Projektdaten
Standort
Wien
Branche
Gesundheitswesen
Anzahl IT-User
260
Verwendete Lizenz
tenfold Enterprise
รber die St. Anna Kinderkrebsforschung
Das renommierte Wiener Forschungsinstitut, St. Anna Kinderkrebsforschung, forscht zum Wohle krebskranker Kinder. Seit seiner Grรผndung 1988 zรคhlt es zu den weltweit fรผhrenden Institutionen in diesem Bereich. Auch dank der engagierten Forschungsarbeit, die seit รผber 35 Jahren geleistet wird, konnten die Heilungschancen von Leukรคmie bei Kindern von nur ca. 20% in den 1960er Jahren auf heute ca. 85% angehoben werden.
Kundenmeinung
โMit tenfold konnten wir unerwartet groรe Vorteile erzielen, und das mit minimalem Aufwand. Dank tenfold sparen wir monatlich 1-2 Manntage an Arbeit ein.โ
Ingomar Schmickl
IT-Leitung, St. Anna Kinderkrebsforschung
Allgemeine Herausforderungen beim Schutz sensibler Personendaten im Gesundheitswesen
Wรคhrend die Wissenschaft unermรผdlich an der Verbesserung der Lebensqualitรคt krebskranker Kinder arbeitet, spielt sich im Hintergrund eine ebenso bedeutende Auseinandersetzung ab: der digitale Kampf gegen Hacker und andere Bedrohungen. Gleichzeitig ist der verantwortungsvolle Umgang mit sensiblen Daten von grรถรter Bedeutung, denn in unserer Zeit zรคhlen Daten zu den wertvollsten und gleichzeitig verletzlichsten Gรผtern.
Insbesondere bei einer Institution wie der St. Anna Kinderkrebsforschung, die mit hochsensiblen personenbezogenen und medizinischen Daten arbeitet, ist der Schutz dieser Informationen unerlรคsslich. Um diese Daten vor Angriffen zu schรผtzen, mรผssen Gesundheitseinrichtungen besonders effektive Sicherheitsmaรnahmen implementieren, denn ein Sicherheitsvorfall wie zum Beispiel ein Datenleck oder Ransomwareangriff aufgrund unzureichender Cybersecurity, kann zu schwerwiegenden Konsequenzen sowohl fรผr die Patientenversorgung als auch Forschungsergebnisse haben. Zu solchen Konsequenzen zรคhlen:
Finanzielle Schรคden
Reputationsverlust
Compliance-Verfehlungen (Gesundheitseinrichtungen wie die St. Anna Kinderkrebsforschung unterliegen strengen Compliance-Richtlinien wie z.B. der DSGVO)
Identity Access Management als Sicherheitsmaรnahme
Neben klassischen Werkzeugen wie Firewalls, Antivirus-Software, Daten-Backups, Datenverschlรผsselung und Mitarbeiterschulungen zรคhlt auch der Einsatz einer Identity Access Management-Lรถsung zu den Grundpfeilern einer soliden Sicherheitsstrategie. Auch aus diesem Grund wurde unter der Leitung von Ingomar Schmickl, Head of IT, St. Anna Kinderkrebsforschung, die IAM-Software tenfold zur Verwaltung von Benutzern und Berechtigungen 2023 mit ins Boot geholt.
Unterschiedliche Anforderungen an die IT
Bis vor wenigen Jahren wurden die IT-Ressourcen des St. Anna Kinderspitals und des Forschungsinstituts gemeinsam verwaltet. Aufgrund der unterschiedlichen IT-Anforderungen eines Krankenhauses im Vergleich zu denen eines Forschungsinstituts wurde im Jahr 2020 eine eigenstรคndige IT-Abteilung fรผr die St. Anna Kinderkrebsforschung eingerichtet.
“Ein Krankenhaus gleicht in meinen Augen einem Frachtschiff, das seine wertvolle Ware sicher und stabil รผber den Atlantik transportieren muss. Es fรคhrt stetig geradeaus, vermeidet abrupte Wendungen und erreicht sparsam und zuverlรคssig sein Ziel. Alles muss konsistent und reibungslos funktionieren. Die Forschung hingegen ist wie ein Schnellboot, das flexibel und dynamisch agiert. Es kann schnell Richtungswechsel vornehmen, um auf neue Entdeckungen zu reagieren und innovative Wege zu erkunden.โ
Ingomar Schmickl
IT-Leitung
Die Ausgangslage: Umfangreiche manuelle Aufgaben
Das obige bildhafte Zitat von IT-Leiter Schmickl verdeutlicht den Unterschied zwischen dem (IT-)Betrieb eines Krankenhauses, der strikt, kontinuierlich und sicher nach festgelegten Standards funktionieren muss, und dem Betrieb eines Forschungsinstituts, das durch ein hohes Maร an Flexibilitรคt und Innovationsfreude geprรคgt ist. Traditionell ist eine hohe Fluktuation in der Forschung รผblich, da die Beteiligung an verschiedenen Projekten die berufliche Weiterentwicklung und Reputation von Forschenden fรถrdert und neue Perspektiven erรถffnet.
