[Blogbeitrag]

Digitales Gesundheitswesen: Sicherheit vs Benutzerfreundlichkeit?

Eine Entscheidung zwischen Sicherheit & Benutzerfreundlichkeit? Wie sich die Faktoren Security und Usability im digitalen Gesundheitswesen beeinflussen.

10. Januar 2023

SwooshDigitales Gesundheitswesen

Die Digitalisierung des Gesundheitswesens ist ein unabdingbarer Schritt, um den aktuellen Herausforderungen wie Personalmangel, Kostendruck und Nachhaltigkeit gerecht zu werden. Digital abgebildete Prozesse und Daten bieten Raum für neue Diagnostik- und Behandlungsmöglichkeiten im Rahmen einer personalisierten Medizin und erleichtern zudem die Kommunikation zwischen internen und externen Akteuren innerhalb des Gesundheitswesens. Auch wird den einzelnen Patient:innen selbst ein stärkerer Einfluss zur Steuerung der eigenen Gesundheit ermöglicht durch verschiedene Apps und frei verfügbare Informationen im Internet.

Die Vorteile eines modernen, digitalen Gesundheitswesens sind entscheidend und nicht wegdenkbar, dennoch bedeutet eine fortschreitende Digitalisierung der Prozesse und Daten auch gleichzeitig, dass es eine größere Angriffsfläche für Cyberangriffe gibt. Dies ist vor allem im Kontext der im Gesundheitswesen verarbeiteten, hochsensiblen Daten sehr kritisch. Somit ist klar, dass eine Digitalisierung immer Hand in Hand mit einer starken Cybersecurity-Strategie einhergehen muss. Im Rahmen dieser werden unterschiedlichste Maßnahmen ergriffen, beispielsweise die Mitarbeitenden speziell zu schulen, Prozesse und Anwendungen des Berufsalltags mit Passwörtern und im Optimalfall Mehr-Faktor-Authentifizierung zu schützen und Zugänge nur für berechtigte Personen freizugegeben. Im ohnehin überlasteten Gesundheitswesen, welches in entscheidenden Momenten sehr schnell handlungsfähig sein muss, scheitern diese wichtigen und sinnvollen Maßnahmen aber oft an der Usability. Denn hier wird in der Regel nicht ausschließlich ein Login benötigt, sondern mit einer Vielzahl an Anwendungen und Personal unterschiedlichster Berechtigungsstufen mehrere, zeitaufwendige Logins. Muss eine gute Security aber immer mit einer schlechten Usability einhergehen? Oder geht das auch anders und wie beeinflussen sich die beiden Faktoren gegenseitig?

Die Relevanz von Usability & Security im Kontext digitaler Gesundheitsprodukte

Die erste Nutzererfahrung mit einer digitalen Anwendung im Gesundheitsbereich ist häufig der Registrierungs- und Accounteinrichtungsprozess sowie der anschließende Login. Wenn hier bereits eine unzureichende Usability den Prozess verkompliziert, sorgt diese negative Nutzererfahrung für einen schlechteren Gesamteindruck des Produktes und hindert zum Beispiel Patient:innen daran, diese Gesundheitsapp gerne und gewissenhaft zu verwenden.

Ebenso verhält es sich mit den täglich erforderlichen Prozessen im beruflichen Kontext. So erhalten Mitarbeitende Zugänge mit einzigartigen, sicheren Passwörtern für jede Anwendung, um einen unberechtigten Zugriff auf die schützenswerten Untersuchungsergebnisse von Patient:innen zu verhindern. Allerdings werden hier eine Vielzahl an getrennten Anwendungen genutzt, welche unterschiedliche Passwörter erfordern.

