– ADVERTORIAL –







        Patientendaten in Kliniken nicht ausreichend geschützt

        IDENTITY- UND ACCESS-



        MANAGEMENT SCHLIESST


        SICHERHEITSLÜCKEN









               Autor: Helmut Semmelmayer,                      Maßnahmenempfehlungen nach BSI
               Senior Manager Channel Sales
                                                               Der B3S empfiehlt folgende Maßnahmen für den Umgang mit Benutzer-
                                                               konten und Zugriffsrechten, die sich allesamt durch eine Software für
                                                                 Identity- und Access-Management (IAM) umsetzen lassen:
                                                                   ƒ Datenquelle: Benutzerdaten sollten aus einer verlässlichen Quelle
        Corona-Pandemie schubst Kliniken in                       stammen, aus der sich auch andere wichtige IT-Systeme, wie das Acti-
        digitalen Fortschritt                                     ve Directory oder das Krankenhausinformationssystem (KIS), speisen.
        Lückenlos nachverfolgte Infektionsketten, computergestützte Voraussa-    ƒ Dateneigentümer: Personen mit Fachwissen und Entscheidungs-
        gen über globale Pandemien und Patientenakten, die nur noch als Daten-  kompetenzen sollten in die Prozesse eingebunden sein.
        stränge in der Cloud existieren: Zukunftsmusik? Ja. Aber diese Zukunft ist     ƒ Kontrolle: Sämtliche Berechtigungen sollten einer regelmäßigen
        nicht so weit entfernt, wie viele denken.                 Kontrolle durch die verantwortlichen Dateneigentümer unterworfen
                                                                  sein und bei Bedarf in sämtlichen Zielsystemen umgehend entfernt
        Das hat eine Umfrage des Digitalverbandes Bitkom gezeigt, die unter mehr   werden können.
        als 500 Ärztinnen und Ärzten durchgeführt wurde. Der Befragung zufolge
        drängen rund 80 Prozent der Klinikärzte auf ein erhöhtes Tempo beim   Personaländerungen über Rollen abbilden
        Ausbau digitaler Angebote und fast zwei Drittel plädierten dafür, im Kampf   Benutzerfreundliche IAM-Lösungen bilden die Zugriffsberechtigungen im
        gegen Corona verstärkt auf digitale Technologien zu setzen.   KIS über ein globales Rollenmanagement ab. Auf diese Weise kann nicht
                                                               nur das Ausscheiden von Mitarbeitern abgebildet werden, sondern auch
        Doch wo Daten digital verfügbar sind, besteht immer auch die Gefahr des   der (wesentliche komplexere) Fall eines Abteilungs- oder Positionswech-
        Missbrauchs. Und vergangene Vorfälle haben gezeigt, dass Gesundheits-  sels. Die Software entzieht dann automatisch alle Berechtigungen, die
        einrichtungen verstärkt im Visier von Cyberkriminellen und Maulwürfen   nicht mehr benötigt werden, und ordnet die für die neue Position erforder-
        stehen, die es auf sensible Daten abgesehen haben.     lichen Rechte zu.

        Aufholbedarf beim Schutz von Patientendaten            Automatisierung spart Zeit und Fehler
        Der Befragung zufolge gibt es gegenwärtig große Unterschiede zwischen   Fehler sind menschlich. Aber im Klinikumfeld haben sie trotzdem keinen
        einzelnen Kliniken und Arztpraxen in Bezug auf den Umgang mit Patienten-  Platz. Aus diesem Grund sollte eine IAM-Software für Krankenhäuser die
        daten und anderen sensiblen Informationen. Während die einen bereits die   Prozesse weitgehend automatisieren, um Fehler und/oder Sicherheitslü-
        elektronische Patientenakte nutzen, sammeln andere noch tausendundei-  cken infolge händischer Administration zu vermeiden. Um im hektischen
        nen Zettel im LEITZ-Ordner. Dieses Problem potenziert sich durch die hohe   Krankenhausbetrieb zeitlich effizient zu bleiben, ist es darüber hinaus
        interne Fluktuationsrate in medizinischen Einrichtungen. Während On- und   wichtig, dass die Abläufe zwischen IT und Dateneigentümern so unkompli-
        Offboarding-Prozesse normalerweise recht strukturiert ablaufen, verliert   ziert wie möglich sind.
        die Krankenhaus-IT spätestens beim Wechsel zwischen den Abteilungen die
        Übersicht darüber, welche Mitarbeiter auf welche Daten zugreifen können.   Erst Patientendaten sichern, dann
                                                               weiter digitalisieren
        Zugriffe limitieren, Patientendaten schützen           Wenn die Digitalisierung, wie von der Ärzteschaft gewünscht, zum Vehikel
        Da unzureichend gesteuerte Zugriffsrechte im Gesundheitsbereich katas-  des medizinischen Fortschritts und der globalen Pandemie-Bekämpfung
        trophale Folgen haben können, definiert der branchenspezifische Sicher-  werden soll, ist es zwingend notwendig, in einem ersten Schritt für eine
        heitsstandard (B3S) für das Gesundheitswesen im Abschnitt „Identitäts- und   zuverlässige und fehlerfreie Speicherung und Verarbeitung von Patienten-
        Rechtemanagement“ klare Vorgaben, die insbesondere von Kliniken im   daten und anderen sensiblen Informationen zu sorgen. Je benutzerfreund-
          KRITIS-Umfeld einzuhalten sind. Ziel entsprechender Maßnahmen ist es,   licher die ausgewählte IAM-Software ist, desto besser ist die Akzeptanz
        dass jede Person ausschließlich über jene IT-Berechtigungen verfügt, die für   in der Belegschaft und desto schneller können kritische Sicherheitslücken
        die Ausführung ihres aktuellen Aufgabenbereiches absolut notwendig sind.  geschlossen werden. n




      40              SPECIAL_2/2021  IT-SICHERHEIT IM KRANKENHAUS