Ein Beitrag zur Entwicklung von kostenlosen/kostenneutralen Internet-Lungen fr die Teleradiologie

Einfhung

Angesichts des Kostendruckes im Gesundheitswesen wird es immer wichtiger, das Preis-Leistungsverh舁tnis bei Beschaffung, Einfhrung und Unterhalt von EDV-Lungen in der Radiologie zu analysieren und die Alternativen abzuw臠en. Neben den marktbeherrschenden meist propriet舐en kommerziellen Lungen werden die Open-Source Lungen wegen der praktisch kostenlosen Beschaffung zunehmend interessant. Da fr die Folgekosten allgemein ein Unentschieden angenommen wird, rcken Softfacts in den Vordergrund der Diskussion. Dazu gehen Lungen fr die Sicherheit der Daten. In der Radiologie ist der Einsatz von Open-Source-Software als Picture Archiving and Communication System (PACS) oder als Betrachtungsstation fr DICOM-Bilddaten schon l舅ger bekannt. [2,3] Hinsichtlich der erforderlichen Datensicherungssysteme wrden ebenfalls Anschaffungskosten durch Open-Source wegfallen. Publikationen ber rechtsrelevante Schutzmechanismen der Patientendaten fr diese Lungen fehlen allerdings.

Im vernetzten Gesundheitssystem haben Partner bei der Patientenbehandlung, z.B. Krankenhaus und niedergelassene ﾄrzte, die Mlichkeit, eine gemeinsame Datenbasis bzgl. der angefallenen Patientendaten (Patientenstammdaten, diagnostische und therapeutische Daten, ...) zu nutzen. Die kostengnstigste Mlichkeit der Datenbertragung bietet hier das Medium Internet, da heutzutage fast jede Klinik eine Standleitung besitzt und die meisten Arztpraxen ber DSL an das World Wide Web angeschlossen sind.

Daten des Gesundheitswesens gelten jedoch nach dem deutschen Datenschutzrecht als hhst schtzenswrdig, d.h. bei der Datenbertragung muss darauf geachtet werden, dass [4]

Hierzu ist bei der Datenversendung ber das Internet der Einsatz einer Firewall unumg舅glich. Die Anschaffungskosten kommerzieller Produkte liegen zwischen 15.000 und 60.000 . Diese Arbeit berprft, ob mit dem Einsatz von Open-Source diese kostengnstigere Mlichkeiten eine Alternative schaffen kann, die alle erforderlichen Ansprchen gengt.

Material und Methode

Um die Sicherheitsanforderungen bei der Datenbertragung zu erfllen, knen folgende Maﾟnahmen benutzt werden:

Firewall

Die vorgenannten Maﾟnahmen sichern nicht die eingesetzten Rechner bzw. die Datenbank mit den medizinischen Nutzdaten vor unbefugten Manipulationen. Hier ist die einzige Mlichkeit zur Verhinderung von Manipulationen der Einsatz einer Firewall. Dabei werden im wesentlichen zwei Mechanismen unterschieden: Paketfilter und Application Level Gateway (Proxy Gateways). [12]

Paketfilter-Systeme routen Pakete zwischen internen und externen Rechnern. [12] Sie gehen dabei allerdings selektiv vor: sie lassen bestimmte Pakettypen passieren oder blockieren sie auf eine Art, welche die Sicherheitspolitik eines Standortes widerspiegelt. Der in einem Paketfilter-Firewall verwendete Routertyp wird ﾜberwachungsrouter genannt.

