Authentifizierung und Autorisierung
Authentifizierung und Autorisierung
Authentifizierung und Autorisierung
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>Authentifizierung</strong> <strong>und</strong> <strong>Autorisierung</strong><br />
Jacob Kuypers<br />
Beim Zugriff auf Patientendaten spielen <strong>Autorisierung</strong> <strong>und</strong> <strong>Authentifizierung</strong> eine zentrale<br />
Rolle. Um die Einhaltung von Datenschutzgesetzen zu gewährleisten muss sichergestellt werden,<br />
dass nur berechtigte Personen wie Heilberufler sowie der Patient selbst Zugang haben. Dies<br />
bringt eine Reihe von sicherheitstechnischen Problemen mit sich, welche bei der Einführung der<br />
elektronischen Ges<strong>und</strong>heitskarte berücksichtigt werden mussten. So wurde parallel zu der Ges<strong>und</strong>heitskarte<br />
der Heilberufsausweis entwickelt, welcher zum Beispiel die Identität <strong>und</strong> Befugnis<br />
eines Arztes authentisieren kann. Gleichzeitig wurden in den letzten Jahren unabhängige Projekte<br />
mit ähnlichen Zielsetzungen basierend auf ähnlichen oder gleichen Technologien gestartet.<br />
Im Folgenden wird ein Überblick über den Heilberufsausweis, dessen technologische Umgebung<br />
sowie <strong>Autorisierung</strong>s- <strong>und</strong> <strong>Authentifizierung</strong>ssysteme im Allgemeinen geschaffen.<br />
Categories and Subject Descriptors: K.6.5 [Management of Computing and Information<br />
Systems]: Security and Protection—Authentication<br />
Additional Key Words and Phrases: <strong>Authentifizierung</strong>, <strong>Autorisierung</strong>, Heilberufsausweis, Single<br />
Sign-On<br />
1. EINLEITUNG<br />
<strong>Authentifizierung</strong> bezeichnet den Nachweis einer behaupteten Eigenschaft durch<br />
eine Partei. So kann zum Beispiel eine Person ihre Identität oder ein Dokument<br />
seine Echtheit nachweisen.<br />
Eine Identität kann mit bestimmten Befugnissen assoziiert sein, welche anderen<br />
Identitäten möglicherweise nicht zugeteilt werden. Die Vergabe dieser Befugnisse<br />
an eine Identität welche erfolgreich authentifiziert wurde, wird als <strong>Autorisierung</strong><br />
bezeichnet.<br />
Bei natürlichen Personen wird zur Verifizierung ihrer Identität nach Anhaltspunkten<br />
gesucht welche einzeln oder zusammen nur dieser Person zugeordnet werden<br />
können. Diese werden in Besitz, Wissen <strong>und</strong> biometrische Merkmale unterteilt.<br />
Beispiele, in selber Reihenfolge, wären ein Schlüssel, ein Passwort <strong>und</strong> ein Fingerabdruck.<br />
Im Ges<strong>und</strong>heitswesen spielen <strong>Authentifizierung</strong> <strong>und</strong> <strong>Autorisierung</strong> eine besondere<br />
Rolle, da sichergestellt werden muss dass nur qualifizierte Fachkräfte Zugang<br />
zu Patientendaten haben <strong>und</strong> Behandlungen durchführen. Der Zugriff auf Patientendaten<br />
ist gesetzlich geregelt <strong>und</strong> muss hohe Sicherheitsstandards erfüllen. Mit<br />
dem Ges<strong>und</strong>heitsmodernisierungsgesetz von 2003 wurde der informationstechnische<br />
Aspekt dieser Aufgabe nun stark aufgewertet.<br />
Die folgenden Abschnitte beleuchten elektronische <strong>Authentifizierung</strong> <strong>und</strong> <strong>Autorisierung</strong><br />
im Rahmen der Einführung der elektronischen Ges<strong>und</strong>heitskarte <strong>und</strong> des<br />
elektronischen Heilberufsausweises, sowie verwandte Entwicklungen ausserhalb des<br />
Ges<strong>und</strong>heitswesens.<br />
Seminar Kommunikationsstandards in der Medizintechnik, SoSe 2010
2 · Kommunikationsstandards in der Medizintechnik<br />
2. ELEKTRONISCHE AUTHENTIFIZIERUNG<br />
Elektronische <strong>Authentifizierung</strong> ermöglicht die Verifizierung der Identität von natürlichen<br />
Personen, kann aber auch informationstechnische Dienste authentifizieren.<br />
Will eine Person auf geschützte Daten zugreifen, kann dies zu verschiedenen<br />
Formen der <strong>Authentifizierung</strong> mit mehreren Paaren von Kommunikationspartnern<br />
führen.<br />
Ein Beispiel: Eine Person besitzt eine Chipkarte, welche sie in einen geeigneten<br />
Kartenleser einführt. Sie muss sich gegenüber der Chipkarte authentifizieren, indem<br />
sie eine PIN eingibt, welche vom Kartenleser an die Karte weitergeleitet wird. Wenn<br />
die PIN von der Chipkarte akzeptiert wurde, autorisiert sie den Kartenleser (<strong>und</strong><br />
somit auch die Person) zur Verwendung der auf ihr gespeicherten Informationen um<br />
eine gesicherte Verbindung zum Server aufzubauen <strong>und</strong> sich dort zu authentifizieren.<br />
Bei Erfolg autorisiert der Server den Kartenleser zum Abruf von Daten, welche dem<br />
Inhaber der Karte zugeordnet werden.<br />
Neben Personen <strong>und</strong> Geräten können auch Daten authentifiziert werden. In diesem<br />
Fall wird anhand einer digitalen Signatur nachgewiesen, dass die Daten aus<br />
einer bestimmten Quellen stammen.<br />
2.1 Public-Key-Infrastruktur<br />
Oft ist es notwendig mit Parteien zu kommunizieren, deren Vertrauenswürdigkeit<br />
