Präsentation herunterladen
Die Präsentation wird geladen. Bitte warten
1
Informationssysteme in der Medizin
G. Quade Institut für Medizinische Biometrie, Informatik und Epidemiologie der Universität Bonn Quade
2
Medizinische Informatik
Klinische Prozesse mit Methoden und Techniken der Informatik zu optimieren. Dazu sind detaillierte Kenntnisse zu den Prozessen notwendig
3
Informationssysteme in der Medizin
Woran krankt die Gesundheitsversorgung in Deutschland Telematik, Telemedizin EPA Elektronische Patientenakte Vernetzung Datenschutz
4
GNP Quade
5
Vereinigtes Königreich Vereinigte Staaten
Jahr Deutschland Frankreich Italien Japan Kanada Vereinigtes Königreich Vereinigte Staaten in Millionen Landeswährung 1980 66.416,82 31.269,92 . ,00 22.086,33 13.019,00 ,70 1985 86.405,26 59.525,29 ,00 39.442,90 20.859,00 ,66 1990 ,62 86.408,26 54.047,00 ,00 60.292,85 33.558,00 ,07 1991 92.205,53 60.821,40 ,00 65.525,45 37.821,00 ,13 1992 ,00 98.234,64 64.336,50 ,00 68.931,47 42.258,00 ,51 1993 ,00 ,29 65.359,10 ,00 70.696,74 44.582,00 ,66 1994 ,00 ,24 66.755,00 ,00 72.216,73 47.748,00 ,09 1995 ,00 ,47 68.744,40 ,57 73.203,80 50.086,00 ,20 1996 ,00 ,46 74.057,50 ,66 73.813,07 53.503,00 ,01 1997 ,00 ,50 80.282,40 ,88 77.574,94 55.462,24 ,80 1998 ,00 ,29 84.333,90 ,19 82.864,58 59.178,43 ,13 1999 ,00 ,23 87.790,50 ,15 87.359,27 64.732,73 ,17 2000 ,00 ,22 96.039,80 ,72 94.945,31 69.242,15 ,50 2001 ,00 ,85 ,20 ,46 ,80 74.833,23 ,15 2002 ,00 ,48 ,90 ,11 ,41 80.619,81 ,92 2003 ,00 ,75 ,30 ,99 ,17 86.529,00 ,44 2004 ,00 ,33 ,60 ,42 ,26 94.768,00 ,00 2005 ,00 ,34 ,80 ,41 ,00 ,40 2006 ,80 ,38
7
Krankenhaus als Kostenfaktor
Krankenhäuser 38, ,673 Reha , ,932 stat. Pflege 6, ,459 ber. + soz. Reha 0, ,045 Verwaltung 7, ,086 Quade
8
2001
9
Krankenhaus Grenzen der Medizin Früher Technik Heute Ressourcen Quade
10
Änderungen finanziell ökonomische Konsequenzen
Primäre Prozesse Diagnostik Krankenversorgung Kostendeckungsprinzip dualistische Finanzierung Leistungsbezogene Abrechnung Quade
11
Wer zahlt was? Steuerzahler Steuerzahler Patient Land Krankenkassen
MWF Verluste Investitionen Betriebskosten Quade
12
Quade
13
Krankenhäuser Finanzierung
Seit 1996 Fallpauschalen Sonderentgelte Abteilungspflegesatz Basispflegesatz Quade
14
Strategische Ziellosigkeit
Mit der PPR führt das GSG 1993 erstmals eine analytische Berechnung des Personalbedarfs ein. Es werden neue Stellen geschaffen wird die PPR wieder abgeschafft, um weitere Kostensteigerungen zu verhindern. Quade
15
MEB Bilanz 2000 Betriebsaufwendungen 823.593 TDM
Betriebserträge TDM davon Ambulanzen TDM Verlust TDM Personalaufwand % IT Kostenanteil (geschätzt) ? % Quade
16
2001
17
Personalkosten Da die Personalkosten etwa 70% aller Ressourcen ausmachen, muß bei allen Entscheidungen eine Schonung dieser Ressource erfolgen! Quade
18
Datenflut Informationen sind Grundlage von Entscheidungen
Viele Patienten haben mehr als eine Krankheit Fortschritt in Diagnostik und Therapie bedeutet mehr Daten pro Patient Kurze Verweildauer bedeutet mehr Daten in kürzerer Zeit Quade
19
Quade
20
Quade
21
Dokumentation Anordnungen (wer was wann wen wo)
Ausführung einer Anordnung Untersuchungsergebnisse Übersicht des Krankheitsverlaufs Behandlungs- und Pflegeziele Quade
22
Quade
23
Quade
24
Quade
25
Welche spezielle Ausbildung ist vorhanden?
