-
Die Erfindung betrifft ein Verfahren
zum Signieren von Daten durch verschiedene Nutzer. Die Erfindung
betrifft außerdem
eine Datenverarbeitungseinrichtung zur Durchführung des Verfahrens sowie ein
Speichermedium, auf dem Informationen zur Durchführung des Verfahrens auf einer
Datenverarbeitungseinrichtung gespeichert sind.
-
Die zunehmende Nutzung elektronischer Daten
und Kommunikationswege bringt ständig wachsende
Anforderungen an Mechanismen zur nachträglichen Nachvollziehbarkeit
von Datenzugriffen mit sich. Gleichzeitig soll jedoch eine möglichst einfache,
bequeme und unaufwändige
Zugreifbarkeit der Daten gewährleistet
sein. Insbesondere aufgrund der zunehmenden gegenseitigen Vernetzung
und der häufig
großen
Anzahl verschiedener Nutzer, die elektronischen Zugang zu den selben
Daten erlangen können,
sind wirksame elektronische oder Software-basierte Dokumentations-Mechanismen
unerlässlich
geworden, um anonyme Manipulation oder Einsichtnahme zu verhindern.
-
Aufgrund der vielfältigen Zugriffsmöglichkeiten
und aufgrund der Tatsache, dass elektronische Datenzugriffe nicht
ohne weiteres auf real existierende Personen zurückgeführt werden können, ist
es erforderlich, sämtliche
Datenzugriffe unter Angabe einer Signatur des Zugreifenden zu speichern
und damit zu dokumentieren. Die Dokumentation von Datenzugriffen
durch real existierende Nutzer erfolgt durch Verwendung einer Nutzerindividuellen
Signatur, die ausschließlich
dem jeweiligen Nutzer zur Verfügung
steht und zu deren Verwendung dieser sich authentifizieren muss.
-
Die Dokumentation von Zugriffen auf
elektronische Daten spielt bei personenbezogenen Daten wie Adresslisten
oder Kundendaten, bei Daten im Finanzwesen und insbesondere bei
Daten im Gesundheitswesen eine besonders wichtige Rolle. Im Gesundheitswesen,
wo strengste Anforderungen an die Datensicherheit gestellt werden,
fordern Datenschutzbestimmungen, dass jeder Nutzer von Daten eindeutig
identifiziert und authentifiziert wird. Dabei bedeutet Identifizierung,
dass jeder Datenzugriff bzw. jede Aktion eindeutig mit dem ausführenden
Nutzer, also mit einer real existierenden Person, in Verbindung
gebracht und mit einer elektronischen Signatur dieser Person zur
nachträglichen
Rekonstruierbarkeit dokumentiert wird. Authentifizierung bedeutet, dass
die Authentifizierung eines Nutzer eigens geprüft wird und nur authentifizierten
Nutzer überhaupt eine
Signatur zugeteilt werden kann. Die Funktion der Dokumentation wird
im Gesundheitswesen auch „auditing" genannt, die Funktion
der Authentifizierung auch „access
control".
-
Elektronische Daten können mehreren,
verschiedenen Nutzern zur Verfügung
stehen. Dies kann z.B. bei der Verwaltung von Kundendaten durch die
Angestellten einer Bank der Fall sein, bei Personaldaten in Personalabteilungen,
bei der gemeinsamen Nutzung von Daten in Entwicklungs-Teams oder bei
Daten im Gesundheitswesen, die Teams von behandelnden Ärzten oder
einem bestimmten Kreis medizinischen Fachpersonals zugänglich sein
sollen. Sind mehrere Nutzer zur gemeinsamen Nutzung der selben Daten
vorgesehen, so gehören
sie diesbezüglich
der selben Rolle an. Die gemeinsame Rollen-Zugehörigkeit spiegelt sich in den
bekannten, nutzer-individuellen Signaturen nicht wieder. Insofern lässt sich
die Rollen-Zugehörigkeit
nicht mittels herkömmlicher
Signaturen abbilden und muss, falls sie zur späteren Rekonstruierbarkeit dokumentiert
werden soll, in geeigneter Weise eigens gespeichert und archiviert
werden. Dies verkompliziert die für das „auditing" erforderlichen Speichermaßnahmen
erheblich. Auch die spätere
Rekonstruktion von Datenzugriffen und deren Zuordnung zu Rollen-Zugehörigen ist
dadurch umständlich.
