Uncategorized

Warum das Gesundheitswesen eine neue Vertrauensschicht braucht

Warum das Gesundheitswesen eine neue Vertrauensschicht braucht

Es gibt ein Gedankenexperiment in der Philosophie, das als Schiff des Theseus bekannt ist. Wenn man jede Planke eines Holzschiffs einzeln austauscht — ist es dann noch dasselbe Schiff? Die Gesundheits-IT führt seit drei Jahrzehnten ihr eigenes Experiment durch: analoge Komponenten werden Stück für Stück durch digitale ersetzt, in der Annahme, das zugrundeliegende Vertrauensmodell würde standhalten.

Das tat es nicht.

Die Planken wurden ersetzt, aber der Rumpf wurde nie für die neuen Seebedingungen umgebaut. Und die Seebedingungen haben sich dramatisch verändert. Klinische Daten überschreiten heute standardmässig institutionelle Grenzen. Ein Hausarzt in Zürich überweist einen Patienten an einen Spezialisten in Bern. Ein Labor übermittelt Resultate an die zuweisende Praxis. Eine Apotheke prüft ein Rezept eines Arztes, mit dem sie noch nie zuvor interagiert hat. Das sind keine Randfälle. Es sind die alltäglichen Abläufe eines modernen Gesundheitssystems.

Die Vertrauensinfrastruktur, die den meisten dieser Interaktionen zugrunde liegt, wurde für eine Welt konzipiert, in der Institutionen hauptsächlich innerhalb ihres eigenen Perimeters operierten. Diese Welt existiert nicht mehr.

Das Problem ist nicht Zugangskontrolle

Perimetersicherheit funktioniert gut, wenn die Bedrohung von aussen kommt und die Akteure intern sind. Die Firewall eines Spitals hält Aussenstehende fern. Zertifikatbasierte Authentifizierung bestätigt, dass ein Server derjenige ist, der er vorgibt zu sein. Diese Werkzeuge bleiben unverzichtbar.

Doch hier liegt die strukturelle Lücke: Bestehende Infrastruktur kann verifizieren, dass eine Nachricht von einem bekannten Server eingegangen ist. Sie kann nicht zuverlässig verifizieren, dass die Nachricht von einer bestimmten, identifizierten Fachperson autorisiert wurde — und dass diese Autorisierung in dem Moment noch gültig ist, in dem die empfangende Institution sie prüft.

Die Zertifizierungsstellen, auf denen dieses System beruht, schaffen ihre eigenen Probleme. Jede CA ist ein Dritter, der Vertrauen als Geisel hält — eine Instanz, die kompromittiert, von Regierungen unter Druck gesetzt oder operativ ausfallen kann. Let’s Encrypt allein hat einen Marktanteil von rund 60 % bei TLS-Zertifikaten. Eine einzige US-Institution als struktureller «Single Point of Failure» für den Grossteil der Transportsicherheit im Internet.

Das ist ein hoher Preis für «Vertrauen».

Dreissig Jahre verschlüsselte Post — und ihre Grenzen

Die Health Info Net AG — HIN — betreibt seit dreissig Jahren eine sichere Messaging-Infrastruktur für das Gesundheitswesen in der Schweiz. Heute verarbeitet SEAL monatlich mehr als 800’000 verschlüsselte Interaktionen in diesem Netzwerk und verbindet über 30’000 Arztpraxen mit Spitälern, Spezialisten, Apotheken und Laboren.

Das ist eine beachtliche betriebliche Leistung. Das Mail-Gateway, das SEAL vorausging, hielt sensible Gesundheitskommunikation seit Mitte der 1990er-Jahre privat und authentifiziert. Es tat, wofür es konzipiert war.

Doch es war für ein Zeitalter der E-Mail konzipiert. Es operiert auf der Nachrichtenschicht. Es kann bestätigen, dass eine Nachricht verschlüsselt ist und über die HIN-Infrastruktur eingegangen ist. Was es nicht kann: verifizierbare Aussagen über die beruflichen Qualifikationen des Absenders, seine aktuelle institutionelle Zugehörigkeit oder seine spezifischen Berechtigungen einbetten — in einer Form, die der Empfänger eigenständig prüfen kann, ohne ein zentrales Register abzufragen.

