Identity- und Access-Management-Lösung für IT-Sicherheit in KrankenhäusernAusgereiftes Berechtigungskonzept verspricht Risikominimierung
18. Juni 2020Krankenhäuser gehören zu den Kritischen Infrastrukturen (KRITIS) und müssen daher die IT-Sicherheit besonders ernst nehmen und sich an vorgegebene Richtlinien wie die Europäische Datenschutz-Grundverordnung (EU-DSGVO) und das IT-Sicherheitsgesetz halten. Ohne ein durchdachtes Berechtigungskonzept, das übersichtlich darstellt, wer wann auf welche Patientendaten zugreifen darf, entstehen jedoch schnell Sicherheitslücken.
Vor allem Krankenhäuser, die tagtäglich etliche medizinische Daten verarbeiten, müssen gezielte Sicherheitsmaßnahmen ergreifen, die den Abfluss oder die Manipulation von Informationen verhindern. Dazu zählt unter anderem der Einsatz einer Identity- und Access-Management-Lösung, die die Authentifizierung und Kontrolle von Zugriffen ermöglicht. Wird keine derartige Lösung genutzt, fehlt häufig der Überblick, welche Mitarbeiter auf welche Daten zugreifen können.
Folglich ist es denkbar, dass unberechtigte Personen sich Zugang zu einzelnen Patientenakten verschaffen oder Cyber-Kriminelle sich über veraltete Mitarbeiterkonten in das System einschleusen. Damit es erst gar nicht so weit kommt, ist ein ausgereiftes Berechtigungskonzept zur übersichtlichen Darstellung von Zugriffen notwendig. Mit einer Softwarelösung wie daccord von G+H Systems lässt sich ein solches Konzept entwickeln und damit ein datenschutzkonformes Niveau sicherstellen.
Rollen- und Berechtigungskonzepte in Krankenhäusern
In einem portugiesischen Krankenhaus ist vor einiger Zeit die Situation eingetreten, dass über 900 aktive Nutzer mit der Rolle „Arzt“ (samt der dazugehörigen, meist höheren Rechte) registriert waren, obwohl die Klinik insgesamt nur knapp 300 Ärzte beschäftigte. Um einen solchen Vorfall zu verhindern, ist die Erstellung eines Rollen- und Berechtigungskonzeptes notwendig, das besagt, wer in welcher Position welche Zugriffsrechte benötigt.
An dieser Stelle kommt daccord zum Einsatz, die als Werkzeug zur Ermittlung der real vergebenen Berechtigungen und zur Identifizierung von Abweichungen im Vergleich zum Soll-Ist-Rollenkonzept dient. So lassen sich Missstände wie falsche Rollenzuweisungen oder Über- bzw. Unterberechtigungen in Krankenhäusern unmittelbar aufdecken.
Spezifische Klinikanforderungen erfüllen
„Um nicht nur gesetzliche, sondern auch individuelle Anforderungen von Krankenhäusern zu berücksichtigen, bieten wir unsere Lösung in drei verschiedenen Editionen an. Diese lassen sich schnell, einfach und flexibel in die vorhandene IT-Landschaft integrieren“, sagt Sebastian Spethmann, Account Manager bei G+H Systems.
Die Access Governance Edition bewährt sich gerade für kleinere Kliniken, die nach einer Lösung zur globalen Auswertung und Zertifizierung der Berechtigungen in beliebigen Zielsystemen suchen. Benötigen Krankenhäuser ein umfassendes und skalierbares Identity and Access Management System (IAMS) inklusive vorkonfigurierter Funktionsbausteine, ist die Advanced Edition geeignet. Für Kliniken, die innerhalb einer Microsoft-Umgebung arbeiten und sich eine unterstützende Lösung für die Überwachung der Richtlinien und Benutzerkonstellationen in dem Active Directory (AD) und dem NTFS-Filesystem wünschen, gibt es zudem die speziell entwickelte Microsoft Edition.
Sebastian Spethmann ist Account Manager der G+H Systems GmbH.