(K)eins für alle

Trotz diverser Datenskandale sind sich auch Mitarbeiter IT-sicherheitskritischer Einrichtungen wie beispielsweise Krankenhäuser ihrer Verantwortung oft nicht bewusst, relevante Sicherheitsstandards einhalten zu müssen. Identitätsmanagement sollte dazu gehören.

By
Claudia
Dirks

Der amerikanische Late-Night-Show-Moderator Jimmy Kimmel machte in der Woche nach dem Hackerangriff auf Sony in der Fußgängerzone Hollywoods eine Umfrage zum Thema Internetsicherheit, in deren Folge er auch die Passwörter der Fremden abfragte. Erstaunlicherweise gab die Mehrheit der Befragten tatsächlich bereitwillig und wahrheitsgemäß Auskunft (www.tnw.to/c4hJv). „Die konnten sich wenigstens an ihr Passwort erinnern“, mögen jetzt viele IT-Verantwortliche aus Krankenhäusern denken. „Die mussten sich aber auch nur an eins erinnern!“, erwidern sicherlich unisono viele Mediziner und Pflegende. Fakt ist: Das Thema Passwörter beschäftigt die Beteiligten gleichermaßen. Passwörter vergessen ist zeitraubend. Was die einen nicht (mehr) im Kopf haben, kostet die anderen, nach einer nicht unbedingt repräsentativen, aber dennoch glaubwürdigen Umfrage bei Kommunalen und Universitätskliniken, jährlich zwischen 40 und 70 Manntage, um vergessene Passwörter zurückzusetzen, Berechtigungskonzepte zu deaktivieren und Zugänge von Mitarbeitern zu verwalten. Und die IT-Leiter tun gut daran, wie empfohlen alle 90 Tage einen Wechsel der Passwörter einzufordern, denn die Mühe einer Umfrage in der Fußgängerzone machen sich die wenigsten Hacker, die meisten kommen ohne zu fragen in die Systeme.

Privat oder dienstlich? Nicht egal.

Hier ist die steigende Digitalisierung des Privatlebens das Grundproblem und die Gleichstellung von Home- und Arbeits-Netzwerk. Obwohl Letzteres im Falle von Gesundheitseinrichtungen das Label IT-sicherheitskritisch trägt und sich nur wenige zu Hause überhaupt um ihre digitale Privatsphäre kümmern. Laut einer Forsa-Umfrage im Auftrag von Cosmos Direkt, bei der 2014 1.124 Personen befragt wurden, ändert jeder zweite Internetnutzer in Deutschland sein Mail-Passwort nur einmal im Jahr oder noch seltener. Selbst wenn es wegen aktueller Vorfälle konkrete Warnungen gibt, ändern nur fünf Prozent der Nutzer ihre Zugangsdaten. 20 Prozent der Befragten räumten ein, das Passwort nie zu ändern. Lediglich jeder achte ändert einmal im Quartal und drei Prozent wechseln monatlich ihre Kombination. Nicht verwunderlich also, wenn BITKOM-Präsident Dieter Kempf sagt: „Bequemlichkeit ist der größte Feind der IT-Sicherheit, die wichtigsten Zugangsdaten sollten alle drei Monate nach den vorgeschriebenen Sicherheitsstandards verändert werden“. Und er spricht hier nur über den privaten Bereich ...

Mammutaufgabe für die IT

Es steckt also, wie bei so vielen „Gehässigkeiten“ des IT-Leiters, ein ernster Grund hinter der Gewissenhaftigkeit, mit der das regelmäßige Ändern der Passwörter gefordert wird. Identitätsmanagement ist keine Gängelei, sondern hat vor allem datenschutzrechtliche, sicherheitstechnische und haftungsrelevante Hintergründe, die von den Betroffenen nicht banalisisiert werden sollten. „Die Einhaltung des Datenschutzes liegt durch die Bestimmung der Berufsordnung zur Schweigepflicht im besonderen Interesse der Ärzte“, betont Andreas Henkel, Leiter des Geschäftsbereichs Informationstechnologie der Universitätsklinik Jena. Die IT zeichnet dafür verantwortlich, die Zugriffe auf das Netzwerk zu managen und dieses auf dem aktuellen Stand der Technik abzusichern.

Im UKE heißt das Berechtigungs- und Rollenkonzepte für 9.500 Mitarbeiter plus Studenten; es existieren 17 Applikationen im klinischen Umfeld, im Schnitt hat ein Arzt Berechtigungen für drei bis vier, für die er einzeln geführt wird; 3 Millionen Zugriffe auf Patientendaten im Monat von über 1.000 zu verwaltenden Benutzergruppen. Monatlich geht ein Report an den Datenschutz mit den Sonderzugriffen, die durch Passwort plus Begründung dokumentiert und zugeordnet werden können. „Die Zahl der Sonderzugriffe liegt im Promillebereich der Gesamtzugriffe. Sie gründet auf dem engen Berechtigungskonzept und der wachsenden Interdisziplinarität. Hauptgründe für die Sonderzugriffe sind interdisziplinäre Nachtdienste, dringende Zugriffe in der Notaufnahme, im OP sowie Konsilzugriffe“, erklärt Henning Schneider, Leiter Geschäftsbereich IT am Universitätsklinikum Hamburg-Eppendorf, das Zahlenwerk.