Je mehr sich Gesundheitssysteme in Richtung strukturierten Datenaustausch bewegen — man denke an FHIR-basierte klinische Auftragsworkflows, institutionsübergreifende Überweisungen mit einwilligungsgebundener Autorisierung, Echtzeit-Laborresultatübermittlung — desto deutlicher stösst das Modell der Nachrichtenschicht an seine architektonischen Grenzen. Nicht, weil es defekt ist. Sondern weil die Anforderungen über das hinausgewachsen sind, wofür es gebaut wurde.

Was Perimetersicherheit ersetzt

Die Antwort ist kein grösserer Perimeter. Es ist ein grundlegend anderes Vertrauensprimitiv: kryptographisch verifizierbare Credentials, die bei den Akteuren selbst liegen — nicht bloss bei den Systemen, die sie nutzen.

Statt zu fragen «Ist diese Nachricht über einen autorisierten Kanal eingegangen?» lautet die Frage: «Trägt diese Nachricht einen kryptographischen Beweis, dass der Absender aktuelle, gültige Credentials besitzt, die von einer Stelle ausgestellt wurden, der der Empfänger bereits vertraut?»

Das verlagert Vertrauen von der Infrastrukturschicht auf die Identitätsschicht. Eine Nachricht trägt den Beweis mit sich, wer sie gesendet hat, unter welcher beruflichen Autorität, und ob diese Autorität aktuell ist — ohne dass der Empfänger im Moment der Verifizierung ein zentrales Register abfragen muss.

Die OAuth- und Zertifikatssysteme, auf die sich die meisten Organisationen heute verlassen, wurden nicht dafür konzipiert. Sie eignen sich hervorragend für Session-Management innerhalb einer einzelnen Domäne. Doch institutionsübergreifendes Vertrauen? OAuth setzt voraus, dass die Stelle, die das Token ausstellt, dieselbe ist, die sich darauf verlässt. Wenn Institution A ein Token ausstellt, funktioniert es innerhalb von Institution A. Institution B hat keinen Grund, ihm zu vertrauen. Es gibt keinen nativen Mechanismus für diese grenzüberschreitende Verifizierung.

Also konvergieren Organisationen auf einen zentralen Identitätsanbieter — Google, Microsoft, Okta — und reproduzieren das Zentralisierungsproblem in neuem Gewand.

Eine dezentrale Vertrauensarchitektur — in der jede Entität ihre eigene kryptographische Identität pflegt, verankert in einem selbstzertifizierenden Identifikator, überprüfbar durch jede Gegenpartei ohne zentralen Vermittler — adressiert diese strukturelle Limitation. Das ist dezentrales Schlüsselmanagement. Und das ist die Architektur hinter Stargate, der Vertrauensinfrastruktur, die das HIN-Netzwerk transformiert.

Die laufende Transformation

Die HIN-Implementierung ist kein Proof of Concept. SEAL, das verschlüsselte Schwarm-Zustellsystem, das die externe Kommunikation an Empfänger ausserhalb des HIN-Netzwerks abwickelt, verarbeitet diese mehr als 800’000 Interaktionen monatlich im Produktivbetrieb. Empfänger — vorwiegend Patientinnen und Patienten — greifen in jedem Browser auf jedem Gerät auf ihre Nachrichten zu. Kein App-Download. Kein Konto. Keine Zertifikate.

Doch SEAL ist der Ausgangspunkt, nicht das Ziel. Stargate ist die vollständige Plattform, die nun ausgerollt wird — sie ersetzt das Legacy-Mail-Gateway von HIN durch eine Infrastruktur, die dezentrale Identität, verifizierbare Credentials, strukturierten Datenaustausch und kryptographische Audit-Trails auf verschlüsselte Kommunikation aufsetzt.

Der mehrjährige, phasenweise Rollout läuft weiter. 2026 kommen die Gateways für Spitäler und Institutionen. 2027 sind die HIN-Clients in Arztpraxen das Ziel. HIN vollzieht diese Transformation mit der Unterstützung von Vereign — nicht als Ablösung auf einen Schlag, sondern als organische Evolution, bei der Stargate vollständige Rückwärtskompatibilität mit bestehenden Systemen wahrt.

Aus ingenieurstechnischer Sicht ist das Wichtigste an dieser Implementierung, was sie nicht erfordert: Sie verlangt nicht, dass jede teilnehmende Institution einer einzigen zentralen Autorität vertraut. Jede Entität pflegt ihr eigenes Key Event Log. Jede Gegenpartei verifiziert Vertrauen, indem sie dieses Log direkt liest — keine bilaterale Verhandlung, keine gemeinsame CA, kein Vertrauensabkommen über Mittelsmänner.

