Konnektor (Informationstechnik)
Ein Konnektor ist eine spezielle Funktionseinheit in einem VPN-Router (Virtual-Private-Network-Router).
Grundlegendes
Abstrahiert betrachtet, stellt die Funktionseinheit des Konnektors einen Client mit ausgesprochen fortgeschrittenen Authentifizierungsfähigkeiten dar. Als Softwaremodul im Datenspeicher einer für den Anwendungszweck zugeschnittenen Routerhardware dient sie dem Auf- und Abbau von verschlüsselten Nachrichtenverbindungen zu Servern, welche in einem VPN-Netzwerk eingebunden sind. In der Praxis sind die endadressierten Server in vielen Fällen Cloud- oder Datenbank-Server; die Server können aber auch anderen Anwendungszwecken gewidmet sein.
VPN bildet ein eigenes logisches Netz, welches sich in ein physisches Netz (etwa in das Internet und/oder in ein privates oder öffentliches physisches Intranet) als Transportmedium einbettet und die dort üblichen Adressierungsmechanismen nutzt, datentechnisch aber eigene Netzwerk-Datenpakete transportiert und so vom Rest dieses Netzes losgelöst arbeitet. Es ermöglicht die Kommunikation der darin befindlichen VPN-Partner mit dem zugeordneten Netz, basiert auf einer VPN-Tunneltechnik, ist individuell konfigurierbar, kundenspezifisch und in sich geschlossen (daher „privat“).[1] Aus Gründen der IT-Sicherheit arbeiten die verwendeten VPN-Router üblicherweise auf Basis von proprietärer Firmware, deren Quellcode nicht der Allgemeinheit zugänglich ist (Closed Source). Kritiker sehen in der Unzugänglichkeit des Sourcecode allerdings keinen Sicherheitsgewinn, da Sicherheitslücken in der Abgeschlossenheit lange unentdeckt bleiben können.
Der Konnektor öffnet einen virtuell abgeschotteten Übertragungskanal (einen „Tunnel“) über den Server eines vertrauenswürdigen VPN-Providers hin zum Adressaten und schickt diesem eine Verbindungsanfrage. Der adressierte Server reagiert, indem dieser an den Konnektor eine Authentifizierungsabfrage zurückschickt. Sendet der Konnektor einen zuvor vereinbarten zulässigen Authentifizierungscode an den adressierten Server zurück, so wird die Verbindung freigegeben. Eine bidirektionale Datenübertragung zum adressierten Server hin und von diesem zurück kann stattfinden. Das VPN-Netzwerk wird dadurch vorübergehend um den betreffenden Teilnehmer, der den VPN-Router inclusive Konnektor benutzt, erweitert.
Während die Umlenk-Funktionseinheit des VPN-Routers die Datenpakete in die richtigen, (vor Ort befindlichen) lokalen Subnetze hinein- und aus diesen hinauslenkt, was man auch als Routing bezeichnet, öffnet und schließt der Konnektor im Zuge von Authentifizierung das Gateway, den „Torweg“, den kontrollierten Datendurchgang, für die Datenpakete, über welchen diese – durch den VPN-Tunnel hindurch – zu den Adressaten in den externen Netzwerken gelangen. Doch bevor die Datenpakete über das Gateway und den VPN-Tunnel in die Datennetz-Außenwelt gelangen, werden sie vom Konnektor entsprechend einem auf der Höhe der Zeit liegenden kryptographischen Verfahren in Datensegmente unterteilt und segmentweise verschlüsselt. Diese Schritte sind Teil des umfassenderen Prozesses der Datenkapselung, der auch mit dem unterlagerten physischen Netzwerk (etwa dem Internet und/oder einem privaten oder öffentlichen physischen Intranet), welches als Transportmedium dient, zu tun hat. Die Datenkapselung ist Teil des Prozesses des Sendens, während beim Prozess des Empfangens eine Entkapselung in entsprechend umgekehrt ablaufenden Schritten stattfindet.
Anwendung in Industrie und Gemeinwesen
Anwendung in der Versorgungstechnik
Spezielle VPN-Router mit Konnektor für den Aufbau von Tunnelverbindungen zu Cloud-Servern können dazu verwendet werden, aus der Ferne gesteuerte Maschinen und Anlagen einer Fernwartung zu unterziehen, insoweit die Daten solcher Maschinen und Anlagen in einer Cloud untergebracht werden.[2] So kann mittels Fernzugriff auf die Cloud via vorgenannter VPN-Router die Aufzeichnung, Visualisierung, Alarmierung und Datenvorverarbeitung vorgenannter gesteuerter Maschinen und Anlagen durchgeführt werden.[2] Daraus lässt sich dann etwa vorausschauende Wartung der Maschinen und Anlagen betreiben. Die Technik des Steuerns von Maschinen und Anlagen via VPN über Distanzen hinweg gibt es schon länger[3]; lediglich, die Cloud für derartige Zwecke heranzuziehen, ist eine neuere Entwicklung. Auch für die Entwicklung von Produktverbesserungen ist diese Technik nutzbringend.[2] Ein wichtiges Anwendungsfeld der Fernwartung derartiger gesteuerter Maschinen und Anlagen ist die Versorgungstechnik.
