Sicherheitskonzept
Sicherheitskonzept
HyponaTrack – App-basiertes Home-Monitoring
Systemarchitektur (Sicherheit)
Das System besteht aus: iPhone-App (Patienten-Monitoring), iPad-App (Nurse-Enrollment), Apple HealthKit (passiv, lokal), REDCap-Server (UKE-Rechenzentrum), Apple Push Notification (Erinnerungen).
Datenhaltung
Lokale Datenspeicherung
| Speicherort | Daten | Verschlüsselung |
|---|---|---|
SwiftData (SQLite) |
PatientProfile, DailyEntry, SymptomEntry, CognitiveTestResult |
iOS Data Protection (AES-256) |
| iOS Keychain | Study Nurse PIN (SHA-256), Studien-ID, REDCap-Token, Auth-Secret |
Secure Enclave |
HealthKit Store |
Gewicht, Schritte, HRV, Herzfrequenz, Schlaf | HealthKit-eigene Verschlüsselung |
CareKit Store |
Pflegeplan, Aufgaben, Ergebnisse | SwiftData (verschlüsselt) |
UserDefaults |
Nicht-sensible App-Einstellungen | Standard iOS-Schutz |
Datenübertragung
| Übertragung | Protokoll | Inhalt |
|---|---|---|
| iPad → iPhone (Enrollment) | QR-Code (optisch) | Pseudonymisierte klinische Daten |
| iPad → iPhone (Auth) | QR-Code oder NFC | HMAC-signierter Token (5 min gültig) |
iPhone → REDCap |
HTTPS/TLS 1.3 |
Pseudonymisierte Studiendaten |
| Apple → iPhone | APNs (TLS) | Push-Notification-Payload (kein Inhalt) |
Keine Cloud-Synchronisation
Kein iCloud-Backup, kein CloudKit-Sync, kein Firebase/AWS/Cloud-Dienst. Leihgeräte: iCloud deaktiviert via MDM-Profil.
Verschlüsselung
At Rest: iOS Data Protection (AES-256), Secure Enclave für Keychain, SwiftData durch iOS automatisch verschlüsselt.
In Transit: HTTPS/TLS 1.3 (App Transport Security erzwungen), QR-Code (optisch, kein Netzwerk), NFC (Nahfeld, HMAC-signiert).
Authentifizierung und Zugriffskontrolle
Patienten-App: Gerätecode / Face ID (iOS-Standard), App-Sperre nach 5 min Inaktivität, Study Nurse Bereich PIN-geschützt (4-stellig, SHA-256 + Salt), alternative Auth via QR-Code oder NFC-Tag (HMAC-SHA256, 5 min gültig).
Nurse-App (iPad): 6-stelliger Gerätecode (MDM-Profil), Auth-QR-Generierung mit patientenspezifischem authSecret.
REDCap: API-Token im Keychain, Benutzerrollen (PI: Vollzugriff, Study Nurse: Dateneingabe, Statistiker: Lesezugriff).
Pseudonymisierung
Identifikation über Studien-ID (z. B. “UKE-482917”), zentral vergeben. Zuordnungsliste nur beim PI, physisch verschlossen, nicht digital in der App. App-Inhalte: Kein Klarname, keine Adresse, kein Geburtsdatum (nur Alter).
Mobile Device Management (MDM) – Leihgeräte
| Einstellung | Wert |
|---|---|
| Gerätecode | 6-stellig, alphanumerisch |
| Auto-Lock | 5 Minuten |
| Fehlversuche | 10 → Gerät löschen |
| iCloud | Deaktiviert |
| App Store | Deaktiviert |
| AirDrop | Deaktiviert |
| Backup | Nur verschlüsseltes lokales Backup |
| Remote Wipe | Aktiviert (bei Verlust/Rückgabe) |
Backup und Recovery
Bei Geräteverlust: Remote Wipe via MDM; Daten bereits in REDCap; neues Gerät + erneutes Enrollment. Bei App-Absturz: SwiftData WAL-Journaling; automatischer Recovery. Bei REDCap-Ausfall: App funktioniert offline; Sync-Retry bei Verbindung.
Incident Response
Meldepflichten
| Vorfall | Frist | Empfänger |
|---|---|---|
| Datenschutzverletzung (Art. 33 DSGVO) | 72 Stunden | Hamburger Datenschutzbeauftragter |
| Unerwünschtes Ereignis (SAE) | Unverzüglich | Ethikkommission, Sponsor |
| Geräteverlust/-diebstahl | Unverzüglich | IT-Sicherheit, MDM-Admin |
Eskalationspfad
- Study Nurse / Patient meldet Vorfall
- PI bewertet Schwere
- DSB informieren (bei Datenschutzvorfall)
- Remote Wipe auslösen (bei Geräteverlust)
- Dokumentation im Studienordner
- Meldung an Aufsichtsbehörde (bei Bedarf)
PIN-Sicherheit (Study Nurse Bereich)
Hashing
Algorithmus: SHA-256. Salt: 16 Byte zufällig (kryptografisch sicher). Eingabe: Salt + PIN (Klartext). Ausgabe: 64-Zeichen Hex-String. Speicherort: iOS Keychain (Secure Enclave).
Auth-Token (QR/NFC)
Algorithmus: HMAC-SHA256. Key: authSecret (32 Byte Base64, pro Patient generiert). Payload: Timestamp + NurseID. Gültigkeit: 300 Sekunden (5 Minuten). Übertragung: QR-Code (optisch) oder NFC NDEF.
Penetration Testing und Security Audit
| Maßnahme | Status | Geplant |
|---|---|---|
| Statische Code-Analyse | [Ausstehend] | Vor Pilotstudie |
| App Transport Security Prüfung | ATS aktiv | – |
| Keychain-Audit | kSecAttrAccessibleWhenUnlockedThisDeviceOnly |
– |
| Penetration Test (extern) | [Ausstehend] | Empfohlen vor Rekrutierungsstart |