Gewährleistung der End-to-End Security in telemedizinischen ...

Aus dem Institut für Informationssysteme des Gesundheitswesens
Gewährleistung der End-to-End Security in
telemedizinischen Befundnetzwerken
Masterarbeit
zur Erlangung des Titels
„Master of Science Medizinische Informatik“
der Privaten Universität für Medizinische Informatik und Technik Tirol
vorgelegt von
Florian Wozak, Dipl.Ing.(FH)
aus
Salzburg
Innsbruck, 2004

Betreuer und erster Referent: Univ.-Prof. Dr. Reinhold HAUX
Zweiter Referent: Univ.-Prof. Dr. Hans-Jörg SCHEK
Annahme durch Prüfungssekretariat am von

Inhaltsverzeichnis
1 ZUSAMMENFASSUNG ....................................................................................................................... 1
2 EINLEITUNG........................................................................................................................................ 4
2.1 GEGENSTAND UND MOTIVATION .................................................................................................... 5
2.2 PROBLEMSTELLUNG........................................................................................................................ 7
2.3 ZIELSETZUNG.................................................................................................................................. 8
2.4 FRAGESTELLUNG ............................................................................................................................ 9
3 GRUNDLAGEN................................................................................................................................... 10
3.1 BEGRIFFSDEFINITIONEN ................................................................................................................ 10
3.1.1 Telemedizin.............................................................................................................................. 10
3.1.2 Befundnetzwerke...................................................................................................................... 11
3.1.3 End-to-End Security ................................................................................................................ 11
3.1.4 Klinisches Informationssystem (KIS)....................................................................................... 12
3.2 RECHTLICHE GRUNDLAGEN .......................................................................................................... 12
3.2.1 Österreichisches Datenschutzgesetz........................................................................................ 12
3.2.2 MAGDA-LENA Richtlinien...................................................................................................... 13
3.2.3 Österreichisches Signaturgesetz.............................................................................................. 14
3.2.4 Internationale Richtlinien und Empfehlungen......................................................................... 15
3.3 VERWANDTE ARBEITEN ZUR THEMATIK....................................................................................... 16
3.4 TECHNISCHE GRUNDLAGEN .......................................................................................................... 17
3.4.1 Architekturen klinischer Informationssysteme......................................................................... 17
3.4.2 Netzwerkprotokolle.................................................................................................................. 18
3.4.3 Kryptographische Algorithmen zur Gewährleistung der Datensicherheit .............................. 25
3.4.4 Biometrie ................................................................................................................................. 34
4 METHODEN........................................................................................................................................ 37
4.1 5 STUFEN METHODE ZUR VORGEHENSPLANUNG........................................................................... 37
4.2 ABUSE CASE MODELLS................................................................................................................. 38
4.2.1 Use Cases ................................................................................................................................ 38
4.2.2 Abuse Cases............................................................................................................................. 39
5 ERGEBNISSE...................................................................................................................................... 41
5.1 MODELLBASIERTE GEFAHRENANALYSE IN TELEMEDIZINISCHEN NETZWERKEN........................... 41
5.1.1 Allgemeine Abuse Cases in telemedizinischen Netzwerken ..................................................... 42
5.2 EXPERIMENTELLER NACHWEIS VON SICHERHEITSLÜCKEN ........................................................... 59
5.2.1 Ziel der Messung ..................................................................................................................... 59
5.2.2 Messaufbau.............................................................................................................................. 59

Abbildungsverzeichnis Seite I
5.2.3 Durchführung und Auswertung der Messung (ARP Cache Poisoning Attack)........................ 61
5.2.4 Bewertung der Messergebnisse ............................................................................................... 65
5.3 MAßNAHMEN ZUR GEWÄHRLEISTUNG DER SICHERHEIT IN BEFUNDNETZWERKEN........................ 66
5.3.1 Übertragungssicherheit........................................................................................................... 66
5.3.2 Authentifizierungsverfahren .................................................................................................... 72
5.3.3 Systemsicherheit ...................................................................................................................... 83
6 DISKUSSION....................................................................................................................................... 86
6.1 DISKUSSION DER METHODEN........................................................................................................ 86
6.2 DISKUSSION DER ERGEBNISSE....................................................................................................... 87
6.3 ZUSAMMENFASSENDE BETRACHTUNGEN...................................................................................... 92
7 LITERATUR VERZEICHNIS...........................................................................................................94

Abbildungsverzeichnis Seite II
Abbildungsverzeichnis
ABB. 1: INTERNET NUTZUNG IN EUROPA VON 1999 BIS 2002............................................................................. 4
ABB. 2: TCP HEADER. ..................................................................................................................................... 19
ABB. 3: KLARTEXT PAYLOAD AM BEISPIEL VON HTTP. .................................................................................. 23
ABB. 4: ABUSE CASE DIAGRAM MAL WARE.................................................................................................... 44
ABB. 5: ABUSE CASE DIAGRAM SCRIPT KIDDIE............................................................................................... 47
ABB. 6: ABUSE CASE DIAGRAM SABOTEUR. .................................................................................................... 50
ABB. 7: ABUSE CASE DIAGRAM SNIFFING ATTACKER. .................................................................................... 53
ABB. 8: ABUSE CASE DIAGRAM INTRUDER...................................................................................................... 57
ABB. 9: MESSAUFBAU MAN-IN-THE-MIDDLE ATTACK.................................................................................... 60
ABB. 10: ORIGINALER ARP CACHE VON FTP CLIENT...................................................................................... 61
ABB. 11: ORIGINALER ARP CACHE VON FTP SERVER..................................................................................... 61
ABB. 12: ARP CACHE POISONING.................................................................................................................... 62
ABB. 13: ARP CACHE VON FTP CLIENT NACH ERFOLGREICHER ARP CACHE POISONING ATTACKE............... 63
ABB. 14: ARP CACHE VON FTP SERVER NACH ERFOLGREICHER ARP CACHE POISONING ATTACKE.............. 63
ABB. 15: SNIFFING DURCH MAN-IN-THE-MIDDLE. .......................................................................................... 65
ABB. 16: FINGERPRINT KLASSIFIKATION. ........................................................................................................ 76
ABB. 17: MINUTIAE EXTRAKTION AUS EINEM FINGERPRINT. ........................................................................... 77
ABB. 18: ALIGNMENT UND MATCHING DER MINUTIAE EINES FINGERPRINTS................................................... 77
ABB. 19: IRIS LOKALISIERUNG......................................................................................................................... 79
ABB. 20: OPTIMIERUNGSPROZESS SYSTEMSICHERHEIT.................................................................................... 84

Tabellenverzeichnis Seite III
Tabellenverzeichnis
TABELLE 2.1: BEDEUTENDE SYMMETRISCHE ALGORITHMEN INKLUSIVE GÄNGIGER SCHLÜSSELLÄNGEN. ...... 27
TABELLE 4.1: ACTOR DESCRIPTION MALWARE ............................................................................................... 43
TABELLE 4.2: ABUSE CASE DESCRIPTION MALWARE ...................................................................................... 45
TABELLE 4.3: ACTOR DESCRIPTION SCRIPT KIDDIE......................................................................................... 46
TABELLE 4.4: ABUSE CASE DESCRIPTION SCRIPT KIDDIE................................................................................ 48
TABELLE 4.5 ACTOR DESCRIPTION SABOTEUR ................................................................................................ 49
TABELLE 4.6: ABUSE CASE DESCRIPTION SABOTEUR ...................................................................................... 51
TABELLE 4.7: ACTOR DESCRIPTION SNIFFING ATTACKER ............................................................................... 52
TABELLE 4.8: ABUSE CASE DESCRIPTION SNIFFING ATTACKER ...................................................................... 54
TABELLE 4.9: ACTOR DESCRIPTION INTRUDER ................................................................................................ 56
TABELLE 4.10: ABUSE CASE DESCRIPTION INTRUDER ..................................................................................... 58
TABELLE 4.11: EVALUIERUNG DER THEORETISCHEN ANWENDBARKEIT VON MED KEY FÜR HEALTH@NET
BENUTZERAUTHENTIFIZIERUNG. ............................................................................................................ 75
TABELLE 4.12: EVALUIERUNG DER THEORETISCHEN ANWENDBARKEIT VON BIO WEB SERVER FÜR
HEALTH@NET BENUTZERAUTHENTIFIZIERUNG...................................................................................... 82
TABELLE 4.13: EVALUIERUNG DER THEORETISCHEN ANWENDBARKEIT VON SECURECAM FÜR HEALTH@NET
BENUTZERAUTHENTIFIZIERUNG. ............................................................................................................ 83

Zusammenfassung Seite 1
1 Zusammenfassung
In den letzten Jahren hat eine Entwicklung zum verstärkten Einsatz moderner Kommunikationstechnologien
in vielen Bereichen der Medizin begonnen. Die Übertragung medizinischer
Daten ist jedoch über öffentliche Netzwerke, wie das Internet, ohne zusätzliche Sicherheitsmassnahmen
datenschutzrechtlich überaus bedenklich. Aus diesem Grund fordern nationale
und internationale Gesetze und Richtlinien Maßnahmen zur Gewährleistung der Datensicherheit.
Die Übertragung medizinischer Daten erfordern als End-to-End Security bezeichnete Maßnahmen
zur Gewährleistung der Datensicherheit vom Ursprungspunkt der Kommunikation bis
zu deren Endpunkt. End-to-End Security umfasst Datensicherheit, Authentifikation und Systemsicherheit.
Kryptographische Erweiterungen der Netzwerkübertragungsprotokolle gewährleisten
Datensicherheit, Authentifizierungsverfahren wie Token-basierte oder biometrische
Methoden ermöglichen eine sichere Zugriffskontrolle. Durch Maßnahmen zur Gewährleistung
der Systemsicherheit sollen Manipulationen der am Datentransfer beteiligten Systeme verhindert
werden.
Auf Abuse Cases basierende Modelle erlauben die Abschätzung des Gefährdungspotentials in
telemedizinischen Netzwerken, dabei wird zwischen ungezielten, automatisierten Angriffen
und gezielten, zum Zweck des Missbrauchs medizinischer Daten ausgeführten Angriffen unterschieden.
Die aufgestellten Modelle sind allgemein gehalten und können somit beim Auftreten
neuer Angriffstypen beliebig erweitert und adaptiert werden. Gegenmaßnahmen zu den aufgeführten
Netzwerkattacken lassen sich direkt aus den Modellen ableiten. Der experimentelle
Nachweis theoretisch möglicher Attacken liefert erweiterte Informationen über das bestehende
Gefährdungspotential. An einem Testnetzwerk konnte die bedingte Durchführbarkeit von
Man-In-The-Middle Attacks in Switched Ethernet Umgebungen nachgewiesen werden.
Die Gewährleistung der End-to-End Security erfordert die Integration aller sicherheitstechnischer
Verfahren in ein Gesamtsicherheitskonzept. In den untersuchten Projekten (health@net,
EUROMED-ETS und „Trustworthy Health Telematics“) kann allgemein von einer den Richtlinien
entsprechenden Implementation kryptographischer Verfahren zur Gewährleistung der
Datensicherheit ausgegangen werden. Die Integration von Authentifizierungsverfahren erscheint
ebenfalls bereits umgesetzt, wobei Passwort-basierte Verfahren auf Grund mangelnder
Sicherheit durch Token-basierte oder biometrische Verfahren ersetzt werden sollten. Als bislang
ungelöst gilt jedoch die Integration der Systemsicherheit in bestehende Sicherheitskon-

Zusammenfassung Seite 2
zepte. Der Umsetzung von Maßnahmen zur Gewährleistung der End-to-End Security wird
jedoch in Zukunft zum Schutz persönlicher medizinischer Daten eine entscheidende Rolle zukommen.
Der Trend zum Einsatz verteilter Systeme zur Verarbeitung und Speicherung medizinischer
Daten erfordert neben einer eindeutigen Patientenidentifikation die Implementation zusätzlicher
Verfahren zur Benutzerautorisierung. Ein Grossteil der in diesem Rahmen auftretenden
Probleme gilt bislang als ungelöst: Als zentrale Aufgabenstellung weiterführender Arbeiten ist
hierbei die Schaffung eines Berechtigungskonzeptes zu sehen, welches authentifizierten Benutzern
ausschließlich Zugriff auf die für ihre Arbeit benötigten Dokumente gewährt. Rollenund
Kontext-basierte Autorisierungsverfahren könnten einen Ansatz zur Integration automatisiert
erstellten Zugriffsberechtigungen in die Sicherheitsinfrastruktur verteilter Systeme bilden.
Eine absolute Sicherheit in telemedizinischen Netzwerken kann – und wird auch in Zukunft –
vermutlich niemals erreicht werden. Es besteht jedoch kein Zweifel, dass durch den Einsatz
von Verfahren zur Gewährleistung der End-to-End Security eine wesentlich höhere Sicherheit
erreicht werden kann, als der papierbasierte Befundversand zur Zeit bietet.

Zusammenfassung Seite 3
Abstract
The interconnection of medical networks has constantly been increasing over the past few
years. Transferring medical data over potentially insecure public networks is considered as
violation of data privacy, so national and international privacy policies have been developed
with the objective to protect personal data form unauthorized access.
End-to-End security was introduced as a concept to integrate security measures to reach the
aim of protecting information from point of origin to point of destination. End-to-End security
comprises data security, authentication and system security. Data security and integrity can be
obtained by implementing cryptographic algorithms, authentication techniques such as tokenbased
or biometric methods provide secure access control and system security prevents client
and server systems from being compromised by malicious users or software.
Abuse Case based security models are introduced for analyzing the threat potential in telemedical
networks originating from practicable network attacks. By the experimental execution
of attacks more detailed information about possible security threats was obtained. Results have
proven the possibility of Man-In-The-Middle Attacks in switched Ethernet environment under
certain conditions.
The conformance to End-to-End security requirements demands the creation of a holistic security
concept integrating currently available technologies. The major problem of upcoming distributed
system architectures can be considered as authorization. Further work on role- and
content based access control methods could offer a solution to this specific problem.
In spite of the fact that absolute security for electronic medical data exchange will presumably
never be achieved, the implementation of end-to-end security measures can offer a much
higher level of security than the paper based transfer of medical records currently does.

Einleitung Seite 4
2 Einleitung
Die ständige Weiterentwicklung der Kommunikationstechnologien in den letzen Jahren hat in
vielen Bereichen eine globale Vernetzung ermöglicht. Ein Anstieg der regelmäßigen europäischen
Internet Benutzer um 24% innerhalb von zwei Jahren (1999 – 2001) belegt dies deutlich,
wie in Abb. 1 erkennbar ([1]).
70,00%
60,00%
50,00%
40,00%
30,00%
20,00%
10,00%
0,00%
1999
Anteil der Internet-Nutzer in Europa
19,00%
2001
43,00%
2006
67,00%
Internet Nutzer in
Prozent der
europäischen
Bevölkerung über
16 Jahre
Abb. 1: Internet Nutzung in Europa von 1999 bis 2002.
Auf der X-Achse ist der zeitliche Verlauf in Jahren erkennbar, die Säulen repräsentieren den Anteil
der regelmäßigen Internet Nutzer über 16 Jahre in Prozent. Nähere Erläuterungen im Text.
Quelle: Robben M. Internetnutzung in Europa – ein Puzzle mit 1000 Teilen? ([1]).
Technologische Fortschritte machen internetbasierte Kommunikationsdienste zu einem hoch
verfügbaren Medium mit steigender Übertragungsbandbreite und geringem Kostenaufwand.
Obwohl im medizinischen Sektor die Akzeptanz neuer Technologien erfahrungsgemäß geringer
als in anderen Bereichen wie Wirtschaft und Technik ist, hat die Nachfrage nach einem
vernetzten Informationsaustausch für medizinische Anwendungen in den letzten Jahren stark
zugenommen. Telemedizinische Dienste können eine ortsunabhängige – sogar weltweite –
Interaktion und Kommunikation zwischen Ärzten untereinander und mit Patienten ermögli-

Einleitung Seite 5
chen. Ein Aspekt dient der Vereinfachung im Austausch von Befunden und multimedialen
medizinischen Daten zwischen den einzelnen Institutionen. Einzelne Fachgruppen benutzen zu
deren Vernetzung internetbasierte Kommunikationsdienste. Auch in Österreich ist die Anzahl
telemedizinischer Einrichtungen stark angestiegen.
Die Anwendungsgebiete sind vielschichtig und reichen von einem lokalen Zusammenschluss
einzelner Arztpraxen bis zur Vernetzung überregionaler Krankenanstalten. Die Tendenz zum
Einsatz elektronischer Kommunikationsverfahren im Gesundheitswesen ist stark steigend, innerhalb
der nächsten zehn Jahre wird vermutet, dass der Einsatz des elektronischen Datenaustausches
auf über 80% ansteigen wird [2].
Der durch Einsatz moderner Technologien vereinfachte und beschleunigte Austausch medizinischer
Daten kann zu einer deutlichen Verbesserung der Patientenversorgung beitragen [3].
Auf der anderen Seite handelt es sich bei medizinischen Daten um streng vertrauliche Informationen
mit hohem Missbrauchspotenzial [4]. Österreichweit und international existieren Gesetze
und Richtlinien zum Schutz patientenbezogener Daten. Neben der Zielsetzung, eine Qualitätssteigerung
der Patientenversorgung durch den Einsatz moderner Kommunikationstechniken
zu erreichen, ist der Schutz persönlicher Daten von essentieller Bedeutung.
2.1 Gegenstand und Motivation
Die Bedeutung telemedizinischer Dienste sowohl für Diagnostik und Therapie als auch für die
Finanzierung von Gesundheitseinrichtungen wird in der Literatur mehrfach hervorgehoben [5].
Obwohl internetbasierte Kommunikationstechnologien einen effizienten Informationsaustausch
zwischen Ärzten, Pflegepersonal und Forschungseinrichtungen ermöglichen, kann eine
sichere Datenübertragung nicht automatisch gewährleistet werden. Den Hauptgrund dafür bildet
das Design der für die Datenübertragung im Internet zuständigen Protokolle. Voraussetzung
für das Zustandekommen einer Kommunikationsverbindung sind die Protokolle TCP
(Transmission Control Protocol) [6] und IP (Internet Protocol) [7]. Zweitgenanntes bildet die
Grundlage der paketorientierten Kommunikation zwischen den Systemen; wobei erstgenanntes
die Empfangsreihenfolge der Datenpakete sicherstellt und verloren gegangene Pakete gegebenenfalls
erneut anfordert.
Die Entwicklung der beiden Protokolle erfolgte vor über 20 Jahren, jedoch ohne Berücksichtigung
des Sicherheitsaspektes, die übertragenen Daten hinreichend gegen unbefugten Zugriff
und gegen Manipulation zu schützen [8].

Einleitung Seite 6
Die Standardprotokolle bieten außerdem keine Möglichkeit, den Kommunikationspartner eindeutig
zu identifizieren.
“In ‘The Good Old Days’ of the ARPANET, most computer users knew each other, and
trusted each other. It was in this environment that the Internet we now depend on was
developed.
Unfortunately, those days are gone. We now work on an Internet which is inhabited by
many varieties of hackers, by computers which maintain different levels of security, and
by a constantly changing series of threats to the security of our computers” [9]. Anmerkung:
Das ARPANET entstand als Vorläufer des heutigen Internets.
Verdeutlicht wird dies durch die überdurchschnittlich hohe Anzahl schwerer und gezielter
Netzwerkattacken auf Gesundheitsorganisationen [10].
Ohne zusätzliche Sicherheitsmaßnahmen würde eine Übertragung von medizinischen Daten
über das Internet – ein potentiell unsicheres Netzwerk – keinen der gesetzlichen Mindestanforderungen
zum Schutz persönlicher Daten entsprechen. Zur Gewährleistung dieser Anforderungen
kommen spezielle kryptographische Verfahren zum Einsatz, um die Kommunikationspartner
eindeutig zu identifizieren und die Integrität der übertragen Daten zu sichern.
Zur Kompensation der genannten Schwachpunkte implementieren die gängigsten Kommunikationsprotokolle
verbreitete kryptographische Verfahren, um die Datensicherheit während der
Übertragung zu gewährleisten. Unabhängig vom eingesetzten Protokoll werden durch kryptographische
Algorithmen die drei Voraussetzungen einer sicheren Übertragung geschaffen.
♦ Durch Zertifikate kann die Authentizität von Sender und Empfänger garantiert werden.
♦ Durch Verschlüsselung wird die Nachricht vor unbefugten, Zugriffen geschützt.
♦ Mittels digitaler Signatur wird einerseits sichergestellt, dass keine Daten während der
Übertragung manipuliert wurden, andererseits wird es durch die Signatur möglich, den
Urheber einer Nachricht eindeutig zu ermitteln.
Der Zukunftstrend geht stark in Richtung sicherer Übertragungsverfahren ([2]). Nach einem
Zeitraum von zehn Jahren sollte es praktisch zu keinem unverschlüsselten Austausch von medizinischen
Daten mehr kommen. Über 90% des Informationsaustausches findet über verschlüsselte
Verbindungen statt, mehr als 80% der elektronischen Dokumente werden mit einer
digitalen Signatur versehen [2].

Einleitung Seite 7
Seit Mitte 2003 wurde im Rahmen des health@net Projektes mit der Entwicklung eines Webportals
zum elektronischen Befundaustausch zwischen niedergelassenen Ärzten und der Universitätsklinik
Innsbruck begonnen. Der webbasierte Zugriff auf Befunde soll niedergelassenen
Ärzten eine einfache, schnelle und sichere Möglichkeit bieten, Befunde der von ihnen behandelten
Patienten abzurufen. Arztbriefe werden im Rahmen eines Spitalaufenthaltes erstellt und
in weiterer Folge für die niedergelassenen Ärzte in elektronischer Form zur Verfügung gestellt.
Momentan basiert die elektronische Befundübermittlung auf proprietären Systemen, welche
zum Beispiel ähnlich dem E-Mail Dienst die angeforderten Befunde im elektronischen Postfach
des Arztes ablegen. Von dort können die Befunde mittels spezieller Client Programme
abgeholt und in das Ordinationssystem übertragen werden. Die im Paragraph 14 des Datenschutzgesetzes
geforderte sichere Übertragung wird durch starke Kryptographie gewährleistet.
2.2 Problemstellung
Zur Zeit ist unklar, unter welchen Voraussetzungen bei telemedizinischen Projekten eine sichere
Authentifizierung der Kommunikationspartner, sowie eine digitale Signatur wirkungsvoll
eingesetzt werden kann, um den im Datenschutzgesetz geforderten und von der MAGDA-
LENA Richtlinie empfohlenen Sicherheitsstandard bei der elektronischen Übertragung von
Patientendaten zu gewährleisten.
Bei dem im Auf- und Ausbau befindlichen Befundportal ergeben sich folgende Sicherheitsbedenken:
♦ Für das Webportal existieren zur Zeit keine Richtlinien für Verschlüsselung und Signatur
der versendeten Dokumente.
♦ Eine Authentifizierung der Kommunikationspartner ist derzeit nur ansatzweise über so
genannte sichere Server Zertifikate (SSL / TLS) gelöst (Vergleiche Abschnitt 5.3.1.1).
Eine eindeutige personbezogene Identifikation ist zum jetzigen Stand noch nicht gegeben.
♦ Der Urheber von Dokumenten ist derzeit nicht eindeutig mittels digitaler Signatur feststellbar.
♦ Momentan existieren noch keine Möglichkeiten, Befunde so zu verschlüsseln, dass sie
selbst nach erfolgter gesicherter Übertragung nur von dem befugten Arzt geöffnet werden
können.

Einleitung Seite 8
♦ Zur Zeit ist noch kein Konzept zur Gewährleistung der geforderten Sicherheitsmassnahmen,
die sich durch die Erweiterung des Projektes ergeben, vorhanden. Dies gilt
besonders für folgende Aspekte:
2.3 Zielsetzung
o Niedergelassene Ärzte können Befunde über das Webportal verschicken.
o Andere Krankenhäuser beteiligen sich am Webportal.
Ziel dieser Arbeit ist es,
Z1)
Potentielle Sicherheitsrisiken im elektronischen Befundversand zu finden und darzustellen.
Z2)
Ansätze zu entwickeln, um die gesetzlich geforderte Datensicherheit bei einem überregionalen
elektronischen Befundaustausch zu garantieren.
Z3)
In weiterer Folge zu untersuchen, mit welchen Methoden eine sichere Authentifizierung der
Kommunikationspartner möglich wird.
Z4)
Anhand von eingehenden Analysen den Sicherheitstand des health@net Projektes der Tiroler
Landeskrankenanstalten GmbH beim elektronischen Befundaustausch zu erheben und zu bewerten.
Z5)
Abschließend Maßnahmen zur Gewährleistung der End-to-End Security zu entwickeln.

Einleitung Seite 9
2.4 Fragestellung
Aus den zuvor formulierten Zielsetzungen lassen sich folgende Fragestellungen ableiten:
F1)
Welche Sicherheitsrisiken existieren momentan im elektronischen Befundversand und wie
kann deren modellbasierte Darstellung in allgemeingültigen Sicherheitsmodellen erfolgen?
Wie kann das potentielle Angreiferverhalten dargestellt werden?
F2)
Mit Hilfe welcher Maßnahmen kann die gesetzlich geforderte Datensicherheit bei einem überregionalen
elektronischen Befundaustausch mit ausreichender Sicherheit garantiert werden?
Welche Technologien können dafür in Frage kommen?
F3)
Welche Methoden für eine sichere Authentifizierung der Kommunikationspartner können im
elektronischen Befundversand zum Einsatz kommen?
F4)
Wie hoch ist das Gefahrenpotential für Netzwerkattacken in Hinblick auf das health@net Projekt
abzuschätzen? Kann die Durchführbarkeit von Netzwerkattacken experimentell nachgewiesen
werden?
F5)
Welche Verfahren können zum Einsatz kommen, um die End-to-End Security zwischen den
am Befundversand beteiligten Kommunikationspartnern zu gewährleisten?

