Mailverschlüsselung: Damit niemand mitlesen kann

4. Februar 2017 - Von Aaron Akeret, Stefan Klein und Peer Hostettler

Sensible Daten unverschlüsselt zu versenden, ist riskant, könnten doch andere diese jederzeit abfangen. Im ­Gesundheitswesen hat sich daher mit HIN ein datenschutzkonformer Kommunikationsstandard etabliert.


Stellen Sie sich vor: Sie stehen am Bahnhof und lesen auf einem Plakat: "Niedergeschlagenheit, Antriebslosigkeit und Interessensverlust? Diagnose: Depression. Name des Patienten: Ihrer!" Wenn Leistungserbringer und Kostenträger Patientenbefunde unverschlüsselt per E-Mail umherschicken würden, wäre ein solches Szenario denkbar. Unverschlüsselte E-Mails sollten durchaus als Sujets einer Werbekampagne betrachtet werden. Patientendaten als Plakatsujets, der Jahresabschluss der Firma als Werbespot, Kunden- oder Mitarbeiterdossiers als Online-Banner – ganz nach dem Motto "Jeder soll’s sehen". Der naheliegende Vergleich einer unverschlüsselten E-Mail mit einer Postkarte verharmlost die Angelegenheit. Denn elektronische Post kann jederzeit von irgendwem, irgendwo abgefangen, automatisch analysiert und manipuliert werden. Das stellt ein Problem dar, für kleine und mittlere Unternehmen wie Praxen oder Pflegeheime, und erst recht für Grossunternehmen wie Kantonsspitäler.

Natürlich gilt dieser Umstand nicht nur für das Gesundheitswesen, und doch gibt es gerade in dieser Branche sehr viele schützenswerte Daten. Sieht man von Kantons- und Universitätsspitälern und grossen Heimen ab, sind im Schweizer Gesundheitswesen vor allem sogenannte Kleinunternehmen zu finden. Beispielsweise sind 60 Prozent der Arztpraxen immer noch Einzelpraxen, sprich Unternehmen mit weniger als fünf Mitarbeitenden. Die elektronische Post hat sich auch hier seit Jahren als Kommunikationsmittel durchgesetzt, vor allem, um Informationen von Patienten auszutauschen. Patientendaten im Besonderen und Personendaten im Allgemeinen sind jedoch ein wertvolles Gut und müssen geschützt werden.


Plattform für Schweizer Ärzte

Der Schutz der Persönlichkeit wie auch die Regelungen zur Datenbearbeitung in Bezug auf die Grundrechte sind im Bundesgesetz über den Datenschutz verankert. Entsprechend fordert der Gesetzgeber organisatorische und technische Schutzmassnahmen. Die E-Mail-Verschlüsselung leistet hier einen wesentlichen Beitrag. Die Schweizerische Ärzteschaft hat auf Initiative des Berufsverbandes FMH (Foederatio Medicorum Helveticorum) sowie der Ärztekasse, ebenfalls eine standes­eigene Institution, vor 20 Jahren die HIN-Plattform (Health Info Net) initiiert. Auf Basis einer Public-Key-Infrastruktur wird der datenschutzkonforme Austausch von elektronischen Informa­tionen zwischen den HIN-Teilnehmenden, aber auch der Zugriff auf Applikationen, die an die Plattform angeschlossen sind, sichergestellt. Bei den HIN-Teilnehmenden handelt es sich neben den Ärzten auch um Pflegende und Therapeuten sowie Spitäler, Versicherungen, Behörden und Labors.

Herzstück der HIN-Plattform ist das IAM-System, welches mit Nevis von Adnovum realisiert wurde. Um die Dienste der Plattform zu nutzen, wird eine HIN-Identität benötigt. Dies ist eine elektronische Identität, welche die rechtlichen Anforderungen für fortgeschrittene Zertifikate (X.509, Quovadis) erfüllt. Somit können Personen und Institutionen sicher identifiziert und für den Zugriff auf vertrauliche Daten authentisiert werden. Bevor HIN eine elektronische Identität vergibt, werden in einem mehrstufigen Verifikationsprozess die Ausweispapiere, aber auch berufsspezifische Attribute geprüft. Durch diesen Ausgabe­prozess ist sichergestellt, dass hinter einer HIN-Identität auch die Person steht, für welche sie sich ausgibt.


