Unter diesem Titel findet sich auf heise.de [Externer Link] ein lesenswerter, kurzer Artikel – besser noch Plädoyer – zur Aktivierung der Zwei-Faktor-Authentifizierung (2FA). Unbestreitbar ist der Sicherheitsgewinn durch 2FA, in der klinischen Praxis haben sich viele IT-Abteilung aber aus einem profaneren Grund von der Verordnung zur zwangsweisen Passworterneuerung verabschiedet: Ist diese Regel in den Passwortrichtlinien aktiviert, kommt es zu einer deutlich höheren Auslastung der IT-Hotline aufgrund von Passwort-Vergessen-Rückfragen. Allerdings ist die im heise-Artikel beschriebene Zwei-Faktor-Authentifizierung mit Hilfe eines Authenticators kaum in der Klinik umsetzbar. Zwar dürften alle Klinikmitarbeiter ein Handy besitzen, dies sind allerdings in der überwiegenden Zahl privat beschaffte und genutzte Geräte – also nicht für die dienstliche Authentifizierung nutzbar. Alle Mitarbeiter, welche sich an IT-Systemen und Medizinprodukten (!) anmelden müssen mit einem Smartphone auszustatten, scheidet wegen der Kosten und dem Betriebsaufwand für die IT aus. Gängige Konzepte sind daher Authentifizierungen über einen eigenen Hardware-Token. Hierfür bietet sich der Mitarbeiterausweis an, so denn er als RFID Chipkarte für ID-Anwendungen realisiert worden ist. ABER: Zum Einlesen der RFID Chipkarte wird an allen (!) Geräten ein spezielles Lesegerät benötigt. Möglich, aber erheblicher Aufwand. Alternativ kommt ein USB-Token zum Einsatz, eine USB-Schnittstelle findet sich an vielen Geräten. ABER: Verbinden und Trennen dauern länger, was der Akzeptanz bei den Anwendern nicht förderlich ist. Und der mechanische Kontakt ist auf Dauer fehleranfällig.
Und hierin könnte der Grund liegen, warum die Authentifizierung mit Nutzernamen und Passwort eher die Regel als die Ausnahme im klinischen Alltag ist: Es braucht einen für die Authentifizierung geeigneten Hardware-Token und an allen Geräten eine Schnittstelle, um diesen Token einlesen zu können. Insbesondere bei der Medizintechnik wird man dabei immer wieder auf Geräte stoßen, welche gar keine Authentifizierung über einen Token zulassen. Da ist es schon ein Fortschritt, wenn die Geräte überhaupt über ein differenziertes Authentifizierungskonzept mit Rollen und Rechten verfügen.
Und doch sollten sich Kliniken auf den Weg zu einer sichereren Benutzerauthentifizierung machen: Identitäts- und Berechtigungsmanagement sind Kernelemente der Digitalstrategie und bei jedem Projekt zu berücksichtigen. Damit das frisch beschaffte medizinische Gerät nicht nur Benutzer identifiziert und diesen Berechtigungsrollen zuweisen kann, sondern diese Berechtigungen aus dem AD zieht und sich der Mitarbeiter mit seinem Mitarbeiterausweis authentifizieren kann. Ok, das sind schon viele Wünsche auf einmal, aber dank KHZG lassen sich auch Projekte im Umfeld des Identitäts- und Berechtigungsmanagements finanzieren – auf das es zukünftig einmal heißt: „Passwörter? Muss ich mir schon lange nicht mehr merken!“.