Sichere Logins fürs Gesundheitswesen

Schweiz

Veröffentlicht 03.09.2021 10:50, Dagmar Finlayson

Elektronische Patientendossiers und Covid-Apps stellen das Gesundheitswesen vor neue Herausforderungen in puncto Datensicherheit. Wie sie zu bewältigen sind, zeigt die Zusammenarbeit der Health Info Net AG (HIN), die in diesen Projekten den Part des elektronischen Identitätsproviders übernimmt, und des CIAM-Spezialisten Nevis.

Das Gesundheitswesen stellt besondere Sicherheitsanforderungen hinsichtlich der Zugriffsrechte auf vertrauliche Patientendaten – das gilt insbesondere für das elektronische Patientendossier, das in der Schweiz im Laufe des Jahres 2021 schrittweise eingeführt werden soll. Es enthält gesundheitsrelevante Patientendaten, die sowohl von Patienten als auch Ärzten eingesehen werden können. Ebenso hohe Sicherheitsstandards müssen aktuell auch im Rahmen diagnostischer Tests auf Covid-19-Infektionen und deren Anbindung an die SwissCovid App erfüllt werden. Abgesichert wird der Zugriff auf diese hochsensiblen Daten vom Schweizer Identitätsanbieter HIN, der dafür persönliche Identitäten bereitstellt, in Zusammenarbeit mit der auf Customer Identity- und Access Management spezialisierten Nevis Security AG. Aufbau und Funktionsweise des sicheren Login-Systems sollen im Folgenden dargelegt werden.

Im Schweizer Gesundheitswesen zählt HIN zum Standard für sichere Kommunikation und übernimmt unter anderem die Rolle eines elektronischen Identitätsproviders (IDP) für Gesundheitsfachpersonen und -einrichtungen. Als solcher vergibt HIN zertifizierte elektronische Identitäten, mit denen Beschäftigte im Gesundheitswesen sich in für sie beruflich relevante Applikationen wie Zuweiserportale oder das EPD einloggen können. Neben niedergelassenen Ärzten zählen auch Spitäler, Einrichtungen der ambulanten Pflege (Spitex), Pflegeheime, Apotheken, kantonale und kommunale Stellen sowie Krankenkassen zum Kundenstamm.

Teil der HIN Community werden diese Einrichtungen, indem sie sich für ein Anschlussprodukt von HIN entscheiden. Zusammen mit diesem erhalten sie eine oder mehrere HIN Identitäten. Der HIN Anschluss ermöglicht ihnen die Nutzung von HIN Services für die sichere Kommunikation und Zusammenarbeit innerhalb der Community sowie den sicheren Zugriff auf Webapplikationen.

Sicherer Zugriff auf Webapplikationen

Die weite Verbreitung der HIN Identität im Gesundheitswesen macht es für Anbieter von Webapplikationen attraktiv, diese an die HIN Plattform mittels Access Control Service (ACS) oder Federation Service (FS) anzuschließen. Dies ermöglicht es HIN Teilnehmern, mit ihrer HIN Identität per Single Sign-on sicher auf diese zuzugreifen. So kann beispielsweise ein Krankenhaus beantragen, die HIN Identität als Authentifizierungsmittel für ihr Zuweiserportal zu nutzen. Neben beliebigen externen Applikationen bietet HIN auch eine Reihe eigens entwickelter Services an, etwa die automatische Verschlüsselung von E-Mails.

So funktioniert die Authentisierung

Wenn sich Mitarbeiterinnen und Mitarbeiter im Gesundheitswesen für die Nutzung der HIN-Services registrieren lassen, überprüft HIN zunächst die Angaben zur Person anhand von Ausweisdokumenten und durch Abgleich mit offiziellen Listen wie dem Schweizer Medizinalregister. Daraufhin kann HIN eine Identität ausstellen. Als Besonderheit unter den Identitätsprovidern ist diese Identität mit den gesundheitsspezifischen Attributen versehen, die für die Berufsausübung relevant sind. Nach erfolgreicher Prüfung erhalten die Antragssteller ein sogenanntes Authentisierungsmittel, mit dem sie sich zukünftig bei den an HIN angebundenen Applikationen authentisieren können.

Dabei ist zum einen ein „klassisches“ und von anderen Identitätsprovidern bekanntes Authentisierungsmittel im Einsatz: Benutzername und Passwort, ergänzt um einen zweiten Faktor. Als Zweitfaktoren dienen zum einen SMS, zum zweiten die HIN Authenticator App, die einen Freigabe-Mechanismus sowie die Generierung von Einmalpasswörter unterstützt, oder ein Hardware Token. Das Benutzername/Passwort-Verfahren wird von HIN zwar unterstützt, ist allerdings nur eine alternative Form der Authentisierung neben den beiden Hauptverfahren.

Sensible Daten sicher schützen

Die beschriebenen Authentisierungs-Verfahren kommen unter anderem beim elektronischen Patientendossier zum Einsatz, das Ende 2020 in der Schweiz an den Start geht. Darin können Ärzte und andere Gesundheitsfachpersonen Dokumente zum jeweiligen Patienten ablegen. Für beide Seiten soll das den Zugriff auf die Gesundheitsdaten erleichtern; insbesondere für Patienten wird so auch transparenter, was der Arzt über ihn weiß. HIN stellt zum einen sicher, dass die Anforderungen an die Identifikation und Authentisierung zugriffsberechtigter Personen erfüllt sind. Zum zweiten wurde das Unternehmen als erster Identitätsprovider (IDP) für das elektronische Patientendossier zugelassen.

Sichere Authentifizierung mit Nevis

Für das Identity and Access Management (IAM), also die Prüfung der Berechtigungen eines Users, setzt HIN auf Lösungen der Nevis AG. Die Zusammenarbeit beider Unternehmen begann Ende 2013, als HIN auf der Suche nach einer neuen Softwarebasis für das IAM war. Diese Ausschreibung konnte Nevis, damals noch unter dem Dach der Muttergesellschaft AdNovum Informatik AG, gegen mehrere Mitbewerber für sich entscheiden. Ausschlaggebend war, dass Nevis aufzeigen konnte, dass Probleme mit der bisherigen Lösung bei einem Wechsel zu Nevis nicht mehr auftreten würden. Dies betraf insbesondere die Flexibilität im Zusammenhang mit neu einzuführenden Authentisierungsverfahren.

Heute werden sämtliche von HIN angebotenen Applikationen durch das IAM von Nevis geschützt. Hierbei erfolgt ein automatisierter Abgleich von Daten aus dem ERP-System mit dem Identity Management, in dem User erzeugt und Rollen zugewiesen werden. Je nachdem, welche Applikationen der jeweilige User über HIN bezogen hat, werden ihm im Identity Management verschiedene Berechtigungen zugewiesen. Dieser Abgleich zwischen ERP und IAM erfolgt in Echtzeit.

Quelle Text/Bilder: Health Info Net AG (HIN) /Nevis


Lesen Sie mehr zum Thema "Digitalisierung"

Induktions-Tomografie – neue Möglichkeiten für Medizin und Sicherheit
Digitalisierung
Fokus Forschung HAW-Kooperation

Lesen Sie hier die neuesten Beiträge

Wearables – eine komplexe Technologie
IT-Management
Wearables