10. Februar 1998

Dieser Auszug ist der Anhang des Berichtsteils (B.) Sicherheit in der Informationstechnik (Seiten 83-87) der Drucksache 13/11002, 13.Wahlperiode, des Deutschen Bundestages, Vierter Zwischenbericht der Enquete-Kommission Zukunft der Medien in Wirtschaft und Gesellschaft --- Deutschlands Weg in die Informationsgesellschaft*) zum Thema Sicherheit und Schutz im Netz

Der Abschnitt wurde mittels Ghostview/Ghostscript aus dem fast 13 MB großen Gesamtdokument im PDF-Format extrahiert und in HTML formatiert.
Zur Seite mit den Originaldateien in den Formaten TXT (223k) und PDF (2,2M)

Zum Gesamt-Inhaltsverzeichnis

2 Sicherheitsprobleme und Risiken in spezifischen Bereichen

2.1 Gesundheitswesen

Die Betrachtungen zur Bedeutung der Sicherheitstechnik in der Medizin beruhen u. a. auf den Erfahrungen und Erkenntnissen aus der Zusammenarbeit mit Ärzten, sowie den Erfahrungen aus dem DFG Sonderforschungsbereich 414 "Informationstechnik in der Medizin --- Rechner- und sensorgestützte Chirurgie" der Universitäten Karlsruhe und Heidelberg. Wurde die EDV früher praktisch nur zu Verwaltungs- und Abrechnungsarbeiten genutzt, wird sie nun zum integralen Bestandteil der Diagnose und Therapie, bzw. ist es bereits geworden. Es ist davon auszugehen, daß die Führung der Patientenakte auf rechnergestützten Datenbanken statt auf Papier und Film auch in Kliniken in absehbarer Zeit zum Normalfall wird. Die Sicherheitsanforderungen haben sich damit grundlegend verändert. Waren bisher vornehmlich finanzielle, verwaltungstechnische und in gewissem Umfang datenschutzrechtliche Aspekte relevant, sind und werden nunmehr auch die Gewährleistung der ärztlichen Schweigepflicht und die Gesundheit des Patienten in zunehmendem Maße von der fehlerfreien und nachweislich nicht manipulierbaren und nicht manipulierten Funktion der in stark zunehmendem Umfang eingesetzten Rechner und Telekommunikationseinrichtungen abhängig. Ein Nebeneffekt des EDV-Einsatzes und der Vernetzung ist, daß dadurch auch Fremdeinflüsse wie die Fernwartung auf den Ablauf der medizinischen Behandlung einwirken können, daß also nicht mehr nur der behandelnde Arzt den entscheidenden Faktor bei Erfolg oder Mißerfolg der Behandlung repräsentiert.

2.1.1 Erhöhte Bedeutung der Datenverarbeitung

Die Entwicklung der Medizintechnik in den letzten Jahren zeigt vor allem in den Kliniken eine massive Zunahme der Verwendung und Abhängigkeit von Rechnern und Telekommunikationsgeräten. Dies ist einerseits auf die Entwicklung und Nutzung von neuen medizinischen Geräten, wie z. B. Computertomographen, Kernspintomographen, Operationsrobotern oder Geräten zur maßgenauen Einzelanfertigung von Prothesen, zurückzuführen, die ohne Computertechnik gar nicht denkbar wären. Andererseits sind inzwischen auch Diagnose- und Therapieeinrichtungen "computerisiert", die nicht notwendigerweise der Rechnerunterstützung bedürfen, wie Röntgen- und Bestrahlungsgeräte, EKG und EEG. Der verstärkte Einsatz von EDV bedingt und wird bedingt durch die sich zeitgleich entwickelnde Verwendung von Telekommunikationseinrichtungen, die zur einfachen und schnellen Datenübermittlung, aber auch zur Ferndiagnose und Telemedizin genutzt werden. Damit hat die Datenverarbeitung in der Medizin eine neue Qualität erlangt. Zur Verdeutlichung werden einige fiktive (aber durchaus realistische und von realen Gegebenheiten ausgehende!) Szenarios dargestellt:

Szenario 2.1

"Datarazzi" und Krankenakten

Eine prominente Person befindet sich nach einem schweren Autounfall in Folge von Alkoholproblemen in stationärer Behandlung. Weil die Regenbogenpresse massiv versucht,

an medizinische und sonstige Informationen zu gelangen, wird der Patient physisch abgeschirmt.

