Elektronisches Patientendossier Sichere Logins fürs Gesundheitswesen

Zugehörige Themenseiten:
Healthcare global

In der Schweiz wird 2021 schrittweise das elektronische Patientendossier eingeführt. Zugriffsrechte auf die vertraulichen Daten stellen das Gesundheitswesen hier vor neue Herausforderungen in puncto Datensicherheit.

logins, Schweiz, elektronisches Patientendossier
Im Schweizer Gesundheitswesen sorgen sichere Logins für mehr Datensicherheit beim elektronischen Patientendossier. – © elenabsl (stock.adobe.com)

Das elektronische Patientendossier enthält gesundheitsrelevante Daten von Patienten und Patientinnen, die sowohl von Patienten und Patientinnen als auch Ärzten und Ärztinnen eingesehen werden können. Abgesichert wird der Zugriff auf diese hochsensiblen Daten vom Schweizer Identitätsanbieter Health Info Net AG (HIN), der dafür persönliche Identitäten bereitstellt. Dies geschieht in Zusammenarbeit mit der auf Customer Identity- und Access Management spezialisierten Nevis Security AG. So sollen die Daten im elektronischen Patientendossier umfassend vor Hackerangriffen geschützt werden.

Im Schweizer Gesundheitswesen zählt HIN zum Standard für sichere Kommunikation und übernimmt unter anderem die Rolle eines elektronischen Identitätsproviders (IDP) für Gesundheitsfachpersonen und -einrichtungen. Als solcher vergibt HIN zertifizierte elektronische Identitäten, mit denen sich Beschäftigte im Gesundheitswesen in relevante Applikationen wie Zuweiserportale oder das elektronische Patientendossier einloggen können.

So funktioniert die Authentisierung

Am Beispiel einer fiktiven Mitarbeiterin im Gesundheitswesen – der Ärztin Frau Müller – lässt sich der Weg von der Identifizierung der Person über ihre Registrierung bis zum erfolgreichen Login in abgesicherten Applikationen nachvollziehen.

Frau Müller wendet sich an HIN, um sich als Ärztin registrieren zu lassen und Zugriff auf HIN-geschützte Anwendungen zu erhalten. Als Identitätsanbieter muss HIN nun sicherstellen, dass die Angaben der Antragstellerin den Tatsachen entsprechen. HIN leistet das über zwei Verfahren:

  • Ausweiskontrolle: Bei der Anmeldung muss Frau Müller ihre gescannten Ausweisdokumente zur Verfügung stellen, die im Anschluss von HIN geprüft werden.
  • Video-Identifikation: Dabei wird Frau Müller im Videochat direkt mit einem HIN-Mitarbeiter verbunden, der Fragen stellt, um ihre Identität zu prüfen, und ebenfalls eine Identifikation anhand eines Ausweisdokumentes vornimmt.

Am Ende beider Verfahren ist sichergestellt, dass Frau Müller korrekte Angaben zu ihrer Person gemacht hat. Daraufhin kann HIN eine Identität ausstellen.

Verwendete Authentisierungsmittel

Dabei ist zum einen ein „klassisches“ und von anderen Identitätsprovidern bekanntes Authentisierungsmittel im Einsatz: Benutzername und Passwort, ergänzt um einen zweiten Faktor. Als Zweitfaktoren dienen zum einen SMS, zum zweiten die HIN-Authenticator-App, die einen Freigabe-Mechanismus sowie die Generierung von Einmalpasswörtern unterstützt, oder ein Hardware Token. Das Benutzername/Passwort-Verfahren werde von HIN zwar unterstützt, sei allerdings nur eine alternative Form der Authentisierung neben den beiden Hauptverfahren.

Dabei handelt es sich zum einen um den HIN-Client, eine Client-Software, die auf der jeweiligen Arbeitsstation installiert werden muss und üblicherweise bei niedergelassenen Ärzten im Einsatz ist. Die Authentisierung erfolgt mittels eines Client-Zertifikats oder via Challenge-Response-Verfahren: Dabei sendet der HIN-Server eine Challenge an den Client, welcher mit einer signierten Response antwortet.