Management Ärztlicher Direktor Leitende Pflegekraft VD Verwaltung Pflege Ärzte Welche spezielle Ausbildung ist vorhanden? Quade
26
Quade
27
Quade
28
Quade
29
WWW
30
Quade
31
Quade
32
Nutzenäquivalent Unter Nutzenäquivalent werden in DM oder VZK ausgedrückt die Ressourcen verstanden, die bei Einsatz eines KIS im ärztlichen oder pflegerischen Bereich für die spezifischen Tätigkeiten dieser Gruppen und neue Aufgaben zurückgewonnen werden können. Quade
33
Randbedingungen Studienobjekt: Poliklinik
Zielgruppe: Ministerialbeamte im Finanzministerium Zielgröße: Nutzenäquivalent im Personalbereich Quade
34
Schlechte Infrastruktur Keine Hilfskräfte für Ärzte und Pflegepersonal
Ausganssituation Schlechte Infrastruktur Keine Hilfskräfte für Ärzte und Pflegepersonal Lange Wege Keine EDV Quade
35
Methode der Datensammlung Fortbildungsveranstaltung
Ablauf Methode der Datensammlung Fortbildungsveranstaltung Gruppeneinteilung Fragebögen Erfassungszeitraum Quade
36
Tätigkeiten 1. Anordnungen 2. Befunde suchen, abfragen
3. Berichte, Briefe 4. Visite vorbereiten 5. Terminvereinbarungen 6. Erstellen von Bescheinigungen 7. Kontrolle der Umsetzung von Anordnungen Dokumentation Bettenmanagement Materialanforderung Quade
37
Erfassungsbogen Arbeitszeit
Pflege Erfassungsbogen Arbeitszeit Quade Neuaufnahme Anordnungen Anordnung eilig Auftragsgang Untersuchungsanforderung Telefon mit Abteilungen Kurvenführung Essenskarten Pflegebericht Übergabe Verlegungen Telefonvermittlung/ Gebühren Kurvenkontrolle Patiententransport Apotheke (bestellen) Material bestellen NA AN AE AG UA TA KF EK PF ÜG VE TV KK PT AB MB Tätigkeit Anzahl/ Zeit (Min) Tätigkeit Anzahl/ Zeit (Min)
38
Ärztlicher Dienst stationär (Fragen)
Minuten werden täglich für % Anordnungen von Untersuchungen und Medikamenten gebraucht Minuten werden täglich für % die Suche nach Befunden durch den Arzt gebraucht Minuten werden für die Anfer % tigung von Verlegung/ Entlassungs- berichten gebraucht Minuten werden täglich benötigt, 100% um vor der Visite die Patientendoku- mentation zu prüfen Minuten werden täglich benötigt, 25% um Termine zu vereinbaren Minuten werden täglich benötigt, 50% um Bescheinigungen zu schreiben Minuten werden täglich benötigt, 90% um die Umsetzung von Anordnungen zu kontrollieren Minuten werden täglich benötigt, 50% um Untersuchungsergebnisse zu dokumentieren Minuten werden täglich benötigt, 50% um Verlegungen zu organisieren Quade
39
Echtlauf an unterschiedlichen Tagen Übertragung auf Bereichsbögen
Ablauf Probelauf Echtlauf an unterschiedlichen Tagen Interviews Übertragung auf Bereichsbögen Auswertung Quade
40
Quade
41
Quade
42
Tätigkeitsprofil Assistenzarzt
73% administrative Tätigkeit durch Kis tangiert 27% ärztliche Tätigkeit Quade
43
Nutzenpotential Ärztlicher Dienst
32% 68% Quade
44
Ein umsonst arbeitender Arzt ist billiger als ein Computersystem ?
Quade
45
The Court of Justice of the European Communities
Case law C-241/99 physical presence is working time Quade
46
The Court of Justice of the European Communities
Case law C-158/96 Case law C-120/95 Kohll/Decker Quade
47
Klinik - Informationssystem aus der Sicht eines Arztes
Quade
48
Quade
49
Klinik - Informationssystem Elektronische Rohrpost
Quade
50
Klinik - Informationssystem Management Informationssystem System?