• Statt diesen Schutzwall zu durchdringen läßt man Hacker auf der Suche nach personenspezifischen Informationen ("Datarazzi" in das mangelhaft geschützte Kliniknetz eindringen. Sie gelangen dabei an die Patientenakte und die Laborwerte von Blutuntersuchungen. Der Skandal nimmt seinen Lauf.

• Der Hersteller des Computertomographen dieser Klinik hat Sicherungsmaßnahmen ebenfalls vernachlässigt und verwendet einfache und leicht zu merkende Paßworte für den Steuerungsrechner. Der Hacker dringt so auch in den Tomographen vor. Weil zu jeder Untersuchung zwecks Einblendung in die Röntgenbilder der Name des Patienten eingegeben und in den Tomographiedateien abgelegt wird, findet der Hacker sofort die gesuchten Daten aus der Vielzahl der gespeicherten Tomographien. Der Angreifer zieht alle diese Daten vom Personal völlig unbemerkt über das Internet oder einen ISDN-Wartungszugang ab. Am nächsten Tag werden alle Informationen wie die Leberwerte, die bestehenden Infektionen und die Tomographien samt Befundung der Verletzung in der Regenbogenpresse wiedergegeben, was fatale Auswirkungen für die Person hat.

Szenario 2.2

Sicherheitsproblem mit tödlichem Ausgang Ein durch einen anderen Staat verfolgter Dissident liegt nach einer Routineoperation auf der Intensivstation. Er ist gegen bestimmte in seiner Situation indizierte Medikamente allergisch. Ein gedungener und medizinisch versierter Hacker dringt in das Kliniknetz ein und entfernt den Hinweis auf die Allergie aus der Datenbank. Dem Patienten wird infolge dessen ein unverträgliches Medikament verabreicht. Er erleidet wenig später einen anaphylaktischen Schock mit terminalem Kreislaufkollaps. Die Patienten der Station sind zwar an ein Meldesystem angeschlossen, das alle Vitalfunktionen überwacht, in das Zimmer des diensthabenden Personals überträgt und dort gegebenenfalls Alarm auslöst. Der Hacker modifiziert aber das System über einen Fernwartungszugang und sorgt dafür, daß die Anzeigen mehrerer Patienten vertauscht oder durch Kopien und Simulationen ersetzt werden. Bei Eintritt des Kreislaufversagens schlägt das System Alarm, zeigt die kritische Situation jedoch nicht für den betroffenen, sondern in kurzen Abständen für drei andere Patienten an. Das Personal ist dadurch für längere Zeit abgelenkt und mit den anderen Patienten beschäftigt. Der Dissident verstirbt planmäßig und unbemerkt.

Szenario 2.3

Gesundheitsschäden durch Softwaremängel

Auf verschiedenen Rechnern in einem Klinikum wird eine neue Software installiert. Die Installation wird dabei durch eine nichtssagende graphische Benutzeroberfläche gesteuert, die keinerlei Aufschluß darüber gibt, daß nicht nur das Softwarepaket einkopiert wird, sondern auch an verschiedenen Stellen des Betriebssystems Konfigurationsdaten verändert werden. Außerdem ersetzt die Installationssoftware einige der Programmbibliotheken durch andere Versionen, die der Autor der Software für neuer oder wichtiger hält. Zunächst erscheinen alle Funktionen einwandfrei. Tatsächlich aber unterscheiden sich die Datenstrukturen der neuen Bibliotheken geringfügig von denen der alten Versionen. Die anderen Programme funktionieren zwar augenscheinlich, unter bestimmten Umständen werden während des Programmlaufs aber falsche Speicherbereiche beschrieben, Array-Grenzen überschritten, Texte als Gleitkommazahlen interpretiert usw. Diese Fehlfunktionen fallen nicht weiter auf. Es kommt zwar in seltenen Fällen zum Absturz einiger Rechner oder zu Meldungen über "Allgemeine Rechteverletzungen", aber da dies ohnehin als normal angesehen wird, wird dem keine Beachtung geschenkt. Im Laufe des Betriebs treten dann unbemerkte Fehler auf:

