StartseiteCipherbrain

“Wenn ich alle Sicherheitsvorschriften beachte, komme ich nicht mehr zum Arbeiten”

Von / 28. Juli 2016 / 38 Kommentare / Seite 1 von 2 / Auf einer Seite lesen
Mehr

Für die Zeitschrift iX habe ich eine Ärztin interviewt. Sie hat mir verraten, wie bei ihrem Arbeitgeber, einem Krankenhaus, Krypto-Technik verwendet wird. Leider sieht die Praxis etwas anders aus, als man es sich als Krypto-Fachmann vorstellt.

Das größte Problem in der Kryptografie ist, dass sie zu selten und falsch eingesetzt wird.

Über diese Erfahrung habe ich schon öfters gebloggt. Sie ist um so frustrierender, als es heutzutage extrem gute Verschlüsselungsverfahren gibt. Auch an Produkten, die diese Methoden umsetzen, herrscht kein Mangel. Doch was nutzt das, wenn diese kaum jemand nutzt?

 

Vertrauliche Patientendaten

Die Hoffnung, dass irgendwann die Mehrheit aller E-Mail-Nutzer Verschlüsselung einsetzt, um so den staatlichen Lauschern ein Schnippchen zu schlagen, habe ich inzwischen aufgegeben. Der Ärger, den man sich mit digitalen Zertifikaten, inkompatiblen Formaten (PGP und S/MIME), seltsamen Fehlermeldungen und dergleichen einhandelt, ist eben allgegenwärtig. Von den Auswertungsprogrammen von NSA & Co. bekommt man dagegen meist ein Leben lang nichts mit.

Doch wie sieht es aus, wenn es nicht um die eher belanglosen Daten eines Normalnutzers, sondern um Informationen aus dem Gesundheitswesen geht? Sollten nicht wenigstens Ärzte und Pflegepersonal die Daten ihrer Patienten vernünftig schützen?

Ich kenne eine Ärztin, die mir schon öfters von ihrem Klinikalltag erzählt hat. Was sie berichtet, klingt zunächst vorbildlich: In ihrem Krankenhaus hat man Passwörter längst abgeschafft und durch Smartcards ersetzt – das ist sicherer. Diese Smartcards stellen sicher, dass ein Hacker nicht durch ein erratenes oder gestohlenes Passwort auf Patientendaten zugreifen kann.

Dadurch dass sich jeder Arzt und jede Pflegekraft mit einer eigenen, fälschungssicheren Karte einloggt, lässt sich jede Aktion einer bestimmten Person zuordnen. Das ist vor allem rechtlich von Bedeutung: Im Falle eines Kunstfehlers lässt sich zuverlässig ermitteln, wer das falsche Medikament oder die falsche Diagnose eingetragen hat.

Diese Vorteile sollten die Mehrkosten, die Smartcards verursachen, mehr als aufwiegen.

 

Interview mit einer Ärztin

Soweit die Theorie. Wie die Praxis aussieht, hat mir die besagte Ärztin (Frau Dr. A.) in einem Interview verraten, das gestern in der Computer-Zeitschrift iX erschienen ist. Leider kann ich aus urheberrechtlichen Gründen hier nur einen Ausschnitt vorstellen:

iX: Wenn Sie morgens auf die Intensivstation kommen und dort den PC nutzen wollen, wie loggen Sie sich ein?
Dr. A.: Ich muss mich in der Regel nicht einloggen, da meist noch die Karte von meinem Vorgänger steckt. Es läuft dann das Programm ORBIS, das ein eigenes Passwort erfordert. Auch dieses Passwort hat meist schon mein Vorgänger eingegeben, ich kann also sofort loslegen.

iX: Und wenn ihr Vorgänger Dienstende hat?
Dr. A.: Meistens lässt er die Karte stecken und geht ohne sie nach Hause. Dann können alle Kollegen den ganzen Tag damit arbeiten. Falls nicht, logge ich mich mit meiner eigenen Karte ein. Außerdem legen viele Kollegen ihre Karten in ein Kästchen neben dem PC. Wenn ich meine eigene Karte nicht zur Hand habe, nehme ich eine von dort. Die PIN ist meistens draufgeschrieben.