Als Konsequenz der schlechten Nutzerfahrung mit einem schwer bzw. umständlich zu verstehendem oder zu nutzendem Sicherheitsfeature sind Nutzende dazu verleitet, diese komplizierten Schritte zu umgehen. Mit mehrfach genutzten, einfachen Passwörtern oder geteilten Zugängen verursachen sie eine starke Schwachstelle in der Sicherheit. Die Effektivität einer Sicherheitsmaßnahme hängt also immer auch von der Nutzbarkeit ab: If it’s not usable, it’s not secure (Jared Spool). Im Umkehrschluss bedeutet diese Erkenntnis, dass die beiden Elemente von Anfang an gemeinsam betrachtet werden müssen. Dieser Prozess wird in der Praxis als Security by Design bezeichnet, Sicherheitsaspekte müssen von Anfang an in den Entwicklungsprozess mit einbezogen und alle relevanten Stakeholder (IT, Datenschützer, DevSecOps) während des gesamten Projektverlaufs involviert werden.

Der grundlegende Entwicklungsprozess für eine sichere & benutzerfreundliche Lösung

Aus Sicht des User-Experience (UX) Designs beginnt dieser Prozess mit den Grundlagen einer guten Softwaregestaltung, die auch für die Sicherheitsmaßnahmen gilt:

  • Verfügbarkeit: Zugriff ist immer möglich, wenn dies erforderlich ist.
  • Robustheit: Nutzung ist ohne Störungen, Datenverluste und Übertragungsfehler möglich.
  • Fehlertoleranz: Die Möglichkeit Daten zu korrigieren, bei fehlerhaften Eingaben.
  • Verständlichkeit: Klare, erklärende Sprache der Hinweis- und Fehlermeldungen.
  • Zugänglichkeit: Die Barrierefreiheit für unterschiedlichste Zielgruppen.
  • Verlässlichkeit: Die Konsistenz in der Nutzerführung in Form von plattformspezifischen Styleguides.
  • Vertraulichkeit: Der Schutz von vertraulichen Daten vor unbefugtem Zugriff.

Darüber hinaus sollte vorab definiert werden, welches Level an Sicherheit benötigt wird. Berücksichtigt wird hier unter anderem, wann welcher Grad an Authentifizierung erforderlich ist, welche Daten gesammelt werden, wie viele Backups nötig sind und wo diese gespeichert werden. Um alle relevanten Faktoren in den Designprozess miteinzubeziehen, stehen UX-Designern verschiedene Toolsets wie User Journey Mapping, Personas und auch Antipersonas zur Verfügung. Mit Hilfe einer Antipersona kann beispielsweise die Bedrohungslage vorab eingeschätzt und die nötigen Gegenmaßnahmen priorisiert werden. Wireframes und Prototypen helfen dabei, diese möglichst verständlich zu implementieren.

Usable Security für digitale Gesundheitsanwendungen in der Praxis

Um sowohl für Mitarbeitende des Gesundheitswesens als auch für die Patient:innen als nützlich eingestuft zu werden für vorgegebene Standardthemen wie z.B. die Dokumentation u.a., müssen die genannten Anforderungen umgesetzt werden. Als Möglichkeit dieses erreichte Niveau zu kommunizieren und Vertrauen zu schaffen sind Zertifizierungen eine Möglichkeit. Im Gesundheitsbereich gibt es keine einheitlichen, branchenspezifischen Siegel, wie es Trusted Shops beispielsweise für den E-Commerce-Bereich ist, allerdings Normen wie die ISO-Norm für Informationssicherheitsmanagement, die IEC-Norm für die Gebrauchstauglichkeit für Medizinprodukte und z.B. das BfAM zertifiziert Apps, wenn sie den Sicherheitsvorgaben des BSI entsprechen. Diese sind unter anderem eine Schutzbedarfsanalyse in Bezug auf die Grundwerte der Informationssicherheit wie Vertraulichkeit, Integrität und Verfügbarkeit, Verschlüsselung der Daten, Passwortvorgaben wie Mindestlänge und Fehlbedienungszähler, eine Zwei- oder Mehr-Faktor-Authentifizierung und die Administration bzw. Transparenz über geschützte Zugänge.

