Neue Anforderungen an Datenschutz und Datensicherheit in ... 2006_Multimedia... · multimediale...

transcript

Neue Anforderungen an Datenschutz und Datensicherheit in der Welt des multimedialen vernetzten Gesundheitswesens

Bernd Blobel, Peter PharoweHealth Competence CenterKlinikum der Universität Regensburg

Neue Anforderungen in der Welt des multimedialen vernetzten Gesundheitswesens

Bernd Blobel, Peter PharoweHealth Competence Center Regensburg

"Datenschutz- und Datensicherheitsanforderungen an die multimediale Gesundheitstelematik " KIS 2006, 31.05.-02.06.2006, Frankfurt/M.

Herausforderungen an das Gesundheitswesen

Demographische Entwicklung, Ressourcenverfügbarkeit und Anspruchsbefriedigung in der Gesundheitsversorgung erfordern eine Neustrukturierung des Gesundheitswesens hin zu verteilten, kooperativen Architekturen unter immer stärkerer Betonung der Vorbeugung (Prevention) sowie der häuslichen Pflege (Home Care).

Zielstellung

Den Herausforderungen an die Gesundheitssysteme der Industrieländer nach wachsender Qualität und Effizienz unter den bekannten strukturellen Problemen wird mit zunehmender Dezentralisierung und Spezialisierung bei gleichzeitigem Übergang von der organisationszentrierten zur prozessgesteuerten (und weiter zur personen-zentrierten) Versorgung entsprochen. Das macht den Einsatz fortgeschrittener Informations- und Kommunikationstechnologien unumgänglich.

Interoperabilitäts-Levels

- Technische Interoperabilität- technisches Plug&Play, Steckerkompatibilität, Signalkompatibilität,

Protokoll-Kompatibilität- Interoperabilität durch einfachen Datenaustausch

- EDI, HL7 Version 2- Interoperabilität durch bedeutungsvollen Datenaustausch

- abgestimmtes Vokabular- Funktionale Interoperabilität

- abgestimmtes Verhalten derkommunizierenden Anwendungen

semantische I.- Service-orientierte Interoperabilität

- direkter Aufruf der Anwendungsdienste, Anwendungskooperativität

Systemanforderungen für die Gesundheitstelematik-Plattform

- Offenheit- Skalierbarkeit- Portabilität- Verteilung auf dem Internet-Level- Auf Standards basierend- Service-orientierte Interoperabilität- Geeignete Datenschutz- und

Datensicherheitsdienste

MDA, SOA

- A model is a partial representation of reality. It is restricted to attributes the modeller is interested in. Defining the pragmatic aspect of a model, the interest is depending on the addressed audience, the reason and the purpose of modelling the reality and using the resulting model for a certain purpose and for a certain time instead of the original. Therefore, the model as a result of an interpretation must be interpreted itself.

Observation

Interpretation Action

Information

Observation

Diagnosis Therapy

Knowledge

Information after J.H. van Bemmel and M.A. Husen

- Claude E. Shannon- Information is the negative value of

the logarithm of the probability of occurrence

- Louis-Marcel Brillouin- Information is a function of the relation

between possible answers before and after reception

- Norbert Wiener- Information is a name for the content

of what is exchanged with the outer world as we adjust to it and make our adjustments felt upon

Multimedia - Definition

Multimedia umfasst verschiedene- Codierungsarten, z.B. Text, Graphik,

Tabelle, sowie- Modalitäten, z.B. Visualität (Sehen), Akustik

(Hören), Haptik (Begreifen) und Olfaktorik(Riechen)

ElektronischeGesundheits-

“e-health” – Interaktions- und Integrationspfade

Hausarztpraxen

FachärzteKlinik

Apotheken Krankenver-sicherungen

EKG Ultra-schall

Labors, Pflege-dienste etc.

Apotheke

Intensivpflege

ratorAgent

HL7 / XML

e-Rezept

ManagerAgent

Monitor

......

Radiologie

e- Konsultation

11073 / VITAL

PoC ...

Automat

Röntgen

DICOMCT

Haus / mobil?

e-Arztbrief

� Austausch von Version 2.x-Nachrichten stellt für viele (KIS-) Kommunikationsvorgänge eine pragmatische Lösung dar. Übertragung administrativer Daten mit HL7 ist Routine.

� Mangelhafte Nachrichten-Entwurfsmethodik (fehlende Modellbildung) und unregulierte Optionalität führt bei den HL7-Versionen 2.x zu Interoperabilitätsdefiziten.

