Ein durchgängiges Identity-Management reduziert nicht nur die Kosten im IT-Support, sondern schützt auch sensible Informationen. Die IT-Landschaft eines Krankenhauses besteht aus einer Vielzahl von Desktop-Computern und Serversystemen. Dem gegenüber stehen ebenfalls viele Mitarbeiter, die diese Technologien nutzen. Sie haben über diese Systeme zum Teil Zugriff auf äußerst sensible Daten, die nicht in die Hände von Unbefugten gelangen dürfen.

Eine Nutzerverwaltung regelt daher in den Kliniken, welche Mitarbeiter mit welchen Systemen arbeiten und welche Informationen sie dabei einsehen dürfen. Doch dies ist oft mit viel Aufwand verbunden. Die IT-Verantwortlichen müssen die Anwenderrechte häufig an vielen verschiedenen Applikationen quasi von Hand neu vergeben beziehungsweise löschen, wenn ein Mitarbeiter z.B. das Unternehmen verlässt oder die Abteilung wechselt. Und gerade in Krankenhäusern geschieht Letzteres recht häufig - etwa wenn Assistenzärzte verschiedene Stationen durchlaufen.

Dass organisatorische Änderungen in den vielen verschiedenen Systemen jeweils einzeln abgebildet werden müssen, kostet aber nicht nur Zeit und somit Geld. Es besteht auch die Gefahr, dass die notwendigen Anpassungen nicht an allen Systemen durchgeführt werden. Ehemalige Mitarbeiter können sich dann nach ihrem Ausscheiden aus dem Unternehmen trotzdem noch mit ihrem alten Passwort in die eine oder andere Anwendung einloggen. Die Sicherheit der Prozesse, die besonders im Krankenhausumfeld eine wichtige Rolle spielt, ist nicht mehr gewährleistet.

Änderungen lassen sich nachverfolgen

IT-Anbieter haben sich daher darauf fokussiert, Lösungen für das Identity-Management zur Verfügung zu stellen, die prozessorientiert arbeiten und die Nutzerverwaltung vereinheitlichen. Das heißt: Die Abläufe für die Vergabe der Anwenderrechte werden vollständig abgebildet - von der Beantragung bis zur technischen Einrichtung im System. Diese Prozesse werden über intelligente Workflows gesteuert. Dafür stehen den IT-Verantwortlichen Vorlagen zur Verfügung.

Die relevanten Systeme, um die es bei der Vergabe der Zugriffsrechte geht, sind außerdem an die Identity-Management-Lösung angebunden. So müssen Änderungen nicht an jedem System einzeln vorgenommen werden. Aktualisierungen lassen sich stattdessen automatisch in jede Anwendung übernehmen.

Solche Lösungen bieten in der Regel auch die Möglichkeit, die Änderungen zu dokumentieren. Schließlich müssen Kliniken strenge regulatorische Vorgaben erfüllen. Dank einer entsprechenden Funktion lässt sich - etwa im Zuge eines Rechtsfalls - nachvollziehen, welcher Mitarbeiter zu welchem Zeitpunkt welche Berechtigungen besaß.

Schnittstelle zu Stammdaten mindert Verwechslungsgefahr

Mit solchen Dokumentationsmöglichkeiten sowie einer systemübergreifenden Nutzerverwaltung arbeitet z.B. das Kantonsspital Baden im Schweizer Kanton Aargau. Bei einem Abteilungswechsel können dort die Nutzer innerhalb der Identity-Management-Lösung einfach verschoben werden. Wenn die Mitarbeiter im IT-Support die neue Abteilung auswählen, werden ihnen bereits die dafür bestimmten Grundeinstellungen angezeigt. Sie können die Einstellungen dann einfach übernehmen und auf dieser Basis den neuen Nutzer-Account anlegen. Ein Abteilungswechsel ist damit laut Klinikangaben innerhalb von Sekunden IT-seitig vollzogen.

Das Schweizer Spital hat seine Lösung für das Identity-Management auch mit seiner Personal-Software verknüpft. Über eine Schnittstelle können alle Stammdaten in die Nutzerverwaltung übernommen werden. Damit wollen die Verantwortlichen u.a. vermeiden, dass es zu Verwechslungen kommt, weil z. B. Namen falsch geschrieben werden. Die Konsistenz der Mitarbeiterdaten soll damit sichergestellt werden.

Auch das Klinikum Landshut vergibt Zugriffsrechte auf eine automatisierte Weise. Das Krankenhaus hat die wichtigsten IT-Systeme an eine zentrale Nutzerverwaltung angebunden. Dazu zählen u.a. das Krankenhausinformationssystem, die Personalmanagementlösung, die Arbeitszeiterfassung, Internet- und Intranetzugang sowie Microsofts Verzeichnisdienst Active Directory. Die Rechte werden auf Basis von Rollen und Benutzergruppen verteilt. Ergebnis: Laut IT-Management-Leiter Elmar Kaiser konnten die Administratoren deutlich entlastet und die Sicherheit gleichzeitig erhöht werden.

Die Arbeit der IT-Abteilung hat auch ein zentrales Passwortmanagement erleichtert, das Teil der Lösung ist. Unter anderem unterstützt ein sog. Challenge-Response-Verfahren das Zurücksetzen vergessener Passwörter. Ein Nutzer kann dank dieser Methode ein neues Passwort anfordern und es nach Erhalt selbstständig eintragen.

Funktionen zur Selbsthilfe entlasten die IT-Abteilung

Funktionen, mit denen sich Anwender bei Passwort-Problemen selbst helfen können, sorgen nicht nur für Entlastung der IT-Experten, sondern sparen auch Geld. „Erfahrungen aus der Wirtschaft zeigen, dass sich beispielsweise durch sog. Password Self-Reset - also die Möglichkeit, ein vergessenes oder verlorenes Passwort durch die Beantwortung von persönlichen Geheimfragen selbst wieder einzurichten - bis zu 70% der Kosten im IT-Support eliminieren lassen", meint Tim Cole, Mitgründer des auf Identity-Management spezialisierten Analystenhauses KuppingerCole.

Das Passwortmanagement im Klinikum Landshut nutzt auch SSO-Technologie (Single Sign On). Mitarbeiter benötigen also nicht für jede Applikationen jeweils eine neue Kombination aus Benutzernamen und Passwort. Stattdessen melden sie sich einmal im System an und haben dann Zugang zu allen eingebunden Anwendungen.

Nach Meinung von Experten wie Barry Runyon ist SSO ein wichtiger Bestandteil einer Strategie für das Identity-Management. Runyon ist Analyst beim Marktforschungsunternehmen Gartner. Er hebt hervor, dass eine entsprechende Funktion den Zugriff auf IT-Anwendungen vereinfacht und ebenfalls die Zahl der Support-Anrufe reduziert. Mittlerweile sei SSO sehr ausgereift. „Es gibt viele Hersteller mit verlässlichen Lösungen zu annehmbaren Preisen", so Runyon.

Er empfiehlt Unternehmen aus dem Gesundheitswesen, bei der Auswahl eines Anbieters von Identity-Management auf dessen Branchenerfahrung zu achten. „Sie sollten sich gut mit den entsprechenden Prozessen auskennen und mit anderen etablierten IT-Anbietern aus dem Klinikumfeld kooperieren."