Warum das «klassische» Internet per se unsicher ist – und was das mit HIN zu tun hat

Das Internet ist heute allgegenwärtig. E-Mail, Apps, Navigationsgeräte, Kühlschränke nutzen es – und zunehmend auch kritische medizinische Dienstleitungen und Anwendungen wie ferngesteuerte Operationsroboter. Doch das Internet kämpft mit technischen Limitierungen, die in seinem konzeptionellen Aufbau begründet sind. Wie HIN diesen Schwächen entgegentritt und damit das Gesundheitswesen sicherer macht, erfahren Sie in diesem Hintergrundbeitrag.Das Internet ist ein weltweites Netz von miteinander verbundenen Computernetzwerken. Dieses Netz ermöglicht es den einzelnen Geräten, miteinander zu kommunizieren und auf Informationen aus einer Vielzahl von Quellen zuzugreifen. Es ist ein komplexes System bestehend aus Servern, Routern und anderen Hardware- und Softwarekomponenten, die zusammenarbeiten, um Daten von einem Ort zum anderen zu übertragen.Das Internet wurde jedoch nicht unter dem Gesichtspunkt der Sicherheit konzipiert. Der Schwerpunkt lag darauf ein Netzwerk zu schaffen, das die Kommunikation und den Informationsaustausch zwischen Computern erleichtern sollte. Die «Spielregeln», nach denen dieses Netzwerk funktioniert (die sogenannte Internetarchitektur), wurden vor Jahrzehnten entwickelt und seither kaum verändert. So wurde das Protokoll, das dem Internet zugrunde liegt (das Border Gateway Protocol oder BGP), 1989 von zwei Netzwerkspezialisten in der Mittagspause auf zwei Servietten entworfen. Die Servietten können heute in einem historischen Museum bestaunt werden, während inzwischen Milliarden von Geräten rund um den Globus über die auf dem BGP basierende Infrastruktur kommunizieren. Infolgedessen weist das Internet eine Reihe von Sicherheitsmängeln auf, die von böswilligen Akteuren ausgenutzt werden können.

HIN gleicht gravierende Sicherheitsmängel des Internets aus

Einer der wichtigsten Grundsätze der Internetarchitektur besagt, dass die Kommunikation zwischen zwei Geräten so direkt wie möglich sein sollte. Auf welchem Weg die Daten an ihr Ziel gelangen (das sog. Routing), ist für die einzelne Nutzerin, den einzelnen Nutzer jedoch nicht transparent. So kann es durchaus sein, dass ein Datenpaket auf seinem Weg von Zürich nach Basel über einen oder mehrere Knoten im Ausland geroutet wird. Die verschlungenen Pfade und zahlreichen Knotenpunkte können die Kommunikation anfällig machen für Abfangmassnahmen und Manipulationen.Eine weitere Einschränkung besteht darin, dass das Internet ursprünglich auf einem System blinden Vertrauens beruht. Teilnehmer müssen immer damit rechnen, dass nicht vertrauenswürdige Parteien sich in den Datenverkehr «einklinken» und dass der vermeintliche Kommunikationspartner nicht derjenige ist, für den er sich ausgibt (siehe z.B. Man-in-the-Middle-Angriffe). Auch wenn inzwischen international viel in die Absicherung des Datenverkehrs via Internet investiert wurde, so stellen die Designprinzipen von damals die IT-Spezialisten bis heute vor sicherheitstechnische Herausforderungen.Genau wegen solcher prinzipbedingter Mängel des Internets wurde HIN 1996 gegründet – mit dem Ziel, systemische Schwächen auszugleichen und das Internet für das Gesundheitswesen überhaupt datenschutzkonform nutzbar zu machen. Durch starke Verschlüsselung (siehe HIN Mail) kann etwa verhindert werden, dass Angreifer sensible Informationen abfangen und lesen können. Die Identitätsprüfung des Gegenübers durch sichere Authentisierung (siehe HIN Identität) wiederum gewährleistet, dass nur befugte (im Fachjargon: autorisierte) Geräte und Nutzer miteinander kommunizieren können und dass diese Kommunikation nicht abgefangen oder manipuliert wird.

