zur Navigation zum Inhalt
Dr. Martin Hurch Leiter Technik
 
Gesundheitspolitik 27. Jänner 2017

„Das hätte massive Auswirkungen auf die technisch-organisatorische Gestaltung“

3 Fragen, 3 Antworten

Doppelte Identifizierung werde nicht kommen. Stattdessen werde die Sicherheit der Passwörter hinaufgeschraubt, sagt ELGA-Experte Martin Hurch.

Wo sehen Sie Schwachstellen im elektronischen Gesundheitssystem?

Hurch: Thomas Stubbings weist darauf hin, dass in der ELGA-Architektur der Sicherheit ein hoher Stellenwert eingeräumt wird. Aus seiner Sicht gilt es, bei den Endgeräten der Anwender, die Sicherheit zu verbessern. Er geht davon aus, dass dort die Absicherung zumeist nur mit intern verwalteten Usernamen und Passwörtern geregelt ist, und fordert die Einführung einer 2-Phasen Authentifizierung. Das wäre zwar für das ELGA-System überhaupt kein Problem, hätte aber massive Auswirkungen auf die technische und organisatorische Gestaltung der EDV-Arbeitsplätze in den Spitälern: Es müssten entweder an allen Arbeitsplätzen zusätzlich Kartenlesegeräte angeschafft und installiert werden – also eine physikalische Kartenverwaltung für alle Anwender entsprechend ihrer Berechtigungen – oder alternativ eine entsprechende persönliche Handy-Ausstattung für alle eingeführt werden. Und, mindestens ebenso aufwendig, die zugrunde liegenden Spitals-EDV-Systeme müssten lernen, mit dieser Identifizierung gewissenhaft umzugehen. Die Experten der Systempartner der ELGA haben sich daher dafür entschieden, die Sicherheitsanforderungen an die Verwendung von Usernamen und Passwörtern hochzuschrauben.

Wie hoch?

Hurch:Unser Paket: Verbot einer Verwendung von Sammelusern / Stationsusern in ELGA – nur mehr persönlich zu verantwortende User dürfen für ELGA verwendet werde. Einführung von Mindeststandards für die Passwörter, die verwendet werden dürfen. Bedeutet: Mindestpasswortlängen, Kombinatorik von Zahlen, Buchstaben und Sonderzeichen. Zwang zur regelmäßigen Änderung der Passwörter. Überwachte und dokumentierte Userverwaltung. Einführung von Audits.

Die ELGA-Zentrale vertraut ihrer Peripherie, zurecht?

Hurch: Wir haben uns auf diesem heiklen Sektor mit den Sicherheitsverantwortlichen der ELGA-Betreiber auf ein gemeinsam definiertes Mindestmaß geeinigt, um Vertrauen aufbauen zu können. Sollte dieses Vertrauen zu einem der Teilnehmer nicht mehr gerechtfertigt sein, kann dieser Betreiber unmittelbar betrieblich abgeschaltet werden. Spitals-EDV spielt sich nicht im Internet ab, sondern in geschützten Netzwerken. Firewalls und zusätzliche Zugangskontrollsysteme regeln den Datenverkehr. Sollte an einem Arbeitsplatz ein Username mit dem zugehörigen Passwort ausgespäht worden sein reicht dies nicht aus, um missbräuchlich auf ELGA-Daten zugreifen zu können: Der „Missbrauchsarbeitplatz“ müsste im Inneren des Spitalsnetzes angesiedelt sein, der Userüberwachung müsste die zusätzliche Verwendung des Users entgehen, die Protokollierung der Zugriffe dürfte nicht Alarm schlagen, der betroffene Patient müsste eine aktuelle dokumentierte Behandlung in diesem Spital haben, etc. Da wurde viele Hürden eingerichtet.

 

.

Zu diesem Thema wurden noch keine Kommentare abgegeben.

Mehr zum Thema

<< Seite 1 >>

Medizin heute

Aktuelle Printausgaben