Proxy-Dienste sind spezielle Anwendungs- oder Serverprogramme, die auf einem Firewall-Host ablaufen: entweder auf einem Dual-Homed-Host mit einer Schnittstelle zum internen und einer zum externen Netz oder auf einem anderen Bastion-Host, der Zugang zum Internet hat und von den internen Rechnern aus angesprochen werden kann. [12] Diese Programme greifen die Benutzeranfragen nach Internet-Diensten wie FTP oder Telnet auf und leiten sie an die eigentlichen Dienste weiter, sofern sie mit der Sicherheitspolitik des Standorts vereinbar sind. Die Proxies stellen Ersatzverbindungen her und fungieren als Gateways zu den Diensten. Deshalb werden Proxies auch manchmal als Application-Level-Gateways bezeichnet. Ein wesentlicher Vorteil von Proxies besteht darin, dass sie dem Benutzer gegenber verborgen bleiben - sie sind vlig getarnt. Ein Proxy-Server vermittelt dem Benutzer den Eindruck, dass dieser direkt mit dem eigentlichen Server kommuniziert. Und gegenber dem wirklichen Server tut der Proxy-Server so, als bef舅de sich der Benutzer direkt auf dem Proxy-Host.

Der optimale Weg fr den Aufbau einer Firewall besteht selten aus einer einzigen Technik; es ist meist eine geschickt gew臧lte Kombination zur Lung unterschiedlicher Probleme. Fr welche Probleme Lungen gefunden werden mssen, h舅gt davon ab, welche Dienste den Benutzern angeboten werden sollen und in welchem Maﾟe dabei Risiken in Kauf genommen werden knen. Einige Protokolle wie z.B. Telnet und SMTP eignen sich gut fr die Paketfilterung. Andere wie z.B. Archie, Gopher und WWW lassen sich effektiver mit Proxies bearbeiten. Die meisten Firewalls verwenden eine Kombination aus Proxy-Diensten und Paketfilterung.

Sichere Kommunikation mittels Electronic Mail

Die ﾜbermittlung medizinischer Daten, z.B. Befunde und Bilddaten muss den rechtlichen Rahmenbedingungen gengen. Hieraus resultiert die Forderung, dass die Daten mit sicheren [5] kryptographischen Methoden verschlsselt werden, sobald fentliche ﾜbertragungsmedien (Internet, Telefonleitungen, usw.) benutzt werden.

Die Verschlsselung der medizinischen Nutzdaten erfolgt durch eine schnelle symmetrische Verschlsselung mit einem als sicher anerkannten Verfahren, z.B. AES, Twofish. Die Nutzung von Public-Key-Verfahren wie z.B. PGP verbieten sich, da der private Schlssel beschlagnahmt werden und damit das Schweigerecht / die Schweigepflicht des Arztes nicht l舅ger aufrecht gehalten werden kann. [6] Ein Programm, welches zum einen eine sichere Verschlsselung mittels AES anbietet und zum anderen die zu sichernden Daten komprimiert und zusammen mit dem Entschlsselungsprogramm zu einer ausfhrbaren Datei (exe-Datei) zusammenfasst, bietet die Firma DataRescue kostenlos im Internet an. [7] Das Programm heiﾟt aCrypt+.

Sichere Abfrage aus einem Informationssystem

Der Internet-Client 舫ﾟert ber Port 80 (= HTTP) eine Anfrage an den sich in der DMZ befindlichen Internet-Server. Der Internet-Server ist durch eine externe Firewall, die eine Kommunikation nur ber den Port 80 gestattet, fr WWW-Anfragen erreichbar. Die Kommunikation erfolgt mittels SSL.

Die SSL-Verbindung wird von einem Zertifikats-Server berwacht. Auf dem Webserver wird durch die Anfrage ein CGI-Skript gestartet, welches eine Kommunikation auf einem nicht-privilegierten Port (> 1024) mit einem durch die interne Firewall geschtzten Kommunikations-Server aufbaut. Der Kommunikations-Server fungiert als Abfrage-Client, d.h. hier wird die eigentliche SQL-Abfrage an das medizinische Informationssystem durchgefhrt.

