Der Login in elektronische Applikationen und dazugehörigen Services sollte einfach, aber sicher sein. In der Schweiz kümmern sich darum vor allem zwei Unternehmen. HIN und Nevis sind sowohl beim elektronischen Patientendossier als auch der SwissCovid-App dabei und sorgen im Hintergrund für die sichere Authentisierung. Der Autor: Stephan Schweizer, CEO bei Nevis.
Dieser Beitrag ist am 7. Juli 2021 in der Fachpublikation medical design erschienen.
Dieser Beitrag ist am 7. Juli 2021 in der Fachpublikation medical design erschienen.
Das Gesundheitswesen stellt besondere Sicherheitsanforderungen hinsichtlich der Zugriffsrechte auf vertrauliche Patientendaten – das gilt insbesondere für das elektronische Patientendossier (EPD), das in der Schweiz im Laufe des Jahres 2021 schrittweise eingeführt werden soll. Genauso wie das deutsche Pendant, die elektronische Patientenakte, enthält das EPD gesundheitsrelevante Daten, die sowohl von Patienten als auch Ärzten eingesehen werden können. Abgesichert wird der Zugriff auf die Daten vom Schweizer Identitätsanbieter Health Info Net (HIN), der dafür persönliche Identitäten bereitstellt.Im Schweizer Gesundheitswesen zählt HIN zum Standard für sichere Kommunikation und übernimmt unter anderem die Rolle eines elektronischen Identitätsproviders (IDP) für Gesundheitsfachpersonen und -einrichtungen. Als solcher vergibt er zertifizierte elektronische Identitäten, mit denen Beschäftigte im Gesundheitswesen sich in für sie beruflich relevante Applikationen wie Zuweiserportale oder das EPD einloggen können. Im Gründungsjahr 1996 bestand der Kundenstamm mehrheitlich aus niedergelassenen Ärzten und hat sich seitdem enorm erweitert. Heute sind neben Gesundheitsfachpersonen aus über zwanzig Berufsgruppen auch Spitäler, Einrichtungen der ambulanten Pflege (Spitex), Pflegeheime, Apotheken, kantonale und kommunale Stellen sowie Krankenkassen an HIN angeschlossen.
Über Nevis
Nevis entwickelt Sicherheitslösungen für die digitale Welt von morgen. Das Portfolio umfasst passwortfreie Logins, die sich intuitiv bedienen lassen und Nutzerdaten optimal schützen. In der Schweiz gehört das Unternehmen zu den Marktführern für Identity und Access Management und sichert über 80 Prozent aller E-BankingTransaktionen. Weltweit setzen Behörden sowie führende Dienstleistungs- und Industrieunternehmen auf Nevis. Das Unternehmen unterhält Standorte in der Schweiz, Deutschland und Ungarn.
Nevis entwickelt Sicherheitslösungen für die digitale Welt von morgen. Das Portfolio umfasst passwortfreie Logins, die sich intuitiv bedienen lassen und Nutzerdaten optimal schützen. In der Schweiz gehört das Unternehmen zu den Marktführern für Identity und Access Management und sichert über 80 Prozent aller E-BankingTransaktionen. Weltweit setzen Behörden sowie führende Dienstleistungs- und Industrieunternehmen auf Nevis. Das Unternehmen unterhält Standorte in der Schweiz, Deutschland und Ungarn.
Teil der HIN-Community werden diese Einrichtungen, indem sie sich für ein Anschlussprodukt entscheiden. Zusammen mit diesem erhalten sie eine oder mehrere HIN-Identitäten. Der Anschluss ermöglicht ihnen die Nutzung von HIN Services für die sichere Kommunikation und Zusammenarbeit innerhalb der Community sowie den sicheren Zugriff auf Webapplikationen. Beim Anschluss stehen verschiedene Möglichkeiten offen, wie beispielsweise client-basierte Abos – die übliche Anbindung für niedergelassene Ärzte – oder bei institutionellen Kunden eine Gateway-Lösung, für die keine Software auf einzelnen Arbeitsstationen installiert werden muss.Sicherer Zugriff auf WebapplikationenDie weite Verbreitung der HIN-Identität im Schweizer Gesundheitswesen macht es für Webapplikations-Anbieter attraktiv, diese an die Plattform mittels Access Control Service (ACS) oder Federation Service (FS) anzuschließen. Dies ermöglicht es Teilnehmern, mit ihrer Identität per Single Sign-on sicher auf diese zuzugreifen. So kann beispielsweise ein Krankenhaus beantragen, die HIN-Identität als Authentifizierungsmittel für ihr Zuweiserportal zu nutzen. Neben beliebigen externen Applikationen bietet das Unternehmen auch eine Reihe eigens entwickelter Services an. Dazu zählen beispielsweise Anwendungen, die eine sichere Kommunikation ermöglichen. Prominentestes Beispiel hierfür ist HIN-Mail, ein Service zum automatischen Verschlüsseln von E-Mails. Er stellt sicher, dass Krankenhäuser und niedergelassene Ärzte miteinander kommunizieren können; eine aufwendige Integration ins Mailprogramm ist dazu nicht notwendig. Weitere Bestandteile des Portfolios sind ein Messenger, ein Tool zur Zusammenarbeit, eine auf die Bedürfnisse von Ärzten ausgerichtete Endpoint-Security-Lösung sowie IT-Security-Awareness-Schulungen und ein Awareness-Portal.