iX: Ihnen ist sicherlich klar, dass ein solcher Umgang mit Smartcards gegen alle Regeln der IT-Sicherheit und sicherlich auch gegen die hausinternen Vorschriften verstößt …
Dr. A.: Ja, natürlich. Es lässt sich aber nicht ändern. Das Einloggen am PC dauert etwa dreieinhalb Minuten. Wenn ich das 30 Mal am Tag mache und außerdem alle anderen Sicherheitsvorschriften beachte, komme ich nicht mehr zum Arbeiten.

iX-2016-08

Das vollständige Interview mit Frau Dr. A. und einen ausführlichen Artikel von mir zum Thema “Warum wird Verschlüsselung so selten und oft falsch genutzt?” gibt es in der aktuellen Ausgabe der iX (8/2016). Ein weiteres Interview, das mit dem Artikel erschienen ist, habe ich mit der Londoner Professorin Angela Sasse geführt. Sie ist Spezialistin für User-centered IT-Security.

Keine Frage, Smartcard-Sharing, Karten mit aufgeschriebener PIN und dergleichen sind nicht das, was man sich beim Umgang mit Smartcards wünschen würde. Aber so sieht nun einmal die Realität aus.

1 / 2 / Auf einer Seite lesen
Mehr

Kommentare (38)

  1. #1 M.
    28. Juli 2016

    Die ist überfordert, die Gute. Wie hat sie nur ihr Studium geschafft?

  2. #2 jottit
    28. Juli 2016

    Wenn man liest:
    Das Einloggen am PC dauert etwa dreieinhalb Minuten.
    dann darf man sich nicht wunder, wenn es vom Andwender nicht akzeptiert wird.

    Sehr lustig ist auch dieser Absatz:

    Ihre erste Publikation zum Thema User-Centred Security stammt aus dem Jahr 1997 Es ging damals um die richtige Wahl von Passwörtern.

    Im Aufwachraum … steckt immer eine Karte. Die PIN ist jeweils auf 12345 gesetzt

  3. #3 Stefan
    28. Juli 2016

    Ich habe in meinem Freundes und Bekanntenkreis viele Ärzte. Alle(!) berichten über ein ähnliches (im Detail gelegentlich abweichendes) Vorgehen. Daher halte dich das im obigen Textschnippsel dargestellte Vorgehen für absolut realistisch/authentisch.

    Das ist auch der Grund, warum ich mich (obwohl ich selbst eine besitze) mit der Patientenkarte nie wirklich anfreunden konnte. In der Endausbaustufe (Patientendaten + Medikation zentral gespeichert) ist das — bei dem o.g. Vorgehen — eine sicherheitstechnische Katastrophe…

  4. #4 Stephan
    28. Juli 2016

    Ich habe mal in einem Forschungsinstitut gearbeitet. Dort musste man sich an den Rechnern entweder über ID und Passwort oder mittels einer Karte einloggen. Da vor allem Meßrechner keinen Kartenleser hatten, blieben die meisten bei ID/Passwort.

    Die Leitung hat viel wert auf die Einhaltung gelegt und es lief eigentlich auch sehr diszipliniert ab. Verließ man den Arbeitsplatz, wurde der Rechner gesperrt (auch wenn man sich nur mal erleichtern musste). Pendelte man zwischen 2 Laboren – etwa um hergestellte Proben zu Meßgeräten zu bringen – wurde jedesmal der Rechner gesperrt. Das war manchmal lästig aber ich hielt mich dran (und meine Kollegen auch, soweit ich das beurteilen kann).

    Dass man an einem Computer arbeitete, auf dem ein Kollege eingelogt war, kam selten vor, und spätestens wenn er ging, meldete er sich ab und ich musste mich anmelden.

    Nach einiger Zeit war das Routine und es war nachher nur noch ärgerlich, wenn ein Kollege den Rechner sperrte, statt sich abzumelden, was Rechner manchmal Stundenlang unbenutzbar für andere machte.

    Aber ein gut aufgestelltes Forschungsinstitut ist sicher kein passender Vergleich zu einem Krankenhaus, von denen man häufig liest/hört, dass deren Personal am Limit arbeitet.

