Universitätsklinikum Aachen: Single-Sign-on-Lösung für schnelle Authentifizierung
25.07.2011 -
Universitätsklinikum Aachen: Single-Sign-on-Lösung für schnelle Authentifizierung. Wie in jedem Krankenhaus wechseln auch im Universitätsklinikum Aachen Ärzte, Schwestern und Pfleger häufig die Räumlichkeiten. Für den Zugang zu IT-Anwendungen war an jeder Station eine zeitraubende Neuanmeldung erforderlich. Abhilfe schaffte die Einführung einer Single-Sign-on-Lösung in Verbindung mit einer Smartcard. Sie reduziert den Anmeldevorgang auf das Einstecken der Karte und das Eingeben einer PIN.
Mit rund 5.600 Mitarbeitern, 67 Professoren, 34 Kliniken, 30 Operationssälen und 23 klinischtheoretischen Instituten zur Ausbildung von Ärzten und Medizinern ist das Universitätsklinikum Aachen eines der größten Krankenhäuser Europas. Das im Jahr 1985 eingeweihte Klinikum versorgt auch zahlreiche Patienten aus den benachbarten Niederlanden und Belgien.
Beim Wechsel von Arbeitsräumen benötigt das Personal möglichst an jeder Arbeitsstelle schnellen Zugang zu Patientendaten, medizinischen Anwendungen und Informationen. Bis vor Kurzem war am Universitätsklinikum Aachen dazu an jedem Endgerät auf Windows-Ebene und beim Krankenhausinformationssystem jeweils eine Anmeldung mit Benutzerkennung und Passwort erforderlich. Allein der zweifache Anmeldeprozess dauerte jedes Mal bis zu eineinhalb Minuten. Der Zeitaufwand summierte sich im Lauf eines Arbeitstages. Zudem konnte die bisherige Lösung nicht ausreichend sicherstellen, dass nur der zuständige Arzt oder der jeweilige Pflegemitarbeiter auf die Patientendaten zugreifen konnte.
Keine Schnittstelle bei Linux-Lösung
60 % der Endgeräte sind Thin Clients mit reduzierter Hardwareleistung. Diese 1.000 Arbeitsplätze beziehen alle Daten über den Citrix Presentation Server 4.0 von der zentralen Windows-Terminalserver- Farm. Als Betriebssystem der Thin Clients war das Linux-Derivat eLux NG im Einsatz. Der Citrix PN Agent auf den Thin Clients bildet das erforderliche Gegenstück zum serverseitigen Citrix Presentation Server 4.0. Bei der Linux-Version fehlte als entscheidende Komponente jedoch die Schnittstelle zwischen der Chipkarte und Citrix PN Agent.
Auf der Suche nach einer passenden Alternative stieß man auf Microsoft Windows XP Embedded. Dies ist eine modular aufgebaute Variante des klassischen Windows-Betriebssystems. Trotzdem lassen sich damit alle Anwendungen und Treiber von Windows XP nutzen. Dies war der IT-Abteilung des UKA besonders wichtig. Dadurch laufen zum Beispiel auf einem Thin Client problemlos alle Gerätetreiber. Zudem war bei der Windows-XP-Embedded- Version von Citrix PN Agent auch die benötigte Schnittstelle vorhanden. Durch den Wechsel auf Windows XP Embedded lassen sich auch digitale Diktiergeräte und POCTMessgeräte problemlos an die Thin Clients anschließen. Dazu ist nur der Treiber in das Windows-XP-Embedded- Image zu integrieren. Bei Linux hingegen fehlen Treiber für viele Spezialgeräte und Anwendungen, die erst programmiert werden müssen.
„Wegen seiner modularen Struktur kann man bei Windows XP Embedded bei Bedarf bis auf den einzelnen Detailtreiber heruntergehen, sodass dann zum Beispiel nur noch ein ganz bestimmtes Diktiergerät akzeptiert wird“, erklärt Axel Blum, IT-Bereichsleiter beim Universitätsklinikum Aachen. Dies stellt einen wichtigen Schutz gegen „unerlaubte“ USB-Geräte und damit gegen Datenmissbrauch und eindringende Viren dar. Gleichzeitig wird dadurch der sonst erforderliche Virenscanner auf den Thin Clients überflüssig. Für die Ablösung der zentralen Linux-Steuerkomponenten und das zentralisierte Update der Thin Clients nutzt das Uniklinikum Aachen den Microsoft Systems Management Server 2003.
Schnelle Anmeldung
Nach dem Wechsel auf Windows XP Embedded wird derzeit, unterstützt vom Microsoft-Partner Wechsler Consulting, eine Smartcard-basierte Single-Sign-on-Lösung zügig eingeführt. Damit ist über einen Zugangscode die gleichzeitige Authentifizierung an mehreren Systemen möglich. Der Anwender erhält beim Wechsel von einer Station zur nächsten über eine individuelle Bildschirmoberfläche die Möglichkeit zur schnellen Wiederanmeldung.
Verantwortlich dafür zeichnet vor allem die neue Funktion SmoothRoaming im Citrix Presentation Server 4.0. Sie ermöglicht unterbrechungsfreien, mobilen Zugriff – auch bei wechselnden Einsatzorten und Endgeräten. Gleichzeitig vereinfacht sich der Anmeldeprozess erheblich, weil die Eingabe einer PIN und das Einstecken der im Dienstausweis integrierten Smartcard in das jeweilige Endgerät genügen. Intern kann das System mithilfe des Citrix Password Manager alle weiteren erforderlichen Anmeldungen und Authentifizierungen erledigen. Für mehr Sicherheit sorgt die Tatsache, dass mit dem Ziehen der Smartcard die jeweilige Sitzung automatisch beendet und der Bildschirm gesperrt wird.
„Erst mit Windows XP Embedded konnten wir die gewünschte Smartcard- basierte Single-Sign-on-Lösung vernünftig realisieren“, sagt Axel Blum. „Heute können Benutzerwechsel fließend in den klinischen Alltag integriert werden.“ Und da der individuelle Bildschirm deutlich schneller zur Verfügung steht, bleibt den Mitarbeitern mehr Zeit für die Behandlung der Patienten.