Grundlagen Seite 10
3 Grundlagen
3.1 Begriffsdefinitionen
3.1.1 Telemedizin
Durch die Entwicklung von Techniken zur Nachrichtenübermittlung wie Morse, Fernschreiber
und Telefon in den Anfängen des 20. Jahrhunderts konnten erstmals größere Distanzen innerhalb
kurzer Zeit überbrückt werden. Ein Einsatz der zur Verfügung stehenden Kommunikationstechnologien
in der Medizin führte zur Entstehung der heute als Telemedizin bekannten
Verfahren.
Für den Begriff Telemedizin gibt es keine allgemein gültige Definition. Die telemedizinische
Grundlage sollte jedoch immer eine medizinische Beziehung zwischen Patient und Arzt beziehungsweise
zwischen Patient und dem gesamten Team der im Gesundheitswesen tätigen Berufsgruppen
sein [11]. In der Literatur existieren mehrere Ansätze den Begriff zu definieren:
Ein kommunikationsorientierter Ansatz führt zu folgender Definition: Als Telemedizin werden
alle jene medizinischen Aktivitäten bezeichnet, die sich Kommunikationstechnologien bedienen,
um räumliche Distanzen zu überbrücken. Der Begriff Telemedizin ist keineswegs an moderne
Kommunikationstechnologien wie internetbasierte Dienste gebunden. Briefe und Telefongespräche
zählen ebenso zu telemedizinischen Diensten wie Email und elektronischer Befundaustausch
zwischen Krankenanstalten [12].
Ein weiterer Ansatz, Telemedizin zu definieren, beruft sich ausschließlich auf elektronische
Übertragungsverfahren: Telemedizin erfordert den Einsatz elektronischer Kommunikationsnetzwerke
zur Versendung medizinischer Daten, die der Diagnose und Therapie sowie der
Aus- und Weiterbildung dienen [13].
Neben Effizienzsteigerung und Kostenreduktion im Gesundheitswesen sollte als Hauptziel von
vernetzten Gesundheitsdiensten die Verbesserung der Patientenversorgung angestrebt werden.
Demzufolge hat in den letzen Jahren eine Entwicklung von institutionenzentrierten hin zu patientenzentrierten
telemedizinischen Diensten begonnen. Einen besonders relevanten Aspekt
stellt hierbei die Verbesserung der Arzt – Patient Beziehung durch Überbrückung von räumlicher
(und zeitlicher) Distanz dar.

Grundlagen Seite 11
Dem Patienten soll somit die Möglichkeit geboten werden, unabhängig von örtlichen Gegebenheiten
in Kontakt mit den behandelnden Ärzten zu treten. Durch einen regelmäßigen Austausch
gesundheitsrelevanter Daten kann die Reaktionszeit auf sich verändernde Parameter
drastisch verkürzt werden, wodurch sich ein verbesserter Therapieerfolg erzielen lässt [14],
[15].
Als weiteres Anwendungsgebiet telemedizinischer Dienste hat sich die überregionale Vernetzung
von Krankenanstalten entwickelt. Erst der Einsatz moderner Netzwerktechnologien erlaubt
eine effiziente und kostengünstige Vernetzung von Gesundheitseinrichtungen zum Austausch
multimedialer medizinischer Daten. Die schnell fortschreitende Entwicklung der Informationstechnologien
und die hohe Verfügbarkeit kostengünstiger Breitbandnetzwerktechnologien
ermöglicht das schnelle Wachstum dieses Teilgebietes der Telemedizin [16].
3.1.2 Befundnetzwerke
Als Befundnetzwerke werden in dieser Arbeit jene telemedizinischen Netzwerke zur Übermittlung
medizinischer Daten bezeichnet die dem, von der österreichischen Ärztekammer festgelegten
Standard für „Befundcarrier“ entsprechen.
Somit ergibt sich für Befundnetzwerke die Aufgabe, die vom Client-System des Absenders
bereitgestellten Befunde zu übertragen und diese dem Empfänger in dessen Client System bereitzustellen
[17].
3.1.3 End-to-End Security
End-to-End Security ist als Gewährleistung der Datensicherheit in einem Telekommunikationssystem
vom Ursprungspunkt der Datenkommunikation bis zu deren Endpunkt definiert
[18].
Die Implementation von End-to-End Security Lösungen erfolgt durch den Einsatz von kryptographischen
Algorithmen zur Datenverschlüsselung (Siehe Kapitel 3.4.3). Dabei ist sicherzustellen,
dass eine durchgehende Verschlüsselung vom Ursprungspunkt bis zum Endpunkt der
Datenkommunikation gegeben ist. Ein Entschlüsseln beziehungsweise Umschlüsseln der Daten
zu Transportzwecken ist im Sinn der End-to-End Security nicht zulässig.

Grundlagen Seite 12
3.1.4 Klinisches Informationssystem (KIS)
Der Begriff Klinisches Informationssystem wird allgemein als sozio-technisches System aller
an der Informationsverarbeitung -übermittlung und -speicherung im Krankenhaus beteiligten
Systeme definiert [19]. In dieser Arbeit werden die computerbasierten Anwendungskomponenten
zur Informationsverarbeitung -übermittlung und -speicherung als KIS bezeichnet.
3.2 Rechtliche Grundlagen
Der Einsatz telemedizinischer Dienste führt, unabhängig vom eingesetzten Medium, zu einer
Übertragung und Speicherung von personenbezogenen medizinischen Daten. Die intuitive Annahme,
dass es sich dabei um besonders schutzwürdige Daten handelt, wird vielfach in der
Literatur bestätigt [20], [21]. Das Grundrecht auf Schutz persönlicher Daten ist in der „European
Convention on Human Rights“ festgesetzt [22].
National und International wird der nötige Schutz medizinischer Daten in den im folgenden
Abschnitt erläuterten Gesetzen und Richtlinien geregelt.
3.2.1 Österreichisches Datenschutzgesetz
Das Datenschutzgesetz regelt die Rahmenbedingungen zur Verarbeitung und Speicherung persönlicher
Daten. Ziel des Gesetzes ist es, die automationsunterstützte oder manuelle Verarbeitung
personenbezogener Daten auf das, für den jeweiligen Anwendungsbereich nötige Ausmaß
zu beschränken, die Geheimhaltung zu gewährleisten und Datenmissbrauch zu verhindern. Aus
diesen Vorgaben leitet sich das Grundrecht auf Datenschutz ab. Es umfasst:
1. „Das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die
Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt
werden;
2. das Recht auf Richtigstellung unrichtiger Daten und das Recht auf Löschung unzulässigerweise
verarbeiteter Daten“ [4].
Insbesonders für die Verarbeitung patientenbezogener, persönlicher Daten im medizinischen
Umfeld sind die in Artikel 2 ausgeführten Abschnitte: Abschnitt 2 (Verwendung von Daten),
Abschnitt 3 (Datensicherheit) und Abschnitt 4 (Publizität der Datenanwendungen) von essentieller
Bedeutung. In Abschnitt 5 (Die Rechte des Betroffenen) werden die aus dem Grundrecht
auf Datenschutz abgeleiteten Rechte definiert.

Grundlagen Seite 13
Besondere Bedeutung für telemedizinische Anwendungen erlangt § 14 in Abschnitt 3, welcher
die Maßnahmen zur Gewährleistung der Datensicherheit definiert, wobei sicherzustellen ist
dass
[ ... ] „die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt
sind, dass ihre Verwendung ordnungsgemäß erfolgt und dass die Daten Unbefugten
nicht zugänglich sind“ [ ... ].
3.2.2 MAGDA-LENA Richtlinien
Die MAGDA-LENA Richtlinien wurden von der STRING-Kommission („Standards und
Richtlinien für den Informatikeinsatz im österreichischen Gesundheitswesen“) des Bundesministeriums
für soziale Sicherheit und Generationen (BMSG) entwickelt.
Ziel der Kommission gemäß § 8 Bundesministeriengesetz ist die Entwicklung eines Ansatzes
zur Steigerung der Gesamteffizienz des österreichischen Gesundheitswesens, speziell durch
Verbesserung der Interoperabilität der Systeme mit besonderem Augenmerk auf Datenschutz
und Datensicherheit [23].
MAGDA-LENA stellt eine Richtlinie zur Gewährleistung der im Datenschutzgesetz geforderten
Datensicherheit für die elektronische Verarbeitung von Patientendaten dar. Sie umfasst
technische und organisatorische Rahmenbedingungen mit dem Ziel, ein österreichweites „logisches
Gesundheitsdatennetz“ zu entwickeln. Bei MAGDA-LENA handelt es sich um eine unverbindliche
Richtlinie; eine Einhaltung der Empfehlungen ist somit nicht gesetzlich verpflichtend.
Das Ziel der MAGDA-LENA-Rahmenbedingungen ist es, eine kompatible, digitale und
sichere Kommunikation zwischen Leistungsanbietern und Kostenträgern im österreichischen
Gesundheits- und Sozialwesen unter Wahrung des Datenschutzes sicherzustellen.
Dazu müssen berechtigten Personen (Gesundheitsdienstleistern) orts- und zeitunabhängig,
zuverlässige Informationen über Gesundheitszustand, Krankengeschichte und administrativen
Daten der jeweils richtigen Person (Patient, Bürger) in digitaler Form zugänglich
sein.
Auf Basis von MAGDA-LENA soll sich der elektronische Gesundheits-
Informationsaustausch in Österreich in einer koordinierten Art und Weise entwickeln
und so langfristig zur vollständigen Vernetzung aller Leistungsanbieter des Gesundheitsund
Sozialsystems in Österreich zum Wohle des Patienten führen [23].

Grundlagen Seite 14
In der Richtlinie werden detaillierte Vorschläge zu technischen Aspekten der Datensicherheit,
wie Signaturverfahren, Schlüssellänge, kryptographische Algorithmen, Konzepte zur Benutzerauthentifizierung
und Zugangsberechtigungen abgegeben. Die Vorschläge stellen lediglich
ein technisches Rahmenkonzept dar und bieten freien Spielraum für Einsatz und Implementierung
der Protokolle.
Obwohl es sich bei der MAGDA-LENA um eine unverbindliche Richtlinie handelt, ist dessen
Einsatz im österreichischen Gesundheitswesen weit verbreitet. Die Einhaltung der in der Richtlinie
geforderten Sicherheitsstandards ist zum Schutz von persönlichen, patientenbezogenen
Daten dringend zu empfehlen.
3.2.3 Österreichisches Signaturgesetz
Dieses Bundesgesetz regelt die rechtlichen Rahmenbedingungen zum Einsatz von digitalen
Signaturen zur Gewährleistung der Authentizität und Unverfälschtheit digitaler Dokumente,
sowie den Einsatz von Zertifizierungsdiensten zur Sicherstellung der Identität des Signators.
Anmerkung: Signator ist laut Signaturgesetz eine natürliche Person, die eine Signatur erstellt,
bzw. ein Zertifizierungsdiensteanbieter, der Zertifikate für die Erbringung von Zertifizierungsdiensten
verwendet ([24]).
Dementsprechend wird im Gesetz der Begriff der sicheren elektronischen Signatur wie folgt
definiert:
„Eine elektronische Signatur, die
a) ausschließlich dem Signator zugeordnet ist,
b) die Identifizierung des Signators ermöglicht,
c) mit Mitteln erstellt wird, die der Signator unter seiner alleinigen Kontrolle halten kann,
d) mit den Daten, auf die sie sich bezieht, so verknüpft ist, dass jede nachträgliche Veränderung
der Daten festgestellt werden kann, sowie
e) auf einem qualifizierten Zertifikat beruht und unter Verwendung von technischen
Komponenten und Verfahren, die den Sicherheitsanforderungen dieses Bundesgesetzes
und der auf seiner Grundlage ergangenen Verordnungen entsprechen, erstellt wird;“
[24].
Das Signaturgesetz räumt der digitalen Signatur die selbe rechtliche Wirksamkeit, wie der eigenhändigen
Unterschrift ein: „Eine sichere elektronische Signatur erfüllt das rechtliche Erfor-

Grundlagen Seite 15
dernis einer eigenhändigen Unterschrift, insbesondere der Schriftlichkeit im Sinne des § 886
ABGB“ [...] [24].
Das Bundesgesetz über elektronische Signaturen legt den Verantwortungsbereich von Zertifizierungsdiensteanbietern,
die mittels digitalem Zertifikat dem Signator seine Identität bestätigen,
fest. Zur Gewährleistung größtmöglicher Sicherheit und zum Schutz vor Datenmissbrauch
werden dem Zertifizierungsdienstanbietern gewisse Verhaltenspflichten auferlegt [24], [25].
Im Anhang sind die technischen Mindestanforderungen für die elektronische Signatur und für
digitale Zertifikate spezifiziert. Durch das Gesetz festgelegt sind Mindestschlüssellänge, Hashverfahren
und kryptographische Algorithmen zur Signaturerstellung (Verschlüsselung des
Hashwerts), die zu einer sicheren digitalen Signatur führen. Darüber hinaus werden die Formate
für Signatur und Zertifikate, Widerrufsdienste sowie die Sicherheitsperiode, bis zu welchem
Zeitpunkt die eingesetzten Verfahren als ausreichend sicher einzustufen sind, festgelegt [24].
3.2.4 Internationale Richtlinien und Empfehlungen
Neben den österreichischen Bundesgesetzen, die in Österreich rechtsverbindlichen Charakter
haben, gelten für Österreich – als Mitglied der Europäischen Union – darüber hinaus die Bestimmungen
des Europäischen Parlamentes und Rates. Innerhalb der EU und international
existieren diverse Richtlinien zum Schutz persönlicher sowie patientenbezogener Daten. Die
bedeutendsten sollen im Folgenden kurz erwähnt werden.
3.2.4.1 Europäische Datenschutzrichtlinie
Die Europäische Datenschutzrichtlinie legt europaweit die Rahmenbedingungen zum Schutz
natürlicher Personen bei der Verarbeitung personenbezogener Daten sowie zum freien Datenverkehr
fest. Die Richtlinie ist von den einzelnen Mitgliedsstaaten umzusetzen.
3.2.4.2 U.S. Food and Drug Administration
Im 21. Code of Federal Regulations werden Richtlinien zum Schutz persönlicher Daten erlassen.
In Part 11 (21 CFR Part 11) legt die U.S. Amerikanische Food and Drug Administration
Behörde (FDA) Bedingungen fest, unter denen der Einsatz von elektronischen Dokumenten
dem von papierbasierten gleichzusetzen ist. Hauptaugenmerk gilt der Verwendung elektronischer
Signaturen beziehungsweise händischer Signaturen in elektronischen Dokumenten.

Grundlagen Seite 16
Die in 21 CFR Part 11 erlassenen Verordnungen erstrecken sich auf alle Tätigkeitsbereiche der
FDA mit der Zielsetzung, ein breitestmöglichstes Anwendungsspektrum elektronischer Technologien
zum Wohl des öffentlichen Gesundheitswesens zu schaffen[26].
3.3 Verwandte Arbeiten zur Thematik
Die Thematik der Sicherheit in überregionalen medizinischen Datennetzen ist national und
international von gesteigertem Interesse. Zur Zeit arbeiten etliche Forschungsgruppen an Pilotprojekten
zur Implementierung einer sicheren Infrastruktur zum Austausch medizinischer Daten.
Im Zuge des EUROMED-ETS Pilotprojektes soll eine sichere Infrastruktur geschaffen werden,
um die Datensicherheit bei webbasierten medizinischen Applikationen zu gewährleisten. Eine
sichere Kommunikationsinfrastruktur wird mittels sog. Trusted Third Party Architektur aufgebaut
[21].
Ziel der europäischen “Trustworthy Health Telematics” Projekte ist die Entwicklung einer
sicheren Infrastruktur für allgemeine Gesundheitstelematische Dienste. Zum Einsatz kommen
„Health Professional Cards“ zur sicheren Benutzerauthentifizierung sowie Public Key Infrastrukturen
(PKI) zur Verschlüsselung und digitalen Signatur medizinischer Dokumente [27].
Das „Pocket Doktor Project“ an der Brigham Young University beschäftigt sich mit dem Remote
Zugriff auf elektronische Krankenakten über drahtlose Netzwerkverbindungen. Besonderes
Augenmerk dabei gilt der Entwicklung von Maßnahmen zum Schutz der, über Funknetzwerke
übertragenen patientenbezogenen Daten [28].
Health@net
health@net ist ein Forschungsprojekt des Kompetenzzentrums für Medizinische Informatik
Tirol (HITT) und wird vom „Institut für Informationssysteme des Gesundheitswesens“ an der
Privaten Universität für Medizinische Informatik und Technik Tirol (UMIT) gemeinsam mit
der Tiroler Landeskrankenanstalten GmbH (TILAK) und der Information Technology for
Healthcare GmbH (ITH) durchgeführt.
Projektziel ist die Vernetzung der Tiroler Landeskrankenhäuser bzw. der Universitätskliniken
mit anderen Spitälern und niedergelassenen Ärzten zur Weiterleitung von Patientendaten/Befunden
– online und in Echtzeit. Das Ganze durch den gezielten Einsatz der Internet-
Technologie.

Grundlagen Seite 17
Als Endziel ist die Errichtung einer zentralen Patientendatenbank, auf die berechtigte Personen
über das Internet zugreifen und auch Informationen eingeben können, zu sehen. Besonderes
Augenmerk gilt der Einhaltung der Datenschutzbestimmungen sowie der Gewährleistung
höchstmöglicher Sicherheit für Zugriff und Übertragung von Patientendaten.
3.4 Technische Grundlagen
In diesem Abschnitt wird vorwiegend auf jene technischen Grundlagen eingegangen, die im
Rahmen der Sicherheit der elektronischen Befundübermittlung von Bedeutung sind.
3.4.1 Architekturen klinischer Informationssysteme
Im Folgenden soll auf die Architekturen der computerunterstützten informationsverarbeitenden
Systeme eingegangen werden. Die hier vorgestellten Architekturstile beziehen sich auf die
Speicherung und Verarbeitung klinisch relevanter Informationen in Datenbanksystemen.
DB 1
Als DB 1 bezeichnet man alle Architekturen, bei denen die Datenspeicherung in einem einzigen
Anwendungsbaustein erfolgt. Den beteiligten Subinformationssystemen muss das Datenbank-
schema bekannt sein beziehungsweise müssen Schnittstellen für die Anwendungen bereitge-
stellt werden [19].
DB n
Verwenden mehrere Anwendungsbausteine ihre eigenen proprietären Datenbanken anstatt
einer zentralen Datenbank, handelt es sich um eine DB n Architektur. Die Notwendigkeit, auf
Informationen zuzugreifen, die in verschiedenen Datenbanken abgespeichert sind, koppelt die
beteiligten Anwendungskomponenten zu einem verteilten System. Die Speicherung redundanter
Informationen lässt sich somit nicht vermeiden. Zumindest das identifizierende Merkmal
jeder Entität, die über eine Datenbank hinaus zugreifbar sein sollte, erfordert eine redundante
Speicherung in den beteiligten Systemen.
Der Einsatz verteilter Systeme zieht das Problem der Datenintegrität in den einzelnen Datenbanksystemen
mit sich. Maßnahmen zur Gewährleistung der Integrität redundanter Daten sind

Grundlagen Seite 18
beim Einsatz verteilter Systeme zwingend erforderlich. In einschlägiger Fachliteratur sind detailliere
Verfahren zur Sicherstellung der Datenintegrität beschrieben [29].
3.4.2 Netzwerkprotokolle
Wie bereits in Kapitel 3.1.1 erwähnt, ist Telemedizin als Austausch medizinischer Daten zwischen
räumlich getrennten Kommunikationspartnern definiert.
Standard-Netzwerktechnologien und internetbasierte Dienste bieten eine flexible und kostengünstige
Infrastruktur zur Übermittlung medizinischer Daten unabhängig von örtlichen Gegebenheiten.
Es sei bereits in diesem Kapitel darauf hingewiesen, dass für eine Übertragung medizinischer
Daten über öffentlich zugängliche Netze Maßnahmen zur Gewährleistung der Sicherheit und
Geheimhaltung patientenbezogener Daten unumgänglich sind.
Ziel dieses Kapitels ist es, Grundfunktionalitäten,der, für den medizinischen Datenaustausch
relevanten Netzwerkprotokolle zu erläutern. Weiters sollen jene Designschwächen der Standardprotokolle
aufgezeigt werden, an denen die Einhaltung der Datenschutzbestimmungen
scheitert.
Die Komplexität der Netzwerkkommunikation erfordert ein Aufteilen der Funktionalität auf
Schichten – auch Layer genannt. Für jeden Layer existiert ein Satz von Kommunikationsprotokollen.
Der Aufbau der Schichten kann durch sog. Kommunikationsmodelle beschrieben werden.
Zu den wichtigsten zählen das ISO/OSI Modell sowie das TCP/IP Modell. Ersteres beschreibt
als allgemeines Modell den Kommunikationsablauf sehr komplex, wobei letztgenanntes
als praktisches Modell die Grundlage der moderner Netzwerkarchitekturen bildet. Der detaillierte
Aufbau der Layer in beiden Modellen ist unter [30] beschrieben.
Im Allgemeinen sind die gängigen Netzwerkprotokolle nach demselben Prinzip aufgebaut.
Jedes Protokoll besteht aus den zwei zusammengehörigen Segmenten Protokoll Header und
Nutzdaten. Als Nutzdaten – auch als Payload bekannt – werden jene Daten bezeichnet, die
zwischen den beteiligten Kommunikationspartnern übermittelt werden sollen. Im Header befinden
sich Steuerdaten, Adressierungsinformationen sowie Angaben über die Nutzdaten. Abb.
2 zeigt den detaillierten Aufbau eines Protokoll Headers, sowie die das Nutzdatensegment am
Beispiel des Transmission Control Protocol.

Grundlagen Seite 19
Abb. 2: TCP Header.
Darstellung der Header Felder in blau, Nutzdaten in türkis. Nähere Erläuterungen im Text.
Quelle: Holtkamp H. Einführung in TCP/IP ([31]).
3.4.2.1 TCP / IP Stack
Die Protokolle TCP (Transmission Control Protocol) und IP (Internet Protocol) bilden die Basis
vernetzter Rechnersysteme. Anders ausgedrückt müssen alle an der Netzwerkkommunikation
beteiligten Stationen als „kleinsten gemeinsamen Nenner“ diese beiden Protokolle unterstützen.
Deren Entwicklung geht in den Anfang der 80er Jahre zurück und wurde von der
„University of Southern California“ geleitet [7].
IP stellt als unterste Schicht der Protokolle, die eine End-to-End Verbindung ermöglichen, die
Grundlage der paketorientierten Netzwerkkommunikation dar. Dieses Protokoll ermöglicht die
logische Adressierung von Rechnern und gewährleistet die Übertragung der Datenpakete in
unterschiedlichen Netzwerken. IP stellt in seiner 4. Version einen Adressraum von 32 Bit bereit,
womit theoretisch 2 32 = 4,294.967.296 Stationen mit logischen Adressen versorgt werden
können. Praktisch liegt der Wert jedoch aufgrund einiger reservierter Adressbereiche deutlich
unter dem theoretischen Maximum. Erst Version 6 erweitert den Adressraum auf 128 Bit [32].
In jedem versendeten IP Paket sind Quell- und Zieladresse angegeben, die Übermittlung der
Pakete vom Absenderhost zum Zielhost erfolgt durch einen als Routing bezeichneten Prozess.
Dabei können die versendeten Pakete über mehrere Router (Hops) laufen und unterschiedliche
Wege vom Absender zum Ziel nehmen [33].

Grundlagen Seite 20
Das TCP Protokoll setzt auf IP auf und ermöglicht als verbindungsorientiertes Protokoll mehrere
Netzwerkverbindungen über eine IP Adresse. Die Identifikation der einzelnen Verbindungen
erfolgt anhand von Portnummer. Im Gegensatz zu der, für jeden Kommunikationspartner
eindeutigen IP Adresse, sind für jede TCP Instanz Portnummern im Bereich von 0 bis 65535
definiert. Jedem Dienst bzw. Service wird eine Portnummer zugeordnet. Für Standard Internetdienste
wie World Wide Web, Email oder File Transfer Protocol sind fixe Portnummern –
die so genannten „Well Known Ports“ definiert [34].
Wichtigste Aufgabe des Transport-Protokolls ist die Gewährleistung der Reihenfolge, Vollständigkeit
und Richtigkeit der Empfangenen Pakete. Gegebenenfalls veranlasst TCP den Sender,
verloren gegangene oder korrupte Pakete erneut zu senden. Die Sicherstellung der richtigen
Empfangsreihenfolge ist vor allem dann von großer Bedeutung, wenn IP Pakete über unterschiedliche
Netze laufen und somit in nicht identischer Reihenfolge beim Empfänger ankommen.
Als verbindungsorientiertes Protokoll ist TCP vor allem für die Herstellung einer Kommunikationsverbindung,
genannt Session, verantwortlich. Die Initialisierung der Session erfolgt mittels
„Three Way Handshake“, einem Aushandeln der Verbindungsparameter und einer mehrfachen
Bestätigung des Verbindungsstaus von Sender und Empfänger. Eine detaillierte Beschreibung
von TCP Protokoll und Three Way Handshake ist in [6] und [31] zu finden.
3.4.2.2 Anwendungsprotokolle
TCP und IP stellen die Grundlage der modernen Netzwerkkommunikation dar. Eine Datenübertragung,
basierend ausschließlich auf diesen Protokollen, ist zwar theoretisch möglich, gilt
allgemein als äußerst rudimentär und benutzerunfreundlich.
Mit der Entwicklung von netzwerkbasierten Anwendungen beziehungsweise Diensten entstanden
neue, den speziellen Anforderungen angepasste Protokolle zum Datentransfer. Diese machen
sich die Funktionalität von TCP/IP zunutze und bestehen ebenfalls aus den Segmenten
Header und Nutzdaten. Die Anzahl der vorhanden Kommunikationsprotokolle steigt ständig,
ein Verzeichnis über die im Einsatz befindlichen Protokolle und deren zugewiesen Ports wird
von der „Internet Assigned Numbers Authority“ (IANA) verwaltet ([34]).
Im Folgenden soll eine Überblicksdarstellung über jene Applikationen und Protokolle, die mitunter
bei telemedizinischen Diensten zur Anwendung kommen können, gegeben werden. Für
eine detaillierte Beschreibung sei auf deren Definitionen in den „Request for Comments“
(RFCs) der „Internet Engineering Task Force“ (IETF) verwiesen ([35]).