-
Die Aufgabe der Erfindung besteht
darin, die Verwendung von elektronischen Signaturen zu vereinfachen
und gleichzeitig eine vollständig
nachträglich
rekonstruierbare Dokumentation von Datenzugriffen verschiedener
Nutzer und verschiedener Rollen-Zugehöriger auf gemeinsam genutzte
elektronische Daten zu gewährleisten.
-
Die Erfindung löst diese Aufgabe durch ein Verfahren
gemäß dem 1.
Patentanspruch, durch eine Datenverarbeitungseinrichtung mit den
Merkmalen des 9. Patentanspruchs und durch ein Speichermedium gemäß dem 16.
Patentanspruch.
-
Ein Grundgedanke der Erfindung besteht
darin, vor dem Signieren von Zugriffen auf elektronische Daten zunächst eine
Sicherheitsabfrage zur Ermittlung der Identität eines Nutzers durchzuführen, und dem
Nutzer in Abhängigkeit
vom Ergebnis dieser Sicherheitsabfrage eine eindeutige Nutzer-Signatur und
zusätzlich
eine Rollen-Signatur zuzuteilen, wobei die Rollen-Signatur mehreren,
verschiedenen Nutzern zugeteilt werden kann. Das Signieren von Daten-Zugriffen
erfolgt unter Angabe der Nutzer-Signatur und zusätzlich der Rollen-Signatur.
Weder die Nutzer-Signatur noch die Rollen-Signatur sind für den Nutzer
einsehbar.
-
Durch die Signierung von Datenzugriffen
unter Angabe sowohl der Nutzer- als auch der Rollen-Signaturen ergibt
sich der Vorteil, dass alle Informationen zur späteren Rekonstruktion der Identität und der
Rolle eines Datenzugreifenden zum Zeitpunkt des Datenzugriffs durch
die Signatur gegeben sind. Darüber
hinaus sind die Signaturen weitestgehend sicher vor Manipulationen,
da sie in Abhängigkeit
von einer Sicherheitsabfrage zugeteilt werden und für den Nutzer
nicht einsehbar und deshalb nicht durch ihn missbrauchbar sind.
Ein weiterer Vorteil besteht darin, dass das Verfahren vom Nutzer
lediglich eine Sicherheitsabfrage erfordert, im übrigen aber für den Nutzer
grundsätzlich
unbemerkt abläuft,
und daher besonders einfach und unaufwändig handhabbar ist.
-
In einer vorteilhaften Ausgestaltung
der Erfindung erfolgt die Sicherheitsabfrage durch biometrische
Ermittlung von Nutzer-Daten, wie z.B. die Erfassung der Gestalt
der Iris oder des Fingerabdrucks. Dadurch ergibt sich der Vorteil,
dass eine besonders hohe Täuschungssicherheit
erzielt wird, ohne vom Nutzer zusätzlichen Aufwand wie z.B. das
Memorieren eines Passwortes zu erfordern.
-
In einer weiteren vorteilhaften Ausgestaltung der
Erfindung erfolgt die Ermittlung der Nutzer-Signatur durch Abfrage
eines Nutzer-Signatur-Speichers, der räumlich entfernt angeordnet
ist. Dadurch ergibt sich der Vorteil, dass der Nutzer-Signatur-Speicher durch
eine eigens dafür
vorgesehene Administration gepflegt und mittels besonders restriktiver
Schutzmaßnahmen,
z.B. Firewalls, geschützt
werden kann, denen der Arbeitsplatz des Nutzers nicht zu unterliegen
braucht. Ebenso kann der Rollen-Signatur-Speicher räumlich entfernt
angeordnet werden, um die gleichen Vorteile zu erzielen, wobei er
zusammen mit oder getrennt von dem Nutzer-Signatur-Speicher angeordnet
sein kann.
