Sicherer Datenaustausch mit SDC

Daten

Veröffentlicht 13.11.2020 10:00

Seit 2019 erobert mit der Service Oriented Device Connectivity (SDC) ein neuer internationaler Standard die Gerätekommunikation in der Krankenhauslandschaft: Die IEEE verabschiedete mit der 11073-Standardserie (https://standards.ieee.org/standard/11073-20701-2018.html) eine ganze Reihe neuer Möglichkeiten beim Austausch klinischer Informationen. Herstellerunabhängig können Geräte Echtzeitinformationen untereinander und mit dem krankenhausweiten Informationssystem austauschen und so Abläufe effizienter unterstützen. Hersteller wie Dräger bieten bereits auf Basis des Interoperabilitätsstandard Funktionalitäten, beispielsweise in Anästhesie- und Intensivbeatmungsgeräten, an. Die Digitalisierung der Therapie bringt aber auch neue Sicherheitsanforderungen auf die Tagesordnung.

Im proprietären Umfeld ihrer Geräte können Medizintechnikhersteller mit eigenen Protokollen die IT-Sicherheit leichter gewährleisten. Werden diese Inseln verlassen, müssen die Geräte über heterogene Netzanbindungen Daten austauschen. Der Betreiber muss hierfür Verantwortung übernehmen, das Risiko für potenzielle Sicherheitsvorfälle und Datenlecks steigt grundsätzlich. Es sei denn, der Standard für die Gerätekommunikation bringt von sich aus ein gleichbleibend hohes Sicherheitsniveau mit, unabhängig vom jeweiligen Fabrikat und in einem dynamischen Internet-Protokoll („IP“)-Umfeld. Durch erweiterte Möglichkeiten für klinische Entscheidungen, eine stärker automatisierte Therapieunterstützung und Fernsteuerung sowie ein zentral gesteuertes Alarm-Management nimmt der Datenaustausch durch SDC dabei sogar noch zu. Die Sicherheit der SDC-Kommunikation beruht auf drei Merkmalen: der Zugangskontrolle, der Vertraulichkeit der übermittelten Daten durch eine Ende-zu-Ende Verschlüsselung sowie der Datenintegrität mittels kryptographischer Prüfsummen.

Ohne Autorisierung kein Datenzugriff

SDC basiert auf einer Serviceorientierten Architektur (SOA) und weist zugleich ein spezielles Kommunikationsmodell für den Datenaustausch auf: Das SDC-Protokoll ist aus mehreren Schichten aufgebaut. Die Transportebene bildet die Basis mit DPWS (Devices Profile for Web Services) und Medical Devices Profile for Web Services (MDPWS). Das MDPWS sorgt dafür, dass Geräte Dienste in einem IP-basierten Netzwerk bereitstellen oder abrufen können. Darüber definiert die Spezifikation Basic Integrated Clinical Environment Protocol Specification (BICEPS) die Informationen, die mit anderen vernetzten Geräten ausgetauscht werden sowie gerätebezogene Services innerhalb eines klinischen Arbeitsplatzes im OP, auf der Intensivstation oder in der Neonatologie. Auf dieser Ebene kommunizieren Applikationen, beispielsweise ein Vitaldaten-Monitor mit einem Beatmungsgerät. Hier wird auch die gewünschte Interoperabilität sichergestellt. Eine zweistufige Zugangskontrolle sorgt dafür, dass dabei nicht unkontrolliert Informationen abgerufen werden können. Ein SDC-fähiges Gerät oder Kommunikationspartner A muss sich zunächst an einem SDC-Gerät B mittels eines digitalen Zertifikats authentifizieren. Dieses prüft anhand einer Liste vertrauenswürdiger Root-Zertifikate, ob das Zertifikat gültig ist, das anfragende System A also überhaupt von dem adressierten SDC-Gerät B als Kommunikationspartner akzeptiert wird. Im nächsten Schritt erfolgt die Autorisierung, indem B die für den gewünschten Datenaustausch erforderlichen Berechtigungen von A überprüft. Die Kommunikation zwischen den beiden SDC-Geräten verläuft insgesamt mit Hilfe einer sogenannten Public Key Infrastruktur (PKI) und damit auf einem Sicherheitsniveau wie es etwa beim Online-Banking üblich ist.

Aus kryptischen Daten Informationen lesen

Ohne einheitliche Schutzmaßnahmen bei der Nachrichtenübertragung zwischen den Geräten verschiedener Hersteller könnten unbefugte Dritte Informationen mitlesen oder sogar verändern. SDC nutzt hierzu ein asymmetrisches Verschlüsselungsverfahren bestehend aus einem privaten oder geheimen und einem öffentlichen Schlüssel. Dabei verschlüsselt ein Gerät den für die eigentliche Nachrichtenübertragung verwendeten Sitzungsschlüssel, den sogenannten Session-Key, mit dem öffentlichen Schlüssel seines SDC-Partners, den nur dieser mit seinem zugehörigen privaten Schlüssel entschlüsseln und somit verwenden kann. Um zu gewährleisten, dass die verwendeten öffentlichen Schlüssel vertrauenswürdig sind, werden diese von einem externen Vertrauensdienstleister zertifiziert. Genau genommen signiert diese Instanz ein Zertifikat, das von dem Sender zusammen mit seinem öffentlichen Schlüssel an den Empfänger übermittelt wird. Die Public Key-Infrastruktur X.509 (ISO/IEC 9594-8) bildet somit das Herzstück der für SDC verwendeten Informationsübertragung.
Mit den Mechanismen Authentifizierung, Autorisierung und einer Ende-zu-Ende Verschlüsselung stellt SDC einen sicheren Datenaustausch in Netzwerken zwischen einer beliebigen Anzahl von Geräteapplikationen sicher.

Detlef Köble, Dräger

Autor Detlef Köble, Product Security
Manager bei Dräger




Quelle: Krankenhaus-IT Journal, Oktober 2020


Lesen Sie mehr zum Thema "IT-Management"

Die Patienten wollen Transparenz
IT-Management
Digitale Gesundheit

Lesen Sie hier die neuesten Beiträge