Entscheidend hierbei ist, dass der Arzt, bei dem die medizinischen Patientendaten angefallen sind, vor der Abfrage festlegen muss, welche Daten von wem eingesehen werden drfen. Generell gilt das Prinzip der Datenvermeidung und des Datenschutzes auch bei der Zurverfgungstellung von Daten. Es mssen so wenige Daten wie notwendig anderen zur Einsicht gegeben werden. Auﾟer dem Patienten darf nur ein mitbehandelnder Mediziner bzw. eine vom Patienten legitimierte Person in die fr die Mitbehandlung notwendigen bzw. die bereitgestellten Daten Einblick erhalten. Verantwortlich fr die Zuteilung ist auﾟer dem Patienten der Besitzer der Patientendaten: der behandelnde Arzt, der das Informationssystem verwendet. Aus Grnden des Datenschutzes muss er die Daten aktiv an seinen Kollegen versenden. Der umgekehrte Weg der Kollege holt sich die Daten aus der Datenbank ist nicht gestattet. Die Alternative ist die aktive Freischaltung einzelner Daten im Informationssystem durch den behandelnden Arzt nach Rcksprache mit dem behandelten Patienten, so dass der mitbehandelnde Arzt nur die speziell fr ihn aufbereiteten Daten sehen kann. Eine Ausnahme bildet hier der Patient selbst, der selbstverst舅dlich alle ihn betreffenden Daten sehen darf.

Abbildung 1 beschreibt den Datenfluss einer Abfrage mittels eines Webclients aus dem WWW und die Rckbermittlung der Antwort:

Fr Daten, die in unmittelbaren Zusammenhang der Patientenbehandlung angefallen sind, gilt ein Beschlagnahmeverbot. Um also die Patientendaten telemedizinisch nutzen zu knen, muss fr den jeweiligen Behandlungsfall ein einmalig zu verwendender Schlssel generiert werden. Da dieser Schlssel direkt mit der Behandlung des Patienten in Zusammenhang steht, ist dieser Schlssel durch das Beschlagnahmeverbot geschtzt. Es bietet sich fr die Verschlsselung der medizinischen Daten ein symmetrischer Schlssel an, der groﾟe Vorteil der asymmetrischen Verfahren die Mehrfachverwendung mit der nur einmalig auftretenden Problematik der Schlsselbermittlung entf舁lt, da stets neue Schlssel generiert werden mssen.

Aufbau der Demilitarisierten Zone (DMZ)

Als Basis fr einen Firewall-Server bzw. einen Abfrage-Server ist beispielsweise ein sicherer Linux-Server geeignet. [11] Eine H舐tung des Linux-Systems mittels dem von der National Security Agency (NSA) entwickelten Security Enhanced Linux (SE Linux) bietet eine bew臧rte Grundlage fr die Implementierung einer Firewall. Die Hardware-Anforderungen, die eine Linux-Firewall stellt, sind im Vergleich zu kommerziellen Produkten sehr gering: [13, 14]

Zum Lieferumfang einer modernen Linux-Distribution geht der Netfilter-Firewallmechanismus, welches i.d.R. nach dem zugehigen Administrationsprogramm iptables, dem Nachfolger von ipchains, benannt wird. iptables bietet gegenber ipchains eine Reihe von Vorteilen:

iptables legt Regeln fr den Paketfiltermechanismus der Firewall fest. Diese Regeln werden in Tabellen im Kernel gespeichert, separat fr jede Regel-Kette (= Chain) (INPUT, OUTPUT, FORWARD) in der Reihenfolge, in der sie festgelegt wurden. Die Reihenfolge, in der Regeln definiert werden, ist die Reihenfolge, in der die Pakete verglichen werden.

Fr die Abfrage aus dem Informationssystem bietet sich ein Linux-Server mit installiertem Apache-Webserver an. Die Abfragen selber knen mit php erfolgen, da diese Sprache zum einen Untersttzung fr die g舅gigen Datenbanksysteme (Oracle, MySQL, Sybase, SQL-Server,...) bietet und zum anderen gut zu erlernen ist. Da es sich bei den zu bertragenden Daten um personenbezogene Daten aus dem Behandlungsprozess eines Patienten handelt, mssen diese Daten verschlsselt bertragen werden. Hierzu bietet sich die Nutzung des SSL-Protokolls (Secure Sockets Layer) an. Bedingt durch die kryptographischen Exportbestimmungen der USA besitzt der Apache-Webserver keine (direkte) Integration von SSL. Daher empfiehlt sich die Einbindung von OpenSSL, dem Nachfolger von SSLeay. OpenSSL stellt Untersttzung fr SSL in den Protokollversionen 2 und 3 sowie der TSL-Version 1 (Transport Layer Security, der Nachfolger von SSL) zur Verfgung. [8] G舅gige Distributionen wie die von SuSE oder Red Hat liefern OpenSSL mit aus und installieren es auf Wunsch. Eine Beschreibung fr die Einbindung in den Webserver Apache findet man in den g舅gigen Bchern. [9]