Quade
51
Krankenhaus - Informationssystem
Bevor auf die Funktionalität eines Krankenhaus-Informationssystems oder Kommunikationssystems eingegangen werden kann, muß der Begriff näher erläutert werden. Ein Krankenhaus-Kommunikationssystem dient dem Erfassen, dem schnellen Transport von Daten zwischen allen an der Diagnostik und Behandlung von Patienten im Krankenhaus beteiligten Stellen einschließlich der Verwaltung und der Demonstration dieser Daten beim Empfänger. In der Regel werden Daten in schriftlicher Form transportiert, doch auch die Übermittlung von Tönen, Bildern und Wellendaten (EKG) kann möglich sein. Medizinische Daten werden patientenbezogen übermittelt und abgespeichert. Quade
52
Krankenhaus - Informationssystem
Das Krankenhaus-Informationssystem bietet darüberhinaus die Möglichkeit, aus den Grunddaten Informationen zu bilden, diese zu präsentieren und in medizinisch nicht relevante Entscheidungen (z. B. Terminvereinbarung) einfließen zu lassen. Dies bedeutet neben einer weiteren Steigerung der Effektivität der Mitarbeiter eine deutliche Qualitätsverbesserung, da sich mit Hilfe des Krankenhaus-Informationssystems viele Fehlermöglichkeiten ausschalten lassen. Das Krankenhaus-Informationssystem ersetzt damit in keiner Weise die wichtige Kommunikation und Diskussion zwischen Ärzten, Schwestern und Patienten. Durch die massive Entlastung im Bereich des Datentransportes wird ein mehr an Zeit für die Diskussion gewonnen. Die Daten eines Patienten können lebenslang in einer zentralen Datenbank abgespeichert werden. Quade
53
Klinik - Informationssystem
Quade
54
Protokolle zum Daten-austausch in der Medizin
HL7 DICOM EDIFACT xDT XML
55
Krankenhaus Informationssystem
Ein Krankenhaus Informationssystem ist Voraussetzung für ein effektives Management sowie hohe Qualität bei der Prozeßdurchführung zu niedrigen Kosten. Die logische Weiterentwicklung ist die elektronische Patientenakte (EPA).
56
Beispiel Kis Beispiel Graphik
Quade
57
What you need Integrated multi-media Electronic Health Records
Virtually integrated multi-media Electronic Health Records are a fundamental prerequisite to obtain the availability of patient and health problem related information at the time and the place of need. Collaborative Shared Care Services Support of collaborative shared care services based on accepted medical guidelines and access to expert knowledge is required Integration of legacy assets Economical integration of legacy assets must be achieved Security Comprehensive security must be applied; patient must become interactive and well informed partner; protection of privacy is needed 3
58
Roland-Berger-Study: Health Telematics Platform
4
59
Oncology Meeting Curitiba
Der Anfang 1969 Mond Landung 1972 El Camino 198x Enterprise Systems Regional Networks CHIN Medical Record Institute Oncology Meeting Curitiba
60
Oncology Meeting Curitiba
Schritte zur EPA 1 2 3 4 Teile der Patientenakte sind digital Der Rest wird als “Abbild” gespeichert Die meisten Daten liegen in digitaler Form vor Die Multimediale Electronische Krankenakte erlaubt den weltweiten Austausch von Patientendaten Oncology Meeting Curitiba
61
Oncology Meeting Curitiba
Standards Europe: Project Team PT1-011 Working Group 1 (WG1) of the Technical Committee TC 251 of CEN “Electronic Healthcare Record Architecture” GEHR: Good European Health Record Oncology Meeting Curitiba
62
Oncology Meeting Curitiba
Standards US: Healthcare Informatics Standards Planning Panel of the American National Standards Institute (ANSI-HISPP) in cooperation with the Computer Based Patient Record Institute (CPRI) IEEE, HL7, ASTM (American Society for Testing of Materials) Oncology Meeting Curitiba
63
Oncology Meeting Curitiba