Grundlagen Seite 21
Das Hypertext Transfer Protocol (HTTP) bildet als Standardübertragungsprotokoll des World
Wide Webs die Grundlage webbasierter telemedizinischer Applikationen. Etliche Anwendungen
außer Browser nutzten dieses Protokoll zur Übertragung von Text, Bild und multimedialen
Daten.
Zum Transfer einzelner Dateien eignet sich aufgrund des geringen „Overheads“ (Verhältnis
von Header- zu Nutzdaten) das „File Transfer Protocol“ (FTP).
Zum versenden von Emails kommt das „Simple Mail Transfer Protocol“ (SMTP) zum Einsatz.
Das Abrufen der am Mailserver gespeicherten Emails erfolgt über das „Post Office Protocol“
(POP) oder über das „Internet Message Access Protocol“ (IMAP). Ersteres ermöglicht den
Download und anschließende lokale Speicherung der Emails, wobei Zweitgenanntes Protokoll
den direkten Zugriff auf die am Mailserver gespeicherten Emails ermöglicht. Eine lokale Speicherung
der Emails kann somit bei IMAP entfallen, die Emails können daher von jedem Rechner
abgerufen werden.
Speziell für den Einsatz im medizinischen Bereich entwickelt wurde das Digital Imaging and
Communications in Medicine (DICOM) Protokoll ([36]). DICOM dient vorwiegend dem Austausch
medizinsicher Bilddaten wie Röntgen, CT und MR. Zusätzlich zu den Bilddaten können
Informationen über Patienten und Aufnahmemodalität übertragen werden.
HL7 wurde als offener Standard zum Austausch medizinischer Daten entwickelt. Er ermöglicht
die strukturierte Übermittlung demographischer und medizinischer Daten und schafft so
eine herstellerunabhängige Interoperabilität zwischen den eingesetzten Systemen ([37]).
3.4.2.3 Schwachstellen der Standard Netzwerkprotokolle
Die Entwicklung der Basisprotokolle TCP und IP erfolgte mit der Zielsetzung, die Interoperabilität
mit der größtmöglichen Anzahl vorhandener Systeme zur gewährleisten sowie Prozessorlast
und Speicherbelegung minimal zu halten. Wirkungsvolle Maßnahmen zum Schutz, der
im Transfer befindlichen Daten vor unbefugten Zugriffen wurden nicht implementiert ([8]).
Ebenfalls Higher Level Protocols wurden anfangs ohne Beachtung des Sicherheitsaspektes
entworfen.
Die im Datenschutzgesetz geforderten Auflagen zum Schutz persönlicher Daten vor Missbrauch
können somit von den Standard-Netzwerkprotokollen nicht ausreichend erfüllt werden.
Die im Folgenden angeführten Eigenschaften der Protokolle sind hauptverantwortlich für den,
zur Übertragung medizinischer, patientenbezogener Daten unzureichenden Sicherheitsstandard.

Grundlagen Seite 22
♦ Unzureichende Identifikation der Kommunikationspartner
♦ Klartext Übertragung des Payloads
♦ Unzureichende Integritätsprüfung von Payload und Header
Die Identifikation der Kommunikationspartner erfolgt bei den Standard-Protokollen gerätespezifisch
und beruht auf der im Protokoll Header eingetragnen IP Adresse des Absender- beziehungsweise
Zielhosts. Durch Eintragung gefälschter IP Adressen kann es einem System gelingen,
sich als vertrauenswürdiger Kommunikationspartner auszugeben und somit jene Daten zu
empfangen, die für das ursprüngliche Zielsystem bestimmt sind.
Dementsprechend existierten für die unterschiedlichen Protokolle, in der Literatur als Address
Spoofing und Trust-Relationship Exploitation bekannte Attacken [38], [39], [40]. So genanntes
TCP Session Hijacking ermöglicht einem angreifenden System sogar, sich unbemerkt von den
beteiligten Kommunikationspartnern, in eine bestehende TCP Verbindung einzuklinken. Aufgrund
der Tatsache, dass dabei die Daten vom ursprünglichen Absenderhost über den Angreiferhost
zum Zielhost laufen, werden diese auch als Man-In-The-Middle Attacks bezeichnet
[41].
Die Klartext Übertragung der Nutzdaten führt zu weiteren Konflikten mit den im Datenschutzgesetz
geforderten Maßnahmen zum Schutz persönlicher Daten. Durch einfaches Aufzeichnen
des gesamten Netzwerkverkehrs– als Sniffing oder Eavesdropping bekannt – können die übertragenen
Daten unbefugten Personen zugänglich werden. Bei einigen Anwendungsprotokollen
wie HTTP, FTP, POP oder IMAP werden sogar Passwörter im Klartext übertragen. Die dadurch
für telemedizinische Applikationen entstehenden Sicherheitsrisiken sind enorm. Abb. 3
zeigt die Klartextübertragung des Payloads – in diesem Fall Benutzername und Passwort – am
Beispiel von HTTP.

Grundlagen Seite 23
Abb. 3: Klartext Payload am Beispiel von HTTP.
Rote Markierung zeigt die im Klartext übertragenen Login Daten, hier Benutzername und
Passwort, für den UMIT Webmail Server auf http://webmail.umit.at.
Nähere Erläuterungen im Text.
Gelingt eine Man-In-The-Middle Attacke, kann der Netzwerkverkehr von beliebigen Hosts
über den angreifenden Host geleitet werden. Mittels Sniffing werden somit dem Angreifer
sämtliche, zwischen Absender- und Zielhost übertragenen Daten zugänglich. Ein experimenteller
Nachweis dieser Schwachstelle ist in Kapitel 5.2 beschrieben.
Eine unzureichende Überprüfung der Datenintegrität des Payloads ermöglicht zusätzlich eine
unbemerkte Manipulation der übermittelten Nutzdaten. Durch eine ausreichende Integritätsprüfung
der Header Informationen könnten Address Spoofing sowie Man-In-The-Middle Attacken
vermieden werden. Einige effektive Verfahren, um eine sichere Identifikation der Kommunikationspartner
zu gewährleisten, werden in Kapitel 3.4.3 vorgestellt.

Grundlagen Seite 24
3.4.2.4 Sicherheitstechnische Erweiterungen bestehender Protokolle
Die bekannten, in Kapitel 3.4.2.3 diskutierten Sicherheitsmängel der Standard Netzwerk Protokolle
machten deren Erweiterungen um sicherheitstechnische Aspekte erforderlich. Die technische
Umsetzung erfolgt durch Implementierung kryptographischer Algorithmen. Demgemäß
werden sicherheitstechnische Erweiterungen in folgenden Abschnitten als kryptographische
Erweiterungen beziehungsweise kryptographische Protokolle bezeichnet.
Auf allen Ebenen des Netzwerkprotokoll Stacks erfolgt eine sicherheitstechnische Nachrüstung
der bestehenden Protokollarchitekturen. Dementsprechend besitzen nahezu alle gängigen
Netzwerkprotokolle kryptographische Erweiterungen. Kapitel 3.4.3 widmet sich ausführlich
den zum Einsatz kommenden Verfahren.
3.4.2.4.1 Anforderungen an sichere Protokolle
Zur Gewährleistung der Datensicherheit werden folgende Hauptanforderungen an kryptographische
Protokolle gestellt [42]:
♦ Authentifikation beziehungsweise Authentizität der
Kommunikationspartner („Authentication“)
♦ Vertraulichkeit der Daten („Privacy“)
♦ Unverfälschtheit der Daten („Integrity“)
♦ Unleugbarkeit des Absenders („Non-repudiation“)
Durch Gewährleistung der Authentizität der Kommunikationspartner („Authentication“) kann
sichergestellt werden, dass es sich bei Sender und Empfänger tatsächlich um den gewünschten
und erwarteten Kommunikationspartner handelt. Technisch erfolgt die Gewährleistung der
Authentizität der Kommunikationspartner durch Überprüfung digitaler Zertifikate, Man-In-
The-Middle und Address Spoofing Attacken können somit wirkungsvoll verhindert werden.
Als Anmerkung sei hier erwähnt, dass als Kommunikationspartner Rechner im Netzwerk und
nicht notwendigerweise Personen gemeint sind. Für telemedizinische Applikationen ist dieser
Aspekt mitunter nicht unbedenklich.
Unter Vertraulichkeit der Daten („Privacy“) wird die Sicherstellung, dass die übertragenen
Daten lediglich von den erwünschten Kommunikationspartnern in richtiger und sinnvoller
Weise zusammengesetzt und verarbeitet werden können, verstanden. Die Vertraulichkeit wird
durch Verschlüsselung der Daten mittels kryptographischer Verfahren gewährleistet. Die über-

Grundlagen Seite 25
tragenen Informationen sind somit vor dem Zugriff durch unbefugte Dritte geschützt. Sniffing
liefert daher keine verwertbaren Ergebnisse.
Es kann gezeigt werden, dass trotz Verschlüsselung der Daten unbemerkte Manipulationen
vorgenommen werden können. Zur Überprüfung der Unverfälschtheit der Daten („Integrity“)
implementieren kryptographische Protokollerweiterungen Verfahren zur Sicherstellung der
Datenintegrität. Die technische Umsetzung erfolgt mittels kryptographischer Prüfsummen –
auch als „Hashbased Message Authentication Codes“ oder (HMACS) oder „Message
Digest“ – bekannt. Digitale Signaturen garantieren in diesem Zusammenhang, dass Daten sowohl
unverändert sind als auch vom gewünschten Absender stammen. Manipulationen der
Daten während der Übertragung können auf diese Weise zuverlässig erkannt werden.
Unleugbarkeit des Absenders („Non-repudiation“) verhindert, dass ein Absender von Nachrichten
abstreiten kann, der Urheber dieser zu sein. Eine technische Umsetzung erfolgt mittels
digitaler Signaturen.
3.4.3 Kryptographische Algorithmen zur Gewährleistung der Datensicherheit
Grundsätzlich können die kryptographischen Verfahren zur sicheren Datenübertragung in zwei
Untergruppen unterteilt werden:
♦ Datenverschlüsselung („Encryption“, „Ciphering“)
♦ Integritätsprüfung („Message Digests“, „Hashbased Message
Authentication Codes“)
Zur Gewährleistung der Datensicherheit kommen immer beide Verfahren in Kombination zum
Einsatz, wobei die Datenverschlüsselung zusätzlich im Zuge der digitalen Signatur zur Sicherstellung
der Authentizität des Absenders und der Unleugbarkeit (Non-repudiation) eine wichtige
Rolle übernimmt.
3.4.3.1 Datenverschlüsselung (Encryption, Ciphering)
Die Verschlüsselung (Encryption) (E) der Nutzdaten (Message) (M) erfolgt als mathematische
Funktion durch Verknüpfung der Daten mit einem Schlüssel (Key) (K) und liefert als Ergebnis
den Geheimtext (Ciphertext) (C). Der umgekehrte Prozess der Entschlüsselung („Decryption“)
(D) erfolgt ebenfalls als mathematische Funktion auf Geheimtext und Schlüssel.

Grundlagen Seite 26
Sei M die Menge aller Nachrichten, K die Menge aller Schlüssel und C die Menge aller Geheimtexte.
∀ M ∈ M , ∀ C ∈C
und ∀ K ∈ K gilt:
C K
: = E ( M )
(3.1)
M K
: = D ( C)
(3.2)
Demzufolge gilt:
M K K
= D ( E ( M ))
(3.3)
Die Sicherheit jener Verfahren, die einen ausreichend hohen Sicherheitsstandard bieten, begründet
sich auf der Tatsache, dass die Schlüssel nur dem gewünschten Kommunikationspartner
bekannt sind. Verfahren, bei denen die Verschlüsselung ausschließlich auf der Geheimhaltung
des Algorithmus beruht, gelten als unsicher und kommen in der modernen Kryptographie
nicht mehr zur Anwendung [43].
Die Verschlüsselung und Entschlüsselung der Daten kann entweder mit demselben Key erfolgen,
andererseits kann zur Ver- und Entschlüsselung ein Schlüsselpaar zum Einsatz kommen.
Abhängig davon unterscheidet man zwischen:
♦ Symmetrische Verfahren (selber Schlüssel zum ver- und entschlüsseln)
♦ Asymmetrische Verfahren (Schlüsselpaar zum ver- und entschlüsseln)
♦ Hybride Verfahren (asymmetrisches Verfahren zum Austausch des symmetrischen
Schlüssels zur Datenverschlüsselung)
Symmetrische und asymmetrische Verschlüsselungsalgorithmen haben unterschiedliche Anwendungsgebiete
und bieten unterschiedliche Sicherheitsniveaus, in gängigen Applikationen
kommt meist – als hybrider Ansatz – eine Kombination der beiden Verfahren zum Einsatz. Die
Sicherheit der Verfahren steigt im allgemeinen mit zunehmender Schlüssellänge. Als Schlüssellänge
(„Key Length“) wird die Anzahl der Bits, aus denen der Schlüssel zusammengesetzt
ist, bezeichnet. Unter dem Begriff Schlüsselraum („Key Space“)versteht man die Menge aller
möglichen Schlüssel, der Schlüsselraum (r) wächst exponentiell mit der Key Length (k) in Bit
und errechnet sich aus r = 2 k [43].

Grundlagen Seite 27
Aufgrund der ständig steigenden Rechenleistung müssen die Schlüssellängen immer wieder
erhöht werden, um die Verschlüsselung unknackbar und somit sicher zu halten. Versuche, den
verwendeten Schlüssel durch systematisches Durchsuchen des gesamten Schlüsselraumes zu
finden, werden als „Brute Force Attacks“ beziehungsweise „Brute Forcing“ bezeichnet.
Einen maßgeblichen Beitrag zur Sicherheit liefert neben der Schlüssellänge die Qualität der
Schlüssel, mit zunehmendem Zufallscharakter bei der Schlüsselgenerierung steigt auch die
Güte der erzeugten Keys. Zur Erzeugung der Schlüssel kommen Pseudo-Zufallsfunktionen
zum Einsatz. Der Generierung von Zufallswerten ist ein ganzes Gebiet der Mathematik, die
„Random Theory“, gewidmet [44]. Anwendungen von Pseudo-Zufallsfunktionen in der Kryptographie
werden im Buch „Modern Cryptography, Probabilistic Proofs and Pseudorandomness“
von Oded Goldreich vorgestellt ([45]).
3.4.3.1.1 Symmetrische Verfahren
Symmetrische Algorithmen verwenden zur Ver- und Entschlüsselung denselben Key. Die
Vorgänge sind als mathematische Funktionen in den Formeln (2.1) bis (2.3) beschrieben. Ab
einer Schlüssellänge von 128 Bit gelten symmetrische Algorithmen zur Zeit für telemedizinische
Applikationen als ausreichend sicher ([23]), in naher Zukunft wird allerdings ein Anheben
der Schlüssellänge auf 256 Bit nötig werden. Die Verschlüsselung kann entweder als Datenstrom
oder in Blöcken fester Länge erfolgen. Abhängig davon unterscheidet man:
♦ „Block Cipher“ (arbeitet mit Datenblöcken)
♦ „Stream Cipher“ (arbeitet mit einem Datenstrom)
Die bedeutendsten symmetrischen Algorithmen sind in Tabelle 3.1 aufgelistet.
Algorithmus Cipher Verfahren Key Längen Entwickler
DES (Data Encryption
Standard)
Block Cipher 56 IBM/ NIST (*)
Triple DES Block Cipher 168 NIST (*)
RC4 Stream Cipher 40 – 128 Ron Rivest (RSA )
Blowfish Block Cipher 32 – 448 Bruce Schneier
Towfish Block Cipher 128 – 256 Bruce Schneier
AES (Advanced Encryption
Standard) Rijndael
Block Cipher 128 – 256
Joan Daemen, Vincent
Rijmen
Tabelle 3.1: Bedeutende symmetrische Algorithmen inklusive gängiger Schlüssellängen.
(*) NIST: National Institute of Standards and Technology ([46]).

Grundlagen Seite 28
Symmetrische Algorithmen erzielen mit einer relativ niedrigen key length eine wirkungsvolle
Verschlüsselung und benötigen nur eine relativ geringe Rechenleistung. Zur Gewährleistung
einer hohen Sicherheit erweist es sich als empfehlenswert, Hinweise auf bekannte Schwachstellen
der in Verwendung befindlichen Algorithmen in der Fachliteratur zu suchen. RC4 als
ein einfach zu implementierender Stream Cipher weist gravierende kryptographische Schwächen
auf und sollte deshalb für Hochsicherheitsanwendungen gemieden werden [47].
Aus heutiger Sicht gewährleisten die Algorithmen „Tripel Data Encryption Standard“ (3DES),
„Advanced Encryption Standard“ (AES) und Blowfish ab 128 Bit ausreichende Sicherheit.
Prinzipbedingt haben alle symmetrischen Algorithmen jedoch einen entscheidenden Nachteil.
Für Daten Ver- und Entschlüsselung kommt derselbe Key zum Einsatz. Ein Austausch des
Schlüssels vom Sender zum Empfänger über unsichere Netzwerke ist somit nicht möglich.
Würde es einem Angreifer gelingen, den symmetrischen Key beim Schlüsselaustausch abzufangen,
könnte dieser alle damit verschlüsselten Daten entschlüsseln. Die Anforderung an Privacy
kann somit nicht mehr gewährleistet werden.
Die im folgenden Unterkapitel diskutierten asymmetrischen Verfahren bieten eine effektive
Lösung dieses Problems.
3.4.3.1.2 Asymmetrische Verfahren
Asymmetrische Verfahren – auch „Public Key Cryptography“ genannt – beruhen auf der Verwendung
eines Schlüsselpaares: Public Key und Private Key. Erstgenannter kommt ausschließlich
zur Verschlüsselung zum Einsatz, mittels Private Key erfolgt die Entschlüsselung. Der
Public Key kann – und soll – öffentlich zugänglich sein, der Private Key hingegen sollte bestmöglich
vor unbefugten Zugriffen geschützt werden. Die umgekehrte Vorgangsweise zur Erstellung
und Überprüfung digitaler Signaturen wird in Kapitel 3.4.3.3 diskutiert. Mathematisch
kann die Encryption (E) als Funktion von Public Key (Kpub) auf die Message (M) dargestellt
werden. Das Ergebnis der Verschlüsselung ist wiederum der Ciphertext (C). Die Decryption
(D) ist als Funktion von Private Key (Kprv) auf den Ciphertext definiert und liefert wieder den
Klartext (M) [43].
Sei M die Menge aller Nachrichten, Kpub die Menge aller öffentlichen Schlüssel, Kprv die Menge
aller privaten Schlüssel und C die Menge aller Geheimtexte.

Grundlagen Seite 29
∀ M ∈ M , ∀ C ∈C
, pub pub K K ∈ ∀ und prv prv K ∀ K ∈ gilt:
C K pub
: = E ( M )
(3.4)
M K prv
: = D ( C)
(3.5)
Es gilt wiederum:
M K prv K pub
= D ( E ( M ))
(3.6)
Public Key Verfahren beruhen auf der Tatsache, dass der private Schlüssel nicht – in vernünftiger
Zeit – aus dem öffentlichen errechnet werden kann. Bei der Schlüsselgenerierung werden
beide Schlüssel gleichzeitig erstellt. Der Public Key wird veröffentlicht, der Private Key geheim
gehalten.
Das bekannteste asymmetrischen Verfahren stellt der, nach seinen drei Erfindern Ron Rivest,
Adi Shamir und Leonard Adleman benannte RSA Algorithmus dar. Die Sicherheit von RSA
beruht auf der Schwierigkeit große Prim(zahlen) in deren Faktoren zu zerlegen – zu faktorisieren.
Je nach Schlüssellänge kommen zufällig erzeugte Primzahlen mit einer Länge von 100 bis
200 Stellen zum Einsatz. Aus diesen Primzahlen lassen sich bei der Schlüsselerzeugung der
Public Key und der Private Key einfach bestimmen. Das Brechen mit dem Public Key verschlüsselter
Nachricht kommt einer Faktorisierung des Produktes der zwei zur Key-
Generierung verwendeten Primzahlen gleich. Laut deren Erfinder dauert die Faktorisierung
einer 500-stelligen Zahl bei einer Befehlsausführungszeit von 1 µs über 10 25 Jahre.
Das Gebiet der asymmetrischen Kryptographie ist relativ jung, erste Verfahren wurden Ende
der 70er Jahre entwickelt. Zur Zeit gelten die Algorithmen RSA und Diffie/Hellman als die
bedeutendsten [48], [49].
Mit der Public Key Kryptographie steht eine Methode zum sicheren Schüsselaustausch über
unsichere Übertragungskanäle zur Verfügung. Asymmetrische Verfahren benötigen jedoch
eine hohe Schlüssellänge von 1024 bis 2048 Bit und arbeiten erheblich langsamer als symmetrische
Algorithmen. Verglichen mit DES liegt die Rechenzeit für RSA um den Faktor 100 höher
([49]). Zur Verschlüsselung großer Datenmengen sind Public Key Verfahren zur Zeit nicht
geeignet. Moderne kryptographische Protokolle kombinieren die Vorteile beider Methoden in
einem Hybriden Verfahren. Die Datenverschlüsselung erfolgt mit einem symmetrischen

Grundlagen Seite 30
Schlüssel, dem Session Key. Für dessen Übertragung zum Empfänger wird der Session Key
asymmetrisch verschlüsselt, somit kann der Schlüsselaustausch gefahrlos über ein unsicheres
Netzwerk erfolgen.
Die Verschlüsselung der Nutzdaten stellt nur einen Teil der Anforderungen an sichere Übertragungsverfahren
dar. Verfahren zur Datenintegritätsprüfung und Authentifizierung der Kommunikationspartner
werden in den folgenden Kapiteln vorgestellt.
3.4.3.2 Kryptographische Prüfsummen
Neben der durch Datenverschlüsselung gewährleisteten Privacy stellt auch die Sicherstellung,
dass die (verschlüsselten) Daten nicht unbemerkt während der Übertragung verändert werden
können, die Integrity, eine zentrale Anforderung an sicherheitstechnische Protokollerweiterungen.
Als „Message Digests“ (MD), „Hash Algorithms“, „Message Authentication Codes“ (MACS)
und „Hash Based Message Authentication Codes“ (HMACS) bekannte Algorithmen bilden
eine für jede Nachricht eindeutige Prüfsumme. Die Veränderung einer Message im Transfer
kann anhand dieser eindeutig erkannt werden.
Die bekanntesten Verfahren „Message Digest 5“ (MD 5) und „Secure Hash Algorithm 1“
(SHA-1) berechnen eine Prüfsumme fester Länge aus Inputdaten variabler Länge [50], [51].
Durch den Algorithmus werden die Daten im Input Buffer mit denen im Output Buffer so verknüpft,
dass jedes geänderte Bit im Input Buffer den gesamten Output Buffer verändert. Durch
diese komplexe Verknüpfung wird erreicht, dass ein einziges geändertes Bit den gesamten
Message Digest verändert, somit kann eine Manipulation der Daten im Transfer ausreichend
sicher festgestellt werden. Weiters kann durch Beschränken der Digest Länge auf einen festen
Wert ein Rückschluss auf die Input Daten aus der Prüfsumme wirkungsvoll verhindert werden.
Die Sicherheit der Algorithmen ist maßgeblich von der Bitlänge des Hash Wertes abhängig.
MD5 arbeitet mit einer Bitlänge von 128, wobei bei die Länge des Hash Wertes bei SHA-1 auf
160 Bit festgesetzt ist. Letztgenannter bietet ein um den Faktor 2 32 höheres Maß an Sicherheit,
arbeitet jedoch auch deutlich langsamer [33].
3.4.3.3 Digitale Signaturen
Eine weitere wichtige Funktionalität sicherer Übertragungsverfahren stellt die Gewährleistung
der Unleugbarkeit in Verbindung mit der Datenintegrität dar. Mittels digitaler Signatur soll die

Grundlagen Seite 31
Sicherstellung, dass gesendete Daten tatsächlich vom gewünschten Absender stammen und
während des Transfers nicht verändert wurden, erreicht werden.
Digitale Signaturen sind im Zusammenspiel mit kryptographischen Prüfsummen und den in
Kapitel 3.4.3.4 diskutierten digitalen Zertifikaten für die Anforderungen Authentication, Integrity,
und Non-repudiation verantwortlich.
Digitale Signaturen können – seit kurzer Zeit auch rechtesgültig – als elektronisches Equivalent
zur händischen Unterschrift gesehen werden ([24]). Sie sind hingegen wesentlich fälschungssicherer
und können auch die Unverändertheit der Nachricht garantieren, was bisher
mit einer händischen Unterschrift nicht möglich war. In der Literatur werden mehrere Authentifizierungsmethoden
vorgestellt, die Public Key Kryptographie gilt jedoch als beliebtestes und
meisteingesetztes Verfahren [33].
Die Algorithmen beruhen auf der Tatsache, dass Daten auch mit dem Private Key verschlüsselt
und mit dem korrespondierenden Public Key wieder entschlüsselt werden können. Die Verschlüsselung
von Daten mittels Private Key wird in weiterer Folge als Signatur bezeichnet.
Man kann zeigen, dass folgende Beziehung gilt:
Sei M die Menge aller Nachrichten, Kpub die Menge aller öffentlichen Schlüssel, Kprv die Menge
aller privaten Schlüssel und C die Menge aller Geheimtexte.
∀ M ∈ M , ∀ C ∈ C , ∀ K pub ∈ K pub und ∀ K prv ∈ K prv gilt:
C K prv
: = E ( M )
(3.7)
M K pub
: = D ( C)
(3.8)
Es gilt wiederum:
M K pub K prv
= D ( E ( M ))
(3.9)
Gelingt es dem Empfänger, mit dem Public Key des erwarteten Senders eine Nachricht zu entschlüsseln,
muss diese vorher mit dessen Private Key verschlüsselt worden sein. Somit kann
die Nachricht nur vom gewünschten Sender stammen, die Authentizität ist damit bestätigt.
Diese Methode bietet eine sichere Authentifizierung und kann in Kombination mit der Verschlüsselung
zur Anwendung kommen. Es ist prinzipiell möglich, die gesamten übertragenen

Grundlagen Seite 32
Daten mit dem Private Key des Senders zu verschlüsseln – zu signieren. Es ergeben sich jedoch
folgende entscheidende Nachteile.
♦ Anwendung asymmetrischer Algorithmen auf große Datenmengen ist sehr
zeit- und rechenaufwendig
♦ Daten können während des Transfers trotz Verschlüsselung unbemerkt
verändert werden.
♦ Keine Klartextübertragung möglich.
Eine Lösung dieser Probleme bietet der Einsatz von Message Digest Funktionen. Seitens des
Senders wird zunächst eine kryptographische Prüfsumme über die Nachricht gebildet. Der
errechnete Message Digest wird dann mit dem Private Key verschlüsselt und der so entstandene
Ciphertext der ursprünglichen Klartextnachricht angehängt.
Seitens des Empfängers erfolgt die Entschlüsselung der Prüfsumme mit dem Public Key des
Senders. In einem weiteren Schritt wird der Message Digest über die Klartext Nachricht berechnet.
Ein Vergleich des beigefügten und des errechneten Digests gibt Auskunft, ob die
Nachricht während der Übertragung verändert worden ist.
Diese Methode zur Generierung digitaler Unterschriften gilt als äußert sicher und kommt in
allen gängigen kryptographischen Protokollen zum Einsatz.
Als Algorithmen kommen RSA und der „Digital Signature Standard“ DSA zum Einsatz. Während
RSA auch zur asymmetrischen Datenverschlüsselung verwendet werden kann, bietet DSA
ausschließlich die Möglichkeit, digitale Signaturen zu erstellen. DSA basiert auf der Berechnung
diskreter Logarithmen und bietet einen hohen Sicherheitsstand. Ab einer Schlüssellänge
von 1024 bis 2048 Bit gelten asymmetrische Verfahren zur Erstellung digitaler Unterschriften
als sicher.
Mittels digitaler Signatur kann zwar die Unverfälschtheit einer Nachricht garantiert werden, es
kann jedoch nicht sichergestellt werden, dass der zum entschlüsseln der Signatur verendete
Public Key tatsächlich vom gewünschten Empfänger stammt. Zur Gewährleistung der persönlichen
Identität stehen digitale Zertifikate zur Verfügung.
3.4.3.4 Digitale Zertifikate
Die Sicherstellung der Identität von Personen oder auch Netzwerkgeräten kann anhand von
digitalen Zertifikaten erfolgen. Die Zertifikatsausstellung erfolgt im allgemeinen durch dazu
berechtigte Institutionen, den Certificate Authorities (CAs). Der Identitätsnachweis, basierend

Grundlagen Seite 33
auf digitalen Zertifikaten, beruht auf Vertrauensbeziehungen zwischen Zertifikatsausstellern
und -inhabern. Sogenannte „Trust Models“ definieren Vertrauensebenen und legen fest, wer
wem vertrauen, beziehungsweise seine Identität bestätigen kann.
Das hierarchische Modell statuiert als oberste Ebene eine „Root Certificate Authority“ (Root
CA). Diese steht mit den untergeordneten Certificate Authorities in einer Vertrauensbeziehung
und bestätigt deren Identität. Die CAs gehen als Zertifikatsausteller mit deren Kunden eine
Vertrauensbeziehung ein und stellen nach Überprüfung der persönlichen Daten ein digitales
Zertifikat aus.
Die Überprüfung der Identität anhand von Zertifikaten erfolgt über die CAs. Den Certificate
Authorities kann als Zertifikatsaustellern immer vertraut werden; stellen die CAs ein Zertifikat
für eine Person aus, garantiert die Vertrauensbeziehung die Identität der Person.
Hierarchische Modelle kommen in nahezu allen gängigen kryptographischen Protokollerweiterungen
zum Einsatz.
Einen weiteren Ansatz bietet das Web of Trust. Dieses Modell basiert zwar ebenfalls auf einer
hierarchischen Struktur, bietet jedoch auch Interebenen Beziehungen an. Anwender können
sich gegenseitig ihre Identität durch signieren der Public Keys bestätigen. Das Web of Trust
bietet so eine Gütefunktion der Identität. Mit der Anzahl der Anwender, die einen Public Key
signieren, steigt die Güte der Identität. Dieser Ansatz kommt bei PGP zur Anwendung und
ermöglicht den Endanwendern, unabhängig von einer möglicherweise kostenpflichtigen Zertifizierungsstelle
die Bestätigung der persönlichen Identität [52].
S/MIME für verschlüsselte Email Anwendungen und SSL für sichere Webzugriffe basieren auf
hierarchischen Trust Models. Mit der Schlüsselgenerierung kann gleichzeitig ein „Certificate
Signing Request“ (CSR) erstellt werden. Der zuvor erzeugte Public Key sowie weitere Informationen
über Person oder Organisation werden dem CSR hinzugefügt. Im Speziellen handelt
es sich dabei um Informationen über Ausstellungsort, Daten der Institution, Servername und
Email Adresse einer verantwortlichen Person. Der CSR beinhaltet Basisinformationen zur Erstellung
eines digitalen Zertifikates, enthält aber keine geheim zu haltenden Daten. Die Übertragung
kann daher unverschlüsselt erfolgen.
Die Ausstellung des digitalen Zertifikates wird von der Certificate Authority durchgeführt. Ein
signieren des Certificate Signing Requests mit dem Privat Key der CA bestätigt die Identität
der Person oder Netzwerkkomponente und erzeugt aus dem CSR ein gültiges Zertifikat. Jedes
ausgestellte Zertifikat erhält eine eindeutige Seriennummer und wird nur für einen bestimmten
Zeitraum – üblich sind ein bis drei Jahre – ausgestellt.

