Die ITC-Patientenapp und RITA sind als Web-Applikation ausgelegt.
Die Patientenapp wird auf dem Homescreen von Mobilgeräten installiert und wie eine "normale" App bedient. Da aus Sicherheitsgründen keine App-Daten auf dem Gerät abgelegt werden, ist für die Nutzung eine Verbindung zum Internet erforderlich - die heute so gut wie jedes Gerät hat.
•Die App ist auf allen populären Plattformen einsetzbar - mobil (Android, iOS) und Desktop (Windows, macOS, Linux).
•Sie kann ohne den aufwändigen Weg über die App Stores direkt auf dem Homescreen installiert werden.
•Die App ist automatisch immer aktuell und passt exakt zur eingesetzten EMIL-Version, da sie im Zuge der System-Updates mit aktualisiert wird.
Die Installation auf dem Homescreen bzw. dem Desktop - je nach Plattform - ist mit wenigen Schritten erledigt.
RITA bietet die Möglichkeit, über das Web beauftragte Item-Sets an Tablets und Desktops auszufüllen. Auch hier werden keine Daten lokal auf dem Gerät abgelegt.
Das Sicherheitskonzept
Die Patienten-App und RITA kommunizieren nicht direkt mit dem EMIL-Server der Einrichtung. Den Server mit Patientendaten direkt zum Internet zu öffnen wäre datenschutzrechtlich hochriskant. Stattdessen erfolgt der Datenaustausch über ein spezielles Gateway.
Das Grundproblem: offene Ports sind angreifbare Türen
In der klassischen Architektur müsste die Einrichtung einen Port nach außen öffnen, damit eine App von außen den Server erreichen kann. Ein offener Port ist im Grunde wie eine Tür ins interne Netz, die vom Internet aus angefasst werden kann. Hacker scannen das Internet systematisch nach genau solchen Türen, um Schwachstellen in den dahinterliegenden Diensten auszunutzen - die Häufigkeit schwerer Sicherheitsvorfälle in den letzten Jahren zeigt deutlich, wie real dieses Risiko ist.
Beim normalen Surfen oder beim Abrufen von E-Mails braucht Ihr Router übrigens keine eingehenden Türen: Ihr Gerät baut die Verbindung selbst auf, der Antwortverkehr läuft auf diesem von innen geöffneten Pfad zurück, und die Tür schließt sich danach sofort wieder. Eingehende Ports sind erst dann nötig, wenn man Dienste für die Allgemeinheit bereitstellen möchte - etwa einen Webserver für eine Website. Für eine geschlossene Kommunikation zwischen App und Praxis ist eine solche dauerhaft offene Tür ein vermeidbares Risiko.
Auch eine DMZ (Demilitarisierte Zone) löst das Problem nicht: Sie ist ein Netzwerkbereich, der sowohl vom Internet als auch vom internen Netz erreichbar ist - geeignet für einfache Webserver, ungeeignet für sensible medizinische Daten. Und auch Provider-Lösungen, die im Rechenzentrum eine App bereitstellen, brauchen am Ende meist doch einen Zugang in die Praxis hinein, sodass das Türen-Problem nur räumlich verlagert wird.
Die Lösung: das Gateway als neutraler Treffpunkt
Das ITC-Gateway ist ein Server, der im Internet öffentlich erreichbar ist. Sowohl der EMIL-Server der Einrichtung als auch das mobile Endgerät verbinden sich aktiv von innen nach außen mit diesem Gateway. Das Gateway führt die beiden Verbindungen zusammen und reicht die Daten verschlüsselt durch.
Daraus ergeben sich drei Eigenschaften, die das Sicherheitsniveau erheblich anheben:
•Keine eingehende Tür in die Einrichtung. Weil beide Seiten - Server und Endgerät - die Verbindung selbst aufbauen, muss die Firewall der Einrichtung keinen einzigen Port nach außen öffnen. Aus dem Internet betrachtet ist das Netz der Einrichtung schlicht nicht ansprechbar; es gibt nichts, was ein Angreifer von außen anklopfen könnte.
•Das Gateway speichert keine Daten ("Zero Knowledge"). Es ist ein Durchlauferhitzer, kein Datenspeicher: Pakete kommen verschlüsselt herein und gehen verschlüsselt weiter. Selbst wenn das Gateway selbst kompromittiert würde, gäbe es dort keinen Bestand an Patientendaten, der gestohlen werden könnte - und das Gateway versteht die Inhalte ohnehin nicht.
•Das Gateway kann die Einrichtung nicht erreichen. Der Verbindungsaufbau läuft ausschließlich von der Einrichtung zum Gateway, nie andersherum. Damit ist das Gateway auch als Sprungbrett für Angreifer wertlos - selbst wer es übernehmen würde, käme von dort nicht in das Netz der Einrichtung.
Mit anderen Worten: Es gibt keine offene Tür mehr, die ein Hacker im Internet finden und mit etwas Geduld aufbrechen könnte. Die größte Angriffsfläche herkömmlicher Architekturen - der dauerhaft erreichbare Port der Einrichtung - entfällt konstruktiv. Die Datenhoheit bleibt physisch und logisch in der Einrichtung; das Gateway sieht nie Klartext.
Wie ein Sicherheitsgurt im Auto bietet auch diese Architektur keinen hundertprozentigen Schutz gegen jede denkbare Bedrohung - aber sie eliminiert die in der Praxis mit Abstand häufigste Angriffsvariante konsequent.