ITC App - Sicherheitskonzept

<< Klicken Sie, um das Inhaltsverzeichnis anzuzeigen >>

Navigation:  Technisches >

ITC App - Sicherheitskonzept

Zur Technik:

Die ITC-Patientenapp ist als Web Applikation ausgelegt, die auf dem Homescreen von Mobilgeräten installiert wird und so wie eine "normale" App bedient werden kann. Da die Daten aus Sicherheitsgründen nicht auf das Gerät übertragen werden, ist für die Nutzung der App eine Verbindung zum Internet erforderlich, die aber heute so gut wie jedes Gerät hat.

Die App ist auf allen populären Plattformen einsetzbar. Mobil: Android und iOS, Desktop: Windows, OSX, Linux.

Sie kann bequem ohne den aufwändigen Weg über die App Stores auf dem Homescreen installiert werden.

Sie ist automatisch immer aktuell und passend zur EMIL-Version, die dahinter steht, da sie mit deren Updates ebenfalls aktualisiert wird.

Die Installation auf dem Homescreen bzw. dem Desktop - abhängig von der verwendeten Plattform-  wird außer iPhone, iPad und Mac auf Knopfdruck automatisch durchgeführt. Apple bietet diese Funktionalität aus der App leider nicht an, dort zeigt diese eine Anleitung an, wie die App zu installieren ist. Es sind auch dort nur ein paar einfache Schritte.

Die ITC-Patientenapp ist keine native App und auch keine sogenannte PWA (Progressive Web App), die Patientendaten lokal auf dem Gerät ablegt.

Sicherheitskonzept:

Die App kommuniziert aus Sicherheitsgründen nicht direkt mit EMIL, da dies eine Reihe Risiken birgt. Die Kommunikation erfolgt daher über ein spezielles Gateway, das in der App-Lizenz mit enthalten ist. Eine Erklärung der Konzepte für IT-Laien findet sich am Ende dieses Beitrags.

Klassisch müsste jede Einrichtung, welche eine App anbietet, einen Port nach außen öffnen, über den natürlich auch eingebrochen werden kann. Jeder, der dies leugnet, wird durch die vielen und zunehmenden ernsten Vorfälle selbst in sehr gut gesicherten Netzwerken über derartige Sicherheitslücken Lügen gestraft. Jeder offene Port (=Türe) ist definitiv ein Sicherheitsrisiko, das man vermeiden sollte. Nahezu jede Türe kann man unbefugt öffnen, es ist nur eine Frage von Geschick und Mitteln. Daher ist es besser, wenn es keine Türe gibt. Genau dies ist bei der EMIL-App auch der Fall. Im folgen ist dies einmal visualisiert:

clip0857

Das System in die DMZ eines Netzwerks zu stellen, macht die Sache nicht besser, da dann Patientendaten in der DMZ stehen. Und auch dann, wenn die App über einen Provider bereitgestellt wird, muss für den Zugriff auf die Praxisdaten ein Port in der Praxis geöffnet werden. DMZ? Das ist die sogenannte DeMilitarisierte Zone, ein Bereich im Netzwerk, von dem aus sowohl vom Internet als auch aus dem internen Netz zugegriffen werden kann. Dort stellt man z.B. Webserver auf. Dort sollten aber niemals Systeme mit Patientendaten installiert sein.

Provider, die auf Ihren Server zugreifen und den Dienst bereitstellen, wie das bei einigen Praxissystem-Apps der Fall ist, bieten nur vermeintlich Sicherheit, da über den Provider letztendlich auch ein Zugriff auf die Praxen möglich ist, da sich dieser Aktiv mit dem System verbinden kann.clip0858

Wir haben daher bereits konzeptionell das Risiko offener Ports durch den Einsatz unseres Zero Knowledge Gateways minimiert, das keine offenen Ports auf der EMIL-Seite erfordert.

clip0860

Wie kann das gehen? Auf dem Bild sieht es sehr einfach aus, die Entwicklung war aber durchaus eine Herausforderung, da eine normale HTTPS Verbindung zwischen Datenserver und Gateway ein engmaschiges Polling auf Serverseite erfordern würde, was für eine performante Live-Kommunikation nicht nutzbar ist. Denn das Gateway kann über HTTPS ja auch nur auf aktive Anfragen des Servers antworten. Das ist korrekt und daher haben wir andere, standardisierte verschlüsselte und ebenso sichere Protokolle auf dieser Strecke eingesetzt, die eine bidirektionale Kommunikation ermöglichen und eine hohe Reaktionsgeschwindigkeit der App sicherstellen.