Für große Organisationen kommt das HIN-Access-Gateway zum Einsatz. Dieses wird einmal im Netzwerk der Organisation installiert und ermöglicht dann, ähnlich wie der HIN Client, die Authentisierung mittels Challenge-Response-Verfahren.

Sensible Daten sicher schützen

Die beschriebenen Authentisierungs-Verfahren kommen unter anderem beim elektronischen Patientendossier in der Schweiz zum Einsatz. Darin können Ärzte und Ärztinnen sowie andere Gesundheitsfachpersonen Dokumente zum jeweiligen Patienten oder zur jeweiligen Patientin ablegen. Patienten und Patientinnen können bestimmen, wer auf die Daten zugreifen darf, also etwa Berechtigungen zur Einsicht an den Hausarzt bzw. die Hausärztin vergeben, oder einem Arzt bzw. einer Ärztin die Berechtigung auch entziehen.

Die rechtliche Grundlage für das Verfahren regelt das Schweizer Bundesgesetz über das elektronische Patientendossier. Für HIN relevant sind besonders zwei Artikel:

  • Art. 7: Jede Person, die auf das Dossier zugreifen möchte, benötigt eine elektronische Identität.
  • Art.11: Der Herausgeber der Identifikationsmittel muss zertifiziert sein.

HIN stellt zum einen sicher, dass die in Artikel 7 gestellten Anforderungen an die Identifikation und Authentisierung zugriffsberechtigter Personen erfüllt sind. Zum zweiten wurde das Unternehmen als erster Identitätsprovider für das elektronische Patientendossier zugelassen.

Für das Identity and Access Management (IAM), also die Prüfung der Berechtigungen eines Users, setzt HIN auf Lösungen der Nevis AG. Heute werden sämtliche von HIN angebotenen Applikationen durch das IAM von Nevis geschützt. Hierbei erfolgt ein automatisierter Abgleich von Daten aus dem ERP-System mit dem Identity Management, in dem User erzeugt und Rollen zugewiesen werden. Je nachdem, welche Applikationen der jeweilige User über HIN bezogen hat, werden ihm im Identity Management verschiedene Berechtigungen zugewiesen. Dieser Abgleich zwischen ERP und IAM erfolgt in Echtzeit.

Beispiel: Authentisierung im HIN-Client mittels Challenge-Response-Verfahren

Der Authentisierungs-Prozess startet im Browser. Der Zugriff wird auf dem nevisProxy registriert, der daraufhin die Authentisierung zusammen mit nevisAuth startet. Hier erfolgt mit einem http-Connector der Absprung zu einer von HIN entwickelten Drittapplikation, in der die Challenge angefragt wird. Die Drittkomponente generiert diese Challenge und schickt sie über nevisAuth und den angeschlossenen nevisProxy auf den Browser des Users.

Die Challenge-Page löst im Browser parallel zwei Prozesse aus:

  • Zum einen kontaktiert die Challenge-Page über einen Protokoll-Handler den HIN-Client. Der HIN-Client zeigt daraufhin einen Login-Dialog an: Zur Entsperrung des Schlüsselmaterials muss der User seine Passphrase eingeben. Sobald dies erfolgt ist, generiert der HIN-Client mit dem entsperrten Schlüsselmaterial eine signierte Response. Diese wird an den nevisProxy gesendet, von wo aus sie zur Drittkomponente weitergeleitet wird.
  • Zum anderen wird ein Request mit Session ID an den nevisProxy ausgelöst. Der nevisProxy gibt die Session ID an nevisAuth und von dort aus an die Drittapplikation weiter.

Sobald zum einen die signierte Response und zum zweiten die korrekte Session ID bei der Drittapplikation eingetroffen sind, werden diese beiden Informationen zusammengeführt. Anhand der Signatur kann die Drittapplikation erkennen, welcher User sich gerade eingeloggt hat. Diese Information geht zurück an Nevis Auth, woraufhin der Nevis Proxy ein Session Cookie an den Browser für den entsprechenden User weitergibt.

Im Browser ist ab diesem Moment eine authentisierte Session etabliert und der User kann auf alle HIN-geschützten Applikationen zugreifen, ohne noch einmal Username/Passwort oder andere Authentisierungs-Credentials eingeben zu müssen. Diese Form der Authentisierung kommt insbesondere bei Access Gateways für große Organisationen zum Einsatz.