Grundlagen Seite 34
Einen besonders wichtigen Beitrag zur Sicherheit liefert die Möglichkeit, bereits ausgestellte
Zertifikate zu widerrufen und für ungültig zu erklären, falls der Private Key kompromittiert, in
falsche Hände gekommen beziehungsweise die Person oder Institution nicht mehr vertrauenswürdig
ist. „Certificates Revocation Lists“ bilden ein öffentlich zugängliches Verzeichnis zurückgezogener
Zertifikate. Bevor die Identitätsprüfung anhand von digitalen Zertifikaten erfolgen
kann, sind die CRLs zu überprüfen ob dort ein Widerruf vermerkt ist.
Als Standardformate gelten X.509 und PKCS#11. Sie vereinfachen die Identitätsprüfung und
beinhalten den Public Key, der beim Aufbau einer sicheren Übertragungsstrecke zum Einsatz
kommt.
Digitale Zertifikate gewährleisten zwar die Identität von Personen und Netzwerkstationen, eine
Überprüfung, ob tatsächlich der gewünschte Endanwender mit dem Dienst kommuniziert, kann
allerdings nur bedingt erfolgen.
Personenbezogene, eindeutige Identifizierungsmerkmale gewährleisten die Identität von Einzelpersonen.
Der folgende Abschnitt ist der Identifizierung mittels persönlicher, körpereigener
Merkmale gewidmet.
3.4.4 Biometrie
Die Verarbeitung vertraulicher, medizinischer Daten in telemedizinische Applikationen erfordert
neben verschlüsselten Übertragungsverfahren eine personenbezogene Authentifizierung
des verantwortlichen Gesundheitspersonals. Passwörter, Zertifikate sowie Chipkarten bieten
zwar die Möglichkeit, Personen oder zumindest Endgeräte eindeutig zu identifizieren, sie können
jedoch an Unbefugte weitergegeben werden beziehungsweise können sich unautorisierte
Personen durch kriminelle Aktivitäten Zugang zu diesen Informationen verschaffen. Die Einzige
Möglichkeit, eine Authentifizierung und Identifikation spezifisch an berechtigte Personen
zu binden, ist der Einsatz eines für jeden Menschen eindeutigen und unveränderlichen biologischen
Merkmals [53].
Biometrische Verfahren ermöglichen durch Vermessung körpereigener Merkmale und Extraktion
der relevanten Attribute eine eindeutige Personenidentifikation. Eine Definition des Europäischen
Biometrie Forums lautet wie folgt:

Grundlagen Seite 35
“Biometrics are automated methods of recognising a person based on a physiological or
behavioral characteristic including fingerprinting, retinal and iris scanning, hand and finger
geometry, voice patterns, facial recognition, and other techniques” [54].
Authentifizierungsverfahren für telemedizinische Applikationen beruhend auf biometrischen
Merkmalen sollten eine hohe Akzeptanzrate berechtigter Anwender, eine hohe Abweisungsrate
nichtberechtigter Personen aufweisen sowie ein höchstmögliches Maß an Sicherheit gegen
Manipulation durch Nachbildung von Merkmalen autorisierter Personen bieten. Weiters muss
sichergestellt werden, dass durch den Einsatz biometrischer Verfahren keine gesundheitlichen
Langzeitfolgen verursacht werden, für die praktische Anwendbarkeit sollte weiters eine einfache
Integration in bestehende Sicherheitsarchitekturen gegeben sein.
Da biologische Merkmale einem natürlichen Wachstums- und Veränderungsprozess unterliegen,
kann eine Identifikation niemals mit absoluter Sicherheit erfolgen. Die Übereinstimmung
mit dem Vergleichsattribut kann nur zu einer bestimmten Wahrscheinlichkeit angegeben werden.
Die fälschliche Abweisung einer berechtigten Person wird als „False Rejection“, die Verifikation
einer nichtberechtigten Person als „False Acceptance“ bezeichnet [54].
Da biometrische Verfahren keinen exakten Vergleich zwischen gespeicherter Information
(„Template“) und der zur Verifikation erfassten Daten („Input Feature Vector“) ermöglichen,
erfolgt die Entscheidung zwischen Acceptance und Rejection anhand eines definierbaren
Grenzwertes. Liefert die Ähnlichkeitsfunktion zwischen Template und Input Feature Vector
einen höheren Wert als Grenzwert, gilt der Verifikationsversuch als erfolgreich, andernfalls als
gescheitert. Die Verifikation einer Identität anhand biometrischer Merkmale kann formal wie
folgt dargestellt werden:
Sei Q der Input Feature Vector und I eine zu verifizierende Identität, so erfolgt die Überprüfung,
ob (I, XQ) Element von w1 oder w2 ist. w1 symbolisiert eine erfolgreiche Verifikation,
wobei der Misserfolg als w2 bezeichnet wird. Die Klassifikation erfolgt durch Vergleich von
XQ mit XI, wobei XI, das gespeicherte Template der zu verifizieren Identität darstellt. Somit
gilt:
( I,
X
⎪⎧
w
) ∈ ⎨
⎪⎩ w
1
2
S(
X
S(
X
Q
Q
, X
, X
I
I
) ≥ t,
Q (3.10)
) ≤ t,

Grundlagen Seite 36
wobei als S die Vergleichsfunktion zwischen XQ und XI bezeichnet wird und t als vordefinierter
„Threshold“ (Grenzwert). S(XQ, XI) liefert das Ähnlichkeitsmaß oder „Matching Score“ zwischen
Template und Input Feature Vector.
Von den zur Zeit am Markt befindlichen Technologien scheinen die im Folgenden aufgelisteten
Verfahren vor allem aufgrund der hohen Sicherheit und der einfachen Integrierbarkeit in
bestehende Sicherheitsinfrastrukturen für telemedizinische Applikationen als besonders geeignet:
♦ Finger Print Scanning
♦ Iris und Scanning
♦ Facial Recognition

Methoden Seite 37
4 Methoden
4.1 5 Stufen Methode zur Vorgehensplanung
Jedes Projekt – so auch diese Arbeit – erfordert eine zielgerichtete Planung. Die Inhalte des
Vorgehensplans sind mit der Zielsetzung abzugleichen und der Projektverlauf ist kontinuierlich
zu prüfen [12].
Mit der 5-Stufen-Methode zur Vorgehensplanung können Vorgehenspläne erstellt werden, in
denen folgende Aspekte enthalten sind:
♦ der Gegenstand, um den es in dem Projekt gehen soll und die Motivation, die ein
solches Projekt notwendig erscheinen lässt,
♦ die Problemstellung,
♦ die Zielsetzung des Projekts,
♦ die Frage- bzw. Aufgabenstellung und
♦ die Arbeitspakete und Prüfsteine.
In der Einleitung werden gesetzliche, organisatorische und finanzielle Rahmenbedingungen
festgelegt, sowie das Projektteam und die Projektleitung bestimmt. Gegenstand und Motivation
stellen die Bedeutung des Projektes und den erwarteten Nutzen dar. Ausgehend von der
Motivation können konkrete Problemstellungen identifiziert werden, die durch das Projekt
gelöst werden sollen.
Unter Zielsetzung wird Ableitung konkreter Ziele verstanden, welche eine Lösung der zuvor
beschriebenen Probleme darstellen sollen. Jedem Ziel kann eine Frage- bzw. Aufgabenstellung
zugeordnet werden, anhand deren Beantwortung das definierte Ziel erreicht werden kann.
Aus der Frage- und Aufgabenstellung lassen sich Arbeitspakete ableiten, welche die Einzelheiten
des Arbeitsablaufes zur Lösung der Aufgabenstellung spezifizieren. Zur Überprüfung der
Zeitvorgaben können Prüfsteine festgelegt werden, die wichtige Projektzeitpunkte definieren
[12].

Methoden Seite 38
4.2 Abuse Case Modells
Abuse Cases ermöglichen die Modellierung des potentiellen Missbrauchsverhaltens für einzelne
Software Programme oder gesamte Netzwerkumgebungen mittels „Unified Modeling Language“
(UML) basierten, objektorientierten Modellen. Die in der Softwareentwicklung weit
verbreiteten UML Use Cases bilden die Grundlage der Abuse Case Modelle.
4.2.1 Use Cases
Die Abstraktion einer externen Einheit, welche mit dem System in Interaktion steht, wird als
Actor bzw. Akteur bezeichnetet.
Anwendungsfälle (Use Cases) beschreiben eine Menge von Aktivitäten eines Systems aus der
Sicht seiner Actors, die für diese zu einem wahrnehmbaren Ergebnis führen. Use Cases beschreiben
lediglich das externe Systemverhalten, über Systemdesign und Implementierung
werden keine Aussagen getroffen Ein Use Case wird stets durch einen Actor initiiert und stellt
eine komplette, unteilbare Beschreibung dar. Es gelten folgende Regeln:
♦ An jedem Use Case ist mindestens ein Actor beteiligt
♦ Jeder Use Case hat einen fachlichen Auslöser
♦ Jeder Use Case produziert ein für die Actors relevantes, fachliches Ergebnis
Use Cases Diagrams – auch Anwendungsfalldiagramme – beschreiben die abstrakten Zusammenhänge
zwischen einer Menge von Anwendungsfällen (Use Cases) und den beteiligten Akteuren
(Actors).
Use Case Diagrams enthalten eine Menge von Anwendungsfällen und eine Menge von Actors
und Ereignissen, die daran beteiligt sind. Use Cases werden durch Ellipsen dargestellt und mit
dem Namen des Anwendungsfalls beschriftet. Handelt es sich bei den Actors um Personen,
können diese als Strichmännchen dargestellt werden, sind technische Systeme damit gemeint,
kann deren Darstellung in Form eines Würfels erfolgen. Use Cases werden in einer – als „Association“
bezeichneten Beziehung – durch eine Linie mit dem verantwortlichen Actor verbunden.
Use Case Descriptions beschreiben die Sequenz der Ereignisse eines Use Cases strukturiert in
textueller Form, die Struktur ist nicht festgelegt und somit je nach Anforderungen frei wählbar.
Graphische Darstellungen in Form von Zustands- oder Ablaufdiagrammen erleichtern das Verständnis.
[55].

Methoden Seite 39
4.2.2 Abuse Cases
Abuse Cases basieren auf den in Kapitel 4.2.1 eingeführten Use Cases und erweitern diese um
einige zur Beschreibung des Missbrauchsverhaltens notwendigen Elemente. Zur Abuse Case
Modellierung kommen die von den Use Cases bekannten Standard UML Symbole zum Einsatz,
eine graphische Erstellung der Abuse Case Diagrams ist daher mit gängigen UML Design
Tools möglich.
Abuse Cases sind als Interaktion eines oder mehrerer Actors mit einem System definiert, wobei
die Ergebnisse dieser Interaktion dem System beziehungsweise einem der beteiligten Actors
Schaden zufügen.
Ein Abuse Case entsteht nur dann, wenn durch eine missbräuchliche Interaktion mit dem System
tatsächlich ein Schaden entsteht. Als Beispiel sei die Kompromittierung eines symmetrischen
SSL Session Keys genannt, welche für sich alleine keinen Abuse Case darstellt. Erst
wenn der Angreifer damit nicht für ihn bestimmte Informationen entschlüsselt, ergibt sich definitionsgemäß
ein Abuse Case.
Als Erweiterung zu den Use Cases führen Abuse Cases die Beschreibung der benötigten Rechte
(„Privilegs“) ein, welche zum erfolgreichen Missbrauch nötig sind. Ein Abuse Case beschreibt
den mit geringstem Aufwand erreichbaren Missbrauch von Privilegien der zum Ziel
des Angreifers, einer schadhaften Interaktionen mit dem System führt.
Die Beschreibung der Actors in den Use Cases ist kurz gehalten, Abuse Cases erfordern eine
wesentlich detailliertere Beschreibung der möglichen Actors. In Abuse Case Models erfolgt
die Charakterisierung der Actors anhand der folgenden Merkmale:
♦ „Resources“: Technische sowie organisatorische Mittel und Möglichkeiten
♦ „Skills“: Technische Fähigkeiten
♦ „Objectives“: Ziele, die der Angreifer mit der Attacke verfolgt
Die Objectives können auch als Langzeit Ziele über mehrere Abuse Cases definiert werden.
Für Abuse Case Descriptions sind folgende Erweitrungen definiert:
♦ „Harm“: Potentieller Schaden, den eine erfolgreiche Attacke anrichten kann
♦ „Privilege Range“:
Zugriffsrechte, die sich der Angreifer durch die Missbrauchsbeziehung verschafft
♦ „Abusive Interaction“: Detaillierte Ablaufbeschreibung einer möglichen Attacke

Methoden Seite 40
Anstelle der Abusive Interaktion wird in dieser Arbeit die Erweiterung „Attack Vector“ eingeführt.
Als Attack Vector werden alle Methoden bezeichnet, über die ein Angriff erfolgreich
ausgeführt werden kann. Da Attack Vectors die potentiellen Angriffswege anstelle von einem
möglichen Angriffsszenario darstellen, erscheinen sie für die modellbasierte Gefahrenanalyse
als besser geeignet [56].

Ergebnisse Seite 41
5 Ergebnisse
Es liegt die Vermutung nahe, dass Gesundheitsorganisationen einem erhöhten Sicherheitsrisiko
ausgesetzt sind und dass die Anzahl der Netzwerkangriffe auf diese Einrichtungen über dem
Durchschnitt liegt. Der Symantec Internet Security Threat Report vom März 2004 belegt dies
deutlich. Laut Symantec liegt der Gesundheitssektor mit 6.1 schwerwiegenden Sicherheitsvorfällen
von 10.000 an dritter Stelle einer zehnteiligen Bewertungsskala. Aus dem Symantec
Internet Security Threat Report geht weiters hervor, dass 2.9 % der registrierten Netzwerk Attacken
auf Einrichtungen des Gesundheitssektors als gezielte Angriffe bezeichnet werden können.
Somit liegen Gesundheitsorganisationen hinter der Hightech und E-commerce Branche
ebenfalls an dritter Stelle der Top 10 von gezielten Netzwerkattacken meistbetroffener Unternehmen.
Aufgrund der erhöhten sicherheitstechnisch bedenklichen Aktivitäten soll eine Evaluierung
möglicher Schwachstellen in Gesundheitsnetzwerken mittels modellbasierter Verfahren erfolgen.
Ausgehend von den ermittelten Schwachstellen werden Vorschläge zur Erweiterung der
bestehenden Sicherheitsinfrastruktur ausgearbeitet, welche einen entscheidenden Beitrag zur
End-to-End Security in medizinischen Befundnetzwerken liefern sollen.
Die Erstellung eines Modells möglicher Angriffsszenarien erfolgt am Beispiel des Befundnetzwerkes
health@net der Tiroler Landeskrankenanstalten (TILAK). Die entwickelten Modelle
sind jedoch allgemein gehalten und können somit einfach auf andere Netzwerkstrukturen
übertragen werden. Zur Modellierung kommen die in Abschnitt 4.2 eingeführten Abuse Cases
zum Einsatz.
5.1 Modellbasierte Gefahrenanalyse in telemedizinischen Netzwerken
Um einen hohen Sicherheitsstandard im Hinblick auf End-to-End Security zu gewährleisten,
ist es zunächst erforderlich, mögliche Angriffsszenarien zu erfassen. Erst in weiterer Folge
kann die Bewertung des Sicherheitsstandards des telemedizinischen Netzwerks anhand der
theoretisch möglichen Attacken erfolgen.
Abuse Cases bilden eine Erweiterung von Standard UML Konstrukten und eignen sich daher
besonders zur Modellierung eines möglichen Angriffsverhaltens ausgehend von Actors, die mit
einem oder mehreren Systemen eine Missbrauchsbeziehung eingehen.

Ergebnisse Seite 42
Netzwerk Attacken können grundsätzlich in die zwei Klassen – gezielte und ungezielte Angriffe
– unterteilt werden. Ungezielte Angriffe betreffen ein System zufällig, meist handelt es sich
dabei um Viren, Würmer, Trojaner oder andere automatisierte Schadensprogramme. Als Überbegriff
werden diese Schädlinge in der Literatur oft als „Malware“ (Malicious Software) bezeichnet
[57]. Script Kiddies sind als Anwender mit wenig technischen Kenntnissen definiert,
die mittels vorgefertigter Tools versuchen, möglichst viele Systeme zu kompromittieren.
Bei gezielten Angriffen wird bewusst versucht, in einbestimmtes System einzudringen, beziehungsweise
dort Schaden anzurichten [10].
Zur modellbasierten Gefahrenanalyse mittels Abuse Cases lassen sich folgende Actors definieren:
Ungezielte, automatisierte Angriffe:
♦ Malware
♦ Script Kiddies
Gezielte Angriffe:
♦ Saboteur
♦ Sniffing Attacker
♦ Intruder
Im folgenden Absatz erfolgt beispielhaft die Darstellung von Abuse Case Diagrams und Abuse
Case Descriptions für die identifizierten Actors. Aufgrund der Komplexität können nicht alle
theoretisch möglichen Szenarien abgedeckt werden, vielmehr wird versucht, die für den telemedizinischen
Bereich essentiellen Missbrauchsszenarien allgemein darzustellen.
5.1.1 Allgemeine Abuse Cases in telemedizinischen Netzwerken
Anhand der folgenden Modelle kann die Bewertung möglicher Missbrauchszenarien in telemedizinischen
Netzwerken erfolgen. Jedes der aufgestellten Modelle besteht aus Actor Description
(Resources, Skills Objectives), einem Abuse Case Diagram sowie einer Abuse Case
Description (Harm, Privilege Range, Attack Vector).

Ergebnisse Seite 43
Die Actor Description beschreibt des Verhalten der Angreifer und deren dazu benötigten Voraussetzungen
näher. In der Abuse Case Description sind die möglichen Angriffswege, sowie
das Gefahrenpotential des Angriffs näher erläutert
5.1.1.1 Malware
Als Malware werden alle Programme bezeichnet, die zu einer bewusst herbeigeführten Schädigung
des betroffenen Systems führen.
Deren Entwicklung erfolgt mit dem Ziel, möglichst viele zufällig ausgewählte Systeme automatisiert
zu kompromittieren. In Tabelle 5.1 ist die Actor Description des Abuse Case Malware
dargestellt.
Actor Description:
Resources
♦ Keine Personen, sondern automatische Agenten
♦ Alle bereits infizierten Systeme dienen der Verbreitung
♦ Hohe Netzwerkbandbreite
Skills
♦ Automatische Verbreitung
♦ Keine Intelligenz
♦ Nutzen bekannte Schwachstellen in Programmen oder
Betriebssystemen aus
Objectives
♦ Versuchen möglichst viele Systeme zu Infizieren
♦ Schaden anzurichten
♦ Angriffsmöglichkeiten aufzuzeigen
Tabelle 5.1: Actor Description Malware. Nähere Erläuterungen im Text.

Ergebnisse Seite 44
Abb. 4 zeigt den allgemeinen Abuse Case für Malware. In der Regel verbreiten sich Malware
Programme wie Vieren, Würmer oder Trojanische Pferde durch Ausnützen von Sicherheitslücken
einzelner Systeme. Auch unachtsame Anwender können durch Ausführen unbekannter
Programme zu deren Verbreitung beitragen.
In Tabelle 5.2 ist die detaillierte Abuse Case Description für Malware aufgeführt.
Abuse Case Diagram:
Malware
Abb. 4: Abuse Case Diagram Mal Ware.
Nähere Erläuterungen im Text.
Kompromittiert System durch Ausnüzten von
Sicherheitslücken (Exploits)
Bringt System zum Ausfall
Ermöglicht unautorisierten Remote Zugriff auf System
Verbreitet sich automatisch weiter
Versendet Dateien (Befunde) an unauthorisierte Stellen

Ergebnisse Seite 45
Abuse Case Description:
Harm
♦ Durch Exploit und installierte Backdoors entsteht ein undefinierter Systemzustand
♦ Gezielte Angreifer können Backdoors nützen
♦ Medizinische Daten können unbefugten Personen zugänglich werden
♦ Malware verbreitet sich automatisch im gesamten Netzwerk
♦ Befallene Systeme können als Ursprung von automatisierten
DDoS Attacken werden
Privilege Range
♦ Schadensprogramme werden meist mit Systemprivilegien ausgeführt
♦ Komplette Übernahme des durch Modifikation von Systemdateien (Root
Kits) eher selten
♦ Installation von Backdoors mit unterschiedlich hohen Privilegien für
unautorisierten Datentransfer
Attack Vector
♦ Sicherheitslücken in Programmen oder Betriebssystemen
♦ Über TCP / IP erreichbare Dienste mit bekannten Sicherheitslücken
♦ Unachtsame Benutzer (z.B. öffnen von unbekannten Emails)
♦ Spezielle TCP (*) Pakete beziehungsweise Sessions, die bekannte Sicherheitslücken
in Programmen zum Ausführen von beliebigem Code ausnützen
(Exploits)
Tabelle 5.2: Abuse Case Description Malware
(*)UDP Pakete können ebenfalls als Attack Vector in Frage kommen, in weiterer Folge werden
deshalb unter TCP Paketen implizit immer auch UDP Pakete verstanden. Nähere
Erläuterungen im Text.

Ergebnisse Seite 46
5.1.1.2 Script Kiddie
Bei Script Kiddies handelt es sich um Personen mit geringem bis mittleren Computer- und
Netzwerkkenntnissen, die versuchen, mittels im Internet verfügbarer Tools möglichst viele
Systeme zu kompromittieren. Script Kiddies handeln teilweise aus reiner Neugierde, versuchen
aber oft auch ihre Fähigkeiten unter Beweis zu stellen.
Script Kiddies verwenden meist vorgefertigte Tools, um Systeme durch Ausnutzten spezifischer
Sicherheitslücken zu kompromittieren. In Tabelle 5.3 ist die Actor Description des Abuse
Case Script Kiddie dargestellt.
Actor Descriptions:
Resources
♦ Arbeiten alleine und unorganisiert
♦ Standard PC Hardware
♦ Internet Zugang
♦ Einschlägige, vorgefertigte Software Tools zum Kompromittieren beliebiger
Systeme meist mit bestimmten Sicherheitslücken
Skills
♦ Grundlegende Computer-Kenntnisse
♦ Keine speziellen Programmier- oder Netzwerkkenntnisse
♦ Benutzen vorgefertigte, im Internet verfügbare Tools
Objectives
♦ Hohes kriminelles Potential
♦ Ungezielter Vandalismus
♦ Versuchen möglichst viele Systeme in kurzer Zeit zu kompromittieren, um
deren Fähigkeiten unter Beweis zu stellen
Tabelle 5.3: Actor Description Script Kiddie. Nähere Erläuterungen im Text.