Diese Vorgaben bezüglich der Passwort- und Authentifizierungsrichtlinien sowie die Zugriffsbeschränkungen sind selbige, welche auch wie zu Beginn erwähnt als Maßnahmen der Cybersecurity-Strategie im Gesundheitswesen vorgegeben werden. Um allerdings die geschilderten Herausforderungen wie Komplexität und fehlende Benutzerfreundlichkeit zu umgehen, hilft der Einsatz einer Identity- und Access-Management (IAM) Lösung. Hier werden Features wie die transparente Nutzer- und Zugriffsverwaltung und Passwortrichtlinien mit integrierter Mehr-Faktor-Authentifizierung in einer Lösung abgebildet und anschließend anstelle aufwendiger Mehrfachanmeldungen als Single Sign-On (Einmalanmeldung) sicher und benutzerfreundlich umgesetzt.

IAM-Lösungen als Standard für ein funktionierendes digitales Gesundheitswesen

Die Relevanz einer solchen Lösung lässt sich optimal am Beispiel der Krankenkasse darstellen. Hier muss sich Fachpersonal und Kunde intern an mehreren Systemen und extern an der Kundenplattform anmelden und authentifizieren. Über den Single Sign-On, welcher ausschließlich Zugriff für die vorab im IAM definierten berechtigten Personen ermöglicht, wird nur noch eine Anmeldung mit einem Passwort anstelle von 5 verschiedenen Passwörtern benötigt. Die Zeitersparnisse sind enorm und es kann über Passwortrichtlinien sowohl die Stärke des Passworts kontrolliert werden, als auch vermieden werden, dass Accounts auf Grund von fehlenden Zugängen oder Zeitmangel geteilt werden. Bezüglich der Kundenlogins entsteht klare Transparenz über Authentifizierungen und Reportingdaten.

Um die Sicherheit über Passwortrichtlinien und regulierte Zugänge hinaus zu erhöhen, sollte Mehr-Faktor-Authentifizierung für alle Mitarbeitenden, wenn gewünscht verpflichtend, über die IAM-Lösung einrichtbar sein. Statt nur Nutzername und Passwort werden Logins mit weiteren Faktoren abgesichert. Wie stark dieser Faktor sein soll, hängt vom gewählten Verfahren ab. Es empfiehlt sich, eine IAM-Lösung mit verschiedenen integrierten MFA-Verfahren einzusetzen, so kann das passende Verfahren, von One-Time-Password (OTP) via E-Mail, SMS, App bis zu Hardware-Sicherheitsschlüsseln oder biometrischen Daten wie FaceID oder TouchID, selbst nach nötigem Sicherheitsgrad der gesundheitlichen Einrichtung gewählt werden. Aber auch hier ist die Usability ein entscheidender Faktor, denn nur wenn die IAM-Lösung für Administratoren zuverlässig fehlerfrei bedienbar ist, können Zugänge für Mitarbeitende schnell angelegt oder gelöscht und Sicherheitsverfahren angepasst werden.