-
Eine weitere vorteilhafte Ausgestaltung
der Erfindung ergibt sich dadurch, dass jedem Nutzer zwar nur eine
Nutzer-Signatur,
jedoch mehrere Rollen-Signaturen gleichzeitig zugeordnet werden
können.
Dies spiegelt die tatsächlichen
Rollen-Zugehörigkeiten
wieder, da ein Nutzer z.B. in mehreren Funktionen oder als Mitglied
mehrerer Teams, die jeweils eigene Rollen darstellen, tätig sein
kann. Aus der Möglichkeit,
mehreren Rollen-Signaturen anzugehören, ergibt sich der Vorteil,
dass die realen Rollen-Zugehörigkeiten
vollständig
durch die Signaturen abgebildet werden können.
-
Vorteilhafte Ausgestaltungen der
Erfindung sind Gegenstand der abhängigen Patentansprüche.
-
Nachfolgend werden Ausführungsbeispiele der
Erfindung anhand von Figuren näher
erläutert.
Es zeigen:
-
1 Flussdiagramm
mit den zur Ausführung
der Erfindung erforderlichen Verfahrensschritten,
-
2 zur
Ausführung
der Erfindung geeignete Systemarchitektur.
-
1 zeigt
die Verfahrensschritte, die zur Ausführung der Erfindung erforderlich
sind.
-
In Schritt 1 wird die Datenverarbeitungseinrichtung 50,
die z.B. ein medizinischer Computer-Arbeitsplatz sein kann, gestartet.
Dabei erfolgt das übliche
Starten eines Betriebssystems und die Anmeldung daran. Das Verfahren
zum Signieren gemäß der Erfindung
verläuft
jedoch unabhängig
von einer solchen Anmeldung am Betriebssystem.
-
In Schritt 3 wird das Signatur-Tool 51 im
Anschluss an das Hochfahren des Betriebssystems gestartet. Das Signatur-Tool 51 muss
nicht mit jedem Hochfahren des Betriebssystems gestartet werden, es
ist jedoch sichergestellt, dass es vor jeglichem Datenzugriff auf
Applikationsdaten des Arbeitsplatzes gestartet wird. Bei den Applikationsdaten
kann es sich z.B. um diagnostische Aufnahmen, medizinische Befunde,
Persönlichkeitsinformationen
von Patienten, aber auch um forschungsrelevante Inhalte, demographische
Informationen oder um Finanzinformationen handeln. Bei all diesen
Beispielen handelt es sich um kritische Daten, deren Zugriffe in
besonderer Weise zu dokumentieren sind.
-
In Schritt 5 erfolgt eine
Sicherheitsabfrage, mittels derer ein Nutzer identifiziert werden
soll. Dazu werden vom Nutzer personen-individuelle Daten erfragt,
die allen Anforderungen an die Datensicherheit genügen müssen. Vorzugsweise
wird dazu ein Sicherheitsabfrage-Mittel 59 angesprochen,
durch das eine biometrische Erfassung von charakteristischen und
möglichst täuschungssicheren
Daten wie Fingerabdruck oder Gestalt der Iris erfolgt. Daneben besteht
die Möglichkeit,
dass das Sicherheitsabfrage-Mittel 59 eine elektronische
Chipkarte oder einen elektronischen oder mechanischen Schlüssel ausliest.
Durch die Sicherheitsabfrage wird den Anforderungen an die Authentifizierung
Rechnung getragen.
-
In Schritt 6 besteht die
Möglichkeit,
das Verfahren nach Fehlschlagen der Sicherheitsabfrage abzubrechen,
um einem erhöhten
Bedürfnis
nach Datensicherheit gerecht zu werden.
-
In Schritt 7 wird ein Nutzer-Signatur-Speicher 61 abgefragt.
Im Nutzer-Signatur-Speicher 61 sind Informationen abgelegt,
mittels derer ein Nutzer anhand der in der vorangegangenen Sicherheitsabfrage
ermittelten Daten als real existierende Person identifiziert werden
kann. Die Nutzer-Signatur könnte zum
Beispiel einer tabellarischen Zuordnung zwischen Signaturen und
Sicherheitsabfrage-Daten zu entnehmen sein, oder einer Zuordnung
zu im Ergebnis der Sicherheitsabfrage identifizierten real existierenden
Personen.