� Für die auf einem „Reference Information Model“ (RIM) basierende Version 3 sind nach schwieriger und langwieriger Entwicklung erste Implementierungen verfügbar.

� Systemübergänge und Behandlung elektronischer Krankenakten sind in Entwicklung.� HL7 „Clinical Document Architecture“ (CDA) legt die Struktur klinischer Dokumente fest

- Level 1 nur Header-Syntax, Level 2 und 3 auch Datenstruktur und Semantik.� SCIPHOX basiert auf CDA und ermöglicht die Einbindung niedergelassener Ärzte.� Interoperabilität steht bei allen Entwicklungen (V.3, XML-Syntax) im Vordergrund.� HL7 kooperiert mit ISO TC215, CEN TC251, IEEE 1073 und DICOM.

HL7 - Situation und Perspektiven

� DICOM: Digital Imaging and COmmunication in Medicine (insbes. Radiologie)� DICOM Version 3.0 (1992) ist Netzwerk- und Objekt-orientiert, wird laufend ergänzt

(„Supplements“) und von der gesamten einschlägigen Industrie unterstützt.� DICOM 3.0 definiert:

- Bildobjekte und Datenformate - Workflow-Nachrichten (z.B. „Worklist“)- Sicherheitsaspekte (z.B. Anonymisierung von Patientendaten, digitale Signatur)- Aufbau klinischer Dokumente: „Structured Reporting“

� DICOM Structured Reporting umfasst bild(sequenz-)bezogene Messdaten (z.B. EKG) und kodierte Befundungs- und Diagnoseinformation, Analogien zu HL7 CDA (Level 2 / 3).

� DICOM kooperiert mit HL7 und ISO TC 215 (z.B. Web Access to DICOM PersistentObjects - WADO = DICOM Supplement 85 = ISO WD 17432).

DICOM - Situation und Perspektiven

Multimedia - Definition

Multimedia umfasst verschiedene- Codierungsarten, z.B. Text, Graphik,

Tabelle, sowie- Modalitäten, z.B. Visualität (Sehen), Akustik

(Hören), Haptik (Begreifen) und Olfaktorik(Riechen)

Multimedia ist charakterisiert durch die gemeinsame Verwendung von Text, Ton, Bilder, Farbe und Bewegung. Das Konzept kombiniert in enger Weise Sprache, Text, Daten sowie ruhende und bewegte Bilder. Eine multimodale Datenbank würde z.B. Textinformation, Bilder, Video Clips, Datentabellen und Klang in leicht zugreifbarer Form enthalten. Ein multimedialer Telekommunikationsdienst (wie z.B. B-ISDN) würde den Nutzer erlauben, alle diese Informationsformen beliebig austauschbar zu senden und zu empfangen.

- Multimedia and Hypermedia Information Coding Experts Group (MHEG) ist derStandard für Multimedia

- Siehe auch:

- Moving Pictures Expert Group (MPEG)

- Joint Photographic Expert Group (JPEG)

Security andProtection

Security of personaldata (data protection)

Protection of thedata subject

Protection ofprivacy

Protection ofthe user

Patient safety ...

Aspects of Protection and Securityby C. Laske

Dimensionen der SIcherheit in Informationssystemen

- VertraulichkeitVorbeugung unautorisierter Offenbarung von Informationen

- IntegritätVorbeugung unautorisierter Modifikation von Informationen

- VerfügbarkeitVorbeugung unautorisierter Vorenthaltung von Informationen

oder Ressourcen

- VerbindlichkeitVorbeugung des Bestreitens des Ursprungs oder Empfangs von

Informationen. Im Allgemeinen sind die Nutzer für ihre

sicherheitsrelevanten Aktionen verantwortlich.

S y stem Ad m in is tra to r

A ud it

P a tien t C onsen t

In fo rm a tion A c c ess

A u then tic a tion

In fo rm a tion

Lega l & E th ic al F ram ework

A c c ess C on tro l

P r ivi legesA c c ess C on tro l Ru les

P o lic yP o lic y C ounc il

Policies

- “Policy” ist ein sehr generischer Term, der die rechtlichen, regulatorischen, organisatorischen, sozialen, ethischen, psychologischen, funktionalen und technischen Implikationen einer eHealth-Umgebung abdeckt