  5. #5 Martin Haug
    28. Juli 2016

    @Stefan: Ich denke nicht, das die Arbeitsbelastung hier das eigentliche Problem ist.

    Die eingesetzte Technologie ist einfach nicht adäquat. Insbesondere sollte ein Login nicht länger als 10 Sekunden dauern. Weiterhin sollte man sich auch nur einmal authentifizieren müssen und nicht mehrfach.

    In einem Krankenhaus kommt dann noch dazu, dass das Pflegepersonal sicher häufig von Zimmer zu Zimmer wechselt und sich daher nicht nur 1-3 mal am Tag einloggen muss, sondern wie geschrieben 30 mal. Das geht jedem auf die Nerven, auch wenn die Arbeitsbelastung erträglich ist.

  6. #6 TmoWizard
    Augsburg
    29. Juli 2016

    @Stephan:

    “Nach einiger Zeit war das Routine und es war nachher nur noch ärgerlich, wenn ein Kollege den Rechner sperrte, statt sich abzumelden, was Rechner manchmal Stundenlang unbenutzbar für andere machte.”

    Auch wenn ein Rechner gesperrt ist, kann man immer noch den Benutzer wechseln. Das gilt für Windows ebenso wie für Linux/Unix und wohl auch für die meisten anderen Systeme, es heißt ja nicht umsonst “Mehrbenutzersystem”. Über ein zusätzliches Programm hat das so um 1995 herum sogar unter MultiTOS auf ATARI-Rechnern funktioniert. Wenn das nicht funktioniert, dann würde ich dem dafür verantwortlichen Admin mal ein paar hinter die Löffel geben!

    Grüße aus Augsburg

    Mike, TmoWizard

  7. #7 Alex
    29. Juli 2016

    Auch wenn ein Rechner gesperrt ist, kann man immer noch den Benutzer wechseln. Das gilt für Windows ebenso wie für Linux/Unix und wohl auch für die meisten anderen Systeme, es heißt ja nicht umsonst “Mehrbenutzersystem”

    Das kann ich so nicht bestätigen.
    Wir haben Win7 Enterprise im Einsatz, wenn der Rechner gesperrt ist, kann sich kein andere Einloggen.

  8. #8 Alex
    29. Juli 2016

    Ich verstehe das Vorgehen aber nicht.
    Wieso haben nicht alle den selben Windows User?
    Alle das selbe Passwort, dann dauert das Loggin nur noch 5 Sekunden.
    Das sind Ärzte und keine Kinder.

    Und in der Anwendung/Programm sollte jeder eine eigene Kennung haben, da dauer das Anmelden keine Sekunde.

  9. #9 Stephan
    29. Juli 2016

    @TmoWizard

    Ich arbeite da ja nicht mehr. Aber mit der IT musste man sich immer gut stehen…oft war man von deren Gunst und Wohlwollen abhängig 😉

    Ich bin nicht so bewandert darin, aber vielleicht schließen die Mehrbenutzeranmeldung aus, damit niemand einen Rechner, der in Gebrauch ist, herunterfahren kann o.Ä.

    @Alex
    ich denke mal, dass es darum geht, dass genau nachvollziehbar ist, wer was gemacht und verordnet hat.

  10. #10 Ingo
    29. Juli 2016

    Es ist letztendlich nicht eine Frage der Cryptopwissenschaft,- sondern eine Frage des Programmierer-Handwerks.

    Anwendungen muessen einfach benutzbar sein, und nicht theoretisch ausgereift.
    Es gibt auch positive Beispiele.
    SSH hat Telnet schon lange anbgeloesst, weil es einfach einfach zu bedienen ist.
    HTTPS ist fuer Anwender normal geworden.

    Emailverschluesselung funktioniert einfach nicht anwenderfreundlich genaug. Ein Klick ist zu viel, eine Passworteingabe ist zu viel, 5 Sekunden warten ist zu viel.
    Dies wird bei der Einfuehrung von Produkten viel zu wenig beachtet, obwohl diese Erkenntnis nicht neu ist.

    Man kann noch so oft “Sicherheit ist nicht umsonst” sagen,- es wird die Situation nicht aendern.