Die passende IAM-Lösung für das Gesundheitswesen: Bare.ID

Grundsätzlich gibt es verschiedene Lösungen am Markt, von aufwendiger proprietärer Software bis zu innovativen Cloud-Lösungen. Da der Eigenbetrieb einer Lösung oder auch der Einsatz einer OnPremise Lösung allerdings enormen Aufwand für Entwicklung, Betrieb und Wartung mit sich bringt und in der Praxis oft an fehlenden Ressourcen (Kapital & KnowHow) scheitert, empfiehlt es sich für das Gesundheitswesen eine SaaS-Lösung einzusetzen. Unsere Cloud IAM Lösung Bare.ID ermöglicht den Zugriff von immer und überall, ohne die beschriebenen ressourcenaufwendigen Faktoren. Bare.ID nutzt im Kern das bekannte, etablierte Open Source IAM Framework Keycloak und hat dies um zahlreiche Features erweitert. Im Gegensatz zu anderen führenden US-amerikanischen IAM SaaS-Anbietern wird die Lösung ausschließlich in und aus Deutschland gehostet, betrieben und entwickelt, unterliegt zu jeder Zeit ausschließlich dem deutschen Rechtsraum und setzt somit digitale Souveränität um und wird außerdem höchsten Compliance-Richtlinien gerecht. Bare.ID kann somit selbst im starken regulierten Gesundheitswesen sorgenfrei und DSGVO konform eingesetzt werden. Die Herausforderungen der Usability löst Bare.ID durch eine nutzerfreundliche, einfach zu bedienende Oberfläche, die alle notwendigen Features übersichtlich darstellt und komfortabel erreichbar macht. Damit können jedem Benutzenden eines Systems sichere Zugänge schnell zugewiesen und Password-Sharing vermieden werden.

Mit dem Einsatz von Bare.ID als IAM-Lösung und einem nutzerfreundlich gestalteten Login-Interface können Software-Anwendungen für den Gesundheitsbereich sowohl den Faktoren Sicherheit als auch der Usability gerecht werden.

Ähnliche Artikel

Schwachstelle Passwort

Mehrfachverwendete Kennwörter als Risikofaktor

Schwachstelle Passwort: Laut Umfrage nutzen 64% der Angestellten ihre Kennwörter mehrfach

Zero Trust

Bund forciert Zero-Trust Architektur

Als Reaktion auf die zunehmend kritische Cybersicherheitslage plädiert das Innenministerium für eine schrittweise Entwicklung zur Zero-Trust Architektur

Bare.ID vs Auth0

Vergleich Auth0 vs. Bare.ID - die Auth0 Alternative

Welcher SaaS-Anbieter ist der Richtige für meinen Use Case im Rahmen deutscher Sicherheitsanforderungen?

Termin vereinbaren

Termin vereinbaren

Vereinbaren Sie jetzt einen unverbindlichen Beratungstermin und erfahren Sie, wie Bare.ID in Ihre IT-Umgebung integriert werden kann.

Bare.ID verpflichtet sich, Ihre Privatsphäre zu respektieren und zu schützen. Wir verwenden Ihre persönlichen Daten nur zur Bereitstellung der von Ihnen angeforderten Informationen. Alle Informationen finden Sie in unseren Datenschutzhinweisen. Indem Sie unten auf „Abschicken“ klicken, stimmen Sie zu, dass Bare.ID die oben angegebenen persönlichen Daten speichert und verarbeitet, um Ihnen die angeforderten Inhalte bereitzustellen.

Newsletter

Melden Sie sich für unseren Newsletter an, um informiert zu bleiben.

Ich stimme zu, weitere Informationen und Neuigkeiten von Bare.ID zu erhalten. Weitere Informationen finden Sie in unseren Datenschutzhinweisen.


Bare.ID steht für benutzerfreundliches Identity- & Access-Management in der Cloud. Mit Bare.ID kann man digitale Geschäftsprozesse und Applikationen an ein lokales Benutzerverzeichnis anschließen und von zentralisierter Sicherheit und Single Sign-On profitieren. Egal, ob On Premise, Hybrid oder Cloud. Mit einer Vielzahl vorkonfigurierter Integrationen. 100 % Sicherheit Made in Germany.

Das Angebot von Bare.ID richtet sich ausschließlich an Unternehmer im Sinne des §14 BGB. Alle Preise sind entsprechend netto zu verstehen und zzgl. der zum jeweiligen Abrechnungszeitpunkt gültigen Umsatzsteuer.

Bare.ID ist ein Produkt und eingetragene Marke der Bare.ID GmbH - an AOE Group company © 2023 - Alle Rechte vorbehalten.