PERSPEKTIVEN. Vertrauliche Daten schützen Zugriffskontrolle in Krankenhäusern

Transkript

1 PERSPEKTIVEN Vertrauliche Daten schützen Zugriffskontrolle in Krankenhäusern Dieses Strategiepapier beschreibt, wie ein Universitätsklinikum mittels Produkten von Evidian seine Identitätsund Zugriffskontroll-Lösung auf Basis von Smartcards realisiert hat.

2 - 2 -

3 Die nationale Gesetzgebung regelt in den einzelnen EU-Ländern, wie die Vertraulichkeit von Patientendaten innerhalb eines Gesundheitssystems zu gewährleisten ist. Diese Gesetze werden maßgeblich durch die Datenschutz-Direktive 1995/46/EC der Europäischen Union geprägt. Für die Befolgung dieser Regularien muss die Art und Weise, wie Ärzte, Pflegekräfte und anderes medizinisches Personal auf Daten zugreifen, neu überdacht werden. Diese notwendigen Überlegungen sind nicht nur ein Muss. Sie bergen für die Verantwortlichen auch die Chance in sich, das Krankenhausinformationssystem (KIS) von Grund auf zu modernisieren. Die Gesetzgeber selbst steuern für die Herausbildung der Zugriffskontrolle, die Aufzeichnung der Zugriffe und für die Abschirmung der Patientendaten lediglich formelle Empfehlungen bei. Diese gilt es m Krankenhaus mit Leben zu erfüllen. Das Strategiepapier setzt auf einer Anwendungsstudie auf, die von der Behörde ASIP Santé, zuständig für den Einsatz nationaler ID-Smartcards in französischen Krankenhäusern, durchgeführt wurde. Die Anwendungsstudie beschreibt, wie ein Universitätsklinikum sein Informationssystem und seine Patienten- und medizinischen Daten mittels Zugriffskontrolle und nationalen ID-Smartcards abgeschirmt hat. Für die Ausgestaltung dieser Lösung wurde auf das Identity- und Access Management-System von Evidian zurückgegriffen. ASIP Santé ist für die Zertifizierung von Identitäten und Berechtigungen im Gesundheitswesen verantwortlich. Dafür stellt ASIP Santé für die Mitarbeiter in französischen Krankenhäusern nationale ID-Smartcards bereit. Diese Smartcards gewährleisten, dass sich Ärzte, Pflegekräfte und anderes medizinisches Personal eindeutig gegenüber den Anwendungen, für die sie berechtigt wurden, ausweisen können, nicht berechtigte Zugriffe entsprechend sicher blockiert werden. ASIP Santé zeichnet außerdem in Frankreich für die Implementierung verteilter Verzeichnisse im Krankenhausbereich verantwortlich. Diese verteilte Verzeichnisstruktur, Shared Directory of Healthcare Professionals, wird in Frankreich zügig zu einem nationalen Repository für die Mitarbeiter in Krankenhäusern ausgebaut werden. Mehr Informationen unter:

4 Anwendungsbeispiel Universitätsklinikum Ein übergreifendes Informationssystem Das Universitätsklinikum verfügt über fast 1500 Betten und beschäftigt mehr als 900 Mitarbeiter im medizinischen und pharmazeutischen Bereich. Von den weiteren 4500 Mitarbeitern brauchen etwa 3500 den Zugriff auf Patienten- und medizinische Daten. Zur technischen Konstellation: Auf 60 physischen Servern laufen insgesamt 140 Anwendungen, einschließlich Patientendatenmanagement (McKesson), Personalwesen, Finanzmanagement, Bildverarbeitung und Planung/Disposition. Über alle Anwendungen sind Berechtigungen (Autorisierungspasswörter) im Einsatz. Innerhalb des verteilten Verzeichnisses werden 4400 Benutzerkonten geführt. Jedes dieser Konten korrespondiert mit einem Benutzernamen innerhalb des Krankenhausinformationssystems. Insgesamt 2400 PCs sind im Einsatz, an 1400 PCs werden zur Absicherung der Zugriffe Smartcards angewandt. Von den restlichen 1000 PCs aus kann nicht auf Patienten- und medizinische Daten zugegriffen werden