nicht im Voraus bekannt ist <strong>und</strong> erst abgeleitet werden muss. Weiterhin ist das Ziel<br />
sicherer Kommunikation die Vertraulichkeit, Integrität, Authentizität <strong>und</strong> Nichtabstreitbarkeit<br />
von Nachrichten. Unter diesen Gesichtspunkten wurde die sog. Public-<br />
Key-Infrastruktur als umfassendes Sicherheitsmodell entwickelt.<br />
Eine PKI ist ein System zum Ausstellen, Verteilen <strong>und</strong> Überprüfen von digitalen<br />
Zertifikaten, welche zur Signierung <strong>und</strong> Verschlüsselung von Nachrichten verwendet<br />
werden.<br />
Der Nachrichtenaustausch findet zwischen zwei Parteien statt. Jede Partei besitzt<br />
jeweils zwei kryptographische Schlüssel welche ein zusammengehöriges Paar bilden.<br />
Ein Schlüssel ist geheim <strong>und</strong> nur dem Besitzer bekannt, der andere Schlüssel ist<br />
öffentlich <strong>und</strong> wird dem Kommunikationspartner zugänglich gemacht. Verschlüsseln<br />
ist mit dem privaten wie auch dem öffentlichen Schlüssel möglich, die Entschlüsselung<br />
muss immer mit dem jeweiligen Gegenstück erfolgen.<br />
Wenn A eine geheime Nachricht an B schickt, wird sie zunächst von A mit dem<br />
öffentlichen Schlüssel von B verschlüsselt. Anschließend kann B die Nachricht mit<br />
dem privaten Schlüssel entschlüsseln.<br />
Zum Signieren einer Nachricht wird diese von A mit dem privaten Schlüssel<br />
verschlüsselt <strong>und</strong> von B mit dem öffentlichen Schlüssel entschlüsselt. Falls dieser<br />
Vorgang erfolgreich ist, hat B nachgewiesen dass die Nachricht von A stammt.<br />
Ein digitales Zertifikat ist ein signiertes Datum welches zum Nachweis einer Identität<br />
verwendet werden kann. Die Gültigkeit <strong>und</strong> Vertrauenswürdigkeit eines Zertifikats<br />
hängt davon ab, ob das Zertifikat von einer vertrauenswürdigen Partei ausgestellt<br />
wurde.<br />
Es gibt verschiedene Modelle welche regulieren, wie Vertrauen, Zertifikate <strong>und</strong><br />
zertifizierende Parteien in Zusammenhang gebracht werden. Das folgende Modell<br />
ist hierarchisch: Ein Aussteller von Zertifikaten (Certificate Authority, CA) wird<br />
Seminar Kommunikationsstandards in der Medizintechnik, SoSe 2010
<strong>Authentifizierung</strong> <strong>und</strong> <strong>Autorisierung</strong> · 3<br />
Fig. 1. PKI - http://upload.wikimedia.org/wikipedia/commons/3/34/Public-Key-<br />
Infrastructure.svg<br />
selbst als vertrauenswürdig betrachtet, wenn er von einer vertrauenswürdigen CA<br />
zertifiziert wurde. Ausgangspunkt ist eine sog. Root-CA, also ein Aussteller welcher<br />
ohne weitere Zertifizierung als vertrauenswürdig gilt. Dies würde als ”<br />
streng<br />
hierarchische PKI“ bezeichnet werden. Alternativ ist ein System mit mehreren, sich<br />
gegenseitig zertifizierenden Root-CAs als ”<br />
Cross-Zertifizierung“ bekannt.<br />
Um ein Zertifikat ausgestellt zu bekommen meldet sich der ”<br />
Subscriber“ (Inhaber<br />
eines Zertifikates in der PKI) bei der Registrierungsstelle (Registration Authority,<br />
RA) <strong>und</strong> stellt dort einen Antrag. Die RA prüft die Richtigkeit der Daten <strong>und</strong><br />
verifiziert die Identität des Antragstellers in angemessener Weise. Bei Erfolg wird<br />
der Antrag zusammen mit dem Public Key des Subscribers bei der CA registriert,<br />
welche ihm ein Zertifikat ausstellt.<br />
Die Validierung von Zertifikaten wird von der Validation Authority (VA) übernommen.<br />
Sie hält von CAs bezogene Zertifikate sowie eine Zertifikatssperrliste (Certificate<br />
Revocation List, CRL) mit Zertifikaten welche vor Ablauf ihrer Gültigkeit<br />
zurückgezogen wurden.<br />
Als ”<br />
Participant“ wird der Nutzer eines Zertifikates bezeichnet, welcher einen<br />
Subscriber authentisieren will.[Wikipedia 2010d]<br />
3. DIE ELEKTRONISCHE GESUNDHEITSKARTE<br />
3.1 Konzeption<br />
Die am 1. Januar 1995 eingeführte Krankenversicherungskarte sollte ursprünglich<br />
am 1. Januar 2006 durch die elektronische Ges<strong>und</strong>heitskarte (eGK) ersetzt werden.<br />
Durch eine Zeitplanänderung verzögert sich die Einführung voraussichtlich auf das<br />
Seminar Kommunikationsstandards in der Medizintechnik, SoSe 2010
4 · Kommunikationsstandards in der Medizintechnik<br />
Jahr 2011.<br />
Ziel ist eine einheitliche elektronische Speicherung, Verarbeitung <strong>und</strong> Nutzung<br />
von Patientendaten mit Hilfe einer eigens dafür entwickelten Telematikinfrastruktur<br />
welche die <strong>Authentifizierung</strong> von Patienten <strong>und</strong> Ärzten sowie die <strong>Autorisierung</strong> des<br />
Datenzugriffs regelt.<br />
Die eGK wird als Lichtbildausweis des Versicherten verwendet, welcher neben<br />
32 kB Speicher auch Funktionen zur <strong>Authentifizierung</strong> besitzt. Lokal gespeicherte<br />
Daten sind Name <strong>und</strong> Vorname des Versicherten, Geburtsdatum, Geschlecht,<br />
Anschrift, die Kennung der ausstellenden Krankenkasse <strong>und</strong> der zuständigen Kassenärztlichen<br />
Vereinigung, Krankenversichertennummer, Versichertenstatus, Zuzahlungsstatus,<br />
