Pflege

Diagnosedaten sind. Ob auch andere Benutzer hierzu in der Lage sind, konnte nicht systematisch nachvollzogen werden.

Die Vergabe der Zugriffsrechte stellt sich im Basissystem R/3 als ein baumartiges Geflecht von Berechtigungen, Sammelberechtigungen, Profilen, Sammelprofilen und Benutzerstammsätzen dar.

Wer im Rahmen einer Prüfung oder Systemrevision die Zugriffsrechte einzelner Benutzer überprüfen möchte, kann deshalb nur schrittweise versuchen, dieses Geflecht zu entwirren.

Zunächst muss überprüft werden, welches Profil (Schlüsselbund) bzw. welche Profile mit welchen Berechtigungen (bzw. Schlüssel) die einzelnen Benutzer besitzen. Es können auch Sammelberechtigungen (Multifunktionsschlüssel) vorkommen, die sich wiederum aus mehreren Berechtigungen zusammensetzen. Anschließend wird festgestellt, in welchen Programmen und Transaktionen bzw. Dynpros (der bisherigen Analogie entsprechend mit Türen vergleichbar) die den Berechtigungen entsprechenden Berechtigungsobjekte (Schlösser) benutzt werden und auf welche Dateien die jeweiligen Programme und Transaktionen zugreifen.

Die Komplexität wird zusätzlich noch dadurch erhöht, dass es möglich ist, den Zugriff auf Programme und Transaktionen vom Besitz mehrerer Berechtigungen abhängig zu machen. Falls jedoch - in der bisherigen Analogie gesprochen - in eine Tür mehrere Schlösser eingebaut werden, für die mehrere Schlüssel notwendig sind, die wiederum an mehreren Schlüsselbunden hängen, ist es äußerst mühsam, den Kreis der Zutrittsberechtigten abschließend zu bestimmen.

Folglich kann in umgekehrter Reihenfolge auch nur sehr umständlich geprüft werden, welche Benutzer auf ausgesuchte Datenfelder zugreifen können. Eine vollständige Übersicht über sämtliche vergebenen Zugriffsrechte ist angesichts von über 300 IS-H-Tabellen, ähnlich vielen ISH-Programmen, Berechtigungen und Berechtigungsobjekten nur sehr zeitaufwendig zu erstellen.

Als Folge der Intransparenz werden von den zuständigen Systemverwaltern zunächst die zur Verfügung gestellten Standardprofile dahingehend geprüft, ob sie direkt oder in leicht modifizierter Form für einzelne Benutzer übernommen werden können. Wenn die Standardrechte nicht ausreichen, werden die Profile solange erweitert, bis der Zugriff auf die gewünschten Systemressourcen gewährt wird. Hilfreich sind in dieser Hinsicht die vom SAPBerechtigungskonzept eingeblendeten Fehlermeldungen, die darauf hinweisen, an welcher fehlenden Berechtigung der Zugriff bislang gescheitert ist. Leider wird bei dieser Art der Zugriffsvergabe nicht geprüft, ob durch die zusätzlich vergebenen Berechtigungen vielleicht auch der Zugriff auf andere Programme oder Masken freigegeben wird.

Dieses Verfahren hat im AK Eilbek beispielsweise dazu geführt, dass Ärzte grundsätzlich auf sämtliche Patientendaten - sowohl Aufnahmestammdaten als auch medizinische Daten - noch Jahre nach der Entlassung des Patienten zugreifen können. Eine Beschränkung des Zugriffs auf Patienten der eigenen Station erfolgt nicht. Dies gilt auch für die psychiatrische Klinik.

Ebenso kann die "Pförtnerliste" - sie ermöglicht Auskunft über Patientenname, Geburtsdatum und Station - nicht nur vom Pförtner, sondern auch von der Poststelle und von sämtlichen Pflegekräften aufgerufen werden. So kann jede Krankenschwester über die Pförtnerliste erfahren, welcher Patient im AK Eilbek aufgenommen bzw. wann er entlassen wurde. Wie lange die Patienteninformationen noch nach der Entlassung verfügbar sind, kann flexibel bis zu 99 Tagen vom Pförtner, der Poststelle und den Pflegekräften eingestellt werden.