In Praxen und Einrichtungen ohne offizielle Domäne und Zertifikate hat das Gateway noch einen weiteren elementaren Vorteil:

clip0861

Erklärung für IT Laien:

Ein offener Port ist wie eine Türe zum System, die vom Internet aus geöffnet werden kann. Um das Internet zu nutzen, müssen keine eingehenden Türen, also eingehende Ports geöffnet werden. Bei allen Internetzugängen verhindern Router und Firewall (z.B. die Fritzbox zuhause), dass Türen offen sind, die von außen geöffnet werden können. Man kann allerdings in Router/Firewall diese Türen einrichten, wenn dies erforderlich ist, auch bei einer Fritzbox.

Um das Internet zu nutzen, müssen keine Türen existieren, die von außen zu öffnen sind. Router wie z.B. Ihre Fritzbox haben viele nur von innen öffenbare Türen, worüber Sie Verbindungen aufbauen können. Sie können so einladen. Das geschieht z.B. wenn Sie auf Google gehen und dort einen Suchbegriff eingeben. Dann laden Sie die Antwort der Google Suchmaschine zu sich ein. Diese bekommt mit Ihrer Anfrage eine explizite einmal gültige Einladung, durch die sie eintreten kann. Diese Einladung verfällt dann auch sofort. Wenn Sie niemanden einladen, also keine Verbindung aufbauen und eine Antwort darauf erwarten, kann durch diese Türen von außen niemand eintreten.

Anders ist das bei  explizit nach außen geöffneten Ports, also den Türen, die von außen geöffnet werden können. Diese lassen ohne explizite Einladung hinein. Das bedeutet allerdings nicht direkt, das dieser jemand dann tun und lassen kann, was er will. Hinter der geöffneten Türe muss auch etwas sein, was er angreifen kann. Hier hinkt der Vergleich mit dem Haus etwas, denn mit der Benutzung einer offenen Türe steht der Angreifer nicht in ihrem Flur und kann nun alle Zimmer betreten. Vielmehr kann man es sich so vorstellen, als käme er in die Garage, die wiederum eine verschlossene Türe zur Wohnung hat. Er könnte sich nun in der Garage umsehen, eventuell etwas stehlen, was nicht gesichert ist und sich auch an der Türe zur Wohnung zu schaffen machen. So gehen Hacker vor.

Eingehende Ports müssen und sollten nur dann geöffnet werden, wenn zwingend Dienste für andere Internet-Nutzer bereitgestellt werden müssen. Dies müssen Webserver tun, die ihre Inhalte zur Verfügung stellen und dafür den für HTTPS festgelegten Port 443 öffnen, damit Nutzer Inhalte abrufen können. Ebenso die Server, über die E-Mails versendet und empfangen werden, diese haben für beide Richtungen offene Ports, an die Endnutzer andocken können und über die sie auch untereinander die Mails austauschen.

Das beschriebene Gateway, das wir zusammen mit der App einsetzen, ist nichts anderes als so ein Server, der für die App und EMIL jeweils einen Kommunikationspunkt zur Verfügung stellt. So muss keine der beiden Seiten eingehende Türen öffnen sondern verbindet sich aktiv mit dem Gateway. Dieses Gateway reicht die Daten nur zwischen den Partieien durch und speichert sie nicht. Es hat auch keine Ahnung von den Inhalten, die es durchreicht, das haben nur die Endpunkte EMIL und die App.

Da das Gateway selbst keine Verbindungen zur App oder zu EMIL aufbauen kann, ist es für Hacker wertlos.

Natürlich gibt es trotz des Einsatzes dieser überaus wirksamen Sicherheitsmaßnahme immer Punkte, wo Angreifer ansetzen können. Kein System kann jemals 100% sicher gemacht werden, so wie auch der Sicherheitsgurt im Auto nicht vor jeder Gefahr schützen kann. Das Gateway erhöht wie auch der Sicherheitsgurt die Sicherheit immens, was die Zielsetzung ist.