-
In Schritt 9 wird im Ergebnis
der vorangegangen Abfrage des Nutzer-Signatur-Speichers 61 eine Nutzer-Signatur
ermittelt. Der Grad der Täuschungssicherheit
bei der Ermittlung der Nutzer-Signatur hängt im wesentlichen von der
Täuschungssicherheit der
vorangegangenen Sicherheitsabfrage sowie der Manipulierbarkeit des
Nutzer-Signatur-Speichers 61 ab.
-
In Schritt 11 wird die vorangehend
ermittelte Nutzer-Signatur dem aktuellen Nutzer zugeteilt und steht
ab sofort zur Signierung von Aktionen des Nutzers zur Verfügung. Die
Zuteilung erfolgt für
den Nutzer grundsätzlich
unbemerkbar, insbesondere wird keinerlei Möglichkeit zur Einsichtnahme
in die Signatur gegeben. Dadurch wird der Nutzer zum einen nicht
mit für
ihn unwichtigen Informationen belastet, zum anderen wird durch die
Unkenntnis verhindert, dass er die Signatur missbräuchlich
einsetzen kann.
-
In Schritt 13 wird ein Rollen-Signatur-Speicher 63 abgefragt.
Im Rollen-Signatur-Speicher 63 sind Informationen abgelegt,
mittels derer eine sogenannte Rolle anhand der in der vorangegangenen
Sicherheitsabfrage ermittelten Daten identifiziert werden kann.
Dazu könnte
zum Beispiel auf eine tabellarische Zuordnung zwischen Rollen und
Sicherheitsabfrage-Daten zugegriffen werden. Statt einer Zuordnung
zu Sicherheitsabfrage-Daten
könnte
auch eine Zuordnung zu Nutzer-Signaturen oder zu im Ergebnis der
Sicherheitsabfrage identifizierten real existierenden Personen verwendet
werden.
-
Mit Rolle ist Zugehörigkeit
zu einem bestimmten Tätigkeitskreis
mit einer bestimmten Verantwortlichkeit gemeint, z.B. „Diensthabender
Arzt", „Medizinisch-technischer
Assistent", „Behandelndes Team", „System-Administrator", „Personalabteilung" oder „Projektleiter".
-
Die Rollen-Zugehörigkeit kann sich entweder objektbezogen
ergeben, d.h. aus dem Bedürfnis
bestimmter Nutzer, mit einem bestimmten Datenbestand arbeiten zu
können,
oder subjektbezogen, d.h. aus einer hierarchischen Einstufung des
jeweiligen Nutzer, aufgrund derer er auf Daten einer bestimmten Einstufung
zugreifen darf. Außerdem
kann ein Nutzer mehreren Rollen angehören, die z.B. verschiedene „Behandelnde
Teams" repräsentieren,
in denen der Nutzer gleichzeitig mitarbeitet. In solchen Fällen könnte der
Nutzer entweder eine einzige Rollen-Signatur zugeteilt bekommen,
die alle Rollen-Zugehörigkeiten
repräsentiert,
oder er könnte
mehrere Rollen-Signaturen
gleichzeitig zugeteilt bekommen.
-
In Schritt 15 wird im Ergebnis
der vorangegangen Abfrage des Rollen-Signatur-Speichers 63 eine
Rolle oder gegebenenfalls eine Mehrzahl von Rollen ermittelt.
-
In Schritt 17 wird im Ergebnis
der Ermittlung einer oder mehrerer Rollen eine oder gegebenenfalls eine
Mehrzahl von zugehörigen
Rollen-Signaturen ermittelt.
-
Die Aufteilung der vorangegangenen
Schritt 15 und 17 spiegelt ein Vorgehen bei der
Ermittlung von Rollen und Rollen-Signaturen
wieder, bei dem zunächst
aufgrund der Erfordernisse das Arbeitsumfeldes Rollen und Rollen-Zugehörigkeiten
definiert und anschließend
für diese
Rollen elektronische Signaturen definiert werden. Die Schritte 15 und 17 könnten jedoch
auch in einen einzigen Schritt integriert werden, indem auf den
Zwischenschritt der Ermittlung einer oder mehrerer Rollen verzichtet
wird und stattdessen Rollen-Signaturen sofort ermittelt werden.
