Updates und Sicherheit

Die WDoku-Appliance läuft über Jahre in Ihrer Klinik. Ihre IT-Sicherheit muss deshalb prüfen können, wie Software auf das System kommt und welche Schutzmechanismen dabei greifen. Diese Seite beschreibt das Update- und Sicherheitskonzept der Appliance.

Kurzantwort

Die WDoku-Appliance holt Updates ausschließlich selbst ab, aus der WDoku-eigenen Registry und nur nach Freigabe durch Ihre IT. Jedes Update ist kryptografisch signiert und wird fail-closed geprüft, Downgrades werden abgelehnt, fehlgeschlagene Updates rollen automatisch zurück. Dazu kommen eine Default-Deny-Firewall in beide Richtungen, pro Installation einmalige Schlüssel und Passwörter, optionale LUKS-Vollverschlüsselung und ein unveränderbares Audit-Log.

Das Sicherheitsmodell in Kürze

Das Sicherheitskonzept der Appliance folgt vier Regeln: Erstens verbindet sich die Appliance nur ausgehend, niemand muss von außen hinein. Zweitens führt sie ausschließlich Software aus, deren kryptografische Signatur sie geprüft hat. Drittens hat jede Rolle nur die Rechte, die sie wirklich braucht. Viertens wird jede Verwaltungsaktion fälschungssicher protokolliert.

Diese Regeln sind technisch durchgesetzt: durch die eingebaute Firewall, die Signaturprüfung vor jeder Installation und ein Rechtesystem ohne pauschale Root-Shell.

Updates nach dem Pull-Prinzip

Software-Updates funktionieren nach dem Pull-Prinzip. Ihre IT sieht im Admin-Web oder im Admin-CLI, dass eine neue Version verfügbar ist, und entscheidet selbst, wann sie eingespielt wird. Erst dann lädt die Appliance das Update über eine ausgehende HTTPS-Verbindung aus der WDoku-eigenen Software-Registry (docker-registry.wdoku.de).

Öffentliche Fremd-Registries wie Docker Hub sind bewusst nicht im Spiel: Jedes Software-Artefakt, das auf die Appliance gelangt, kommt aus einer Quelle, die WDoku selbst betreibt und deren Inhalte WDoku selbst signiert. Kliniken erhalten dabei ausschließlich für den Produktiveinsatz freigegebene Versionen.

Kryptografisch signierte Software

Jedes Update ist mit einem privaten Schlüssel signiert, der offline bei WDoku liegt und die Build-Umgebung nie verlässt. Der zugehörige öffentliche Schlüssel wird bei der Installation fest auf der Appliance hinterlegt und dient dort als Vertrauensanker.

Vor jeder Installation prüft die Appliance die Signatur gegen diesen Vertrauensanker. Die Prüfung ist fail-closed: Passt die Signatur nicht, wird das Update abgelehnt, ohne Ausnahme. Die Zugangsdaten zur Registry sichern nur den Transportweg; die eigentliche Sicherheitsentscheidung trifft immer die lokale Signaturprüfung. Sie funktioniert offline und hängt nicht von externen Zertifizierungs- oder Log-Diensten ab.

Schutz vor Downgrades und fehlgeschlagenen Updates

Eine gültige Signatur allein reicht nicht, auch eine alte, korrekt signierte Version könnte bekannte Schwachstellen zurückbringen. Deshalb trägt jedes Update eine monotone Build-Kennung, und die Appliance merkt sich den höchsten bereits installierten Stand. Ein Ziel unterhalb dieses Standes wird abgelehnt. Ein Angreifer kann der Appliance also kein älteres, verwundbares Update unterschieben.

Gegen fehlgeschlagene Updates schützt ein zweiter Mechanismus: Nach jedem Update der Systemsoftware prüft die Appliance selbstständig, ob die Anwendung wieder gesund antwortet. Schlägt die Prüfung fehl oder läuft sie in einen Timeout, kehrt die Appliance automatisch zum vorherigen Stand zurück. Auch ein Stromausfall mitten im Update hinterlässt keinen halb aktualisierten Zustand, der Wechsel auf die neue Version erfolgt atomar.