Ergebnisse Seite 47
Abb. 5 zeigt den allgemeinen Abuse Case für Script Kiddie. Als Angriffsziele dienen wie bei
Malware zufällig ausgewählte Systeme. Die Ausführung der Attacke erfolgt meist vom Rechner
des Angreifers. Im Gegensatz zu Malware gehen die Exploits hier immer vom Angreifer
direkt aus. Bislang ist nicht bekannt, dass befallene Systeme selbst weitere Attacken ausführen.
Die automatische Kompromittierung der Systeme beruht meist auf dem Exploit eines spezifischen
Dienstes, mit dem sich der Angreifer Root Rechte verschafft. Unmittelbar danach wird
meist ein Backdoor installiert, welches einen späteren Zugriff auf das System ermöglicht. In
Tabelle 5.4 ist die detaillierte Abuse Case Description für Skript Kiddie aufgeführt.
Abuse Case Diagram:
Script
Kiddie
Abb. 5: Abuse Case Diagram Script Kiddie.
Nähere Erläuterungen im Text.
Kompromittiert System durch Ausnüzten von
Sicherheitslücken (Exploits)
Verschafft sich Root Rechte auf dem System
Ermöglicht unautorisierten Remote Zugriff auf System
Missbraucht System für verteilte Angriffe
Vereinfacht gezielte Angriffe durch installierte Backdoors

Ergebnisse Seite 48
Abuse Case Description:
Harm
♦ Durch Exploit und installierte Backdoors entsteht ein undefinierter Systemzustand
♦ Gezielte Angreifer können Backdoors nützen
♦ Medizinische Daten können unbefugten Personen zugänglich werden
Privilege Range
♦ Temporäre System- oder Administratorrechte
♦ Permanente System- oder Administratorrechte durch Modifikation von
Systemdateien (Root Kits)
♦ Anlegen neuer User für spezielle Services und Backdoors
Attack Vector
♦ Sicherheitslücken in Programmen oder Betriebssystemen
♦ Über TCP / IP erreichbare Dienste mit bekannten Sicherheitslücken
♦ Exploits
Tabelle 5.4: Abuse Case Description Script Kiddie. Nähere Erläuterungen im Text.
5.1.1.3 Saboteur
Saboteure versuchen, einem spezifischen System bewusst Schaden zuzufügen, ohne dabei an
dem Zugriff auf Daten interessiert zu sein. Sie besitzen höhere technische Fähigkeiten als
Script Kiddies sowie ein höheres Kriminalitätspotential. Saboteure führen gezielte Attacken
auf die Systeme der Opfer aus.
Deren Ziel, Systeme zum Ausfall zu bringen, erreichen sie entweder durch erzeugen hoher
Netzwerklast oder ausnützen von Implementierungsschwächen, welche einen Dienst oder das

Ergebnisse Seite 49
gesamte Betriebssystem zum Absturz bringen können. In Tabelle 5.5 ist die Actor Description
des Abuse Case Saboteur dargestellt.
Actor Description:
Resources
♦ Arbeiten alleine oder teilweise organisiert
♦ Ein oder mehrere Rechner mit Internet-Anbindung
♦ Hohe Netzwerkbandbreite
♦ Einschlägige, vorgefertigte Software
♦ Compiler und Software Development Kits
Skills
♦ Gute Computer-Kenntnisse
♦ Gute Programmier- oder Netzwerkkenntnisse
♦ Hohe Erfahrung mit Betriebssystemen
♦ Benutzen vorgefertigte, im Internet verfügbare Tools oder
♦ Programmieren Tools selber
Objectives
♦ Hohes kriminelles Potential
♦ Gezielter Vandalismus
♦ Versuchen bewusst, Systeme eines bestimmten Betriebes zu sabotieren
♦ Entlassene Mitarbeiter, die dem Unternehmen durch bewusstes Herbeiführen
von Systemausfällen Schaden zufügen wollen.
Tabelle 5.5 Actor Description Saboteur. Nähere Erläuterungen im Text.
Abb. 6 zeigt den allgemeinen Abuse Case für Sabotuer. Die Durchführung von Attacken gegen
einen Dienst oder das Betriebssystem erfolgt durch Versenden speziell konstruierter Netzwerkpakete,
die in der betroffenen Anwendung oder im Betriebsystem bekannte Fehlfunktionen
auslösen. Auch auf Anwendungsebene sind „Denial of Service“ (DoS) Angriffe möglich,

Ergebnisse Seite 50
das Versenden speziell konstruierter Emails kann den Mailserver selbst zum Absturz bringen
([58]). Die Generierung extrem hoher Netzwerklast führt zur Überlastung von Routern oder
Servern und somit zu deren temporärer Blockierung. Zur Erzeugung der Netzwerklast können
verteilte Systeme zum Einsatz kommen, man spricht in diesem Fall von „Distributed Denial of
Service“ (DDoS) Attacken. In Tabelle 5.6 ist die detaillierte Abuse Case Description für Saboteur
aufgeführt.
Abuse Case Diagram:
Saboteur
Abb. 6: Abuse Case Diagram Saboteur.
Nähere Erläuterungen im Text.
Abuse Case Description:
Sabotiert Verfügbarkeit des Systems
Blockiert System temporär durch Erzeugen
hoher Netzwerklast [(D)DoS]
Bringt System durch Ausnützen von
Sicherheitslücken zum Absturz (DoS)
Kompromittiert System und beschädigt System-
Dateien, löscht gezielt Dateien (Befunde)
Harm
♦ Saboteure gefährden die Verfügbarkeit des Systems
♦ Bewusst generierte Überlast durch verteilte Denial of Service Angriffe
(DDoS) können gesamtes Netzwerk lahm legen
♦ Blockierung der mit dem System verbundenen Clients

Ergebnisse Seite 51
♦ Keine speziellen Rechte
Privilege Range
Attack Vector
♦ Anflutung von TCP / IP Paketen, die übermäßig hohe CPU oder Netzwerklast
erzeugen
♦ Speziell konstruierte Eingabedaten, die zur temporären Blockierung oder
Absturz eines spezifischen Dienstes führen
♦ Speziell konstruierte TCP / IP Pakete, die undefinierte Aktionen auslösen
und so das Betriebssystem selbst zum Absturz bringen
♦ Fehlimplementierungen des TCP / IP Stacks
Tabelle 5.6: Abuse Case Description Saboteur. Nähere Erläuterungen im Text.
5.1.1.4 Sniffing Attacker
Angreifer versuchen sich mittels passivem oder aktivem Netzwerkmonitoring Zugriff auf die
übertragenen medizinischen Daten zu verschaffen. Für passives Monitoring ist direkter Zugang
zu den an der Übertragung beteiligten Netzwerkkomponenten nötig. Aktives Monitoring erfordert
den Einsatz von Man-In-The-Middle Attacks zum Umleiten des Traffics auf das System
des Angreifers. Zur Datenaufzeichnung kommt in beiden Fällen Sniffer Software zum Einsatz.
Die Vorgangsweise der Angreifer ist zielorientiert am Erfassen medizinischer Daten ausgerichtet.
Bei Sniffing Attacker ist von einem sehr hohen Kriminalitätspotential auszugehen, der Versuch,
entwendete Daten gewinnbringend zu umzusetzen, gilt als wahrscheinlich. In Tabelle 5.6
ist die Actor Description des Abuse Case Sniffing Attacker dargestellt.

Ergebnisse Seite 52
Actor Description:
Resources
♦ Einzelperson oder Personengruppe mit gleichen Absichten
♦ Mehrere PCs oder Server
♦ Internet-Zugang an mehreren Knoten zwischen den, am telemedizinischen
Netzwerk beteiligten Stationen
♦ Eventuell Zugang zu internen LANs
♦ Spezielle Sniffer Software
♦ Hardware Protokoll Analysatoren
♦ Hard- und Software Tools zum Brechen von
Verschlüsselungen (Brute Force Attacks)
Skills
♦ Sehr gute Computer-Kenntnisse
♦ Überdurchschnittlich hohe Netzwerk-Kenntnisse
♦ Gute Kenntnis von Scripting Sprachen
♦ Gute Kryptographie Kenntnisse
Objectives
♦ Sehr hohes Kriminalitätspotential
♦ Versuchen sich bewusst Zugriff auf medizinische Daten im Transfer zu
verschaffen
♦ Versuchen finanziellen Profit aus entwendeten Daten zu erreichen
♦ Gezielte Suche nach Befunden oder Krankenakten
einzelner Personen oder Personengruppen
Tabelle 5.7: Actor Description Sniffing Attacker. Nähere Erläuterungen im Text.
Abb. 7 zeigt den allgemeinen Abuse Case für Sniffing Attacker. Im Fall von aktivem Monitoring
erhält der Angreifer zusätzlich die Möglichkeit, übertragene Daten zu manipulieren. Weder
aktives noch passives Monitoring führt zur Schädigung der am Transfer beteiligten Syste-

Ergebnisse Seite 53
me. Es ist jedoch nicht auszuschließen, dass es im Fall von aktivem Monitoring als Nebeneffekt
der Address Spoofing Attacken zu einer temporären Beeinträchtigung der Netzwerkkommunikation
kommen kann.
Eine besondere Gefährdung geht von Sniffing Attackern aus, da medizinische Daten unbefugten
Personen zugänglich werden und unter Umständen unbemerkt verändert werden können.
Angriffe dieses Types können jedoch durch den Einsatz kryptographischer Verfahren wirkungsvoll
unterbunden werden. In Tabelle 5.8 ist die detaillierte Abuse Case Description für
Sniffing Attacker aufgeführt.
Abuse Case Diagram:
Sniffing
Attacker
Abb. 7: Abuse Case Diagram Sniffing Attacker.
Nähere Erläuterungen im Text.
Verschafft sich Zugang zur Netzwerkinfrastruktur zwischen
den beteiligten Kommunikationspartnern
Zeichnet Daten im Transfer auf
Verändert Daten im Transfer
Verwendet erfasste Daten missbräuchlich

Ergebnisse Seite 54
Abuse Case Description:
Harm
♦ Medizinische Dokumente gelangen in falsche Hände
♦ Angreifer kann sich nur Zugriff auf die übertragenen
Dokumente verschaffen
♦ Bestimmungen des Datenschutzgesetzes zum Schutz persönlicher Daten
werden nicht mehr erfüllt
♦ Vorsätzliche Veränderungen an Befunden oder Krankenakten können zu
Behandlungsfehlern führen
Privilege Range
♦ Da kein Eindringen in das Netzwerk erfolgt, führen die Angriffe auch zu
keinem Gewinn an Zugriffsrechten
♦ System- oder Administratorrechte auf Netzknoten zur Installation Software
♦ Physikalischer Zugang zum Netzknoten zur Installation von Sniffer Hardware
Attack Vector
♦ Address Spoofing Attacks (vorwiegend DNS- und ARP Spoofing)
♦ TCP Connection Hijacking
♦ Man-In-The-Middle Attacks
♦ Unverschlüsselte Übertragung des Payloads über TCP / IP
Verbindungen
♦ Interne Angriffe aus dem LAN der beteiligten Organisationen
♦ Externe Attacken über das Internet
Tabelle 5.8: Abuse Case Description Sniffing Attacker. Nähere Erläuterungen im Text.
5.1.1.5 Intruder
Als Intruder bezeichnete Angreifer verschaffen sich durch kompromittieren von am Befundaustausch
beteiligten Systemen direkt Zugriff auf die dort verarbeiteten medizinischen Daten.

Ergebnisse Seite 55
Der Einbruch kann einerseits durch Ausnutzen von Sicherheitsschwachstellen mittels Exploits
erfolgen, andererseits durch unbefugte Anmeldung am System unter Benutzerberechtigungen,
die zum Lese- oder Schreibzugriff auf Befunde erforderlich sind. Zum Login unter hohen Benutzer-
oder Administratorrechten ist die Umgehung des Authentifizierungsverfahrens nötig.
Passwort-basierte Authentifizierungsverfahren können unter Einsatz von Brute Force Attacken
umgangen werden. Der Aufwand ist dabei von der Güte der verwendeten Passwörter abhängig.
Bei Intrudern ist von einem noch höheren Kriminalitätspotential als bei Sniffing Attackern
auszugehen, da diese aktiv in ein Netzwerk eindringen, um sich Zugriff auf die verarbeiteten
Daten zu verschaffen. Es kann davon ausgegangen werden, dass die Angreifer gezielt nach
medizinischen Dokumenten einzelner Personen oder Personengruppen suchen, um die entwendeten
Daten gewinnorientiert zu verwerten. In Tabelle 5.9 ist die Actor Description des Abuse
Case Sniffing Attacker dargestellt.
Actor Description:
Resources
♦ Einzelperson oder Personengruppe mit gleichen Absichten
♦ Unterstützung von kriminellen Organisationen
♦ Mehrere PCs oder Server mit Internet Anbindung
♦ Eventuell Zugang zu internen LANs
♦ Spezielle Software (gezielte Exploits)
♦ Hard- und Software Tools zum Brechen von
Verschlüsselungen (Brute Force Attacks)
Skills
♦ Sehr gute Computer Kenntnisse
♦ Überdurchschnittlich hohe Netzwerkkenntnisse
♦ Detaillierte Kenntnisse über den Aufbau von Netzwerkprotokollen
♦ Überdurchschnittlich hohe Kenntnisse gängiger Programmiersprachen
(entwickeln Exploits selbst)
♦ Sehr gute Kenntnisse kryptographischer Algorithmen und Protokolle

Ergebnisse Seite 56
Objectives
♦ Extrem hohes Kriminalitätspotential
♦ Sehr starkes Interesse an medizinischen Daten
♦ Wesentlich aggressivere Vorgehensweise als Sniffing Attacker, um sich
Zugang zu medizinischen Daten zu verschaffen
♦ Gezielte Suche nach Befunden oder Krankenakten
einzelner Personen oder Personengruppen
♦ Versuchen finanziellen Profit aus entwendeten Daten zu erreichen
Tabelle 5.9: Actor Description Intruder. Nähere Erläuterungen im Text.
Abb. 8 zeigt den allgemeinen Abuse Case für Intruder. Die Angreifer haben starkes Interesse,
in telemedizinische Netzwerke einzudringen und versuchen, unter hohem Zeit- und Ressourcenaufwand
Schwachstellen zu finden und für Angriffe auszunutzen. Die eingesetzen Methoden
sind vielseitig und reichen von Exploits über Brute Force Attacken gegen Authentifizierungsverfahren
bis zu Social Engineering Verfahren, um Hinweise auf eventuell verwendete
Passwörter aus dem sozialen Umfeld eines Benutzers abzuleiten. Backdoors, welche in vorhergegangenen
Attacken von Script Kiddies oder Malware Programmen installiert wurden, erleichtern
Intrudern deren Angriff deutlich.
Aufgrund des überaus starken Interesses an medizinischen Daten besteht zusätzlich die Möglichkeit,
dass sich die Angreifer direkt physikalischen Zugriff auf das interne Netzwerk der
Befundversendenden Einrichtung verschaffen. Gelingt der physikalische Zugriff auf das interne
LAN, erlangen Address Spoofing Attacken auf dem Data Link Layer große Bedeutung. Der
Angreifer kann als Man-In-The-Middle fungieren und so die Rolle des Sniffing Attacker übernehmen.
Der Experimentelle Nachweis der Durchführbarkeit dieser Attacken ist in Kapitel 5.2
beschrieben.
Als wirkungsvolle Gegenmaßnahmen könnten für diesem Angriffstyp internes Firewalling
sowie zum Monitoring auftretender Attacken interne Intrusion Detection Systeme zum Einsatz
kommen. In Tabelle 5.10 ist die detaillierte Abuse Case Description für Intruder aufgeführt.

Ergebnisse Seite 57
Abuse Case Diagram:
Intruder
Abb. 8: Abuse Case Diagram Intruder.
Nähere Erläuterungen im Text.
Dringt in telemedizinisches Netzwerk ein
Kompromittiert gezielt Server und Netzwerkgeräte
Nützt bekannte Schwachstellen oder von
Malware installierte Backdoors für Angriffe
Versucht an Zugangsdaten (PINs, Passwörter)
heranzukommen
Manipuliert unsichere Authentifizierungsverfahren
Überträgt Befunde an unautorisierte Stellen
Verändert Befunde
Verändert gezielt System- und Logfiles,
um Attacken zu verschleiern
Konfiguriert kompromittierte Systeme
seinen Bedürfnissen entsprechend um

Ergebnisse Seite 58
Abuse Case Description:
Harm
♦ Medizinische Dokumente gelangen in falsche Hände
♦ Angreifer kann sich Zugang auf alle Dokumente des
kompromittierten Systems verschaffen
♦ Nach erfolgreichem Eindringen in das telemedizinische Netzwerk können
weitere Systeme wesentlich einfacher kompromittiert werden
♦ Bestimmungen des Datenschutzgesetzes zum Schutz persönlicher Daten
werden nicht mehr erfüllt
♦ Vorsätzliche Veränderungen an Befunden oder Krankenakten können zu
Behandlungsfehlern führen
♦ Intruder sind wesentlich gefährlicher als Sniffing Attacker, da Zugriff auf alle
Dokumente möglich ist
Privilege Range
♦ System oder Administrator-Rechte auf kompromittierten Servern
♦ System oder Administrator-Rechte auf Netzwerkgeräten
(Router, Firewall)
♦ Installation von Backdoors
Attack Vector
♦ Sicherheitslücken in Programmen oder Betriebssystemen
♦ Exploits
♦ Unsichere Authentifizierungsverfahren
♦ Gezielte Suche nach möglichen Zugriffsdaten im sozialen Umfeld eines
Benutzers (Social Engineering)
♦ Brute Force Attacken auf Administrator Accounts auf Server und Netzwerkgeräte
(Router, Firewall)
♦ Nützt von Malware installierte Backdoors
♦ Interne Angriffe aus dem LAN der beteiligten Organisationen
♦ Externe Attacken über das Internet
Tabelle 5.10: Abuse Case Description Intruder. Nähere Erläuterungen im Text.

Ergebnisse Seite 59
5.2 Experimenteller Nachweis von Sicherheitslücken
Der experimentelle Nachweis soll die theoretische Durchführbarkeit von Netzwerkattacken
anhand der in Kapitel 5.1.1 entwickelten Abuse Cases unter bestimmten Voraussetzungen bestätigen.
Zur experimentellen Verifizierung wurde als Beispiel der Abuse Case Sniffing Attacker
unter Punkt 5.1.1.4 herangezogen.
Es konnte bestätig werden, dass auch in Switched Ethernet Umgebungen Man-In-The-Middle
Attacks mittels ARP Spoofing beziehungsweise ARP Cache Poisoning erfolgreich durchgeführt
werden können. Dabei manipulieren ARP Cache Poisoning Angriffe gezielt die Zuordnung
von Hardware Adresse (MAC) zu IP Adresse – den ARP Cache – der attackierten Systeme
durch gefälschte ARP Replys. Durch Zuordnung der eigenen MAC Adresse im gefälschten
ARP Reply zur IP Adresse der an der Kommunikation beteiligten Stationen kann der Angreifer
den Traffic über sein System umleiten und wird so zum Man-In-The-Middle. Ismael Briones
Vilar beschreibt in seinem Artikel „ARP-SPOOFING - Espiando en redes segmentadas“ [40]
die Grundlagen sowie die detaillierte Vorgansweise.
5.2.1 Ziel der Messung
Ziel der Messung ist es, nachzuweisen, dass sich der Sniffing Attacker mittels ARP Cache Poisoning
als Man-In-The-Middle in die Verbindung zwischen FTP Server und FTP Client einklinken
kann und somit Zugriff auf die über das File Transfer Portocol (FTP) im Klartext
übertragenen Daten erhält.
5.2.2 Messaufbau
Eine durch den Angriff bedingte temporäre Beeinträchtigung der Netzwerkverbindungen im
Zielnetzwerk kann nicht ausgeschlossen werden, somit verhindert die Gefahr von Unterbrechungen
des Befundversandes die Messungen am Produktivsystem. Es wurde jedoch versucht,
im Messaufbau die realistischen Gegebenheiten im telemedizinischen Netzwerk health@net
originalgetreu nachzustellen.
Im Besonderen soll durch den Aufbau der Messungen der Transfer medizinischer Befunde
über das FTP Protokoll zwischen KIS und dem Befundversendenden System (MediKom)
nachgestellt werden. Der in den Messungen nachvollzogene Angriff ist jedoch nicht auf das
File Transfer Portocol beschränkt, prinzipiell können alle unverschlüsselt übertragen Daten wie
HL7 oder DICOM vom Angreifer mitgelesen werden.

Ergebnisse Seite 60
Die Messungen wurden durchgeführt mit:
♦ 1 Standard PC (MS Windows XP) mit FTP Client (Microsoft FTP Client)
♦ 1 Standard PC (MS Windows 2000) mit Cerberus FTP Server (Version 2.01) 1
♦ 1 Standard PC (SuSE Linux 8.2)
♦ 1 Ethernet Switch (Alcatel 4024)
♦ ARP Spoofing Software Hunt (Version 1.5) 2
♦ Sniffer Software Packetyzer (Version 2.0.0) 3
In Abb. 9 ist der Messaufbau schematisch dargestellt.
Abb. 9: Messaufbau Man-In-The-Middle Attack.
Mittels ARP Cache Poisoning kann der Sniffing Attacker den Traffic zwischen 10.4.1.43 und
10.4.1.80 auf die Adresse 10.4.1.57 umleiten und sich so Zugriff auf die über FTP übertragenen Daten
verschaffen. Nähere Erläuterungen im Text.
1 Cerberus FTP Server: http://www.cerberusftp.com/
2 HUNT Project: http://lin.fsid.cvut.cz/~kra/index.html#HUNT
3 Packetyzer - Packet Analyzer for Windows: http://www.networkchemistry.com/products/packetyzer/

Ergebnisse Seite 61
In Abb. 10 und Abb. 11 sind die ARP Caches – die Zuordnung von MAC zu IP Adresse – von
FTP Client und FTP Server dargestellt. Deutlich erkennbar ist die richtige Zuordnung zwischen
MAC und IP Adressen.
Abb. 10: Originaler ARP Cache von FTP Client.
In roter Schrift ist die korrekte Zuordnung von MAC Adresse zu IP Adresse des FTP Servers dargestellt.
Nähere Erläuterungen im Text.
Abb. 11: Originaler ARP Cache von FTP Server.
In roter Schrift ist die korrekte Zuordnung von MAC Adresse zu IP Adresse des FTP Clients dargestellt.
Nähere Erläuterungen im Text.
5.2.3 Durchführung und Auswertung der Messung (ARP Cache Poisoning Attack)
Die Attacke erfolgte vom Linux Rechner mit der Software Hunt. Diese wurde speziell für ARP
Spoofing, ARP Cache Poisoning, TCP Connection Hijacking und daraus resultierende Man-In-
The-Middle Attacks entwickelt und ist als Open Source Software frei verfügbar.

Ergebnisse Seite 62
Abb. 12 verdeutlicht den Ablauf des Angriffs. Die Software Hunt generiert ein gefälschtes
ARP Reply mit der Zuordnung von
[ IP 10.4.1.80 zu MAC 00:08:02:C9:2B:EF ]
und versendet es an den FTP Client. Ebenso wird ein gefälschtes ARP Reply mit der Zuordnung
von
[ IP: 10.4.1.43 zu MAC: 00:08:02:C9:2B:EF ]
generiert und an den FTP Server gesendet. Alle Pakete werden nun an den Angreifer geschickt,
um Kommunikation zwischen FTP Server und FTP Client zu ermöglichen, muss dieser die
empfangenen Pakete an die richtigen Stationen weiterleiten.
Abb. 12: ARP Cache Poisoning.
Angreifer verschickt gefälschte ARP Replys, um den Traffic über eigenes System umzuleiten.
Nähere Erläuterungen im Text.
In der ARP Cache Poisoning Software Hunt wurden folgende Befehle ausgeführt:

Ergebnisse Seite 63
src/dst host1 to arp spoof> 10.4.1.43 / 10.4.1.80
host1 fake mac [EA:1A:DE:AD:BE:01]> 00:08:02:C9:2B:EF
src/dst host2 to arp spoof> 10.4.1.80 / 10.4.1.43
host2 fake mac [EA:1A:DE:AD:BE:02]> 00:08:02:C9:2B:EF
refresh interval sec [0]>
Durch Auflistung des ARP Caches von FTP Client und Server konnte der Erfolg der Attacke
nachgewiesen werden. In Abb. 13 und Abb. 14 ist die falsche Zuordnung zwischen MAC und
IP Adresse erkennbar.
Abb. 13: ARP Cache von FTP Client nach erfolgreicher ARP Cache Poisoning Attacke.
Die IP Adresse des FTP Servers 10.4.1.80 verweist auf die MAC Adresse des Angreifers
00:08:02:c9:2b:ef. Die richtige Zuordnung wäre IP 10.4.1.80 zu MAC 00:08:02:c9:92:d4.
Nähere Erläuterungen im Text.
Abb. 14: ARP Cache von FTP Server nach erfolgreicher ARP Cache Poisoning Attacke.
Die IP Adresse des FTP Clients 10.4.1.43 verweist auf die MAC Adresse des Angreifers
00:08:02:c9:2b:ef. Die richtige Zuordnung wäre IP 10.4.1.43 zu MAC00: 00:e2:86:0e:a1.
Nähere Erläuterungen im Text.
Nach erfolgreichem ARP Cache Poisoning kann der Angreifer durch Weiterleiten des Traffics
(Relaying) zum Man-In-The-Middle werden. Folgende Befehle in der ARP Cache Poisoning

Ergebnisse Seite 64
Software Hunt aktivieren die Weiterleitung der empfangenen Pakete und machen den Angreifer
so, von Client und Server unbemerkt, zum Man-In-The-Middle.
-arps/relay> a
src ip addr/mask ports [0.0.0.0/0]> 10.4.1.43/0 20 21
dst ip addr/mask ports [0.0.0.0/0]> 10.4.1.80/0 20 21
flags: [n]one, [d]rop, [e]th_relay [d]> e
eth relay device [tap0]>
mac on tap0 FE:FD:00:00:00:00
insert at [0]>
Zur Überprüfung des Erfolgs der Man-In-The-Middle Attack wurde eine FTP Verbindung zwischen
Client und Server aufgebaut. Vom Angreifer wurde selektiv der Traffic zwischen FTP
Client und Server auf den TCP Ports 20 und 21 mit der Open Source Sniffer Software Ethereal
aufgezeichnet. Die graphische Auswertung erfolgte mit der ebenfalls frei verfügbaren, auf
Ethereal basierenden Software Packetyzer.
Es konnte gezeigt werden, dass die FTP Verbindung über den Angreifer als Man-In-The-
Middle läuft. In Abb. 15 sind die aufgezeichneten Pakete dargestellt. Deutlich erkennbar sind
die im Klartext übertragenen Login Daten Benutzername und Passwort.