-
In Schritt 19 wird die vorangehend
ermittelte Rollen-Signatur oder die Mehrzahl von Rollen-Signaturen
dem aktuellen Nutzer zugeteilt und steht ab sofort zur Signierung
von Aktionen des Nutzers zur Verfügung. Die Zuteilung erfolgt,
wie oben erläutert,
für den
Nutzer grundsätzlich
unbemerkbar, insbesondere erhält
er keinerlei Möglichkeit
zur Einsichtnahme in die Signatur.
-
In Schritt 21 werden Aktionen
sowohl mit der zugeteilten Nutzer-Signatur als auch mit der oder
den zugeteilten Rollen-Signaturen
signiert. Die mehrfache Signierung erlaubt die vollständige nachträgliche Rekonstruierung
aller signierten Datenzugriffe in Zuordnung sowohl zu einer real
existierenden Person als auch in Zuordnung zu deren jeweils aktueller
Rollen-Zugehörigkeit.
Dadurch wird den Anforderungen an das Auditing von Datenzugriffen
genüge
getan, ohne dass zum Beispiel zusätzliche Informationen wie in
der Vergangenheit liegende Dienstpläne abgefragt werden müssten, um
die ehemaligen Rollen-Zugehörigkeiten
von Personen nachträglich
zu rekonstruieren.
-
In 2 ist
eine elektronische Datenverarbeitungseinrichtung 50 dargestellt,
die das Verfahren zur Ausführung
der Erfindung ausführen
kann. Die Datenverarbeitungseinrichtung 50 weist eine Tastatur 55 oder
ein sonstiges Eingabegerät
sowie einen Bildschirm 53 auf. Je nach Art der Anwendung
können
auch akustische Ein- und Ausgangssignale verarbeitet werden. Art
und Umfang der Ein- und Ausgabegeräte sind für die Ausführung der Erfindung nicht von
Belang. Bei der Datenverarbeitungseinrichtung 50 kann es
sich sowohl um einen medizinischen Arbeitsplatz, z.B. eine sogenannte
Modalität,
als auch um einen beliebigen anderen Bildschirmarbeitsplatz, z.B.
ein Bankterminal, handeln.
-
Die Datenverarbeitungseinrichtung 50 weist ein
Signatur-Tool 51 auf. Das Signatur-Tool 51 kann modular
in die Datenverarbeitungseinrichtung 50 integrierbar sein,
z.B. als einsteckbare Karte oder als Computer-Programm. Über das
Signatur-Tool 51 hat die Datenverarbeitungseinrichtung 50 Zugriff
auf einen Applikationsdaten-Speicher 57, der der Speicherung
von Anwendungs-Daten dient.
-
Das Signatur-Tool 51 und
die Datenverarbeitungseinrichtung 50 sind derart konzipiert,
dass ein Zugriff auf den Applikationsdaten-Speicher 57 ausschließlich über das
Signatur-Tool 51 erfolgen kann. Dadurch ist sichergestellt,
dass jeglicher Datenzugriff ohne Umgehungsmöglichkeit durch das Signatur-Tool 51 dokumentiert
und signiert wird. Dadurch sind Manipulation oder Missbrauch durch
Umgehen des Signiervorgangs weitestgehend unmöglich.
-
Das Signatur-Tool 51 ist
mit einem Sicherheitsabfrage-Mittel 59 verbunden, das der
Ermittlung von Daten zur Identifikation des jeweiligen Nutzers dient.
