HIN setzt für sichere Logins im Gesundheitswesen auf Nevis
Ausgangslage
Für das Identity and Access Management (IAM), also die Prüfung der Berechtigungen eines Users, setzt HIN auf Lösungen der Nevis AG. Ausschlaggebend für die Zusammenarbeit, die Ende 2013 begann, war die schnelle und unkomplizierte Lösung sowie Flexibilität im Zusammenhang mit neu einzuführenden Authentisierungsverfahren.
Die Umstellung des IAM-Verfahrens erwies sich als sehr herausforderndes Projekt, da schon zu Beginn 100 angeschlossene Services vorlagen. Die Art, wie auf diese Services zugegriffen wird, wurde komplett ausgetauscht, was einer Operation am offenen Herzen gleichkam. Als besondere Herausforderung erwies sich das End-to-End-Testing. Dabei galt es insbesondere, anfängliche Performance-Probleme zu lösen: Der HIN Client, der auf der jeweiligen Arbeitsstation installiert werden muss und üblicherweise bei niedergelassenen Ärzten im Einsatz ist, beinhaltete mehrere Restriktionen, die die Performance der für Browser optimierten Nevis-Lösung einschränkten. Die Lösung musste daher auf die Bedürfnisse von HIN optimiert werden. Darüber hinaus war eine Lazy Migration nicht möglich, stattdessen musste eine Big-Bang-Migration durchgeführt werden – also ein harter Wechsel vom alten zum neuen IAM-System.
Lösung
Heute werden sämtliche von HIN angebotenen Applikationen durch das IAM von Nevis geschützt. Hierbei erfolgt ein automatisierter Abgleich von Daten aus dem ERP-System mit dem Identity Management, in dem User erzeugt und Rollen zugewiesen werden. Je nachdem, welche Applikationen der jeweilige User über HIN bezogen hat, erhält dieser im Identity Management verschiedene Berechtigungen. Dieser Abgleich zwischen ERP und IAM erfolgt in Echtzeit.
Die Sicherung der Applikationen erfolgt über verschiedene Mechanismen, unter anderem eine Web Application Firewall. Die Datenextraktion über SQL Injection oder Cross-Site-Request-Forgery (Angriffe über den Webkanal) ist so ausgeschlossen. Passwörter werden nur gehasht gespeichert und Password Policys definieren sowohl die notwendige Länge der Passwörter als auch deren Wechselintervall. Die Lösungen wurden von KPMG nach Schweizer eHealth-Standard geprüft und zertifiziert – einschließlich des Rechenzentrums in der Schweiz, das sicherstellt, dass die sensiblen Daten die Landesgrenzen nicht verlassen.
Die hohe Flexibilität der Nevis-Lösungen kommt sowohl beim elektronischen Patientendossier als auch bei der Covidcode-Webapplikation für Ärzte voll zum Tragen. Beide nutzen die sichere Authentifizierung mit Nevis und binden dabei Drittapplikationen ein, mit denen sich der benötigte Funktionsumfang nachrüsten lässt.