Ergebnisse Seite 65
Abb. 15: Sniffing durch Man-In-The-Middle.
Vom Angreifer als Man-In-The-Middle aufgezeichneter Traffic zwischen FTP Client und Server.
Deutlich erkennbar die Klartextübertragung des Passwortes über FTP, als Übertragungsprotokoll
ohne kryptographische Erweiterungen. Nähere Erläuterungen im Text.
5.2.4 Bewertung der Messergebnisse
Die Messungen fanden unter realitätsnahen Bedingungen statt und konnten die theoretische
Durchführbarkeit einer Man-In-The-Middle Attack nachweisen. Prinzipbedingt existiert jedoch
für ARP Spoofing beziehungsweise ARP Cache Poisoning Attacks die Einschränkung, dass
sich der Angreifer sowie die angegriffenen Systeme im selben IP Subnetz befinden müssen.
Router oder Firewalls können diese Angriffe somit wirkungsvoll verhindern.
Innerhalb eines IP Subnetzes gibt es auf dem Data Link Layer keine Möglichkeit, ARP Spoofing
Attacks zu verhindern. Es existieren jedoch Tools, mit denen sich derartige Aktivitäten
mit ausreichender Sicherheit erkennen lassen. Als einzig wirkungsvolle Gegenmaßname ist der
Einsatz kryptographischer Protokollerweiterungen, wie IPSec, erwiesen.

Ergebnisse Seite 66
Für health@net ist das Gefahrenpotential dieses Angriffs als relativ gering einzuschätzen, da
sich die Server in einem abgeschirmten IP Subnetz befinden. Gelingt es jedoch einem Angreifer,
in dieses Subnetz einzudringen und ein beliebiges System unter seine Kontrolle zu bringen,
kann dieser Man-In-The-Middle Attacks ungehindert durchführen. Verschafft sich der Angreifer
physikalischen Zugang zum Netzwerk, werden Attacken dieses Typs ebenfalls möglich.
5.3 Maßnahmen zur Gewährleistung der Sicherheit in Befundnetzwerken
Die im Datenschutzgesetz geforderten Maßnahmen zur Geheimhaltung persönlicher Daten
sowie zur Verhinderung von Datenmissbrauch gelten für telemedizinische Netzwerke als verbindlich.
Darüber hinaus bildet die MAGDA-LENA Richtlinie eine unverbindliche Empfehlung
speziell zum Schutz patientenbezogener, medizinischer Daten.
Maßnahmen zur Gewährleistung der in MAGDA-LENA geforderten End-to-End Security
werden in diesem Kapitel erläutert.
End-to-End Security kann in die folgenden drei Teilbereiche unterteilt werden:
♦ Übertragungssicherheit
(Sicherheit gegen unbefugten Zugriff auf Daten im Transfer)
♦ Authentifikation
(Zugriff auf System und Daten nur von berechtigten Personen)
♦ Systemsicherheit
(Sicherheit gegen Manipulationen der am telemedizinischen Netzwerk
beteiligten Systeme)
Die Ausführung aller in Kapitel 5.1.1 als Abuse Cases definierter Netzwerkattacken kann
durch den Einsatz der in den folgenden Abschnitten beschriebenen Sicherheitsmassnahmen
deutlich erschwert beziehungsweise deren Schadensausmaß drastisch reduziert werden.
5.3.1 Übertragungssicherheit
Wie bereits in Kapitel 3.4.2.4 erläutert, werden die Hauptanforderungen Privacy, Integrity,
Authentication und Non-repudiation an sichere Übertragungsverfahren durch den Einsatz kryptographischer
Algorithmen gewährleistet.
Der Einsatz von kryptographischen Übertragungsprotokollen gilt as wirkungsvolle Gegenmaßnahme
für den in Abschnitt 5.1.1.4 erläuterten Abuse Case Sniffing Attacker.

Ergebnisse Seite 67
5.3.1.1 Sichere Protokolle im Netzwerkprotokoll Stack
Basierend auf den Anforderungen erfolgt die Implementierung kryptographischer Erweiterungen
auf allen Layern des Netzwerkprotokoll Stacks. Die für telemedizinische Applikationen
relevanten kryptographischen Protokollerweiterungen der Netzwerk Layer sollen im Folgenden
erläutert werden.
♦ Physical Layer Security
♦ Network Layer Security
♦ Transport Layer Security
♦ Application Layer Security
Physical Layer Security
Kryptographische Erweiterungen bestehender Protokolle auf dem Physical Layer sind – bis auf
Verschlüsselung drahtloser Netzwerke – nicht im Einsatz. Eine sichere Kommunikation kann
nur zwischen Geräten, welche am selben physikalischen Medium angeschlossenen sind, aufgebaut
werden. Die Funktionalität ist in vollem Umfang durch kryptographische Protokollerweiterungen
auf höhere Ebene abgedeckt. Da sich durch den Einsatz von Physical Layer Security
nur ein örtlich begrenzter Sicherheitsgewinn erzielen lässt, scheint dessen Einsatz für telemedizinische
Dienste unrelevant. Sicherheitsmassnahmen auf dem physikalischen Layer sind
hier nur der Vollständigkeit halber erwähnt.
Drahtlose Netzwerke sind einem höheren Sicherheitsrisiko durch Eavesdropping ausgesetzt,
beliebige Stationen innerhalb der Reichweite des Funknetzes können den Funkverkehr abhören
und sich somit Zugang zu den übertragenen Daten verschaffen. Durch die Erweiterung des
„Wireless Local Area Network“ (WLAN) Übertragungsprotokoll um kryptographische Funktionen
soll eine der drahtgebundenen Netzwerkkommunikation equivalente Sicherheitsstufe
erreicht werden. Mittels „Wired Equivalent Privacy“ (WEP) werden Algorithmen zur Gewährleistung
der Datensicherheit für drahtlose Netzwerke bereitgestellt [59].
Network Layer Security
Network Layer Security bietet kryptographische Erweiterungen des Internet Protokolls (IP). Zu
den bekanntesten und für telemedizinische Applikationen relevanten zählen „Internet Protocol
Secure“ (IPsec) und „Internet Protocol Version 6“ (IPv6).

Ergebnisse Seite 68
IPSec erfüllt alle an sichere Übertragungsprotokolle gestellten Anforderungen und ermöglicht
eine, für Anwendungen transparente sichere Kommunikation durch Implementierung kryptographischer
Verfahren zur Sicherung des Payloads der IP Pakete. IPsec unterstützt als offener
Standard alle gängigen kryptographischen Verfahren zur Verschlüsselung sowie zur Datenintegritätsprüfung.
Verbindungen über IPsec können in zwei Übertragungsmodi erfolgen:
♦ Transport Modus
♦ Tunnel Modus
Im Transport Modus wird eine gesicherte End-to-End Verbindung zwischen den an der Kommunikation
beteiligten Hosts aufgebaut. Der kryptographische Endpunkt der Verbindung entspricht
somit auch dem logischen Endpunkt der Verbindung. Dazu wird ein IPsec Header zwischen
IP Header und Nutzdatensegment eingefügt. Der Transport Modus ermöglicht eine gesicherte
Host-zu-Host Verbindung.
Der Tunnel Modus kann zwischen IPsec Gateways aufgebaut werden und schafft durch eine
gesicherte Netz-zu-Netz Verbindung ein virtuelles privates Netzwerk, ein „Virtual Private Network“
(VPN). Die Verbindung vom Absenderhost zum Gateway und vom Gateway zum Zielhost
verläuft unverschlüsselt. Der logische Endpunkt der Kommunikationsverbindung entspricht
im Tunnel Modus nicht dem kryptographischen Endpunkt. Im Zuge des Tunneling
Vorganges wird ein neuer IP Header über den IPsec- sowie den ursprünglichen IP Header gesetzt.
Vom Gateway werden die inneren Pakete extrahiert und unverschlüsselt an den logischen
Kommunikationsendpunkt weitergeleitet [60].
IPsec implementiert mehrere Subprotokolle, um die Skalierbarkeit und Wartbarkeit des gesicherten
Datenaustausches zu gewährleisten. Die Anforderungen Integrity und Authentication,
sowie bis zu einem gewissen Grad die Non-repudiation wird durch den IPsec „Authentication
Header“ (AH) garantiert. Der AH bietet keine Verschlüsselung, sondern die Authentifizierung
der Datenquelle und sichert den Inhalt der Pakete vor Manipulation und verhindert das unbemerkte
wiederholte Senden der Pakete (Replay Attacken) [61].
Die Anforderung an Privacy wird durch den „Encapsulating Security Payload“ (ESP) erfüllt,
die eigentliche Verschlüsselung der Nutzdaten erfolgt im ESP. Authentication Header und
Encapsulating Security Payload können einzeln oder in Kombination sowohl im Transport als
auch im Tunnel Modus zum Einsatz kommen [62].
IPsec unterstützt weiters Protokolle zum sicheren Schlüsselmanagement; „Internet Key Exchange“
(IKE) und „Internet Security Association and Key Management Portocol“
(ISAKMP) seien hier als die wichtigsten erwähnt [63], [64].

Ergebnisse Seite 69
IPsec eignet sich vorwiegend zum Aufbau sicherer Netzwerk-zu-Netzwerk Verbindungen zur
Überbrückung einer unsicheren Netzwerkstrecke. Wird IPsec im Tunneling Modus betrieben,
erfolgt die Sicherung der Verbindung an den beteiligten Gateways und bleibt somit vollkommen
transparent für die kommunizierenden Stationen sowie für deren Applikationen.
IPv6 unterstützt als neue Version des Internet Protokolls alle mit IPsec eingeführten kryptographischen
Verfahren zur Gewährleistung der Datensicherheit ([32]).
Transport Layer Security
Zur Sicherung einzelner TCP Verbindungen kommen Transport Layer Security Protokolle
zum Einsatz. „Secure Socket Layer“ (SSL) und „Transport Layer Security“ (TLS) gelten als
die bekanntesten kryptographischen Protokollerweiterungen auf dieser Ebene. In folgenden
Abschnitten wird unter SSL implizit auch TLS verstanden.
Älteres SSL sowie neueres TLS Protokoll implementieren einen weiteren Layer – den Secure
Socket Layer – zwischen Transport- und Anwendungsebene. Verfahren zur Gewährleistung
aller an kryptographische Protokolle gestellten Anforderungen sind im Secure Socket Layer
implementiert.
SSL ermöglicht eine sichere Host-zu-Host beziehungsweise Applikation-zu-Service Verbindungen
über unsichere Netzwerke. Dementsprechend wird lediglich die, durch SSL geschützte
TCP Verbindung verschlüsselt, alle anderen Verbindungen bleiben unverschlüsselt. Die gängigsten
Anwendungsprotokolle bieten Sicherheitserweiterung auf Transport-Ebene an, die SSL
gesicherten Dienste verwenden in der Regel einen anderen TCP Port und sind meist anhand
eines an den Protokoll Namen angehängten „s“ zu erkennen. Eine SSL gesicherte HTTP Verbindung
wird zu HTTPS und verwendet standardmäßig anstelle des TCP Ports 80 den TCP
Port 443 (Well Known Ports).
Der SSL Protocol Stack besteht aus mehreren Subprotokollen, wobei das SSL Record Portocol
direkt auf TCP aufsetzt und somit die Basis der Secure Socket Layer Kommunikation bildet.
Der Aufbau einer SSL beziehungsweise TLS Verbindung – auch als Session bezeichnet – erfolgt
über eine so genannte Handshake Sequence zur Aushandlung der Verbindungsparameter
zwischen Client und Server.
Die Handshake Sequence wird von drei, dem SSL Record Portocol übergeordneten Protokollen
ausgeführt. Das SSL Handshake Protocol bewerkstelligt den client- und serverseitigen Aufbau
der SSL Session. Mittels SSL Change Cipher Spec Protocol werden Parameter der kryptographischen
Verfahren ausgehandelt und die Schlüssel ausgetauscht. Zur Übertragung von

Ergebnisse Seite 70
Fehlermeldungen kommt das SSL Alert Protocol zum Einsatz. Nach erfolgreichem Handshake
können Daten verschlüsselt übertragen werden [65], [66].
TLS/SSL ermöglicht als offener Standard die Verwendung gängiger kryptographischer Algorithmen
zur Gewährleistung der Datensicherheit.
SSL bietet durch die Möglichkeit, Applikation-zu-Service Verbindungen aufzubauen, eine
komfortable Lösung, spontan eine gesicherte Verbindung für einzelne Dienste herzustellen.
Eine SSL Kommunikation besteht zwischen Anwendungen und Server, und bleibt somit vollkommen
transparent für die darunter liegenden Netzwerke.
Application Layer Security
Verfahren zur Gewährleistung der Datensicherheit werden bei der Application Layer Security
von den an der Kommunikation beteiligten Anwendungen selbst bereitgestellt. Sicherheitserweiterungen
auf Anwendungsebene erfüllen prinzipiell alle Anforderungen an sichere Übertragungsverfahren.
Die Verschlüsselung der Nutzdaten wird hierbei vollständig von den Applikationen
durchgeführt und ist somit unabhängig von den eingesetzten Netzwerkprotokollen. Anders
ausgedrückt werden nur die Nutzdaten selbst verschlüsselt, die Übertragung erfolgt über
Standard Netzwerkprotokolle und somit unverschlüsselt in deren Payload Segment.
Für telemedizinische Applikationen relevante Application Layer Security Erweiterungen kommen
vorwiegend zur sicheren Übertragung von Emails zum Einsatz. Zu den meistverwendeten
Verfahren zählen „Secure/Multipurpose Internet Mail Extensions“ (S/MIME) und „Pretty
Good Privacy“ (PGP). „Privacy Enhanced Mail“ (PEM) wird als Internet Standard nur der
Vollständigkeit halber erwähnt.
S/MIME implementiert Security Features für die „Multipurpose Internet Message Extensions”
(MIME). Mailserver können standardmäßig nur Textdaten mit einer Zeilenlänge unter 1000
Zeichen (7bit US-ASCII) übertragen. MIME ermöglicht durch eine spezielle Kodierung den
Transfer von Binärdaten über das SMTP Protokoll [67]. Für jedes Dateiformat kann ein eigener
MIME Type spezifiziert werden. Der Einsatz des MIME Standards ist nicht notwendigerweise
auf Email Nachrichten beschränkt, die web basierte Übertragung multimedialer Daten
über das HTTP Protokoll stellt ein weiteres Anwendungsgebiet der Multipurpose Internet Message
Extensions dar.
S/MIME erweitert den MIME Standard um kryptographische Funktionen zur Gewährleistung
der bekannten Anforderungen (Authentication, Privacy, Integrity, Non-repudiation) an sichere
Übertragungsverfahren. Die technische Umsetzung erfolgt durch Implementierung der „Public-

Ergebnisse Seite 71
Key Cryptography Standards“ (PKCS) Spezifikationen, als Datenformat für Nachrichten
kommt PKCS #7 („Cryptographic Message Syntax Standard“) zum Einsatz , Zertifikate basieren
auf dem X.509v3 Standard [68], [69], [70].
S/MIME bietet, abhängig vom gewünschten Anwendungsfall, unterschiedliche Sicherheitsstufen,
Nachrichten können nur signiert, nur verschlüsselt oder signiert und verschlüsselt werden.
Die Übertragung der S/MIME Messages erfolgt in einem eigens dafür spezifizierten MIME
Type, und ist somit unabhängig von den eingesetzten Übertragungsprotokollen.
Pretty Good Privacy (PGP) kann ebenfalls zur sicheren Übertragung von Email Nachrichten
zum Einsatz kommen. PGP wurde ursprünglich zur Verschlüsselung von Dateien beliebigen
Inhalts unabhängig von MIME Types entwickelt. „Request For Comment 2015“ (RFC 2015)
standardisiert die Verwendung von PGP zur Erweiterung vom MIME um kryptographische
Funktionen. Zwar kommen bei S/MIME und PGP teilweise dieselben Algorithmen zum Einsatz,
eine unterschiedliche Transfer-Kodierung der Nachrichten verhindert jedoch eine Kompatibilität
der beiden Verfahren [70].
Einen grundlegenden Unterschied zwischen S/MIME und PGP stellen die Strategien zur Sicherstellung
der Identität von Einzelpersonen – auch „Trust Models“ genannt – dar. S/MIME
verwendet ausschließlich ein hierarchisches Trust Model, wobei vertrauenswürdige Zertifizierungsorganisationen
Einzelpersonen deren Identität bestätigen. Auf oberster Ebene ist die
„Root Certificate Autoritiy“ (Root CA) angesiedelt, welche die Authentizität der CAs bescheinigt,
diese wiederum bestätigen den Anwendern deren Identität. Erläuterungen zu digitalen
Zertifikate und Zertifizierungsmodellen sind in Kapitel 3.4.3.4 zu finden.
Der Nachweis der Identität einer Person basiert im Fall von PGP auf dem „Web Of Trust“.
Vereinfacht ausgedrückt können sich die Anwender untereinander durch gegenseitiges signieren
der Public Keys deren Identität bestätigen. Das Web Of Trust beruht zwar ebenfalls auf
einer hierarchischen Struktur, zeichnet sich aber durch die Möglichkeit von Inter-Ebenen Beziehungen
aus [52].
Application Layer Security bietet als einziges der vorgestellten Verfahren die Möglichkeit,
Personen auf direktem Weg anhand deren Zertifikaten zu authentifizieren und somit die übertragenen
Daten den Absenderpersonen zuzuordnen. Eine direkte Authentifizierung von Einzelpersonen
ist bei kryptographischen Protokollen auf den darunter liegenden Layern nicht möglich.
Physical-, Network- und Transport Layer Security bieten lediglich die Möglichkeit einzelne
Netzwerkgeräte als Urheber der versendeten Daten nachzuweisen. Im Fall von virtuellen
privaten Netzwerken (VPNs), aufgebaut durch IPsec im Tunneling Modus, gelingt eine sichere

Ergebnisse Seite 72
Authentifizierung nur zwischen den beteiligten Gateways, in den dahinter liegenden Netzwerken
können sich nahezu beliebig viele Stationen befinden.
Eine sichere, personenbezogene Authentifizierung beziehungsweise Autorisierung verlagert
die Verantwortung zur Sicherstellung der Identität beim Einsatz dieser Protokolle auf Anwendungsebene.
Somit ist es also Aufgabe der Applikationen, auch beim Einsatz kryptographischer
Protokolle mittels geeigneter Merkmale die Identität deren Anwender sicherzustellen.
Vor allem für telemedizinische Dienste ergeben sich aus dieser Tatsache bedeutende Konsequenzen.
Verfahren zur Sicherstellung persönlicher Identität werden in den folgenden Kapiteln
vorgestellt.
5.3.2 Authentifizierungsverfahren
Da die Sicherstellung der persönlichen Identität selbst durch den Einsatz kryptographischer
Protokolle nicht ausreichend garantiert werden kann, wird die Benutzerauthentifizierung auf
Anwendungsebene verlagert.
Durch den Einsatz effizienter Authentifizierungsverfahren kann ein Sicherheitsgewinn für Systeme
beziehungsweise Daten gegen unautorisierten Zugriff erzielt werden. Im speziellen gelten
Authentifizierungsverfahren als wirkungsvolle Gegenmaßnahme gegen den in Abschnitt
5.1.1.5 beschriebenen Abuse Case Intruder. Automatisierte Brute Force Attacken gegen Login
Passwörter, wie sie teilweise von Script Kiddies ausgeführt werden, (Abschnitt 5.1.1.2 Abuse
Case Script Kiddie), können ebenfalls durch effiziente Authentifizierungsverfahren verhindert
werden.
Zur Authentifizierung muss dem System ein Merkmal des Benutzers bekannt sein, welches
dessen eindeutige Identifizierung ermöglicht. Im Idealfall sollte dieses Merkmal eindeutig einem
Benutzer zuzuordnen sein, Handelt es sich dabei um ein geheimes Merkmal, wie PIN oder
Passwort, ist weiters dafür zu sorgen, dass dieses nicht in unbefugte Hände gelangt.
Abhängig von der Komplexität des Authentifizierungsverfahrens kann zwischen den folgenden
drei Verfahren unterschieden werden.
♦ Passwort-basierte Verfahren
♦ Token-basierte Verfahren
♦ Biometrische Verfahren

Ergebnisse Seite 73
5.3.2.1 Passwort-basierte Verfahren
Passwort-basierte Verfahren sind mit geringstem Aufwand zu implementieren und somit auch
am weitesten verbreitet. Die Authentifizierung erfolgt durch Überprüfung der Kombination aus
Benutzername und eines geheimen Passwortes. Passwörter bestehen meist aus einer Kombination
numerischer oder alphanumerischer Zeichen.
Aufgrund der Vielzahl von sicherheitstechnischen Schwächen Passwort-basierter Verfahren
erscheint deren Einsatz in telemedizinischen Applikationen als äußerst bedenklich.
Vorteile:
Nachteile:
♦ Einfache Implementation
♦ Benötigt keine externen Geräte
♦ Nahezu auf allen Systemen einsetzbar
♦ Kurze, einfache Passwörter sind leicht zu erraten beziehungsweise
anfällig für Social Engineering.
♦ Vor allem einfache Passwörter sind anfällig für Brute Force Attacken (gezieltes
Ausprobieren aller möglichen Kombinationen). Serverseitig sind derzeit standardmäßig
keine Verfahren implementiert, um dies zu unterbinden.
♦ Komplexe, sicherere Passwörter werden leicht vergessen beziehungsweise an leicht
zugänglicher Stelle notiert.
Zur Kompensation der Schwachstellen Passwort-basierter Verfahren können die im folgenden
erläuterten zusätzlichen Authentifizierungsmerkmale herangezogen werden.
5.3.2.2 Token- und Chipkarten basierte Verfahren
Die hier vorgestellten Verfahren verwenden externe Geräte zur Speicherung oder „Just In
Time“ Generierung eines eindeutigen Authentifizierungsmerkmals.

Ergebnisse Seite 74
Chipkartenbasierte Verfahren verwenden digitale Zertifikate zur Authentifizierung. Dazu wird
ein digitales Zertifikat des Benutzers auf der Chip Karte gespeichert. Im Zuge des Authentifizierungsvorgangs
kann das gespeicherte Zertifikat ausgelesen, an den Server geschickt und
dort auf dessen Gültigkeit überprüft werden.
Token-basierte Verfahren beruhen auf (pseudo)zufälligen One-Time-Passwords, generiert
durch ein als Token bezeichnetes externes Gerät. Die One-Time-Passwords sind jeweils nur für
einen bestimmten Zeitraum gültig und können auf Anforderung vom Token nach einem, dem
Server bekannten Algorithmus generiert werden.
Token- und Chipkarten basierte Verfahren bieten ein weitaus höheres Sicherheitsniveau als
Passwort-basierte Authentifizierungsverfahren.
Vorteile:
Nachteile:
♦ Hohe Sicherheit durch Einsatz kryptographischer Verfahren
♦ Hohe Resistenz gegenüber Brute Force Attacken
♦ Sozial Engineering unmöglich
♦ Passwörter können nicht vergessen beziehungsweise notiert werden.
♦ Erfordert externe Geräte
♦ Relativ hoher Serverseitiger Implementationsaufwand des
Authentifizierungsverfahrens
♦ Höhere Kosten als bei Passwort-basierten Verfahren
♦ Token oder Chipkarten können verloren oder an unbefugte Personen
weitergegeben werden.

Ergebnisse Seite 75
Evaluierte Verfahren
Als Token-basiertes Verfahren wurde der „MED KEY“ der Firma Medical Net 4 auf die theoretische
Anwendbarkeit zur Benutzerauthentifizierung für das health@net Projekt evaluiert. Die
Ergebnisse der Evaluierung sind in Tabelle 5.11 zusammengefasst.
Sicherheit: ♦ Hoch
Verfügbarkeit: ♦ Jederzeit als Testversionen verfügbar
Kosten: ♦ Gering
Implementation: ♦ Testapplikationen und SDK vorhanden
Cross Platform
Compatibility:
Positiv:
Negativ:
♦ Browser und Server unabhängig
+ Einfach und relativ sicher
+ Bereits teilweise unter niedergelassenen Ärzten verbreitet
+ Guter Support durch Medical Net Mitarbeiter
− Mögliches Timing Problem, da Authentifizierung über MED
KEY Server
− Nicht vollständig Personen bezogen (Diebstahl des Tokens)
Tabelle 5.11: Evaluierung der theoretischen Anwendbarkeit von MED KEY für health@net
Benutzerauthentifizierung.
5.3.2.3 Biometrische Verfahren
Wie bereits in Kapitel 3.4.4 erwähnt, erfolgt die Generierung des Authentifizierungsattributes
durch Auswertung körpereigener, unverwechselbarer Merkmale. Im folgenden Abschnitt werden
die meist verwendeten Biometrischen Verfahren vorgestellt.
4 Medical Net: http://www.medicalnet.at/

Ergebnisse Seite 76
Finger Print Scanning
Der Einsatz des Fingerabdrucks als eindeutiges Identifikationsmerkmal ist schon seit langem in
der Kriminalistik bekannt. Es gilt als gesichert, dass die Rillen-Struktur des Finger Prints für
jede Person eindeutig und auch über die Zeit unveränderbar ist. Anhand 18 unterschiedlicher
Strukturen des Abdrucks kann eine eindeutige Identifizierung erfolgen. Für den automatischen
Verifikationsprozess als besonders geeignet erweisen sich „Ridge Endings“ (Endpunkte der
Rillen) und „Ridge Bifurcations“ (Verzweigungen der Rillen), welche in der Literatur als „Minutiae“
bekannt sind. Endpunkte und Verzweigungen der Rillen eines Fingerabdrucks sind
schematisch in Abb. 16 dargestellt.
Ridge Ending Ridge Bifurcation
Abb. 16: Fingerprint Klassifikation.
Automatische Klassifikation anhand von Endpunkten und Verzweigungen der Rillen eines
Fingerabdruckes. Nähere Erläuterungen im Text.
Quelle: Hong, L. Jain, A. Pankanti, S. Bolle, R. Identity Authentication Using Fingerprints ([71]).
Die Authentifizierung erfolgt durch Erfassen des Fingerabdrucks (optisch oder kapazitiv), Extraktion
der Minutiae aus den Eingabedaten, Vergleich mit dem Template und Errechnung des
Matching Scores. Liegt das errechnete Ähnlichkeitsmaß über dem Threshold, gilt der Benutzer
als verifiziert. In Abb. 17 ist die Extraktion der Minutiae aus dem Fingerabdruck dargestellt,
Abb. 18 zeigt das „Alignment“ (Ausrichtung) des Eingabemusters mit dem gespeicherten
Template und das „Matching“ (Vergleich) der Eingabedaten mit dem Template.

Ergebnisse Seite 77
Abb. 17: Minutiae Extraktion aus einem Fingerprint.
Extraktion erfolgt anhand der Ridge Map. Nähere Erläuterungen im Text.
Quelle: Hong, L. Jain, A. Pankanti, S. Bolle, R. Identity Authentication Using Fingerprints ([71]).
Abb. 18: Alignment und Matching der Minutiae eines Fingerprints.
Das Eingabemuster ist in rot, das Template in blau dargestellt. Nähere Erläuterungen im Text.
Quelle: Hong, L. Jain, A. Pankanti, S. Bolle, R. Identity Authentication Using Fingerprints ([71]).

