Sicherheit ist gerade in Krankenhäusern ein wichtiges Thema. Trotzdem gehen viele Ärzte und Pflegende zu sorglos mit dem Thema Passwortsicherheit um. In seinem Gastbeitrag erläutert Uwe Dieterich, Regional Sales Manager bei Imprivata, wie Krankenhäuser und medizinische Einrichtungen die Sicherheit von persönlichen Daten gewährleisten können.
Gastbeitrag von Uwe Dieterich
Regelmäßig werden Endanwender darauf hingewiesen, wie sie ein möglichst starkes Passwort generieren. Auch der internationale „Ändere dein Passwort“-Tag und aktuelle Studien über die unsichersten Passwörter der Deutschen machen auf das wichtige Thema aufmerksam. In der Medizinbranche könnten Passwörter jedoch bald der Vergangenheit angehören. Eine passwortlose Authentifikation bietet zahlreiche Vorteile und erhöht die Sicherheit in Krankenhäusern und Gesundheitseinrichtungen maßgeblich.
Viele Ärzte und das Pflegepersonal sind in der Vergangenheit durch einen eher sorglosen Umgang mit dem Thema Passwortsicherheit aufgefallen. So war es vor der Einführung der Datenschutz-Grundverordnung (DSGVO) auf vielen Stationen üblich, Post-Its unter Tastaturen oder sogar an Bildschirmen sichtbar anzuheften, um den Zugang zu Patientenakten und medizinischen Programmen zu beschleunigen. Für einen stressgeplagten Arzt bedeutet eine solche Praxis selbstverständlich eine immense Erleichterung, da er sich neben der verabreichten Insulinmenge vom zuletzt behandelten Patienten nicht zusätzlich ein komplexes Passwort merken muss. Ein Krimineller, der sich vor Ort Zugriff auf hochsensible Daten verschaffen möchte, hat hier leichtes Spiel. Zudem führt ein öffentlich zugängliches Passwort das Prinzip der Verschlüsselung von Programmen und Dateien ad absurdum – ein Problem, das viele IT-Sicherheitsbeauftragte in Unternehmen zur Genüge kennen.
Problem Team-Account
Doch nicht nur Post-Its waren vor Einführung der DSGVO ein großes Problem, auch die oftmals genutzten Team-Accounts, die eine zweifelsfreie Zuordnung von Eingaben und Bearbeitungen unmöglich machen, bergen Risiken. Zwar vereinfachen Team-Accounts den Arbeitsalltag der einzelnen Angestellten im Krankenhaus: Wartezeiten und Eingaben beim Benutzerwechsel entfallen und alle Arbeitsstationen lassen sich von jedem Mitarbeiter bedienen. Vonseiten der Systemadministratoren führt dieses Vorgehen aber mit Sicherheit zu heftigem Kopfschütteln. Vor allem im Hinblick auf die Anforderung an die Datenverarbeitung sind Sammel-Accounts eine schwerwiegende Missachtung der DSGVO und können zu hohen Strafzahlungen führen. So muss immer nachweisbar sein, wer wann Zugriff auf welchen Datensatz hatte und welche Änderungen vorgenommen wurden.
Strenge Auflagen erfüllen sich nicht von selbst
Um in Krankenhäusern und medizinischen Einrichtungen die Sicherheit von persönlichen Daten zu gewährleisten, sind Verschlüsselungen und Zugangsbeschränkungen essentiell. Bei den verarbeiteten Daten handelt es sich um hochsensible Informationen. Daher muss ausgeschlossen sein, dass sie in die falschen Hände geraten. Das bekannteste Mittel, um diese Sicherheit herzustellen, sind dabei selbstverständlich Passwörter und Nutzerkonten, die eindeutige Rückschlüsse auf den jeweiligen Mitarbeiter ziehen lassen, der gerade an der Arbeitsstation arbeitet.