Auch im Wiener Forschungsinstitut St. Anna bereichert ein stรคndiger Wechsel von Talenten den Alltag. Vor der Einfรผhrung von tenfold bestand fรผr die IT die Herausforderung darin, das On- und Offboarding von Mitarbeitenden effizient zu gestalten. Ohne Automatisierung waren diese Prozesse zeitaufwendig und anfรคllig fรผr Fehler. Bei der Ankunft neuer Forschender mussten Benutzerkonten in Active Directory und anderen Systemen erstellt und entsprechende Zugriffsrechte vergeben werden. Je nach Komplexitรคt des Mitarbeitenden konnte dieser Vorgang mehrere Stunden in Anspruch nehmen. Ebenso wichtig war es, diese Berechtigungen rechtzeitig zu entziehen und Benutzerkonten bei Verlassen des Instituts zu deaktivieren oder zu lรถschen. Dank tenfold kรถnnen diese Aufgaben nun effizient und fehlerfrei erledigt werden.
โDie Ausgangslage war klassisch geprรคgt durch umfangreiche manuelle Prozesse und eine geringe Automatisierung.”
Ingomar Schmickl
IT-Leitung
Interne laterale Bewegungen, wie Wechsel von einer Forschungsgruppe in eine andere, stellen auf Berechtigungsebene eine besondere Herausforderung dar. Informationen mรผssen verschiedene Abteilungen durchlaufen โ z. B. รผber die Gruppenleitung zu HR und von dort zur IT โ bevor sie im System abgebildet werden kรถnnen. Diese Informationen mรผssen nicht nur rechtzeitig an die IT weitergegeben werden, sondern es mรผssen in Folge auch รbergangsfristen bei den Berechtigungen gesetzt werden, damit Forschende ihre Arbeit in der einen Gruppe abschlieรen kรถnnen, wรคhrend sie bereits in einer anderen aktiv sind. Manuell ist dies ein komplexer, fehleranfรคlliger und langwieriger Prozess, bei dem jedes angebundene System nach Berechtigungen der Person durchforstet werden muss.
Zudem benรถtigen Forschende oft eigene Systeme fรผr ihre Arbeit, die ebenso wie die Mitarbeitenden selbst kurzfristig und zeitlich begrenzt mit dem hauseigenen System integriert werden mรผssen. Passwortรคnderungen und รคhnliche Aufgaben gehรถren ebenfalls zum tรคglichen Arbeitsaufwand. Kurz gesagt: es gab eine erhebliche Menge an Aufgaben zu bewรคltigen.
Manuelle Benutzerverwaltung fรผhrt zu Fehlern und Sicherheitsrisiken
Zusรคtzlich zu einem hohen Arbeitsvolumen, das durch fehlende Prozessautomatisierung entsteht, weist eine manuelle Benutzerverwaltung zahlreiche weitere Nachteile auf: Fehler schleichen sich ein, die Namensgebungen sind uneinheitlich, BenutzerInnen erhalten fรคlschlicherweise Berechtigungen, die ihnen nicht zustehen, weil die falsche AD-Gruppe ausgewรคhlt wurde. Auรerdem behalten sie oft Berechtigungen, die sie nicht mehr benรถtigen, รผbermรครig lang oder sogar dauerhaft (z.B. bei Abteilungswechsel โ dieses Phรคnomen wird als Privilege Creep bezeichnet). Es ist generell herausfordernd, mithilfe von manuell gefรผhrten Excel-Listen und Tickets den รberblick รผber die Berechtigungslandschaft im Unternehmen zu behalten.
รberlizenzierung auf Grund von fehlendem รberblick
Ein weiteres Problem trat auch bei der Verteilung von Lizenzen auf, wenn aufgrund des fehlenden รberblicks รผber Berechtigungen und Ressourcen eine Microsoft 365-Lizenz bei einem User nach dessen Deaktivierung nicht entzogen wurde, sondern weiterlief und somit nicht fรผr den nรคchsten User zur Verfรผgung stand. Die Folge: es wurden unnรถtigerweise neue Lizenzen dazugekauft.