• In der Medikamentenliste eines Patienten mit hohem Blutdruck und altersbedingten Gefäßveränderungen fehlt plötzlich ein blutdrucksenkendes Präparat, weil während des fehlerhaften Programmlaufes der Text mit Nullen überschrieben wurde. Der Patient erleidet einen Schlaganfall.
  
  

• Ein anderer Patient mit einem Hirntumor wird mit Bestrahlungen behandelt. Dazu wird mit einer rechnergesteuerten Fräse eine Maske hergestellt, die die Bestrahlung auf das befallene Gewebe beschränkt. Bei der Berechnung der Steuerdaten für die Fräse wurden zwei Gleitkommazahlen mit Text überschrieben und erhielten dadurch unsinnige Werte. Der Ausschnitt der Maske wurde dadurch geringfügig verschoben und deformiert. Außer dem Tumor wird deshalb mehrfach auch angrenzendes gesundes Gewebe bestrahlt. Zwar stellen Patient und Arzt daraufhin bald Beschwerden fest, die auf eine Beeinträchtigung der Hirnfunktionen zurückzuführen sind, als Ursache wird aber der vermeintlich wachsende Tumor angesehen und die Behandlung fortgesetzt. Der Patient erleidet eine irreversible Hirnschädigung.

2.1.2 Zugriffsrechte und Sicherheitsanforderungen

Im Rahmen des Entwurfs einer medizinischen Datenbank sollten die Zugriffsberechtigungen auf konventionell gespeicherte Patientendaten (Papier, Filme usw.) erfaßt werden, um diese durch Modellbildung organisatorisch und kryptographisch nachzubilden. Bei Sicherheitsuntersuchungen in Kliniken stellte sich jedoch heraus, daß es kein allgemeingültiges Sicherheitsmodell und keine Methodologie gibt und daß Lese-, Schreib- und Löschzugriffe sicherheitstechnisch normalerweise weder erfaßt, noch kontrolliert werden. Ausnahmen sind einige lokale Regelungen, die aber nicht mit voller Konsequenz durchgehalten werden und nicht die anzustrebende Wirkung erzielen. Integrität, Authentizität, Vertraulichkeit und Nachweisbarkeit der Datenhaltung sind nicht gewährleistet; dem ist gegenüberzustellen, daß eine erhebliche Steigerung der Sicherheit im Bereich konventionell gespeicherter Daten mit vernünftigem Aufwand auch nicht zu erreichen wäre. In der Realität wird bezüglich der Vertraulichkeit die Stellung der Mitarbeiter einer Abteilung --- Ärzte, Pfleger, Sekretärin usw. --- praktisch nicht differenziert. Herkunft und Echtheit von Daten werden praktisch nie explizit überprüft.

Szenario 2.4

Aktenanforderung durch falschen Arzt Es ist durchaus möglich, daß ein Unbefugter sich durch entsprechendes Auftreten in einer Klinik als behandelnder Arzt eines Patienten ausgibt und unter Angabe einer Briefkastenadresse um künftige Zusendung der Befunde usw. bittet und so an Patientendaten gelangt, die der Schweigepflicht unterliegen. Ebenso könnte ein Unbefugter mit entsprechendem Auftreten und entsprechender Kleidung unrichtige Patientendaten über die Stationsrechner oder auf konventionelle Weise einschleusen und auf Fehlbehandlung etc. "hoffen". Durch den verstärkten Einsatz von EDV und Telekommunikation, und damit auch automatisierbarer Vorgänge, würde zwar einerseits die Gefährdung erheblich erhöht, wenn hier kein explizites Rechtemodell geschaffen und technisch durchgesetzt wird, andererseits bieten EDV und Telekommunikation aber auch erst die organisatorischen und kryptographischen Mittel zum Einsatz eines solchen Rechtemodells. Parallel zum zunehmenden Einsatz der Computertechnik muß daher vom Gesetzgeber ein restriktives Zugriffsrechtemodell entworfen und durchgesetzt werden.