Das Sicherheitsabfrage-Mittel 59 kann ein Chipkartenleser
sein, der eine Nutzerindividuelle Chipkarte ausliest. Es kann auch
ein mechanisches oder elektronisches Schloss sein, das einen Nutzerindividuellen
Schlüssel
ausliest. Nicht zuletzt kann es ein Sensor zur Ermittlung biometrischer
Daten des Nutzers sein, die beispielsweise die Gestalt von dessen
Iris, dessen Fingerabdrücke
oder dessen Sprach-Frequenzspektrum misst. Die Verwendung biometrischer
Daten im Rahmen der Sicherheitsabfrage weist den Vorteil auf, dass
keinerlei Schlüssel oder
Karte verwendet werden muss, die der Nutzer verlieren oder die ihm
entwendet werden könnten. Darüber hinaus
ist die Täuschungssicherheit
biometrischer Daten höher
einzuschätzen
als die von sonstigen Schlüsselsystemen.
-
Das Signatur-Tool 51 hat
weiter Zugriff auf einen Nutzer-Signatur-Speicher 61,
der Informationen zur Identifikation von Nutzern anhand der durch
das Sicherheitsabfrage-Mittel 59 ermittelten Daten enthält. Diese
Informationen ermöglichen
es, eine Nutzer-Signatur zu ermitteln, z.B. aufgrund tabellarischer
Zuordnungen zwischen Sicherheitsabfrage-Daten und Signaturen. Außerdem kann
der jeweilige Nutzer anhand dieser Informationen als real existierende
Person identifiziert werden.
-
Das Signatur-Tool 51 hat
außerdem
Zugriff auf einen Rollen-Signatur-Speicher 63,
der Informationen zur Ermittlung einer oder mehrerer Rollen-Signaturen
anhand der durch das Sicherheitsabfrage-Mittel 59 ermittelten
Daten enthält.
Diese Informationen ermöglichen
es, eine Rollen-Signatur zu ermitteln, z.B. aufgrund tabellarischer
Zuordnungen von Rollen-Signaturen
zu Sicherheitsabfrage-Daten, zu real existierenden Personen oder
zu Nutzer-Signaturen.
-
Für
die Signatur-Speicher 61, 63 gelten besondere
Sicherheitsanforderungen, die eine entfernt angeordnete, zentrale
Aufstellung dieser Speicher sinnvoll machen können. Zu diesem Zweck sind
sie unabhängig
von der Datenverarbeitungseinrichtung 50 und dem Signatur-Tool 51 positionierbar
und könnten
beispielsweise auch über
geschützte
Datenfernverbindungen zugreifbar sein. Mit Datenfernverbindung kann
eine kabellose oder kabelgebundene Modem-Verbindung ebenso wie z.B.
eine Internet- oder Intranet-Verbindung gemeint sein.
-
Die unabhängige Positionierung der Signatur-Speicher 61, 63 ermöglicht zum
einen deren Zugreifbarkeit auch für weitere, andere Datenverarbeitungseinrichtungen
oder Signatur-Tools. Zum anderen ermöglicht sie die Einrichtung
strengerer Sicherheitsvorkehrungen speziell für die Signatur-Speicher 61, 63 im
Vergleich zur Datenverarbeitungseinrichtung 50, z.B. eines
besonders restriktiven Fire-Walls.
-
Die Verwendung von zwei getrennten
Signatur-Speichern 61, 63 verleiht dem Signierungs-System
einen modularen Aufbau mit größtmöglicher
Flexibilität.
Dadurch können
in den Signatur-Speichern 61, 63 jederzeit
weitgehend unabhängig
voneinander Änderungen
vorgenommen werden. Im Nutzer-Signatur-Speicher 61 können die
zur Identifikation des Nutzers verwendeten, sicherheitskritischen
Informationen regelmäßig geändert werden,
in Anlehnung an die getrennte Aufstellung zentraler Trust-Center. Im Rollen-Signatur-Speicher 63 können Änderungen der
Rollen-Zugehörigkeit
vorgenommen werden, die die Veränderungen
in der Zugehörigkeit
realer Personen zu Teams oder Verantwortlichkeiten wiederspiegeln.
-
Vorangehend wurde das Signierungs-System
auf Basis der Verwendung von zwei unterschiedlichen Signatur-Speichern 61, 63 beschrieben.