- Policies sind das entscheidende Element jeder Sicherheits-Architektur

- Policies müssen formal ausgedrückt werden, um sie durchsetzen zu können

- Policies müssen an die betreffenden Komponenten gebunden werden

Kommunikationssicherheit

- Starke wechselseitige Authentifizierung

- Principal-Zugriffsmanagement- Sicherung von Integrität,

Verfügbarkeit, Vertraulichkeit, Verbindlichkeit, Verantwortlichkeit, Nachvollziehbarkeit einschließlich Unbestreitbarkeit des Sendens und Empfangens von Informationen und Kommunikationsprozessen incl. erforderlichen Notariatsdiensten

Anwendungssicherheit

- Nutzer- und Rollenmanagement- Autorisierung- Zugriffskontrolle einschl. Notfall-

Zugriffsmanagement- Sicherung von Integrität, Verfügbarkeit,

Vertraulichkeit, Verbindlichkeit, Verantwortlichkeit, Nachvollziehbarkeit aufgezeichneter, gespeicherter und verarbeiteter Informationen sowie Prozesse incl. erforderlicher Notariatsdienste und Audit

Security Infrastructure

- Gewährleistung von Kommunikationssicherheit und Anwendungssicherheit aus der Grundlage von Tokens, einer Public Key Infrastructuresowie Trusted Third Party (TTP) Services

communicationsecurity

applicationsecurity

authori-sation

accesscontrol

availa-bility

digitalsignature

... fire pro-tection

digitalsignature

encryp-tion

key es-crowing

... fire pro-tection

account-ability

notary’sfunctions

availa-bility

notary’sfunctions

identi-fication authen-

tication

account-ability

non-re-pudiation

confi-dentialityintegrity

non-re-pudiation

confi-dentiality

multiplecomp.hashing encryp-

tionkey re-coveryhashing

multiplecomp.

DES RSAIDEA DSA

EL-GAMAL

DSARSAIDEADES

EL-GAMAL

data keys certifi-cates

certifi-cateskeysdata

SHA-1 MD5 MD5SHA-1

security qualitysafety

accesscontrol accuracyintegrity

V a lu e ad d ed S erv ices

In fras tru c tu ra l S erv ices

B as isserv ices

S e rv ices re la ted to th e b u s in ess va lu e o r secu rity o f d o cu m en t o r m essag e exch an g e , g iven b y ag ree - m en ts o r b y reg u la tio n .

S e rv ices w h ich fac ilita tes secu re co m m u n ica tio n s in a la rg e sca le in vo lv in g m u tu a l d is tru s tfu l u se rs .

S erv ices d irec tlyre la ted to th e secu reco m m u n ica tio nb e tw een tw o u se rs .

A nony-m isa tion

P ro f. reg is tra tionT im e s tam p ing

R eg is tra tionC e rtifica te hand ling

D irec to ries C ard issu ingK ey m anagem en t N am ing

A ccess con tro l In teg rityS ecu rity logg ing C on fiden tia lity

Iden tifica tion& A u thentica tion N on -repud ia tion

Policy-Driven, Role-Based Access Control

Principal

SR_Policy

Structural_Role

Role_Hierarchy

FR_Policy

Functional_Role0..*0..* 0..*0..*

User_Assignm ent1.. *1

Process_PolicySession

User_Session

Session_Role

1..* 1

Target_Policy

Target_Component0..*0..* 0..*0..*

Permission_Assignment1..*

1 1.. *

1..* 1

Steganographie

- Verbergen von Daten mittels steganographischer Methoden. Dadurch wird die Wahrscheinlichkeit reduziert, gewisse Daten zu entdecken. Zusätzliches Verschlüsseln ergibt eine weitere Sicherheitsschicht. Steganographie bedeutet “verdecktes Schreiben”. Es umfasst eine große Zahl an Methoden zur geheimen Kommunikation, wie z.B. unsichtbare Tinten, Microdots, Zeichenanordnung (im Unterschied zu cryptographischen Methoden der Permutation und Substitution), digitale Signatur, versteckte Kanäle, Kommunikation über ein erweitertes Spektrum.

- Während Cryptographie dem Angreifer ermöglicht, Nachrichten zu entdecken, abzufangen und zu modifizieren, ohne die garantierte Sicherheit zu gefährden, ist das Ziel der Steganographie zu verhindern, dass der Angreifer die versteckten Daten überhaupt entdeckt. Die Methode ist nicht mehr auf das Verstecken von Text beschränkt. Sie kann auch auf Sprache, Video, etc. angewandt werden.