5 Das Projekt Auf dem Weg zu mehr Zugriffssicherheit Smartcards sind schon seit vielen Jahren in diesem Universitätsklinikum zur Identifikation und Authentisierung der Mitarbeiter im Einsatz. Die vormals vorrangige Zielsetzung des Smartcard- Einsatzes war, darüber, neben einem kartenbasierenden Zugriffsschutz, die An- und Abwesenheitszeiten des Personals zu erfassen. Danach wurde die Zugriffskontrolle im Klinikum auf Windows-Arbeitsstationen ausgedehnt, in der Folge das Zugriffskontrollsystem um eine Single Sign-on (SSO)-Lösung und eine automatische Aktualisierung der Benutzerkonten im Rahmen des Patientendatenmanagements erweitert. Der Einsatz der nationalen ID-Smartcard von ASIP Santé für eine hieb- und stichfeste Zugriffskontrolle ist der letzte Entwicklungsschritt innerhalb des Universitätsklinikums. Die nationalen ID-Smartcards für die Mitarbeiter wurden so angepasst, dass trotz Zugriffen innerhalb kurzer Zeitintervalle weder der Bedienungskomfort noch die Vertraulichkeit der Daten darunter leiden. Weil mit dem Projekt Anforderungen an die Sicherheit und Vertraulichkeit der Daten, ebenso an die Zugriffskontrolle, vorausschauend geplant und umgesetzt wurden, kann heue das Universitätsklinikum auch den regulatorischen Anforderungen vollständig und lückenlos nachkommen. Implementierung der Sicherheitsstrategie Ziel des Projekts war eine Optimierung des Identity- und Access Management (IAM)-Systems. Auf diese Weise sollten die Privatsphäre der Daten geschützt, die Nutzung und der Entzug von Passwörtern geregelt, sämtliche Zugriffe und Zugriffsversuche aufgezeichnet und die Help-desk-Kosten reduziert werden. Auch für diese Zielsetzungen gibt die nationale Gesetzgebung lediglich formelle Empfehlungen. Für die Erreichung von zwei dieser Ziele musste die IT-Abteilung des Universitätsklinikums aktiv mitwirken: Für den Zugriff auf medizinische Patientendaten ist zur Authentisierung zwingend eine professionelle Smartcard vorgeschrieben. Die Smartcard, die Ärzte und Pflegekräfte nutzen müssen, ist die offizielle, nationale ID-Smartcard. Die anderen internen Kräfte und Auszubildende können eine Smartcard nutzen, die vom Krankenhaus bereitgestellt und gemanagt wird

6 Autorisierung gegenüber den Anwendungen: Jede Kraft im Krankenhaus muss über ein eigenes Benutzerkonto verfügen. In dem Maße, wie die Konten komplettiert und sämtliche Konten aktualisiert werden, steigt die Qualität des Zugriffsschutzes und der Aufzeichnung der Zugriffe. Spezielle Gegebenheiten und Vorgaben führen im Projektverlauf oft zu Problemen. Ihnen sollte im Projekt mit gezielten Fragen vorausschauend entgegengewirkt werden: Wie sollen Anwendungen behandelt werden, die nicht die nationale ID-Smartcard unterstützen? Als problematisch können sich insbesondere Anwendungen erweisen, die vom Krankenhaus programmiert wurden. Sie unterstützen von Haus aus nicht die nationale ID- Smartcard. Die Individual-Software kann weder ausgemustert noch auf den Karteneinsatz hin angepasst werden. Was soll mit den über die Zeit entstandenen Benutzerkonten passieren, die teils nicht mehr aktuell, unvollständig oder komplett überholt sind (So können Mitarbeiter zwischenzeitlich das Krankenhaus verlassen oder die Abteilung gewechselt haben)? Die Personalabteilung kennt zwar die Mitarbeiter. Dennoch hat längst nicht jeder Mitarbeiter sein eigenes, geschweige denn ein aktuelles und vollständiges Konto. Stattdessen wurden über die Zeit sporadisch in den einzelnen Abteilungen Konten erstellt, mit der Folge, dass es im Krankenhaus bis zu zehnmal mehr Mitarbeiter geben kann als Benutzerkonten. Wie sollen die sporadisch erstellten Benutzerkonten behandelt werden? Sie wurden beibehalten, um in der Vergangenheit die Zugriffe dieser Mitarbeiter einigermaßen zu regeln. Wie sollen gemeinschaftlich genutzte Workstations behandelt werden? Die Strategie jedem Mitarbeiter seinen PC kann im Krankenhaus nicht durchgehalten werden. Stattdessen kommen vielerorts Kiosk-PCs zum Einsatz, über die mehrere Mitarbeiter nacheinander zugreifen. Alle Zugriffe dieser Personen konsequent über eine starke Authentisierung (persönliche Smartcard + Eingabe der PIN) abzusichern, ist in der Praxis an Kiosk-PCs nicht umsetzbar. Wenn Mitarbeiter innerhalb weniger Minuten nacheinander über denselben PC zugreifen, darf dennoch die Sicherheit und Vertraulichkeit der Daten darunter leiden. Wie kann die Erstellung, Verteilung und Administration der Benutzerkonten gelöst werden? Wenn an die Stelle von dutzenden, willkürlich erstellten Benutzerkonten hunderte von Benutzerkonten treten, steigt zwangsläufig die Herausforderung, diese Konten wirtschaftlich zu administrieren. Zumal diese Konten nicht nur erzeugt, sondern auch regelmäßig aktualisiert, bei Bedarf sofort gelöscht werden müssen

