Gerade in Krankenhäusern sind die Datenschutzvorschriften besonders strikt: Welche Mitarbeiter welche Patienteninformationen einsehen und bearbeiten, muss laufend überwacht und lückenlos dokumentiert werden. Das Evangelische Krankenhaus Königin Elisabeth Herzberge (KEH) in Berlin löst diese Aufgabe mit einem speziellen GRC-Regelwerk, das T-Systems in einem Pilotprojekt für die Branchenlösung SAP IS-H (Industry Solution Hospital) entwickelt hat.

Um die persönlichen Daten der Patienten in Krankenhäusern zu schützen, ist der Zugriff auf ausgewählte Organisationseinheiten und Funktionen beschränkt. Wer mit SAP IS-H in der Aufnahme arbeitet, darf beispielsweise keine Patientendaten einsehen, die nähere Rückschlüsse auf bestehende Erkrankungen zulassen.

Bessere Kontrolle angestrebt
Zur Verbesserung des Datenschutzes führte das Evangelische Krankenhaus Königin Elisabeth Herzberge (KEH) in Berlin das Modul SAP BusinessObjects Access Control als Bestandteil der SAP-Lösungen für Governance, Risk & Compliance (GRC) ein. „Wir hatten das Ziel, die Berechtigungen und Zugriffe unserer Anwender, Profile und Rollen in SAP und Fremdsystemen einfacher darstellen und kontrollieren zu können", begründet Ralf Korzendorfer, Leiter Informationstechnik des KEH, die Implementierung. Darüber hinaus sollten die Anforderungen und Regelungen zum Deutschen Corporate Governance Kodex erfüllt und ein transparentes internes Kontrollsystem im Krankenhaus unterstützt werden. SAP BusinessObjects Access Control bietet dem KEH die Möglichkeit, qualifizierte Aussagen über die Wirksamkeit seines internen Kontrollsystems zu treffen, wie sie beispielsweise die Wirtschaftsprüfer verlangen.

Die Lösung lässt sich problemlos an vorhandene SAP-Systeme koppeln und erlaubt ebenfalls die Anbindung von Systemen anderer Hersteller. So lassen sich mögliche Funktionstrennungskonflikte auch systemübergreifend identifizieren.

Zur Prüfung der vorhandenen Berechtigungen stellt SAP BusinessObjects Access Control ein umfassendes Regelwerk bereit, welches Funktionstrennungskonflikte und kritische Berechtigungen sowie die entsprechenden Risiken enthält. Auf Basis dieses Regelwerkes werden die vorhandenen Nutzer, Rollen und Profile mitsamt ihren Berechtigungen einer Risikoanalyse unterzogen.

Ergibt eine Analyse, dass ein Anwender unbefugt auf bestimmte Daten zugreifen könnte, werden von SAP BusinessObjects Access Control die möglichen Zugriffskonflikte angezeigt. Dies gilt sowohl für die initiale Prüfung von Nutzern als auch im Falle späterer Änderungen an den individuellen Berechtigungsprofilen. Braucht ein Anwender eine zusätzliche Zugriffsberechtigung, prüft der Systemadministrator mithilfe von SAP BusinessObjects Access Control, ob diese neue Berechtigung mit den bereits vorhandenen zu Konflikten führt.

T-Systems schließt Lücke für Krankenhäuser
Während SAP für Industrieunternehmen die entsprechenden Regelwerke als Standard ausliefert, gab es bisher noch keine Vorlagen speziell für Krankenhäuser. T-Systems hat diese Lücke geschlossen und in einem Pilotprojekt ein Regelwerk für die Berechtigungen in SAP IS-H entwickelt, das auf den Einsatz in Krankenhäusern mittlerer Größe zugeschnitten ist. Dazu stellte T-Systems die Vorgaben für kritische Berechtigungen und Funktionstrennungskonflikte in SAP IS-H zusammen und spielte dieses Regelwerk in SAP BusinessObjects Access Control ein. T-Systems betreut das KEH seit der gemeinsamen SAP R/3-Einführung 1999. Darüber hinaus wurde der SAP-Komplettdienstleister dem KEH von SAP als Projektpartner für die Einführung von SAP BusinessObjects Access Control empfohlen. SAP und T-Systems verbinden langjährige Partnerschaften, gerade auch im Bereich SAP Governance, Risk und Compliance.

Die Einführung erfolgte beim KEH in mehreren Phasen, angefangen bei der Hardware-Beschaffung und Installation der neuen SAP BusinessObjects GRC-Lösung über Erstellung und Anpassung des Regelwerks nach den Vorgaben der Fachverantwortlichen in Finanz- und Rechnungswesen, IS-H usw. bis hin zu Schulungen und gemeinsamen Tests. Darüber hinaus wurde die spätere Anbindung eines Fremdsystems vorbereitet.

Derzeit überarbeitet das KEH mit dem erweiterten Regelwerk von SAP BusinessObjects Access Control die bestehenden Berechtigungen und Zugriffe in SAP IS-H und den anderen Modulen und führt über das gesamte System hinweg Risikoanalysen durch. „Die neue Lösung bietet uns den Vorteil, dass wir kritische Berechtigungen und Funktionstrennungskonflikte sehr viel schneller, einfacher und umfassender identifizieren und bereinigen können, auch bereits bei der Anlage neuer Zugriffsrechte", unterstreicht Ralf Korzendorfer. Mit SAP BusinessObjects Access Control ist es möglich, für vorhandene und neu eingerichtete Berechtigungen in SAP zeitnahe Berichte über bestehende Risiken zu erstellen.