Firewall: Default-Deny in beide Richtungen

Die Appliance bringt ihre eigene Firewall mit, unabhängig von der Klinik-Firewall davor. Beide Richtungen stehen auf Default-Deny: Eingehend sind nur die Anwendung (HTTPS), das Admin-Web und SSH aus dem Klinik-Netz erreichbar. Ausgehend ist nur eine kurze Allowlist von WDoku-Zielen sowie DNS und NTP erlaubt, alles andere wird verworfen.

Ihre IT kann über das Admin-Web eigene Zusatzregeln ergänzen, etwa für ein internes Monitoring, und einen klinikeigenen NTP-Server hinterlegen. Die Standardregeln bleiben dabei sichtbar, es gibt keine versteckten Freischaltungen.

Zugangsdaten, Schlüssel und Verschlüsselung

Das ausgelieferte Appliance-Image enthält keine Zugangsdaten, keine Zertifikate und keine kundenspezifischen Schlüssel. Datenbank-Passwörter, der Schlüssel für verschlüsselte Anwendungsdaten und das TLS-Material entstehen erst bei der Einrichtung in Ihrer Klinik und sind pro Installation einmalig. Ein kompromittiertes Image einer anderen Installation gefährdet Ihre Appliance dadurch nicht.

Gespeichert werden diese Werte in einem geschützten Bereich, den nur die dafür vorgesehenen Systemaufrufe lesen können, nicht die Weboberfläche und nicht die Klinik-IT-Rolle. Optional wird die Appliance mit LUKS-Vollverschlüsselung der Datenpartitionen ausgeliefert.

Audit-Log und Diagnose

Jede Verwaltungsaktion, vom Update bis zur Firewall-Regel, landet in einem Audit-Log, das auf Betriebssystem-Ebene nur angehängt, aber nicht verändert werden kann. Die eingebaute System-Diagnose prüft die Appliance auf Knopfdruck und liefert Ihrer IT einen lesbaren Zustandsbericht, ohne dass jemand auf der Kommandozeile suchen muss.

Damit kann Ihre IT gegenüber IT-Sicherheit und Datenschutz jederzeit belegen, welche Software auf der Appliance läuft, woher sie kommt und wer wann welche Änderung vorgenommen hat.

FAQ

Woher weiß die Appliance, dass ein Update wirklich von WDoku stammt?

Jedes Update ist kryptografisch signiert. Die Appliance prüft die Signatur vor der Installation gegen einen bei der Einrichtung verankerten öffentlichen Schlüssel und lehnt alles ab, was nicht passt.

Was passiert, wenn ein Update fehlschlägt?

Die Appliance prüft nach dem Update selbstständig die Gesundheit der Anwendung und kehrt bei Problemen automatisch zum vorherigen Stand zurück.

Kann jemand eine alte, verwundbare Version einspielen?

Nein. Jedes Update trägt eine monotone Build-Kennung, und die Appliance lehnt Versionen unterhalb des bereits installierten Standes ab.

Sieht WDoku, was auf unserer Appliance passiert?

Nein. Es gibt keine Telemetrie klinischer Daten und keinen eingebauten Fernzugriff. Die Appliance meldet sich nur für Verifikation und Software-Bezug bei WDoku, das Audit-Log bleibt lokal in Ihrer Klinik.

Zur Übersicht Klinik-IT-Bereich

Zurück zur Übersicht für IT-Abteilungen und technische Entscheider.

Grundlage On-Premises-Betrieb als Appliance

Das Betriebsmodell: Auslieferung als VM, Installation und Datenhoheit.

Verwandtes Thema Administration: Admin-Web und Admin-CLI

Die Verwaltungswerkzeuge, mit denen Ihre IT Updates auslöst und den Betrieb überwacht.

Kontakt Sicherheitsfragen klären

Wir beantworten Sicherheits- und Datenschutzfragen direkt mit Ihrer IT-Abteilung.