Crypto Sharing ist nicht SMIME

Ich nutze selbst intensiv das gemeinsame Zusammenarbeiten an Dokumenten per OneDrive, DropBox und anderen Diensten. Es hat viele Vorteiler gegenüber dem Versand per Mail (Siehe auch Mail, Blog, Sharing). Aber es gibt auch Dinge, die ich so nicht teile sondern absichtlich z.B.: per SMIME/PGP signiere/verschlüssele oder per Rights Management schützte. Diese Seite ist entstanden, nachdem mich Kunden auf einen "neuen Datenaustauschdienst" im Gesundheitswesen aufmerksam gemacht haben und meine Einschätzung wissen wollten.

Auslöser

Als Dienstleister habe ich natürlich auch diverse Ärzte, Krankenhäuser und Kliniken im Kundenstamm, die mich gerne und häufig konsultieren. Gerade im Gesundheitswesen gibt es einen wahren Wildwuchs an Kommunikationslösungen. Da werden immer noch munter "Rezepte" ausgedruckt und dem Patienten auf dem Weg zur Apotheke mitgegeben. Für die Kommunikation zwischen Ärzten wird eine "Telematikinfrastruktur (TI)" quasi verpflichtend aufgebaut, bei dem jeder Arzt mit einer Crypto-Box per VPN und Zertifikat an ein Verbundsystem angebunden wird.

Ungeachtet der rechtlichen und finanziellen Aspekte kann und soll (oder muss?) dieses Verbundnetzwerk natürlich auch für die sichere Übertragung von Informationen zwischen medizinischen Teilnehmern genutzt werden.

Interessant finde ich dann aber, dass z.B. eine Regionalgesellschaft der Deutschen Rentenversicherung in einem Schreiben an "alle Kliniken und Krankenhäuser" ihr bisheriges "Faxverfahren" auf den "Prüfstand" stellt und stattdessen eine Sharing-Plattform eines externen Anbieters vorschlägt. Gesucht würde nach Krankenhäusern, die die bei einem Test teilnehmen wollen. Angeblich planen auch verschiedene Standorte der Allgemeinen Ortskrankenkassen (AOK) die Nutzung solcher "Sharing-Dienste" und eine AOK hat mit einem Anbieter dazu sogar eine Case Study erstellen lassen.

Das find ich dann doch verwunderlich, denn die "Telematikinfrastruktur (TI)" liefert doch schon alles mit, wie ich bezüglich Mail sogar eigens auf KIM Fachdienst´ beschrieben habe. Hier noch mal ein Zitat:

Mittels KIM wird künftig der sektorenübergreifende Versand von Dokumenten wie Arztbriefen, Abrechnungen und elektronischen Arbeits­unfä­hig­keitsbescheinigungen (AU) sowie weiterer Nachrichten und Daten über die Telematikinfrastruktur (TI) abgewickelt.
Quelle: https://www.aerzteblatt.de/nachrichten/114210/Erster-KIM-Fachdienst-zugelassen.

Auch eine zweite Aussage der "Kassenärztlichen Bundesvereinigung (KBV)" ist interessant:

Die Telematikinfrastruktur (TI) ist die Datenautobahn des Gesundheitswesens. Sie soll eine schnelle und sichere Kommunikation zwischen Ärzten, Psychotherapeuten, Krankenhäusern und anderen ermöglichen. Medizinische Informationen, die für die Behandlung von Patientinnen und Patienten benötigt werden, sind so schneller und einfacher verfügbar.
https://www.kbv.de/html/telematikinfrastruktur.php.

Warum sollten dann größere Teilnehmer der Telematikinfrastruktur einen "Nebenkanal" eröffnen?