  11. #11 Dr. Webbaer
    29. Juli 2016

    Dr. A.: Ich muss mich in der Regel nicht einloggen, da meist noch die Karte von meinem Vorgänger steckt.
    […]
    Dr. A.: Ja, natürlich. Es lässt sich aber nicht ändern. Das Einloggen am PC dauert etwa dreieinhalb Minuten.
    […]
    Kann jemand über ähnliche Erfahrungen wie Frau Dr. A. berichten? [Klaus Schmeh]

    Sischer.

    Blöderweise dauert das “Einloggen” nicht ‘etwa dreieinhalb Minuten’, sondern vielleicht fünf Sekunden, sofern sich von anderen “ausgeloggt” worden ist, abär so wird’s halt exkulpierend oft kommuniziert.

    Von einigen.

    I.p. AAs und VAs sieht’s halt oft mau aus, bei den Mitarbeitern.

    Sollten bestimmte Vorgänge an den gemeinten Geräten tatsächlich lange dauern, wäre die Verwaltung gefordert (und ggf. auch zu verdammen bis auszutauschen), sollte dies nicht der Fall sein, wovon ausgegangen werden darf, ginge es darum Mitarbeiter zu schulen, eindringlichst zu schulen.

    Vereinfachungen sind in diesem Zusammenhang erfahrungsgemäß nicht schlecht, so darf es genügen, statt Tastaturen zu betätigen, einen “Stick” in ein dafür vorgesehenes Gerät einzuführen, um dann zu erfassen, Eingabegeräte meinend.

    HTH
    Dr. Webbaer

  12. #12 Eisentor
    29. Juli 2016

    Das Einloggen am PC dauert etwa dreieinhalb Minuten. Wenn ich das 30 Mal am Tag mache und außerdem alle anderen Sicherheitsvorschriften beachte, komme ich nicht mehr zum Arbeiten.

    Sorry aber da ist das Problem das Computer System. Meine Benutzer würden mir bei solchen Anmeldezeiten auf Dach steigen!
    Hier liegt leider das Problem klar bei der IT Infrastruktur. Aber vermutlich das alte Problem das schicke “hippe” sichtbare Dinge angeschafft werden und bei den Servern im Hintergrund gespart wird weil man es ja nicht sieht.

    Ach ja:
    Happy Sysadmin Day!

  13. #13 UMa
    29. Juli 2016

    Das System ist absoluter Schrott.

    Ich muss hier jottit und Martin Haug absolut recht geben. Dreieinhalb Minuten ist viel zu lang. Das Einloggen darf nicht länger als 10 Sekunden, besser noch unter 5 Sekunden dauern.

    Ein System, bei dem das Einloggen dreieinhalb Minuten braucht, darf nicht dort eingesetzt werden, wo man sich mehrfach am Tag einloggen muss.

    Sowohl jene, die es entwickelt haben, als auch jene, die es angeschafft haben, sind Schuld.

    Bei den geschriebenen 30 mal Einloggen pro Tag sind das, bei vorschriftsmäßiger Nutzung, immerhin 105 Minuten Arbeitszeit pro Tag und Ärztin, die verloren gehen. Bei einem Achtstundentag (es sind bei Ärztinnen vermutlich mehr) sind das von den 480 Minuten immerhin 22% der Arbeitszeit, die verloren gehen.

    Das System ist also eine absolute Katastrophe.

    Ich weiß jetzt nicht, was eine Ärztin die Klinik kostet, aber wenn man zum Bruttolohn noch die Lohnnebenkosten und sonstige Arbeitsmaterialen, Räume usw. hinzuzählt, könnte man in die Größenordnung von 100000 € kommen.

    Dann kostet das (vorschriftsmäßige) Einloggen die Klinik über 20000 € pro Jahr. Pro Ärztin wohlgemerkt. Ich weiß jetzt nicht, wie groß die Klinik ist, aber das kann leicht in die Millionen € pro Jahr gehen.

    An die Hersteller und Entwickler solcher Systeme, mehr als 5 Sekunden Einlogzeit sind reine Schikane für die Anwender. Vielleicht sind 5 Sekunden sogar noch zu viel.

    An die Einkäufer von IT für Krankenhäuser, achtet beim Kauf von Einlogsystemen darauf, dass sie schnell sind. Ein paar tausend Euro bei der Anschaffung gespart, dafür aber Millionen Euro an Arbeitskosten mehr, oder alternativ keine vorschriftsmäßige Nutzung, sind es nicht wert.

