Das Matrixprotokoll - Ein Blick ins Innere des TI-Messengers

Der TI-Messenger ist ein wichtiger Schritt zur Digitalisierung des deutschen Gesundheitswesens, da er heterogene Organisationen und IT-Systeme miteinander vernetzen kann. In diesem Blog-Beitrag meiner Blogreihe zum Thema Telemedizin werde ich etwas technischer: Ich stelle euch das Matrixprotokoll, das Herzstück des TI-Messengers vor und erläutere, warum es die ideale Kommunikationsplattform für das Gesundheitswesen ist. Wenn ihr mit diesem Artikel frisch in die Blogreihe einsteigt und vorher ein paar Grundlagen zur Telemedizin und dem TI-Messenger haben wollt, lest gerne meine anderen Blog-Beiträge.

Das Matrixprotokoll

Das Matrixprotokoll wird seit 2014 von der Firma Element (New Vector Ltd., GB) entwickelt und bietet eine robuste Grundlage für den Austausch sensibler Informationen und eine sektorübergreifende Zusammenarbeit. Deswegen wird es nicht nur im Gesundheitswesen, sondern auch in anderen Bereichen verwendet, die sichere Kommunikationsplattformen benötigen (zum Beispiel dem BundesMessenger für die öffentliche Verwaltung, dem BwMessenger der Bundeswehr, oder Logineo für Schulen).

Es handelt sich um ein offenes Standardprotokoll für Messaging und Echtzeitkommunikation, welches speziell für die Realisierung dezentraler und interoperabler Kommunikationsnetzwerke entwickelt wurde. Seine Architektur, erlaubt es verschiedenen, gleichberechtigten Servern nahtlos miteinander zu kommunizieren, ohne dabei einen zentralen Server zu benötigen. Diese Eigenschaft macht es robust gegenüber Ausfällen und bietet eine hohe Flexibilität und Skalierbarkeit – nicht zuletzt, weil es nicht von einer zentralen Instanz administriert werden muss.

Die obige Abbildung zeigt die schematische Darstellung eines Matrix Netzwerkes in welchem jede Organisation (grau) einen eigenen Matrix-Kommunikationsserver (auch Homeserver genannt) (gelb) verwendet. Über die Server-Server API [3] synchronisieren die verschiedenen Server Kommunikationsräume (Rooms), denen Teilnehmer verschiedener Organisationen angehören. Clients (dunkelblau) kommunizieren (über die Client-Server API [4]) mit ihren Homeservern, um Nachrichten zu versenden, oder Updates zu empfangen. Clients müssen dabei nicht nur menschliche Endanwender sein. Dabei kann es sich auch um beliebige Softwarekomponenten handeln (zum Beispiel Krankenhausinformationssysteme, Bildarchive, Medizingeräte), die in Form von Bots Daten über Matrix Rooms austauschen können (hier in hellblau dargestellt).

Die dezentrale Architektur des Matrix-Protokolls ermöglicht es, dass jede Instanz (Homeserver) im Netzwerk eigenständig arbeitet, aber dennoch in der Lage ist (über die Server-Server API), mit anderen Homeservern zu kommunizieren, welche es selbstständig identifizieren und kontaktieren kann. Dadurch ist das Protokoll hoch-dynamisch und ausfallsicher, weil Ausfälle einzelner Server nur lokale Auswirkungen haben. Das Protokoll ähnelt dem Internet, das ebenfalls dezentral aufgebaut ist und seine Routen selbst dynamisch konfiguriert. Eine andere Ähnlichkeit, die sich vor allem bei der Betrachtung der Abbildung oben aufdrängt, ist die Vernetzung von Neuronen. Nicht zufällig heißen die Referenzimplementierungen der Matrix Homeserver deswegen auch Synapse und Dendrite.

Technische Details und Funktionsweise

Der Zentrale Bestandteil des Matrix Protokolls sind die bereits genannte Räume (Rooms), worin die Kommunikation zwischen Nutzern (User) stattfindet. Nutzer können Räume erstellen und sich gegenseitig in bestehende Räume einladen. Dabei haben Nutzer verschiedene Rechte (Powerlevel), die von einem Leserecht bis hin zu vollen Administrationsrechten für jedem Raum konfiguriert werden können. Sämtliche Informationen zu Räumen werden über Events im JSON-Format kommuniziert. Auch bei Nachrichten, die zwischen den Nutzern ausgetauscht werden, handelt es sich um Events. Eine grafische Übersicht der Datenstruktur gibt das folgende Diagramm:

