Datenschutz in aller Offenheit
Datenschutz in aller Offenheit Mit einem Sicherheitsgateway, das nicht nur mit einschlägigen Schutzmechanismen, sondern auch mit umfangreichen Administrationsfunktionen ausgestattet ist, bringt der Krankenhausverbund Calw/Nagold Datenschutzerfordernisse und offene Kommunikation unter einen Hut.
Speziell im Gesundheitswesen sind Sicherheitslücken besonders brisant. So gehören beispielsweise die in Krankenhäusern geführten Patientendaten vom Gesetz her in die Datenschutzklasse III und müssen deshalb vor Zerstörung, unberechtigtem Zugriff oder unbefugten Änderungen besonders geschützt werden (§9 Bundesdatenschutzgesetz). Eine Lösung dieses Datenschutzproblems ist insofern nicht einfach, weil Krankenhäuser natürlich keine geschlossenen Anstalten sind, sondern Ärzte, Pflegepersonal und Lieferanten die gleiche Offenheit der Kommunikation erwarten und praktizieren, wie sie in Industrie und Dienstleistungsgewerbe heute üblich ist. Ein Beispiel ist der abgesetzte Zugriff auf Daten und Programme, der zum einen sicher und unter Beachtung der entsprechenden Datenschutzbestimmungen, zum anderen aber für die Benutzer auch einfach und komfortabel sein soll. Die Kreiskrankenhäuser Calw und Nagold im nördlichen Schwarzwald, die gemeinsame Sache bei EDV-Infrastruktur und EDV-Betrieb machen, versuchen den Spagat zwischen Datenschutz und technisch einfach zu handhabender Ferneinwahl mit einem Sicherheitsgateway unter einen Hut zu bringen. Bei einer solchen Sicherheitsschleuse handelt es sich um eine Firewall, die nicht nur mit den gängigen Schutzmechanismen ausgestattet ist, sondern die auch über komfortable und umfangreiche Verwaltungsfunktionen verfügt.
Europaweite Fern-Einwahl
Entscheidend für die Auswahl der passenden Lösung waren dabei Kostengünstigkeit und einfache Bedienbarkeit einerseits sowie Alltagstauglichkeit andererseits. In beiden Krankenhäusern ist dabei das zuletzt genannte Kriterium vor allem an den tagtäglichen Arbeitsabläufen ausgerichtet. Wie oben schon angedeutet, ist die Einwahl aus der Ferne über ISDN-Leitungen und per VPN-Zugriff auch im Krankenhausbereich gang und gäbe, um Daten abzufragen und um die EDV-Systeme zu bedienen. Proxy- und Application-Gateway-Firewalls erfüllen die genannten Kriterien nicht besonders gut. Das befanden zumindest die Fachleute der für die EDV-Abläufe in beiden Krankenhäusern zuständigen Krankenhaus-Service GmbH nach umfangreichen Tests. »Zu umständlich«, war ihr Eindruck. Grund für dieses Urteil war vor allem die Tatsache, dass alle, die sich von fern einwählen, immer genau den Port hätten angeben müssen, über den die Einwahl erfolgen sollte. Viele Lieferanten verfügten indes nicht über das Wissen, um derartige technische Angaben detailliert machen zu können, so die Einschätzung der Krankenhaus-EDV-Fachleute. Da die Einwahl europaweit und über wechselnde Routerstrecken erfolge, seien es zwischen 80 und 100 Ports, die in einem solchen Fall freigeschaltet und definiert werden müssten. »Wenn Ärzte sich von praktisch beliebigen Standorten einwählen möchten, können wir als EDV-Abteilung die damit verbundenen Angaben nicht immer wieder von Hand neu einpflegen, damit sie genau auf die gewünschte Maschine kommen können«, meint dazu Alexander Biffel, der zuständige EDV-Leiter. Bei über 1000 Mitarbeitern im Haus und 300 externen Postfächern wäre das ein letztlich nicht zu leistender Aufwand, der auf das EDV-Personal zukäme. Biffels Team suchte deshalb nach einer Lösung, die einen solchen Verwaltungsaufwand überflüssig macht. »Wir wollten ein System haben, das im Prinzip alles kann, plattformunabhängig administrierbar ist und die einzelnen Funktionen über eine grafische Oberfläche abbildet«, erklärt Biffel. Mit dem System Astaro Security Gateway habe man jetzt genau so ein System gefunden. Eine Eingabe der Ports über Befehlszeilen ist nicht notwendig. Bei der Einwahl stehen dem Nutzer Standarddienste wie HTTP, SMTP, POP3, DNS, SOCKS oder IDENT unmittelbar zur Verfügung. Auch für den Administrator vereinfacht sich vieles. Er oder sie haben eine grafische Weboberfläche, und Berichte können vollautomatisch über Nacht angefertigt werden.