  14. #14 Alex
    29. Juli 2016

    @Alex
    ich denke mal, dass es darum geht, dass genau nachvollziehbar ist, wer was gemacht und verordnet hat.

    Hallo Stephan,
    ja das finde ich auch sehr wichtig.
    Aber das Programm, in dem man was eingibt könnte doch Benutzergesteuert werden.

    Ein Speichern mit Passwort, oder Loggin.
    Das Dauert nur paar Sekunden.

  15. #15 Martin Haug
    Glasgow
    29. Juli 2016

    Meine Mutter ist verrentete Neuropsychologin. Bei ihr war das auch lange so, dass nach dem Login erstmal irgendwelches Zeug geladen wurde. Sie hat dann halt die Tür abgeschlossen statt den Computer zu sperren. 🙂

    @Alex: Bei Ärzten kommt ja auch noch dazu, dass sie auf Daten zugreifen, die den Kollegen eigentlich nichts angehen, wenn er mit dem Patienten nix zu tun hat.

  16. #16 Alex
    29. Juli 2016

    @Martin Haug,

    ja das stimmt, und ist auch gut so.

    Aber das wäre alles über eine Software lösbar, und muss nicht durch den Windows Loggin passieren.

  17. #17 Martin Haug
    29. Juli 2016

    @Alex: Die Frage ist nur, wenn der Angreifer dann den Windows Login hat, was hindert ihn daran einen Keylogger zu installieren o.ä.

  18. #18 Eisentor
    29. Juli 2016

    Bei ihr war das auch lange so, dass nach dem Login erstmal irgendwelches Zeug geladen wurde.

    Das sind alles Probleme die man technisch lösen kann. In einer modernen Terminals Server Umgebung ist es Problemlos machbar dass, egal wo der Benutzer sich anmeldet, er immer die gleichen Programme gestartet hat.
    Zwei Minuten Anmelden – Programm starten – den Rest des Tages an beliebigen Rechnern anmelden in unter einer Minute.
    Aber wenn man einen A*** voll Geld für Sicherheitstechnik ausgibt reicht es eben nicht mehr für den Rest der maroden Infrastruktur.

  19. #19 Stephan
    29. Juli 2016

    @Alex
    Das wär sicher ein Ansatz. Aber die Software, die in Krankenhäusern eingesetzt wird, ist wahrscheinlich nicht dafür konzipiert. Dazu müsste erst die Software angepasst werden. Und Haug’s Einwand klingt auch Plausibel.

    Für die, die sich über die 3 Minuten Anmeldezeit wundern. Ich kann natürlich nicht beurteilen, ob die Ärztin übertreibt, aber möglich ist es. Bei uns waren Rechner, auf denen viele Arbeiteten richtige Müllhalden und sehr langsam. Bei einigen reichte die Zeit zum Anmelden, um sich einen Kaffee zu holen. Wenn so viele involviert sind, traut sich anscheinend auch keiner, die Gemeinschaftsrechner einmal “aufzuräumen”.

  20. #20 tomtoo
    29. Juli 2016

    it sicherheit oft als lästig empfundend da mit aufwand verbunden.
    nicht nur beim nutzer auch beim geldgeber.

  21. #21 Martin Haug
    Glasgow
    29. Juli 2016

    @Stefan: Einfach so die Rechner “aufräumen” ist auch genau die Denke, die solche Probleme erst verursacht hat.

    In dem vollständigen Interview hinter der Paywall wird sehr aufschlussreich gesagt: “Für die IT-Abteilung ist immer alles ganz einfach.”
    In anderen Worten: Die IT versäumt es anscheinend mit ihren Usern zu kommunizieren und die Rechner vorher mal im Probebetrieb zu testen.

    Ein “Aufräumen” ist dringend notwendig, aber nicht einfach so, sondern man sollte das neue Setup einige Zeit parallel betreiben und das alte, lahme System erst dann abschalten. Außerdem muss man anhand von Logs nachvollziehen, wer alles Zugang haben soll und jede Rolle (Arzt, Krankenschwester, Praktikant, …) mindestens einmal testen lassen.
    Wenn man das so macht muss man sich auch nicht “trauen” da ranzugehen, weil man weiß, das man nix kapput macht.

