Fraunhofer FIRST / Presse conhIT 2012: Sichere Übertragung von Vitaldaten

Meldung vom Fr., 20. April 2012

Die Forscher von Fraunhofer FIRST demonstrieren vom 24.-26. April auf der conhIT 2012, wie mit der Sicherheitsarchitektur Yagsi Vitaldaten in der Telemedizin sicher übertragen werden.

Die Forscher von Fraunhofer FIRST demonstrieren vom 24.-26. April auf der conhIT 2012, wie mit der Sicherheitsarchitektur Yagsi Vitaldaten in der Telemedizin sicher übertragen werden. Neben der Verschlüsselung der Daten bietet Yagsi ein feingranulares Rechtemanagement. Besuchen Sie uns auf dem Messegelände Berlin in Halle 1.2 Stand D 116.

In der Telemedizin werden Patientendaten häufig über das Internet versendet, beispielsweise vom Haus des Patienten zum Krankenhaus oder zwischen Ärzten. Der sicheren Übertragung der persönlichen Daten kommt dabei eine entscheidende Rolle zu. Die Forscher von Fraunhofer FIRST haben dafür die Sicherheitsarchitektur Yagsi entwickelt. Auf der conhIT stellt Fraunhofer FIRST einen Demonstrator zur sicheren Übertragung von Vitaldaten zwischen Wohnung, Krankenhaus und telemedizinischem Archiv vor. Der Demonstrator wurde im Rahmen des Projekts SmartSenior entwickelt und wird in Teilen bereits im Telemedizincentrum Charité (TMCC) in Berlin genutzt.

Yagsi kann überall dort eingesetzt werden, wo Dienste, die sensible Daten enthalten, in einem Workflow verfügbar sind. Die Sicherheitsarchitektur definiert sowohl die Kommunikation zwischen Sensoren und Geräten als auch zwischen Personen und Anwendungen, damit sensible Daten geschützt sind und nachvollziehbar ist, an wen sie übermittelt wurden. Die Stärken von Yagsi liegen dabei in der feingranular einstellbaren Zugriffskontrolle sowie in den Möglichkeiten zur beschränkten Delegation von Zugriffsrechten an nachfolgende Dienste. Yagsi steht zur Lizenzierung zur Verfügung.

Yagsi besteht aus drei zentralen Komponenten: dem Yagsi-Sicherheitsproxy (PostSec), einer Yagsi-Firewall (PreSec) und einer Sicherheitsmarke (Security-Token). Die PostSec-Komponente, die dem Client nachgeschaltet ist, ist als http-Proxy implementiert. Sie verschlüsselt und signiert alle ausgehenden Nachrichten. Die PreSec-Komponente ist als Gegenstück hierzu eine Firewall, die alle eingehenden Nachrichten entschlüsselt, die Signatur überprüft und entsprechend der dort hinterlegten Regeln entscheidet, ob die Nachricht an den Web Service weitergeleitet wird. Durch die Umsetzung als eigenständige Proxy- und Firewall-Komponenten lassen sich beliebige Dienste durch Vorschalten der PreSec-Komponente beim Server und durch Nachschalten der PostSec-Komponente beim Client transparent absichern, ohne dass die Dienste selbst verändert werden müssen. Die Verschlüsselung erfolgt auf Nachrichtenebene, ohne den Inhalt zu verändern. Darüber hinaus erhält jede Nachricht einen Security-Token, der das persönliche Zertifikat des Nutzers enthält. Jede Station, die die Nachricht durchläuft, wird in dem Security-Token als weiteres Zertifikat vermerkt. Somit wird eine feingranulare Rechtedelegation ermöglicht, die dem Nutzer je nach vorher festgelegtem Workflow erlaubt, nachfolgende Dienste zu nutzen. Autorisierungen werden dann von der PreSec-Komponente auf Basis des Nachrichtenflusses entschieden.

Die Vorteile: Durch den Security-Token kann vorab definiert werden, welcher Arzt welche Nachrichten erhalten und weiter verarbeiten darf. Desweiteren kann für vordefinierte Zeitintervalle nachvollzogen werden, welche Dienste von welchem Arzt in Anspruch genommen wurden, ohne die Dienste zu verändern. Mit Yagsi können auch Audit-Trails unterstützt werden, so dass überprüft werden kann, welche Daten von welchem Arzt eingesehen und abgespeichert wurden.