Security vs. Usability – so wird’s im Kantonsspital St.Gallen gelöst
Theorie ist wichtig, aber nicht ohne Praxisbezug. Zum Abschluss des Moduls Datenschutz und Datensicherheit besuchte Werner Ulmer die 1.-Lehrjahr-Klassen der Informatiker*innen. Er berichtete in seiner Funktion als Chief Information Security Officer des Kantonsspitals St.Gallen aus erster Hand, wie sorgfältig mit den Daten von Patienten*innen umgegangen wird.
Folgendes Szenario: Gleich mehrere schwere Einkaufstaschen sind im Kofferraum des Autos verstaut und müssen von der Tiefgarage in die Wohnung getragen werden. Wäre es in diesem Moment nicht einfacher, Kofferraum und Haustüre wären bereits offen? Der Bequemlichkeit zu liebe offen, seit Fahrtbeginn und dem Verlassen der Wohnung Richtung Einkaufszentrum... «Warum schliessen wir den Kofferraum und die Haustüre trotzdem ab? Aus Gründen der Sicherheit», so Werner Ulmer.
Aber am Arbeitsplatz ist der Unmut und das Unverständnis häufig gross, wenn man das Passwort ändern oder sich mehrmals ein- und ausloggen muss. Werner Ulmer sagt dazu: «Hier geht es um Security versus Usability.» Datenschutz und Datensicherheit erfordere, dass die Mitarbeitenden für diese Thematik sensibilisiert werden. «Alle sollen wissen, weshalb eine neue App nicht in Frage kommt oder warum die Login-Vorschriften so strikt sind.»
Benutzerfreundlich und einfach
Verständnis schaffen ist die eine Strategie, dem Gegenüber entgegenzukommen die andere. Am Kantonsspital St.Gallen sollten sich keine Computer mehr ungesichert und unbeaufsichtigt auf Stationswagen im Gang befinden. Für das Pflegepersonal ist es jedoch mühsam und ineffizient, sich vor und nach der Visite beim/r Patienten*in immer wieder am Computer anmelden zu müssen.
«Wir haben einen personifizierten s-Key – einen Badge –eingeführt, der den Computer nach einer einmaligen Passworteingabe bei Schichtbeginn immer wieder automatisch mit einem Handgriff entsperrt», schildert Werner Ulmer. Letztlich lassen sich mittlerweile auch die Kofferräume des Fahrzeugs nach dem Einkauf benutzerfreundlicher öffnen und schliessen – eine simple Fussberührung reicht dafür aus.
Herausforderung: 10'000 User an mehreren Standorten
Werner Ulmer ist gelernter Motorradmechaniker und wechselte 1995 in die Informatikbranche. Vor gut 25 Jahren hat er sich auf die Informationssicherheit spezialisiert und auf seiner Visitenkarte neben einem Wirtschaftsinformatikstudium in Zürich auch noch einen Master in Informationssicherheit an der Hochschule Luzern stehen. Er arbeitete für namhafte Unternehmen wie die Pilatus Flugzeugwerke, die Swatch-Group oder die Privatbank Julius Bär.
Ende 2018 wechselte er zum Kantonsspital St.Gallen und erhielt den Auftrag, die Informationssicherheit zu erhöhen. «Das heisst, wir betreuen 10'000 Mitarbeitende respektive User, die auf verschiedene Spitäler aufgeteilt sind. Hier für ein Information Security Managementsystem verantwortlich zu sein, ist eine grosse Herausforderung», erklärte er in der Riethüsli-Aula den 1-Lehrjahr-Klassen der Informatiker*innen und den anwesenden Lehrpersonen der Technischen Berufe.
Der Freeze-Moment
Werner Ulmer und sein Team betreuen demnach das Kantonsspital St.Gallen und die Spitalverbunde Linth, Rheintal Werdenberg Sarganserland und Fürstenland Toggenburg. Dazu kommen das Ostschweizer Kinderspital, die Geriatrische Klinik und weitere Kunden aus dem Gesundheitswesen. Bei dieser Anzahl an Standorten weckte Werner Ulmer das Interesse der Schüler*innen auch mit interessanten Zahlen: «Wir haben insgesamt vier Datacenter, wobei wir eines nur für den Backup benötigen. 1100 Server sind für die Produktion und die Testumgebung in Betrieb. Und am gesamten Kantonsspital St.Gallen haben wir 27'000 Netzwerk-Ports.»
Dieser hohe Standard der IT-Infrastruktur muss 24 Stunden und sieben Tage lang stets zur Verfügung stehen. In einem Spital, das rund um die Uhr Patienten*innen betreut, ist das umso wichtiger. Es gibt ihn aber, den sogenannten Freeze-Moment. Werner Ulmer verrät: «Es gibt mehrere Wochen im Jahr, in denen keine Änderungen an den Systemen vorgenommen werden, z.B. über die Weihnachtstage.» Damit kommt die IT dem während dieser Zeit stark geforderten medizinischen Personal entgegen.
Mit diesem Beispiel schlug Werner Ulmer den Bogen zu seinem Thema «Security vs. Usability». Denn wer einander zuhört und auf die Bedürfnisse im Rahmen der technischen Möglichkeiten Rücksicht nehmen kann, der steigert die Akzeptanz.