In einer auf dem Abfrageserver installierten MySQL-Datenbank werden die zu einer Abfrage an das Informationssystem berechtigten Benutzer gespeichert, so dass sich die Benutzer zuerst bei der MySQL-Datenbank anmelden mssen. Hierbei gibt es einen Super-User, der die anderen Benutzer verwalten kann. Dieser Super-User ist der Patient, der damit die Mlichkeit hat, anderen Zugriff auf seine Daten zu gew臧ren. Der Patient ist also Herr ber seine Daten und gibt von sich aus anderen die Mlichkeit, auf diese Daten zuzugreifen. Damit werden die Anforderungen der entsprechenden Datenschutzgesetze erfllt, die eine Einwilligung des Patienten in die Weitergabe seiner Daten fordern. Intern besteht die MySQL-Datenbank aus drei Tabellen:

Passwort	Pat_ID	1 1..n	Benutzer
Passwort zur Abfrage des Informations-Systems (wird verschlsselt abgelegt)	eindeutige Patienten ID aus dem Informations-System		Benuzter
			Passwort
			Superuser ja/nein

Der Patient als Superuser hat die Mlichkeit, mittels einer speziell eingerichteten Webseite die ihm zugeordneten Benutzer zu verwalten, d.h. er kann

Alle anderen Benutzer knen sich lediglich die Patientendaten anzeigen lassen.

Die Abfrage der Patientendaten ist vordefiniert, d.h. es sind keine freien SQL-Abfragen mlich. Dies wird ausgeschlossen, um die Ausnutzung eventuell in der Zukunft auftretender potentieller Sicherheitslcken der Abfragesprache php zu erschweren. Der authentifizierte und berechtigte Benutzer, dies schlieﾟt selbstverst舅dlich den Patienten mit ein, hat dann die Mlichkeit, sich die vordefinierten Abfragen anzusehen, z.B.:

Ergebnisse / Diskussion

Open-Source-Software erfllt alle Anforderungen, die an eine sichere ﾜbermittlung von Gesundheitsdaten mit dem Medium Internet gestellt werden mssen. Sowohl eine Firewall wie auch die Mlichkeit Patientendaten aus medizinischen Datenbanken abzufragen knen mittels des Betriebssystems Linux und anderer Open-Source-Software realisiert werden. Die eingesparten Kosten bei der Anschaffung der Software bedingen auf der anderen Seite eine Einarbeitung in die Benutzung der entsprechenden Software. D.h. es muss im Bereich der Informatik Personal mit Spezialkenntnissen eingestellt werden: [10]

Diese Personalkosten sind jedoch zu relativieren: ohne einen IT-Leiter kann heute kein Krankenhaus existieren, d.h. die Kosten fallen nicht zus舩zlich an. Gleiches gilt fr den Administrator der Firewall: ist ein Anschluss an das Internet vorhanden, muss eine Firewall eingesetzt werden, d.h. auch diese Kosten sind schon abgedeckt. Die Datenbankanbindung an das Internet selbst kann i.d.R. auch das Systemhaus als (einmalige) Auftragsarbeit vornehmen, die auch das eingesetzte Informationssystem (Arztpraxissystem, KIS, RIS, ...) wartet.