7 Wie sollten Smartcards innerhalb des Informationssystems verwaltet und genutzt werden? Es muss möglich sein, die persönlichen Smartcards mit dem jeweiligen Benutzerkonto innerhalb des Verzeichnissystems zu verbinden. Bei der laufenden Aktualisierung der Benutzerkonten müssen die Einträge innerhalb der offiziellen Blacklist der ASIP Santé mit ins Kalkül gezogen werden. Neben den vielen technischen Anforderungen müssen auch menschliche Aspekte berücksichtigt werden. So werden Ärzte und Pflegekräfte immer wieder von einem ungeschützten auf einen geschützten Zugriffsmodus wechseln, der zwingend eine starke Authentisierung mittels Smartcard und PIN voraussetzt. Doch genau der damit verbundene Zeitverlust kann von Ärzten und Pflegekräften als Einschränkung im Verlauf der Patientenbetreuung empfunden werden. Um technische und menschliche Anforderungen in der Behandlung und Pflege unter einen Hut zu bringen, sind Kommunikations- und Schulungseinheiten notwendig. Idealerweise sollten Testpiloten mit ausgesuchten Mitarbeitern durchgeführt werden. Durch sie wird deutlich, wo potentielle Hindernisse im Krankenhausbetrieb entstehen, um sie anschließend gezielt auszuräumen. Die aus den Piloten gewonnenen Erfahrungen können exemplarisch auf die anderen Ärzte und Pflegekräfte sowie das medizinische Personal übertragen werden. Gelingt es, die technischen und menschlichen Anforderungen unter einen Hut zu bringen, wird das alle Mitarbeiter motivieren, die neuen Techniken schnell zu akzeptieren und anzuwenden. Wichtig ist auch, die Mitarbeiter im Krankenhaus dahingehend zu informieren, dass der Zugewinn an Sicherheit für die Patientendaten maßgeblich zur Qualität der Behandlung und Pflege beiträgt. Mehr Sicherheit und Vertraulichkeit der Daten verbessert die Zusammenarbeit zwischen den Mitarbeitern, schützt Geräte und Systeme und, ganz wichtig: reduziert Behandlungs- und Pflegerisiken. Die Antwort: Identity und Access Management Das Universitätsklinikum erkannte, dass eine integrierte Identity and Access Management-Lösung erheblich zur Erreichung seiner Ziele beiträgt. Mittels Identity and Access Management kann Schritt für Schritt eine sichere, personenbezogene Zugriffskontrolle errichtet werden, zusätzlich abgesichert durch den Einsatz nationaler ID-Smartcards und eine zentrale Aufzeichnung sämtlicher Zugriffe und Zugriffsversuche. Um bei der Behandlung und Pflege operationale Grenzen zu überwinden, stellte das Universitätsklinikum folgende Anforderungen: Einsatz von Smartcards, um den Mitarbeitern die Eingabe von Passwörtern zu ersparen keine Änderungen an medizinischen und administrativen Applikationen keine Änderungen bei den Prozeduren für das Management der Benutzerkonten, ausgehend von der Personalabteilung Delegation der persönlichen Zugriffsrechte bei Abwesenheit an eine andere Person, ohne dass dafür der Help-desk eingeschaltet werden muss - 7 -

8 schnelle Zuordnung von Smartcards und Mitarbeitern im Verzeichnis für ein vereinfachtes Benutzermanagement Einrichtung einer Karenzzeit, innerhalb der Ärzte und Pflegekräfte mit einem einfachen Log-in Zugriff auf die berechtigten Applikationen erhalten Einrichtung von Kiosk-PCs, die beispielsweise trotz Inaktivität am Gerät die persönlichen Zugriffe auf die Applikationen für eine bestimmte Zeitspanne aufrecht erhält Um diese Lösung gemäß des Anforderungsprofils zu entwickeln, wurden drei Stufen durchlaufen: 1. Errichtung eines kompletten Identitäten-Repository innerhalb eines Verzeichnissystems. Die Einträge darin müssen mit denen in bestehenden Datenbanken wie des Personalbereichs synchronisiert werden. Wenn es ein solches Repository bereits gibt, muss es um alle Mitarbeiter/Identitäten, die in die Zugriffskontrolle integriert werden sollen, komplettiert werden. 2. Umsetzung eines Single Sign-on (SSO) im Zusammenspiel mit der vorausgehenden Authentisierung per Smartcard. Dadurch ist eine namensbezogene Authentisierung für alle berechtigten Applikationen möglich ebenso wie eine namensbezogene Aufzeichnung (Logs) der Authentisierungs- und Autorisierungsprozesse. 3. Automatische Aktualisierung der Applikationskonten: Durch diesen Automatismus können neue, erforderliche Applikationskonten hinzugefügt, alte, nicht mehr verwendete Applikationskonten automatisch bereinigt werden. Die Applikationskonten werden dem persönlichen Benutzerkonte des Mitarbeiters anhand der Log-Aufzeichnungen zugewiesen. Die Applikationskonten sollten, wenn möglich, Geschäftsrollen oder bereichsspezifischen Gruppenprofilen zugewiesen werden. Das verbessert die Zugriffstransparenz und vereinfacht die Administration. Von einer Umkehr der Stufen 2 und 3, wie in einigen Projekten praktiziert, rät Evidian ab. Der Grund: Es ist ausgesprochen schwierig und aufwendig, eine IT-Sicherheits- und Zugriffsstrategie zu definieren, ohne auf die aufgezeichneten Log-Informationen zu den Authentisierungs- und Autorisierungsprozessen der Mitarbeiter zurückgreifen zu können. Warum Single Sign-On? Single Sign-on steuert für den Zugriff auf die berechtigten Applikationen automatisch die dafür notwendigen Namen und Passwörter des Mitarbeiters bei. Die Smartcard zur sicheren Authentisierung und SSO für die Autorisierung gegenüber den Applikationen bilden ein perfektes Team. Die Mitarbeiter müssen nicht länger mit vielen Autorisierungs-Passwörtern hantieren. Für sie und den Help-desk ist das gleichbedeutend mit einer erheblichen Entlastung und für die Sicherheit und Vertraulichkeit der Applikationen und Daten ein Quantensprung. Die Autorisierungs-Passwörter können nicht länger in falsche Hände geraten. Aus technischer Sicht sind der Name des Mitarbeiters und seine Passwörter in einem virtuellen Safe hinterlegt. Dieser Safe kann eine abgeschirmte Datenbank oder ein besonders geschützter Bereich innerhalb des zentralen Verzeichnisses sein. Die SSO-Software angesiedelt auf der Arbeitsstation greift auf diese Informationen zurück, um darüber die Zugriffskontrolle automatisch im Hintergrund zu - 8 -