Anwendung im Gesundheitswesen
Im medizinischen Gesundheitswesen in Deutschland scheinen VPN-Router mit integrierten Konnektoren für den Datenaustausch vorgeschrieben zu sein, wobei deren Einführung wohl mehr als evolutionärer Prozess angesehen worden ist. Der im Gesundheitswesen eingesetzte "VPN-Router mit integriertem VSDM-Konnektor" stellt ein virtuelles privates Netzwerk (VPN) zur "Telematik-Infrastruktur des Gesundheitswesens" (TI) her[4], welches (mit der Vollendung) ein etwa 55.000 Einrichtungen im Dienste der Gesundheitsversorgung strukturierendes virtuelles Netzwerk werden könnte. Dabei müssen nicht alle Einrichtungen zeitgleich online sein. Der VPN-Router mit integriertem VSDM-Konnektor enthält das gesetzliche verpflichtende Modul für das Versichertenstammdatenmanagement (VSDM).[4] Dabei wird im Gesundheitswesen in der Regel nicht vom "VPN-Router mit integriertem VSDM-Konnektor" gesprochen, sondern etwas salopper einfach nur vom "VSDM-Konnektor" oder vom "Konnektor".[4]
Der VPN-Router mit integriertem VSDM-Konnektor ist mit den stationären Kartenterminals der Arztpraxis oder der Behandlungsstation sowie dem Praxisverwaltungssystem (PVS) der Praxiscomputer per Netzwerk vor Ort verbunden. Das Praxisverwaltungssystem muss angepasst werden, um eine Verbindung zum VPN-Router mit integriertem VSDM-Konnektor zu ermöglichen und die Versichertendaten der elektronischen Gesundheitskarte (eGK) importieren zu können.
Im E-Health-Kartenterminal werden dreierlei Chipkarten eingelesen:
- SMC-B-Karte (Security Module Card-Typ B) bestätigt der Telematikinfrastruktur, dass der Zugriff über eine berechtigte Einrichtung (Praxis, Medizinisches Versorgungszentrum, Krankenhaus) erfolgt. Die SMC-B-Karte ist ein Praxisausweis – eine Chipkarte, die die Praxis für die Teilnahme an der Telematikinfrastruktur authentifiziert. Der Praxisausweis wird bei jedem neuen Einschalten des Kartenterminals, Neustart des VPN-Routers mit integriertem VSDM-Konnektors oder z. T. bei Start des Praxisverwaltungssystem durch die Eingabe eines PIN-Codes (Persönliche Identifikationsnummer) freigeschaltet und verbleibt im Kartenterminal.
- Der elektronische Heilberufsausweis (eHBA) ist eine Chipkarte für Ärzte, Zahnärzte, Psychotherapeuten, Apotheker und künftig auch für Angehörige anderer Gesundheitsberufe, die sich damit identifizieren.
- Die elektronische Gesundheitskarte, mit der sich der jeweilige Patient ausweist.
Stationäre E-Health Kartenterminals benötigen weiterhin eine Chipkarte, die gSMC-KT (Gerätespezifische Security Module Card für stationäre eHealth Kartenterminals), um sich als Teil der TI gegenüber dem VPN-Router mit integriertem Konnektor zu identifizieren.
Für den Zugang zur Telematikinfrastruktur benötigen Praxen einen speziellen VPN-Zugangsdienst – ähnlich einem Internetprovider, der den Zugang zur TI bereitstellt.