Daten des Beginns <strong>und</strong> Ablaufs des Versicherungsschutzes sowie ärztliche<br />
Verordnungen (elektronisches Rezept, bzw. eRezept).<br />
Zusätzlich unterstützt die eGK Anwendungen welche folgende Daten erheben,<br />
verarbeiten oder nutzen: Der elektronische Arztbrief, Notfallversordungsdaten, Daten<br />
zur Prüfung der Arzneimitteltherapiesicherheit, die elektronische Patientenakte<br />
sowie in Anspruch genommene Leistungen <strong>und</strong> deren vorläufige Kosten.<br />
Ein Teil des Speicherplatzes kann für Daten verwendet werden welche vom Versicherten<br />
selbst oder von der Versicherung stammen, aber keine Bedeutung im Sinne<br />
der Spezifikation haben.<br />
Die Patientendaten werden auf die eGK selbst <strong>und</strong> auf Server der Telematikinfrastruktur<br />
aufgeteilt. Der Zugriff muss dabei das B<strong>und</strong>esdatenschutzgesetz sowie<br />
EU-Richtlinien befolgen <strong>und</strong> wird auf den Versicherten selbst, Ärzte, Zahnärzte,<br />
Apotheker <strong>und</strong> deren Gehilfen sowie sonstige Erbringer ärztlich verordneter Leistungen<br />
beschränkt. Zu diesem Zweck wurden verschiedene technische Vorkehrungen<br />
entwickelt welche eine den jeweiligen Daten angemessene <strong>Authentifizierung</strong> <strong>und</strong> <strong>Autorisierung</strong><br />
ermöglichen. So wird für die meisten Daten eine doppelte <strong>Autorisierung</strong><br />
benötigt: Der Versicherte authentifiziert sich mit seiner eGK sowie einer PIN <strong>und</strong><br />
autorisiert seinen Arzt, welcher einen elektronischen Heilberufsausweis (HBA) mit<br />
entsprechend qualifizierter digitaler Signatur verwendet. Die Notfalldaten erfordern<br />
nur einen HBA zur Zugriffsautorisierung, da der Versicherte in einer Notfallsituation<br />
möglicherweise nicht zur <strong>Autorisierung</strong> in der Lage ist. Zugriff auf das eRezept<br />
erfordert einen gesicherten Berufsausweis oder ein vom Versicherten autorisiertes<br />
technisches Verfahren. Um Missbrauch erkennen <strong>und</strong> belegen zu können, werden<br />
die letzten 50 Zugriffe protokolliert.<br />
Nachdem die Einführung der eGK zum 1. Januar 2006 gescheitert war wurde ein<br />
mehrstufiges Verfahren beschlossen welches die Karte in ausgewählten Regionen<br />
testweise einführt.[Wikipedia 2010a]<br />
3.2 Elektronischer Heilberufsausweis<br />
Der elektronische Heilberufsausweis (HBA, auch Health Professional Card oder<br />
HPC) ist das das heilberufliche Gegenstück zur elektronischen Ges<strong>und</strong>heitskarte.<br />
Funktionen der Chipkarte sowie lokal gespeicherte Daten werden im Dokument<br />
” German Health Professional Card and Security Module Card ” spezifiziert.<br />
Zu den Einsatzgebieten gehört das Signieren der elektronischen Versionen der<br />
Arzneimitteldokumentation, des Arztbriefes <strong>und</strong> des Rezeptes. Der HBA kann den<br />
Arzt auch in Einweiserportalen von Kliniken authentisieren <strong>und</strong> als normaler Sichtausweis<br />
verwendet werden. Beim Zugriff auf Patientendaten auf der eGK oder in<br />
Seminar Kommunikationsstandards in der Medizintechnik, SoSe 2010
<strong>Authentifizierung</strong> <strong>und</strong> <strong>Autorisierung</strong> · 5<br />
Fig. 2. gematik: Gesamtarchitektur V1.5.0, S. 28<br />
einem Fachdienst aus der Telematikinfrastruktur wird ein vom Versicherten autorisierter<br />
<strong>und</strong> durch seine Rolle qualifizierter HBA benötigt.<br />
Technisch existiert nur ein HBA, äußerlich wird er in spezialisierten Ausführungen<br />
für den jeweiligen Heilberuf ausgeliefert. Ausstellung wird von der jeweiligen Landesärztekammer,<br />
Landeszahnärztekammer oder Landesapothekerkammer übernommen<br />
welche auch für die Konnektoren <strong>und</strong> Kartenlesegeräte zuständig ist.[Wikipedia<br />
2010b; B<strong>und</strong>esaerztekammer 2010]<br />
3.3 Telematikinfrastruktur der Ges<strong>und</strong>heitskarte<br />
Die Telematikinfrastruktur ist die Gesamtheit aller Komponenten, Dienste <strong>und</strong><br />
Kommunikationsdienste welche im Rahmen der Einführung der eGK implementiert<br />
werden <strong>und</strong> dabei die Gr<strong>und</strong>lage für die geplanten Telematikanwendungen<br />
darstellen.<br />
Die Anwendungen werden aufgeteilt in Pflichtanwendungen wie die Verwaltung<br />
von administrativen Daten <strong>und</strong> das elektronische Rezept, sowie die freiwilligen Anwendungen<br />
wie Notfalldatensatz <strong>und</strong> elektronische Patientenakte, welche erst später<br />
umgesetzt werden.<br />
In Abb. 2 wird die Gesamtarchitektur dargestellt welche hier kurz beschrieben<br />
werden soll.<br />
Die Primärsysteme (roter Bereich) sind diejenigen Komponenten, welche Anwendungsprogramme<br />
für Leistungserbringer <strong>und</strong> Versicherte zur Verfügung stel-<br />
Seminar Kommunikationsstandards in der Medizintechnik, SoSe 2010
6 · Kommunikationsstandards in der Medizintechnik<br />
len. Leistungserbringer nutzen Primärsysteme wie Praxisverwaltungssysteme für<br />