Diese Art der Vergabe der Zugriffsrechte widerspricht der in § 10 HmbDSG geforderten ordnungsgemäßen Anwendung von Datenverarbeitungsprogrammen. Trotz der Komplexität und Intransparenz des SAP-Berechtigungskonzepts ist der Anwender von SAP-Systemen dazu verpflichtet, die SAP-Benutzer und deren Zugriffsrechte revisionssicher zu dokumentieren. Dies ist seitens des AK Eilbek unterblieben.

Um die Ordnungsmäßigkeit des SAP-Verfahrens zu verbessern, ist es zunächst erforderlich, für sämtliche Benutzer bzw. Benutzergruppen (Ärzte, Pflegepersonal, Aufnahmepersonal, Systemadministratoren, Pförtner etc.) den Umfang ihrer Tätigkeit und darauf basierend das Ausmaß der notwendigen Zugriffsrechte schriftlich festzulegen. Eine Einrichtung bzw. Änderung von Zugriffsrechten "auf Zuruf" des jeweiligen Benutzers - wie es im AK Eilbek der Fall ist - sollte durch ein geordnetes Verfahren mit schriftlicher Dokumentation ersetzt werden.

Hierbei ist insbesondere die Frage zu klären, in welchem Umfang die Mitarbeiter - auch Ärzte - auf Daten von Patienten anderer Abteilungen und Stationen zugreifen müssen. Der gegenwärtige unbeschränkte Zugriff überschreitet die datenschutzrechtliche Grenze der "Erforderlichkeit" der Datenverarbeitung, wie sie in §§ 8 und 9 Hamburgisches Krankenhausgesetz (HmbKHG) festgeschrieben ist. Dringend erscheint vor allem, den Mitarbeitern anderer Abteilungen den unmittelbaren Zugriff auf Daten von Patienten der psychiatrischen Klinik zu verwehren. Soweit ein früherer Psychiatriepatient in einer anderen Abteilung behandelt wird, muss sichergestellt sein, daß die Psychiatrie-Daten nur mit Einwilligung des Patienten oder seines Vertreters hinzugezogen werden. Dies sehen auch die krankenhausinternen Dienstanweisungen zur Führung und Herausgabe von Krankenakten und Röntgenbildern vor.

Auch der weitgehende Zugriff auf die "Pförtnerliste" ist nicht erforderlich. Zumindest die Pflegekräfte auf den Stationen werden einen abteilungs- und stationsübergreifenden Zugriff auf Patientendaten kaum benötigen. Wie lange nach der Entlassung noch auf Patientendaten zugegriffen werden kann, sollte nicht vom Pförtner oder der Poststelle selbst, sondern nach strengen Erforderlichkeitskriterien durch die Systemadministration festgelegt werden.

§ 14 Satz 3 HmbKHG fordert darüber hinaus, dass "bei Daten, die in automatisierten Verfahren mit der Möglichkeit des Direktabrufs gespeichert sind, die Möglichkeit des Direktabrufs zu sperren (ist), sobald die Behandlung des Patienten in dem Krankenhaus abgeschlossen ist, die damit zusammenhängenden Zahlungsvorgänge abgewickelt sind und das Krankenhaus den Bericht über die Behandlung erstellt hat". Die zu treffenden Maßnahmen sollten dabei so gestaltet werden, daß Zugriffe bei einer Wiederaufnahme desselben Patienten mit seinem Einverständnis möglich sind.

Wir haben das AK Eilbek aufgefordert, die für die jeweiligen Aufgaben im Krankenhaus erforderlichen Zugriffsrechte schriftlich festzulegen und das SAP-System anschließend dahingehend zu prüfen, inwieweit die realen Berechtigungen den dokumentierten Zugriffsrechten entsprechen. Falls dieses Verfahren aufgrund der Intransparenz der vergebenen Berechtigungsobjekte und Berechtigungen für einige Benutzerkennungen nicht anwendbar ist, sollten für die jeweiligen Benutzer vollständig neue Kennungen bzw. neue Profile mit nachvollziehbaren Zugriffsrechten vergeben werden.

