Artikel
Gewährleistung der End-to-End Security in telemedizinischen Befundnetzwerken
Suche in Medline nach
Autoren
-
Florian Wozak
- Private Universität für Gesundheitswissenschaften, Medizinische Informatik und Technik (UMIT), Hall
| Veröffentlicht: | 8. September 2005 |
|---|
Gliederung
Text
Einleitung und Zielsetzung
Der ständig steigende Einsatz von Informationssystemen im Gesundheitswesen führt zu einer Effizienzsteigerung bei gleichzeitiger Zeit- und Kostenreduktion [Ref. 1]. Die damit verbundene Zunahme an Übertragungen medizinischer Daten [Ref. 2] über potentiell unsichere Netzwerke erfordert die Entwicklung von Sicherheitskonzepten um nationalen und internationalen Bestimmungen zum Schutz persönlicher Daten zu entsprechen [Ref. 3], [Ref. 4].
Maßnahmen zur Gewährleistung der Datensicherheit vom Ursprungspunkt der Datenkommunikation bis zu deren Endpunkt werden als End-to-End Security bezeichnet [Ref. 5].
Die momentan in medizinischen Institutionen eingesetzten Sicherheitskonzepte konzentrieren sich vorwiegend auf Authentifizierung, Zugriffskontrolle und Übertragungssicherheit. Deren Integration zu einem Gesamtsicherheitskonzept im Sinne der End-to-End Security scheint zur Zeit allerdings noch zu fehlen.
Aus dem Hauptziel der Arbeit, der Entwicklung eines integrativen Konzeptes zur Gewährleistung der End-to-End Security in telemedizinischen Netzwerken, lassen sich folgende drei Teilziele definieren:
- 1.
- Modellbasierter Ansatz zur Bewertung des momentanen Sicherheitsstandes telemedizinischer Netzwerke.
- 2.
- Ableitung von Gegenmaßnahmen anhand der Identifikation von Schwachstellen (Angriffspunkten).
- 3.
- Integratives Sicherheitskonzept bestehend aus den oben erwähnten Einzelkomponenten.
Material und Methoden
Zur Modellierung des potentiellen Angriffsverhaltens kommen Abuse Case Modelle zum Einsatz [Ref. 6]. Abuse Cases basieren auf Standard UML Use Cases und erweitern diese um einige, zur Beschreibung des Missbrauchsverhaltens notwendigen Elemente. Sie umfassen stets die Komponenten Actor Description, Abuse Case Description in textueller Darstellung und Abuse Case Model in graphischer Repräsentation.
Ausgehend von den Abuse Cases kann die Gesamtheit der Aktionen, die zum Erfolg einer Attacke führen als Attack Vector definiert werden. Diese können in Klassen eingeteilt werden; Sicherheitstechnische Verfahren die eine Angriffsklasse blockieren, werden als Hauptachsen bezeichnet.
Die Analyse potentieller Schwachstellen erfolgt anhand der Abuse Case Modelle. Eine Schwachstelle entsteht immer dann, wenn ein Attack Vector ungehindert ausgeführt werden kann.
An einem realitätsnahen Testnetzwerk werden die Modelle auf deren Gültigkeit überprüft.
Ergebnisse
Bei der Entwicklung der Abuse Case Modelle, die für den telemedizinischen Bereich essentiellen Missbrauchsszenarien darstellen, konnten folgende Actors identifiziert werden:
Ungezielte Angriffe:
- Malware (Software mit dem Ziel Schaden auf dem Host System anzurichten)
- Script Kiddies (Netzwerk Attacken durch nicht zielgerichteten Vandalismus)
Gezielte Angriffe:
- Saboteur (Versuchen an System bewusst Schaden anzurichten, ohne dabei an dem Zugriff auf Daten interessiert zu sein).
- Intruder (Versuchen sich gezielt Zugriff auf medizinische Daten zu verschaffen)
Abuse Case Diagrams und Abuse Case Descriptions beschreiben Ziele sowie mögliche Attack Vectors im Detail (Ziel 1).
Aus der Analyse der Angriffsklassen können folgende drei Hauptachsen abgeleitet werden:
- 4.
- Authentication and Access Control (Verfahren zur Zugriffskontrolle wie Benutzername/Passwort, SmartCards, Biometrische Verfahren)
- 5.
- Transport Security (Kryptographische Protokolle zur Datenverschlüsselung während der Übertragung)
- 6.