So funktioniert die AuthentisierungAm Beispiel einer fiktiven Mitarbeiterin im Gesundheitswesen – einer Ärztin – lässt sich der Weg von der Identifizierung der Person über ihre Registrierung bis zum erfolgreichen Login in die Applikationen nachvollziehen. Die Ärztin wendet sich an HIN, um sich als solche registrieren zu lassen und Zugriff auf HIN-geschützte Anwendungen zu erhalten. Der Identitätsanbieter muss nun sicherstellen, dass die Angaben der Antragstellerin den Tatsachen entsprechen. HIN leistet das über zwei Verfahren:
- Ausweiskontrolle: Bei der Anmeldung muss die Ärztin ihre gescannten Ausweisdokumente zur Verfügung stellen, die im Anschluss von HIN geprüft werden.
- Video-Identifikation: Dabei wird die Ärztin im Videochat direkt mit einem HIN-Mitarbeiter verbunden, der Fragen stellt, um ihre Identität zu prüfen, und ebenfalls eine Identifikation anhand eines Ausweisdokuments vornimmt.
Am Ende beider Verfahren ist sichergestellt, dass alle Angaben zur Person korrekt sind. Daraufhin kann HIN eine Identität ausstellen. Diese ist mit den gesundheitsspezifischen Attributen versehen, die für die Ärztin in ihrer Berufsausübung relevant sind. Gibt sie an, Ärztin zu sein, prüft HIN dies vor Ausstellung der Identität anhand von Medizinalregistern und anderen Quellen. Nach erfolgreicher Prüfung übergibt der Anbieter ein Authentisierungsmittel. Mit diesem kann sich die Ärztin zukünftig bei den angebundenen Applikationen authentisieren. Dabei ist zum einen ein »klassisches« und von anderen Identitätsprovidern bekanntes Authentisierungsmittel. Benutzername und Passwort werden jedoch um einen zweiten Faktor ergänzt. Als Zweitfaktoren dienen zum einen SMS, zum zweiten eine Authenticator-App, die einen Freigabe-Mechanismus sowie die Generierung von Einmalpasswörtern unterstützt, oder ein Hardware Token.Das Benutzername/Passwort-Verfahren wird von HIN zwar unterstützt, ist allerdings nur eine alternative Form der Authentisierung neben den beiden Hauptverfahren. Dabei handelt es sich zum einen um eine Client-Software, die auf der jeweiligen Arbeitsstation installiert werden muss und üblicherweise bei niedergelassenen Ärzten im Einsatz ist. Die Authentisierung erfolgt mittels eines Client-Zertifikats oder – die neuere und in Zukunft wichtigere Variante – via Challenge-Response-Verfahren: Dabei sendet der HIN-Server eine Challenge an den Client, welcher mit einer signierten Response antwortet.Für große Organisationen wäre es dagegen nicht praktikabel, auf tausenden Arbeitsstationen den Client zu installieren. Daher kommt hier das HIN-Access-Gateway zum Einsatz. Dieses wird einmal im Netzwerk der Organisation installiert und ermöglicht dann, ähnlich wie der Client, die Authentisierung mittels ChallengeResponse-Verfahren.
Patientendaten sicher schützen Die beschriebenen AuthentisierungsVerfahren kommen unter anderem beim elektronischen Patientendossier zum Einsatz, das Ende 2020 in der Schweiz an den Start ging. Darin können Ärzte und andere Gesundheitsfachpersonen Dokumente zum jeweiligen Patienten ablegen. Für beide Seiten soll das den Zugriff auf die Gesundheitsdaten erleichtern; insbesondere für Patienten wird so auch transparenter, was der Arzt über ihn weiß. Patienten können bestimmen, wer auf die Daten zugreifen darf, also etwa Berechtigungen zur Einsicht an den Hausarzt vergeben oder diesem die Berechtigung auch entziehen.Die rechtliche Grundlage für das Verfahren regelt das Schweizer Bundesgesetz über das elektronische Patientendossier. Für HIN relevant sind besonders zwei Artikel:
- Art.7: Jede Person, die auf das Dossier zugreifen möchte, benötigt eine elektronische Identität.
- Art.11: Der Herausgeber der Identifikationsmittel muss zertifiziert sein.
