IT im Gesundheitswesen/Diana-Klinik führt Single-Sign-on-Passwort ein

Nur Berechtigte kriegen die Patientendaten

27.08.2004

Die Diana Krankenhausbetriebsgesellschaft mbH im niedersächsischen Bad Bevensen verwaltet als Dachgesellschaft die Geschäfte der Diana-Klinik und des Reha-Zentrums. Sie unterhält Abteilungen für Orthopädie, Neurologie, Psychosomatik, Geriatrie, Rehabilitation sowie Akutbehandlung und nimmt Patienten aller Sozialleistungsträger, aber auch Selbstzahler auf. Zusätzlich sind ein Pflegezentrum und eine Physiotherapie-Schule angebunden.

Die private Krankenanstalt mit 560 Betten besitzt alle Einrichtungen, die notwendig sind, um therapeutische und diagnostische Leistungen in physikalischer Medizin und Rehabilitation zu erbringen. 1972 bis 1974 errichtet, wurde die Klinik Anfang der 90er Jahre erweitert und modernisiert. Heute betreuen 400 Mitarbeiter täglich rund 600 Patienten.

Für Patientenbetreuung und allgemeine Verwaltung betreibt die Klinik 14 Server unter Unix, Linux und Windows 2000 sowie eine AS/400. 200 Nutzer in drei Gebäuden sind über Ethernet vernetzt. Sie können auf klinikspezifische Applikationen wie ein Krankenhaus-Informationssystem (KIS) oder eine Laboranwendung, aber auch auf betriebswirtschaftliche Anwendungen und Office-Pakete für die allgemeine Verwaltung zugreifen. Die Client-PCs laufen unter Windows und Citrix Terminalserver.

Diese heterogene IT-Infrastruktur machte sich auch während des Logins bemerkbar. Für jedes System gab es eine eigene Benutzerverwaltung mit unterschiedlichen Benutzerkennungen und Passwörtern. Die angestrebte Vereinheitlichung wurde durch Einführung neuer IT-Systeme, die eine andere Nomenklatur vorgaben, unmöglich. Schlimmstenfalls musste sich ein Anwender sechs unterschiedliche Kombinationen aus Benutzernamen und Passwort merken.

Die Folgen sind nachvollziehbar: Zettel mit den Zugangsdaten unter der Tastatur oder am Monitor. Trotz Ermahnungen verschwanden diese Notizen nie, sie wechselten nur ihren Platz. Waren sie so gut versteckt, dass selbst der Benutzer sie nicht mehr finden konnte, musste die IT-Abteilung Benutzernamen und Passwort aufwändig rekonstruieren. Weil die Anwender den Umgang mit vielen Zugangscodes als zu kompliziert empfanden, wechselten sie diese auch nicht so oft wie gefordert.

Zudem existierten verschiedene Vorgaben für den Aufbau des Benutzernamens, beispielsweise mit Personalnummer oder Kostenstellen-Kennzahl. Diese Vorgaben waren nicht präzise abgegrenzt, so dass sich beide Muster vermischten. Darüber hinaus wurden die Listen mit den Benutzernamen nicht kontinuierlich gepflegt, so dass auch bereits ausgeschiedene Mitarbeiter noch als Anwender aktiviert waren.

Zettel unter der Tastatur

Weil die Diana-Klinik vor allem mit sensitiven Patientendaten arbeitet, fielen Verstöße gegen Sicherheitsrichtlinien wie Zettel unter der Tastatur besonders schwer ins Gewicht. Deshalb suchte das IT-Team nach einer neuen Lösung für das Login, die es Mitarbeitern erleichtert, die Sicherheitsrichtlinien einzuhalten und verantwortungsbewusst mit ihren Passwörtern umzugehen. Zudem sollten IT-Administratoren von unproduktiver Sucharbeit befreit werden. Dem Team war schnell klar, dass die Lösung im Single-Sign- on (SSO) liegt, mit dem die Anwender mit nur einer Benutzerkennung und einem Passwort Zugang zu ihren Applikationen erhalten. Darüber hinaus sollte SSO auch die Datensicherheit erhöhen, einfach zu implementieren und zu warten sowie ausbaufähig für eine spätere Authentifizierung über Chipkarten sein.

Die Diana Klinik entschied sich für "E-Trust Single-Sign-on" von Computer Associates (CA). Für die Lösung sprachen neben ihrer einfachen Implementierung und Wartung auch Offenheit und Plattformunabhängigkeit. So ließ sich beispielsweise die noch zeichenorientiert arbeitende AS/400 in die SSO-Lösung integrieren.

Nachdem der Anwender User-Namen und Passwort eingegeben hat, erscheinen auf seinem Windows-Desktop Icons, über die er nach einem Mausklick ohne nochmalige Authentifizierung sofort auf seine Programme zugreift. Jeder Mitarbeiter besitzt dazu auf einem speziellen Server ein eigenes Profil, das seine Zugriffsberechtigungen speichert und den Zugang zu den jeweiligen Applikationen freigibt. Die SSO-Lösung ist durch einen zweiten Backup-Server abgesichert.

Das SSO-Projekt begann im Oktober 2003 und wurde nach einer Testphase Mitte November 2003 erfolgreich beendet. Eine Schlüsselrolle spielte dabei CA-Partner Elanity Network Partner GmbH, der nach Vorgaben der Klinik die SSO-Lösung angepasst hat. Elanity hat E-Trust Single- Sign-on implementiert, die Dokumentation ausgearbeitet und die Administratoren geschult.

IT- und Fachabteilung profitieren

Die User haben die Vorzüge einer einmaligen Anmeldung schnell schätzen gelernt, weil sie ihnen einen leichten Zugriff auf ihre Applikationen ermöglicht, ohne Sicherheitsrichtlinien zu verletzen.

Die Administratoren profitieren von den weggefallenen Hilferufen bei vergessenen Zugangsdaten sowie von der einfachen und effizienten Verwaltung. Mit SSO brauchen sie nur noch eine Minute, um die Kennung eines Anwenders für alle Systeme zu ändern.

SSO-Lösung wird ausgebaut

Nach der aufwändigen Einführung eines neuen Krankenhaus-Informationssystems wird das IT-Team die SSO-Lösung weiter ausbauen. Geplant sind die Integration der Terminal-Server und ein dynamischer Kennwortwechsel, mit dem die Anwender nach einem bestimmten Zeitraum ein neues Passwort wählen müssen. Darüber hinaus beschäftigt sich das Team auch mit einer Authentifizierung über Smartcards oder USB-Tokens. (bi)

*Dr. Andreas Wiens ist Bereichsleiter EDV/Controlling in der Diana Klinik in Bad Bevensen.

Hier lesen Sie ...

- warum sich die Diana-Klinik von einer Zettelwirtschaft mit Zugangsdaten befreien wollte und wie es zu dieser gekommen war;

- welche Lösung das IT-Team für ein Login, das nicht gegen Sicherheitsrichtlinien verstößt, fand.

- wie diese Lösung auch noch zeichenorientierte Anwendungen integrieren konnte;

- warum und wie die Administration von der Lösung profitiert.