Seit vielen Jahren ist die Situation in den deutschen Kliniken bekannt: Anspruch und Wirklichkeit bei Datenschutz und Datensicherheit klaffen bei dem überwiegenden Teil der Krankenhäuser weit auseinander. Durch die DSGVO und KRITIS ist dieses Thema wieder in den Fokus gerückt. Nicht zuletzt durch die Digitalisierung in den einzelnen Bereichen gibt es zunehmend auch organisatorische Zwänge, das Thema Identity- und Access-Management (IAM) zu projektieren und häufig mehr oder weniger neu aufzusetzen.
Ein Beispiel eines solchen “Zwanges” ist die Einführung eines Pflegemanagementsystems/ePA. Im Zuge des Aufbaus eines solchen Systems muss zwingend durch eine Form einer digitalen Unterschrift nachgewiesen werden können, wer wann was gemacht hat. Wo bislang noch die allseits bekannten unspezifischen Stationsaccounts genutzt wurden sind nun Einzelaccounts für jede an der Pflege beteiligte Person notwendig.
Eine solche Änderung kann natürlich nicht singulär betrachtet werden, sondern muss im Rahmen eines unternehmensweiten, neu zu entwickelnden bzw. angepassten Berechtigungskonzeptes betrachtet werden. Es stellen sich dabei beispielsweise Fragen, wie: Welche IT-Systeme sind von einer solchen Veränderung betroffen (und welche lizenztechnischen Folgen hat das für die Klinik)? Wie aktuell, zukunftsfähig und flexibel ist mein derzeitiges Rollenkonzept. Wie kann ich Rollen in unterschiedlichen IT-Systemen konsolidieren und wo muss ich systemspezifische Einschränkungen machen? Und last but not least: Wie kann ich meine IT-Strategie mit der Unternehmensorganisation harmonisieren?
Dieses vielschichtige Thema erfordert eine Vision, eine klare Strategie und eine Planung mit realistischen Meilensteinen. Wichtige Eckpfeiler dabei sind etwa ein “aufgeräumtes” zentrales Directory und die größtmögliche Vereinheitlichung der Rollen in den zentralen IT-Systemen. In den Kliniken gibt es bekanntermaßen auch gerne mehrere hundert Anwendungen, die perspektivisch zentral verwaltet werden sollen. Hierzu sollte über Verwaltungssysteme nachgedacht werden, die ein Single Sign On ermöglichen und somit den Zugang zu den diversen IT-Systemen für den Anwender vereinfachen (und den Support entlasten). Die Form der Authentisierung ist der nächste Punkt in diesem Kontext: Wie können sich die Anwender an den IT-Systemen anmelden? Wie bewertet man in welchem Umfeld den Spagat zwischen komfortablem Zugang und Sicherheit?
Die oben genannte Vision hört dann aber noch lange nicht auf: Eine zentrale Stelle sollte perspektivisch für alle Mitarbeiterbewegungen verantwortlich sein – und jede Änderung sollte sich voll- oder halbautomatisch in den jeweiligen IT-Systemen widerspiegeln. Keine Geister-User, kein Risiko durch vergessene Accounts von ausgeschiedenen Mitarbeitern: Eine schöne Welt für IT und QS!
In diesem Beitrag werden Stefan Zorn, Geschäftsführer der imatics Software GmbH und Leiter des Projektes Identity- und Access-Management in den Ruppiner Kliniken sowie Norman Lüttgerding, IT-Leiter der Ruppiner Kliniken, über ihre Erfahrungen bei der Einführung von IAM in den Ruppiner Kliniken berichten.
Referenten: Norman Lüttgerding, Stefan Zorn
Foliensatz: IAM HITT 04-2019