Weiteres Verfahren

Das AK Eilbek hat sich bereit erklärt, ein Freigabeverfahren sowie ein geordnetes Verfahren zur Einrichtung und Änderung von Zugriffsrechten zu erstellen und einzusetzen. Die anderen Forderungen werden zur Zeit noch mit dem AK Eilbek intensiv erörtert. Dabei spielt auch eine entscheidende Rolle, inwieweit die Forderungen durch den Anwender oder durch den Hersteller umgesetzt werden können.

Soweit die Datenschutzprobleme auf systemimmanente SAP-Schwächen zurückzuführen sind, können die Krankenhäuser die genannten Probleme nicht allein und ohne Unterstützung des Herstellers lösen. Wir haben daher

- auch im Zusammenhang mit anderen Sicherheitsdefiziten (u. a. terminalbezogene Zugriffsrechte, vgl. 14. TB, 3.2) - vorgeschlagen, die Schwachstellen des Berechtigungskonzepts sowie Lösungsansätze zur Verbesserung des Datenschutzes mit SAP zu erörtern.

Prüfung der Sicherheit von ISDN-Telekommunikationsanlagen

Die Prüfung einer ISDN-fähigen Telekommunikationsanlage, an die fast 1800 Nebenstellen (Telefon, Fax) angeschlossen sind, hat Hinweise auf erhebliche datenschutzrechtliche Mängel ergeben, die zu einer förmlichen Beanstandung gemäß § 25 HmbDSG führten.

Für den Betrieb der Anlage ist die Finanzbehörde - Landesamt für Informationstechnik (LIT) zuständig. An die Telekommunikationsanlage sind zahlreiche Dienststellen der hamburgischen Verwaltung angeschlossen, darunter auch solche, deren Mitarbeiter der ärztlichen Schweigepflicht unterliegen. Hierzu gehören vor allem die Personalärztlichen und Betriebsärztlichen Dienste der FHH.

Es wurden insbesondere folgende Sicherheitsrisiken festgestellt: Die Räumlichkeiten, in denen die Telekommunikationsanlage untergebracht ist, waren unzureichend gegen unbefugten Zutritt gesichert. Personen, denen es infolge der unzureichenden Zugangssicherung gelungen wäre, in diesen Bereich einzudringen, hätten dort z. B. Gespräche abhören und Manipulationen an den Geräten vornehmen können. Da diese Räume nicht regelmäßig von Mitarbeitern des LIT betreten wurden, wären derartige Eingriffe erst viel später bemerkt worden.

Die Schlüsselverwaltung wies erhebliche Mängel auf. Obwohl der Kreis der Zutrittsberechtigten viel zu weit gezogen war, wurde keine Dokumentation darüber geführt, wer die Räumlichkeiten wann betreten hat. Dadurch war eine nachträgliche Feststellung, wer sich Zugang zur Anlage verschafft hat, unmöglich.

Es existierten keine verbindlichen Regelungen für den Zugang zur Anlage - weder für die Wartung vor Ort, noch für die Fernwartung. Der Bereich für die Fernwartung (in den Räumen des LIT) konnte auch von zahlreichen nicht zuständigen Personen betreten werden. Dies war besonders problematisch, weil die dort eingesetzten PC nicht ausreichend gegen unberechtigten Zugriff geschützt waren. Für die Fernwartung existierte zudem keine gesonderte Wartungskennung.

Die Verwaltung der Anlage erfolgte stets mit vollständigen Systemrechten, wobei alle Wartungskräfte dasselbe Paßwort benutzten. Weil keine Protokollierung der vorgenommenen Eingriffe auf Softwareebene existierte, konnten auch hier mögliche Mißbräuche nachträglich nicht festgestellt werden. Dies galt auch für die Fernwartung, die von Mitarbeitern der hamburgischen Verwaltung durchgeführt wird.

Es gab keine verbindlichen Regelungen über eine regelmäßige Änderung des Paßwortes, das zudem auf mehreren Anlagen gültig war. Dies war besonders dann problematisch, wenn externe Wartungskräfte Eingriffe an der Anlage vornehmen mußten. Ein zu diesem Zweck mitgeteiltes Paßwort wurde anschließend nicht regelmäßig geändert. Weiterhin war die Paßwortqualität nur unzureichend. Für einen Lese-Zugriff auf die Konfigurationsdaten der Anschlüsse war überhaupt kein Paßwort erforderlich.