Identity and Access Management mit Nevis Für das Identity and Access Management (IAM), also die Prüfung der Berechtigungen eines Users, setzt HIN auf Lösungen von Nevis. Die Zusammenarbeit beider Unternehmen begann Ende 2013, als HIN auf der Suche nach einer neuen Softwarebasis für das IAM war. Die Ausschreibung konnte Nevis, damals noch unter dem Dach der Muttergesellschaft AdNovum Informatik, für sich entscheiden. Ausschlaggebend war, dass Nevis aufzeigen konnte, dass Probleme mit der bisherigen Lösung bei einem Wechsel nicht mehr auftreten würden. Dies betraf insbesondere die Flexibilität im Zusammenhang mit neu einzuführenden Authentisierungsverfahren.Heute werden sämtliche von HIN angebotenen Applikationen durch das IAM von Nevis geschützt. Hierbei erfolgt ein automatisierter Abgleich von Daten aus dem ERP-System mit dem Identity Management, in dem User erzeugt und Rollen zugewiesen werden. Je nachdem, welche Applikationen der jeweilige User über HIN bezogen hat, werden ihm im Identity Management verschiedene Berechtigungen zugewiesen. Dieser Abgleich zwischen ERP (ERP = Enterprise Resource Planning) und IAM passiert in Echtzeit.
Die Sicherung der Applikationen erfolgt über verschiedene Mechanismen, unter anderem eine Web Application Firewall. Die Datenextraktion über SQL Injection oder Cross-Site-Request-Forgery (Angriffe über den Webkanal) ist so ausgeschlossen. Passwörter werden nur gehasht gespeichert und Password Policys definieren sowohl die notwendige Länge der Passwörter als auch deren Wechselintervall. Die Lösungen wurden von KPMG nach Schweizer eHealth-Standard geprüft und zertifiziert – einschließlich des Rechenzentrums in der Schweiz, das sicherstellt, dass die sensiblen Daten die Landesgrenzen nicht verlassen.Authentisierungs-Prozess der SwissCovid AppEin weiteres aktuelles Beispiel für die Absicherung sensibler Gesundheitsdaten ist die SwissCovid App. Ähnlich wie die in Deutschland eingesetzte Corona-Warnapp soll sie helfen, Kontakte mit Covid-19-Infizierten nachzuvollziehen und so die Unterbrechung von Infektionsketten zu erleichtern. Das Tracing-System besteht aus zwei Komponenten: die Smartphone-App und die Webapplikation Covidcode. HIN ist jedoch nur an der Webapplikation direkt beteiligt. Wird bei einem Patienten die Krankheit diagnostiziert, kann sich der Arzt auf der Covidcode-Webapplikation anmelden, für die er sich mit seiner HIN-Identität authentisiert. Dort generiert der Arzt einen Code, den er an den Patienten weitergibt. Dieser gibt den Code in der eigenen App ein, woraufhin sämtliche Kontaktpersonen automatisch informiert werden, dass sie Kontakt mit einer infizierten Person hatten. Der Mechanismus verhindert, dass falsche Benachrichtigungen versandt werden.Der Authentisierungs-Prozess startet im Browser – etwa, wenn wie oben beschrieben ein Arzt auf Covidcode zugreift. Der Zugriff wird auf dem Nevis-Proxy registriert, der daraufhin die Authentisierung zusammen mit »Nevis Auth« startet. Hier erfolgt mit einem http-Connector der Absprung zu einer von HIN entwickelten Drittapplikation, in der die Challenge angefragt wird. Die Drittkomponente generiert diese Challenge und schickt sie über Nevis Auth und den angeschlossenen Proxy auf den Browser des Users.Die Challenge Page löst im Browser parallel zwei Prozesse aus. Zum einen kontaktiert die Challenge Page über einen Protokoll-Handler den HIN-Client. Dieser zeigt daraufhin einen Login-Dialog an. Zur Entsperrung des Schlüsselmaterials muss der User seine Passphrase eingeben. Sobald dies erfolgt ist, generiert der Client mit dem entsperrten Schlüsselmaterial eine signierte Response. Diese wird an den Nevis Proxy gesendet, von wo aus sie zur Drittkomponente weitergeleitet wird. Zum anderen wird ein Request mit Session ID an den Nevis-Proxy ausgelöst. Der Proxy gibt die Session ID an Nevis Auth und von dort aus an die Drittapplikation weiter.Sobald zum einen die signierte Response und zum zweiten die korrekte Session ID bei der Drittapplikation eingetroffen sind, werden beide Informationen zusammengeführt. Anhand der Signatur kann die Drittapplikation erkennen, welcher User sich gerade eingeloggt hat. Diese Information geht zurück an Nevis Auth, woraufhin der Proxy ein Session Cookie an den Browser für den entsprechenden User weitergibt. Im Browser ist ab diesem Moment eine authentisierte Session etabliert und der User kann auf alle HIN-geschützten Applikationen zugreifen, ohne noch einmal Username/ Passwort oder andere AuthentisierungsCredentials eingeben zu müssen. Diese Form der Authentisierung kommt insbesondere bei Access Gateway für große Organisationen zum Einsatz.
Gastautoren
Stimmen und Porträts aus unserer HIN Community sind immer herzlich willkommen. Wir freuen uns über Beiträge unserer Kunden genauso wie über solche von Partnern. Gastautoren haben bei uns immer einen Platz und machen unseren Blog noch vielfältiger.
Stimmen und Porträts aus unserer HIN Community sind immer herzlich willkommen. Wir freuen uns über Beiträge unserer Kunden genauso wie über solche von Partnern. Gastautoren haben bei uns immer einen Platz und machen unseren Blog noch vielfältiger.