09.03.2021 | Thomas Kessler
2-Faktor-Authentifizierung von Gesundheitsfachpersonen
Eine 2-Faktor Authentifizierung der Benutzer sollte beim Zugriff auf Cloud-Services im Gesundheitswesen zur Selbstverständlichkeit werden. Damit dies gelingt, benötigen Spitäler und Heime ein elektronisches Äquivalent zum Personalausweis.
Passwörter sind die Achillesferse der IT-Sicherheit
Beim Login mit Benutzername und Passwort beweist der Benutzer seine Identität, indem er ein Geheimnis preisgibt, nämlich sein persönliches Passwort. Ein geteiltes Geheimnis ist bekanntermassen kein Geheimnis mehr. Diese fundamentale Schwäche von Passwörtern führt immer wieder zu erfolgreichen Angriffen auf unsere IT-Systeme und ist mit ein Grund dafür, dass der Identitätsdiebstahl eines der Top Ten IT-Sicherheitsrisiken ist.
Seit langem ist bekannt, dass solchen Angriffen mit einer sogenannten 2-Faktor Authentifizierung (nachfolgend mit «2FA» abgekürzt) begegnet werden kann, wie sie beispielsweise beim E-Banking gebräuchlich ist. Als 2FA bezeichnen wir Verfahren, die einen Faktor «Haben» mit einem Faktor «Wissen» oder einem Faktor «Sein» kombinieren. Der Faktor «Haben» wird in jedem Fall benötigt, wobei es sich hierbei um Hardware (eine Smartcard, eine SIM-Karte oder ein anderes Token) oder Software (zum Beispiel eine Authenticator App) handeln kann. Der Faktor «Wissen» ist üblicherweise ein Passwort, das zentral auf einem Server oder dezentral auf einem persönlichen Gerät verwaltet und gegengeprüft wird; Letzteres wird auch als PIN bezeichnet. Der Faktor «Sein» schliesslich ist ein individuelles Körpermerkmal wie ein Fingerabdruck oder das Gesichtsbild.
Wo ist eine 2-Faktor Authentifizierung angebracht?
Das Risiko eines Identitätsdiebstahls wird bewertet, indem die Eintretenswahrscheinlichkeit eines Schadenfalles mit dessen Tragweite multipliziert wird. Die Tragweite ist im Gesundheitswesen naturgemäss hoch, da es in vielen Fällen um den Zugriff auf besonders schützenswerte Personendaten geht.
Die Eintretenswahrscheinlichkeit ist dann besonders gross, wenn ein IT-System im Internet exponiert und somit für die ganze Welt zugänglich ist. Dies trifft beispielsweise auf die meisten Remote Access Lösungen zu, weshalb eine 2-Faktor Authentifizierung für diesen Anwendungsfall unbedingt zu empfehlen ist. Es trifft aber auch auf viele Cloud-Anwendungen zu wie beispielsweise das elektronische Patientendossier (EPD), wo deshalb aus gutem Grund eine 2FA gesetzlich vorgeschrieben ist.
Weniger klar ist die Situation bei der Nutzung von IT-Systemen innerhalb einer Organisation. Weil es immer schwieriger wird, die internen IT-Systeme vom Internet abzuschotten, sollte die 2-Faktor Authentifizierung mittelfristig auch beim Login am Arbeitsplatz und an den internen Applikationen angestrebt werden. Die betrieblichen Anforderungen (Stichwort «Stations-PC») können eine solche Lösung allerdings sehr anspruchsvoll und zeitraubend machen.
Wie kann eine 2-Faktor Authentifizierung erreicht werden?
Die Einführung einer 2FA einzeln für jedes IT-System sollte tunlichst vermieden werden, damit die Benutzer nicht von einer Flut von zusätzlichen «Login-Faktoren» überschwemmt werden: Eine übergreifende Infrastruktur tut Not! Hierfür gibt es zwei strategische Vorgehensvarianten:
- Bei der Variante «2FA am Endgerät» erfolgt die 2-Faktor Authentifizierung bereits beim Login am Arbeitsplatz, typischerweise mittels Smartcard und PIN. Die mit zwei Faktoren authentifizierte Identität des Benutzers wird anschliessend durch Infrastrukturkomponenten wie das Active Directory an alle daran angeschlossenen IT-Systeme weitergereicht (Single SignOn).
- Bei der Variante «2FA am IdP» meldet sich der Benutzer zunächst mit seinem Passwort oder einem biometrischen Merkmal am Arbeitsplatz an. Der zweite Faktor, häufig der Besitz einer Authenticator App, wird zu einem späteren Zeitpunkt auf einem sogenannten Identity Provider (IdP) geprüft.
Die betriebliche Einführung der zweiten Variante ist normalerweise deutlich einfacher. Sie bietet allerdings auch einen geringeren Sicherheitsnutzen, weil sich nur moderne IT-Systeme an einen IdP anschliessen lassen.
Die Sache mit dem digitalen Ausweis
Für die effiziente Implementierung einer 2-Faktor Authentifizierung benötigen Spitäler und Heime das digitale Äquivalent zum Personalausweis: Einen digitalen Personalausweis, der für die 2FA genutzt wird. Dieser wird von einer betriebsinternen Fachstelle (z.B. im HR) ausgestellt und enthält Informationen wie die Personalnummer oder die Organisationszugehörigkeit, die bei der Nutzung von IT-Systemen im beruflichen Kontext typischerweise benötigt werden.
Der digitale Personalausweis basiert zwar auf derselben Technologie wie der digitale Ausweis für Privatpersonen, der im Zusammenhang mit dem E-ID-Gesetz derzeit rege diskutiert wird. Die erheblichen Unterschiede zwischen einem Personalausweis und einem Reisepass in Bezug auf die Verantwortlichkeiten, die Verwaltungsprozesse und die Anwendungsfälle bestehen aber auch in der digitalen Welt und müssen bei einem 2FA-Einführungsprojekt unbedingt berücksichtigt werden.
Hinweis: Dieser Artikel wurde auch in der Zeitschrift Arzt Spital Pflege | 1/2021 publiziert.
