Gerade in Krankenhäusern sind die Datenschutzvorschriften besonders strikt: Welche Mitarbeiter welche Patienteninformationen einsehen und bearbeiten, muss laufend überwacht und lückenlos dokumentiert werden. Das Evangelische Krankenhaus Königin Elisabeth Herzberge (KEH) in Berlin löst diese Aufgabe mit einem speziellen GRC-Regelwerk, das T-Systems in einem Pilotprojekt für die Branchenlösung SAP IS-H (Industry Solution Hospital) entwickelt hat.

Um die persönlichen Daten der Patienten in Krankenhäusern zu schützen, ist der Zugriff auf ausgewählte Organisationseinheiten und Funktionen beschränkt. Wer mit SAP IS-H in der Aufnahme arbeitet, darf beispielsweise keine Patientendaten einsehen, die nähere Rückschlüsse auf bestehende Erkrankungen zulassen.

Bessere Kontrolle angestrebt
Zur Verbesserung des Datenschutzes führte das Evangelische Krankenhaus Königin Elisabeth Herzberge (KEH) in Berlin das Modul SAP BusinessObjects Access Control als Bestandteil der SAP-Lösungen für Governance, Risk & Compliance (GRC) ein. „Wir hatten das Ziel, die Berechtigungen und Zugriffe unserer Anwender, Profile und Rollen in SAP und Fremdsystemen einfacher darstellen und kontrollieren zu können", begründet Ralf Korzendorfer, Leiter Informationstechnik des KEH, die Implementierung. Darüber hinaus sollten die Anforderungen und Regelungen zum Deutschen Corporate Governance Kodex erfüllt und ein transparentes internes Kontrollsystem im Krankenhaus unterstützt werden. SAP BusinessObjects Access Control bietet dem KEH die Möglichkeit, qualifizierte Aussagen über die Wirksamkeit seines internen Kontrollsystems zu treffen, wie sie beispielsweise die Wirtschaftsprüfer verlangen.

Die Lösung lässt sich problemlos an vorhandene SAP-Systeme koppeln und erlaubt ebenfalls die Anbindung von Systemen anderer Hersteller. So lassen sich mögliche Funktionstrennungskonflikte auch systemübergreifend identifizieren.

Zur Prüfung der vorhandenen Berechtigungen stellt SAP BusinessObjects Access Control ein umfassendes Regelwerk bereit, welches Funktionstrennungskonflikte und kritische Berechtigungen sowie die entsprechenden Risiken enthält. Auf Basis dieses Regelwerkes werden die vorhandenen Nutzer, Rollen und Profile mitsamt ihren Berechtigungen einer Risikoanalyse unterzogen. Ergibt eine Analyse, dass ein Anwender unbefugt auf bestimmte Daten zugreifen könnte, werden von SAP BusinessObjects Access Control die möglichen Zugriffskonflikte angezeigt. Dies gilt sowohl für die initiale Prüfung von Nutzern als auch im Falle späterer Änderungen an den individuellen Berechtigungsprofilen. Braucht ein Anwender eine zusätzliche Zugriffsberechtigung, prüft der Systemadministrator mithilfe von SAP BusinessObjects Access Control, ob diese neue Berechtigung mit den bereits vorhandenen zu Konflikten führt.

T-Systems schließt Lücke für Krankenhäuser
Während SAP für Industrieunternehmen die entsprechenden Regelwerke als Standard ausliefert, gab es bisher noch keine Vorlagen speziell für Krankenhäuser. T-Systems hat diese Lücke geschlossen und in einem Pilotprojekt ein Regelwerk für die Berechtigungen in SAP IS-H entwickelt, das auf den Einsatz in Krankenhäusern mittlerer Größe zugeschnitten ist. Dazu stellte T-Systems die Vorgaben für kritische Berechtigungen und Funktionstrennungskonflikte in SAP IS-H zusammen und spielte dieses Regelwerk in SAP BusinessObjects Access Control ein. T-Systems betreut das KEH seit der gemeinsamen SAP R/3-Einführung 1999. Darüber hinaus wurde der SAP-Komplettdienstleister dem KEH von SAP als Projektpartner für die Einführung von SAP BusinessObjects Access Control empfohlen. SAP und T-Systems verbinden langjährige Partnerschaften, gerade auch im Bereich SAP Governance, Risk und Compliance.

