vivates: E-Health-Plattform setzt auf Airlock WAF und IAM

Die Schweizerische Post verteilt nicht nur Briefe und Pakete. Immer mehr wird sie zur Gesamtdienstleisterin, wenn es um den zuverlässigen, wertsteigernden und nachhaltigen Transport von Informationen geht. Vor diesem Hintergrund hat sich die Post vor einigen Jahren zum Ziel gesetzt, ein E-Health-System aufzubauen, mit dem Patientendaten sicher zwischen verschiedenen Akteuren im Gesundheitssystem ausgetauscht werden können. Damit die Sicherheit der heiklen Daten jederzeit gewährleistet ist, setzt die Schweizerische Post bei ihrem E-Health-System Vivates auf die Airlock Suite von Ergon.

Sichere Patientendaten

Ein Patient bewegt sich oft zwischen verschiedenen Leistungserbringern. So hat er beispielsweise einen Hausarzt, der ihn zu einem Spezialisten überweist. Dieser stellt fest, dass ein chirurgischer Eingriff nötig ist – der Patient muss ins Spital. Heute ist es oft so, dass der Patient seine Informationen, zum Beispiel Röntgenaufnahmen, selber von einem Arzt zum nächsten tragen und immer wieder die gleichen Fragen und Untersuchungen über sich ergehen lassen muss. Ein Patientendossier, in das jeder behandelnde Arzt Einsicht hat und Untersuchungsergebnisse eintragen kann, erleichtert den Prozess.

Allerdings sind Patientendaten heikel: Niemand will, dass jeder seine Krankengeschichte nachlesen kann. In Europa gelten Patientendaten deshalb als «besonders schützenswert» – das bedeutet, die Sicherheitsanforderungen sind höher als bei Banken: Der Zugriff für jeden Akteur muss einzeln freigegeben werden. Die Autorisierung erfolgt entweder durch den Patienten oder nach dem Zuweisungssystem: Jeder der Dokumente ins Dossier legt, definiert zugleich, an wen die Dokument gerichtet sind und autorisiert so implizit den Adressaten.

Zugriff im Notfall

Sicherheit im Gesundheitswesen bedeutet aber nicht nur die Sicherstellung der Vertraulichkeit. Ist ein Notfall da, muss der Arzt unbedingt schnellen Zugriff auf die relevanten Patientendaten haben. Sonst kann es unter Umständen fatale Folgen für den Patienten haben: Erhält beispielsweise jemand ein Medikament, auf das er allergisch ist, kann dies einen gefährlichen allergischen Schock auslösen. Doch auch dafür bietet Vivates eine Lösung: Der Arzt kann einen Notfall deklarieren und erhält dann für eine begrenzte Zeitdauer Zugriff auf die Daten. Um Missbrauch zu verhindern, werden sowohl der Patient als auch sein Vertrauensarzt aber gleichzeitig alarmiert.

Flexibler Authentisierungslayer

Das E-Health-System Vivates wurde in vier Gemeinden im Kanton Genf getestet und im Jahr 2013 auf weitere Kantone ausgeweitet. Bald zeigte sich, dass die verwendete Authentifizierungslösung zwar die nötige Sicherheit bot, aber bei künftigen Anforderungen an Flexibilität und Verwaltbarkeit an seine Grenzen kam. Aufgrund des föderalistischen Systems der Schweiz hat jeder Kanton leicht andere Gesetze – die Verwaltung der verschiedenen Instanzen wurde schlicht zu aufwendig. «Unser System muss einfach skalierbar sein, da jeder Kunde eine neue Umgebung und damit auch neue oder geänderte Anforderungen mit sich bringt. Wir können folglich den Authentisierungslayer nicht bei allen Kunden identisch installieren, sondern wir müssen individualisierte Konfigurationen bereits stellen können. Hier hilft eine automatisierte Verwaltung», sagt Michael Doujak, Leiter Entwicklung vivates bei der Post.

Spitäler und Gesundheitsorganisationen haben gewöhnlich bereits ein eigenes Identifikationstoken – sei dies SuisseID, IDP oder ein proprietäres System. Für das Patientendossier sollte jede Organisation bei seinem Token bleiben können. «Wir verwenden hier den Begriff transitives Vertrauen. Der Gesundheitssektor kennt seine Mitarbeiter und managt den Zugriff – es ist also keine Duplikation der Identifikation nötig», erklärt Michael Doujak.

Zudem sind ganz unterschiedliche Akteure beteiligt – vom grossen Spital mit eigener IT-Abteilung über kleinere Organisationen wie Apotheken bis hin zu Einzelpersonen, dem selbständigen Arzt oder aber auch dem Patienten. Alle müssen Zugang zum System haben. Auch waren die Anforderungen an das Design hoch – die Landing Page musste nicht nur ansprechend und einfach zu bedienen sein, sie sollte sich auch je nach Anforderung anpassen.

Plug-In-Tauglichkeit überzeugt

Nachdem die Post verschiedene Schweizer Anbieter geprüft und ihre Technik getestet hatte, fiel die Wahl auf die Airlock Suite von Ergon. Ausschlag gab zum einen die hohe Plug-In-Tauglichkeit mit verschiedensten Identifikationssystemen, die Ergon bereits in vergangenen Projekten beweisen konnte. So konnte die Kompatibilität sichergestellt werden.

Zum anderen sprach für die Airlock Suite auch die einfache Administration, die flexible Handhabung verschiedener Konfigurationen und die Fähigkeit, Upgrades (speziell auch für Security Patches) im laufenden Betrieb ausrollen zu können. Airlock WAF dient dabei als Authentisierungslayer gegenüber den Patienten, Ärzten, Dienstleistern und Administratoren. Airlock IAM managt die Identitäten. Die Trennung von Authentisierung und Identity Propagation ermöglicht eine hohe Flexibilität beim Zugriff.

Ergon betrat mit dem E-Health-Projekt Neuland: Spezifische Anforderungen aus dem Gesundheitsbereich brachten spezielle Herausforderungen. So gab es einige externe Nicht-Standard-IDPs, die es zu integrieren galt, wie beispielsweise OFAC. «Viele Anwendungen tauchten hier zum ersten Mal für uns auf», sagt Adrian Berger, Abteilungsleiter bei Ergon. «Beispiele sind die Vertretung von nicht zurechnungsfähigen Personen; das Dual Carding, wodurch zwei SSL-Sessions gleichzeitig laufen können müssen oder eben die Notfälle, bei denen bestimmte Daten sofort zur Verfügung stehen müssen.»

On time, on budget

Der Zeitplan der Entwicklung war trotz des komplexen Themas eng: Im März 2013 war die Ausschreibung des Projekts, im Mai startete die Evaluation – und Ende 2013 musste die alte Sicherheitsplattform bereits abgelöst sein. Um diesen engen Zeitplan zu halten, wurde das Projekt in zwei Phasen aufgeteilt. Die erste Phase, die termingerecht und im Budget im Dezember 2013 abgeschlossen wurde, hatte einen reduzierten Scope bei den Authentifizierungstoken; erst die Smart-Card wurde realisiert. In der zweiten Phase wurden zahlreiche weitere Authentifizierungslösungen integriert. «Es sind mehr, als wir zunächst projektiert hatten», sagt Michael Doujak. «Trotzdem konnten wir auch diese Phase on time und on budget abschliessen – das ist selten bei so grossen Informatikprojekten.» Ganz abgeschlossen ist die Entwicklung aber noch nicht: «Je weiter wir das Dossier ausrollen, desto mehr Anforderungen kommen hinzu», so Doujak weiter.