Über das Gesundheitswesen hinaus

Das Muster, das ich hier beschrieben habe, ist weder spezifisch für die Schweiz noch für medizinische Nachrichtenübermittlung. Jeder regulierte Sektor — Finanzwesen, Recht, öffentliche Verwaltung, Pharma, Energie — steht vor derselben strukturellen Herausforderung: Akteure, die über institutionelle Grenzen hinweg interagieren müssen, mit Credentials, die ohne zentrale Abhängigkeit verifizierbar sein müssen, in Umgebungen, in denen der Audit-Trail nicht verhandelbar ist.

Das Gesundheitswesen hat bewiesen, dass es im grossen Massstab funktioniert. Mehr als 800’000 verifizierbare Interaktionen pro Monat, Zehntausende von medizinischen Fachpersonen, Hunderte von institutionellen Teilnehmern. Die Credentials sind verifizierbar. Das System ist resilient. Die Compliance-Geschichte ist klar, weil jede Aussage über eine berufliche Identität ihren eigenen kryptographischen Beweis mit sich trägt.

Das Vertrauensproblem ist kein Softwarefehler, der gepatcht werden kann. Es ist eine strukturelle Lücke, die neue Infrastruktur erfordert.

Zurück zum Schiff des Theseus also. Das Gesundheitswesen hat dreissig Jahre lang Planken ausgetauscht. Was es jetzt braucht, ist nicht noch eine Planke. Es ist ein Rumpf, der für die Gewässer konstruiert ist, in denen es tatsächlich segelt — einer, in dem Vertrauen nicht davon abhängt, dass eine einzige Autorität ehrlich bleibt, finanziert bleibt und unkompromittiert bleibt.

Das bedeutet eine Vertrauensschicht. Kein neuer Perimeter. Ein neues Fundament.

Weiterlesen

Was sind verifizierbare Credentials?
Uncategorized

Was sind verifizierbare Credentials?

Es gibt ein Dokument, das fast jeder bei sich trägt und das ein Problem löst, das wir digital über drei Jahrzehnte hinweg nicht gemeinsam gelöst haben. Ihren Pass. Überreichen Sie ihn einem Grenzbeamten in Zürich, Tokio oder São Paulo. Der Beamte inspiziert ihn, überprüft das Foto, verifiziert die Sicherheitsmerkmale der ausstellenden Behörde und gibt ihn […]

Weiterlesen →
Wie dezentralisierte Vertrauensinfrastruktur in regulierten Sektoren funktioniert
Uncategorized

Wie dezentralisierte Vertrauensinfrastruktur in regulierten Sektoren funktioniert

1961 versammelten sich Diplomaten aus Dutzenden von Ländern im Haag, um ein überraschend hartnäckiges Problem zu lösen: Wie wird ein von Behörden eines Landes ausgestelltes Dokument von Behörden eines anderen Landes als authentisch anerkannt? Die Antwort, die sie produzierten — die Apostille-Konvention — besticht durch ihre Einfachheit. Ein standardisiertes Zertifikat, das dem Dokument beigefügt ist, […]

Weiterlesen →
SEAL — die Secure Communication Layer, auf die der US-Markt gewartet hat
Uncategorized

SEAL — die Secure Communication Layer, auf die der US-Markt gewartet hat

“Als Seed-Investor von Vereign AG bin ich sehr stolz und geehrt, die Erreichung eines wichtigen Meilensteins mit dem nationalen Rollout der gesicherten Messaging-Plattform des Schweizer Nationalen Gesundheitssystems zu sehen. Ich habe mich für eine Investition in Vereign entschieden, weil ihr Ansatz eine der komplexesten Herausforderungen löst, denen wir gegenüberstehen: Wie man gesicherte und verifizierte Kommunikation […]

Weiterlesen →

Verifizierte Kommunikation — gebaut und im Einsatz, nicht nur beschrieben.

Die Vertrauensinfrastruktur von Vereign ist im gesamten Schweizer Gesundheitswesen im Einsatz. Buchen Sie einen 30-minütigen Architektur-Review, um zu klären, was souveräne Kommunikation für Ihre Organisation bedeutet.

Architektur-Review buchen
Schweizer Datenschutz DSGVO-konform Open Source AGPLv3+ Schweizer Hosting