In der Kombination Hardware-basiertes VPN mit zertifiziertem Provider werden die von der VPN-Software und gSMC-KT-Karte in der Arztpraxis bereits vorverschlüsselten Daten durch den Konnektor mittels Verwendung kryptografischer Schlüssel, unter anderem auf dem Heilberufsausweis (HBA), der SMC-B und der Gesundheitskarte (eGK) ein weiteres Mal verpackt und verschlüsselt[5], wobei dem inneren Datenpaket weiterführende Routing-Daten mitgegeben werden können. Der das Intranet bereit stellende Provider muss sich als besonders vertrauenswürdig qualifizieren. Dieser entschlüsselt das äußere Datenpaket und leitet das innere anhand von dessen Adressdaten an den Empfänger weiter, etwa an die Krankenversicherung, wobei er diesen Vorgang von seinen anderweitigen Dienstleistungen für das Internet strikt zu trennen hat. In der ersten Phase des Gebrauchs von VPN-Routern mit integrierten VSDM-Konnektoren besteht die Hauptaufgabe derselben im Online-Abgleich der Versichertenstammdaten (VSDM).[5]
Durch das öffentliche Netz wird quasi ein eigener VPN-Tunnel über den Provider zum Adressaten (Server oder Client) geschaltet. Obwohl dieselben Leitungen verwendet werden und die Übertragungstechniken denen des Internets gleichen, hat der VPN-Kanal mit diesem nichts zu tun. Querverbindungen zum Internet sind ausgeschlossen. Dafür sorgt der Provider und das beim Arzt einzurichtende Gateway. Für den Endanwender läuft alles automatisch ab. Die Verschlüsselung übernimmt das Gateway bzw. der spezielle VPN-Router, so dass Bedienungsfehler, aber auch Manipulationen praktisch ausgeschlossen sind. Markant an dem im Gesundheitswesen angewendeten Verfahren ist, dass eine ergänzende Verschlüsselung erfolgt, anhand welcher der Empfänger feststellen kann, ob die erhaltenen Daten wirklich vom vorgeblichen Absender stammen.
Darüber hinaus liegt ein entscheidender Vorteil der Verwendung von Smart-Cards/Chipkarten darin, dass symmetrische und asymmetrische Verschlüsselungen vorgenommen werden können, ohne geheime Schlüssel über die Ein-/Ausgabe-Schnittstelle in die lokale und ferne Netzwerk-Außenwelt gelangen zu lassen. Verglichen mit einer Schlüsselspeicherung auf einem Rechner sind die Schlüssel auf einer Chipkarte wesentlich weniger angreifbar.[Anmerkung 1]
Die nächste, im Jahr 2020 erwartete Ausbaustufe in Sachen Konnektor ist der E-Health-Konnektor.[4] Dieser soll neben VSDM auch die qualifizierte elektronische Signatur (QES) ermöglichen sowie die Module für das Notfalldatenmanagement (NFDM) und den elektronischen Medikationsplan (eMP) enthalten.[4] Eine weitere zukünftige Ausbaustufe ist der ePA-Konnektor, der Voraussetzung für die elektronische Patientenakte (ePA) ist.[4] Alle geplanten Funktionserweiterungen erfordern kein neues Gerät, sondern sind per Software-Upgrade installierbar.[4]
Es sind bislang Modelle von VPN-Routern mit integrierten VSDM-Konnektoren von vier Herstellerfirmen verfügbar, die von der Gematik, dem Zertifizierer des Gesundheitswesens, für den TI-Betrieb zugelassen worden sind[4] (Stand: März 2020), namentlich die folgenden:
- CompuGroup/KoCo Connector KoCoBox Med+
- T-Systems Medical Access Port VSDM-Konnektor
- secunet Security Networks secunet-Konnektor
- Research Industrial Systems Engineering GmbH RISE-Konnektor.
Die Upgrades für den E-Health-Konnektor werden derzeit entwickelt oder befinden sich im Zulassungsprozess.[4]
Siehe auch
Anmerkungen
- So sinngemäß in: Wolfgang Böhmer: VPN: Virtual Private Network: Die reale Welt der virtuellen Netze. Hanser, München 2002, ISBN 3-446-21532-8, S. 192
Einzelnachweise
- Paul Ferguson, Geoff Huston: What is a VPN? potaroo.net-Internetportal, April 1998 (PDF; 652 kB)
- VPN-Router mit MindSphere-Konnektor. In: SPS-Magazin: Zeitschrift für Automatisierungstechnik (ISSN 0935-0187), [zugehöriger Online-Newsletter:] Automation Products: Neuheiten und Highlights aus dem SPS-Magazin. Bd. 10, Nr. 39 (8. Oktober 2019), auch online: VPN-Router mit MindSphere-Konnektor. i-need.de-Internetportal, Webseite abgerufen am 25. Juni 2021.
- Remote-Control bei Maschinen und Anlagen: Fernwartung mit VPN und Firewall. In: Lanline. (ISSN 0942-4172) 20. Jg., H. 3 (2008), S. 67–69.
- Technische Ausstattung für die TI. kbv.de-Internetportal (Kassenärztliche Bundesvereinigung), 28. Juni 2019
- Telematikinfrastruktur: Warum der Konnektor so wichtig ist. In: Ärztezeitung online, 1. September 2017