    An der finanziellen/personellen Ausstattung der IT sollte es nicht scheitern: Auch die IT kann sich so schon mittelfristig eine Menge Wartungsaufwand einsparen!

    Ich möchte hier aber nicht nur auf die Admins draufhauen: Es kann natürlich sein, dass die Ärzte meinen auf die Admins herabschauen zu müssen und diese deshalb einfach keinen Bock haben sie zu supporten.

  22. #22 Stephan
    30. Juli 2016

    @Martin Haug

    Einfach so die Rechner “aufräumen” ist auch genau die Denke, die solche Probleme erst verursacht hat.

    Danke für den Input. Wie gesagt bin ich in der Hinsicht nicht sehr versiert. Das Problem scheint dann tatsächlich (wie du sagst), dass der Anwender das erstmal wissen muss. Bei uns war das so, dass die IT in solchen Fällen nicht von sich aus aktiv wurde, weil sie natürlich nicht unseren Arbeitsschritten in die Quere kommen wollte.

    Btw: Ich weiß nicht, ob ich da falsch verstanden wurde…mir lag es fern, “meine” IT-Abteilung zu kritisieren. Meine Erfahrung war immer sehr positiv. Und das, obwohl sie meißt die undankbare Aufgabe hatte, unseren Mist geradezubügeln.

    Aber um auf das Beispiel zurückzukommen: Ich würde auch nicht vorschnell den Stab über der Ärztin brechen.

    Krankenhäuser geben sehr viel Geld aus und Ärzte habe sehr viel Arbeit damit kranke Menschen gesund werden. Um das zu erreichen, haben die neben Fortbildungen noch mit der Bürokratie durch Krankenkassen und Behörden zu tun.

    Ich kann da gut nachvollziehen, dass IT- und Datensicherheit dann nur noch Augenrollen hervorruft. Aber wie man die Sensibilisierung dafür schafft, ist pauschal wahrscheinlich schwer zu sagen

  23. #23 Christian Berger
    30. Juli 2016

    Leider wird EDV halt meistens von Leuten gemacht, die keine Ahnung von EDV haben. Ein vernünftiger kryptographisch gesicherter Login darf mit Smartcard nicht länger als eine Sekunde dauern, und dank tmux und mosh bleiben die Sitzungen auch zwischen Logins bestehen.

    Sun hatte mit Ray schon in den 1990ger Jahren ein System bei dem man einfach zu einem beliebigen Terminal ging, die Chipkarte einschob, und schon hatte man seine Sitzung. Das kann doch heute nicht so schwer sein so was zu machen.

  24. #24 Dr. Webbaer
    30. Juli 2016

    An dieser Stelle des Interviews kann hellhörig geworden werden:

    Es läuft dann das Programm ORBIS, das ein eigenes Passwort erfordert.

    ORBIS ist ein bekanntes Produkt.
    Anscheinend geht es hier um zwei Autorisierungsvorgänge, einmal gilt es sich am Rechner zu authentifizieren, auf Betriebssystemebene und das Netzwerk meinend, das andere Mal darum sich gegenüber dem Fachsystem, eben ORBIS, zu authentifizieren, um autorisiert zu werden.

    Ist es eigentlich erforderlich sich jeweils gegenüber dem Betriebssystem / dem Netzwerk gegenüber zu authentifizieren und dann gegenüber der Fachsoftware?

    Das passt “irgendwie” nicht zusammen.

    MFG
    Dr. Webbaer

  25. #25 Dr. Webbaer
    30. Juli 2016

    Kann jemand über ähnliche Erfahrungen wie Frau Dr. A. berichten?

    Anekdote (abär schon ca. 25 Jahre her):
    Ein Finanzdienstleister betreibt ein hoch performantes COBOL-basiertes System mit Maskengenerator, also mit “Pseudo-Grafik”.
    Die firmen-entwickelte Software verlangt das Einloggen, also einen Sicherheitskontext, und erlaubt dann u.a. auch Leistungsmessungen des Vertriebspersonals.
    Dieses beachtet “zum Verrecken” nicht die (oben genannten) AAs und VAs, obwohl das Einloggen nur einige Sekunden dauert.
    Stattdessen loggte sich irgendwer ein und andere nutzen dann dessen Autorisierung, um Kundenanfragen, es ging generell um Firmenkunden, zu erfassen und in der Folge zu bearbeiten.


