Chip-Karte ersetzt neu komplizierte Passwörter im LUKS

«Nicht nur die IT- und Sicherheitsverantwortlichen, sondern alle Mitarbeiter profitieren von der Single Sign-On-Lösung von Imprivata und dem neuen, schnellen und sicheren Zugriff auf die elektronischen Arbeitsplätze im ganzen Spital.» Benjamin Suter, Teamleiter End-User Computing, Luzerner Kantonsspital

Das Luzerner Kantonsspital (LUKS) ist das grösste Zentrumsspital der Schweiz. Es umfasst die Standorte Luzern, Sursee und Wolhusen sowie die Luzerner Höhenklinik Montana. Im Luzerner Kantonsspital sorgen über 6800 Mitarbeitende rund um die Uhr für das Wohl der Patientinnen und Patienten. Es versorgt ein Einzugsgebiet mit rund 700000 Einwohnern bei 869 Akutbetten.

Das LUKS behandelt jährlich 42760 stationäre Patientinnen und Patienten und verfügt über 596798 ambulante Patientenkontakte. Seine Kliniken und Institute bieten medizinische Leistungen vonhöchster Qualität.

Dazu zählen natürlich auch höchste Sicherheitsstandards. Die Einhaltung dieser kostet das LUKS viel Zeit. Zeit, die Klinikmitarbeiter für die Eingabe und die Verwaltung von Passwörtern verwenden. Zeit, die die IT-Abteilung für die lästige Passwortverwaltung aufbringen muss und die für andere wichtige IT-Projekte fehlt. Aber damit nicht genug, die Sicherheitsanforderungen steigen permanent und beeinträchtigen die Effizienz der Mitarbeiter immer mehr. Zwei Zahlen bringen die Problematik auf den Punkt: Über 5 Mio. Mitarbeiter-Logins und über 3000 IT-Service-Desk-Anfragen für das Zurücksetzen von Windows-Kennwörtern zählte das LUKS allein in einem Jahr.

Das LUKS entschied sich darum 2015 für die Einführung einer professionellen Single Sign-On- (SSO-) und Passwort-Management-Lösung, die die Passwortverwaltung für alle Mitarbeiter vereinfacht und für eine konsequente Umsetzung der Sicherheitsrichtlinien sorgt.

Die Herausforderung

Die 6853 Mitarbeitenden des LUKS haben an unterschiedlichen Standorten Zugriff auf diverse Arbeitsstationen und eine Vielzahl an klinischen Applikationen, auf die sie täglich zugreifen. Das ständige An- und Abmelden ist sehr zeitaufwändig, und die vielen Benutzernamen und Passwörter sind bei steigender Passwort-Komplexität kaum zu merken. Eine professionelle Single Sign-On Lösung soll die Authentisierung für die Mitarbeiter stark vereinfachen und die vielen Zugangsdaten auf ein Minimum reduzieren. Der Einsatz von LEGIC-Karten in Verbindung mit SSO soll das Klinikpersonal weiter entlasten. Typisch für Spitäler sind die von Ärzteschaft und Pflegepersonal gemeinsam genutzten «Kiosk-Workstation», ca. 250 Gruppen-Logins an 600 «Kiosk-Workstations» sind es beim LUKS. Zum Einsatz kommen auch immer mehr mobile Endgeräte. Egal, ob Shared Workstation, Laptop, PC, iPad oder via VPN im Homeoffice, ein bequemer Zugang zu den klinischen Anwendungen und Patientendaten muss einfach und schnell möglich sein, unabhängig von Ort, Zeit oder Gerät. Und auch die IT-Abteilung soll stark vom Einsatz der neuen, einfach zu managenden SSO-Lösung profitieren: So kann zum Beispiel jeder Mitarbeiter den Windows Passwort-Reset im Imprivata Self-Service Portal selbst durchführen.

Eine Single Sign-On Lösung soll aber nicht nur die Mitarbeiter durch einen flexiblen und bequemen Zugang zu Patientendaten unterstützen, sondern muss auch die Umsetzung der Passwortrichtlinien und –vorgaben des Spitals und des Gesetzgebers garantieren. Nur eine sichere, aber trotzdem komfortable Authentisierung der User kommt für das LUKS in Frage.Höchste Priorität hat der Schutz von Patientendaten. Besonders schützenswerte Patientendaten erfordern besondere Zugangsberechtigungen, die beim Single Sign-On-Prozess berücksichtigt werdenmüssen. Auch muss in einem Spital die Nachvollziehbarkeit beim Zugriff auf Patientendaten garantiert werden. Die weit verbreiteten «Shared Accounts» sind folglich tabu, jeder Arbeitsschrittam Rechner muss sich eindeutig einem Benutzer zuordnen lassen, damit durchgängige Nachvollziehbarkeit bei allen klinischen Prozessen sichergestellt ist – aber ohne die Arbeit der Mitarbeiter durch häufige Passworteingaben und langwierige Login-Prozesse zu beeinträchtigen. Die Automatisierung der regelmässig durchzuführenden Passwortänderungen nach strengen Passwort-Richtlinien ist eine weitere Mindestanforderung an die neue Single Sign-On Lösung. Und dank Desktop-Virtualisierung soll das Einloggen in Zukunft noch einfacher werden und der Desktop folgtdem Mitarbeiter mit der persönlichen Chip-Karte. Die neue SSO-Lösung muss sich also auch reibungslos in die bereits geplante VDI-Umgebung integrieren lassen.