Dienste basieren auf Zwei-Faktor-­Authentisierung

Im Regelfall ist auf dem Gerät des Anwenders eine Client Software installiert. Im HIN-Client ist ein Passwort geschütztes Soft-Token, die HIN-Identität, abgelegt. Der HIN-Client fungiert als lokaler HTTP-Proxy. Zugriffe auf HIN-geschützte Applikationen werden erkannt und der Anwender dazu aufgefordert, sich mittels Passworts zu authentisieren. Der Zugriff auf HIN-geschützte Applikationen erfolgt aus diesem Grund immer über HTTP. Die Verbindung ab dem HIN-Client ist mittels TLS mit beidseitiger Authentisierung geschützt.

Ist der HIN-Client nicht installiert oder nicht aktiv, wird dem Anwender die Möglichkeit geboten, sich über die alternative Authentisierung (AA) anzumelden. Anfragen, welche nicht über den HIN-Client gesendet wurden, werden vom HIN-Rechenzentrum erkannt. Der Anwender wird in diesem Fall auf eine AA-Login-Seite weitergeleitet, welche nur über HTTPS erreichbar ist. Auf der Login-Seite bieten sich dem Anwender folgende Authentisierungsmöglichkeiten: Erstens das mTAN-Verfahren durch Eingabe des Benutzernamens und des Passworts sowie dem Empfang eines Einweg-Codes per SMS und zweitens mittels SuisseID oder HPC (Health Professional Card).

HIN bietet eine Reihe eigener Services, welche über die HIN-Identität genutzt werden können. Dazu gehören unter anderem das HIN-Teilnehmerverzeichnis zur Abfrage anderer Teilnehmer und deren gesicherte Mailadresse und HIN-Home, eine Community-Plattform zur Vernetzung der 19’000 HIN-Identitäten, aber auch das HIN-Webmail zum Versand und Empfang von verschlüsselten Mails. Bei allen erfolgt die Authentisierung anhand der HIN-Identität.

Die HIN-Authentisierung steht zudem auch nicht HIN-­eigenen Applikationen zur Verfügung. Externe Applikationen, welche den Authentisierungsdienst der HIN nutzen, schliessen sich der HIN-Plattform an. Technisch unterscheidet sich die Anschlussart nicht von derjenigen HIN-eigener Applikationen. HIN bietet wiederum zwei Modelle zur Authentisierung: Beim Access Control Service wird die Applikation ins HIN-Extranet integriert. Der gesamte Traffic auf die Applikation wird über das HIN-Rechenzentrum geleitet. HIN authentisiert den Anwender und leitet die Benutzerinformationen an die Applikation weiter. Die Applikation kann anhand der übermittelten Informationen die Feinautorisierung vornehmen und dem Benutzer nur die Daten bereitstellen, auf die er wirklich zugreifen darf. Oder aber der HIN Federation Service ist eine SAML-basierte Variante zur Authentisierung der Benutzer. Der HIN-Teilnehmer greift in einem ersten Schritt direkt auf die Applikation zu. Der Applikationsanbieter stellt fest, dass noch keine Session innerhalb der eigenen Applikation existiert und leitet den Anwender auf den Authentisierungsdienst der HIN weiter. Nach der Authentifizierung des zugreifenden Anwenders durch den HIN-Identity-­Provider wird eine signierte Antwort an den Applikationsanbieter geliefert, mit welcher dieser eine Session erstellen kann. Die Kommunikation zwischen Anwender und Applikation erfolgt ab diesem Zeitpunkt direkt und ist über HTTPS gesichert.

Während Praxen, Spitex-Organisation oder Therapieein­richtungen lokal installierte Clients verwalten können, eignet sich dieses Verschlüsselungs-/Kommunikationskonzept nicht für grössere Institutionen wie Versicherer oder Spitäler. In diesem Segment kommen sogenannte HIN-Mail-Gateways zum Einsatz.