niedergelassene Ärzte <strong>und</strong> Zahnärzte, Krankenhausinformationssysteme <strong>und</strong> Apothekenverwaltungssysteme.<br />
Vorhandene Anwendungen deren Funktionalität nicht<br />
komplett durch die von den Kartenterminals (für eGK <strong>und</strong> HBA) abgedeckt werden<br />
müssen für die von der Ges<strong>und</strong>heitstelematik angebotenen Schnittstellen angepasst<br />
werden. Um dem Versicherten den Zugriff auf die eigenen Ges<strong>und</strong>heitsdaten von<br />
zu Hause aus oder an speziellen, nicht an Arztpraxen geb<strong>und</strong>enen Terminals zu<br />
ermöglichen werden die Primärsysteme eKiosk <strong>und</strong> Versicherter@Home angeboten.<br />
Die Telematikinfrastruktur (gelber Bereich) wird in dezentrale Komponenten,<br />
Netzwerk-gateways <strong>und</strong> Anwendungsgateways aufgeteilt.<br />
Die dezentralen Komponenten sind der Konnektor <strong>und</strong> die Kartenterminals für<br />
eGK <strong>und</strong> HBA.<br />
Der Konnektor schließt ein Primärsystem an das Telematiknetzwerk an <strong>und</strong> führt<br />
Zugriffe auf Chipkarten über die Kartenterminals durch. Es existieren dazu Schnittstellen<br />
für die Kommunikation mit eGK <strong>und</strong> HBA, aber auch die Security Module<br />
Card (SMC) welche zur Authentisierung eines Kartenterminals verwendet wird.<br />
Eine SMC wird auch in dem Konnektor selbst verwendet, da z.B. die eGK <strong>und</strong><br />
der HBA beim Aufbau einer Verbindung mit dem Konnektor diesen auch zum<br />
Zugriff auf die auf ihnen gespeicherten Daten sicher autorisieren müssen. Zur Telematikinfrastruktur<br />
hin existieren Schnittstellen für das Telematik-VPN sowie für<br />
die Broker Services, welche den einzigen Zugang zu den eigentlichen Fachdiensten<br />
darstellen. Der Konnektor wird funktional in den Anwendungskonnektor <strong>und</strong><br />
den Netzkonnektor unterteilt. Der Anwendungskonnektor ist administrativ für den<br />
Datenzugriff zuständig, bereitet Daten auf <strong>und</strong> enthält weitere anwendungsspezifische<br />
Schnittstellen. Der Netzkonnektor bringt den Konnektor in die Netzwerke<br />
der Leistungserbringer <strong>und</strong> der Telematikinfrastruktur ein. Ein VPN-Client baut<br />
einen sicheren Kommunikationskanal über das Zugangsnetz zur Kommunikationsinfrastruktur<br />
auf.<br />
VPN-Gateways stellen sicher dass nur authentifizierte, zugelassene Konnektoren<br />
Zugang zur Kommunikationsinfrastruktur erhalten.<br />
Broker Services sind Dienste welche den Zugang zu serverbasierten Anwendungsservices<br />
steuern <strong>und</strong> somit Anwendungsgateways darstellen. Konnektoren bauen<br />
keine direkten Verbindungen mit Fachdiensten auf, sondern stellen ihre Anfragen<br />
an einen Broker Service. Dies erlaubt es Konnektoren <strong>und</strong> Fachdienste in verschiedenen<br />
Netzen anzusiedeln, Ausfallsicherheit zu erhöhen <strong>und</strong> Zugriffe zu anonymisieren.<br />
Anonymisierung erfolgt zum Beispiel beim Zugriff eines Heilberuflers auf<br />
Patientendaten. Dazu verifiziert der Broker Service die Signatur der eingehenden<br />
Nachricht, ersetzt sie durch seine eigene Dienstsignatur <strong>und</strong> übergibt nur die relevanten,<br />
nicht personenbezogenen Informationen (wie Beruf bzw. Rolle) an den<br />
jeweiligen Fachdienst.<br />
Weitere Dienste innerhalb der Telematikinfrastruktur sind Zeitservices, PKI-<br />
Services <strong>und</strong> DNS-Lokalisierungsservices.<br />
Die Fachdienste (grüner Bereich) werden aufgeteilt in Pflichtanwendungen <strong>und</strong><br />
freiwillige Anwendungen.<br />
Das Versichertenstammdatenmanagement ist eine Pflichtanwendung zur schnellen<br />
Überprüfung des Versichertenstatus. Das Verordnungsdatenmanagement ver-<br />
Seminar Kommunikationsstandards in der Medizintechnik, SoSe 2010
<strong>Authentifizierung</strong> <strong>und</strong> <strong>Autorisierung</strong> · 7<br />
waltet die Erstellung <strong>und</strong> Weitergabe des eRezeptes. Alle Pflichtanwendungen müssen<br />
dabei die Wahrnehmung der Versichertenrechte ermöglichen. Dazu muss der<br />
Versicherte in der Lage sein einzusehen, welche Ges<strong>und</strong>heitsdaten über ihn aufgenommen,<br />
gelöscht oder einem Leistungserbringer zugänglich gemacht wurden. Er<br />
muss auch hier den Zugriff auf seine Daten individuell autorisieren können. Diese<br />
Funktionen werden in den hier nur teilweise aufgezählten Diensten realisiert <strong>und</strong><br />
werden nicht einem eigenständigen Fachdienst zugeordnet.<br />
Die freiwilligen Anwendungen welche nicht bereits zum Zeitpunkt der offiziellen<br />
Einführung der Ges<strong>und</strong>heitskarte vorhanden sein müssen sind Dienste zur Verwaltung<br />
von Notfalldaten, der Arzneimitteltherapiesicherheitsprüfung sowie der elektronischen<br />
Patientenakte.<br />
Mehrwertanwendungen (grauer Bereich) sind Anwendungen welche im Bezug auf<br />
die Telematikinfrastruktur nicht gesetzlich geregelt sind, welche jedoch mit dessen<br />
Komponenten kommunizieren können. Sie können zum Beispiel von einer Versicherung<br />