Standards US: ASTM E1384 “Description for Content and Structure of an Automated Primary Record of Care” ASTM E31.12 “Standard Guide for Properties of Computer-based Patient Records and Record Systems. Oncology Meeting Curitiba
64
Oncology Meeting Curitiba
Standards International ISO IAeG (Inter Agency edi Group) Oncology Meeting Curitiba
65
Oncology Meeting Curitiba
Karten Patientenkarte Diabcard Health Professional Card In der Zukunft werden Karten dazu autorisierten Personen den Zugriff auf Patientendaten ermöglichen. Sie werden einen Schlüssel für die digitale Unterschrift und die Verschlüsselung der Daten enthalten. Oncology Meeting Curitiba
66
Protokolle zum Daten-austausch in der Medizin
HL7 DICOM EDIFACT xDT
67
Sprache für Kontrollprogramme
ARDEN Syntax
68
Oncology Meeting Curitiba
Gesellschaften AC Gesellschaft der Jäger und Sammler - 18. Jahrhundert Ackerbau und Viehzucht - heute Industriegesellschaft heute - ? Informationsgesellschaft zukünftig ? Freizeitgesellschaft? Oncology Meeting Curitiba
69
Zugang zu vorhandenem Wissen
Information Society Alle Produkte müssen produziert werden. Das „Produkt“ “Information / Wissen” kann leicht kopiert werden! Unser Problem ist nicht so sehr “producing knowledge”, sondern der Zugang zu vorhandenem Wissen Quade
70
Quade
71
Elektronische Patientenakte
ARGONAUTA: AustRal On-line Network for Medical Auditing and TeleAssistance AMIA 1999
72
Partners: Argentina: Comisión Nacional de Actividades Espaciales and Universidad Nacional de Córdoba Chile: Instituto Antártico Chileno and Universidad de Chile Germany: DLR and University of Bonn Italy: Consiglio Nazionale delle Ricerche and Ospedale San Camillo in Rome AMIA 1999
73
AMIA 1999
74
Cologne Bonn Rome AMIA 1999
75
ARGONAUTA Telemedizin AMIA 1999
76
Quade
77
Quade
78
Arten der Qualität Strukturqualität. Prozeßqualität. Ergebnisqualität.
Kolloquium Medizinische Informatik
79
Strukturqualität 1. Qualifikation des Arztes.
2. Räumliche und apparative Ausstattung. 3. Zugangsmöglichkeit. 4. Art und Umfang der Dokumentation (Patientenaufklärung). 5. Vorschriften, Dienstordnung, Arbeitszeiten. 6. Verordnungen (Röntgenverordnung, Weiterbildungsordnung). 7. Backup bei Ausfall (Personal, Notstrom, Telefon) Kolloquium Medizinische Informatik
80
Prozeßqualität 1. Diagnostische Abläufe (Reihenfolge, zeitgerecht ...). 2. Therapeutische Abläufe (angemessen, Kontrollen, Dokumentation). 3. Pflegerische Abläufe. 4. Indikationsstellung. 5. Standardvorgaben (Leitlinien schriftlich!). Kolloquium Medizinische Informatik
81
Ergebnisqualität 1. Ist der Kunde (Patient) zufrieden?
2. Ist der Arzt zufrieden (mit der Verwaltung)? Kolloquium Medizinische Informatik
82
Qualitätssicherung Qualitätszirkel Externe Qualitätssicherung
Ringversuche JCAH Zertifizierung nach ISO 9000 und Akkreditierung nach EN 45001 Kolloquium Medizinische Informatik
83
Standards ISO 9000 ISO 9001 ISO 9002 ISO 9003
Leitfaden zur Auswahl und Anwendung Modell zur Darlegung der Qualitätssicherung in Design / Entwicklung, Produktion, Montage und Kundendiesnst Modell zur Darlegung der Qualitätssicherung in Produktion und Montage Modell zur Darlegung der Qualitätssicherung bei der Endprüfung Kolloquium Medizinische Informatik
84
Welches it die beste Antwort
1. Erreichen einer objektiven Maximalleistung. 2. Erreichen eines optimalen Ergebnisses unter Abwägung von Kosten und Leistung. 3. Erreichen eines akzeptablen Ergebnisses bei minimalem Aufwand. 4. Zufriedenheit des Kunden. Kolloquium Medizinische Informatik
86
Begriffe Telemedizin: ist die Behandlung eines Patienten aus der Ferne. Telematik: ist der Einsatz von Methoden der Telekommunikation und Informatik in der Medizin Ärztenetz: Vernetzung ambulanter (und stationärer) Versorgung
87
Telemedizin Telekonsultation Telepathologie Teleradiologie
Telespychiatrie Teledermatologie Telekardiologie Telechirurgie ...