9 steuern. Auch regelmäßige Passwortwechsel werden über den SSO-Automatismus erheblich erleichtert und zudem lückenlos umgesetzt. Dem Administrator obliegt es, die Strategie für die Zugriffskontrolle mit Leben zu erfüllen, dafür die Geschäftsrollen oder Gruppenprofile zu definieren und im Verzeichnissystem zu hinterlegen sowie die Art der Arbeitsstationen, von denen zugegriffen werden soll, in seine Überlegungen einzubeziehen. Kommen Web-Applikationen zum Einsatz, ist keine SSO-Software auf der Arbeitsstation notwendig. Sie läuft stattdessen zentral innerhalb des Portals. Dieses Prinzip erleichtert es Ärzten, Pflege- und anderen medizinischen Kräften, sich von Zuhause, aus der Privatpraxis oder von unterwegs über ein PKI-Zertifikat zu authentisieren, danach auf alle berechtigten Applikationen und deren Daten zuzugreifen

10 Definition der Anforderungen Die Auswahl des passenden Identity and Access Management-Systems mit allen notwendigen Funktionalitäten ist eine Seite der Erfolgsmedaille. Die andere Seite ist, die Authentisierung und die Autorisierung so her auszuprägen, dass die Zugriffskontrolle die Ärzte und Pflegekräfte bei der Betreuung ihrer Patienten nicht beeinträchtigt. Um solche Einschränkungen von vornherein auszuschließen, sollte die persönlichen Einsatzfelder genau betrachtet und beschrieben werden. Das unterstützt auch darin, Geschäftsrollen und Gruppenprofile bedarfsgerecht festzulegen. Das persönliche Einsatzfeld und Nutzungsverhalten wird von der Art der Arbeitsstation beeinflusst. Inventarisierung der Arbeitsstationen Deshalb sollten in einem ersten Schritt sämtliche Arbeitsstationen inventarisiert werden, mit einer genauen Beschreibung der Art persönliche Arbeitsstation, mehrere Arbeitsstationen parallel, Kiosk- PC, Remote-Arbeitsstation - und des Bedienungsmodus. Wi-Fi Dedicated Workstation Medical Administration Hospital Information System "Care Unit" Workstation s "Benchtop" Workstation Figure 1: Workstation typology ER Workstation OR Workstation Unterscheidung der Arbeitsstationen anhand ihres Bedienungsmodus: Desktop-Modus: Der Mitarbeiter hat seine eigene Arbeitsstation Roaming-Modus: Der Mitarbeiter muss über mehrere Arbeitsstationen zugreifen können Kiosk-Modus: Die Arbeitsstation wird von mehreren Mitarbeitern genutzt Remote Access-Modus: Der Mitarbeiter greift temporär von Zuhause, aus der Privatpraxis oder von unterwegs über seine Arbeitsstation, beispielsweise via VPN (Virtual Private Network), zu Diese Inventarisierungsinformationen unterstützen darin, potenzielle Bedienungsprobleme bereits im Vorfeld mit einer geeigneten Ausprägung der Zugriffskontrolle an den unterschiedlichen

11 Arbeitsstationen auszuräumen. Das folgende Beispiel wurde bewusst einfach gehalten. In der Praxis können die Bedienungsprobleme, die sich aus der Art der Arbeitsstation, ihrem Einsatzort und ihrem Bedienungsmodus ergeben, gravierender ausfallen. Art der Arbeitsstation Bedienungsmodus Potenzielle Bedienungsprobleme Persönliche Arbeitsstation Desktop-Modus Niedrig Halbstationäre Arbeitsstation Desktop-Modus Niedrig Arbeitsstation im Kiosk-Modus Nutzerwechsel Pflegebereich Arbeitsstation im Notfallbereich Intensiver Kiosk-Modus Schnelle Nutzerwechsel, ständige Verfügbarkeit Arbeitsstation im OP-Bereich Kiosk-Modus Nutzerwechsel, ständige Verfügbarkeit hohe Hygieneanforderungen Funktionale Anforderungen für mehr Zugriffssicherheit Der spezielle Bedienungsmodus kann wiederum bestimmte Anforderungen nach sich ziehen, was die Auslegung der Authentisierung und der Zugriffskontrolle betrifft. Die möglichen technischen Auslegungen: starke Authentisierung (Smartcard + PIN) für das Öffnen und erneute Öffnen von Sitzungen automatische Beendigung der Sitzung, sobald die Smart-Card aus dem Lesegerät gezogen wird. Zwischenzeitlich können die Applikationen geöffnet bleiben, aber auch mit der Herausnahme der Smartcard geschlossen werden. Sind die Applikationen noch geöffnet, müssen sie automatisch geschlossen werden, sobald sich ein weiterer Mitarbeiter einloggt. prinzipielles Offenhalten der Sitzung, selbst wenn die Smartcard entfernt wird. Dann muss aus Sicherheitsgründen die Sitzung nach Ablauf einer definierten Zeitspanne oder nach einer bestimmten Aktivitätszeit am Gerät automatisch geschlossen werden. Einräumen eines schnellen Sitzungswechsels, unabhängig davon, ob Sitzungen zuvor beendet wurden Einräumen einer Karenzzeit: Nach erfolgter starker Authentisierung kann sich der Mitarbeiter innerhalb einer bestimmten Zeitspanne erneut authentisieren, ohne diesmal seinen PIN eingeben zu müssen. Diese Karenzzeit muss geräteunabhängig greifen, also von Arbeitsstation zu Arbeitsstation (Roaming). Sind spezielle Arbeitsstationen installiert, beispielsweise Citrix Thin Clients, müssen sie ebenfalls den Roaming-Modus unterstützen. Auswahl der Zielarchitektur