Referenz-User als Sicherheitsrisiko
In dem Zusammenhang herausfordernd ist die Nutzung von so genannten Referenz-Usern fรผr die User-Anlage. Dabei werden die Berechtigungen eines bestehenden Benutzers (dem Referenz-User), der eine รคhnliche Position wie der neue Mitarbeiter besetzt oder der gleichen Abteilung angehรถrt, einfach kopiert und auf den neuen Mitarbeiter รผbertragen. Hier kann es vorkommen, dass der neue Mitarbeiter Zugriff auf Ressourcen bekommt, die er gar nicht fรผr seine Arbeit benรถtigt oder haben sollte.
Die Gefahr, dass ein User so zu einem รผberberechtigtem Insider Threat wird, ist durch die Nutzung von Referenz-Usern latent immer gegeben und sollte strikt vermieden werden. Zudem ist es eine Verletzung des Least Privilege Prinzips und entspricht somit nicht den Security Best Practices.
IAM relevant, aber als โzu komplexโ verschrien
Mit einer Lรถsung fรผr Berechtigungsmanagement lassen sich solche Fรคlle einfach vermeiden, denn die Software entzieht Lizenzen automatisch, sobald ein User deaktiviert wird.
Auch Ingomar Schmickl, Leiter der IT bei der St Anna Kinderkrebsforschung, hatte das Thema IAM auf dem Radar. Jedoch wurde es von ihm โ wie auch von vielen seiner FachkollegInnen โ als โkomplex und aufwendigโ betrachtet, also mit einem erheblichen zeitlichen und finanziellen Aufwand verbunden; ein umfassendes Projekt, in das man sich intensiv einarbeiten mรผsse.
Da die IT-Abteilung des Forschungsinstituts bereits stark mit der Bewรคltigung von alltรคglich Aufgaben ausgelastet war und auf der anderen Seite das Institut fast zu 100% durch Spenden finanziert wird, erschien die Umsetzung eines so umfangreichen und kostspieligen Projektes nicht realisierbar.
Im Gesprรคch mit tenfold-Integrationspartner Artaker, der auch auf eine langjรคhrige Zusammenarbeit mit Schmickl und dem Institut St. Anna Kinderkrebsforschung zurรผckblicken kann, wurde jedoch deutlich, dass Identity Access Management nicht nur zur Verbesserung der allgemeinen IT-Sicherheit beitrรคgt, sondern auch eine entlastende Funktion im รผberladenen Alltag von IT-Fachkrรคften bietet.
โEs wurde klar, dass Identity Access Management nicht nur ein Sicherheitsaspekt ist, sondern auch eine erhebliche Entlastung in unserem Arbeitsalltag bedeutet.โ
Ingomar Schmickl
IT-Leitung
Dass es neben umfangreichen und kostspieligen Enterprise-IAM-Lรถsungen auch andere Optionen fรผr den Mittelstand gibt, die dazu noch gรผnstigere Konditionen fรผr spendenabhรคngige Einrichtungen wie dem Forschungsinstitut anbieten, brachte den IAM-Ball ins Rollen.
Lรถsungssuche: Governance, Enterprise oder etwas dazwischen?
Im Zuge der Auswertung von potenziellen IAM-Lรถsungen wurden neben tenfold auch noch eine Governance-Lรถsung sowie eine Enterprise-Lรถsung in Betracht gezogen. Doch schnell kam man zu dem Schluss, dass beide der letzteren Optionen nicht das boten, was benรถtigt wurde โ die Governance-Lรถsung war primรคr auf die Protokollierung von รnderungen in Active Directory ausgerichtet, die Enterprise-Lรถsung allen Erwartungen entsprechend zu komplex, so dass schnell deutlich wurde, dass hier die Projektabschรคtzung allein den Kosten-Nutzen-Faktor sofort in ein Ungleichgewicht stรผrzen wรผrde.
tenfold hingegen bot die gewรผnschte Mischform der beiden Optionen, sprich eine Automatisierung von Prozessen wie Useranlage und -Abbau, bei gleichzeitiger Protokollierung von AD-Rechten und รnderungsverlรคufen. Ebenso konnte tenfold mit seiner Self-Service-Funktion punkten: รผber diese kรถnnen User Berechtigungen direkt bei den zustรคndigen Dateneigentรผmern anfordern. Diese wiederum kรถnnen Anfragen direkt und ohne Aufwand bestรคtigen oder ablehnen und tenfold setzt die jeweilige Entscheidung automatisch im Hintergrund um. Das fรผhrt nicht nur zu einer Entlastung der IT, da sie nicht mehr als Nexus zwischen Usern und Data Ownern fungieren muss, sondern in weiterer Folge auch zu einer enormen Zeitersparnis fรผr alle Beteiligten.