E-Mails automatisch verschlüsseln

Die HIN-Mail-Gateways basieren auf dem Secure E-Mail ­Gateway von Seppmail. Seppmail erlaubt eine für den End­nutzer transparente, verschlüsselte E-Mail-Kommunikation. Das bedeutet, dass sich der interne Mitarbeiter nicht darum kümmern muss, ob der Empfänger eine Verschlüsselungslösung einsetzt oder welche. Die Verschlüsselung erfolgt automatisch im Hintergrund. Seppmail ist einfach zu installieren und zu warten und ist bei mehr als tausend Schweizer Domänen im Einsatz. S/MIME-Zertifikate können vollautomatisch bei Swisssign oder Quovadis bezogen werden.

Der Secure E-Mail Gateway ist zentral in der Organisation installiert und entscheidet auf Grund eines Regelwerkes, was mit aus- und eingehenden E-Mails passieren soll. So lassen sich beliebige Organisationsregeln und -prozesse abbilden. Optional kann Seppmail auch mit einem so genannten HIN-Connector bestellt werden. Bei einer ausgehenden E-Mail wird geprüft, ob der Empfänger Teil der HIN-Community ist, so dass innerhalb von HIN sämtliche E-Mails verschlüsselt übertragen werden.


Mails mit hunderttausenden Empfängern ­automatisch verschlüsseln

Noch einfacher wird es, wenn in der Organisation des Empfängers auch ein HIN-Mail-Gateway beziehungsweise ein Seppmail Secure E-Mail Gateway installiert ist. Der sogenannte Managed Domain Service verschlüsselt nämlich den gesamten Mail-Verkehr zwischen den beiden Organisationen, ohne dass irgendein Schlüsselaustausch erforderlich ist. Ab der Installation des Mail Gateways wird die gesamte E-Mail-Kommunikation von über 3500 E-Mail-Domains in der DACH-Region und somit hunderttausenden E-Mail-Adressen vollautomatisch durch Verschlüsselung geschützt.

Mittlerweile hat sich eine Zusammenarbeit zwischen Post, Seppmail und HIN entwickelt, um Bedürfnisse der verschlüsselten Kommunikation im behördlichen wie auch im kantonalen Umfeld zu bedienen. Dafür wird Seppmail neben einem HIN-Connector auch mit einem Incamail-Connector ausgestattet. Seppmail kann dann transparent auch an alle Incamail-Teilnehmer verschlüsselte E-Mails verschicken. Da Incamail eine vom Bund anerkannte Zustellplattform ist, können auch Mails per E-Government-Standard verschickt werden, was im Behörden­umfeld ein Muss ist.

In seinem Gutachten "Sicherheit des HIN-E-Mailverkehrs nach schweizerischem Recht" hält Sascha D. Patak fest, dass das HIN-E-Mail-System den heutigen Anforderungen an eine sichere digitale Kommunikation zwischen Ärzten, Pflegenden, Therapeuten und Versicherungen, aber auch Patienten – und Gesundheitsfachpersonen, die nicht direkt an der HIN-Plattform angeschlossen sind – entspricht. Die HIN-Plattform erfüllt beziehungsweise übertrifft demnach die Voraussetzungen des Datenschutzgesetzes sowie der weiteren gesetzlichen Bestimmungen für digitale Kommunikation.


Die Autoren

Stefan Klein ist CEO von Seppmail und zählt zu den anerkannten Experten in den Bereichen digitale Signatur und Verschlüsselung. Seine Ausbildung als Dipl. Inf. Ing. HTL sowie seine 20-jährige internationale IT-Erfahrung mit Spezialisierung auf Secure E-Mail machen den Visionär Klein zum angesehenen Innovator in Sachen Secure Messaging.

Aaron Akeret arbeitet als Solution Engineer HIN und Projektleiter. Er ist im Rahmen des IT-Betriebs Ansprechperson für den HIN Gateway und leitet verschiedene Entwicklungsprojekte. Nebst seinem Studium als Wirtschaftsinformatiker FH verfügt er über mehrjährige Erfahrung in der IT.

Peer Hostettler, Leiter Marketing und Vertrieb HIN, ist Mitglied der Geschäftsleitung und für den Markt sowie den Vertrieb zuständig. Nebst einem Executive Master in Business Process und Logistic Management verfügt er über langjährige Erfahrung in diesen Bereichen, davon über fünf Jahre im Gesundheitswesen.

Copyright by Swiss IT Media 2018