Wie die Beispiele verdeutlichen, werden Nutzer immer nach einer einfacheren Lösung suchen, die ihren Arbeitsalltag erleichtert. Dieser Fakt ist sicherlich nicht nur auf den Medizinbereich beschränkt. Auch in anderen Anwendungsfällen sowie im Privatleben der Mitarbeiter zeigt sich, dass gerne zugunsten von Bequemlichkeit auf Sicherheit verzichtet wird. Beispielsweise nutzen viele ein und dasselbe Passwort für die verschiedensten Anwendungen. Es ist zwar bekannt, dass diese Vorgehensweise nicht die sicherste ist, aus Bequemlichkeit wird allerdings weiterhin nicht darauf verzichtet. Aus Sicht der IT-Sicherheit ein großer Fehler, aus Sicht des Nutzers eine willkommene Erleichterung, um sich nicht viele verschiedene Passwörter merken zu müssen. Die immer wiederkehrenden Tipps & Tricks zur Erstellung sicherer Passwörter sowie der Verweis auf Sicherheitsrichtlinien vonseiten der IT-Verantwortlichen helfen dabei weder im privaten noch im professionellen Bereich.
Um also sicherzustellen, dass sich Mitarbeiter an die umfassenden Maßnahmen der DSGVO halten und die Sicherheit von Patientendaten im Krankenhaus zu gewährleisten, müssen Verantwortliche einen Spagat zwischen Benutzerfreundlichkeit und IT-Sicherheit finden. Im Optimalfall kommen Mitarbeiter dabei gar nicht in die Situation, sich Passwörter merken zu müssen.
Einfacher anmelden
Lösungen wie Imprivata OneSign, die auf der Single Sign-On-Technologie beruhen, greifen genau dieses Problem auf. Für Krankenhausmitarbeiter entfällt der Anmeldevorgang dabei komplett, da sie die jeweilige Authentifizierung mittels Fingerabdruck oder Proximity-Karte oder Chip durchführen können. Vereinfacht ausgedrückt, ist für den Login an einer Arbeitsstation lediglich ein kurzes Annähern der Karte oder des Chips nötig, damit sich der Mitarbeiter in der richtigen Anwendung wiederfindet.
Dadurch, dass im System hinterlegt ist, welche Person welche Rechte hat, ist ausgeschlossen, dass ein Dritter Zugriff auf Dokumente bekommt. Zudem kann jederzeit nachverfolgt werden, wer wann welche Akten eingesehen oder sogar verändert hat, da sich jeder Mitarbeiter ausschließlich mit seinem eigenen Account einloggt – ohne dazu ein Passwort oder konkrete Zugangsdaten zu benötigen. Die wichtigen Anforderungen an die Sicherheitsvorkehrungen für IT-Systeme sind somit gegeben.
Je einfacher die Lösung, desto höher die Akzeptanz
Durch die Einfachheit der Lösung ist auch die Akzeptanz der Mitarbeiter sehr hoch. Für Ärzte und Krankenpfleger bedeuten Single Sign-On-Lösungen, dass sie sich passwortlos durch die tägliche Arbeitswelt bewegen können. Der spielerische Ansatz, nur eine Transponderkarte lesen lassen zu müssen und damit nach einem kurzen Piepton im richtigen System angemeldet zu sein, erhöht die Akzeptanz. Wenn ein solches System krankenhausweit eingesetzt wird, ist es für den Anwender problemlos möglich, das zuletzt geöffnete Interface auf jedem verbundenen Display aufzurufen. Durch diesen schnellen und flexiblen Zugriff auf die Arbeitsplattform erhalten Mitarbeiter eine Zeitersparnis von bis zu 45 Minuten pro Arbeitsschicht.
Passwortlos sorgenfrei
Die einfachste Möglichkeit, eine höhere IT-Sicherheit in Krankenhäusern und medizinischen Institutionen zu erreichen, ist oftmals, gänzlich auf Passwörter zu verzichten. Dabei gilt es natürlich, auf das richtige System zu achten. Dabei haben gute Lösungen auch einen immensen Nutzen, wenn sich die Frage nach der Patientenversorgung stellt. Wer sich nicht darum sorgen muss, dass empfindliche Daten sicher sind, hat mehr Zeit, sich um die Patienten und wichtigere Belange zu kümmern.