Im UKE steht das Projekt Identity- und Access-Management auf Top 1. „Diese Projekte zählen in anderen Industrien zu den Königsdisziplinen“, so Schneider, „ohne Vorstand und Personalabteilung hinter und neben sich zu haben, brauchen solche Mammutprojekte gar nicht angestoßen zu werden“. Heute wird im UKE jeder neue Mitarbeiter zentral erfasst, eingeordnet und sauber dokumentiert.

Die IT, Dein schlechtes Gewissen

Das Uniklikum Jena begann 2014 (Projektzeitraum 3 Jahre) mithilfe eines externen Dienstleisters mit einem ähnlichen Projekt: Aufbau eines Rollen- und Berechtigungskonzepts für die 926 Ärzte und der zentralen Nutzerverwaltung. Besonderer Wert wird auf die Systemintegrität gelegt, damit die Vereinfachung im Alltag nicht zulasten der Sicherheit geht. Im Projekt wird viel Wert auf einen in der Umsetzung noch anstehenden elektronischen Genehmigungsprozess gelegt. Die mit Befugnissen ausgestattete Fachebene legt über das zentrale Identity- und Access-Management, über die erarbeitete Rollenberechtigungsstruktur die Zugriffe als „Genehmiger“ fest. Hierbei stellt die IT den Verfahrensbetrieb und die Aktualisierung der Sicherheitsmaßnahmen für das zentrale und angeschlossene Verfahren sowie für die Schnittstellen sicher. Doch in erster Linie muss die gesamte Führungsebene hinter einem Projekt wie diesem stehen, weiß auch Andreas Henkel.

Die Einhaltung der Regeln legt den Nutzern in der Anwendung hohe Akzeptanzhürden auf. Die regelmäßige Aufforderung das Kennwort zu wechseln, die zu beachtenden Komplexitätsregeln für Kennwörter, Abgrenzung der Berechtigungen und die mangelnde Unterstützung der Verfahren in Bezug auf einen schnellen Benutzerwechsel bei gemeinsam genutzten Endgeräten wird daher als praxisfremd eingestuft. Verfahren zur Vereinfachung dieser Prozesse für den Anwender binden nicht selten unverhältnismäßig viele Ressourcen, sodass diese nicht immer aufgebracht werden können. Medizinischem und pflegerischem Personal, die in der Klinik arbeiten, erklären zu müssen, dass es keinen Zugriff auf alle Patientendaten hat, ist mitunter mühselig. „Da hilft die Tatsache, dass die ausgetüftelten Rollenkonzepte hinter den Passwörtern, welche Zugriffe dokumentieren, vor allem auch Schutzmechanismen sind. Zum Schutz der Ärzte und des Krankenhauses, zu dessen Hausaufgaben es gehört, Patientendaten sicher zu verwalten und Risiken zu vermeiden“, erläutert Henkel. „Es reicht ein Blick in das Thüringische Landes-Krankenhaus-Gesetz, Artikel 27 b, Datenverarbeitung im Auftrag, und Artikel 203 des Strafgesetzbuches, Verletzung von Privatgeheimnissen, um jemandem die persönliche Dimension einer zwar richtigen Handlung, aber fehlenden Dokumentation relevanter Zugriffe vor Augen zu führen.“

Noch kommunikationsintensiver ist die Neuorganisation der Berechtigungen aufgrund von Umstrukturierungen – wobei nicht nur Mediziner betroffen sind, sondern auch die Verwaltung mitunter empfindlich reagiert, wenn plötzlich der Zugriff nicht mehr wie gewohnt funktioniert oder Sonderzugriffe für bisher angestammtes Terrain nötig sind. Aber es hilft alles nichts. Nur die lückenlose Dokumentation aller Zugriffe und Veränderungen von Patientendaten sowie aller Zugriffsrechte ist datenschutzrechtlich abgesichert und rechtskonform.

Zeit und Nerven schonend

Vor allem die Heterogenität der IT-Landschaft im Krankenhaus erschwert die Übersicht über die eigenen Passwörter. Ein „normaler“ Mediziner hat allein im klinischen Umfeld durchschnittlich Zugriff auf vier für ihn freigegebene Systeme und Anwendungen, die jeweils ein eigenes Passwort erfordern. Diese sollen laut Bundesamt für Sicherheit in der Informationstechnik (BSI) einige Mindestanforderungen erfüllen, wie aus mindestens 6b!SACh+ Zeichen inklusive Sonderzeichen bestehen, spätestens alle 90 Tage geändert werden, wobei die Wiederholung der zehn vorausgegangenen Passwörter durch das IT-System verhindert werden muss. Einfach ist anders.