12 Die Identitäten der Mitarbeiter und ihre Autorisierungspasswörter sind innerhalb des Verzeichnissystems/Repository hinterlegt. Zugriffsversuche über Arbeitsstationen auf Applikationen, auch die von Administratoren, werden innerhalb einer relationalen Datenbank registriert. Die Verzeichniseinträge wie Identitäten der Mitarbeiter und ihre Autorisierungspasswörter werden über Synchronisationsmechanismen auf dem neusten Stand gehalten. Dazu wird auf Datenbanken wie in der Personalabteilung zurückgegriffen. Parallel werden die Benutzerrechte, Geschäftsrollen und Gruppenprofile vom Administrator permanent aktualisiert. Die Rechte, Rollen und Gruppenprofile werden den Einträgen in den bestehenden Applikationskonten gegenübergestellt. Anschließend erfolgt der Abgleich sowie die Bereinigung nicht mehr verwendeter Applikationskonten mittels Synchronisationsmechanismen. Die Aktualisierung der Applikationskonten wird regelmäßig aus den Applikationen heraus angestoßen, sei es automatisch für häufig genutzte Applikationen, oder manuell durch den Administrator. Auf diese Weise werden nicht mehr aktuelle Konten und Kontenleichen zuverlässig bereinigt. Identity sources White pages Administrator User Authentication Single Sign-On Directory Habilitations Reconciliation Reporting Manual updates Automated updates Applications Figure 2: Simplified functional architecture

13 Das Universitätsklinikum hat seine Identity und Access Management-Lösung mittels der IAM Software Suite von Evidian gestaltet und realisiert. Das Single Sign-on-Modul darin ist Evidian Enterprise SSO. Der Vorteil der Suite ist, dass sie alle notwendigen Werkzeuge zur Ausgestaltung der IAM-Lösung integriert: vom Update der Konten (User Provisioning), der Synchronisation der Benutzeridentitäten (ID Synchronization) und dem Management der Zugriffskontrolle konform zur Sicherheitsstrategie (Policy Manager). Sicherheitsstrategie: Ein essentielles Element Eine Identity und Access Management-Lösung muss sich flexibel der Sicherheitsstrategie des Krankenhauses anpassen. Sie muss sicherstellen, dass sich jede Arbeitsstation und jeder Mitarbeiter im Krankenhaus gemäß der Sicherheitsstrategie verhält. Dazu muss das IAM-System der Wahl außerdem einräumen, dass strengere Zugriffskontrollregeln implementiert werden können, ohne dass die Mitarbeiter im Krankenhausbetrieb beeinträchtigt werden. Schließlich muss das IAM System Berichte und Kennziffern bereitstellen, anhand denen die Effektivität der Einhaltung von Sicherheitsregeln gemessen werden kann, um im Bedarfsfall schnell korrigierend eingreifen zu können. Eine komplette Sicherheitsstrategie setzt auf generellen Prinzipien und Regeln auf: Adressiert werden das Risk-Management, die physische Sicherheit, Notfallpläne, etc.. Die Sicherheit von Rechnern, Applikationen und Daten ist nur ein Aspekt einer in sich schlüssigen Sicherheitsstrategie. Das Anwendungsbeispiel, das nun beschrieben wird, ist Teil der IT-Sicherheitsstrategie des Universitätsklinikums. Darin wird vorgeschrieben: Bevor den Mitarbeitern generell Zugriffe an Arbeitsstationen eingeräumt werden, müssen sie eine Vereinbarung unterschreiben, die sie verpflichtet, alles Notwendige für die Sicherheit und Vertraulichkeit der Applikationen und Daten zu tun, dafür entsprechende Regeln einzuhalten. Alle Nutzer, egal ob extern oder intern, sind über ein einheitliches Verfahren zu identifizieren. Arbeitsbeginn, Arbeitsende und Abwesenheitszeiten sind permanent zu überwachen. Zugriffsrechte müssen mittels Konten, Rollen oder Gruppenprofilen zugewiesen werden. Diese persönlichen Profile sind ständig auf ihre Aktualität zu prüfen. Dafür muss beispielsweise hinterfragt werden, ob sich hinsichtlich des Mitarbeitereinsatzes etwas geändert hat: normale Funktion?, Sonderaufgabe?, andere organisatorische Zuordnung?, neuer Einsatzort?, etc