Ergebnisse Seite 78
Die Sicherheit des Fingerprint Scannings ist maßgeblich vom eingestellten Threshold und der
Erfassungsmethode abhängig. Eine optische Abtastung kann relativ einfach durch eine Photokopie
des Fingerabdruckes irregeführt werden, bei einer kapazitiven Abtastung erfolgt die Erfassung
der Eingabedaten durch Messung der Veränderung eines elektrischen Feldes, beeinflusst
durch die Leitfähigkeit der Haut. Kapazitive Verfahren sind somit wesentlich robuster
gegen Manipulationen.
Iris Scanning
Ebenfalls als eindeutiges Identifizierungsmerkmal gilt die Regenbogenhaut (Iris) des menschlichen
Auges. Als besonders vorteilhaft erweist sich die hohe Variabilität der Irismuster zwischen
verschiedenen Personen. Als planares Objekt ermöglicht die Iris eine von den Winkeln
der Bildaufnahme und Beleuchtung relativ unabhängige Erfassung. Deren Korrekturen erfordern
lediglich affine Transformationen [72].
Der Einsatz moderner Bildverarbeitungsverfahren ermöglicht die Berechnung des so genannten
„IrisCodes“ aufgrund der erfassten Muster. Der Verifikationsprozess beruht, wie auch beim
Fingerprint Scanning, auf dem Vergleich der Eingabedaten mit einem gespeicherten Template.
Die Gewinnung eines brauchbaren Eingabebildes erfolgt in drei Schritten: Fotographische Erfassung
der Augenpartie des Gesichtes, Lokalisierung des Auges und Extraktion der Iris.
Durch die Bilderfassung mit „Near Infrared Light“ mit einer Wellenlänge von 700 bis 900 nm
erscheinen die relevanten Muster besonders deutlich. In Abb. 19 ist die Lokalisierung der Iris
erkennbar, (a) zeigt die Aufnahme des Auges, in (b) ist die Lokalisierung der Iris und der errechnete
„IrisCode“ erkennbar.

Ergebnisse Seite 79
Abb. 19: Iris Lokalisierung.
Unter Near Infrared Light erfasstes Auge (a), in (b) ist die gefundene Iris mit einer
dünnen weißen Linie abgegrenzt. Nähere Erläuterungen im Text.
Anmerkung: Bei den Bildern handelt es sich um Augen unterschiedlicher Personen.
Quelle: Daugman, J. Demodulation By Complex-Valued Wavelets For Stochastic
Pattern Recognition ([73]).
Die Errechnung des IrisCodes aus dem aufbereiteten Bild erfolgt durch Extraktion der Phasen
Information mittels 2D Wavelet Demodulation, eine Betrachtung der Amplituden Information
ist wesentlich weniger aussagekräftig. Die mathematischen Hintergründe werden detailliert in
den Arbeiten von Daugmann, J. erläutert ([72], [73]).
Das Matching zwischen Eingabedaten und gespeichertem Template erfolgt durch Überprüfung
der statistischen Unabhängigkeit. Handelt es sich bei Eingabedaten und Template um Phasen-
Informationen gleicher Augen, kann die Hypothese der statistischen Unabhängigkeit mit einer
vernachlässigbar kleinen Irrtumswahrscheinlichkeit verworfen werden. Der Vergleich unterschiedlicher
Phasen-Informationen beweist – ebenfalls mit einer vernachlässigbar kleinen Irrtumswahrscheinlichkeit
– die statistische Unabhängigkeit von Template und Eingabedaten.
Iris Scanning-Technologien zur Personen Authentifizierung sind sehr sicher und kommen in
diversen kommerziellen Produkten zum Einsatz. Darüber hinaus ist dieses Verfahren sehr robust
gegen Manipulationen, in der Literatur werden Ansätze zur Erkennung gefälschter Irismuster
beschrieben [73].
Facial Recognition
Gesichtszüge sind maßgeblich daran beteiligt, wie Menschen einander erkennen. Das menschliche
Gesicht besitzt eine Vielzahl von Merkmalen, die zur Verifikation eingesetzt werden kön-

Ergebnisse Seite 80
nen. Die automatisierte Personenerkennung anhand von Gesichtszügen wird als Facial Recognition
bezeichnet.
Obwohl die Erfassung distinkter Merkmale des menschlichen Gesichts aufwendiger als bei
Fingerabdrücken beziehungsweise der Iris ist, kann die Verifikation durch Errechnen der Ähnlichkeitsfunktion
aus dem Vergleich von Template und Eingabedaten erfolgen.
Der Verifikationsprozess verläuft in mehreren Schritten: Die Eingabedaten werden Fotographisch
mittels digitaler Bilderfassung gewonnen. Die Erfassung mehrere Bilder aus unterschiedlichen
Winkeln erhöhen die Genauigkeit. Als zweiter Schritt erfolgt die Lokalisation des
Gesichtes im Bild. Ist die Position des Gesichtes bekannt, kann mit der Analyse der charakteristischen
Merkmale begonnen werden. Dazu herangezogen werden vor allem Merkmale, die
über die Zeit wenig veränderbar sind. Dazu zählen vorwiegend:
♦ Region oberhalb der Augen
♦ Umgebung der Wangenknochen
♦ Mundwinkel
Die Analyse der Merkmale erweist sich als komplex und kann durch Gesichtsausdruck und
Aufnahmewinkel beeinflusst werden. Diverse mathematische Verfahren werden dazu herangezogen
und ermöglichen eine unterschiedlich gute Klassifikation durch Kompensation von Mimik
und Betrachtungswinkel. Als gängigste Verfahren kommen Neuronale Netze, Local Feature
Analysis“ und „Principle Component Analysis“, die in der Literatur als „Eigenface Methode“
bekannt ist, zum Einsatz. Die Funktionsweise dieser Methoden wird in [74] und [75]
detailliert beschrieben.
Nach der Analyse erfolgt das Matching der errechneten Parameter mit dem gespeicherten
Template. Liefert die Vergleichsfunktion einen höheren Wert als der eingestellte Threshold,
gilt der Verifikationsversuch als erfolgreich.
Facial Recognition erlaubt eine einfache und benutzerfreundliche Authentifizierung mit geringem
Hardwareaufwand. Hintergrund, Mimik, Ausleuchtung und Aufnahmewinkel haben starken
Einfluss auf die Erkennungsleistung. Weiters können Veränderungen wie Bartwuchs, Brillen
und Sonnenbrillen zu falschen Ergebnissen führen. Zur Zeit existieren außerdem keine
Erfahrungswerte über die Robustheit des Systems gegenüber Manipulationen.

Ergebnisse Seite 81
Evaluierte Verfahren
Als Biometrische Verfahren wurden „Bio Web Server“ der Firma Eyentwatch 5 , sowie „SecureCAM“
der Firma Interbiometrics 6 auf deren theoretische Anwendbarkeit zur Benutzerauthentifizierung
für das health@net Projekt evaluiert.
Bio Web Server
Bio Web Server wurde zur User Authentifizierung für Webserver entwickelt. Ein an den Client
PC angeschlossener Fingerprint Scanner wird über ein Browser Interface gesteuert und erfasst
den Fingerabdruck. Der digitalisierte Fingerprint wird zum Webserver gesendet und dort unter
Anwendung der im vorigen Abschnitt erläuterten Verfahren mit dem, in der Datenbank gespeicherten
Templates verglichen.
Server- und Browser-Anwendungen sowie ein Software Development Kit (SDK) werden von
der Herstellerfirma zur Verfügung gestellt, somit lässt sich Bio Web Server relativ einfach in
die Microsoft Produktschiene integrieren. Für den Einsatz von Bio Web Server sind jedoch
serverseitig Microsoft Internet Information Server (IIS) und Microsoft SQL Server eine zwingende
Voraussetzung. Clients-Seitig erfolgt die Anbindung des Fingerprint Scanners über
ActiveX Steuerelemente im Webbrowser. Durch die zwingende Bindung an Microsoft Produkte
– sowohl Client- als auch Server-Seitig – wird der Plattformübergreifende Einsatz des Bio
Web Servers unmöglich.
Die Ergebnisse der theoretischen Evaluierung sind in Tabelle 5.12 zusammengefasst.
Sicherheit:
♦ Hohe Sicherheit, False acceptance rate bei 0.01 - 0.0001 %
♦ Keine 2 gleichen Bitmuster zulässig
Verfügbarkeit: ♦ Hoch, Verfügbarkeit von Testsystem unbekannt
Kosten:
Implementation:
5 Eyentwatch: http://www.eyenetwatch.com/
♦ Hardwarekosten mittel
♦ Softwarekosen Server-Seitig hoch
♦ MS IIS mit MSSQL Server
♦ Client-Seitig mittels ActiveX
6 Interbiometrics: http://www.interbiometrics.com

Ergebnisse Seite 82
Cross Platform
Compatibility:
Positiv:
♦ Nur auf Microsoft Produkten lauffähig, keine Java API
♦ Unklar, ob Bio Web Server auch als Authentication Server
weitere Server authentifizieren kann
+ Fertige Lösung für Biometrische Web Authentifizierung
+ Relativ geringer Implementationsaufwand
+ Hoher Sicherheitsstandard
Negativ: − Zwingt zum Einsatz von Microsoft Produkten
Tabelle 5.12: Evaluierung der theoretischen Anwendbarkeit von Bio Web Server
für health@net Benutzerauthentifizierung.
SecureCAM
SecureCAM wird von der österreichischen Firma Interbiometrics angeboten und befindet sich
noch in der Entwicklungsphase. SecureCAM implementiert Authentifizierungsverfahren auf
Basis von Facial Recognition. Die Datenerfassung erfolgt über eine am Host angeschlossene
Spezialkamera. Im Matching Verfahren werden die erfassten Daten mit Templates aus einer
Datenbank verglichen.
SecureCAM wurde als Server Lösung vorwiegend zur räumlichen Zugangskontrolle konzipiert,
somit ist pro Authentifizierungsserver eine Kamerainstallation vorgesehen. Eine Client –
Server Lösung scheint unter Verwendung des integrierten SDK mit akzeptablem Arbeitsaufwand
realisierbar. Ungeklärt dabei ist jedoch, inwieweit die Steuerung der Kamera über den
Browser mit plattformübergreifenden Technologien implementierbar ist und ob das gescannte
Bild über eine sichere Verbindung zum Webserver, der die Authentifizierung vornimmt, übertragen
werden kann.
Als entscheidender Nachteil erweist sich jedoch das frühe Entwicklungsstadium sowie das
Fehlen von Referenzimplementationen.
In Tabelle 5.13 sind die Ergebnisse der theoretischen Evaluierung zusammengefasst.
Sicherheit:
Verfügbarkeit:
♦ Unbekannt, abhängig von Kamera und Algorithmus
♦ False rejection rate höher als false acceptance rate
♦ Zur Zeit noch in Entwicklung, SDK ab Mitte 2004 verfügbar
♦ Testversion und Kamera auf Anfrage
Kosten: ♦ Hardwarekosten extrem hoch

Ergebnisse Seite 83
Implementation:
Cross Platform
Compatibility:
Positiv:
Negativ:
♦ Komplex, keine Testapplikationen vorhanden, Client – Server
Lösung komplett selbst zu implementieren
♦ Implementierung der Kamerasteuerung über Browser
unbekannt
♦ SDK Funktionalität unbekannt
♦ Server: Plattform unabhängig
♦ Aufwand für Webserver-Integration fraglich
♦ Browser Unabhängigkeit von SDK abhängig
+ Innovative Technologie
+ Berührungslos
+ Biometrisches Merkmal kann zusätzlich auf externem Device
gespeichert werden
+ Einfache Verwaltung der Nutzer
− Im Entwicklungsstadium
− Keine Anwendungen bekannt
− Keine Referenzen
− Teure Hardware
− Hohe Entwicklungszeiten
Tabelle 5.13: Evaluierung der theoretischen Anwendbarkeit von SecureCAM
für health@net Benutzerauthentifizierung.
5.3.3 Systemsicherheit
Unter Systemsicherheit wird die Absicherung der am telemedizinischen Netzwerk beteiligten
Systeme gegen Manipulationen, welche zu einem unbefugten Zugriff auf medizinische Daten
führen können, verstanden.
Eine hohe Systemsicherheit stell die Basis für die, in den Kapiteln 5.3.1 und 5.3.2 vorgestellten
Sicherheitsmaßnahmen Datensicherheit und Authentifizierungsverfahren dar. Durch die erfolgreiche
Kompromittierung von Systemen im telemedizinischen Netzwerk werden diese Maßnamen
wirkungslos, da sich der Angreifer direkten Zugang zu allen verarbeiteten Daten verschaffen
kann.
Eine hohe Systemsicherheit gilt als unmittelbare Gegenmaßnahme für die in den Kapiteln
5.1.1.1 und 5.1.1.2 beschriebenen Abuse Cases Mal Ware und Skript Kiddie.
Die Gewährleistung der Systemsicherheit kann nicht als einmaliger Vorgang gesehen werden,
vielmehr sind ständig Maßnahmen zu treffen, um die Systemsicherheit weiter zu verbessern.
Abb. 20 beschreibt den Optimierungsprozess der Systemsicherheit in den 5 Schritten [76]:

Ergebnisse Seite 84
1. Harden/Secure
(Absichern des Systems)
2. Prepare
(Identifizieren von Charakteristiken, die auf Missbauch hindeuten)
3. Detect
(Gezielte Suche nach Hinweisen auf Missbrauch)
4. Respond
(Schadensanalyse nach Kompromittierung, Wiederherstellung des
Originalzustandes)
5. Improve
(Verbessern der Sicherheitsmassnahmen, basierend auf gemachten Erfahrungen)
Abb. 20: Optimierungsprozess Systemsicherheit
Die Optimierung erfolgt in den fünf Schritten Harden/Secure, Prepare, Detect, Respond und Improve.
Nähere Erläuterungen im Text.
Quelle: Allen J. CERT System and Network Security Practices ([76]).
Als Punkt 1 (Harden/Secure) wird die Absicherung des Systems selbst beziehungsweise dessen
Abschirmung vor potentiell gefährlichem Netzwerkverkehr bezeichnet. In der Praxis erfolgt
dessen Umsetzung vor allem durch regelmäßiges Einspielen der Sicherheitsupdates von Betriebsystem
und Applikationen sowie durch Installation und regelmäßiges Update von Antivirus
Programmen.
Die Abschirmung vor potentiell gefährlichem Netzwerkverkehr wird durch den Einsatz von
Firewalls erreicht. Für Produktivsysteme mit höchsten Sicherheitsanforderungen gilt dessen
Integration in eine „Demilitarized Zone“ (DMZ) als erforderlich. Innerhalb der DMZ erfolgt
die Filterung des Netzwerkwerkers durch den zwei voneinander unabhängigen Firewalls. Die

Ergebnisse Seite 85
Blockierung nicht benötigter beziehungsweise potentiell gefährlicher Protokolle aus einem
öffentlichen Netz, wie dem Internet, wird vom externen Firewall übernommen, wobei mittels
internem Firewall die Abschirmung des Systems vom internen Netzwerk erfolgt.
Für die in Punkt 3 (Detect) geforderte Überwachung sollten „Intrusion Detection Systems“
(IDS), welche den Netzwerkverkehr auf mögliche Angriffsmuster überwachen, zum Einsatz
kommen. Eine neue, als „Intrusion Prevention System“ bekannte Technologie, erlaubt die
Kombination von Firewalling und IDS. Werden vom Intrusion Prevention System TCP/IP Pakete
als Netzwerkattacke erkannt, kann während des Angriffs der Netzwerkverkehr zu den
betroffenen Systemen blockiert werden [77].
Punkt 4 (Respond) bezeichnet Maßnahmen zur Analyse des Schadensausmaßes, sowie zur
Systemwiederherstellung. Die Wiederherstellung des ursprünglichen Systemzustands erfolgt
mittels zuvor angefertigter Backups. Zur Analyse des Schadensausmaßes kommen so genannte
„Forensic Tools“ zum Einsatz. Änderungen an beliebigen Daten lassen sich damit anhand von
zuvor erstellten kryptographischen Prüfsummen zuverlässig erkennen.

Diskussion Seite 86
6 Diskussion
Im Rahmen dieser Arbeit sollten zunächst sichere Authentifizierungsverfahren für den Einsatz
im health@net Projekt getestet und evaluiert werden. Aufgrund der mangelnden Verfügbarkeit
von Testsystemen wurde die Fragestellung dieser Arbeit um etliche Themen erweitert, um so
zur Gewährleistung der End-to-End Security ein Gesamtkonzept aller am Transfer medizinischer
Daten beteiligten Systeme zu entwickeln.
6.1 Diskussion der Methoden
Die Beantwortung der in Kapitel 2.3 abgeleiteten Fragestellung erfolgte anhand der 5-Stufen-
Methode zur Vorgehensplanung. Der Einsatz dieser Methode vereinfachte den strukturierten
Aufbau dieser Arbeit.
Zur Erstellung der Sicherheitsmodelle wurden die in Kapitel 4.2.2 eingeführten Abuse Case
Modelle eingesetzt. Bei Abuse Case Modellen handelt es sich um eine speziell für den Netzwerksicherheitsbereich
adaptierte Variante der in der Softwareentwicklung weit verbreiteten
UML Use Case Modelle. Deren Einsatz ermöglicht die einfache Entwicklung von übersichtlichen,
leicht zu interpretierenden Sicherheitsmodellen. Abuse Cases bieten eine anwenderzentrierte
Sichtweise des Modells. Sie eignen sich besonders gut zur Modellierung potentieller
Missbrauchsszenarien abgegrenzter Systeme mit geringem Komplexitätsgrad des Netzwerkes,
bei denen das Verhalten der Actors zumindest teilweise vorhersehbar ist. Abuse Cases erweisen
sich jedoch als ungeeignet, falls ein systemzentrierter Ansatz mit gänzlich unbekannten
Actors gefordert ist. Durch die Priorisierung der Actors kann das Systemverhalten in komplexen
Netzwerken nicht ausreichend miteinbezogen werden. Abuse Cases bieten somit weder die
Möglichkeit, Schwachstellen an den Systemen selbst zu erfassen, die einen Netzwerkangriff
ermöglichen, noch können mit diesem Modell Bedingungen spezifiziert werden, die auf den
Erfolg der Attacke schließen lassen. Weiters existieren keine ausreichenden Methoden um
einmal entwickelte Abuse Cases auf Systeme ähnlicher Konfiguration in komplexen Netzwerken
zu adaptieren.
Einen alternativen Ansatz zur Erstellung systemzentrierter Sicherheitsmodelle könnten die von
Bruce Schneier entwickelten Attack Trees und deren, als Attack Pattern bezeichnete Erweiterung
von Andrew P. Moore von bilden [78], [79].

Diskussion Seite 87
Attack Trees erlauben die Darstellung von Angriffsmustern auf diverse Systeme in komplexen
Netzwerken. Aufbauend auf der logischen Konstruktion des Baums können den Knoten
Bool‘sche oder auch kontinuierliche Werte zugeordnet werden. Somit ermöglichen Attack
Trees die Bewertung der Wahrscheinlichkeit einer Attacke auf ein bestimmtes System. Weiters
lassen sich einmal erstellte Attack Pattern auf Systeme ähnlicher Konfiguration adaptieren und
ermöglichen dadurch eine Wiederverwendung dieser Pattern.
Auf Attack Trees beziehungsweise Attack Pattern basierende Sicherheitsmodelle sind jedoch
prinzipbedingt komplexer und intuitiv weniger leicht verständlich. Außerdem sind für deren
Erstellung umfangreiche Kenntnisse der eingesetzten Systeme nötig.
Die Vielzahl unterschiedlicher Konfigurationen der von niedergelassenen Ärzten verwendeten
Praxissysteme als Befundclients, sowie die nicht in ausreichendem Maß vorliegende Detailinformation
über die zum Befundversand eingesetzten Systeme verhinderten den Einsatz systemspezifischer
Sicherheitsmodelle.
Aufgrund der geringen Komplexität des zur Modellierung herangezogenen Netzwerkabschnittes
und der guten Vorhersehbarkeit des möglichen Missbrauchsverhaltens erscheinen die in
Kapitel 5.1 eingesetzten Abuse Case Modelle zur Gefahrenanalyse als ausreichend. Eine detaillierte,
systemspezifische Analyse der Systemsicherheit galt darüber hinaus nicht als Ziel
dieser Arbeit, vielmehr wurde versucht, eine allgemein gehaltene Überblicksdarstellung über
das potentielle Angriffsverhalten in telemedizinischen Netzwerken zu entwickeln.
6.2 Diskussion der Ergebnisse
Diskussion zu Frage 1:
Welche Sicherheitsrisiken existieren momentan im elektronischen Befundversand und
wie kann deren modellbasierte Darstellung in allgemeingültigen Sicherheitsmodellen erfolgen?
Wie kann das potentielle Angreiferverhalten dargestellt werden?
Die in Kapitel 5.1 entwickelten Modelle zur Gefahrenanalyse basieren auf gut erforschten und
in der Literatur detailliert beschriebenen Angriffsszenarien. Für das den Modellen zugrunde
liegende Angreiferverhalten ergibt sich für die aufgestellten Modelle eine hohe Übereinstimmung
mit der Realität.
Zur Erstellung der Modelle wurden jedoch nur Sicherheitsschwachstellen betrachtet, für die es
bereits einmal durchgeführte und in der Literatur bekannte Angriffe gibt. Für gänzlich neue,

Diskussion Seite 88
nicht erfasste Angriffsmuster verlieren die Abuse Case Modelle jedoch ihre Gültigkeit. Als
Beispiel seien hier theoretisch mögliche Angriffe gegen Routing Protokolle aufgeführt, die
durch geschickte Manipulation der unverschlüsselt übertragenen Routing-Informationen Man-
In-The-Middle Attacks ermöglichen können. Sie wurden von der Modellierung nicht erfasst, da
keine bekannten Angriffsmuster für diese Schwachstelle existieren.
Im allgemeinen wird jedoch durch die aufgestellten Modelle der überwiegende Teil möglicher
Angriffe abgedeckt. Zur Erfassung neuer Angriffstypen können die bestehenden Abuse Cases
beliebig erweitert und deren Granularität verfeinert werden.
Diskussion zu Frage 2:
Mit Hilfe welcher Maßnahmen kann die gesetzlich geforderte Datensicherheit bei einem
überregionalem elektronischen Befundaustausch mit ausreichender Sicherheit garantiert
werden? Welche Technologien können dafür in Frage kommen?
Trotz wachsendem Trend zur Vernetzung medizinischer Systeme scheint die Steigerung des
Sicherheitsbewussteins weit hinter diesem Trend zurückzuliegen. Die Schaffung einer sicheren
telemedizinischen Infrastruktur verlangt mehr als Datensicherheit durch verschlüsselte Übertragung.
Unter End-to-End Security sollte vielmehr ein Gesamtkonzept für die Sicherheit aller, am
Transfer medizinischer Daten beteiligten Systeme verstanden werden. Dies umfasst vor allem
Systemsicherheit sowie eine sichere Speicherung der Daten nach erfolgtem Transfer auf den
Anwendungssystemen der Befundclients. Vor allem die Systemsicherheit stellt nach wie vor
ein ungelöstes Problem dar, es existieren keine international verbindlichen Standards und
Richtlinien, in denen Maßnahmen zur Systemsicherheit für telemedizinische Applikationen
ausreichend detailliert spezifiziert sind. MAGDA-LENA fordert zwar den Einsatz von „dem
Stand der Technik entsprechenden“ Firewalls ([23]), die Erstellung von Richtlinien zur Integrierung
der Systemsicherheit in ein sicherheitstechnisches Gesamtkonzept könnte einen Ansatz
für weiterführende Arbeiten bilden.
Ebenfalls ungeklärt ist die Einbindung der Benutzerautorisierung in die Sicherheitsinfrastruktur.
Schwachstellen bei der momentan verbreiteten Passwort-basierten Benutzerauthentifizierung
können durch den Einsatz moderner Authentifizierungsverfahren wirkungsvoll umgangen
werden. Bislang existieren jedoch keine allgemein einsetzbaren Verfahren zur Kontextbasierten
Zugriffskontrolle für authentifizierte Benutzer.

