P174 - perspeGKtive 2010 - Workshop „Innovative und sichere Informationstechnologie für das Gesundheitswesen von morgen“
Autor*innen mit den meisten Dokumenten
Neueste Veröffentlichungen
- KonferenzbeitragElektronische Signaturen in Versorgungseinrichtungen des Gesundheitswesens - Maßnahmen und Einführungsunterstützung(perspeGKtive 2010. Workshop „Innovative und sichere Informationstechnologie für das Gesundheitswesen von morgen“, 2010) Kosock, Hagen; Balfanz, Judith; Brandner, Antje; Dujat, Carl; Duwenkamp, Christopher; Haux, Reinhold; Hellrung, Nils; Schmücker, Paul; Seidel, ChristophDie Relevanz sicherer elektronischer Dokumentation nimmt im Gesundheitswesen immer weiter zu, dennoch entwickelt sich eine passende IT- Infrastruktur nur langsam. Um die Einführung sicherer elektronischer Dokumentation zu unterstützen wurde das Competence Center für die Elektronische Signatur e.V. (CCESigG) als neutrale Plattform des Gesundheitswesens gegründet. Dieser Artikel beschreibt die Zielsetzung des CCESigG, die zugrundeliegende Problematik bei der Einführung sicherer elektronischer Dokumentation und die geplanten Maßnahmen, um diese zu unterstützen. Darüber hinaus werden die Ergebnisse der \?AG Dokumente“ des CCESigG vorgestellt und diskutiert. Ziel dieser Arbeitsgruppe ist eine praxistaugliche Systematik zusammenzustellen, die aussagt, welche patientenbezogenen Dokumente mit welchen Ausprägungen der elektronischen Signatur oder des Zeitstempels, basierend auf rechtlichen Anforderungen sowie praxisbasierten Empfehlungen, zu versehen sind. Hierbei wird einzelnen Dokumentengruppen eine Minimalanforderung an ein zu verwendendes Sicherheitsniveau zugeordnet. Das CCESigG erhofft sich, Entscheider im Gesundheitswesen bei der Einführung sicherer elektronischer Dokumentation und Archivierung zu unterstützen und Unsicherheiten bezüglich der rechtlichen Anforderungen zu beseitigen.
- KonferenzbeitragMeeting EHR security requirements: authentication as a security service(perspeGKtive 2010. Workshop „Innovative und sichere Informationstechnologie für das Gesundheitswesen von morgen“, 2010) Katt, Basel; Trojer, Thomas; Breu, Ruth; Schabetsberger, Thomas; Wozak, FlorianElectronic Health Record (EHR) is a promising concept to collect and manage electronic health information of all citizens. Integration the Heathcare Enterprise (IHE) was one of the first initiatives that aims at standardizing the way healthcare systems exchanging information in a distributed environment. Based on EHR concepts and IHE profiles different approaches have been introduced in the industry and the literature to implement and apply solutions for different stakeholders in the healthcare domain (see e.g., http://www.ith-icoserve.com/). Due to the sensitivity of the data dealt with in these systems, security is a major concern that must be considered. In previous work we have presented a general architectural solution to apply the evolving Security as a Service (SeAAS) paradigm in distributed architectures for EHR in conformance to IHE-proposed profiles. While our architecture proposed is generic and covers all security requirements, we focus in this work on one security requirement, namely, authentication and show how it can be offered as a service while adhering to IHE profiles.1
- KonferenzbeitragGrundzüge eines Sicherheitskonzeptes für Arztpraxen mit Hilfe von Attack Trees und unter Berücksichtigung der Gesundheitstelematik(perspeGKtive 2010. Workshop „Innovative und sichere Informationstechnologie für das Gesundheitswesen von morgen“, 2010) Rittmeier, Raffael; Sohr, KarstenZiel dieser Arbeit ist es, den Schutz sensibler Patientendaten zu verbessern. Es wird eine Vorgehensweise zur Erstellung eines Sicherheitskonzepts für Arztpraxen skizziert. Dabei werden die entsprechenden Standards des Bundesamts für Sicherheit in der Informationstechnik (BSI) durch Bedrohungsbäume (attack trees) erweitert. Damit können z. B. Bedrohungen analysiert werden, die durch die Einführung neuer Technologien entstehen können. Ein spezieller IT-Grudschutzbaustein für Arztpraxen und eine freiwillige Zertifizierung werden diskutiert.
- KonferenzbeitragOpeneGK – Benutzerfreundliche und sichere Authentisierung für Mehrwertdienste im Gesundheitswesen(perspeGKtive 2010. Workshop „Innovative und sichere Informationstechnologie für das Gesundheitswesen von morgen“, 2010) Eske, Daniel; Hühnlein, Detlef; Paulus, Sachar; Schmölz, Johannes; Wich, Tobias; Wieland, ThomasDieser Beitrag zeigt, wie die elektronische Gesundheitskarte (eGK) in Verbindung mit dem OpenID-Protokoll bei web-basierten Mehrwertdiensten im Gesundheitswesen zur sicheren, datenschutzund benutzerfreundlichen Registrierung und Authentisierung genutzt werden kann. Außerdem verspricht die Kombination mit dem weit verbreiteten OpenID-Protokoll eine schnellere Akzeptanz und Verbreitung der eGK-basierten Authentisierung im Internet.
