Datenschutz & Datensicherheit
Eine Zwei-Faktor-Authentifizierung gilt als effektives Verfahren, den Zugang zur Krankenhaus-IT zu schützen. Oft kommt dabei eine kommerzielle Software zum Einsatz, die nicht selten mit weniger Kontrolle und höheren Gesamtkosten einhergeht. Manchmal droht zudem der Super-Gau, dass die Software plötzlich nicht mehr unterstützt wird. Das Klinikum Hanau nahm so einen Fall zum Anlass, künftig auf die quelloffene 2-Faktor-Authentifizierungslösung zu setzen.
Um den Zugang zu kritischen Informationen wie Patienten- und Mitarbeiterdaten zu schützen, gilt die Authentifizierung mit zwei Faktoren als eine der effektivsten und am schwersten zu hackenden Verfahren. Deren wichtigstes Merkmal ist die Anmeldung eines Users durch zwei voneinander unabhängige Komponenten für einen zweifelsfreien Identitätsnachweis, z.B. durch ein Passwort in Verbindung mit einem externen Token (Schlüssel), der einen zufälligen Code generiert.
Das Klinikum Hanau nutzte in den vergangenen Jahren eine lizenzierte – sogenannte proprietäre – Authentifizierungslösung eines kommerziellen Herstellers. Dieser entschied sich anfang dieses Jahres, den Support für die Software einzustellen. In der Folge wurden keine Updates mehr entwickelt und die Software wurde langfristig unbrauchbar. Durch den geschützten Code hatte die IT-Abteilung zudem keine Möglichkeit, die Software selbst weiterzuentwickeln oder anzupassen. Darüber hinaus wurde vom Hersteller die Ausgabe weiterer Tokens eingestellt. Neue Benutzer konnten nicht mehr in das bestehende System aufgenommen werden. Der Zwei-Faktor-Authentifizierung des Klinikums fehlte plötzlich der zweite Faktor.
Beim Umstieg bestanden im wesentlichen zwei Hauptanforderungen: Ein unterbrechungsfreier Übergang sowie die Möglichkeit, künftig flexibel neue Authentifizierungstoken hinzufügen zu können. Bei der Suche nach einer passenden Lösung fiel die Wahl des Klinikums Hanau auf die 2-Faktor-Authentifizierung von privacyIDEA, deren Abrechnungsmodell keine Lizenzierung jedes einzelnen Users vorsieht, sondern ein gestaffeltes Service Level Agreement, bei dem der Preis nicht sofort mit jedem neuen User ansteigt.
Durch die sogenannte „sanfte Migration” der Netknights GmbH, die die quelloffene Lösung entwickelte, kann das Backend, in dem die Authentifizierungsanfragen bearbeitet werden, in wenigen Minuten ausgetauscht und angepasst werden, ohne dass die User irgendetwas davon bemerken. Außerdem erhalten nur jene Nutzer neue Token, die nach dem Wechsel auf das neue System hinzukommen. Alte Schlüssel bleiben weiter aktiv, was zusätzliche Kosten spart. Wer ein neues Authentifizierungsgerät in Betrieb nimmt, muss sich nur noch mit dem neuen Gerät anmelden – ohne weitere notwendige Schritte und mit minimalem Aufwand.
„Mit dem Wechsel zu einer Open-Source-basierten Lösung haben wir nachhaltig einen Vendor-Lock-In vermieden. Das verständliche Support-Modell der NetKnights GmbH ermöglicht uns außerdem eine langfristige Planungssicherheit“, resümiert Hüseyin Gökceoglu, als IT-Leiter hauptverantwortlich für die Umsetzung des Projektes.
Mit privacyIDEA lässt – zusammengefasst – sich eine ansonsten langwierige und arbeitsintensive Umstellung auf ein neues System maximal vereinfachen. Und die IT-Sicherheit langfristig in die eigenen Hände nehmen.