88
Telematik Elektronische Krankenakte
Community Health Information Networks (CHINS), Praxisnetze Tele-education, Datenbanken, Internetdienste, Wissensbasierte Systeme, Terminologieserver Tele-monitoring, Tele-care, Home-care, Notfall Netzwerke
89
Wann? warum? Qualitätsverbesserung (Spezialist)
Wirtschaftliche Vorteile (Anreise, Expertenkosten) Schnelligkeit Einzige Lösung (Flugzeug, ferne Länder)
90
Rahmenbedingungen Gesetze, Berufsordnung Freie Arztwahl Netzwerke
Datenschutz Verantwortung/Haftung Ausland Abrechnung
91
Was Sie wissen sollten Datenverarbeitung im Intranet.
Ein Intranet nutzt Internet-Technologie, aber ist vom Internet getrennt (Firewall). 80% der Angriffe erfolgen von Innen. Kryptographie ist eine Antwort.
92
Ärztliche Verantwortung
Der Arzt ist persönlich für seine Arbeit verantwortlich. Zusätzlich ist er auch für die Arbeit der von ihm Beschäftigten verantwortlich. Er hat sicher zu stellen, daß Daten entsprechend den aktuellen Datenschutzverordnungen behandelt werden. Vereinbarung für den Schutz der Menschenrechte und des Grundrechtes auf Freiheit. Regierungen regulieren wie personenbezogene Daten (einschließlich medizinischer Daten) gesammelt, verarbeitet und gespeichert werden. Kolloquium Medizinische Informatik
93
Ärztliche Verantwortung
Vorschriften betreffen die automatische und die manuelle Verarbeitung aller personenbezogenen Daten einer bekannten oder identifizierbaren natürlichen Person. Für die manuelle Datenverarbeitung gelten die Vorschriften nur dann, wenn die Daten nach besonderen personenbezogenen Kriterien strukturiert sind. Anonymisierte Daten sind ausgenommen. Verantwortlich ist die Person, die den Zweck der Datenverarbeitung begründet (z.B. Arzt). Kolloquium Medizinische Informatik
94
Authentizität (Zurechenbarkeit) Integrität Verfügbarkeit
Vertraulichkeit Authentizität (Zurechenbarkeit) Integrität Verfügbarkeit Revisionsfähigkeit Kolloquium Medizinische Informatik
95
Validität (z.B. Darstellungsqualität bei Bilddaten) Rechtssicherheit
Nicht-Abstreitbarkeit von Datenübermittlung Nutzungsfestlegung (Nutzerfestlegung) Kolloquium Medizinische Informatik
96
Ärztliche Verantwortung
Zum Verantwortungsbereich des Arztes gehört dafür zu sorgen, daß alle Daten angemessen und gesetzesgemäß verarbeitet werden. Die gesammelten Daten müssen dem Zweck angemessen, dafür wichtig und dürfen nicht zu umfangreich sein. Sie müssen richtig und aktuell sein. Sie müssen mit angemessenem Schutz gespeichert werden. Angemessen bedeutet “state of the art”. Sicherheitsstandards für sensitive Daten, wie medizinische und Daten sind sehr hoch! Der Betroffene (Patient) hat das Recht sein Einverständnis zur Datenverarbeitung zu geben oder zu verweigern. Kolloquium Medizinische Informatik
97
Ärztliche Verantwortung
Der Betroffene (Patient) hat das Recht Auskunft über die ihn betreffenden Daten zu erhalten und über den Grund der Datenhaltung. Das Recht zur Datenverarbeitung ohne Zustimmung der Betroffenen besteht dann, wenn die Datenverarbeitung in Zusammenhang mit einem Geschäftsvertrag oder wenn eine andere gesetzliche Grundlage vorhanden ist. Kolloquium Medizinische Informatik
98
Szenarien Liste mit Namen der Studierenden vor dem Hörsaal
Informationelle Selbstbestimmung des Patienten Patient lehnt Aufnahme in die KH-EDV ab Patient lehnt Weitergabe der Daten nach §301 SGB v ab Outsourcing zur Arztbriefschreibung Outsourcing medizinischer Untersuchungen (Labor) Kolloquium Medizinische Informatik
