Datensicherheit Schutz von elektronischen Patientendaten durch Zugriffsrechte-Management

Das Ökosystem des Gesundheitswesens ist komplex. Die Vielfältigkeit der verschiedenen Fachbereiche und unterschiedlichen Geräte ergibt eine IT-Infrastruktur, die nur schwer zu verwalten ist. Mit der zunehmenden Digitalisierung steigt für Gesundheitseinrichtungen und -organisationen auch das Risiko, Opfer von Viren, Trojanern und anderen Angriffen aus dem Netz zu werden. Ziel sind meist die vertraulichen Daten in den Patientenakten oder die Schädigung der kritischen Infrastruktur an sich.

Angesichts vieler folgenschwerer Datendiebstähle und -verluste in den vergangenen Jahren werden Gesundheitseinrichtungen und -organisationen inzwischen immer stärker in die Pflicht genommen, ihre wachsenden digitalen Netzwerke stabiler zu knüpfen und besser zu überwachen. Die so entstehende Mehrarbeit in Sachen Datensicherheit und Transparenz stellt IT-Abteilungen jedoch vor Herausforderungen.

Um die personenbezogenen Daten zu schützen und die neuen Anforderungen aus Gesetzen und Verordnungen in Zusammenhang mit DSGVO, SOX, BSI, Kritis, ISO 27001 und eHealth zu meistern, ist eine zuverlässige, wie zentrale Verwaltung der Zugriffsrechte nötig. Darüber hinaus helfen automatisierte Reporte und Alarme neue Gesetze und Verordnungen einzuhalten und eine einheitliche Informations- und Datenbasis zu schaffen.

Nachfolgende Empfehlungen können Administratoren in Gesundheitseinrichtungen helfen, mithilfe von kontrollierter Zuweisung von Zugriffsrechten den Überblick in ihren Organisationen zu behalten.

Data Owner benennen

Eine Lösung für eine überschaubarere Verwaltung von Zugriffsrechten ist das Data-Owner-Konzept: Der Administrator delegiert die abteilungsspezifische Vergabe von Datennutzungsrechten an die Abteilungsleitung. So weiß etwa der Data Owner der Personalabteilung, welche Rechte ein neuer Mitarbeiter haben muss – und vor allem, welche nicht. Sensible Daten können leichter identifiziert und klassifiziert werden. Mit Standard-Lösungen und -Betriebssystemen ist ein solches Vorgehen nur schwierig umzusetzen. Ein zentrales Access-Rights-Management-System (ARM) schafft hier die nötige Transparenz und ermöglicht es, die Compliance-Richtlinien besser im Blick zu behalten.

Es ist wichtig, dass Administratoren die Data Owner in der Rechtevergabe schulen. Denn der Know-how-Übertrag und das Bewusstsein für Access Rights Management hilft den Abteilungen und langfristig der ganzen Organisation, ihre Effizienz zu steigern und Prozesse zu optimieren.

Den Mitarbeiterlebenszyklus im Blick haben

Eine unzureichende Verwaltung der Rechte eines Nutzers — von der Neueinstellung bis zum Austritt – birgt immer viele Sicherheitsrisiken und stellt die IT vor große Herausforderungen. Zu den Risiken zählen ungenutzte Konten mit Standardpasswörtern oder Mitarbeiter, die in einen anderen Bereich wechseln, so Zugriffsrechte sammeln und Probleme im Bereich Funktionstrennung oder auf dem sensiblen Gebiet des Zugriffsschutzes verursachen. Auch bieten Nutzerkonten von Mitarbeitern, die eine Einrichtung verlassen haben, aber deren Nutzer-IDs nicht deaktiviert wurden, mögliche Einfallstore für Bots und Hacker. Die wichtigsten Mitarbeiterdaten und Zugriffsrechte in allen Systemen durch Berechtigungsmanagement automatisiert zu synchronisieren, ist entscheidend, um die Datenlage an jeder Schnittstelle des Netzwerks zu vereinheitlichen.

Templates für die Automatisierung nutzen

Oft stellt sich heraus, dass sich Anforderungen unterschiedlicher Mitarbeiter decken. Diese Erkenntnis lässt sich nutzen, um unter Berücksichtigung des Prinzips „Kleinster gemeinsamer Nenner” Templates für Rechtevergabe und Datennutzung zu erstellen. Das spart wertvolle Zeit bei der Einbindung neuer Mitarbeiter. Ändern sich mit der Zeit Position oder Aufgaben, kann der Administrator beziehungsweise der Data Owner neue Rechte vergeben oder alte entziehen. Dadurch lassen sich Fehlerquoten senken, die sich etwa beim händischen Löschen von Accounts ehemaliger Mitarbeiter ergeben können – wie vorhin erwähnt, potentiell attraktiv für Bots und Hacker.

Für mehr Transparenz sorgen

Werden die Zugriffsrechte anschaulich dargestellt und standardisierte Arbeitsschritte für Nachweise, Analysen und Prüfungen vollständig dokumentiert, lassen sich Auffälligkeiten einfach analysieren, kontrollieren und beheben. Die Vorteile einer schnellen Handhabung, verringerter Arbeitslast und Zeitersparnis helfen nicht nur der IT-Abteilung, sondern auch den anderen Abteilungen.

Auf Cyberangriffe schnell reagieren

Die Cybersicherheitslandschaft verändert sich ständig, aber eines ist in den letzten Jahren konstant geblieben: die stetig wachsende Zahl von Insider-Bedrohungen. Die jüngste Cybersicherheitsstudie von SolarWinds hat ergeben, dass interne Benutzerfehler in den letzten 12 Monaten mit 80 Prozent den weitaus größten Anteil an Cybersicherheits-Vorfällen in Deutschland ausgemacht haben. Beispielsweise indem Mitarbeiter versehentlich Trojaner einschleusen oder absichtlich Daten stehlen.

Im Falle eines Cyberangriffs sind Kliniken und Krankenhäuser als Betreiber kritische Infrastrukturen (KRITIS) auskunftspflichtig. Innerhalb von 72 Stunden müssen sie beweisen, dass sie ihr Möglichstes getan haben, um einer Attacke vorzubeugen. Mithilfe eines Rechtemanagement-Systems lassen sich mit wenigen Klicks Protokolle über Zugriffsrechte und Berichte erstellen, mit denen die unternommenen Maßnahmen, aber auch die Unschuld der eignen Mitarbeiter nachgewiesen werden kann.

Die Anforderungen sind gestiegen — sie sind aber keine Schikane: Unzureichendes Zugriffsmanagement kann Organisationen im Gesundheitsbereich enormen Schaden zufügen. Insbesondere da die eigenen Mitarbeiter der höchste Risikofaktor für die IT-Sicherheit sind, sollten Gesundheitseinrichtungen und -organisationen nicht nur wegen der Gesetze ein stringentes und effektives Berechtigungsmanagement betreiben, sondern weil es sinnvoll ist und ihnen hilft, besser zu arbeiten.

*Der Autor: Sascha Giese, Head Geek bei SolarWinds

(ID:46457994)