- System Security (Absicherung der Systeme gegen Manipulationen, Firewalling, Intrusion Prevention)
Aus den aufgestellten Modellen können Gegenmaßnahmen zu den erfassten Angriffstypen direkt abgeleitet werden. beruhen darauf den Attack Vector zu blockieren. End-to-End Security erfordert daher die Integration der drei Hauptachsen Authentication und Access Control, Transport Security, sowie System Security in ein integratives Sicherheitskonzept.
Die Erstellung des Abuse Case basierten integrativen Sicherheitskonzeptes ist kein statischer, sondern ein dynamischer Prozess, der die ständige Anpassung der Abuse Case Models an die tatsächlich vorherrschenden Verhältnisse erfordert.
Die Auswertung der Logfiles von Firewall und Intrusion Detection / Intrusion Prevention Systemen liefert detaillierte Hinweise auf durchgeführte Angriffe. Die Information über erfolgreiche Attacken, die zur Kompromittierung eines Systems geführt haben, können darüber hinaus wichtige Anhaltspunkte für die Weiterentwicklung des Sicherheitskonzept bilden. (Ziel 2)
Der experimentelle Nachweis der Gültigkeit der aufgestellten Modelle erfolgte an einem Testnetzwerk in dem eine Man-in-the-Middle Attack mittels ARP Spoofing / ARP Cache Poissoning nachgestellt wurde. Der Attack Vector konnte auf den Hauptachsen Authentication and Access Control und System Security durch den Einsatz kryptographischer Übertragungsprotokolle (verschlüsselte Datenübertragung ist dabei zweitrangig, die Blockierung des Attack Vectors erfolgt anhand von digitalen Zertifikaten, mit denen sich die Kommunikationspartner ausweisen) sowie durch eine Änderung der Konfiguration des Ethernet Switches blockiert werden. Damit kann gezeigt werden, dass das aus den Modellen abgeleitete integrative Sicherheitskonzept die Gesamtsicherheit in Bezug auf das gemessene Angriffsszenario erhöht. (Ziel 3)
Diskussion
Die zur Modellierung des Sicherheiststandes und des daraus abgeleiteten integrativen Sicherheitskonzeptes verwendeten Abuse Cases eignen sich sehr gut zur Erstellung eines Übersichtsmodelles abgegrenzter Systeme. Die Modelle sind von hinreichender Kenntnis der Actors abhängig, deren Grenzen werden bei komplexen Neztwerken mit hohem Detaillierungsgrad, sowie bei unbekannten Actors erreicht. Attack-Tree basierte Modelle [Ref. 7] ermöglichen die Actor-unabhängige Erfassung des Gefährdungspotentials vor allem aus Sicht der System Security. Eine hybrides, auf Abuse Cases und Attack Trees basierendes Modell könnte Gegenstand weiterführender Forschungen sein.
Zur Zeit existieren außerdem keine Möglichkeiten die aufgestellten Modelle auf Vollständigkeit zu überprüfen, daher erscheint es um so wichtiger bestehende Abuse Case Modelle kontinuierlich zu erweitern und an das sich ständig ändernde Verhalten der Actors anzupassen.
Literatur
- 1.
- Maglaveras N, Chouvarda I, Koutkias V, Meletiadis S, Haris K, Balas EA. Informationtechnology can enhance quality in regional health delivery. Methods InfMed 2002;41(5):393-400.
- 2.
- Haux R, Ammenwerth E, Herzog W, Knaup P. Health care in the information society. A prognosisfor the year 2013. Int J Med Inf 2002;66(1-3):3-21.
- 3.
- BGBl. I Nr. 165/1999 idF: BGBl. I Nr. 136/2001. Bundesgesetz über den Schutz personenbezogener Daten (Datenschutzgesetz 2000 - DSG 2000).
- 4.
- Council of Europe. Convention for the Protection of individuals with regard to automatic processingof personal data Convention No. 108 (Strasbourg: CoE). Available at http://conventions.coe.int/Treaty/EN/Treaties/Html/108.htm. Accessed on 2004 Jun 23
- 5.
- Committee on National Security Systems. National Information Systems Security (Infosec)Glossary. Available at http://security.isu.edu/pdf/4009.pdf. Accessed on 2004 Jun 09.
- 6.
- McDermott J, Fox C. Using Abuse Case Models for Security Requirements Analysis. Harrisonburg,USA: James Madison University; 1999.
- 7.
- Schneier B. Attack Trees. Available at http://www.schneier.com/paper-attacktrees-ddj-ft.html. Accessed on 2004 Jun 13