- KonferenzbeitragRetrospeGKtive der bekannten sicherheitstechnischen Problematiken bei der Einführung der Elektronischen Gesundheitskarte und der Telematikinfrastruktur in Deutschland(perspeGKtive 2010. Workshop „Innovative und sichere Informationstechnologie für das Gesundheitswesen von morgen“, 2010) Sunyaev, Ali; Knipl, Stefan; Dünnebeil, Sebastian; Leimeister, Jan Marco; Krcmar, HelmutDie Sicherheitsmechanismen und das Sicherheitskonzept der Telematikinfrastruktur sind ein wesentlicher Bestandteil der veröffentlichten technischen Spezifikationen zur Einführung der elektronischen Gesundheitskarte in Deutschland. Für eine zuverlässige Handhabung der Gesundheitstelematik ist die Qualität der eingesetzten Sicherheitstechnik essentiell. Dieser Beitrag überprüft mögliche Sicherheitsproblematiken rund um die elektronische Gesundheitskarte, die in früheren Analysen der gematik-Spezifikationen festgestellt worden waren. Hierzu untersuchen wir ebenfalls, inwiefern und ob die Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH (gematik) diese kommunizierten Fragestellungen in den aktuellen Spezifikationen der Telematikinfrastruktur berücksichtigt hat.
- KonferenzbeitragDeklarative Sicherheit zur Spezifikation und Implementierung der elektronischen Fallakte(perspeGKtive 2010. Workshop „Innovative und sichere Informationstechnologie für das Gesundheitswesen von morgen“, 2010) Kuhlisch, Raik; Caumanns, JörgAnwendungen zur sektorübergreifenden Kommunikation im Gesundheitswesen stellen für deren Betreiber (z. B. Kliniken) große Investitionen mit oftmals unsicherem Marktpotenzial dar. Es ist daher wesentlich, dass die einmal aufgebauten Dienste für eine Vielzahl von Anwendungen mitund nachnutzbar sind. In diesem Papier wird am Beispiel der elektronischen Fallakte (eFA) dargestellt, wie Konzepte einer deklarativen Sicherheit dazu beitragen, bestehende Dienste flexibel an sich verändernde Sicherheitsanforderungen anzupassen bzw. parallel in unterschiedlichen Sicherheitskontexten zu nutzen.
- KonferenzbeitragRapid in-Depth Analysis für Telematikanwendungen im Gesundheitswesen - Identifizierung nicht erkannter Sicherheitslücken mit Threat Modeling und Fuzzing(perspeGKtive 2010. Workshop „Innovative und sichere Informationstechnologie für das Gesundheitswesen von morgen“, 2010) Schwab, Fabian; Lübbert, Jörg; Sakal, Peter; Pohl, HartmutDie Normen DIN EN 61508 und DIN EN 62304 beschreiben Sicherheitsanforderungen für die Entwicklung von Software im medizinischen Umfeld. Diese beinhalten u.a. Vorschriften zur Verifikation und Diagnose (Kapitel C5, DIN EN 61508-7 [Di09]), zur Beurteilung der funktionalen Sicherheit (Kapitel C6, DIN EN 61508-7 [Di09]), zur Implementierung und Verifikation von Software-Einheiten (Kapitel 5.5, DIN EN 62304 [Di07]) und zur Prüfung des Softwaresystems (Kapitel 5.7, DIN EN 62304 [Di07]). Durch die kosteneffektiven Verfahren Threat Modeling und Fuzzing wird diesen Forderungen entsprochen und insbesondere die Identifizierung unveröffentlichter Sicherheitslücken ermöglicht. In einem Forschungsprojekt1 werden Tools für beide Verfahren analysiert und bewertet. Im Projekt werden mit beiden Verfahren sehr erfolgreich bislang nicht identifizierte (unveröffentlichte) Sicherheitslücken in Individualund Standardsoftware identifiziert und auch behoben. Im Rahmen der Gesundheitstelematik können durch beide Verfahren die Anforderungen zur Softwareentwicklung und -verifizierung erfüllt und darüber hinaus kann ein weit höheres Sicherheitsniveau erreicht werden.
- KonferenzbeitragVerschlüsselt Rechnen: Sichere Verarbeitung verschlüsselter medizinischer Daten am Beispiel der Klassifikation von EKG-Daten(perspeGKtive 2010. Workshop „Innovative und sichere Informationstechnologie für das Gesundheitswesen von morgen“, 2010) Sadeghi, Ahmad-Reza; Schneider, ThomasDie rasant fortschreitende Modernisierung des Gesundheitswesens durch neuartige elektronische Dienste wie die elektronische Patientenakte und medizinische online Dienste erlaubt es, medizinische Prozesse effizienter zu gestalten. Andererseits birgt die digitale Verarbeitung sensibler Patientendaten Risiken und Gefahren hinsichtlich des Datenschutzes und des Missbrauchs. Klassische kryptographische und IT sicherheitstechnische Methoden erlauben die sichere Verteilung und Speicherung medizinischer Daten. Allerdings erfordert die Verarbeitung der Daten deren Entschlüsselung. Zu diesem Zeitpunkt kann auf die Daten im Klartext (z.B. durch Systemadministratoren) zugegriffen und die Vertraulichkeit verletzt werden. Um dies zu verhindern, sollten Daten in verschlüsselter Form verarbeitet werden. Für ebendieses “Rechnen unter Verschlüsselung” wurden in den vergangenen 25 Jahren verschiedene kryptographische Verfahren vorgeschlagen. Die Ziele dieser Arbeit sind folgende: 1) Der aktuelle Stand der Forschung im Bereich des effizienten Rechnens unter Verschlüsselung wird zusammengefasst. 2) Ein Werkzeug wird vorgestellt, das es erlaubt, effiziente Protokolle zum Rechnen unter Verschlüsselung abstrakt und ohne detaillierte kryptographische Kenntnisse zu beschreiben und automatisch zu generieren. 3) Es wird gezeigt, wie das vorgestellte Werkzeug exemplarisch zum Generieren eines medizinischen Web-Services verwendet werden kann, der EKG Daten in verschlüsselter Form klassifiziert.