Konstruktionsfehler des Internets verursachen grosse Risiken und Aufwände

Weitere bedeutsame Schwächen des herkömmlichen Internets sind beispielsweise die öffentliche Sichtbarkeit von IP-Adressen, eine fehlende Kontrollinstanz, welche kriminelle oder nicht vertrauenswürdige Elemente dauerhaft ausschliessen kann, oder die Anfälligkeit für Überlastungen. Letztere kann zu Verzögerungen bei der Datenübertragung führen oder von Cyberkriminellen für verteilte Denial-of-Service-Angriffe (DDoS-Angriffe) ausgenutzt werden. Dabei wird eine Website oder ein Netzwerk mit Datenverkehr aus mehreren Quellen gezielt überlastet, sodass die Website oder das Netzwerk nicht mehr reagiert oder für legitime Benutzer nicht mehr verfügbar ist.Diesen «Konstruktionsfehlern» des Internets konnte auch HIN bisher wenig entgegensetzen. Cyberkriminelle nutzen sie gezielt aus, weshalb die Nutzung des Internets für sensible Bereiche wie das Gesundheitswesen mit besonderen Risiken verbunden ist. Sie führen dazu, dass Spitäler, Praxen und andere Gesundheitseinrichtungen (wie alle Unternehmen) heute gewaltige Anstrengungen für die IT-Sicherheit unternehmen müssen – neben technischen Massnahmen wie Endpoint Security beispielsweise in die Schulung und Sensibilisierung der Mitarbeitenden.

Der nächste Schritt: ein vom Internet getrennter HIN Vertrauensraum

Eine hohe Verfügbarkeit und Geschwindigkeit der Datenkommunikation ist für zuverlässige digitale Gesundheitsdienstleistungen essenziell. Gleichzeitig sind Daten, Kommunikation und Netzwerke immer mehr Angriffen ausgesetzt, die darauf abzielen, kritische Infrastrukturen zu destabilisieren. Um die Grundpfeiler des digitalen Gesundheitswesens, nämlich Daten und Konnektivität, weiter zu stärken, schafft HIN ab 2023 einen vom öffentlichen Internet getrennten, sicheren digitalen Raum für Gesundheitsfachpersonen, Institutionen und Anwendungen: den HIN Vertrauensraum (HVR).Der HIN Vertrauensraum basiert auf der SCION-Technologie, einem an der ETH Zürich entwickelten, neuartigen Netzwerkprotokoll. Der HVR ist eine eigenständige Isolation Domain (ISD) mit eigener Trust Root Configuration (TRC). Damit kommt im HIN Vertrauensraum die gleiche Technologie zum Einsatz, mit der auch der Schweizer Finanzsektor seine kritische Infrastruktur absichert (siehe Secure Swiss Finance Network SSFN). HIN gibt die für die Teilnahme notwendigen Zertifikate heraus und ermöglicht es damit einem genau definierten Nutzerkreis innerhalb der HIN Community, Daten miteinander auszutauschen.

Ein «privates Internet» für das Schweizer Gesundheitswesen

Mit SCION kombiniert der HIN Vertrauensraum die Vorteile von privaten und öffentlichen Netzwerken. Er ist robust gegenüber Ausfällen und Angriffen, da zu jedem Zeitpunkt der Zustand jeder möglichen Verbindung bekannt ist. Fällt die aktuell genutzte Verbindung aus, wird regelbasiert automatisch eine alternative Verbindung aktiviert. Der Datenaustausch wechselt unterbruchfrei auf die neue Verbindung. Da die Datenpakete für Aussenstehende nicht sichtbar übertragen werden, können sie auch nicht abgefangen, umgeleitet oder manipuliert werden.Auf diese Weise ermöglicht es der HVR, dass eine Gesundheitseinrichtung kritische Dienste – etwa vernetzte medizinische Geräte und Applikationen – mit einer noch nie dagewesenen Verfügbarkeit und Verlässlichkeit betreiben kann. Indem der Datenverkehr via HVR auf bekannte Benutzer beschränkt ist, die den Teilnahmebedingungen entsprechen müssen, wird die Angriffsfläche massiv reduziert, da kriminelle Elemente effektiv ausgeschlossen werden können und beispielsweise internationalen Cyberbanden kein Zutritt zu diesem «privaten Internet» gewährt wird.Der HVR wurde im zweiten Halbjahr 2022 technisch realisiert. Ab Frühjahr 2023 sollen alle HIN Einzelmitglieder auf durch den HVR geschützte kritische digitale Dienste und Anwendungen zugreifen. Anbieter von Diensten und Anwendungen können ab jetzt eine HVR-Mitgliedschaft beantragen.Mehr über den HIN Vertrauensraum und die SCION-Technologie lesen Sie in unserem Fokus-Beitrag.