Das LUKS erwartet vom Produkt und vom Partner, der die Lösung implementiert, viel. 6000 neue Single Sign-On-Benutzer, 3600 neue Kartenlesegeräte, ca. 25 Spezialanwendungen, für die Single Sign-On funktionieren muss, eine sehr schnelle Einführung innerhalb von 6 Monaten und sehr hohe Anforderungen an Sicherheit und Benutzerfreundlichkeit bedeuten einen nicht unerheblichen technischen und organisatorischen Aufwand und erfordern langjährige praktische Erfahrungen.

Die Lösung

Um die Entscheidung für eine bestimmte Lösung zu vereinfachen, kritische Anforderungen an die Anwendung zu validieren und einen Beleg für die prinzipielle Durchführbarkeit und Machbarkeit des Vorhabens zu erhalten, entschied sich das LUKS für die Durchführung von Proof of Concepts mit einigen ausgewählten Anbietern, darunter auch Imprivata. Die Imprivata-Lösung erfüllt die hohen Anforderungen des Spitals, verfügt über alle wichtigen Funktionen wie Single Sign-On, Authentifizierungsmanagement oder Passwort-Self-Service und überzeugt durch die nahtlose Unterstützung der Desktop-Virtualisierung. Die Lösung von Imprivata lässt sich auch, wie gefordert, in die geplante VDI-Umgebung integrieren. Ein weiterer Vorteil von Imprivata: Die Lösung ist bereits bei vielen Schweizer wie auch internationalen Spitälern erfolgreich im Einsatz und verfügt über sehr gute Referenzen. Die Enterprise Single Sign-On und Passwortverwaltung von Imprivata erhält den Zuschlag.

Die Einführung und der Rollout des gesamten Systems und die Mitarbeiterschulungen wurden schrittweise durchgeführt, nach und nach an den Standorten Luzern, Wolhusen und Sursee sowieweiteren kleineren Aussenstandorten, für insgesamt 6000 Benutzer, 3600 neue Kartenleser und ca. 25 verschiedene Klinik-Applikationen. Von der Beschaffung der Single Sign-On Lösung und der Chip-Kartenleser über die anspruchsvolle Implementierung der Hard- und Software bis hin zur Schulung der Anwender unterstützten NTT Security während aller Projektphasen hoch professionell, sehr kompetent und vor allem proaktiv. Spezielle technische oder organisatorische Herausforderungen meisterte das LUKS mit dem Team von NTT Security stets erfolgreich, im Rahmen des Zeitplans, im Rahmen des Budgets und bei Bedarf sogar durch Bereitstellung kurzfristiger Ressourcen.

Ein entscheidender Erfolgsfaktor des Projektes war die Mitarbeiter-Akzeptanz. Um das komplette Potential der neuen Single Sign-On Lösung auszuschöpfen, spielen neben technischen Aspektenvor allem die Mitarbeiter eine wichtige Rolle. Sie müssen die neue Technologie kennenlernen, sie richtig anwenden und ihre Vorteile im Alltag eigens erfahren. NTT Security erarbeitete gemeinsam mit dem LUKS ein umfassendes Informations- und Schulungskonzept mit praktischen Infoständen, einem Video zur besseren Veranschaulichung des neuen Anmeldeverfahrens und ergänzenden Zufriedenheitsumfragen.

Auch die bei Implementierungsprojekten wichtigen Dokumentationsstandards wurden frühzeitig definiert. Ein Projektleiter von NTT Security konzeptionierte, kontrollierte und dokumentierte den gesamten Projektverlauf und unterstützte bei der Erstellung wichtiger Dokumente, wie Betriebs- Konfigurations- und Testkonzept, Rollout- bzw. Einführungsplan und Betriebshandbuch.

Die Ergebnisse

Die lästigen Passwörter für die vielen Anwendungen werden im Rahmen des Single Sign-On-Verfahrens durch einen sicheren LEGIC-Card Zugang ersetzt. Statt der Eingabe immer wieder neuer Login-Daten für jede neue Anwendung legt der Mitarbeiter seine Chip-Karte auf den Kartenleser, startet nach Eingabe einer persönlichen Zugangs-PIN die Benutzersitzung und hat dann ohne weiterePassworteingaben Zugriff auf über 25 Applikationen. Die Benutzeranmeldung zu den einzelnen passwortgeschützten klinischen Applikationen führt die Imprivata-Lösung automatisch aus. AlleMitarbeiter profitieren vom einfachen und schnellen Zugriff auf die elektronischen Arbeitsplätze im ganzen Spital, das zeigt auch das Ergebnis aus der Mitarbeiterbefragungen deutlich: Auf 90% der Befragten wirkte die Einführung der Single Sign-On Lösung positiv (75%) oder neutral (15%).

Die neue Infrastruktur sorgt neben mehr Benutzerfreundlichkeit aber vor allem auch für mehr Sicherheit. So ermöglicht die Single Sign-On Lösung beispielsweise den durchgängig persönlichen Zugriff auf schützenswerte Patientendaten sowie die Nachvollziehbarkeit und Auswertbarkeit alle Zugriffe.

Ein zusätzlicher Mehrwert: Empfehlungen und Tipps aus vielen Gesprächen mit den NTT Security und Imprivata Experten zu technischen wie organisatorischen Sicherheitsmassnahmen fliessen in das Informationssicherheitskonzept des LUKS mit ein und helfen, den Einsatz der neuen Technologie weiter zu optimieren.

Nach der erfolgreichen Einführung von Imprivata Single Sign-On bei 6000 Benutzern ist bereits der Ausbau der Lösung geplant, für weitere 500 Benutzer.

Success Story lesen >