Im Worst Case führen ineffiziente Login-Prozesse, wie sie heute Usus sind, zu Verzögerungen im Behandlungsablauf, zudem könnte die Vereinfachung des Anmeldeverfahrens eine Zeitersparnis von bis zu mehreren Minuten am Tag mit sich bringen, große Zufriedenheit bei Medizinern und Pflegenden generieren – ganz zu Schweigen von der Reduktion der Help Desk-Aufwände. Auch wenn das ein sehr großer wirtschaftlicher Impact sein mag, so müssen für die Verantwortlichen in den Häusern in erster Linie die Sicherheitsaspekte im Vordergrund stehen. Diese werden jedoch mit Füßen getreten, wenn der Sammeluser kein Einzelfall ist oder das Passwörter-Post-it entweder direkt am Bildschirm klebt oder aber halb unter dem Mouse Pad hervorlugt. Und es wird sogar zivil- und strafrechtlich relevant, wenn sich die Krankenschwestern – der Einfachheit halber – mit dem Passwort des Arztes anmelden können.

Gemeinsame Entwicklungserfolge

Die Menschheit hat Sonden entwickelt, die auf Kometen landen, die durchs All rasen, wieso ist es also so schwierig, ein Identitäts- und Zugangsmanagement zu implementieren, das integrierbar, sicher und nutzerfreundlich ist und die einmalige Anmeldung an einem zentralen Authentifizierungsserver reicht, um immer wieder erkannt zu werden? Stichwort: Single-Sign-on (SSO). Böse Zungen behaupten, Single-Sign-on wäre die Lösung, aber das wäre die eGK auch und das heißt noch lange nicht, dass es sie deswegen geben wird.

Waldemar Potratz, Leiter IT- und SAP-Basis des Zollernalb Klinikums, mit Standorten in Balingen und Albstadt, macht da gerade andere Erfahrungen. Er ist mit seiner SSO-Lösung durchaus zufrieden. Es gab sie nicht von der Stange, aber heute steht die zentrale Nutzerverwaltung. „Das Nebeneinander der klinischen Systeme im Krankenhaus ist nicht auf Zusammenspiel programmiert“, erläutert er das Grundproblem. „Wir haben unsere KIS-Ausschreibung benutzt, um genau dieses Problem anzugehen. Wir hatten den schnellen Nutzerwechsel mit im Pflichtenheft. Als Grundlage für revisionssichere Audits und die Umsetzung der vorgeschriebenen Sicherheits- und Compliance-Politik.“ Heute können über die rollenbasierte Identitätsverwaltung automatisch Benutzerkonten und Zugriffsrechte zu klinischen Anwendungen erstellt, geändert oder auch gesperrt werden. An den Computern, an denen häufige Benutzerwechsel stattfinden, kommen Kartenlesegeräte zum Einsatz; dort, wo nur wenige arbeiten, ist das System installiert und es bedarf einer einmaligen Anmeldung in Windows. Der administrative Aufwand wurde gesenkt, die Anwenderzufriedenheit deutlich gesteigert.

Die gleichen Erfahrungen macht auch Gerhard Härdter, Leiter Servicecenter IT, TK, Medizintechnik am Klinikum Stuttgart. „Die tiefe Integration in das Krankenhausinformationssystem ist die eine Sache, interessant wird eine Applikation vor allem durch ihre Vielfalt an Schnittstellen.“ Er hat ein gemeinsames Entwicklungsjahr mit dem Hersteller hinter sich und nun ein SSO-System, das den Härtetest hinter sich hat. Als die Radiologen sich zufrieden zeigten, war klar, es kann dem ganzen Haus dienen. Auch hier funktioniert die Anmeldung über Kartenlesegeräte, die Anmeldung und Rollenkonzepte sind auf den Mitarbeiterausweisen vermerkt. Mehr Komfort geht nicht. Noch nicht. Bis wir uns irgendwann keine Passwörter mehr merken müssen, sondern uns unser Fingerabdruck die lästige Arbeit des Sich-Erinnerns abnimmt.

INITIATIVEN UND LINKS

www.mit-sicherheit-gut-behandelt.de

Österreichische Datenschutzkommission: IT-Dienstleistervertrag

www.dsk.gv.at

Claudia Dirks

Daten schützen

Interview mit Johannes Caspar, Landesdatenschutzbeauftragter Hamburg

Revolution der Versorgungsqualität durch Daten

Big Data – mehr Daten, mehr Wissen

Betrieblicher Datenschutz vor dem Aus

Interview mit Nikolaus Forgó, Rechtswissenschaftler