Wenn die Vorteile fr eine teleradiologische Bet舩igung fr eine einzelne Arztpraxis oder fr kleinere Krankenh舫ser angenommen werden knen oder erwiesen sind, so ist bei der Beurteilung der Gesamtkosten zu bercksichtigen, dass vielfach ein Mitarbeiter mit anderen Aufgaben die IT-Arbeit mit bernimmt und ggf. die Einarbeitung in die neue Umgebung nicht leisten kann. Hier empfiehlt sich der Zusammenschluss mehrerer Praxen bzw. Krankenh舫ser zu einem telematischen Verbund mit einem externen Dienstleister, welcher die Wartung der Firewall sowie die Programmierung der Internet-Pr舖entation der Patientendaten bernimmt.

Fazit: Im Vergleich zu den anschaffungskostentr臘htigen kommerziellen Lungen fr die rechtsbedingten Sicherungssysteme fr die Patientendaten in der Teleradiologie sind die kostenlosen Open-Source-Lungen wenigstens gleich leistungsf臧ig.

Literatur

[1] Langer S.G. OpenRIMS: An Open Architecture Radiology Informatics Management System J Digit Imaging 2002 Jun;15(2):91-7

[2] Marzola P, Da Pra A, Sbarbati A, Osculati F. A PC-based workstation for processing and analysis of MRI data MAGMA 1998 Nov;7(1):16-20

[3] Bergmann L., Mrle R., Herb A. Datenschutzrecht, Teil III Kommentar zum Bundesdatenschutzgesetz Richard Boorberg Verlag, ISBN 3-415-00616-6, Februar 2002

[4] Bundesamt fr Sicherheit in der Informationstechnik (BSI) http://www.bsi.bund.de/esig/basics/techbas/krypto/index.htm

[5] Schtze B., Geisbe Th., Gremeyer D.H.W., Filler T.J. Sicherer elektronischer Datenaustausch durch Electronic Mail Telemed 2002;

[6] DataRescue aCrypt+; Februar 2003 http://www.acrypt.com

[7] Homepage des OpenSSL Project http://www.openssl.org

[8] Eilebrecht L., Rath N., Rohde Th. Apache Webserver Installation, Konfiguration, Administration; mitp-Verlag, Berlin, ISBN 3-8266-0829-1, 2002

[9] Meyer A. Wer verdient wie viel? Ergebnisse der c't-Gehaltsumfrage ct; 6, 110 117, 2002

[10] Bundesamt fr Sicherheit in der Informationstechnik Sichere Anbindung eines externen Netzes mit Linux FreeS/WAN http://www.bsi.bund.de/gshb/deutsch/m/m5083.htm; Oktober 2000

[11] Bundesamt fr Sicherheit in der Informationstechnik Firewallsysteme: Konzeption - Implementation Audit http://www.bsi.bund.de/literat/tagung/cebit00/vt_071.htm; Cebit 2000

[12] Stepken G. Firewall Handbuch fr LINUX 2.0 und 2.2 http://www.xinux.de/docs/buecher/sicherheit/fw-handbuch/zusammen-5.html#ss5.2, Juni 1999

[13] SuSE Linux AG SuSE Firewall on CD 2 - Systemvoraussetzungen http://www.suse.de/de/business/products/suse_business/firewall/system_requirements.html, Oktober 2002

Autoren

B. Schtze, Universit舩 Witten/Herdecke Lehrstuhl fr Radiologie und Mikrotherapie Universit舩sstr. 142, 44799 Bochum

M. Kroll, Fachhochschule Dortmund Fachbereich Informatik Emil-Figge-Str. 42, 44227 Dortmund

Th. Geisbe, Universit舩 Witten/Herdecke Lehrstuhl fr Radiologie und Mikrotherapie Universit舩sstr. 142, 44799 Bochum

D. H. W. Gremeyer, Universit舩 Witten/Herdecke Lehrstuhl fr Radiologie und Mikrotherapie Universit舩sstr. 142, 44799 Bochum

T. J. Filler, Universit舩sklinikum Mnster Institut fr Anatomie / Klinische Anatomie Vesaliusweg 2 - 4, 48149 Mnster