Thought Leadership
Zero-Trust-Architekturen gewinnen für die IT-Sicherheit immens an Bedeutung. In Enterprise-Umgebungen fokussieren sie auf den Schutz von Unternehmensdaten. Stehen jedoch die Sicherheit sensibler privater Daten und die Datensouveränität im Fokus, erfordert dies andere Herangehensweisen.
Zero-Trust-basierte Architekturen erlauben es, Sicherheit auch in mobilen und dezentralisierten Umgebungen, wie zum Beispiel bei der Telearbeit, besser durchzusetzen. Sie haben zum Ziel, den sicheren Zugriff auf Daten zu ermöglichen und gleichzeitig den möglichen Schaden durch kompromittierte Anwender oder Systeme zu minimieren. Zum einen erfolgt dies durch eine granulare, strikte Beschränkung der Möglichkeiten: Es werden nur so viele Zugriffsrechte wie nötig erlaubt und dies nur so lange wie erforderlich. Zum anderen wird durch starke Methoden der Nutzerauthentisierung und die Überprüfung des Zugangsgerätes sichergestellt, dass das vom Nutzer erreichbare Sicherheitsniveau zum Schutzbedarf der Daten passt.
Enterprise-Architekturen schützen klassisch Unternehmensdaten
Empfehlungen zur Umsetzung von Zero-Trust-Architekturen, wie beispielsweise die NIST SP 800-207, fokussieren im Allgemeinen auf Enterprise-Umgebungen. In Enterprise-Umgebungen steht der Schutz von Unternehmensdaten im Mittelpunkt. Sicherheitsanforderungen werden typischerweise durch Einschränkungen an der Privatsphäre, Hoheit über die Endgeräte und Usability sowie legale Konstrukte wie Verträge mit Dienstleistern und Mitarbeitern durchgesetzt.
Beim Zugriff durch Mitarbeiter, Partner oder Dienstleister werden eine Kontrolle über die Zugangsgeräte sowie eine Verhaltensauswertung der Nutzerzugriffe im Allgemeinen als wichtige Sicherheitsfaktoren akzeptiert. Notwendige Risikoabwägungen im Zielkonflikt zwischen Effizienz, Usability, Privacy und Datenschutz können auf Unternehmensebene getroffen werden. Risiken beim Umgang mit den Daten tragen dabei primär die Unternehmen und nicht die einzelnen Mitarbeiter.
Demonstrator für die mögliche neue Telematikinfrastruktur TI 2.0. Über einen Zero Trust Authenticator könnten Teilnehmer der zukünftigen TI sicher und einfach über ihr Mobiltelefon Zugriffe auf Dienste im eigenen Namen zulassen oder ablehnen. Der Endanwender behält zu jeder Zeit die Souveränität über seine Daten. Bildquelle: genua, CGM
Wenn Privacy und Datensouveränität in den Mittelpunkt rücken
Jenseits des Unternehmenskontextes sind die Rahmenbedingungen und Anforderungen jedoch häufig andere. Im Gesundheitswesen zum Beispiel geht es um den Schutz besonders sensibler Patientendaten. Der Zugang erfolgt dabei in der Regel nicht mittels Unternehmens-IT, sondern über private Endgeräte von Patienten beziehungsweise mehr oder weniger sicher verwaltete Geräte bei Leistungserbringern in Praxen oder Kliniken.
Entsprechend dem Verständnis hinsichtlich Privacy, Datensouveränität und Datenschutz in Deutschland und der EU sollte ein tiefgehender Eingriff in diese Geräte zur Überprüfung der Sicherheit vermieden werden. Auch muss eine Verhaltensanalyse im Kontext von Zero Trust, wie sie bei Unternehmen-IT üblich ist, berücksichtigen, dass Zugriffsmuster gegebenenfalls bereits medizinisch relevante personenbezogene Daten darstellen. Ebenso lassen sich Patientendaten betreffende Risikoabwägungen nicht treffen, ohne die Interessen der Patienten einzubeziehen. Dazu gehört auch das Risiko, dass sich kritische Dienstleister wie beispielsweise Identitätsprovider beim Betrieb einer Zero-Trust- Architektur universellen Zugriff auf Patientendaten verschaffen.
„Alle Bereiche mit hohen Anforderungen an Privatsphäre, Datenschutz und Nutzerfreundlichkeit können von einem Nutzer- und Privacy-fokussierten Zero-Trust-Ansatz profitieren.”