(Un)sicheres Sharing

Im Grunde sind solche gemeinsame genutzten Dateibereich ja nicht wirklich neu. Was früher ein Dateiserver intern bereitgestellt hat, stellen nun Plattformen im Internet wie OneDrive/SharePoint, Dropbox, Nextcloud, OwnCloud o.ä. per HTTP und Anmeldung bereit. Natürlich ist die "Sicherheit" solcher Cloud dabei immer ein kniffliges Thema, denn Es gibt hier schon mehrere Angriffsvektoren und kritische Punkte:

  • Hoster1 - Werbung
    Wenn auf einem Server Daten liegen, dann interessieren sich viele Personen und Institutionen dafür, die eigentlich nie einen Zugriff haben sollten. Das kann schon der Hoster selbst sein, der z.B. anhand der abgelegten Informationen ein Profiling der Kunden macht und damit "bessere Werbung" verkaufen kann.
  • Hoster2 - Viren
    Der zweite "legitime Zugriff" wird gerne durch den wünschenswerten Vorteil eines Virenscanners schmackhaft gemacht, d.h. der Hoster scannt freundlicherweise und selbstlos die Dateien auf Viren.
  • Hoster3 - Terror/Kinder
    Wer würde sich denn wohl dagegen aussprechen, dass der Betreiber, teils durch staatliche Stellen gefordert, die Datenbestände nach zweifelhaften Bildern von Kindern oder zur Gefahrenabwehr bei Terrorismus durchsucht?.
  • Identitätsscheck und Lifecycle
    Einfache Dienste nutzen einfach lange URLs aber besser ist natürlich der namentliche Zugriff der berechtigten Personen. Dazu benötigen diese allerdings ein Benutzerkonto und das muss nicht nur angelegt, sondern auch gepflegt werden. Kennwort-Reset aber auch die Deaktivierung bei der Änderung von Zuständigkeiten sind wichtig. Aber wie wollen Sie als "Freigebender" dies für alle berechtigten Personen sicherstellen?
  • Kennwort und MFA
    Aber auch als "Empfänger" habe ich das Problem, dass ich mir noch ein Kennwort und Konto merken muss, welches nicht mit der Firma verbunden ist. Nicht alle Anbieter unterstützen MFA.
  • Verschlüsselung
    Gegen eine fremde Einsichtnahme kann natürlich eine Verschlüsselung der Dateien schützen. Allerdings muss der Anbieter ja durchaus Informationen zum Zugriff an die Empfänger bereit stellen und hat damit auch diese Information. Nur eine eigene Verschlüsselung könnte hier Sicherheit schaffen, was aber dann auch eine eigene Schlüsselverwaltung erforderlich macht.

Es ist also schon ein Unterschied, ob sich eine Familie ihre Urlaubsfotos per Dropbox/OneDrive teilt, oder eine Firma eine solche Plattform in großem Maße für die Zusammenarbeit nutzen will.

Sharing statt Zustellen

Ein Punkt wird gerne übersehen: Wann zählt eine Information als zugestellt? Wir kennen alle das Problem einer klassischen E-Mail. Der Autor erstellt ein Dokument und speichert es in seiner IT-Umgebung ab. Dann nutzt er das Mailprogramm seiner Wahl um diese Datei als Anlage an den Kommunikationspartner zu senden, was bei größeren Anlagen schon einmal knifflig sein kann. Beim Absender liegt die Anlage nun auf dem Dateiserver und in "Gesendete Objekte".

Der Empfänger hat die Information nun im Posteingang, wenn Sie aufgrund der Größe nicht schon abgelehnt wurde. Klar kann er die Datei dort direkt öffnen, wobei das Mailprogramm dieses meist temporär irgendwo zum Öffnen hin kopiert. Wenn der Empfänger die Information behalten will oder muss, muss er sie an den richtigen Ort abspeichern. Damit haben wir vier oder mehr Kopien der gleichen Information, die auch nicht mehr synchron gehalten werden. Bei mehr als zwei Teilnehmern potenziert sich das Thema noch.

Im Gesundheitswesen kommt es sicher häufiger vor, dass so eine Information natürlich weiter geleitet werden muss. Da ist ein Sharing über die Grenzen hinaus natürlich besser, bei der alle Nutzer die gleichen aktuellsten Informationen sehen und aktualisieren können. Das muss natürlich die Plattform auch hergeben.

Als Lösung gegen die Übertragung von ganz großen Dateien per Mail gibt es mittlerweile eine ganze Menge von 3rd Party Produkten, die idealweise die große Anlage schon vor dem Versand durch den Anwender z.B. in Outlook über ein AddOn auf so einen "Sharing-Bereich" auslagern (z.B. NoSpamProxy Large File) oder gar nicht erst anhängen (Microsoft Outlook mit OneDrive). Grundsätzlich bin ich ein Freund von "Sharing" statt Kopieren, wenn mehrere Personen in einem Team auch längere Zeit an mehreren Informationen zusammenarbeiten.