2.1.3 Besonderheit Notfall

Der medizinische Bereich ist durch eine Besonderheit gekennzeichnet, nämlich das mögliche Vorliegen eines Notfalls, der die plötzliche Anforderung höchster Verfügbarkeit mit sich bringt. Sicherheitsanforderungen wie Vertraulichkeit, Authentizität und Integrität haben jedoch zum Ziel, die Verfügbarkeit für den Angreifer zu minimieren und können sich dann als gefährlich erweisen, wenn sie der im Notfall benötigten Verfügbarkeit entgegenstehen, weil der behandelnde Arzt nicht oder nicht schnell genug als befugter Benutzer erkannt werden kann und ihm der möglicherweise dringend notwendige Zugang verweigert wird. Daher ist durch geeignete Maßnahmen sicherzustellen, daß im Notfall

• durch den Einsatz der Computertechnik keine Nachteile entstehen und

• daß Vorteile, die die Computertechnik bieten kann, auch tatsächlich gewährleistet werden.

Ein Problem stellt in dieser Situation die Unterscheidung zwischen befugtem und unbefugtem Benutzer dar, weil Notfälle nicht vorhersagbar sind, prinzipiell jeder Arzt der behandelnde Arzt sein kann und die personenspezifische Befugnisse eines bestimmten Arztes im Notfall möglicherweise nicht überprüft werden können 226 ) Es ist daher ein Rechtemodell zu entwickeln, das im Notfall die Verfügbarkeit nicht einschränkt und trotzdem hinreichenden Schutz bietet, auch bei einem fingierten Notfall. Auch hier besteht dringender Handlungsbedarf bei Forschung, Entwicklung und Gesetzgebung.

2.1.4 Beweisbare Dokumentation

Verstärkte Beachtung muß --- gerade mit Hinblick auf datenschutzrechtliche Belange --- auch der Zugriffsmöglichkeit des Patienten auf seine Daten geschenkt werden. Dabei ist zu unterscheiden zwischen der Akteneinsicht und der Aktenveränderung, etwa die Entfernung von Einträgen, die dem Patienten peinlich sein könnten. Der Patient hat ein Interesse, die Akte auf Vollständigkeit (Integrität der Gesamtakte), Integrität der Einzeleinträge und Authentizität prüfen zu können, außerdem in Erfahrung zu bringen, wer wann worauf Einblick genommen hat. Außerdem will er im Streitfall den Inhalt der Patientenakte einem Dritten resp. einem Gericht gegenüber beweisen können. Auch der Arzt muß im Streitfall beweisen können, welche Einträge er wann vorgenommen hat, um sich z. B. vom Vorwurf einer Fehlbehandlung befreien zu können. Ebenso muß er auch aktive und passive Zugriffe des Patienten beweisen können, nämlich wenn es um Behandlungsfehler aufgrund vom Patienten entnommener (d. h. gegen Zugriff gesperrter) Daten oder den Vorwurf mangelnder Aufklärung geht. Damit werden ganz erhebliche Anforderungen an die Integrität, Authentizität, Vertraulichkeit und Beweisbarkeit von Patientenakten gestellt.

2.1.5 Abrechnungswesen

Die Gefahr der Verletzung der Schweigepflicht und des Datenschutzes, aber auch der Fälschung sind durch die neue Art der detaillierten digitalen Abrechnung offensichtlich. Zu Ungereimtheiten bei der Abrechnung medizinischer Leistungen wird auf die Veröffentlichungen in der Presse, und zu Verletzungen des Datenschutzes auf die Berichte der Datenschutzbeauftragten ergänzend verwiesen. Hier muß ein Modell erstellt werden, das bei Wahrung der Vertraulichkeit Gesetzesverstöße unterbindet und u. a. die Konsistenz zwischen Patientenakten und Abrechnungen sicherstellt.

