Ende-zu-Ende-Sicherheit - Desaster für Datendiebe
01.04.2016
Medien & Kommunikation
Dass moderne Informations- und Datenübertragungstechnologien gerade auch im Gesundheitswesen zu einem spürbaren qualitativen Zuwachs in der Patientenbehandlung und -versorgung geführt haben, ist unstrittig. Zum Beispiel beraten Experten verschiedener Fachgebiete optimale Therapien per Videokonferenz, unabhängig von ihrem jeweiligen Aufenthaltsort und, wenn erforderlich, auch von der Zeit. Mehr und mehr integrieren Kliniken und Krankenhäuser diese und andere Möglichkeiten in ihren Alltag. Dass dabei sensible Patientendaten, Röntgenbilder und Computertomografien (CT) ausgetauscht und gemeinsam begutachtet werden können, ist Voraussetzung zielführender Beratungsergebnisse.
Genau an dieser Stelle hat der technische Fortschritt aber einen gravierenden Haken, wie folgender Fall zeigt: Ein Neurochirurg wollte zum Hirntumorbefund eines Patienten die Meinung eines spezialisierten Kollegen einholen und übermittelte diesem die Anfrage samt CT-Aufnahme über einen heute gängigen SocialMedia Dienst. Eine aus Versehen mitgeschickte Datei enthielt die persönlichen Fallangaben des Patienten.
Exkurs: Vor der Nutzung von SocialMedia Diensten sollte immer geprüft werden, ob deren AGB nicht eine Klausel enthalten, der zufolge sämtliche bei dem entsprechenden Service eingegebenen Daten automatisch zu sogenanntem veröffentlichten Inhalt werden und damit gegebenenfalls nicht mehr als personenbezogene Informationen gelten. "Veröffentlicht" bedeutet in diesem Fall: allgemein einsehbar und somit der Sphäre vertraulicher Kommunikation ein für alle Mal enthoben. Nach geltender deutscher Datenschutzgesetzgebung* wäre nämlich bereits die Nutzung eines solchen Dienstes zur Übermittlung zu schützender Patientendaten ein Straftatbestand. Hinzu kommt: Soweit SocialMedia Dienste in amerikanischem Besitz sind, haben US-Behörden gemäß Patriot Act gesetzlich Zugriff auf alle darüber abgewickelten Datenströme, selbst wenn die Server dafür nicht auf amerikanischen Boden stehen.
Im Falle des Neurochirurgen gerieten die Daten in die Hände krimineller Hacker. Die identifizierten den Patienten als CEO eines börsennotierten Unternehmens und verkauften die Unterlagen meistbietend an einen Wettbewerber. Der Befund wurde über soziale Netzwerke in die Öffentlichkeit lanciert, und der Markt reagierte wie immer bei schlechten Nachrichten - der Aktienwert des Unternehmens sank ...
Zugegeben - der Fall hat sich so nicht ereignet, aber alle in dem Beispiel vorkommenden Fehlerquellen und fatalen Schnittstellen sind heute allseits üblicher IT-Praxis entnommen. Dabei muss man, um dergleichen zu vermeiden, beileibe kein Datenschutzexperte sein. Es genügt, folgende drei Punkte als kleines Einmaleins der IT-Sicherheit zu verinnerlichen:
1.Nahezu sämtliche kommerziellen und alle kostenfreien Anbieter von Videokonferenzlösungen und anderen Informationsübertragungsservices leiten ihre Datenströme über Zentralcomputer, die das bevorzugte Einfallstor für staatliche wie für kriminelle Ausspäher sind. Amerikanische Anbieter müssen US-Behörden darüber hinaus grundsätzlich und weltweit Zugang zu ihren Servern gewähren.
2.Schon von ihrer Übertragungstechnologie her sicherer sind Anbieter, die auf Zentralserver verzichten und den Datenverkehr direkt zwischen den Endgeräten der Nutzer abwickeln - über sogenannte Peer-to-Peer-Verbindungen, auch bei Multipoint-Zusammenschaltungen.
3.Am sichersten, derzeit praktisch nicht zu knacken und damit in jeder Hinsicht deutscher Datenschutzgesetzgebung Rechnung tragend sind Peer-to-Peer-Anbieter, deren Dienst neben einer Ende-zu-Ende-Verschlüsselung zusätzlich über eine Ende-zu-Ende-Authentifizierung der Nutzer und damit über eine echte Ende-zu-Ende-Sicherheit verfügt.