bereitgestellt oder für eine bestimmte Nutzergruppe einen Nutzwert darstellen.<br />
Die Anwendungen können dabei auch auf Funktionen wie das Signieren mit einem<br />
Konnektor zugreifen, welche selbst zur festen Telematikinfrastruktur gehören.<br />
Auch die Daten <strong>und</strong> Funktionen des HBA können in dieser Weise verwendet werden.[gematik<br />
2008]<br />
Der elektronische Heilberufsausweis wird primär zur elektronischen Signierung<br />
von Dokumenten, zur <strong>Authentifizierung</strong> des Inhabers sowie zur ver- <strong>und</strong> Entschlüsselung<br />
von Nachrichten verwendet.<br />
Er enthält eine Reihe von Zertifikaten welche in X.509-Zertifikate <strong>und</strong> Card-<br />
Verifiable Zertifikate (CV-Zertifikate oder CVC) aufgeteilt werden.<br />
Die X.509-Zertifikate werden von zwei CAs vergeben. Die Root-CA der B<strong>und</strong>esnetzagentur<br />
vergibt das Signaturzertifikat <strong>und</strong> das Attributzertifikat (welches das<br />
jeweilige Heilberufsattribut authentisiert). Die Root-CA der B<strong>und</strong>esärztekammer<br />
vergibt das <strong>Authentifizierung</strong>szertifikat <strong>und</strong> das Verschlüsselungszertifikat. Zum Ermitteln<br />
aktueller Sperrinformationen für X.509-Zertifikate werden innerhalb der<br />
Telematikinfrastruktur OCSP-Responder verwendet.<br />
Das CV-Zertifikat authentifiziert den HBA gegenüber anderen Karten wie dem<br />
eGK <strong>und</strong> der sich im Konnektor sowie im HBA-Kartenterminal befindenden SMC.<br />
Im Gegensatz zu den X.509-Zertifikaten ist hiermit nur eine offline-Verifikation<br />
möglich, also können Zertifikate nicht vorzeitig zurückgezogen werden. Die Cardto-Card-Authentisierung<br />
(C2C-Authentisierung) stellt sicher dass nur authentische<br />
Karten miteinander kommunizieren.[B<strong>und</strong>esaerztekammer 2008; Fankhauser et al.<br />
2007]<br />
4. INTERNET-TECHNOLOGIEN ZUR AUTHENTIFIZIERUNG UND AUTORISIE-<br />
RUNG<br />
4.1 TLS<br />
Transport Layer Security (TLS) ist ein Protokoll zwischen der Transport- <strong>und</strong><br />
der Anwendungsschicht zur verschlüsselten Übertragung von Daten. Der IETF-<br />
Standard ist die Weiterentwicklung des Secure Sockets Layer-Protokolls (SSL).<br />
TLS wird in zwei weitere Schichten aufgeteilt: das TLS Record Protocol <strong>und</strong><br />
eine übergeordnete Schicht mit Protokollen wie dem TLS Handshake Protocol <strong>und</strong><br />
Seminar Kommunikationsstandards in der Medizintechnik, SoSe 2010
8 · Kommunikationsstandards in der Medizintechnik<br />
Application Data Protocol.<br />
Das TLS Record Protocol unterstützt den verschlüsselten Datenaustausch mittels<br />
symmetrischer Verschlüsselung. Dafür kann ein Algorithmus wie DES, Triple DES<br />
oder AES verwendet werden. Weiterhin wird die Integrität <strong>und</strong> Authentizität von<br />
Nachrichten durch Bildung einer kryptographischen Prüfsumme über Verfahren wie<br />
SHA-1 oder MD5 sichergestellt. Unverschlüsselte Übertragung ist ebenfalls möglich.<br />
Das TLS Handshake Protocol setzt auf dem TLS Record Protocol auf <strong>und</strong> wird<br />
verwendet um die Kommunikationspartner auf Basis asymmetrischer Verschlüsselungsverfahren<br />
gegenseitig zu authentifizieren. Im Normalfall authentifiziert sich<br />
nur der Server gegenüber dem Client mittels X.509-Zertifikat. Der Handshake wird<br />
dazu verwendet, kryptographische Algorithmen auszuhandeln <strong>und</strong> Schlüssel für die<br />
symmetrische Verschlüsselung im TLS Record Protocol auszutauschen.<br />
TLS <strong>und</strong> die vorhergehenden SSL-Versionen sind weit verbreitet <strong>und</strong> werden vor<br />
Allem im Rahmen einer PKI zur <strong>Authentifizierung</strong> von Webseiten verwendet.[IETF<br />
1999]<br />
4.2 SAML<br />
SAML ist XML-basierter Standard vom OASIS Security Services Technical Committee.<br />
Es ermöglicht die strukturierte Beschreibung <strong>und</strong> den Austausch von <strong>Authentifizierung</strong>s-<br />
<strong>und</strong> <strong>Autorisierung</strong>sinformationen. Anwendung findet es vor allem im<br />
Bereich Single Sign-On (SSO), bei der <strong>Autorisierung</strong> von verteilten Transaktionen<br />
<strong>und</strong> in <strong>Autorisierung</strong>sdiensten.<br />
Es wird dabei zwischen dem User, dem Identity Provider <strong>und</strong> dem Service Provider<br />
unterschieden.<br />
Der User ist die Partei welche eine Identität annimmt <strong>und</strong> in ihrem Namen Aktionen<br />
mit Hilfe des Service Providers durchführt. Der Service Provider ist ein Dienst<br />
welcher die Authentisierung einer Identität erfordert um Aufgaben auszuführen.<br />
Der Identity Provider erstellt <strong>und</strong> verwaltet Identitäten.<br />
Es wird davon ausgegangen dass die genannten Parteien bereits vorhanden bzw.<br />
implementiert sind. SAML beschreibt nur die möglichen Interaktionen zwischen<br />
ihnen <strong>und</strong> liefert Protokolle zum Datenaustausch.<br />
Die verwendeten Standards zur Beschreibung von Informationen sind XML, XML<br />