14 Authentisierungsprozesse müssen generell mittels Zertifikat durchgeführt werden. Der Einsatz des SSO ist zwingend: Denn die Autorisierungspasswörter sind aus Sicherheitsgründen komplex, ohne SSO werden die Passwörter schnell vergessen. Notfallzugriffe müssen eingeräumt werden: für den Fall, das medizinische Erwägungen wichtiger sind als sicherheitsstrategische Überlegungen. Die Sicherheitsstrategie schließt technische Mechanismen ein wie den Schutz geöffneter Sitzungen, das Schließen von nicht aktiven Sitzungen, den Mitschnitt von Zugriffen und Zugriffsversuchen, etc. Anwendungsbeispiel Das folgende praxisnahe Anwendungsbeispiel beschreibt, welche Probleme an der Schnittstelle Mensch auftreten und wie sie behoben werden können. Die Akteure Patricia und Robert, Ärztin und Assistenzarzt im Bereich Geburtshilfe und Gynäkologie, interagieren während ihres Dienstes mit anderen Ärzten und Pflegekräften des Universitätsklinikums: Patricia, Ärztin für Geburtshilfe und Gynäkologie Robert, Assistenzarzt im gleichen Bereich Clara, zuständige Schwester für Anästhesie Elizabeth, zuständige Schwester für Wundbehandlung Mary, Hebamme Eric, Biologe im Labor

15 Genereller Ablauf 08:00 Robert und Patricia kommen im Krankenhaus an und nehmen am Personal-Meeting teil. 08:30 Sie sind mittlerweile im OP. Es stehen zwei Kaiserschnitte und eine Gebärmutterentfernung an. Clara und Elisabeth sind Teil des OP-Teams. 13:15 Mittagessen 14:00 Patricia beginnt die Visite. 17:00 Sie erledigt die Schreibarbeit und fertigt Berichte an 18:00 Patricia kommuniziert mit Robert und bereitet die Übergabe vor. Sie besprechen mit ihren Kollegen, die Dienstschluss haben, wer für sie den Dienst übernimmt. 18:20 Robert inspiziert gemeinsam mit Mary die medizinisch-technischen Geräte und die dort behandelten Babys. 19:30 Robert führt erneut Untersuchungen durch. 20:15 Robert wird zu einer Patientin in die Notfallaufnahme gerufen: Verdacht auf eine Komplikationsschwangerschaft. Er fordert von Eric eine Analyse an. 21:30 Die Testergebnisse sind positiv. Robert ruft nach Patricia, die die Patientin untersucht und diese Diagnose bestätigt. 22:10 Eintritt in den OP. Technischer Ablauf a) Einwahl und Zugriff auf die Patientendaten Verfahrensweise 1. Patricia und Robert beim Personal-Meeting: Sie diskutieren mit ihren Kollegen, parallel greifen sie auf die Patientendaten zu. 2. Im OP: Clara loggt sich im System ein, öffnet die Patientendatei und schaut auf die medizinischen Informationen, die für die anstehende Operation wichtig sind: hat die Patientin kürzlich gegessen, liegen Allergien vor, gibt es Arzneimittelunverträglichkeiten, etc. 3. Im OP: Elizabeth, zuständige Schwester für Wundbehandlung, geht an einer anderen Arbeitsstation ähnlich vor, indem sie die Informationen abruft, die sie braucht: Behandlungsweisen, Allergien, etc

16 Bedienungsweise Für Robert, Patricia, Elizabeth und Clara ist dies die erstmalige Einwahl (Identifikation und Authentisierung) an diesem Tag. Deshalb nutzen sie für eine starke Authentisierung ihre nationale Smartcard von ASIP (Robert stattdessen seine interne Smartcard) und ihre PIN. Denn sämtliche Sitzungen waren geschlossen. b) Informationsrecherche an den Arbeitsstationen Verfahrenweise 4. Elizabeth, Robert und Patricia greifen über dieselbe Arbeitsstation auf die Patientendatei zu, bevor sie den OP betreten, wo die Patientin schon wartet. 5. Im Verlauf der Operation: Clara greift auf den Patientenstammsatz zu und gibt Informationen zur OP ein. Bedienungsweise Robert, Patricia, Elizabeth und Clara greifen im OP über eine Arbeitsstation zu, die im Kiosk-Modus betrieben wird. Elizabeth schließt ihre Sitzung, indem sie die Smartcard entnimmt. Anschließend führt Robert die Smartcard ein, um sich darüber für den SSO zu authentisieren. Dazu gibt er zusätzlich seinen PIN ein. Das ist erforderlich, weil die Kiosk-PCs im OP nicht zur gleichen Gruppe gehören wie die Arbeitsstation, die er vor dem Eintritt in die OP genutzt hat. Die Arbeitsstation inklusive der Sitzungen werden geschlossen, sobald innerhalb einer bestimmten Karenzzeit am Gerät keine Aktivität stattfindet. Oder der Mitarbeiter loggt sich aus und schließt die Sitzung durch Eingabe und Entnahme der Smartcard. Werden kontaktlos arbeitende Smartcards genutzt (RFID), braucht diese Karte nur gezückt zu werden. c) Schreiben des OP-Berichts Process Verfahrenweise 6. Nach der OP schreibt Robert an der Arbeitsstation den OP-Bericht. Der Bericht wird anschließend von Patricia an der Arbeitsstation geprüft. Danach legt Robert den Bericht kodegesichert im System ab