99
Ärztliche Verantwortung
Datensicherheit: Sie sind dafür verantwortlich, daß Daten nicht verloren gehen oder irrtümlich verändert werden. Datenschutz: Sie sind dafür verantwortlich, daß nur dazu autorisierte Personen Zugang zu den Daten haben. Sie sind für die Vertraulichkeit verantwortlich. Kolloquium Medizinische Informatik
100
Ärztliche Verantwortung
Daten im Gewahrsam eines Arztes genießen besonderen Schutz. § 203 Verletzung von Privatgeheimnissen § 53 Zeugnisverweigerungsrecht § 97 Beschlagnahmefreie Gegenstände Kolloquium Medizinische Informatik
101
Wie restriktiv die Rechtsprechung z. B
Wie restriktiv die Rechtsprechung z. B. im Bezug auf medizinische Daten ist, zeigt das Urteil des Oberlandesgerichts Düsseldorf vom (20 U 139/95, CR 9/97, S. 536). Die Kernaussagen dieses Urteils lauten: Diejenigen Ärzte und/oder Krankenhausverwaltungen, die Patientendaten (also Krankenblätter, Arztbriefe, Röntgenaufnahmen, andere technische Aufzeichnungen usw.) zur Verfilmung, sonstigen Bearbeitung und Archivierung an Dienstleister aushändigen, "offenbaren" damit im Sinne des § 203 StGB Geheimnisse des betreffenden Patienten. Die rechtlich eigenständigen und selbstverantwortlich handelnden Dienstleistungsunternehmen, bei denen überdies Patientenunterlagen nicht mehr nach § 97 Abs. 2 StPO privilegiert - nämlich nicht beschlagnahmefrei - sind, können nicht den berufsmäßig tätigen Gehilfen von Ärzten im Sinne des § 203 Abs. 3 StGB zugerechnet werden. Von einer - mutmaßlichen oder sogar konkludenten - rechtfertigenden Einwilligung der Geheimnisgeschützten, also der betroffenden Patienten, kann nicht ausgegangen werden. Patienten erwarten nicht, daß ihre oft hochsensiblen Daten "umherkutschiert" und von - aus der Sicht der Patienten - beliebigen Dritten eingelesen, verfilmt, kopiert usw. werden.
102
Was Sie wissen sollten Datenverarbeitung im Intranet.
Ein Intranet nutzt Internet-Technologie, aber ist vom Internet getrennt (Firewall). 80% der Angriffe erfolgen von Innen. Kryptographie ist eine Antwort.
103
Signaturgesetz Am 13. Juni 1997 verabschiedet das Parlament das Gesetz zur Digitalen Signatur (Artikel 3) und andere Gesetze zur Regelung der Rahmenbedingungen für Informations- und Kommunikationsdienste (IuKDG). Die Nutzung der digitalen Signatur gemäß diesem Gesetz erlaubt somit das rechtsverbindliche elektronische Unterschreiben von Dokumenten. Kolloquium Medizinische Informatik
104
Ausführungsbestimmungen
Der private signature key muß ausschließlich dem Unterzeichner zugewiesen sein, er kann den Unterzeichner identifizieren, wird mit Mitteln erstellt, die der Unterzeichner unter seiner alleinigen Kontrolle halten kann und ist so mit den unterzeichneten Daten verknüpft, daß eine nachträgliche Veränderung der Daten erkannt werden kann. Kolloquium Medizinische Informatik
105
Emphohlene Schlüssel Verschlüsselungsverfahren:
RSA Bit für 3 Jahre Gültigkeit und 1024 Bit für 6 Jahre. DSA Bit (NIST) DSA - Varianten (ISO/IEC ; IEEE P1363) Hashfunktionen: SHA-1 (Secure Hash Algorithm) RIPEMD-160 Kolloquium Medizinische Informatik
106
2 Schlüsselsysteme Symmetrische (secret-key) Verschlüsselung benutzt einen Schlüssel. Asymmetrische (public- secret-key) Verschlüsselung benutzt zwei Schlüssel. Die Stärke der Verschlüsselung hängt vom verwendeten Verschlüsselungsverfahren und der Länge des Schlüssels ab. Ein asymmetrischer Schlüssel muß etwa 10mal so lang sein wie ein vergleichbar starker symmetrischer Schlüssel.