Schema, XML Signature <strong>und</strong> XML Encryption. Zur Kommunikation sind HTTP<br />
<strong>und</strong> SOAP vorgesehen.<br />
SAML besteht aus Assertions, Protocols, Bindings <strong>und</strong> Profiles.<br />
SAML Assertions enthalten Aussagen über <strong>Authentifizierung</strong>en unter bestimmten<br />
Bedingungen (authentication statements), über Paare aus Namen <strong>und</strong> Werten<br />
(attribute statements), sowie über <strong>Autorisierung</strong>sentscheidungen zu bestimmten<br />
Parteien <strong>und</strong> Aktionen (authorization decision statements).<br />
SAML Protocols beschreiben in welcher Form Elemente angefordert <strong>und</strong> zurückgegeben<br />
werden. Analog zu SAML Assertions wird hier wieder nach Authentication<br />
Protocols, Attribute Protocols <strong>und</strong> Authorization Protocols unterschieden.<br />
SAML Bindings ordnen SAML-Nachrichten einem bestimmten Nachrichtenformat<br />
oder Kommunikationsprotokoll zu. Unter Anderem existiert das SAML SOAP<br />
Binding für Nachrichtenübertragung mit dem SOA Protokoll <strong>und</strong> das HTTP Redirect<br />
Binding (für den HTTP GET-Befehl) sowie das HTTP POST Binding für<br />
Übertragungen über HTTP.<br />
Seminar Kommunikationsstandards in der Medizintechnik, SoSe 2010
<strong>Authentifizierung</strong> <strong>und</strong> <strong>Autorisierung</strong> · 9<br />
SAML Profiles beschreiben wie Assertions, Protocols <strong>und</strong> Bindings in einem bestimmten<br />
Anwendungsfall (zum Beispiel Single Sign-On in einem Browser) kombiniert<br />
werden.[VeriSign et al. ]<br />
4.3 OpenID<br />
OpenID ist ein offener Standard <strong>und</strong> ein dezentrales <strong>Authentifizierung</strong>ssystem für<br />
Webseiten <strong>und</strong> andere webbasierte Dienste.<br />
Motivation war die Realisierung einer Single Sign-On-Funktion sowie der Auslagerung<br />
von <strong>Authentifizierung</strong>slogik, welche bisher meistens von den Entwicklern<br />
einer Webseite selbst programmiert wurde. Für OpenID existieren Open-Source-<br />
Implementierungen für viele Plattformen in verschiedenen Programmiersprachen.<br />
Eine Identität hat in OpenID die Form einer URL <strong>und</strong> wird von einem OpenID-<br />
Provider bereitgestellt. Üblicherweise besteht die URL aus einer Domain des Providers<br />
sowie dem Namen des Benutzers.<br />
Der Benutzer meldet sich selbst nur beim Provider mit Benutzername <strong>und</strong> Passwort<br />
an. Bei einer Webseite oder einem Dienst welcher auf die Identität des Benutzers<br />
zugreifen will muss nur die OpenID-URL sowie der OpenID-Provider (welcher<br />
oftmals aus der URL heraus ermittelt werden kann) hinterlegt werden. Die <strong>Authentifizierung</strong><br />
erfolgt dann ohne Benutzereingabe.<br />
Viele große Web-Dienste wie Google <strong>und</strong> Yahoo! können bereits als OpenID-<br />
Provider verwendet werden. Die <strong>Authentifizierung</strong> wird vor Allem bei Blogs <strong>und</strong><br />
anderen Webseiten mit Kommentarfunktion verwendet, bei denen die Einrichtung<br />
eines eigenen Benutzerkontos überflüssig erscheinen kann.[Recordon and Reed 2006]<br />
4.4 OAuth<br />
OAuth ist ein offener Standard <strong>und</strong> ein API-<strong>Autorisierung</strong>ssystem. Es wird häufig<br />
in Verbindung mit OpenID verwendet, wenn ein komplettes <strong>Autorisierung</strong>s- <strong>und</strong><br />
<strong>Authentifizierung</strong>ssystem benötigt wird.<br />
Ziel ist es, dem Benutzer einer Webanwendung direkten Zugriff auf private Ressourcen<br />
zu ermöglichen, welche von einer anderen Webanwendung verwaltet werden,<br />
ohne dabei Informationen wie Benutzername <strong>und</strong> Passwort preisgeben zu müssen.<br />
OAuth definiert User, Consumer, Service Provider, Protected Resources <strong>und</strong> Token.<br />
Der User ist der Eigentümer von Informationen welche er freigeben möchte.<br />
Der Consumer ist eine Anwendung, welche für den Zugriff auf die Informationen<br />
des Users autorisiert werden soll.<br />
Der Service Provider ist eine Webanwendung bei welcher der User seine Informationen<br />
hinterlegt hat. Es ist nicht notwendig, dass der Service Provider gleichzeitig<br />
Identity Provider ist.<br />
Protected Resources sind Informationen, für deren Zugriff der User den Consumer<br />
autorisiert. Dies können private Daten, aber auch der Zugriff auf eine URL sein.<br />
Ein Token ist eine Zeichenkette welche Benutzername-Passwort-Kombinationen<br />
ersetzt.<br />
OAuth basiert auf HTTP <strong>und</strong> REST.[IETF 2010]<br />
Seminar Kommunikationsstandards in der Medizintechnik, SoSe 2010
10 · Kommunikationsstandards in der Medizintechnik<br />
4.5 U-Prove<br />
U-Prove ist ein Open Source Identity Management Framework von Microsoft welches<br />
als Gr<strong>und</strong>lage für <strong>Autorisierung</strong>s- <strong>und</strong> <strong>Authentifizierung</strong>ssysteme verwendet<br />
werden kann.<br />
Gr<strong>und</strong>idee ist die Maximierung von Privatsphäre <strong>und</strong> Sicherheit durch Beschränkung<br />