17 Bedienungsweise Robert hat sich an derselben Arbeitsstation wie vor dem Eintritt in die OP authentisiert. Die Sitzung darauf war geschlossen. Dennoch musste er sich lediglich über seine Smartcard authentisieren, ohne seinen PIN einzugeben. Denn Robert wurde eine Karenzzeit eingeräumt. Innerhalb dieser Zeit reicht diese einfache Authentisierung aus, um anschließend über den SSO auf die berechtigten Applikationen zuzugreifen. Diese Karenzzeit wird konform der Sicherheitsstrategie des Krankenhauses festgelegt. Robert arbeitet unter Verantwortung von Patricia. Deshalb prüft sie den OP-Bericht ihres Kollegen und signiert ihn anschließend mit ihrer Identität. d) Arbeitsstation im Ärztezimmer und Zugriff auf das Krankenhausinformationssystem Verfahrensweise 7. Am Nachmittag führt Patricia die Patientenvisite durch. Sie greift im Verlauf der Visite auf die Patientendateien zu und nutzt dafür die Office-Software ihrer portablen Arbeitsstation. Die für die Abrechnung relevanten Informationen/Kennziffern gibt sie danach an einer anderen Arbeitsstation ein. Bedienungsweise Patricia nutzt ihre persönliche portable Arbeitsstation, anschließend eine Arbeitsstation, die im Schwesternzimmer im Kiosk-Modus zur Verfügung steht. An der portablen Arbeitsstation führt sie eine starke Authentisierung durch (Smartcard und PIN), um per SSO auf die Applikationen zuzugreifen. Danach, am Kiosk-PC im Schwesternzimmer, ist lediglich eine einfache Authentisierung (nur Smartcard) notwendig. Diese einfache Authentisierung ist möglich, weil diese Arbeitsstation zur gleichen Gruppe gehört wie die portable Arbeitsstation, die Patricia im Verlauf der Visite genutzt hat. e) Austausch von Informationen zu einer Patientendatei Verfahrensweise 8. Patricia und Robert kommunizieren mit ihren Kollegen über ihre persönlichen Arbeitsstationen. Dazu ist an ihren Arbeitsstation kein Log-in erforderlich. 9. Während ihrer Tour durch die Station (medizinisch-technische Geräte und erneute Untersuchungen) greifen Robert und Mary über Arbeitsstationen, angesiedelt in unterschiedlichen Pflegeeinheiten, zu, um medizinische Dateien einzusehen. Das sind in unserem Fall mobile Arbeitsstationen

18 Bedienungsweise Robert und Mary können, müssen aber nicht, diese mobile Arbeitsstation nutzen (Kiosk-Modus). Für die Einwahl und den Zugriff auf Patientendateien ist nur eine einfache Authentisierung notwendig (per Smartcard). Nutzen Robert und Mary hintereinander dieselbe, mobile Arbeitsstation, ist ein schneller Nutzerwechsel garantiert. Die Einwahl in die Windows-Umgebung ist die gleiche, dennoch haben Robert und Mary ihre eigenen SSO-Sitzungen. Ihre Zugriffe auf die Patientendateien werden automatisch überwacht und aufgezeichnet. Das Krankenhaus kann dadurch jederzeit nachvollziehen, wer wann auf welche Applikationen zugegriffen hat und was darin ergänzt, geändert oder gelöscht wurde. f) Austausch biologischer Analysen Verfahrensweise 10. Robert untersucht die Patientin in der Notfallaufnahme, führt einen Ultraschall-Scan durch und fordert eine Notfalluntersuchung an. Er loggt sich ins Krankenhausinformationssystems ein, um Eric über die dringend anstehende Notfalluntersuchung zu benachrichtigen. 11. Eric führt die biologische Analyse durch, prüft die Ergebnisse seiner Analyse und trägt sie ins Krankenhausinformationssystem ein. 12. Robert greift in der Notfallaufnahme auf die Ergebnisse zu und ruft Patricia. Bedienungsweise Robert nutzt am Abend in der Notfallaufnahme eine Arbeitsstation, die im Kiosk-Modus betrieben wird. Er führt eine starke Authentisierung mit Smartcard und PIN durch. Eine starke Authentisierung ist erforderlich, weil die Arbeitsstationen in der Notfallaufnahme nicht zu den Gruppen der Arbeitsstationen gehören, von denen er zuvor zugegriffen hatte. Im Labor authentisiert sich Eric per Smartcard an der Arbeitsstation, um per SSO Zugriff zu erhalten und anschließend SSO-vermittelt die Ergebnisse seiner biologischen Analyse einzugeben. Robert authentisiert sich kontaktlos per RFID- Smartcard am Kiosk-PC in der Notfallaufnahme. Hier ist ein besonders schneller Nutzerwechsel garantiert. Daraufhin kann er die Ergebnisse der angeforderten biologischen Analyse einsehen

