Identity- and Access Management (IAM) unterstützt Kliniken bei der korrekten Verwaltung von IT-Rechten. Unser Gastautor Thomas Reeb von C-IAM erläutert in seinem Beitrag, wie eine transparente und gesetzeskonforme Berechtigungsstruktur Krankenhäusern dabei helfen kann, Ressourcen und Kosten zu sparen.
Gastbeitrag von Thomas Reeb
In Deutschland gibt es 1.956 Krankenhäuser mit insgesamt 499.351 Betten, in denen mehr als 19,2 Millionen Behandlungsfälle von mehr als 1,19 Millionen Beschäftigten, darunter 174.391 Ärzte, versorgt werden. Diese Zahlen veranschaulichen deutlich: Um hier den Überblick zu behalten und Rechtssicherheit zu garantieren, müssen sowohl Patienten- als auch Forschungsdaten umfassend geschützt werden. Krankenhäuser und Unikliniken stehen dabei vor der IT-Herausforderung, dem zuständigen Klinikpersonal benötigte Daten zugänglich zu machen und gleichzeitig dafür Sorge zu tragen, dass nur berechtigte Personen Einblick erhalten. Ein durchdachtes und verlässliches Identitätsmanagement ist deshalb dringend erforderlich.
Berechtigungschaos
Überall dort, wo eine hohe Personalfluktuation von Mitarbeitern, Studenten, Gast-Ärzten oder Externen besteht, ist die Gefahr groß, dass Berechtigungen auf Daten, Services und Zielsysteme nicht entsprechend verändert oder gelöscht werden. Dies gilt für Krankenhäuser im Allgemeinen und Unikliniken im Besonderen. Denn einerseits müssen sie Patientendaten für Schwestern, Ärzte, Ärzte im Praktikum, Oberärzte, Gastprofessoren oder Professoren schnell und sicher vorhalten. Andererseits müssen sie aber auch kritische Informationen wie beispielsweise Forschungsdaten oder Patientendaten vor unberechtigtem Zugriff schützen.
Darum trennen Krankenhäuser Patienten- und Forschungsdaten oft strikt durch demilitarisierte Zonen. Dieses Vorgehen führt jedoch zu erhöhten Betriebs- und Supportaufwänden, denn die IT muss zwei komplett getrennte Netze mit unterschiedlichen Rechtekonzepten verwalten. Zwar bringt die beschriebene Unterteilung in zwei Netze die gewünschte Kontrolle und Compliance-Konformität. Da an der Forschung neben einigen Professoren hunderte Studenten beteiligt sind, kommt jedoch es bei Semesterwechsel oder zu Anfang und Ende der Studienzeit zu regelrechten „Rechteentzugsorgien“, sprich einem Deprovisioning-Chaos. Doch damit nicht genug: Außerdem wechseln die Protagonisten aus den Forschungsnetzen oftmals in die Patientennetze und umgekehrt.
Die „offenen Stations-PCs“ vervollständigen die Rechte-Malaise: Um sofort und ohne Zeitverlust an Patientendaten, vor beziehungsweise nach Visiten oder an Medikamentendaten zu gelangen, werden meist offene Sammel-Logins für das ganze Stationspersonal verwendet. Doch wer physikalischen Zutritt zum PC hat, kann potenziell auch auf sensible Daten zugreifen! Als Resultat der Netztrennung sowie der offenen Stations-PCs entstehen Rechte- und Sicherheitslücken bei Patientendaten sowie auf Forschungsdaten. Durch IAM lässt sich diese Dieser Compliance- und Provisionierungs-Problematik unter Kontrolle bringen.
Rechte-Analysen und Rollen-Management
In einem ersten Schritt bringt eine Ist- Analyse, um Licht ins Rechtedunkel. Hilfreich ist hierbei der Einsatz einer Softwarelösung, die Compliance- und Risiko-Reports nach organisatorischen Rollen in Abhängigkeit der angeschlossenen Zielsysteme clusterst. Denn sie analysiert nicht nur, sondern kann auch sofort eklatante Sicherheitsverstöße und Rechte-Todsünden beseitigen. Als nächstes wird für beide Netze ein separates Sollkonzept via Rollen-Management entworfen. Dabei wird die zukünftige Unterscheidung, wer wo welche Rechte besitzen soll, an der organisatorischen Zugehörigkeit, Forschung oder den jeweiligen Stationen und Patienten festgemacht.
Um die bevorstehende Rechtestandardisierung schnell, sicher und effizient umsetzen zu können, müssen zuerst die gravierendsten strukturellen Mängel beseitigt werden. Die eigentliche Rechtemigration erfolgt automatisch, vom Tool gestützt. In einem nächsten Schritt werden die Regeln des Soll-Konzepts in das Regelwerk des IAMs übertragen. Damit besitzen nun beide Netze eine saubere und sichere, weil zentral verwaltete Struktur. Die zentrale Verwaltung und die kontrollierte Rechtevergabe über Genehmigungsworkflows gewährleisten im späteren Betrieb den Erhalt der sauberen Rechte- und Datenbasis.
Die letzten Schritte zum zentralen Management von Identitäten und Rechten sind der automatisierte Import der User-Daten beider Netze in das IAM-System und die Zuordnung von Metadaten zur organisatorischen Rolle samt den daran geknüpften Berechtigungen. Ab diesem Zeitpunkt können beispielsweise bei Weggang von Mitarbeitern deren Berechtigungen von zentraler Stelle aus zuverlässig gesperrt oder neue Mitarbeiter in den Systemen angelegt werden – automatisiert und mit exakt den Berechtigungen, die sie für ihre Arbeit benötigen.
Sicher und effizient
Der Einsatz einer prozess-orientierten Unternehmenssoftware für das Identity und Service Management unterstützt Krankenhäuser, die wichtigsten Prozesse bei der Vergabe von IT-Rechten sicherer und effizienter abzuwickeln. Vor allem die unüberschaubaren Deprovisioning-Prozesse lassen sich so von zentraler Stelle aus in Verbindung mit HR und/oder KIS (Krankenhaus Informations System) automatisiert durchführen. Kliniken beweisen so nicht nur Zukunftsorientierung, sondern sie sparen auch Kosten, indem sie ihre Prozesse transparenter und Compliance-konform gestalten.
Eine Software-gestützte Rechteverwaltung bringt aber noch weitere Vorteile. Sie sorgt neben der Erstellung und dem Management digitaler Identitäten und Kennungen auch für die Realisierung von rollen- und mandantenbasierten Berechtigungskonzepten. Gleichzeitig bietet eine derartige Lösung Self-Service-Funktionen mit Genehmigungs- und Freigabe-Workflows, umfassende Reporting- und Audit-Funktionen sowie sinkende Fehleranfälligkeit bei steigendem Automatisierungsgrad.
Ressourcen gespart
Im letzten Schritt werden dann noch die Stations-PCs mit Biometrie-Zugängen ausgestattet. So können Patienten, KH-Leitung und Auditoren in Bezug auf die Datensicherheit und die Compliance wieder ruhig durchatmen. Die Gesamtvorteile liegen klar auf der Hand. Im Vordergrund stehen wieder die eigentlichen Aufgaben, da administrative Herausforderungen durch einen Rechte- und Rollenstandard gelöst sind. Dies senkt nicht nur Kosten, sondern optimiert auch die Krankenhaus-Prozesse. Die durch das umfassende Identitätsmanagement frei gewordenen Ressourcen können Klinikmitarbeiter dann für ihre Kernaufgabe nutzen: das Wohl der Patienten.