwendungsbearbeitung

Die Notwendigkeit zum Fernzugriff ist besonders gründlich zu prüfen. Der Zugang über einen sicheren Firewall-Tunnel oder den Modemserver mit RAS sollte dann obligatorisch sein. Ein privater PC soll für diesen Anwendungsfall nicht verwendet werden; wegen der Beschlagnahmeproblematik soll der Rechner dem Krankenhaus gehören und inventarisiert sein. Er unterliegt dann auch der Kontrolle durch den Datenschutzbeauftragten des Krankenhauses.

3.3 Fernwartung

Fernwartung ist rechtlich unter dem Gesichtspunkt der Auftragsdatenverarbeitung zu sehen. Auftragsdatenverarbeitung und Fernwartung sollten in ihren Modalitäten in einem rechtsverbindlichen Vertrag festgelegt werden, insbesondere, wenn personenbezogene Daten verarbeitet werden. Dieser Vertrag sollte enthalten:

  • Festlegung der Beteiligten, die persönlich zu benennen und zu verpflichten sind
  • Festlegung des Umfanges der Datenverarbeitung
  • Festlegung der Verantwortlichen und ihrer Stellvertreter
  • Organisation der Datenübermittlung

Auch die mögliche Weiterleitung von Wartungsproblemen an übergeordnete Service-Zentren oder Software-Entwickler („Eskalation“) sollte im Vertrag geregelt sein; bei internationalen Firmen ist hier für die eventuelle Übermittlung von Daten ins Ausland die Datenschutzgesetzgebung zu beachten. Die Weitergabe von Daten im Rahmen der Fernwartung ist allerdings nur dann datenschutzrelevant, wenn es sich um sensible Daten handelt, nicht aber, wenn die Daten anonymisiert sind.
Die Sicherheitsanforderungen für Fernwartungsverbindungen sind in der Regel durch ein Einzelmodem mit direkter Verbindungsschaltung am besten erfüllbar. Das Modem sollte außer im unmittelbaren Anwendungsfall abgeschaltet sein. Fernwartungsverbindungen sollen nur vom Krankenhaus her aufgebaut werden dürfen; gleichwertig hierzu ist das Vorgehen: Anruf vom Krankenhaus beim Fernwartungsservice, Einschalten des Modems, Einwahl durch die Firma. Ein beliebiges Einwählen durch die beauftragte Firma ist abzulehnen.
Bei der Konfiguration kann, nach entsprechender vertraglicher Gestaltung, auf die Sachkenntnis der externen Firma zugegriffen werden. Die Anmietung eines Raumes bei der Firma durch das Krankenhaus zum Zweck der Fernwartung ist zu empfehlen. Die Fernwartung ist abzustufen nach

  • Hardware
  • Betriebssystem
  • Anwendungssoftware

nur die jeweils unbedingt nötigen Zugriffe sind zu gewähren. Vor allem ist sicherzustellen, daß kein Zugriff auf Patientendaten erfolgen kann, etwa durch Anonymisierung; in unvermeidbaren Ausnahmefällen ist auf die persönliche Verpflichtung zum Datengeheimnis zu verweisen. Die Fernwartungsaktivitäten sind lokal durch einen Systemverantwortlichen mitzuverfolgen, der gegebenenfalls die Verbindung sofort unterbrechen kann; sie sind außerdem automatisch zu protokollieren. Nach Möglichkeit ist ein Testsystem bereitzustellen; nach Abschluß der Wartung werden dann die Änderungen vom lokalen IT-Personal in das Produktionssystem übernommen. Auf diese Weise wird auch die Stabilität des Produktionssystems besser gewährleistet.
Zum Thema „ernwartung“gibt es eine Reihe von Stellungnahmen der Landesdatenschutzbeauftragten, insbesondere Leitlinien des Landesbeauftragten für den Datenschutz Bremen, die von der Konferenz der Datenschutzbeauftragten zustimmend zur Kenntnis genommen wurden und von der Arbeitsgruppe unterstützt werden.

3.4 Telemedizinische Anwendungen

Hier ist die Verbindung grundsätzlich über den Modemserver und RAS aufzubauen. Eine besonders gründliche IP-Nummern-Kontrolle ist vorzusehen.

3.5 Internet-Anschluß

Der Anschluß, außer von einzeln stehenden Rechnern ohne personenbezogene Daten, ist über ein Firewall-System zu realisieren. Hierzu liegt bereits eine Empfehlung der Arbeitsgruppe vor.

Autor: Klaus Pommerening, 19. Januar 1998; letzte Änderung: 15. Oktober 1998