107
Asymmetrische Verschlüsselung
Ein Schlüsselpaar, ein geheimer (private) und ein öffentlicher (public) Schlüssel werden erzeugt. Zur Entschlüsselung einer Nachricht ohne den richtigen Schlüssel zu haben muß eine “brute force attack” durchgeführt werden. Dies bedeutet, alle möglichen Schlüssel durchzutesten. Der öffentliche Schlüssel muß veröffentlicht werden, damit der Sender einer Nachricht diese damit verschlüsseln kann. RSA ist das wohl bekannteste asymmetrische Verschlüsselungsverfahren.
108
Was ist Standard? Ein symmetrischer Schlüssel wird erzeugt und zum Verschlüsseln der Nachricht verwendet. Dann wird der symmetrische Schlüssel mit dem öffentlichen Schlüssel des Empfängers verschlüsselt und der Nachricht beigefügt. Der Empfänger kann mit seinem privatem Schlüssel den symmetrischen Schlüssel wiederherstellen, der der Nachricht beigefügt ist. Mit dem symmetrischen Schlüssel kann er dann die Nachricht entschlüsseln.
109
Wie kann ich sicher sein, wer der Besitzer eines Schlüssels ist?
Ein Schlüssel kann von einer Person meines Vertrauens gegengezeichnet sein (net of trustees [PGP]) oder er kann von einer Zertifizierungsstelle unterzeichnet sein. Dann kann der Schlüssel jederzeit gegen das Zertifikat getestet werden. Dieses hierarchische Modell wird meistens von Organisationen einschließlich Regierungen bevorzugt. Es ist in den wichtigsten Browsern wie dem MS-Explorer und dem Netscape-Messenger implementiert.
110
Digitale Unterschrift
Die digitale Unterschrift stellt sicher, daß eine Nachricht tatsächlich vom angegebenen Sender kommt und nicht manipuliert wurde. Die digitale Unterschrift kann auch benutzt werden, um zu bestätigen, daß ein bestimmter Schlüssel einer bestimmten Person gehört. Normalerweise wird ein Fingerabdruck der Nachricht berechnet, wobei sogenannte Quersummen benutzt werden. Der Fingerabdruck wird dann mit dem geheimen Schlüssel des Unterschreibenden signiert. Mit dem öffentlichen Schlüssel des Senders kann der Fingerabdruck entschlüsselt und mit der Nachricht verglichen werden.
111
S/MIME Datei Kolloquium Medizinische Informatik
112
Stärke der Schlüssel Der notwendige Rechenaufwand steigt exponentiell mit der Länge des verwendeten Schlüssels. 32 bit 4*10^9 Schritte Sekunden 40 bit 1*10^12 Schritte Tage 56 bit 7*10^16 Schritte Jahr/Sek. 64 bit 1*10^19 Schritte 0.7 Jahre 128 bit 3*10^38 Schritte 3*10^16 Jahre Alle Angaben gelten nur für symmetrische Schlüssel! RSA 2048 bit ist sicher für einige Jahrzehnte.
113
Trust-Center Erzeugung eines “CA authority certificate”, um ein Trust-Center aufzubauen (z.B. mit SSLeay). Ausgabe von Rechnerzertifikaten für WWW-Server. Ausgabe von persönlichen Zertifikaten für Personen. Patch der benutzten Browser auf 128 bit Verschlüsselung (z.B. fortify für Netscape)
114
Sind Verschlüsselung und Digitale Signatur wichtig?
Umfrage unter den CancerNet Nutzern (1999) Ja sagen: 25% der Ärzte 34% der Medizinstudenten aber: 00% der privaten Kontakte mit persönlichen Daten waren verschlüsselt
115
Telemedizinführer Deutschland (Achim Jäckel)
Informationen Telematik im Gesundheitswesen - Perspektiven der Telemedizin in Deutschland- (Roland Berger & Partner) Telemedizinführer Deutschland (Achim Jäckel)
117
Standards ISO 9004 Teil 2 Teil 3 Teil 4 Teil 5 Teil 6
Qualitätsmanagement und Elemente eines Qualitätssicherungssystems Leitfaden für Dienstleistungen Leitfaden für verfahrenstechnische Produkte Leitfaden zum Management von Qualitätsverbesserungen Leitfaden für Qualitätssicherungspläne Leitfaden zum Konfigurationsmanagement Kolloquium Medizinische Informatik
Ähnliche Präsentationen
© 2024 SlidePlayer.org Inc.
All rights reserved.