Situation multimedialer Inhalte

- Vielfalt an technischen Möglichkeiten- Archive, multimediale Daten, Übertragung- Kopieren und Verändern digitaler Daten- Keine bis kaum prinzipielle Spuren- Problem Authentizität der Daten (Integrität

des Urhebers, Senders, Besitzers)- Problem Datenintegrität (Unverfälschtheit,

Unversehrtheit, Aspekt eines Zeitstempels / einer Zeitsignatur)

DRM Management

Es gibt generell zwei Verfahren:- Usage control- Digital copyrigth labelling

- Digitale Wasserzeichen können zur Bestätigung des Eigentums, der Authentizität, derIntegritätsverifikation, der Kennzeichnung des Inhalts, der Verwendungskontrolle oder demKontrollschutz eingesetzt werden. Sie könnensichtbar oder unsichtbar sein.

- Wir unterscheiden robuste und fragile, geheime und öffentliche Wasserzeichen.

Sicherheitsanforderung bei einer Bilddatei(Beispiel: Röntgenaufnahme)

Links oder rechts? Welche Hand wurde ursprünglich geröntgt?

War der Nagel in der Hand? Welches Bild ist das Original?

Mit oder ohne Mittelfingerkuppe? Welches Bild ist das Original?

Sicherheitsanforderung bei einer Audiodatei (Beispiel: Tonaufnahme)

I am not guilty

I am guilty

• Datenintegrität

• Datenauthentizität

• Unverfälschtes Original

Problemstellung

- Existierende Sicherheitskonzepte für die Sicherung der Authentizität und Datenintegrität bei multimedialen Daten:

- Elektronische (digitale) Signatur- Digitale (fragile, inhaltsfragile)

Wasserzeichen- Fingerprint bzw. Content-Hashing

- Konzepte für multimediale medizinische Datenbestände nicht oder nur eingeschränkt anwendbar

- Angefügte digitale Signatur mit Zeitstempel entfernbar

- Eingefügte digitale Signatur als Wasserzeichen verfälscht den Inhalt (verfälscht es ihn maßgeblich ?)

Digitale Wasserzeichen I- Verfahren zur Urheberidentifizierung

(Authentifizierung): Copyright Watermarks (robust)

- Verfahren zur Kundenidentifizierung (Authentifizierung): Fingerprint Watermarks (robust)

- Verfahren zur Durchsetzung des Kopierschutzes oder Übertragungskontrolle: Copy Control Watermarks oder Broadcast Watermarks (robust)

- Verfahren zum Nachweis der Unversehrtheit (Integritätsnachweis): Integrity Watermark (fragil)

- Verfahren zur Annotation des Datenmaterials:Caption Watermarks (robust �� fragil)

Digitale Wasserzeichen II

- Einbringen in den multimedialen Inhalt mit unterschiedlicher Stärke je nach Schutzzweck und Verwendung

- Überprüfung (Verifizierung) der Unverletztheit (Integrität) auf Schwellwertbasis

- Elektronische Signaturen: Prüfung 0 oder 1- Digitale Wasserzeichen: Prüfung

Wahrscheinlichkeit- Ähnlich zu biometrischen Verfahren: FAR und

FRR- “Manipulationswahrscheinlichkeit”

Digitale Wasserzeichen III

Attacken:- Robustness attacks- Presentation attacks- Interpretation attacks

Fragile Wasserzeichen und digitale Signatur ?

- Zielstellung: Spezielle Sicherheitsanforderungen (Medizin)- Notwendigkeit der Erkennung jeder Bitveränderung- Schutz des Originals- Originaldaten gehen durch die Einbettung von

Wasserzeichendaten jeglicher Art verloren- Positiv: kein Original verteilt- Negativ: kleine Änderungen können Semantik

verändern � Invertierbarkeit muss gewährleistet werden

- Öffentliche Verifikation der Integrität und Authentizität- Konzept:

- Nutzung fragiler invertierbarer Wasserzeichen: z.B. LSB-Verfahren

- Nutzung verlustfreier Kompression zur Invertierbarkeit- Kombination mit kryptographischen Verfahren: Hashbildung,

Verschlüsselung und digitale Signatur

Karten im Gesundheitswesen

- Seit mehr als 50 Jahren- Technologie, Zweck und Funktionalität- Pappkarte, Speicherkarte, Prozessorkarte- Identifikationskarte, Datenkarte, Zugriffskarte- Patientenkarte, Arztausweis, Gerätekarte

- Stand und Perspektiven

- Multifunktionskarten (verschiedene Anwendungen mit verschiedenen Sicherheitsanforderungen und Zugriffsrechten auf einer Karte, nachladbar)

- Karte UND Netzwerkinfrastruktur- Erweiterte Sicherheitsfeatures (Attribute, Audit)