Negativ ist diese Funktion aber, wenn die Information wirklich "übermittelt" werden müssen. Das gilt insbesondere, wenn die "Sharing-Plattform" die Informationen nicht dauerhaft vorhält, sondern automatisch löscht. Die Teams-Anwender haben sicher schon gemerkt, dass Aufzeichnungen von Besprechungen nach wenigen Wochen automatisch gelöscht werden. Aber auch kommerzielle Anbieter haben Lösch-Fristen, wenn ihre Lösung als "Large File Transfer" neben der Mail genutzt wird. Der Anbieter spart damit natürlich Platz.

Dennoch gibt es auch juristisch einen Unterschied, zwischen einem aktiv zugestellten Dokument oder einer Information, dass Sie sich die Information beim Anbieter abholen können. Allerdings gibt es dennoch immer mehr Firmen, die speziell im Privatkundensegment die Rechnungen nur noch im "Portal" zum Download bereitstellen. Anscheinend haben immer mehr Kunden gar keine Mailadresse mehr und auch Banken stellen bevorzugt die Kontoauszüge "online" im Portal bereit, anstatt diese zuzusenden.

Aber ist das bei allen Versprechen zur Sicherheit denn erlaubt, dass z.B. Versicherung1 bestimmte Daten einer Person bei einem Hoster ablegt, damit Krankenhaus2 auf dieser Plattform dann eine Stellungnahme dazu schreibt?

Sollte oder muss so etwas nicht durch die Versicherung1 selbst gehosted werden?

Automation

Die Nutzung einer fremden Plattform ist aber noch aus der Sicht der "Prozesskommunikation" zu hinterfragen.

Wie sinnvoll ist es wenn, wenn z.B. eine Krankenkasse ihre in der IT gespeicherten Informationen in einem "menschlich lesbaren" Format (DOCX, PDF, TIFF) auf so einen Cloud-Server ablegt, damit dann je nach Vorgang unterschiedliche Ärzte dort drauf zugreifen können? Wie kann der Empfänger dann tatsächlich diese Daten effektiv weiter verarbeiten?

Ich bin sicher, dass auch auf der anderen Seite eine computergestützte Verarbeitung erfolgt und der Arzt seine Analyse, Bewertung und Befund digital erfasst und mit den richtigen Fallzahlen zwecks Abrechnung versieht. Aber wie soll das funktionieren, wenn es kein definiertes "Datenaustauschformat" gibt? Wissen eigentlich Herr Lauterbach und Co, dass hier eine ineffektive Schatten-Austauschplattform etabliert werden soll?

Sharing und Mail

E-Mail ist immer noch ein gängiges Mittel, um auch größere Anlagen zwischen Firmen und Anwendern auszutauschen, wenn Sie nicht auf dem gleichen Datenbestand arbeiten. Damit ein Anwender möglichst seine Arbeitsweise beim "Versand" von Anlagen per Mail nicht ändern muss, gibt es verschiedene Optionen es dem Anwender einfacher zu machen. Einige Tools integrieren ein AddOn in den Mailclient, z.B. Outlook), so dass der Anwender die Anlage zwar noch anfügt aber beim Versand das AddOn die Anlage dann auf den Share-Speicher ablegt und nur einen Link mit verschickt. Das macht Outlook in Verbindung mit OneDrive sogar sehr elegant mit einer Rückfrage:

Ein zweiter Weg ist das Abspalten auf dem Weg zum Empfänger. Diese Funktion bieten häufig Mailgateways (z.B. auch NoSpamProxy) um große Dateien nicht per SMTP zu senden sondern durch den Empfänger über einen Link abrufen zu lassen. Beiden Optionen ist aber gemeinsam, dass der Empfänger erst einmal eine Mail mit Links bekommt und sich die Dateien herunterladen muss. Je nach Richtlinien kann dabei sogar eine zusätzliche Authentifizierung des Empfängers gefordert werden.