Eine echte Ende-zu-Ende-Sicherheit wird durch eine Kombination aus Ende-zu-Ende-Verschlüsselung, Nutzerauthentifizierung, Perfect Forward Secrecy (PFS) und einem Peer-to-Peer-Netzwerk erreicht. PFS gewährleistet, dass Sitzungsschlüssel etwa zum Start einer Videokonferenz nach deren Beendigung nicht mehr rekonstruiert werden können. Am wichtigsten hierbei: Nur mit Nutzerauthentifizierung verhindert diese Kombination das Eindringen unautorisierter Dritter in die Kommunikation, also sowohl in den Video- und den Audioverkehr (z. B. bei Videokonferenz en zwischen Arzt und Patient) als auch ggf. in den Austausch von Dokumenten (z. B. bei Ärztekonferenzen).
Eine Softwarelösung, die den Kriterien von Punkt 3 entspricht, in Deutschland zur Marktreife gebracht hat bisher ausschließlich die BRAVIS International GmbH aus Cottbus.
Das Unternehmen hat dabei - in Kooperation mit T-Systems - seine ohnehin schon sichere Verschlüsselung in der Kernbibliothek durch eine Ende-zu-Ende Authentifizierung erweitert. "Damit reicht nun eine lokale BRAVIS-Version mit Headset und Kamera aus", so Geschäftsführer Andre Röhrig, "um sicher in der Post-Snowden-Ära zu kommunizieren."
Die neue Sicherheitsarchitektur ist in allen Versionen enthalten, die mit der Bibliothek unite ausgestattet sind, so auch in BRAVIS Videosprechstunde und BRAVIS Kanzlei für Rechtsanwälte. BRAVIS läuft im Übrigen auf sämtlichen handelsüblichen Endgeräten (PCs, Laptops, Notebooks, Tablets und Smartphones), so dass keine Investitionen in spezielle Hardware erforderlich sind.
Die BRAVIS-Entwicklung wurde mit Fördermitteln der Investitionsbank des Landes Brandenburg unterstützt.
*-Das Bundesdatenschutzgesetz, § 3, Abs. 9 definiert personenbezogene Daten als "Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben". § 1, Abs. 1 legt im Hinblick auf diese Daten fest: "Zweck dieses Gesetzes ist es, den einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird."
Worte: 719
Zeichen:5.830
http://www.bravis.eu/
BRAVIS International GmbH
Calauer Straße 70 03048 Cottbus
Pressekontakt
http://www.bravis.eu/
BRAVIS International GmbH
Calauer Straße 70 03048 Cottbus
Diese Pressemitteilung wurde über PR-Gateway veröffentlicht.
Für den Inhalt der Pressemeldung/News ist allein der Verfasser verantwortlich. Newsfenster.de distanziert sich ausdrücklich von den Inhalten Dritter und macht sich diese nicht zu eigen.
Weitere Artikel von André Röhrig
14.02.2017 | André Röhrig
BRAVIS 3.0 setzt neuen Sicherheitsstandard
BRAVIS 3.0 setzt neuen Sicherheitsstandard
17.06.2016 | André Röhrig
Öko-Check control hilft Kosten senken und die Umwelt schützen
Öko-Check control hilft Kosten senken und die Umwelt schützen
27.08.2015 | André Röhrig
Videokonferenzen auf mobilen Endgeräten
Videokonferenzen auf mobilen Endgeräten
11.06.2015 | André Röhrig
Videokonferenzen nach Maß
Videokonferenzen nach Maß
30.03.2015 | André Röhrig
CeBIT 2015: BRAVIS mit Weltneuheit und Sicherheitsinnovation
CeBIT 2015: BRAVIS mit Weltneuheit und Sicherheitsinnovation
Weitere Artikel in dieser Kategorie
29.11.2024 | ANINOVA e.V. (vormals Deutsches Tierschutzbüro e.V.)
Podcasterin und Comedienne Ines Anioli rettet zusammen mit ANINOVA Tiere aus polnischer Pelzfarm
Podcasterin und Comedienne Ines Anioli rettet zusammen mit ANINOVA Tiere aus polnischer Pelzfarm
28.11.2024 | Hong Kong Tourism Board - noble kommunikation
Winterwunder verzaubern Hongkong
Winterwunder verzaubern Hongkong
28.11.2024 | GRIN Publishing GmbH
Die vielen Facetten der Plattform YouTube
Die vielen Facetten der Plattform YouTube
28.11.2024 | ADENION GmbH / Blog2Social
Erfolgreich durch den Black Friday: Wie Social-Media-Management-Tools Unternehmen unterstützen
Erfolgreich durch den Black Friday: Wie Social-Media-Management-Tools Unternehmen unterstützen
27.11.2024 | TEXTETR & SEO Österreich - SENIOR SEO Spezialist & Copywriter Mag. Wolfgang Jagsch Bakk. BEd.
Content Marketing im Wandel
Content Marketing im Wandel