Sicherheitsfunktionen der Karten

-HBA und BA

- Basisinformationen

- AS Authentifikation

- AS Verschlüsselung

- AS qualifizierte Signatur

- Symmetrischer Schlüssel

- CV Zertifikat(e)

- X.509 v3 Zertifikat(e)

-IA und SMC

- Basisinformationen

- AS Authentifikation

- AS Verschlüsselung

- AS fortgeschrittene Signatur

- Symmetrischer Schlüssel

- CV Zertifikat(e)

- X.509 v3 Zertifikat(e)

Beispiele für HPC und HBA

HBA und BA: Karten mit persönlicher Identifikation

-Verschiedene Funktionen werden

durch verschiedene

Sicherheitsfeatures und

verschiedene PIN geschützt: qualifizierte

Signatur nach SigG Attributzertifikate

HB (Identifikationsdaten)

Schlüsselpaar (Authentifikation)

Schlüsselpaar (Verschlüsselung)

Schlüsselpaar (Digitale Signatur)

Card to Card

Visuelle Identifikation

IA und SMC: Karten mit Institutionsidentifikation

-Verschiedene Funktionen werden durch eine einzige

Sicherheitsfunktion und PIN geschützt:

fortgeschrittene Signatur nach SigG

Attributzertifikate

Schlüsselpaar (Authentifikation)

Schlüsselpaar (Verschlüsselung)

Schlüsselpaar (fortg. Signatur)

Visuelle Identifikation

Institution (Identifikationsdaten)

Card to Card

Form-Factor ID-000(PlugIn)

Struktur der Daten auf der Patientenkarte nach ISO 21549

Patient Healthcard D ata

Device Data

Identification Data

Administrative Data

Clinical Data

Links Electronic Prescription

Patient Healthcard Security Data

Limi ted C linical Data

Extended Clinical D ata

0..1 0..1 0..1

0..10..1

0..1 0..1

eGK: Inhalt nach § 291a SGB V

Insureddata

ePrescrePrescr

EHICEHIC

Emergencydata

eMaileMail

Medicationdocumentation

Generalpatient data

Cost itemsCost items

- Obligat- Versichertendaten- Elektronisches Rezept- EHIC (E111)

- Optional- Arzneimitteldokumentation- Email (Arztbrief)- Kosten und Zuzahlungen- Notfalldatensatz- Allgemeine Patientendaten- Links und Pointer (EPA)

eGK Beispiel

-Name, Krankenkasse,

Bild, ID der Krankenkasse, ID des Versicherten

eGK: Rückseite -> EHIC

Room for Signature

and further national elements

-Name, Vorname, Geburtsdatum, ID des Versicherten,

ID des Versicherers, ID

der Karte, Gültigkeit

- The development of policy-based privilege management, authorisation, and access control is an essential prerequisite for e-health interoperability at regional and national, but especially at international level.

- Policies must be formally expressed for allowing their integration in advanced e-health environments.

- Because different expression means will be used for formally modelling policies, measures and tools for mapping them have to be developed.

- Analysis, design, specification, implementation, and maintenance of security services have to follow a unified process.

- An international agreement on certain basics such as basic structural and functional roles as well as basic rules/policies is needed for establishing a security framework.

- While security services are related to performed actions on the one hand and agreements can be easier achieved at basic concept level than at levels of higher complexity influenced by localisation issues on the other, international agreements on functional roles are more important than agreements on structural roles.

Schlussfolgerungen

- Es gibt keine 100%ige Sicherheit.- Jede Veränderung in der Policy fordert eine veränderte

Aktion.- Generelle Architekturkonzepte und Service-

Spezifikationen müssen plattform-unspezifisch sein.- Eine adäquate Übertragung in eine plattform-spezifische

Umgebung ist zu unterstützen.- Sicherheitsdienste müssen integraler Bestandteil der

Anwendungskomponenten sein.- Für die Spezifikation, Implementierung und Wartung

zukunftsfähiger und vertrauenswürdiger eHealth-Services ist ein einheitlicher Prozess erforderlich.

- Testung, Evaluierung, Labelling oder Zertifizierung sind unumgängliche Erfordernisse.

Vielen Dank für Ihre Aufmerksamkeit!

Fragen?

Kontakt:Bernd Blobel, Peter PharoweHealth Competence CenterKlinikum der Universität RegensburgFranz-Josef-Strauß-Allee 11D-93042 RegensburgEmail: bernd.blobel@ehealth-cc.de

Neue Anforderungen an Datenschutz und Datensicherheit in ... 2006_Multimedia... · multimediale...

Documents