Alle Events, die im Chatverlauf sichtbar sind, werden als Message-Events bezeichnet. Alle anderen Events heißen State-Events, da ihre Gesamtheit den aktuellen Raumzustand (zum Beispiel der aktuelle Name, die Liste der Teilnehmenden oder ähnliches) definiert. Nutzer können dabei neben den offiziell spezifizierten Event-Typen auch eigene Events in Räume senden, um zusätzliche Informationen zwischen Software-Clients auszutauschen. Ebenso ist es möglich Message-Events für menschliche Nutzer unsichtbare Metadaten anzufügen, wodurch diese neben ihrer menschenlesbaren Form auch in strukturierter Form übertragen werden können. Dies erlaubt beispielsweise medizinischer Software, Nachrichteninhalte zu interpretieren, was die Übermittlung von Befunden, Diagnosen und Medikationen ermöglicht. Ein herausragendes Merkmal des Matrix-Protokolls ist seine Fähigkeit, trotz seiner föderierten Strukturen Nachrichten Ende-zu-Ende verschlüsselt zu übertragen. Diese Sicherheit und der Schutz der Privatsphäre sind besonders im Gesundheitswesen von entscheidender Bedeutung, wo der Austausch sensibler Gesundheitsdaten stattfindet. Gewährleistet wird diese Sicherheit durch die für den Signal-Messenger entwickelten Olm beziehungsweise Megolm Protokolle. Ohne zu sehr auf kryptographische Details eingehen zu wollen, erlauben sie es für jede Nachricht einen neuen kryptografischen Schlüssel zu verwenden. Sollte ein Schlüssel kompromittiert sein, kann damit nur eine Nachricht entschlüsselt werden. Alle vorherigen und zukünftigen Nachrichten sind weiterhin sicher. Das ermöglicht es auch, dass erst später eingeladene Nutzer bei Bedarf nur ab ihrem Beitritt Nachrichten im Raum entschlüsseln können. Wichtig zu erwähnen ist, dass nicht alle Events verschlüsselt übertragen werden, sondern nur Message-Events. Sensible Daten müssen daher immer in Form von Nachrichten verschickt werden.

Integration in den TI-Messenger

Die Matrix-Spezifikation wird unverändert für den TI-Messenger verwendet. Dieser besteht allerdings noch aus weiteren Komponenten, um ihn weiter abzusichern und mit anderen Diensten der Telematikinfrastruktur zu verbinden. Zentral ist dabei das sogenannte Messenger-Proxy, welches eine Föderationsliste mit allen offiziell zugelassenen TI-Messenger Homeservern vorhält und etwaige Kommunikation zwischen Matrix Homeservern strikt auf diese beschränkt. So wird verhindert, dass nicht offiziell zertifizierte und zugelassene Messenger an der sicheren Kommunikation für das deutsche Medizinwesen teilnehmen.

Eine weitere Besonderheit des TI-Messengers ist die Verwendung des FHIR-Verzeichnisdienstes (VZD-FHIR-Directory). Der TI-Verzeichnisdienst (VZD) ist das zentrale Adressbuch der Telematikinfrastruktur (TI) in Deutschland. Er enthält Basisdaten wie Adressen und Zertifikate von medizinischen Leistungserbringern und Einrichtungen, die an die TI angeschlossen sind, einschließlich Arztpraxen, Apotheken und Krankenhäusern. Das Verzeichnis teilt sich in ein Organisationsverzeichnis (für Einrichtungen) und ein Personenverzeichnis (für Ärztinnen und Ärzte mit elektronischem Heilberufsausweis).

Der zentrale IDP-Dienst (Identity Provider) der Telematikinfrastruktur ist derzeit für die Authentifizierung und Autorisierung von Organisationen und Nutzern mit elektronischem Heilberufeausweis zuständig. Zukünftig wird dieser Dienst durch ein Netzwerk föderierter Identitätsdienste abgelöst, die entweder direkt oder über einen zentralen Federation Master kontaktiert werden können. Nutzer ohne Heilberufeausweis können von einem Organisations-Administrator (Org-Admin) auf alternative Weise hinzugefügt werden, sei es manuell oder über die institutionseigenen IDP-Dienste. Zudem besteht die Möglichkeit, Funktionskonten (zum Beispiel für diensthabende Ärztinnen und Ärzte) einzurichten.

Für die Einrichtung von Administrationsaccounts, der Registrierung von Messenger-Services (Matrix-Homeserver mit Messenger-Proxy) stellen Anbieter von TI-Messengern Registrierungsdienste bereit. Zusätzlich betreibt jeder Messenger-Anbieter ein Push-Gateway das für die Zustellung von Benachrichtigungen zuständig ist.

Fazit

Mit Erreichen der dritten Ausbaustufe wird der TI-Messenger ein mächtiges Werkzeug sein, um heterogene Strukturen im Gesundheitswesen flächendeckend und skalierbar miteinander zu vernetzen. Er vereinheitlicht nicht nur Echtzeit Audio- und Videokommunikation verschiedener Telemedizinanwendungen, sondern erlaubt es auch strukturierte Daten direkt zwischen Softwaresystemen auszutauschen - ohne aufwändige Netzwerkkonfigurationen. Seine föderale Struktur macht ihn skalierbar und ausfallsicher.

Ursprünglich war die Veröffentlichung der Spezifikation für den TI-Messenger 3.0 im vierten Quartal 2023 geplant. Wie auch andere Dienste der Telematik Infrastruktur kämpft auch der TI-Messenger mit Verzögerungen, sodass die Spezifikation und ein offizielles Einführungsdatum noch auf sich warten lassen. Ich finde aber, dass man diese Verzögerung nicht als Anlass nehmen sollte das Thema Matrix weiter auf die lange Bank zu schieben.

Derzeit werden wichtige Weichen für die Zukunft digitaler Versorgungsplattformen, beispielsweise durch kassenärztliche Vereinigungen, gestellt. Der Einsatz des TI-Messengers oder des Matrix-Protokolls bietet hierbei ein enormes Potenzial. Durch die Integration dieser offenen und interoperablen Lösungen kann eine zukunftssichere und flächendeckende Vernetzung im Gesundheitswesen gefördert werden. Gleichzeitig besteht die Chance, als Vorreiter die Weiterentwicklung des Messengers aktiv mitzugestalten und von einer flexiblen, anpassungsfähigen Plattform zu profitieren, die langfristig einen echten Mehrwert schafft – ohne die Risiken eines Vendor Lock-ins, wie sie bei proprietären Lösungen drohen.