der bei einer Transaktion jeweils sichtbaren Information auf die minimal benötigte<br />
Menge, auf der höchstmöglichen Abstraktionsebene.<br />
U-Prove definiert Issuer, Prover <strong>und</strong> Verifier als beteiligte Parteien sowie ein<br />
Token als Menge von geschützten Informationen .<br />
Der Issuer ist eine Autorität welche kryptographisch geschützte Informationen<br />
des Benutzers hält bzw. ausstellt.<br />
Als Prover wird der Benutzer bezeichnet, bzw. dessen lokale Anwendung welche<br />
auf das U-Prove-System zugreift. Der Prover bekommt vom Issuer ein Token<br />
ausgestellt <strong>und</strong> erhält Rechte über die dort enthaltenen Informationen.<br />
Der Verifier ist der Konsument eines Tokens. Über ein Präsentationsprotokoll<br />
kann der Prover bestimmen, welche Informationen in welcher Form preisgegeben<br />
werden dürfen, während der Verifier trotzdem in der Lage ist, die Echtheit des<br />
Tokens zu verifizieren.[Brands 2010]<br />
4.6 OpenSSO<br />
OpenSSO ist eine Access Management Plattform welche von Sun Microsystems<br />
entwickelt wurde <strong>und</strong> aktuell von ForgeRock unter dem Namen OpenAM“ weiterentwickelt<br />
wird.<br />
”<br />
OpenSSO ist in Java implementiert <strong>und</strong> verwendet SAML über HTTP. Es wird<br />
Single Sign-On Funktionalität für Unternehmens-IT bereitgestellt, wobei Identitäten<br />
sicher über Unternehmensgrenzen hinweg ausgetauscht werden können.<br />
Administratoren können innerhalb einer OpenSSO-Installation mehrere Identity<br />
Provider anlegen, welche zusammen mit den zugreifenden Anwendungen einen<br />
Circle of Trust“ bilden. Die Anwendung erhält für Aktionen wie Sign-in, Signout<br />
<strong>und</strong> Passwortänderung URLs, über die mit Hilfe von HTTP-Redirects <strong>und</strong><br />
”<br />
SAML Tokens <strong>Authentifizierung</strong> durchgeführt wird. Dabei liegt die Initiative beim<br />
Browser des Benutzers, welcher von der Anwendung zum Identity Provider <strong>und</strong> bei<br />
erfolgreicher Anmeldung wieder zurückgeleitet wird.[Wikipedia 2010c]<br />
4.7 Shibboleth<br />
Shibboleth ist eine Identity Management Middleware von Internet2.<br />
Ähnlich wie in OpenSSO wird SAML <strong>und</strong> HTTP verwendet, um Single Sign-On<br />
zu implementieren. Primärer Anwendungsfall ist jedoch der allgemeine Austausch<br />
von Ressourcen zwischen Organisationen mit unterschiedlichen <strong>Authentifizierung</strong>s<strong>und</strong><br />
<strong>Autorisierung</strong>ssystemen.<br />
Es existiert eine Open Source Implementierung welche unter der Apache 2 Lizenz<br />
verfügbar ist.[Wikipedia 2010e]<br />
5. VERGLEICH DER VORGESTELLTEN TECHNOLOGIEN<br />
Es wurden drei offene Standards vorgestellt zu denen jeweils freie Implementierungen<br />
existieren. Die Standards werden in der Regel von Konsortien verabschiedet<br />
Seminar Kommunikationsstandards in der Medizintechnik, SoSe 2010
<strong>Authentifizierung</strong> <strong>und</strong> <strong>Autorisierung</strong> · 11<br />
deren Teilnehmer sich jeweils dazu verpflichtet haben, keine Patentansprüche für<br />
jegliche Teile des Standards zu erheben.<br />
SAML OpenID OAuth<br />
Typ Standard Standard Standard<br />
Entwickler OASIS OpenID Fo<strong>und</strong>ation OAuth Community<br />
Lizenz Non-<br />
Non-Assertion Non-Assertion<br />
Assertion<br />
Technologien XML, XSD, HTTP, XML, XRDS HTTP, REST<br />
SOAP,<br />
HTTP<br />
<strong>Authentifizierung</strong> Ja Ja, SSO Nein<br />
<strong>Autorisierung</strong> Ja Nein Ja<br />
Identity Provider Nein Ja Nein<br />
Weiterhin wurden drei Frameworks vorgestellt, mit denen sich <strong>Autorisierung</strong>s<strong>und</strong><br />
<strong>Authentifizierung</strong>ssysteme implementieren lassen.<br />
U-Prove Shibboleth OpenSSO<br />
Typ Framework Framework Framework<br />
Entwickler Microsoft Internet2 Sun Microsystems<br />
Lizenz Open Spec. Promise Apache 2 CDDL<br />
Technologien - SAML, HTTP SAML, HTTP<br />
<strong>Authentifizierung</strong> Ja Ja, SSO Ja, SSO<br />
<strong>Autorisierung</strong> Ja Ja Ja<br />
Identity Provider Ja Nein Ja<br />
Die hier verwendeten Protokolle <strong>und</strong> Beschreibungssprachen kommen zusammen<br />
mit anderen weit verbreiteten Technologien auch in der Ges<strong>und</strong>heitstelematik zum<br />
Einsatz.<br />
Der Primärsystem-Konnektor setzt beispielsweise TLS in dem Teil des lokalen<br />
Netzwerkes voraus, in welchem sich auch die Kartenterminals befinden. Auch hier<br />
werden X.509-Zertifikate verwendet, wobei hier jeder Kommunikationspartner ein<br />
Zertifikat vorweisen muss.<br />
Der Konnektor verwendet WS Security bei der Kommunikation mit dem Broker<br />
auf Anwendungsebene. Konnektor, Broker <strong>und</strong> Fachdienste verwenden SOAP zur<br />
Formatierung von Nachrichten <strong>und</strong> zur Beschreibung von Webservices.[Fankhauser<br />
et al. 2007]<br />
6. ZUSAMMENFASSUNG<br />
<strong>Autorisierung</strong> <strong>und</strong> <strong>Authentifizierung</strong> umfasst ein breites Themenfeld welches in den<br />
letzten Jahren viele neue Technologien hervorgebracht hat. Gr<strong>und</strong> dafür ist in erster<br />