2.1.6 Gerätespezifische Probleme

Durch den hohen Grad der Technisierung und der Komplexität, sowie die im Medizinbereich übliche Art der Gerätewartung und -betreuung ergeben sich im klinischen Umfeld weitere Besonderheiten. Fern- und Fremdwartung Als erhebliche Gefahrenquelle anzusehen ist die große Zahl von Geräten, die der Fremd- oder Fernwartung durch die Hersteller- oder eine Wartungsfirma unterliegen, wie z. B. Computertomographen und ähnliche Geräte. Diese Geräte stehen nicht unter der Kontrolle des Klinikpersonals, das häufig nicht einmal das Paßwort der steuernden Workstation kennt. Fast immer liegt die volle Kontrolle beim Träger des Wartungsdienstes, der, wie die Erfahrung zeigt, mitunter nahezu täglich zum Einsatz kommt. Es wird kaum versucht, Sicherheit durch echte Sicherheitsmaßnahmen zu erreichen, sondern vornehmlich dadurch, daß das befugte Bedienungspersonal gerade soweit in die Maschine eingewiesen wird, wie es zum Betrieb nötig ist, etwa in die Benutzeroberfläche des Hauptprogrammes. Der Wartungsdienst kann hier alle (!) regulär oder versteckt auf dem Gerät liegenden Patientendaten 226 ) Beispielsweise weil der Arzt seinen Berechtigungsnachweis in der Eile nicht bei sich hat.

einsehen. Er kann überdies Software installieren oder einschleppen, die das --- häufig an das Kliniknetz angeschlossene --- Gerät mißbraucht, um etwa Paßworte aus dem Netz zu sammeln, andere Maschinen anzugreifen und dergleichen mehr. Die Sicherheit des Kliniknetzes hängt damit von der Zuverlässigkeit der Software jedes solchen Gerätes ab. Die wiederum hängt von den Sicherheitsmaßnahmen beim Hersteller ab. Ein Angreifer kann so einen indirekten Angriff durchführen, indem er den Hersteller angreift und die Software modifiziert, die beim nächsten Wartungsbesuch installiert wird. Sowohl bei Fernwartungszugängen, als auch bei Wartungsbesuchen vor Ort besteht außerdem die Gefahr, daß ein unbefugter Angreifer sich für den Wartungsdienst ausgibt. In einem Fall wurden eine schier unglaubliche und unerträgliche Inkompetenz des vor Ort arbeitenden Wartungspersonals und an Schlamperei grenzende Nachlässigkeiten eines renommierten Medizingeräteherstellers bei Belangen der Sicherheit festgestellt. Das Wartungspersonal konnte u. a. selbst nicht mit dem Gerät umgehen, sondern nur hilflos Befehle buchstabenweise aus dem Handbuch abtippen, ohne dabei deren Bedeutung zu verstehen oder den Erfolg oder Nichterfolg der Aktion erkennen zu können. Die Wahl der Paßwörter war in diesem Fall so mangelhaft gestaltet, daß firmenweit ein bekanntes Paßwort benutzt wurde. Aufgrund dieser Erfahrungen ist die Fremd- und Fernwartung deshalb als überaus problematisch anzusehen. Es besteht auch hier großer Handlungsbedarf.

Datenformate und Verfahren

Viele Geräte im medizinischen Bereich zeichnen sich durch proprietäre und undokumentierte Datenformate und eine nicht genau spezifizierte Verfahrensweise aus. Die Haltung und Verarbeitung medizinischer Daten, deren genaue Syntax und Semantik nicht bekannt ist, und deren Verwendung an einen bestimmten Hersteller bindet, ist bedenklich und sollte --- wenn möglich --- durch bessere Alternativen ersetzt werden. Arbeitsplatzrechner und Nutzung von Telekommunikation Die zunehmende Nutzung von EDV und Telekommunikation im medizinischen Bereich zieht natürlich nicht nur die spezifisch medizinischen, sondern zwangsläufig auch die allgemein mit dieser Technik verbundenen Probleme und Risiken nach sich. Deshalb gelten die in Kapitel 3 aufgezeigten Probleme in vollem Umfang auch für den medizinischen Bereich, weshalb zur Vermeidung von Wiederholungen auf dieses Kapitel Bezug genommen wird.