Einbindung anderer Systeme
Insgesamt betreuen die EDV-Mitarbeiter über 80 Applikationen. Wenn sie sich in verschiedenen Systemen auch noch mit unterschiedlichen Skriptsprachen verständigen müssten, würde es zwangsläufig zu komplex, meint der EDV-Leiter. Krankenhäuser stünden unter Dauerbeschuss durch Angriffe über das Internet. Die täglichen Angriffsszenarien bildeten das vollständige Instrumentarium aus der Folterkammer der Hacker ab. Das Ausnutzen von Programm-Schwachstellen in betrügerischer Absicht sowie Identitäts- und Informationsdiebstahl seien dabei nur einige der Delikte, deren negative Folgen infizierte Rechner, verminderte Produktivität und steigende Kosten seien. Hochverfügbarkeit, Spam- und Virenfilter, Einbruchssensoren und Firewall sind die Gateway-Module, die zur Absicherung der beiden Krankenhäuser mittlerweile im Einsatz sind. Die neue Lösung harmoniert dabei auch mit bereits installierten Systemen und belässt damit älteren Investitionen ihren Wert, erklärt EDV-Leiter Biffel. Beispiel VPN-Anbindung: Im Landkreis Calw sei in diesem Fall eine spezielle Hardwarelösung im Einsatz, die sich bei der Rechtezuteilung aber komplett über die eingesetzte Lösung administrieren lasse. Auch werde ein zusätzlicher Virenfilter als vorgelagerter Proxy eingesetzt, um eine weitere Optimierung beim Thema Virenschutz zu erreichen und die jeweilige Abschreibungszeit der Systeme auszunutzen. Die 16 offiziellen IP-Adressen der Kliniken über die 1-Megabit-Standleitung sind auf dem Sicherheitsgateway als Standard eingestellt. Über sie werden die E-Mails geholt, wobei monatlich hier ein bis zwei Gigabyte an Datenmenge zusammenkommen. Für die HTTP-Abfragen reicht allerdings zumeist der DSL-Anschluss. Sämtliche HTTP-Anfragen laufen ausschließlich über die DSL-Leitung und bei der Abfrage der E-Mails bleiben die Kliniken dadurch deutlich unter den Grenzen des festgelegten Volumentarifs. »Ich kann einen Report generieren und präzise abfragen, welche Datenmenge im Rahmen des Volumentarifs bisher benötigt wurde«, erläutert Alexander Biffel. Der DSL-Anschluss dient zugleich auch als Ausweich-Leitung, über die bei Bedarf der gesamte Netzverkehr geleitet werden kann. Zukünftig soll Lastverteilung als zusätzliche Funktion dazukommen und eine an den Sicherheitsrichtlinien orientierte HTTP-Abfrage über zwei Gateways erfolgen können.
Zentrale Überwachungskonsole
Die technischen Belange der Kreiskrankenhäuser Calw und Nagold konnten mit der Sicherheitsschleuse von Astaro abgedeckt werden. Als besonders hilfreich hat sich erwiesen, dass alle Sicherheitsmodule auf einer einheitlichen Plattform abgebildet werden und eine grafische Weboberfläche zur Verfügung steht. Über die grafische Benutzeroberfläche und einheitliche automatische Aktualisierungen kann der Administrator von zentraler Stelle aus Veränderungen an der Netzwerksicherheitsstruktur vornehmen und überwachen.
.jpg)
.jpg)
.jpg)
