E-Mails sind wie Postkarten. Jede am Versand beteiligte Patei kann den Inhalt problemlos mitlesen und niemand kennt den Absender. Trotz dieser Umstände werden täglich unzählbare eMail mit vertaulichen Informationen / Patientendaten ungesichert versendet.
Dieser Mißstand kann durch eine sehr einfach einzusetzende Verschlüsselung umgangen werden. Seit den 90er Jahren gibt es hierfür das mittlerweile zum Quasistandard erhobene Programm Pretty Good Privacy (PGP) von Phil Zimmermann. Die Software ist sowohl kommerziell als auch in Form von Open Source (OpenPGP Project) verfügbar.
Die PGP Verschlüsselung basiert auf dem Public Key Verfahren. Ein Benutzer erhält immer zwei Schlüssel, einen Öffentlichen Schlüssel (Public Key) und einen Geheimen Schlüssel (Secret Key). Der Öffentliche Schlüssel kann über unsichere Kanäle, wie z.B. eMail versendet werden. Den Geheimen Schlüssel gilt es gegen den Zugriff Dritter zu schützen. Um die Authentizität von Schlüsseln und die damit verbundene Person zu gewährleisten können die Öffentlichen Schlüssel durch Dritte Personen/ Institutionen unterschrieben (signiert) werden. Wenn Sie also derjenigen Person oder Institution vertrauen, die einen Schlüssel signiert hat und dieser gültig ist, dann können Sie auch dem signierten Schlüssel vertrauen und wissen so, dass die auf dem Schlüssel angegebene Person auch wirklich diejenige ist als die sie sich ausgibt. Durch diesen Mechanismus des gegenseitigen Signierens und Vertrauen entsteht das sogenannte "Web of Trust".
Für den privaten Bereich ist das "Web Of Trust" ein sehr praktikabler Weg Informationen sicher auszutauschen. Für den Medizinbereich muss jedoch ein anderer Weg beschritten werden. Um eine, dem deutschen Recht genügende, Internet-Kommunikation (z.B. durch eMail Versand) von Befunden und anderen medizinischen Nutzdaten zu ermöglichen, muss das "Web of Trust" der Sicherheit um die Zusammengehörigkeit von Schlüsselpaar und Person weichen (→ BSI). Aus diesem Grund wurde die Kryptokampagne der @GIT unter dem Dach der DRG ins Leben gerufen. Sie soll vor allem medizinischen Personal eine Möglichkeit eröffnen datenschutzrechtlich unbedenkliche Übertrag von medizinischen Daten über öffentliche Kanäle vornehmen zu können. Mit der Kampagne werden DRG signierte OpenPGP kompatible Schlüssel den Mitgliedern der DRG und anderen Interessenten zur Verfügung gestellt. Die persönlichen Daten werden anhand eines offiziellen Dokumentes (Personalausweis, Reisepass) überprüft. Der Antragsteller erhält dann ein Schlüsselpaar bei dem der Öffentliche Schlüssel durch die DRG und @GIT signiert wurde.
Erstmalig war dies auf dem 85. Röntgenkongress in Wiesbaden möglich. Zuerst wurde der "Rootkey" im Vier-Augen-Prinzip durch den Vorstand der DRG (Prof. Hamm und Herr Lewerich) erstellt. Jeder der beiden Herren besitzt einen Teil des Passwortes des Rootkeys. Mit diesem Rootkey wurde ein weiterer Schlüssel für den Vorsitzenden der @GIT signiert. Dieser Schlüssel ist dann verwendet worden, um alle weiteren Schlüssel zu signieren.
Auf dem @GIT Stand in Halle 3 stand ein Schlüsselerstellungssystem zur Verfügung. Hierzu wurde ein vollständig leerer Rechner aufgestellt. Als einziges Speichermedium konnte eine CD-R eingelegt werden. Gebootet wurde das System von einem zweiten CD-Laufwerk. Nach der Schlüsselgenerierung erfolgte das Brennen des neu erzeugten und signierten Schlüsselpaars auf CD-R. Der Eigentümer bekam die fertige ausgehändigt und das System bootete automatisch neu.
Weitere Gelegenheiten zur Schlüsselerstellung ergaben sich auf dem 86. Dt. Röntgenkongress sowie auf den DICOM Anwendertreffen 2004 und 2005 in Mainz.
Bisher haben etwa 160 Besucher diese Gelegenheit genutzt und sich ihren persönlichen DRG signierten Schlüssel generiert.
Bei Fragen hinsichtlich der Kryptokampagne kontaktieren Sie uns bitte via eMail (teleradiologie@drg.de).
Letzte Änderung 25.03.2011