Wenn der Download dann zwingend per "HTTPS" erfolgt, bezeichnen viele Produkte dies als "verschlüsselte" Übertragung, die teilweise sogar besser, einfacher und flexibler als das ach so komplizierte SMIME oder PGP wäre. Es ist aber nur eine Transportverschlüsselung, wie es auch SMTP/TLS wäre und keine Informationsverschlüsselung, d.h. zur Sicherheit wäre bei SMTP schon MTA-STS (Strict Transport Security) oder beim HTTPS auch  DANE - DNS-Based Authentication of Named Entities wichtig. Das bieten kaum Provider an und der Client prüft es nicht.

Daher ist nur SMIME/PGP wirklich sicher, auch wenn es nicht ganz so einfach ist.

Anmeldung

Wie zweckmäßig ist es dann, wenn jeder mögliche Empfänger erst ein Konto pro Service anlegen muss und jeder größere Absender einen unterschiedlichen Cloud-Service nutzt? Ich sehe schon die Post-it-Zettel mit URL, Anmeldename und Kennwort am Monitor oder unter der Tastatur kleben. Eine sichere Authentifizierung ist essentiell, um den Zugriff auf die Informationen zu schützen, denn auch wenn Sie irgendwie "verschlüsselt" sind, so öffnet eine erfolgreiche Anmeldung den Zugang. In den Schreiben, die mir zur Bewertung vorgelegt wurden, habe ich nichts von Single SignOn, Multi Faktor, OAUTH o.. gefunden.

Mich würde ja mal interessieren, ob ich als 3rd Party Anbieter z.B. die Identity-Information einer Praxis aus der Telematik-Infrastruktur (TI) nutzen könnte. Die passenden Arzt und Praxis-Ausweis (SMC-B-Karte) https://www.d-trust.net/de/loesungen/smc-b gibt es ja schon.

Weiß eigentlich der jeweilige Datenschutzverantwortliche, was die Fachabteilungen hier so treiben? Oder ist es die öffentliche Bestätigung, das die TI wohl doch nicht alle Kommunikationsanforderungen bedienen kann?

Einschätzung

Mir hat sich der Sinn einer solchen alternativen Dateiaustauschlösung für Krankenkassen, Ärzte o.ä. noch nicht erschlossen. Der Aufbau und vor allem der Betrieb kostet zusätzlich Geld (aus Krankenkassenbeiträgen) und macht doch nur Sinn, wenn anderweitig Kosten gespart werden oder Funktionen fehlen. Beide Faktoren würde ich als laute Kritik an der vorhandenen Telematikinfrastruktur sehen. Vielleicht kostet das übertragene Megabyte hier einfach viel mehr oder Größenbeschränkungen verhindern die effektive Nutzung.

Inwieweit solche eigenen Austauschplattformen, egal ob nun selbst gehostet oder eingekauft, für solche Ablagen überhaupt verwendet werden dürften, haben hoffentlich die Datenschutzverantwortlichen im Vorfeld geklärt.

Es hat aber weniger mit der sicheren Übertragung von Informationen z.B. per Mail mit SMIME/PGP zu tun. Bei Mail bekommt ich die Information in meinen Posteingang und kann Sie mit meinem privaten Schlüssel jederzeit entschlüsseln und einsehen, auch wenn ich "offline" bin und ich kann die Information sehr einfach in meinem System abspeichern und weitergeben. Beim Sharing ist es eine Holschuld und in der Regel bekomme ich viele Mails, wenn sich auf dem Ablagebereich etwas für mich getan hat. Sharing als Plattform zur Zusammenarbeit ist sinnvoll aber als Übertragungsplattform würde ich dies nur nutzen, wenn es keinen besseren Weg gibt.

Wenn Sie außerhalb der Telematikinfrastruktur und dem KIM Fachdienst Dateien verschlüsselt übertragen wollen, dann wäre ist nur SMIME/PGP eine echte Ende-zu-Ende Verschlüsselung zwischen Firmen. Bei einer Sharing-Plattform hat die Firma, die das Angebot betreibt eine gute einfache Integration und der Kommunikationspartner muss mit einem Mehraufwand rechnen.

Eine Antwort auf die Frage, warum AOK und andere neben KIM noch externe Dienste nutzen, muss ich schuldig bleiben.

Weitere Links