Wie wird tenfold eingesetzt?
Ein besonders zeitaufwรคndiger Aspekt fรผr die IT des Forschungsinstituts war die Verwaltung von Nutzerkonten aufgrund der hohen Mitarbeiterfluktuation, die etwa 5-8 Abhรคnge pro Monat umfasste. Beim Ausscheiden eines Mitarbeiters mussten sรคmtliche Accounts, Postfรคcher, Berechtigungen und Lizenzen in Active Directory und Systemen wie Microsoft 365 identifiziert, einzeln deaktiviert und entzogen sowie in Excellisten dokumentiert werden.
User-Abbau
Somit wurde dieser anspruchsvolle Prozess als erster Schritt in Zusammenarbeit mit tenfold und der Firma Artaker optimiert. In einer etwa vierstรผndigen Sitzung wurde eine Lรถsung implementiert, bei der jedem ausscheidenden Mitarbeiter ein Ablaufdatum zugewiesen wird, das mit einer 14-tรคgigen รbergangsfrist verknรผpft ist. Sobald das Ablaufdatum erreicht wird, erfolgt die automatische Deaktivierung des Nutzers durch tenfold. Nach Ablauf der รbergangsfrist werden sรคmtliche Lizenzen, einschlieรlich der fรผr Microsoft 365 und Fileshare-Zugriffe, entzogen, der Nutzer wird aus allen Verteilern entfernt und verschwindet aus der Adressliste โ alles automatisch und ohne manuelles Eingreifen.
Das Ergebnis dieser Optimierung ist eine signifikante Zeitersparnis fรผr die IT-Abteilung sowie die Vermeidung unnรถtiger Lizenzkรคufe.
User-Onboarding mittels Rollenprofilen
Im zweiten Schritt wurde das Onboarding von neuen Mitarbeitenden via tenfold umgesetzt. Dazu mussten vorab Ressourcen in tenfold definiert werden (z.B. PCs, File Server, geteilte und nicht geteilte Postfรคcher, usw.), die dem neuen User bei Eintritt zugewiesen werden kรถnnen. Im Zuge dieser Arbeit wurde dem IT-Team des Forschungsinstitutes verdeutlicht, wie viele Ressourcen sie eigentlich bisher ohne IAM-System manuell jongliert hatten โ 14 Forschungsgruppen und deren zugehรถrige Systeme, wovon jede auch eine eigene Ordnerstruktur auf dem Fileserver hat, 10 unterschiedliche Abteilungen wie IT, HR, Legal, Finance, usw., die wiederum eigene Berechtigungen und Ressourcen benรถtigen, uvm.
โEine wesentliche Erkenntnis fรผr uns war, dass wir durch tenfold erstmals gesehen haben, รผber wie viele Ressourcen wir tatsรคchlich verfรผgen und wie komplex unsere Infrastruktur ist, obwohl unsere Mitarbeiterzahl relativ gering ist. Diese Dimension war uns zuvor nicht bewusst.โ
Ingomar Schmickl
IT-Leitung
Sobald die Ressourcen in tenfold konfiguriert sind, kรถnnen so genannte โProfileโ (siehe auch: Was ist Role-Based Access Control?) erstellt werden, die solche Ressourcen und Berechtigungen gebรผndelt enthalten und neuen Usern bei Firmeneintritt automatisch, zum Beispiel basierend auf der Position im Unternehmen, zugewiesen werden kรถnnen. So kรถnnen neue Mitarbeiter ohne Wartezeiten auf Berechtigungen direkt am ersten Arbeitstag losstarten. Gleichzeitig bekommen sie ausschlieรlich jene Berechtigungen, die fรผr ihren Arbeitsbereich notwendig sind.
Zukunftsplรคne mit tenfold
Self-Service-Funktion
Im nรคchsten Schritt soll das zuvor beschriebene Self-Service Portal von tenfold implementiert werden, รผber das Benutzer selbststรคndig Ressourcen und Zugriffe von den zustรคndigen Data Ownern anfordern kรถnnen. Der Vorteil ist, dass Anfragen und Entscheidungen so nicht mehr รผber die IT gespielt werden mรผssen โ was zu weiteren Verzรถgerungen und Fehlern fรผhren kann โ sondern direkt erfolgen.
Anbindung von DPW
Auรerdem sollen weitere Systeme an tenfold angebunden werden, um die IT noch mehr zu entlasten, so zum Beispiel die HR-Funktion von Sage DPW.
