Health-IT Talk Berlin Brandenburg: Identity Access Management - "Digitale Identitäten" im Gesundheitswesen

HealthIT

Veröffentlicht 10.08.2021 01:40, Dagmar Finlayson

"Identity Access Management (IAM) in der Praxis und zukünftige Entwicklungen" war Themenfeld beim 125. Health IT Talk Berlin Brandenburg. Zwei Experten skizzierten Schritte und Herausforderungen bei der Einführung des IAM beim Klinikum Unfallkrankenhaus Berlin (ukb). Einen Einblick in Projekte, Technologien und Ansätze sicherer Identitäten gaben Experten der Bundesdruckerei und von D-Trust. Die online-Botschaft für die über 50 Teilnehmer:  Datensicherheit im Gesundheitssektor ist unverzichtbar. IT-Sicherheitsmanagement ohne Identitäts-Management ist nicht mehr denkbar.

Identity- und Accessmanagement Systeme (IAM) unterstützen als zentrale Nahtstelle die Vergabe jeglicher Berechtigungen. Bei der Einführung eines IAM werden Prozesse umgestellt und optimiert. An verschiedensten Stellen wird die Digitalisierung vorangetrieben und es ergeben sich Stück für Stück weitere wertschöpfende Anwendungsfälle, die ohne ein zentralisiertes IAM nicht möglich wären. Vor allem: Durch IAM erhält das Krankenhaus einen neuen Freiraum in der Benutzerverwaltung.

In der Digitalwelt nimmt die Komplexität von Identitäten und Zugriffsberechtigungen in IT-Systemen kontinuierlich zu. Bei dem Workload der IT-Abteilungen in Krankenhäusern ist es deshalb schwierig, alle Mitarbeiterbewegungen "sauber" in den vielen Anwendungen und bei den Zugriffsberechtigungen im Dateisystem abzubilden.

Umgesetzte Mitarbeiter, die noch ihre alten Berechtigungen haben, nicht mehr im Unternehmen tätige Mitarbeiter, die trotzdem noch als Benutzer in diversen Systemen vorhanden sind (besonders ärgerlich bei Systemen mit Benutzerlizenzen) und die man im Nachhinein nur noch schwer identifizieren kann etc. Es geht um "Lizenzleichen" und um oftmals nicht wenig Geld.

Kein Sprint - sondern ein Marathon

Implementieren und Integrieren von Identity- und Access-Management-Systemen ist ein vielschichtiger Vorgang. Unternehmen sollten daher vor Projektbeginn eine schlüssige IAM-Strategie erarbeiten. Zunächst gehören vorausschauendes Denken und abteilungsübergreifende Zusammenarbeit dazu. Der Faktor „Mensch“ ist im Spiel. IAM ist kein Sprint, sondern eher ein Marathon. Zu den Anforderungen zählen: Informationen zur Nutzeridentität zu synchronisieren und eine Vielzahl von Benutzern in unterschiedlichen Situationen und Umgebungen automatisiert und in Echtzeit zu handhaben. Prozesse sind zu definieren, viele Beteiligte müssen ihre Komfortzone verlassen.

Zwei Akteure skizzierten Schritte und Herausforderungen bei der Einführung eines IAM am Beispiel des BG Klinikums Unfallkrankenhaus Berlin (ukb). Toralf Skeries, IT-System und Sicherheit am ukb, initiierte das IAM-Projekt und begleitet es von Beginn an intensiv. Stefan Zorn ist Geschäftsführer der imatics Health-IT Consulting GmbH und unterstützt das ukb in diesem Projekt mit seiner technischen und prozessualen Expertise.

Ihre Erkenntnisse und Erfahrungen sind: Systeme lassen sich aktuell halten. Das betrifft die Optimierung von Lizenzen ebenso wie die Auditierfähigkeit ohne lange Vorbereitung.

Beide beobachten durch die Verbesserung der Prozesse eine deutlich erhöhte Performance. Zudem werden sich die Beteiligten des „Wie und Warum“ wieder abteilungsübergreifend bewusst. Zu den weiteren Erfahrungen gehören vereinfachte Prozesse sowie ein hoher Grad an Automatisierung schon im ersten Schritt. Papiernutzung geht deutlich zurück, für den Service Desk fallen weniger Standardaufgaben an. Das Credo beim ukb lautet Es ist ein langer Weg über Prozessoptimierung, Datenqualitätsverbesserung oder auch Systemintegration, aber er lohnt sich.

"Digitale Identitäten" im Gesundheitswesen

Je mehr digitale Interaktionen zunehmen, desto  häufiger entstehen Sicherheitslücken. Hier finden Angreifer neue Wege, um personenbezogene Daten zu missbrauchen, Identitäten zu stehlen oder an wertvolle Daten von Krankenhäusern zu gelangen. Der Risikofaktor, den Verantwortliche im Auge behalten sollten: Zentralisierte Systeme stellen ein attraktives Ziel für Hacker und Cracker dar. Durch die große Anzahl verschiedener Identitäten auch auf kleinen Plattformen ist die Gefahr eines Datenverlustes durch Cyber-Angriffe groß. Das Fehlen strenger Identitätsprüfungsverfahren erhöht das Risiko von Identitätsbetrug und Internetkriminalität. Verlässliche und sichere digitale Identitäten werden daher zur Schlüsseltechnologie für digitale Souveränität und sind das Fundament der Digitalwirtschaft.