Steffen Ullrich, Technology Fellow, genua GmbH
Die Problematik der hohen Anforderungen an Privacy und Datensouveränität im Gesundheitswesen ist auch auf Behörden oder Verwaltung übertragbar. Hier geht es um den Schutz von personenbezogenen Daten von Bürgern bei der Digitalisierung von öffentlichen Vorgängen in der Verwaltung. Aber auch mit Blick auf Enterprise-Architekturen ist es ein Gewinn, wenn die Sicherheitseigenschaften von Zero-Trust-Architekturen unter Berücksichtigung der Privatsphäre von Mitarbeitern ausreichend gewährleistet werden können. Auch Risiken durch Dienstleister, die für den Betrieb einer Zero-Trust-Infrastruktur einbezogen werden, haben an Aufmerksamkeit gewonnen. Dies ist nicht zuletzt Vorfällen geschuldet wie:
- Sicherheitslücken beziehungsweise unsicheren Prozesse bei Microsofts Management von Keys und Zugriffsberechtigungen,
- die teilweise Kompromittierung des Identitätsanbieters Okta und
- die vielfältigen Sicherheitslücken in Zugriffskontrollprodukten verschiedener Sicherheitshersteller, welche die Zuverlässigkeit der Zugriffskontrolle oder auch die Sicherheit der Endgeräte gefährdet haben.
Anforderungen im grundlegenden Design verankern
Im Herbst vergangenen Jahres hatte die gematik als nationale Agentur für digitale Medizin ein aus deutschen Herstellern bestehendes Konsortium beauftragt, für die künftige Telematikinfrastruktur ein Feinkonzept für eine Zero-Trust-Architektur zu erarbeiten. Dieses berücksichtigt die besonderen Anforderungen des Gesundheitswesens grundlegend im Design, anstatt zu versuchen, bestehende Designs durch Zusatzlösungen halbwegs passend zu machen.
Im Konsortium, bestehend aus der genua GmbH in der Rolle des Konsortialführers, der Bundesdruckerei GmbH und der D-Trust GmbH (alle drei Unternehmen gehören zur Bundesdruckerei Gruppe GmbH) sowie der CompuGroup Medical Deutschland AG und dem Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC, brachten jeweils alle Teilnehmer ihre speziellen Erfahrungen und Fähigkeiten in die Konzeption der Architektur ein. So konnte in enger Zusammenarbeit mit der gematik ein Feinkonzept entstehen, das nicht nur sicher und privacy-freundlich ist, sondern auch einfach benutzbar, performant, skalierbar, flexibel, offen und zukunftssicher.
Datenallmacht verhindern
Eine wesentliche Anforderung war die Vermeidung von Allmacht. Das bedeutet, dass sich kein Dienstleister in der Infrastruktur universellen Zugriff auf Daten verschaffen kann. Als spezielles Risiko wurden Identitätsprovider gesehen. Deren Kompromittierung könnte dazu führen, dass ein Angreifer verschiedene Nutzeridentitäten annehmen kann. Das Problem wurde gelöst, indem der Identitätsprovider nicht alleinig über den Zugriff entscheiden kann. Es sind immer, mehrere unabhängige Parteien involviert.
Im Detail heißt das, dass der Zugriff nicht nur von einem authentifizierten Nutzer, sondern auch von einem registrierten Gerät durchgeführt werden muss. Die Geräteregistrierung findet mittels einer vom Identitätsprovider unabhängigen Authentifizierung des Nutzers statt. Die separaten Zugangsprüfungen werden von einem lokalen Policy-Enforcement-Point in der Kontrolle des jeweiligen Fachdienstes vorgenommen, bevor ein Zugriff auf die dort vorliegenden dienstspezifischen Patientendaten beziehungsweise deren Verarbeitung erlaubt wird. Für die Speicherung sehr sensitiver Daten wie in der elektronischen Patientenakte erfolgt wie bisher zusätzlich eine client-seitige Verschlüsselung als weitere Schutzschicht.
Um tiefe Eingriffe in die Geräte der Anwender zu vermeiden, wird für die Attestierung der Sicherheit auf existierende Plattformdienste der Betriebssystemanbieter zurückgegriffen, die ohne erweiterte Rechte auf dem System benutzbar sind. Um eine möglichst hohe Vielfalt von Endgeräten bei gleichzeitig einfacher Benutzbarkeit für die Anwender zu unterstützen, sind die Sicherheitsanforderungen an den Schutzbedarf angepasst: Die eigenen Daten auf den Endgeräten der Patienten selbst werden als eine andere Risikoklasse behandelt als die Sammlung von Daten verschiedener Patienten auf den Endgeräten der Leistungserbringer.
Eine Architektur mit vielen Chancen
Eine detaillierte Beschreibung der Architektur finden sich im umfangreichen Feinkonzept (160 Seiten), welches im Fachportal der gematik der Öffentlichkeit kostenfrei zur Verfügung steht. Das Feinkonzept folgt etablierten Zero-Trust-Konzepten und nutzt für eine hohe Zukunftssicherheit so weit wie möglich anerkannte offene Standards. Es wurde für die besonderen Rahmenbedingungen im Gesundheitswesen entwickelt, bietet aber große Chancen über den Anwendungsbereich der TI 2.0 hinaus.