Diskussion Seite 89
Vor allem beim Einsatz verteilter Systeme, wenn Patientendaten unterschiedlicher Organisationen,
wie niedergelassenen Ärzten oder Krankenanstalten, in einem Data Warehouse den behandelnden
Ärzten zugänglich gemacht werden, stellt sich die zentrale Frage der Kontextbasierten
Autorisierung. Dabei ist sicherzustellen, dass der behandelnde Arzt lediglich auf den
für die Behandlung relevanten Teil der elektronisch verfügbaren Dokumente Zugriff erhält.
Die Speicherung medizinischer Daten in verteilten Systemen verlangt neben der Benutzerbasierten
Autorisierung nach Rollen- und Kontext-basierten Autorisierungsmethoden sowie
nach Verfahren zur Regelung der Zugriffsberechtigung in Notfallsituationen. Benutzern, die
eine gewisse Rolle im Diagnose- oder Behandlungsprozess einnehmen, muss Zugriff auf alle
für ihre Tätigkeit benötigten Daten gewährt werden. In Notfallsituationen sind alle medizinisch
relevanten Daten, unabhängig von Zugriffsberechtigungen auch bislang noch nicht autorisierten
Benutzern zur Verfügung zu stellen. Um den Datenschutz zu gewährleisten und Missbrauch
zu verhindern, ist der für Notfallsituationen vorgesehene Override bestehender
Zugriffsberechtigungen detailliert zu protokollieren.
In diesem Zusammenhang stellt sich darüber hinaus die Frage der Datenhoheit. Sollte der Patient
in Zukunft mitentscheiden dürfen, wem er Zugriff auf seine Daten gewährt, ist dies in die
Vergabe der Zugriffsberechtigungen mit einzubeziehen. Ein Ansatz zur Rollen- und Kontextbasierten
Autorisierung ist in dem speziell für den Gesundheitsbereich entwickelten „Dynamic
Authorization Framework for Multiple Authorization Types“ (DAFMAT) zu finden [80]. Die
Integration von Verfahren zur automatisierten Vergabe von Zugriffsberechtigungen durch
Auswerten des Dokumenteninhalts in Standard Autorisierungssysteme könnte Gegenstand
weiterer Arbeiten sein.
Im Fall des bidirektionalen Befundaustausches – wenn Teilnehmer am Befundnetzwerk auch
Befunde einsenden können – sind noch einige sicherheitstechnische Probleme zu lösen. Dabei
handelt es sich vorwiegend um die eindeutige Zuordnung von Dokumenten zu deren Einsendern
sowie die Sicherstellung der Authentizität der eingesandten Befunde. Einen möglichen
Lösungsansatz könnte der Einsatz von Healthcare Professional Cards zur Identifizierung der
Einsender als berechtigte Partner darstellen. Darüber hinaus kann durch digitales Signieren der
Dokumente selbst deren Authentizität garantiert werden.
Der bidirektionale Befundversand scheitert zur Zeit noch an der eindeutigen Identifizierung der
Patienten. Die Einführung eines Master Patient Index könnte eine eindeutige Patientenidentifizierung
schaffen. Bei der Einführung eines überregionalen, zentral verwalteten Master Patient
Index ergeben sich vor allem datenschutzrechtliche Probleme. Matching Algorithmen, welche

Diskussion Seite 90
eine eindeutige Zuordnung der lokal verwendeten Patienten Indices ermöglichen, könnten als
Lösungsansatz für die beschriebenen Probleme des Master Patient Index gesehen werden.
Nach Wegfall der organisatorischen Hindernisse ergeben sich für den bidirektionalem Befundaustausch
– bei Gewährleistung der Authentizität der Dokumente – keine sicherheitstechnischen
Bedenken. Die Problematik der Kontext-basierten Autorisierung bleibt jedoch auch in
diesem Fall bestehen.
Diskussion zu Frage 3:
Welche Methoden für eine sichere Authentifizierung der Kommunikationspartner können
im elektronischen Befundversand zum Einsatz kommen?
Die eingehende Analyse der Fachliteratur führte zu dem Ergebnis, dass für eine sichere Authentifizierung
Merkmale heranzuziehen sind, die möglichst eindeutig einem Benutzer zuzuordnen
sind. Passwort-basierte Authentifizierungsverfahren gelten mitunter aufgrund dieser
Tatsache als zu unsicher für telemedizinische Applikationen. Somit erscheinen für eine ausreichend
sichere Authentifizierung Token-basierte und biometrische Verfahren als geeignet. Token-basierte
Verfahren gelten als einfacher zu implementieren, wobei biometrische Verfahren
auf eindeutig einer Person zuzuordnenden Merkmahlen basieren.
Aufgrund der mangelnden Verfügbarkeit von Testsystemen konnte keine Bewertung erfolgen,
welche Verfahren für den Einsatz im health@net Projekt am geeignetsten erscheinen. In zukünftigen
Testinstallationen ist vor allem die Frage zu klären, ob mittels biometrischer Verfahren
bei einer gegen Null strebenden False Acceptance Rate die False Rejection Rate annehmbar
gering gehalten werden kann.
Diskussion zu Frage 4:
Wie hoch ist das Gefahrenpotential für Netzwerkattacken im Hinblick auf das
health@net Projekt abzuschätzen? Kann die Durchführbarkeit von Netzwerkattacken
experimentell nachgewiesen werden?
Systeme des health@net Projektes sind grundsätzlich allen Missbrauchsszenarien der in Kapitel
5.1.1 aufgestellten Abuse Cases ausgesetzt. Gelingt einem Angreifer eine Attacke, kann

Diskussion Seite 91
dies zur Schädigung des betroffenen System selbst oder schlimmstenfalls zum unbefugten
Zugriff auf medizinische Daten führen.
Aus den Abuse Case Modellen lassen sich mögliche Angriffsziele direkt ableiten und wirkungsvolle
Gegenmaßnahmen entwickeln. Zu deren Umsetzung erweisen sich die für jeden
Abuse Case definierten Attack Vectors als hilfreich. Ein Angriff scheitert, sobald dessen Attack
Vector unterbunden wird. Dies gilt jedoch nicht für neu auftretende, bislang unbekannte und
somit auch nicht in den Modellen erfasste Attack Vectors. Es besteht hier allerdings auch die
Möglichkeit, bei Bekannt werden neuer Attack Vectors diese mit geringem Aufwand in bestehende
Modelle zu integrieren.
Die theoretische Abschätzung des Gefährdungspotential kann anhand der Abuse Cases erfolgen.
Aus den Modellen lässt sich das Gefahrenpotential, welches von einer Attacke ausgeht,
ermitteln. Für eine Bewertung der effektiven Gefährdung der Systeme ist vor allem eine genaue
Kenntnis der Konfiguration nötig. Die Konfigurationsparameter der Befundversendenden
Systeme könnten mit angemessenem Aufwand ermittelt werden. Allerdings erscheint die Ermittlung
der Client-Seitigen Konfigurationen aufgrund der Vielzahl der eingesetzten Systeme
als undurchführbar. Darüber hinaus kann die Konfiguration beliebig vom Anwender verändert
werden, somit müsste die Bewertung für jedes vorhandene Praxissystem separat erfolgen.
Zur Erfassung des effektiven Gefährdungspotentials stellt weiters die Kenntnis von bereits
ausgeführten Missbrauchsversuchen ein unerlässliches Bewertungskriterium dar ([10]). Die
Auswertung von Firewall Logs sowie die Installation von Intrusion Detection Systemen könnten
im Bereich der Befundversendenden Systeme die benötigten Daten liefern. Von niedergelassenen
Ärzten als Befundempfänger kann jedoch nicht erwartet werden Firewall Logs auszuwerten
geschweige denn Intrusion Detection Systeme zu betreiben.
Einen weiteren Hinweis auf das momentan vorherrschende Gefährdungspotential kann ein
experimenteller Nachweis der Durchführbarkeit von Netzwerkattacken liefern. In Kapitel 5.2
konnte nachgewiesen werden, dass sich Man-In-The-Middle Attacks durch ARP Spoofing im
Subnetz der Befundversendenden Systeme mit geringem Aufwand durchführen lassen. Um den
Produktivbetrieb nicht zu gefährden, wurden die ARP Spoofing Angriffe in einem eigens dafür
aufgebauten und den realen Bedingungen soweit als möglich nachempfundenen Testnetzwerk
durchgeführt. Die in der Testumgebung gemessenen Ergebnisse können direkt auf Systeme der
Produktivumgebung übertragen werden, da zur Verhinderung von ARP Spoofing Attacken
spezielle Konfigurationen der aktiven Netzwerkkomponenten (Switches) oder der Einsatz von
kryptographischen Protokollen auf Netzwerkebene (IPsec) nötig ist.

Diskussion Seite 92
Aus den zuvor genannten Gründen erfolgte ausschließlich eine theoretische Abschätzung des
Gefährdungspotentials für Systeme des health@net Projektes. Die Implementierung eines Monitoringsystems
zur ständigen Beobachtung des effektiven Gefährdungspotentials scheint jedoch
in Zukunft zur Gewährleistung eines hohen Sicherheitsniveaus unerlässlich.
Diskussion zu Frage 5:
Welche Verfahren können zum Einsatz kommen, um die End-to-End Security zwischen
den beteiligten Kommunikationspartnern zu gewährleisten?
Unter End-to-End Security ist das Zusammenspiel aller sicherheitstechnischen Verfahren zu
verstehen, die eine sichere Ende-zu-Ende Kommunikation ermöglichen. Das Maß der Sicherheit
ist stark von den eingesetzten Technologien und Systemen abhängig.
Entscheidend hierbei ist die Definition des Endpunktes der Kommunikation. Ist damit der
Empfang der Nachricht gemeint und ist so eine sichere Übertragung der Daten ausreichend
oder wird erst die sichere Abspeicherung und Verarbeitung als Endpunkt der Kommunikation
definiert? Für diesen Fall werden Aspekte der verschlüsselten Speicherung von empfangenen
Dokumenten sowie deren Langzeitarchivierung relevant.
Eine absolute Sicherheit telemedizinischer Dienste kann jedoch niemals erreicht werden, es
wird immer ein gewisses Restrisiko bestehen bleiben. Maßnahmen zur Steigerung der Sicherheit
führen meist zu einer gewissen Einbusse des Bedienungskomforts. Vor allem die Akzeptanz
der Anwender wird maßgeblich mitentscheiden, welche Sicherheitsmassnahmen sich in
der Zukunft durchsetzen werden.
6.3 Zusammenfassende Betrachtungen
Verfahren, die heute zur Gewährleistung der Datensicherheit in telemedizinischen Netzwerken
eingesetzt werden, gelten als sehr sicher und deren Kompromittierung erweist sich als äußerst
zeit- und ressourcenaufwändig.
Die papierbasierte Übertragung medizinischer Dokumente per Post erfolgt meist gänzlich ohne
Berücksichtigung des Sicherheitsaspektes. Für einen Angreifer mit ausreichend hohem Kriminalitätspotential
scheint das Abfangen und sogar das unbemerkte Verändern von postalisch
übertragenen Befunden wesentlich einfacher als der Versuch, Verschlüsselungen zu brechen
und Integritätsprüfverfahren zu manipulieren.

Diskussion Seite 93
Gelingt es jedoch einem Angreifer Befundversendende Systeme zu kompromittieren, kann er
sich zu einer wesentlich größeren Menge an Befunden Zugriff verschaffen, als ihm bei der
postalischen Übertragung zur Verfügung stehen würde.
Vor allem die Entwicklung des Gesundheitssystems zu einer patientenzentrierten, vernetzten
Versorgung wird in Zukunft hohe Anforderungen an Datenschutz und Datensicherheit stellen.
Die Integration neuer Verfahren und Technologien in bestehende Sicherheitskonzepte wird
nötig werden, um den geänderten Rahmenbedingungen zu entsprechen.
Dafür könnte in weiterführenden Arbeiten die Erschaffung eines sicherheitstechnischen Gesamtkonzeptes
eine interessante Aufgabenstellung bilden. Dabei stellt vorwiegend die Integration
von Authentifizierungsverfahren und Techniken zur Rollen- und Kontext-basierten Autorisierung
eine zentrale Thematik dar.

Literatur Verzeichnis Seite 94
7 Literatur Verzeichnis
1. Robben M. Internetnutzung in Europa – ein Puzzle mit 1000 Teilen? Available at
http://www.ecin.de/marktbarometer/europa2/. Accessed on 2003 Oct 25.
2. Haux R, Ammenwerth E, Herzog W, Knaup P. Health care in the information society.
A prognosis for the year 2013. Int J Med Inf 2002;66(1-3):3-21.
3. Maglaveras N, Chouvarda I, Koutkias V, Meletiadis S, Haris K, Balas EA. Information
technology can enhance quality in regional health delivery. Methods Inf
Med 2002;41(5):393-400.
4. BGBl. I Nr. 165/1999 idF: BGBl. I Nr. 136/2001. Bundesgesetz über den Schutz
personenbezogener Daten (Datenschutzgesetz 2000 - DSG 2000).
5. Clasbrummel B, Schmitz J, Bolz A, Muhr G. [Can costs be lowered by posthospital
patient management with telecare]. Biomed Tech (Berl) 2002;47 Suppl 1
Pt 2:966-7.
6. Information Sciences Institute University of Southern California. 1981. Transmission
Control Protocol Darpa Internet Program Protocol Specification. Request For
Comments RFC 793. Available at http://www.ietf.org/rfc/rfc0793.txt?number=793.
Accessed on 2003 Oct 20.
7. Information Sciences Institute University of Southern California. 1981. Internet
Protocol Darpa Internet Program Protocol Specification. Request For Comments
RFC 791. Available at http://www.ietf.org/rfc/rfc0791.txt?number=791. Accessed
on 2003 Oct 20.
8. Pangalos G, Mavridis I, Iliouidis C, Georgiadis C. Developing a Public Key Infrastructure
for a Secure Regional e-Health Environment. Methods Inf Med
2002;5:414-418.
9. Armstrong D. An Intro to Computer Security. Available at
http://www.seas.rochester.edu:8080/CNG/docs/Security/. Accessed on 2003 Oct
27.
10. Wozak F. Modellierung der Intrusion Detection für einen Krankenhaus Verbund.
Salzburg, Austria: FH-Salzburg Fachhochschulgesellschaft mbH; 2002.
11. Sögner P. Telemedizin. Proceedings of the A-TelMed2001 - 1. Jahrestagung der
Österreichischen Wissenschaftlichen Gesellschaft für Telemedizin; 2001 Oct 5-6;
Innsbruck, Austria. Salzburg, Austria: Österreichiche Wissenschaftliche Gesellschaft
für Telemedizin; 2001.

Literatur Verzeichnis Seite 95
12. Haux R, Lagemann A, Knaup P, Schmücker P, Winter A. Management von Informationssystemen.
Stuttgart, Germany: B. G. Teubner; 1998.
13. Nagendran S, Moores D, Spooner R, Triscott J. Is telemedicine a subset of medical
informatics? J Telemed Telecare 2000;6 Suppl 2:S50-1.
14. Lau C, Churchill RS, Kim J, Matsen FA, 3rd, Kim Y. Asynchronous web-based
patient-centered home telemedicine system. IEEE Trans Biomed Eng
2002;49(12):1452-62.
15. Kario K, Yasui N, Yokoi H. Ambulatory blood pressure monitoring for cardiovascular
medicine. IEEE Eng Med Biol Mag 2003;22(3):81-8.
16. Vogl R. [Telemedicine: chances and risks]. Radiologe 2002;42(5):376-9.
17. Österreichische Ärztekammer. Richtlinien der österreichischen Ärztekammer für
die Übertragung medizinischer Daten. 2001.
18. Committee on National Security Systems. National Information Systems Security
(Infosec) Glossary. Available at http://security.isu.edu/pdf/4009.pdf. Accessed on
2004 Jun 09.
19. Lehman M, Meyer zu Bexten E. Handbuch der Medizinischen Informatik. München,
Germany: Carl Hanser Verlag; 2002.
20. Vetter R. [Aspects of data protection in telemedicine]. Z Arztl Fortbild Qualitatssich
2001;95(9):662-6.
21. Gritzalis S, Iliadis J, Gritzalis D, Spinellis D, Katsikas S. Developing secure Webbased
medical applications. Med Inform Internet Med 1999;24(1):75-90.
22. Council of Europe. Convention for the Protection of individuals with regard to automatic
processing of personal data Convention No. 108 (Strasbourg: CoE). Available
at http://conventions.coe.int/Treaty/EN/Treaties/Html/108.htm. Accessed on
2004 Jun 23.
23. Bundesministerium für soziale Sicherheit und Generationen (BMSG). Standards
und Richtlinien für den Informatikeinsatz im österreichischen Gesundheitswesen:
MAGDA-LENA II. Available at http://www.akh-wien.ac.at/STRING/. Accessed
on 2004 Feb 27.
24. BGBl. I Nr. 190/1999 idgF: BGBl. I Nr. 152/2001. Bundesgesetz über elektronische
Signaturen (Signaturgesetz - SigG).
25. Schabetsberger T. Telemedizinische Ansätze zur Qualitäts- und Effektivitätssteigerung
regionaler Gesundheitsversorgung am Beispiel der elektronischen Befund-

Literatur Verzeichnis Seite 96
übermittlung. Innsbruck, Austria: Private Universität für Medizinische Informatik
und Technik Tirol; 2003.
26. Food and Drug Administration Department of Health and Human Services. 21 CFR
Part 11. Available at
http://www.21cfrpart11.com/files/library/government/21cfrpart11_final_rule.pdf.
Accessed on 2004 Feb 29.
27. Blobel B. The European TrustHealth project experiences with implementing a security
infrastructure. Int J Med Inf 2000;60(2):193-201.
28. Hall ES, Vawdrey DK, Knutson CD, Archibald JK. Enabling remote access to personal
electronic medical records. IEEE Eng Med Biol Mag 2003;22(3):133-9.
29. Haux R, Winter A, Ammenwerth E, Brigl B. Strategic Information Management in
Hospitals. New York, USA: Springer; 2002.
30. Grimm C. Vorlesung Rechnernetze I – Teil 2 Wintersemester 2003/2004. Available
at http://www.rvs.uni-hannover.de/lehre/Rechnernetze-I-
WS0304/Rechnernetze_I_2_WS0304.pdf. Accessed on 2004 Mar 08.
31. Holtkamp H. Einführung in TCP/IP. Available at http://www.rvs.unibielefeld.de/~heiko/tcpip/inhalt.html.
Accessed on 2004 Mar 05.
32. Deering S, Hinden R. 1998. Internet Protocol, Version 6 (IPv6). Request For
Comments RFC 2460. Available at
http://www.ietf.org/rfc/rfc2460.txt?number=2460. Accessed on 2004 Mar 10.
33. Tanenbaum A. Computernetzwerke. Upper Daddle River, USA: Prentice Hall;
1998.
34. Internet Assigned Numbers Authority. PORT NUMBERS. Available at
http://www.iana.org/. Accessed on 2004 Mar 03.
35. Internet Engineering Task Force. The Internet Engineering Task Force. Available at
http://www.ietf.org/. Accessed on 2004 Mar 05.
36. Nema. DICOM Digital Imaging and Communications in Medicine. Available at
http://medical.nema.org/. Accessed on 2003 Mar 05.
37. HL7-Benutzergruppe in Deutschland. Health Level 7 Deutschland. Available at
http://www.hl7.de. Accessed on 2003 Mar 05.
38. Bellovin S. Security Problems in the TCP/IP Protocol Suite,. Available at
http://www.ja.net/CERT/Bellovin/TCP-IP_Security_Problems.html. Accessed on
2004 Mar 07.

Literatur Verzeichnis Seite 97
39. Valesco V. Introduction to IP Spoofing. Available at
http://www.giac.org/practical/gsec/Victor_Velasco_GSEC.pdf. Accessed on 2004
Mar 07.
40. Vilar B. ARP-SPOOFING - Espiando en redes segmentadas. Available at
http://umeet.uninet.edu/umeet2001/talk/4-12-2001/ismael.html. Accessed on 2004
Mar 07.
41. Krecher S. TCP-Connection-Hijacking. Available at
http://www.waptune24.de/krecher/hijack.pdf. Accessed on 2004 Mar 07.
42. Kang H, Froscher J, Eppinger B. Towards an Infrastructure for MLS Distributed
Computing. Washington, USA: Naval Research Laboratory; 1998.
43. Hammer D. Kryptologie Vorlesung an der FH Salzburg. Available at
http://www.fh-sbg.ac.at. Accessed on 2001 Feb 04.
44. Bellare M. CSE 207: Cryptography and Network Security, Fall 02. Available at
http://www-cse.ucsd.edu/~mihir/cse207/index.html. Accessed on 2004 Mar 14.
45. Godreich O. Modern Cryptography, Probabilistic Proofs and Pseudorandomness.
Berlin, Germany: Springer Verlag; 1999.
46. National Institute of Standards and Technology. NIST. Available at
http://www.nist.gov/. Accessed on 2004 Mar 21.
47. Fluhrer SM, D. Statistical Analysis of the Alleged RC4 Key stream Generator. Available
at Accessed on
48. Diffie W, Hellman ME. New Directions in Cryptography. IEEE Trans. on Information
Therory 1976;IT-22:644-654.
49. RSA Security Inc. RSA Laboratories | Cryptography FAQ | 3.1: RSA. Available at
http://www.rsasecurity.com. Accessed on 2004 Mar 15.
50. Rivest R. 1992. The MD5 Message-Digest Algorithm. Request For Comments RFC
1321. Available at http://www.ietf.org/rfc/rfc1321.txt?number=1321. Accessed on
2004 Mar 16.
51. Eastlake D, Jones P. 2001. US Secure Hash Algorithm 1 (SHA1). Request For
Comments RFC 3174. Available at
http://www.ietf.org/rfc/rfc3174.txt?number=3174. Accessed on 2004 Mar 16.
52. Network Associates Inc. Introduction to Cryptography. Available at
http://www.pgpi.org/doc/pgpintro/. Accessed on 2004 Mar 12.

Literatur Verzeichnis Seite 98
53. Blobel B, Pharow P, Spiegel V, Engel K, Engelbrecht R. Securing interoperability
between chip card based medical information systems and health networks. Int J
Med Inf 2001;64(2-3):401-15.
54. EBF. European Biometrics Forum. Available at
http://www.eubiometricforum.com/. Accessed on 2004 Mar 21.
55. Oestereich B. Die UML-Kurzreferenz für die Praxis. 2 ed. München, Deutschland:
Oldenbourg Wissenschaftsverlag GmbH; 2002.
56. McDermott J, Fox C. Using Abuse Case Models for Security Requirements Analysis.
Harrisonburg, USA: James Madison University; 1999.
57. SearchSecurity. Malware. Available at
http://searchsecurity.techtarget.com/sDefinition/0,,sid14_gci762187,00.html. Accessed
on 2004 Mai 06.
58. US-Cert. Sendmail fails to appropriately initialize data structures for DNS maps.
Available at http://www.kb.cert.org/vuls/id/993452. Accessed on 2004 Jun 19.
59. Borisov N, Goldberg I, Wagner D. Security of the WEP algorithm. Available at
http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html. Accessed on 2004 Feb 08.
60. Kent S, Atkinson R. 1998. Security Architecture for the Internet Protocol. Request
For Comments RFC 2401. Available at
http://www.ietf.org/rfc/rfc2401.txt?number=2401. Accessed on 2004 Mar 23.
61. Kent S, Atkinson R. 1998. IP Authentication Header. Request For Comments RFC
2402. Available at http://www.ietf.org/rfc/rfc2402.txt?number=2402. Accessed on
2004 Mar 25.
62. Kent S, Atkinson R. 1998. IP Encapsulating Security Payload (ESP). Request For
Comments RFC 2406. Available at
http://www.ietf.org/rfc/rfc2406.txt?number=2406. Accessed on 2004 Mar 25.
63. Harkins D, Carrel D. 1998. The Internet Key Exchange (IKE). Request For Comments
RFC 2409. Available at http://www.ietf.org/rfc/rfc2409.txt?number=2409.
Accessed on 2004 Mar 23.
64. Maughan D, Schertler M, Schneider M, Turner J. 1998. Internet Security Association
and Key Management Protocol (ISAKMP). Request For Comments RFC 2408.
Available at http://www.ietf.org/rfc/rfc2408.txt?number=2408. Accessed on 2004
Mar 23.
65. Engelschall S. User Manual mod_ssl version 2.8. Available at
http://www.modssl.org/docs/2.8/index.html. Accessed on 2004 Mar 09.

Literatur Verzeichnis Seite 99
66. Dierks T, Allen C. 1999. The TLS Protocol. Request For Comments RFC 2246.
Available at http://www.ietf.org/rfc/rfc2246.txt?number=2246. Accessed on 2004
Apr 23.
67. Freed N, Borenstein N. 1996. Multipurpose Internet Mail Extensions. Request For
Comments RFC 2045. Available at
http://www.ietf.org/rfc/rfc2045.txt?number=2045. Accessed on 2004 Apr 05.
68. RSA Laboratories Burton S. Public-Key Cryptography Standards. Available at
http://www.rsasecurity.com/rsalabs/pkcs/. Accessed on 2004 Mar 11.
69. Adams C, Farrell S. 1999. Internet X.509 Public Key Infrastructure Certificate Management
Protocols. Request For Comments RFC 2510. Available at
http://www.ietf.org/rfc/rfc2510.txt?number=2510. Accessed on 2004 Mar 11.
70. Internet Mail Consortium. S/MIME and OpenPGP. Available at
http://www.imc.org/smime-pgpmime.html. Accessed on 2004 Mar 10.
71. Hong L, Jain A, Pankanti S, Bolle R. Identity Authentication Using Fingerprints.
Lecture Notes in Computer Science 1997;1206:103--??
72. Daugman J. How Iris RecognitionWorks. IEEE Transactions On Circuits And Systems
For Video Technology 2004;14(1).
73. Daugman J. Demodulation By Complex-Valued Wavelets For Stochastic Pattern
Recognition. International Journal of Wavelets, Multiresolution and Information
Processing 2003;1(1):1-17.
74. Henry V. Biometrics: Face Recognition Technology. Available at
http://www.giac.org/practical/gsec/Veronica_Henry_GSEC.pdf. Accessed on 2004
Mar 29.
75. International Biometric Group. Primary Facial Recognition Technologies. Available
at http://www.biometricgroup.com/reports/public/reports/facialscan_primary.html.
Accessed on 2004 Mar 29.
76. Allen J. CERT System and Network Security Practices. Fairfax, USA: Carnegie
Mellon University; 2001.
77. Lindstrom P. Intrusion Prevention Systems (Ips): Next Generation Firewalls. Available
at http://www.toplayer.com/generic/Spire_IPS_Whitepaper.pdf. Accessed on
2004 Jun 01.
78. Schneier B. Attack Trees. Available at http://www.schneier.com/paper-attacktreesddj-ft.html.
Accessed on 2004 Jun 13.

Literatur Verzeichnis Seite 100
79. Moore A, Ellison R, Linger R. Attack Modeling for Information Security and Survivability.
Available at http://www.cert.org/archive/pdf/01tn001.pdf. Accessed on
2004 Jun 13.
80. Ramaswamy C. A Framework for Multiple Authorization Types in a Healthcare
Application System. Available at http://csrc.nist.gov/rbac/rmouli_healthcare.pdf.
Accessed on 2004 Jun 16.

Eidesstattliche Erklärung
Hiermit versichere ich, Wozak Florian geboren am 27.06.1980 in Salzburg, dass die
vorliegende Masterarbeit von mir selbstständig verfasst wurde. Zur Erstellung wurden
von mir keine anderen, als die angegebenen Quellen und Hilfsmittel verwendet.
Innsbruck, am 02.07.2004 __________________________
(Wozak Florian)

Lebensdaten:
Lebenslauf:
Geburtsdatum und -ort: 27. Juni 1980 in Salzburg
Familienstand: Ledig
Adresse: Hegigasse 3
A-5020 Salzburg
Telefon: +43 (0)676/ 3515696
Ausbildung:
Seit 2002: Universität für Medizinische Informatik und Technik Tirol
2002: Diplomarbeit über „Modellierung eines Intrusion Detection Systems
für einen Krankenhausverbund“ an den Landeskliniken Salzburg.
2001 – 2002: Erasmus Studentenaustausch Programm mit
Universidad de Alicante, Spanien
1998 – 2002: Fachhochschule für angewandte Wissenschaften und Technologien –
Telekommunikationstechnik- und Systeme, Salzburg
1990 – 1998: Gymnasium, Privatgymnasium der Herzjesusmissionare,
5020 Salzburg Liefering.
1986 – 1990: Volksschule, 5020 Salzburg.
Anstellungen:
Universität für Medizinische
Informatik und Technik Tirol:
Universidad de Alicante
Servicio Informática:
Landeskliniken Salzburg,
Informatik Abteilung:
Projektarbeit: Datensicherheit in tele-
medizinischen Netzwerken
Netzwerkplanung und Installation, Netzwerk-
und Netzwerksicherheitsmanagement
Webserver Administration, Programmierung,
Management interaktiver Websites mit Datenbankanbindung,
Telemedizinische Dienste