2.1.7 Anwenderstruktur

Im klinischen Umfeld wurde eine Anwenderstruktur beobachtet, die als prototypisch für viele fachbezogene Einsatzgebiete der EDV und Telekommunikation angesehen werden kann. Es liegt eine überwiegend homogene Anwenderstruktur aus sehr gut ausgebildeten und hochkompetenten medizinischen Fachleuten vor, die sehr gut befähigt sind, auch schwierige und komplexe Problemstellungen zu erfassen. Die Anwender sind überdies aufgrund ihrer Ausbildung und medizinischer Notwendigkeiten auf ständige Fortbildung vorbereitet und nehmen auch tatsächlich an berufsspezifischen Fortbildungen teil. Die Anwender sind mehrheitlich technischen Fragen aufgeschlossen und entwickeln eigenes Interesse am Umgang mit EDV und Telekommunikationstechniken, die auch auf freiwilliger Basis und im Privatbereich gern eingesetzt werden. Trotz dieser überaus erfreulichen Rahmenbedingungen ist die tatsächliche Situation sehr unbefriedigend. Obwohl die Arbeit mit Rechnern und Netzwerken bzw. Diensten wie WWW, E-Mail usw. mittlerweile schon als unverzichtbar angesehen wird, besteht diesbezüglich im allgemeinen kein ausreichend tiefes technisches Fachwissen über die Systemaspekte, insbesondere bezüglich der Risiken und Gefahren, die sich aus den neuen Informationstechniken und ihrer rasanten Fortentwicklung ergeben. Die wesentlichen zugrundeliegenden Funktionen werden oft nicht erkannt oder verstanden. Die weit überwiegende Mehrzahl der Anwender ist allein schon durch die übermäßige zeitliche Auslastung in ihrem Fachgebiet objektiv überfordert, zusätzlich dazu noch mit der technischen Komplexität fertigzuwerden, die andernorts den Einsatz von Vollzeitbeschäftigten verlangt. Die Ursache hierfür ist darin zu sehen, daß aufgrund der zugrundeliegenden Berufsethik das Sicherheitsdenken zwar grundsätzlich ausgeprägt ist, aber nur den Bereich "Safety" abdeckt. Mit großer krimineller Energie vorgetragene Angriffe fallen in den Bereich "Security" und bleiben in der medizinischen Ausbildung unberücksichtigt. Dies zeigt sich beispielsweise darin, daß zwar in gewissem Umfang Bemühungen um die Systemsicherheit unternommen werden, diese aber meistens auf einfache Maßnahmen wie das An- und Abstecken von Fernwartungsleitungen und den massenhaften Einsatz von Virenschutzprogrammen beschränkt bleiben. Organisatorische Maßnahmen gegen Computer-Viren u.s.w., wie z. B. die sichere Ablage von Programmen auf schreibgeschützten Fileservern, werden normalerweise nicht ergriffen. Die Ursache hierfür ist darin zu sehen, daß diese Themen --- zumindest im beobachteten Bereich --- weder Gegenstand der Grundausbildung, noch der Fortbildung sind. Schulungen, Seminare u.s.w.. werden hierzu nicht angeboten; die Wissensaneignung bleibt der privaten Initiative überlassen. Daher muß das medizinische Personal durch Informatik-Fachleute ergänzt werden, da häufig auch in der Klinikverwaltung oder den teilweise bestehenden Klinikrechenzentren das in Bezug auf Sicherheit nötige Fachwissen nicht bzw. nicht zuverlässig vorhanden ist. Diese Situation ist unbefriedigend; eine starke Verbesserung kann aber problemlos durch systematische Schulungen und Fortbildungsmaßnahmen, sowie eine entsprechende personelle Ergänzung erreicht werden. Es besteht dringender Handlungsbedarf.