    Es wurde dann auf Management-Ebene gerätselt, warum dies der Fall ist, die Verteidigungslinie des Vertriebspersonals, das nicht verärgert werden sollte, ging so “Sie wissen nicht, wie im Vertrieb gearbeitet wird”, es entstand also ein sozusagen surreales Szenario.

    Gemutmaßt worden ist, dass die Vertriebsmitarbeiter den monotonen Vorgang des Sich-Einloggens derart hassten, dass sie die ihnen vorgeschriebenen Regeln missachteten und dafür sogar zu kämpfen bereit waren.

    Später konnte dann das Problem gelöst werden, indem der Autorisierungsvorgang per “Stick” erfolgte, so ähnlich wie auch in der Gastwirtschaft bekannt und Registrierkassen meinend, wie sich der dann absente Schreiber dieser Zeilen berichten ließ.

    MFG
    Dr. Webbaer

  26. #26 Dr. Webbaer
    30. Juli 2016

    @ Christian Berger :

    Leider wird EDV halt meistens von Leuten gemacht, die keine Ahnung von EDV haben.

    Variante:
    ‘EDV wird meistens von Leuten gemacht, die Ahnung von EDV haben.’

    Der Kick sozusagen könnte im Psychologischen liegen, das Management betrachtet Betreuer und Entwickler von Software-Produkten oft als sehr eigene Leutz, die zwar für das Unternehmen notwendig sind, aber nicht auf kaufmännische Art und Weise ansprechbar, als ganz ungewöhnliche Leutz.
    Die Betreuer und Entwickler von Software-Produkten revanchieren sich auf gewisse Art und Weise gegenüber dem Management und -hier wird es lustig- betrachten wiederum den Nutzer der von ihnen bereitgestellten und gepflegten Produkte nicht als gänzlich zurechenbar, Stichwort: DAU.

    Dilbert bzw. Scott Adams leben von diesen Einsichten.

    Keine Ahnung, warum genau dies so ist, abär es gibt hier anscheinend gewisse “Kulturbrüche”.

    MFG
    Dr. Webbaer

  27. #27 Martin Haug
    Glasgow
    30. Juli 2016

    @Stefan: “Ich kann da gut nachvollziehen, dass IT- und Datensicherheit dann nur noch Augenrollen hervorruft.”
    Weil Ärzte ein bisschen Papierkram ausfüllen müssen? Das ist doch normal, ich muss auch Dokumentation schreiben.

    Wenn das Login derzeit wirklich 3,5 Minuten dauert kann ich das Verhalten der Ärzte ja gut verstehen. Aber sobald der Missstand behoben, das System gefixt wurde sollten die Ärzte verantwortungsvoll mit den Daten ihrer Patienten umgehen. Anderenfalls ist die Klinikleitung gefragt disziplinarische Maßnahmen zu ergreifen. Bis hin zur Kündigung. Läuft bei anderen Firmen ja auch so.

  28. #28 tomtoo
    30. Juli 2016

    so einfach kann dad doch wohl in einem krankenhaus wohl doch nicht sein oder ??

    da kommen doch dann ständig complains über die einlogzeiten und über diese complains muss ja wohl buch geführt werden und die müssen abgearbeitet werden.
    oder lebe ich da im it paradies ??
    ich kenne nur teile des it complain managements eines diagnostikaherstellers und da wird sehr schnell eskaliert.

  29. #29 Martin Haug
    Glasgow
    30. Juli 2016

    “oder lebe ich da im it paradies?”
    Ja.

  30. #30 Martin Haug
    30. Juli 2016

    Nachtrag: Also zumindest verglichen mit Krankenhäusern und anderen Einrichtungen die geführt werden als ob es Behörden wären.

    In der freien Wirtschaft ist das was tomtoo beschreibt natürlich Mindeststandard.

  31. #31 Laie
    31. Juli 2016

    Danke an @Dr. Webbaer, für diese erheiternden Anekdoten aus der Realität in derzeit #11, und #25.

