Zwei-Faktor-Authentifizierung im klinischen Bereich
Der Security-Anbieter nevis verdeutlicht in einem aktuellen Beispiel, wie Datenschutz über eine Zwei-Faktor-Authentifizierung z.B. bei klinischen Studien realisierbar ist.
Die Zwei-Faktor-Authentifizierung findet weltweit immer mehr Anwendung, vor allem bedingt durch eine kontinuierlich hohe Zahl an Cyberangriffen. Beispiel Europäische Union: Beim Online-Shopping per Kreditkarte ist ihr Einsatz in Kürze verpflichtend, um mehr Sicherheit zu schaffen. Genau aus diesem Grund wird die Zwei-Faktor-Authentifizierung auch in anderen Bereichen wertgeschätzt, wie unter anderem im Gesundheitswesen. Dort ist sie bereits in vielen IT-Lösungen integriert und weitere Unternehmen folgen dem Trend. Clinerion ist sogar einen Schritt weiter und setzt auf eine besonders fortschrittliche Variante der Authentifizierung. Vor kurzer Zeit war das Unternehmen auf der Suche nach einem passenden Anbieter, um die Anwendungen seines Patient Network Explorer durch die Zwei-Faktor-Authentifizierung nach dem FIDO-Standard (Fast Identity Online) zu sichern, der einen passwortfreien Login ermöglicht. Als Partner für das Projekt wurde Nevis ausgewählt.
Vorteile des Patient Network Explorer
Clinerion ist weltweit führend in der medizinischen Informatik. Mit dem Patient Network Explorer bietet das Unternehmen ein Tool an, das die Patientenrekrutierung für klinische Studien optimiert, indem es die Suche und Identifikation von möglichen Kandidaten effizienter gestaltet. Das hat wiederum weitere positive Folgen: Die Effektivität in der klinischen Forschung steigt, die Arzneimittelentwicklung wird beschleunigt und Patienten erhalten bestimmte Medikamente früher. Zu den Kunden von Clinerion gehören Unternehmen aus der Pharmaindustrie und Krankenhäuser, die klinische Studien durchführen beziehungsweise an ihnen mitwirken wollen.
Anmeldung über eine Mobile App
Für fremde Personen darf es nicht möglich sein, auf den Patient Network Explorer zuzugreifen, um sich Daten unbefugt anzueignen. In der Cloudanwendung können sich Forscher Suchergebnisse zu passenden Patientengruppen beispielsweise für klinische Studien zu neuen Pharmaprodukten anzeigen lassen. Diese dienen zugleich als Grundlage für Anfragen an die Krankenhäuser im Netzwerk. Die Kliniken verfügen On-Premises über eigene Server für gemäß GDPR deidentifizierten Patientendaten, die es abzugleichen gilt. In der Cloud selbst sind die Daten der Patienten nicht zu finden. Das heißt, die Systeme tauschen sich bei Anfragen untereinander aus.
Als neue Methode zur Anmeldung in der Cloud ist nun die Zwei-Faktor-Authentifizierung nach dem FIDO-Standard hinzugekommen. Sie erfolgt sowohl in Android als auch in iOS über eine Mobile App, die von Nevis stammt und mit der Corporate Identity von Clinerion gebrandet ist. Die Authentication Cloud von Nevis erlaubt dabei den passwortfreien Login, der den Arbeitsalltag der Nutzer erleichtert. Aktuell verwenden etwa fünfzig Anwender die Mobile App.
Dass Nevis mit der Umsetzung beauftragt wurde, hat mehrere Gründe. „Zum einen ist Nevis ein Anbieter aus der Schweiz, wo Datenschutz seit jeher ein großes Thema ist. Nicht von ungefähr sind zahlreiche internationale Organisationen hier ansässig, die sich Schutz und Ausbau von Digital Governance und Cybersecurity auf die Fahnen geschrieben haben. Das heißt, unsere Kunden vertrauen darauf, dass wir besonders hohe Sicherheitsstandards einhalten“, erklärt Dr. Andreas Walter, Chief Technical Officer bei Clinerion. „Zum anderen bietet Nevis eine innovative Lösung, die keine Altlasten mit sich bringt.“ Produkte von Mitbewerbern seien dagegen teils so alt, dass sie sich nur schwer in eine bereits vorhandene Software-Infrastruktur integrieren ließen.
Zusammenarbeit ohne ein persönliches Treffen
Wie vieles andere auch war die Umsetzung durch die COVID-19-Pandemie und die einschränkenden Maßnahmen beeinträchtigt. Obwohl es nie ein persönliches Treffen gab, verlief die Zusammenarbeit jedoch sehr unkompliziert. Organisatorisch tauchten ebenfalls keine Probleme auf: Bei der Implementierung war von Clinerion und Nevis jeweils eine Person federführend, die beide ihrerseits Unterstützung durch ein bis zwei weitere Entwickler erhielten.
Die eigentliche API-Integration der Lösung im Backend ging einfach vonstatten und dauerte nur wenige Tage. Mehr Zeit und einige Korrekturen nahm im Gegensatz dazu das Mobile Development in Anspruch, insbesondre für Android. Nutzer besitzen häufig Firmenhandys, auf denen ältere Versionen des Betriebssystems installiert sind. Jedoch erfordert die Mobile App mindestens die Version 8.0. Alternativ lässt sich die Authentifizierung weiterhin über E-Mail oder SMS erledigen. In Bezug auf Geräte mit iOS sieht die Situation dagegen anders aus. Es erwies sich als vorteilhaft, dass Apple auch ältere Modelle mit der aktuellen Version 14 des Betriebssystems versorgt.
Als „Versuchskaninchen“ für die Mobile App haben die beteiligten Entwickler selbst gedient. Aufgrund der relativ geringen Projektgröße mussten weder Überprüfungen ausgelagert noch umfangreiche Tests unter Beteiligung von Nutzern vorgenommen werden. Beide Unternehmen haben zudem dazugelernt. „Wir haben erlebt, wie schwierig die Publikation einer Anwendung in den Stores von Google und Apple ist – viel aufwendiger und langwieriger als zunächst gedacht. Nevis nimmt sich daher vor, Kunden in diesem Bereich zukünftig noch stärker zu entlasten“, so Lukas Westermann, Product Manager SaaS bei Nevis.
Neue Methode ist keine Pflicht
Für Clinerion war es die erste Einführung einer App. Gemeinsam haben beide Partner es geschafft, alle Anforderungen zu erfüllen. „Gegenüber Nevis wollen wir unsere große Zufriedenheit und einen Dank äußern. Der Support war hervorragend, speziell im Hinblick auf die Publikation der Mobile App“, resümiert Dr. Andreas Walter. „Clinerion arbeitet eng mit Krankenhäusern zusammen und wird ihnen Nevis als Dienstleister für die Implementierung von SSO-Lösungen empfehlen.“ Mit Blick in die Zukunft bleibt der Einsatz auf Android zunächst weiterhin bestehen. Deshalb kann Clinerion es noch nicht zur Pflicht machen, die Zwei-Faktor-Authentifizierung nach dem FIDO-Standard als Methode zur Anmeldung zu verwenden. Das kann erst geschehen, wenn alle Geräte die Mobile App unterstützen. Dann ergibt sich durch den Wegfall der Anmeldung über E-Mail oder SMS außerdem eine Kostenersparnis – ein weiterer Pluspunkt der Mobile App.