Gesundheitsdaten sind besonders sensibel: Kaum etwas schreckt Menschen so sehr auf wie die Nachricht, dass diese sehr persönlichen Informationen in die falschen Hände geraten sein könnten. Ein Schreckensszenario, mit dem Patienten und Institutionen des Gesundheitswesens jedoch immer wieder konfrontiert werden, denn Cyberkriminelle kennen keine Skrupel. Zu den gravierendsten Vorfällen der letzten Jahre zählt die Erpressung des finnischen Psychotherapie-Unternehmens Vastaamo, an deren Ende rund 30.000 Behandlungsakten frei im Netz verfügbar waren. In der Schweizer Gesundheitsbranche gilt nach einer aktuellen Kaspersky-Studie der Verlust von Patienten- und Unternehmensdaten als derzeit grösste Cyber-Bedrohung. Das auf medizinische Informatik spezialisierte Unternehmen Clinerion setzt deshalb zum Schutz seiner Daten auf die besonders sichere Zwei-Faktor-Authentifizierung nach dem FIDO-Standard (Fast Identity Online), der einen passwortfreien Login ermöglicht. Als Partner für das Projekt wurde Nevis ausgewählt.
Mit dem Patient Network Explorer bietet Clinerion ein Tool an, das die Patientenrekrutierung für klinische Studien optimiert, indem es die Suche und Identifikation von möglichen Kandidaten effizienter gestaltet. In der Cloud-Anwendung können sich Forscher Suchergebnisse zu passenden Patientengruppen beispielsweise für klinische Studien zu neuen Pharmaprodukten anzeigen lassen. Diese dienen zugleich als Grundlage für Anfragen an die Krankenhäuser im Netzwerk.
Die Kliniken verfügen über eigene Server für gemäss GDPR deidentifizierten Patientendaten, die es abzugleichen gilt. In der Cloud selbst sind die Daten der Patienten nicht zu finden; stattdessen tauschen die Systeme sich bei Anfragen untereinander aus. Dabei muss zu jedem Zeitpunkt sichergestellt sein, dass sich niemand unbefugt im Patient Network Explorer einloggt und Daten abgreift.
Als neuen Sicherheitsfaktor im Anmeldeprozess hat Clinerion in Zusammenarbeit mit Nevis die Zwei-Faktor-Authentifizierung nach dem FIDO-Standard eingeführt. Sie erfolgt sowohl in Android als auch in iOS über Nevis Mobile App, die mit der Corporate Identity von Clinerion gebrandet ist. Die Authentication Cloud von Nevis erlaubt dabei den passwortfreien Login, der den Arbeitsalltag der Nutzer erleichtert.
Praktische Umsetzung
Die Integration der Authentication Cloud erfordert keine tiefgreifenden Eingriffe in die Sicherheitsarchitektur von Unternehmen. Auch bei Clinerion ging die eigentliche API-Integration der Lösung im Backend einfach vonstatten und dauerte nur wenige Tage. Mehr Zeit und einige Korrekturen nahm die Anpassung der Software in Anspruch, insbesondere für Android. Nutzer besitzen häufig Firmenhandys, auf denen ältere Versionen des Betriebssystems installiert sind. Ebenso zwingend erforderlich ist das Vorhandensein biometrischer Sensoren, die nur bei neueren Geräten verbaut sind. Eine Fallback-Funktionalität für solche Fälle ist vorhanden; alternativ lässt sich die Authentifizierung weiterhin über E-Mail oder SMS erledigen. Bei Geräten mit iOS sieht die Situation dagegen anders aus. Es erwies sich als vorteilhaft, dass Apple auch ältere Modelle mit der aktuellen Version 14 des Betriebssystems versorgt.
Mittelfristig wird hier natürlich nachjustiert, um die Sicherheit des Anmeldeverfahrens weiter zu erhöhen. Nach und nach werden bei Clinerions Kundenstamm die Android-Altgeräte ausgemustert und gegen neuere Modelle ausgetauscht. Sobald hier eine hinreichende Verbreitung erreicht ist, kann die Zwei-Faktor-Authentifizierung nach dem FIDO-Standard für die Anmeldung obligatorisch werden. Dann ergibt sich durch den Wegfall der Anmeldung über E-Mail oder SMS außerdem eine Kostenersparnis – ein weiterer Pluspunkt der Mobile App.
Keine Umsetzung eines neuen Verfahrens zur Authentifizierung kommt ohne ausgiebige Testphase aus. So auch im Falle der Mobile App und der Authentication Cloud. Aufgrund der überschaubaren Projektgrösse mussten weder Überprüfungen ausgelagert noch umfangreiche Tests unter Beteiligung von Nutzern vorgenommen werden. Stattdessen konnten die beteiligten Entwickler die Anwendung vor der Freischaltung selbst auf Herz und Nieren testen. In der letzten Projektphase zeigte sich eine Besonderheit, die bei der App-Publikation immer bedacht werden muss: Die Publikation einer Anwendung in den Stores von Google und Apple ist relativ aufwendig und mit längeren Wartezeiten verbunden – um den Prozess so rasch und effizient wie möglich abzuschliessen, konnte Clinerion auf die Unterstützung von Nevis bauen.