Linie die Notwendigkeit zur Sicherung von stark vernetzten Informationssystemen<br />
in welchen Benutzer verschiedene Rollen annehmen, je nach Rolle auf verschiedene<br />
Ressourcen zugreifen dürfen, Daten selektiv oder anonymisiert weitergeben <strong>und</strong><br />
selber Dienste mit ähnlichen Rechten ausstatten.<br />
Seminar Kommunikationsstandards in der Medizintechnik, SoSe 2010
12 · Kommunikationsstandards in der Medizintechnik<br />
In der Wirtschaft <strong>und</strong> bei privaten Anwendern wurden aus dieser Motivation heraus<br />
Lösungen entwickelt welche im Bereich der Web Services neue Komponenten<br />
bereitstellen oder neue Infrastrukturen definieren. Vor allem die sichere <strong>und</strong> standardisierte<br />
Verbindung bestehender, unterschiedlicher Architekturen stellt eine aktuelle<br />
Herausforderung dar. So sollen Identitäten über mehrere Sicherheitsdomänen<br />
(wie zum Beispiel Firmennetze) hinweg existieren, oft ohne zentrale Anlaufstelle<br />
für deren <strong>Authentifizierung</strong>. Konzepte wie Single Sign-On erleichtern dem Benutzer<br />
die Arbeit, müssen aber in vielen unterschiedlichen Systemen implementiert<br />
werden bevor der Vorgang transparent wird. Neben <strong>Authentifizierung</strong> <strong>und</strong> Identitätenmanagement<br />
wird auch <strong>Autorisierung</strong> zu einer immer komplexeren Aufgabe.<br />
So wird nicht nur der Zugriff auf Daten nach Identität <strong>und</strong> Rolle geregelt, auch<br />
können diese Attribute die autorisierte Abstraktionsebene einschränken (wie in U-<br />
Prove vorgestellt). Insgesamt ist zu beobachten, dass sich vermehrt offene Standards<br />
herausbilden, welche (Teil-)Lösungen für aktuelle Probleme bieten ohne bisher ein<br />
übergreifendes Konzept darzustellen.<br />
Im Gegensatz dazu wurde im Zuge der Einführung der elektronischen Ges<strong>und</strong>heitskarte<br />
eine umfassende Gesamtarchitektur entwickelt welche insbesondere Datenschutzaspekte<br />
beachtet. Viele etablierte Standards <strong>und</strong> Techniken wie TLS,<br />
X.509, IPsec, VPN <strong>und</strong> SOAP werden verwendet um Identitäten zu verifizieren<br />
<strong>und</strong> Übertragungen auf allen Ebenen abzusichern. Dem Versicherten werden zudem<br />
mehrere Möglichkeiten geboten, auf seine Daten zuzugreifen <strong>und</strong> fremden Zugriff<br />
auf diese Daten detailliert zu regulieren.<br />
REFERENCES<br />
Brands, S. 2010. U-Prove Technology Overview. https://connect.microsoft.com/site642/<br />
Downloads/DownloadDetails.aspx?DownloadID=26953.<br />
B<strong>und</strong>esaerztekammer. 2008. Zertifikatsprofile fuer X.509 Basiszertifikate Version 0.9.2.<br />
B<strong>und</strong>esaerztekammer. 2010. e-Arztausweis <strong>und</strong> Telematik. http://www.b<strong>und</strong>esaerztekammer.<br />
de/page.asp?his=1.134.<br />
Fankhauser, F., Grechenig, T., Huehnlein, D., and Lohmaier, M. 2007. Die Basiskonzepte<br />
der Sicherheitsarchitektur bei der Einfuehrung der eGK. Tech. rep., DACH Security.<br />
gematik. 2008. Einfuehrung der Ges<strong>und</strong>heitskarte - Gesamtarchitektur.<br />
IETF. 1999. The TLS Protocol Version 1.0. http://datatracker.ietf.org/doc/rfc2246/.<br />
IETF. 2010. The oauth 1.0 protocol. http://tools.ietf.org/html/rfc5849.<br />
Recordon, D. and Reed, D. 2006. OpenID 2.0: a platform for user-centric identity management.<br />
In Proceedings of the second ACM workshop on Digital identity management. ACM, 16.<br />
VeriSign, P., Entrust, T., Entrust, C., Oblix, C., Jamcracker, D., Sun, E., Baltimore, I.,<br />
Oblix, J., Tivoli, M., Packard, N., et al. Security Assertions Markup Language.<br />
Wikipedia. 2010a. Elektronische Ges<strong>und</strong>heitskarte — Wikipedia, Die freie Enzyklopaedie.<br />
http://de.wikipedia.org/w/index.php?title=Elektronische_Ges<strong>und</strong>heitskarte&oldid=<br />
74883630.<br />
Wikipedia. 2010b. Elektronischer Heilberufsausweis — Wikipedia, Die freie Enzyklopaedie.<br />
http://de.wikipedia.org/w/index.php?title=Elektronischer_Heilberufsausweis&oldid=<br />
75563097.<br />
Wikipedia. 2010c. OpenSSO — Wikipedia, The Free Encyclopedia. http://en.wikipedia.org/<br />
w/index.php?title=OpenSSO&oldid=366479677.<br />
Wikipedia. 2010d. Public-Key-Infrastruktur — Wikipedia, Die freie Enzyklopaedie. http://de.<br />
wikipedia.org/w/index.php?title=Public-Key-Infrastruktur&oldid=76190568.<br />
Wikipedia. 2010e. Shibboleth (Internet2) — Wikipedia, The Free Encyclopedia. http://en.<br />
wikipedia.org/w/index.php?title=Shibboleth_(Internet2)&oldid=351893993.<br />
Seminar Kommunikationsstandards in der Medizintechnik, SoSe 2010
<strong>Authentifizierung</strong> <strong>und</strong> <strong>Autorisierung</strong> · 13<br />
List of Figures<br />
1 PKI - http://upload.wikimedia.org/wikipedia/commons/3/34/Public-<br />
Key-Infrastructure.svg . . . . . . . . . . . . . . . . . . . . . . . . . . 3<br />
2 gematik: Gesamtarchitektur V1.5.0, S. 28 . . . . . . . . . . . . . . . 5<br />
Seminar Kommunikationsstandards in der Medizintechnik, SoSe 2010