19 Umsetzung in der Praxis Ausrollen der Smartcards Für die Ausgabe von Smartcards an die Mitarbeiter müssen diese Karten innerhalb des Verzeichnissystems mit dem jeweiligen Benutzerkonto verbunden werden. Einmal verbunden, ersetzt die sichere Smartcard den klassischen User Log-in. Doch wie können diese Referenzen schnell hergestellt werden, ohne dass für das Krankenhaus ein hoher Managementaufwand entsteht? Ein Ausrollmechanismus, der auf dem SSO aufsetzt, macht es möglich. Dieser Ausrollmechanismus wird auch von der ASIP Santé unterstützt. Der Ablauf ist wie folgt. Dabei wird vorausgesetzt, dass der Mitarbeiter sein Windows-Passwort kennt und seine Smartcard zur Verfügung hat: 1. Der Mitarbeiter führt die Smartcard in das Lesegerät der Arbeitsstation ein und gibt seine PIN im WindowsFenster des SSO ein. 2. Er tippt seinen Nutzernamen und sein Passwort ein, das er normalerweise für das Öffnen dieser Sitzung braucht. 3. Ab diesem Zeitpunkt räumt die Kombination aus Smartcard und PIN dem Mitarbeiter den Zugriff auf die Windows-Sitzung ein. Bevor das möglich ist, führt die SSO Software im Hintergrund einige Prozesse durch: a. Die SSO-Software identifiziert das Benutzerkonto innerhalb des LDAP-Verzeichnisses, alternativ im Active Directory. Dafür zieht die SSO-Software die Informationen des Smartcard Zertifikats wie die RPPS ID heran. RPPS ist das künftig frankreichweit eingesetzte Verzeichnissystem für Mitarbeiter im Gesundheitswesen. b. Die SSO-Software prüft und bestätigt, dass die Kombination aus Nutzername und Passwort korrekt ist. c. Sie prüft das Zertifikat und trägt die darin enthaltene Referenz in das Verzeichnissystem ein. d. Fortan wechselt die SSO-Software das Passwort im Benutzerkonto automatisch. Der Hauptvorteil dieses Mechanismus: die Administrationslast wird reduziert; alle notwendigen Einträge ins Verzeichnissystem erfolgen selbsttätig. Ähnlich funktioniert dieser Mechanismus nach erfolgter Authentisierung an der Arbeitsstation. Die SSO- Software teilt der Applikation das Passwort mit, das der Mitarbeiter bereits kennt. Der Mitarbeiter gibt

20 es ein letztes Mal die Kombination aus Nutzername und Passwort ein. Fortan führt die SSO-Software sämtliche Passwortwechsel autark durch. Provisionierung von Konten Über den Provisionierungsprozess werden die Applikationskonten aktualisiert Die dafür notwendigen Informationen erhält der Provisionierungsprozess über das Konto des Benutzers respektive die Rolle oder das Gruppenprofil. Als sinnvolle Ergänzung des Identity und Access Management eröffnet die Provisionierung weitere Vorteile: Sie propagiert Identifikationsnummern, über die Krankenhausmitarbeiter eindeutig identifiziert werden können. Auf diese Weise können die Zugriffe der Mitarbeiter auf Applikationen immer eindeutig personalisiert und personenbezogen ausgewertet werden. SSO in Verbindung mit der Provisionierung vereinfacht somit die Zuordnung von Applikationen und verstärkt dadurch den Zugriffschutz: Mitarbeiter haben mit dem Eintreffen im Krankenhaus sofort Zugriff auf ihre Applikationen und Daten. Werden neue Anwendungskonten erstellt, müssen den Mitarbeitern keine neuen Passwörter zugestellt werden. Der Provisionierungsprozess hat der SSO-Software bereits die neue Nutzername-/Passwort-Kombination mitgeteilt. Die SSO-Software kann so im Hintergrund das komplette Handling übernehmen. -Aufgrund des dazwischen geschalteten SSO können Passwörter beliebig lang und komplex ausfallen, zudem beliebig oft gewechselt werden. Denn die Mitarbeiter sind nicht länger mit der Eingabe von Passwörtern konfrontiert. SSO und Provisionierung bilden ein starkes Glied innerhalb der Sicherheitskette. Dennoch sind beide nur Teil dieser Kette. Über dieses Glied können nur Schwächen innerhalb der Applikationen beseitigt werden. Die Applikationen selbst müssen sich auch konform der Sicherheitsstrategie und den Sicherheitsregeln verhalten. Dafür müssen Fragen beantwortet werden wie: Wie sollen die Passwörter verschlüsselt werden, um sie vor allem bei der Übertragung zu schützen? Wie sollen vertrauliche Daten verschlüsselt werden und wo sollen sie sicher abgelegt werden? Sicherer Zugriff auf das Krankenhausinformationssystem via Internet Nach ihrem Dienst mit dem Verlassen des Krankenhauses hört die Arbeit für Ärzte, Pflegekräfte und anderes medizinisches Personal nicht auf. Ob von ihrem Heimbüro, aus ihrer Privatpraxis oder von unterwegs: Sie müssen Patientendateien komplettieren, Analyseergebnisse abrufen und interne Mails lesen können. Demzufolge muss das Krankenhaus seinen Mitarbeitern einen sicheren Zugriff von außen auf Web- Applikationen wie das Patientendatenmanagement und das -System einräumen. Auch diese Remote-Zugriffe sind durch den Einsatz von Smartcards verlässlich abgesichert, mit einem zusätzlichen