Diese zwei Speicher repräsentieren
die logischen Zuordnungen von Informationen, die im Ablauf des Signierungs-Verfahrens getroffen
werden. Zum ersten muss der Nutzer bzw. dessen Nutzer-Signatur im
Ergebnis der Sicherheitsabfrage identifiziert werden, zum zweiten
muss er einer Rolle zugeordnet bzw. eine Rollen-Signatur ermittelt
werden.
-
Obwohl der modulare Aufbau die tatsächlichen
logischen Zuordnungen korrekt repräsentiert, wäre es jedoch selbstverständlich möglich, stattdessen
einen einzigen, integrierten Signatur-Speicher zu verwenden. Dieser
einzige Signatur-Speicher könnte je
nach den sonstigen Anforderungen getrennt angeordnet oder in das
Signatur-Tool 51 oder die Datenverarbeitungseinrichtung 50 integriert
sein.
-
Wesentlich ist jedoch, dass die Sicherheitsabfrage
durch das Sicherheitsabfrage-Mittel 59 keinen Rückschluss
auf die zuzuteilenden Signaturen gestattet, die zur Signierung von
Nutzer-Aktionen verwendet werden. Dies ist Garant dafür, dass
die verwendete Signatur nicht manipulierbar und zuverlässig ist.
-
Das Signatur-Tool 51 dokumentiert
jeglichen Zugriff auf Applikationsdaten bzw. den Applikationsdaten-Speicher 57 unter
Angabe der Nutzer-Signatur und zusätzlich der Rollen-Signatur. Sind mehrere Rollen-Signaturen
zugeteilt, so werden auch diese zu Dokumentationszwecken angegeben.
Sämtliche
Signaturen werden durch das Signatur-Tool 51 zusammen mit
Informationen über
die zugegriffenen Daten und über
die Art des Datenzugriffs gespeichert. Dadurch kann jederzeit im
Nachhinein rekonstruiert werden, wer in welcher Weise auf welche
Daten zugegriffen hat. Darüber
hinaus kann die jeweils aktuelle Rolle des Datenzugreifenden anhand
der Rollen-Signatur bzw. -Signaturen festgestellt werden, ohne dass
dazu weitere Informationen, z.B. archivierte Dienstpläne oder
Anwesenheitslisten, eingeholt werden müssten. Durch die Sicherheitsabfrage 5 ist dabei
jederzeit sichergestellt, dass die zur Dokumentation verwendeten
Signaturen korrekt zugeteilt werden.
-
Darüber hinaus erhält der Nutzer
keinerlei Einsicht in die durch das Signatur-Tool 51 verwendeten
Signaturen. Dadurch werden die Möglichkeiten zu
Missbrauch und Manipulation der Signatur-Daten weitestgehend vermieden.
Darüber
hinaus wird der Nutzer mit dem Zuteilen der Signaturen nicht weiter konfrontiert
und erfährt
das Arbeiten des Signatur-Tools 51 als unaufwändig und
einfach handhabbar.
-
Die Dokumentation der Datenzugriffe
durch das Signatur-Tool 51 erfolgt grundsätzlich zusammen mit
den zugegriffenen Applikationsdaten im Applikationsdaten-Speicher 57.
Zusätzlich
kann ein Audit-Speicher 65 zur getrennten Dokumentation
aller Nutzer-Aktionen vorgesehen sein. Dadurch wird die Möglichkeit
geschaffen, im Audit-Speicher 65 z.B. lediglich die Art
der Datenzugriffe sowie die Signaturen zu speichern, auf die Speicherung
der möglicherweise
sehr umfänglichen
Applikationsdaten jedoch zu verzichten. Insbesondere medizinische
Bilddaten weisen häufig
einen beträchtlichen
Speicherumfang auf, der eine Auslagerung in Archivsysteme erforderlich
machen kann. Der getrennte Audit-Speicher 65 kann in solchen
Fällen
dazu dienen, eine arbeitsplatz-spezifische Anwendungshistorie aufzuzeichnen,
um neben Zugriffen auf die Applikationsdaten auch die Benutzung
des jeweiligen Arbeitsplatzes nachträglich rekonstruierbar zu dokumentieren,
ohne jedoch die gesamten speicherintensiven Anwendungsdaten speichern
zu müssen.