Auch hier ist der bisherige Ablauf so, dass bei Neueintritt die HR-Abteilung den neuen Mitarbeiter in DPW anlegt und nachfolgend die IT mit allen Informationen per E-Mail fรผttert. Die IT wiederum muss dann User-Accounts und Berechtigungen in sรคmtlichen Systemen auf Basis dieser Informationen erstellen, damit diese am ersten Arbeitstag des neuen Mitarbeiters bereitstehen. Auch hier kรถnnen Fehler auftreten, wenn beispielsweise die Info seitens HR unkorrekt weitergeleitet wird oder bei hรคndischer Dateneingabe durch die IT.
Lรถsung in tenfold: Sobald DPW an tenfold angebunden ist, fรคllt die fehleranfรคllige Kommunikation zwischen den Abteilungen HR und IT weg, da tenfold bei Neueintritt die Daten direkt aus DPW holt und anhand dieser in allen weiteren angebundenen Systemen entsprechend User-Accounts anlegt und Berechtigungen verteilt โ und zwar nur jene, die auch tatsรคchlich benรถtigt werden. Somit kann sichergestellt werden, dass kein Mitarbeiter Zugriff auf Informationen erhรคlt, die er nicht haben sollte und die IT ist zudem entlastet.
Reporting-Funktion
Ebenso in Planung ist es, die Reporting-Funktion von tenfold einzubinden. Damit lรคsst sich auf einen Klick nicht nur auflisten, auf welche Ressourcen ein User Zugriff hat, sondern auch seit wann, fรผr wie lange und wer fรผr die Vergabe verantwortlich ist. Das sorgt nicht nur fรผr eine bessere รbersicht, sondern unterstรผtzt auch bei Audits โ egal ob intern oder extern โ besser und schneller ans Ziel zu kommen.
โFrรผher, wenn ein Abteilungsleiter Informationen darรผber benรถtigte, รผber welche Zugriffe ein Mitarbeiter verfรผgte, war es notwendig, an unterschiedlichen Stellen Nachforschung zu betreiben: sรคmtliche verschachtelte AD-Gruppen und M365-Dienste mussten durchforstet werden, einschlieรlich aller geteilter Postfรคcher, Verteilerlisten und Teams. Eine sofortige, umfassende รbersicht รผber die Zugriffsrechte eines Nutzers war nicht mรถglich.โ
Ingomar Schmickl
IT-Leitung
Rezertifizierung
Weiters auf der Liste zu finden ist die Umsetzung der Rezertifizierungsfunktion (User Access Reviews) von tenfold. Dabei werden Datenverantwortliche (in diesem Falle z.B. die Forschungsgruppenleiter) regelmรครig von tenfold dazu aufgefordert, die bestehenden Zusatzberechtigungen von Forschern in ihren Teams zu รผberprรผfen und nicht mehr benรถtigte Zugriffe zu entfernen (dies betrifft ausschlieรlich Zusatzberechtigungen. Standardberechtigungen, die z.B. รผber Profile zugewiesen werden, mรผssen nicht rezertifiziert werden). So kรถnnen Gefahren wie Privilege Creep und in Folge auch Insider Threats eingedรคmmt werden, wรคhrend gleichzeitig die Einhaltung von des Least-Privilege-Prinzips gewรคhrleistet wird.
โDurch die Rezertifizierung kรถnnten wir die Sicherheitsstandards auf einen Schlag erheblich verbessern.โ
Ingomar Schmickl
IT-Leitung
Fazit
Ingomar Schmickl freut sich, mit tenfold zusammen zu arbeiten. Nach Inbetriebnahme konnte das Team der IT merklich entlastet, die Fehlerquote gesenkt und die Effizienz und Sicherheit bei der Verwaltung von Berechtigungen und Benutzern erhรถht werden. Insbesondere beim Offboarding von Mitarbeitern ist die Zeitersparnis deutlich zu spรผren.
Die geplanten zukรผnftigen Erweiterungen, wie die Anbindung von DPW und die Implementierung der Self-Service- und Reporting-Funktionen, versprechen eine weitere Optimierung der Prozesse und eine noch stรคrkere Erhรถhung der IT-Sicherheit. Die Entscheidung fรผr tenfold als IAM-Software stellt somit einen bedeutenden Fortschritt fรผr die St. Anna Kinderkrebsforschung dar, die dadurch ihre wichtige Arbeit im Kampf gegen Kinderkrebs noch effektiver fortsetzen kann.
Erfahren Sie mehr รผber die Vorteile von Identity & Access Management
Lernen Sie den vollen Funktionsumfang von tenfold kennen!
Lassen Sie sich jetzt ein individuelles Angebot von uns erstellen