Betreiber kritischen Infrastrukturen (KRITIS) sind besonders gefordert. Sie müssen gemäß §8a BSIG nachweisen, dass ihre IT-Sicherheit „auf dem Stand der Technik ist“. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) nimmt Betreiber in die Pflicht, die Informationstechnik dieser kritischen Infrastrukturen bestmöglich abzusichern. Dazu kann Identity- und Access Management einen guten Teil beitragen. Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit müssen bei der Ermittlung des Schutzbedarfs betrachtet werden, um die gesetzlichen Anforderungen zu erfüllen. Vor dem Hintergrund des Wachstums von Cloud- und Mobiltechnologien, durch das sich die Abgrenzung von Unternehmensnetz und Internet zunehmend auflöst, hat sich die Identität als Konstante und zuverlässige Kontrollinstanz zur Absicherung der eigenen digitalen Ressourcen herauskristallisiert.

Die Bundesdruckerei GmbH als Hersteller des Personalausweises und anderer Identitäts- und Berechtigungsnachweise strebt in ihren Entwicklungen nach maximaler Sicherheit dieser digitalen Identitäten. Die Idee der digitalen eGK und des digitalen eHBA lag in 2004 zeitlich nahe der Entwicklung des elektronischen Personalausweises. So ist es nicht verwunderlich, dass man damals auch in der Gesundheit auf sichere Chipkarten gesetzt hat. Heute lösen Smartphones und Tablets als Trägermedium jedoch die Chipkarten ab. Neue Lösungen, wie NFC- und RFID-fähige Karten, werden überholt von virtuellen Karten und digitalen Identitäten in elektronischen Wallets.

Lea Recker, Senior Consultant mit Schwerpunkt eHealth bei D-Trust, dem Vertrauensdiensteanbieter der Bundesdruckerei-Gruppe, und Robert Musick, Senior Innovation Developer mit Schwerpunkt eHealth im Innovations-Bereich der Bundesdruckerei GmbH, gaben einen Einblick in den Status zum Thema „Digitale Identitäten“ im Gesundheitswesen. Offene Ökosysteme sollen Technologien und die Infrastruktur für die sichere Online-Authentifizierung mittels Mobilgeräten bereitstellen. Das Projekt dazu heißt „OPTIMOS 2“. Mithilfe neuer Technologien werden eID-Dienstanbieter in die Lage versetzt, mobile eID-Services mit dem Schutzniveau „substanziell“ und „hoch“ nach der EU-Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen (eIDAS) anzubieten.

Projektakteure sind die Bundesdruckerei GmbH (Konsortialführer), Cantamen GmbH, Freie Universität Berlin, Giesecke+Devrient Mobile Security GmbH, KAPRION Technologies GmbH, NXP Semiconductors Germany GmbH, Technische Universität Dresden, T-Systems International GmbH.

Beim 125. Health IT Talk Berlin Brandenburg nahmen die rund 50 Teilnehmer mit: Fachompetenz kann erst dann bei Dienstleistungen und Technologien für den Schutz digitaler Identitäten, sensibler Daten und IT-Infrastrukturen sorgen, wenn Vertrauen der Nutzer in die digitale Welt vorhanden ist.

 

Health-IT Talk
Branchenprofis tauschen sich im monatlich stattfinden Health-IT-Talk Berlin-Brandenburg verbands- und fachrichtungsübergreifend zur Digitalisierung der Gesundheitswirtschaft aus. Die vier Partner (BVMI, KH-IT, SIBB, TMF) beschäftigen sich mit aktuellen Branchenthemen in Fachvortrag und Diskussion.
www.health-it-talk.de

 

Abb: OPTIMOS – praxisbezogenes Ökosystem sicherer Identitäten für mobile Dienste

 

Foto:

(oben links) Toralf Skeries ist Bereichsleiter IT-System und Sicherheit am ukb. Er hat das IAM-Projekt am ukb initiiert und begleitet es von Beginn an intensiv.

(oben rechts) Stefan Zorn ist Geschäftsführer der imatics Health-IT Consulting GmbH und unterstützt das ukb in diesem Projekt mit seiner technischen und prozessualen Expertise.

(unten rechts) Lea Recker, Senior Consultant mit Schwerpunkt eHealth bei D-TRUST – dem Vertrauensdiensteanbieter der Bundesdruckerei-Gruppe.

(unten links) Robert Musick, Senior Innovation Developer mit Schwerpunkt eHealth im Innovations-Bereich der Bundesdruckerei GmbH.

 

Autor: Wolf-Dietrich Lorenz


Lesen Sie mehr zum Thema "Veranstaltungen"

Digitalisierung der Krankenhaushygiene
Veranstaltungen
Health-IT Talk am 6.12.2021
Digitale Zukunft Gesundheitswesen
Veranstaltungen
Workshop am 3.12.2021

Lesen Sie hier die neuesten Beiträge