Die Einführung erfolgte beim KEH in mehreren Phasen, angefangen bei der Hardware-Beschaffung und Installation der neuen SAP BusinessObjects GRC-Lösung über Erstellung und Anpassung des Regelwerks nach den Vorgaben der Fachverantwortlichen in Finanz- und Rechnungswesen, IS-H usw. bis hin zu Schulungen und gemeinsamen Tests. Darüber hinaus wurde die spätere Anbindung eines Fremdsystems vorbereitet.

Derzeit überarbeitet das KEH mit dem erweiterten Regelwerk von SAP BusinessObjects Access Control die bestehenden Berechtigungen und Zugriffe in SAP IS-H und den anderen Modulen und führt über das gesamte System hinweg Risikoanalysen durch. „Die neue Lösung bietet uns den Vorteil, dass wir kritische Berechtigungen und Funktionstrennungskonflikte sehr viel schneller, einfacher und umfassender identifizieren und bereinigen können, auch bereits bei der Anlage neuer Zugriffsrechte", unterstreicht Ralf Korzendorfer. Mit SAP BusinessObjects Access Control ist es möglich, für vorhandene und neu eingerichtete Berechtigungen in SAP zeitnahe Berichte über bestehende Risiken zu erstellen.

Durch SAP BusinessObjects Access Control ist die Kontroll- und Überprüfungspflicht, die das KEH wie jedes andere Krankenhaus im Umgang mit sensiblen Patientendaten hat, deutlich einfacher. Das KEH sieht sich so auch in Zukunft gewappnet, den steigenden gesetzlichen und regulatorischen Anforderungen zu genügen.

GRC-Outsourcing ab 2011 verfügbar
Aus den Erfahrungen des Pilotprojektes hat T-Systems gemeinsam mit SAP ein SAP GRC-Outsourcing-Modell entwickelt, das ab 2011 angeboten werden soll. „Im Unterschied zum Pilotprojekt im KEH Berlin wird T-Systems dann eine zentrale GRC-Plattform in den eigenen Rechenzentren bereitstellen, auf die Kunden ohne eigene Installation remote zugreifen können", schildert André Bennewitz, Servicemanager bei T-Systems, die Vorzüge des neuen Outsourcing-Modells. „Damit wird der Einsatz der SAP GRC-Lösung zur Risikoanalyse und -überwachung für mittelständische Krankenhäuser nochmals deutlich attraktiver."

T-Systems und SAP: enge Partnerschaft für GRC
Um die SAP-Kunden noch besser bei GRC-Projekten beraten und unterstützen zu können, wurde T-Systems von SAP in die neu aufgelegte „Collaborative Business Initiative" (CBI) im Bereich „Governance, Risk & Compliance" aufgenommen. SAP Deutschland rief die CBI ins Leben, um definierte Wachstumsthemen gemeinsam mit ausgewählten Partnern am Markt zu positionieren. Abgestimmte Lösungskonzepte sollen die Kunden gezielt bei der Bewältigung der aktuellen Herausforderungen unterstützen. Dazu arbeiten die Partner und SAP während des gesamten Vertriebs- und Produktzyklus eng zusammen. Zu Beginn vereinbarte Ziele werden regelmäßig auf ihre Einhaltung überprüft.

Die Systemintegratoren von T-Systems stellten die für die CBI im Bereich GRC erforderliche Produkt-, Projekt- und Branchenexpertise im Rahmen eines umfassenden SAP-Auswahlverfahrens unter Beweis. Ausschlaggebend war ein Kriterienkatalog, der die spezifischen Kundenanforderungen im GRC-Bereich formulierte.