    Inzwischen werden, wie ich von einer befreundeten Studentin erfuhr – diese an verlängerte Login -Zeiten von bis zu 5 Minuten gewöhnt – nach einer Umstellung auf Windxxx7 und zusätzlichem Pfusch der Administration –
    sodass beim anschließenden Übergang in die Berufswelt das kein Problem mehr darstellen wird…

    Die (jüngeren?) Leut’ gewöhnen sich viel zu rasch – an den Unfug und akzeptieren es.

  32. #32 Dr. Webbaer
    31. Juli 2016

    @ Laie :

    Haha, ‘an verlängerte Login -Zeiten von bis zu 5 Minuten gewöhnt’, tja, schwierig, wenn es dann aber später mal in die Sachbearbeitung / Kundenbetreuung geht, wird diese vielleicht noch aus Studienzeiten vorliegende Gewöhnung aber ganz schnell nachlassen…

    LG
    Wb

  33. #33 schorsch
    31. Juli 2016

    Die wichtigste Frage bei diesem Thema ist weder im Artikel auch nur angeschnitten, noch wird sie erstaunlicherweise in den Kommentaren zum Artikel irgend gestellt:

    Welche Daten sollen mit der Smartcard überhaupt geschützt werden? Welche Daten sind konkret auf diesem Terminal einsehbar, welche Daten werden darauf bearbeitet?

    Solange diese Frage nicht geklärt ist, ist es völig sinnlos, sich über die hier geschilderte Praxis im Umgang mit der Smartcard irgendwelche Gedanken zu machen oder sich gar darüber aufzuregen.

    Insofern läd der Artikel hier allenfalls zu wilder Spekulation ein – und erstaunlich viele Leser folgen dieser Einladung scheint’s nur allzu bereitwillig und besinnungslos… Ich hoffe, dass der iX-Artikel mehr konkrete Informationen enthält.

  34. #34 Karl Mistelberger
    1. August 2016

    Lieber schorsch, meine Antwort ist kurz und banal: Alle Daten! Ich hatte mir im Juli 1997 den Arm gebrochen und bin mit demselben zum Chirurgen geradelt. Dort wurde ich sofort angenommen. An der Theke der Praxis stand ein PC mit unverschlossenem Bildschirm, wo ich mich während der kurzen Wartezeit von einer Minute im Detail über die Krankheitsgeschichte eines Arbeitskollegen informieren konnte ohne auch nur einmal in die Tastatur greifen zu müssen.

    Mit einem Migrationshintergrund von nunmehr 47 Jahren habe ich in Deutschland viel Erstaunliches erlebt, merkwürdigerweise gerade auf dem Gebiet der Informationstechnologie. Das wollte gar nicht so recht zu meinen nebulösen Vorstellungen von der Bundesrepublik als Wunderland der technischen Revolution passen.

    Die Einschreibung an der Uni Stuttgart im Wintersemester 1969 artete zu einer mehrere Stunden dauernden Prozedur aus und die halbjährlich erforderliche Rückmeldung am Semesterbeginn dauerte genau so lange. Natürlich wurde die Anmeldeprozedur computergestützt durchgeführt, die Ausgabe der Immatrikulationsbescheinigungen erfolgte allerdings über einen Fernschreiber mit 50 Baud oder 6 Zeichen pro Sekunde oder 400 Anschlägen pro Minute.

    Ich mache nun eine großen Sprung vorwärts, denn sonst müsste ich ein dickes Buch schreiben.

    Wenn ich 47 Jahre später alle Vierteljahre einen Termin bei meiner Frau Dr. E. wahrnehme vereinbare ich den frühestmöglichen um 8:30 Uhr. Ihre Patienten sind nicht die pünktlichsten. So kann ich unnötige Wartezeiten vermeiden und das Hochfahren ihres PCs miterleben.

    Es dauert tatsächlich ziemlich konstant drei Minuten, was aber im speziellen Fall kein Problem darstellt, da der Computer erst am Ende meines Besuchs zur Eintragung eines neuen Termins benötigt wird. Frau Dr. E. hat zudem ein eigenes Sprechzimmer, das sie während ihrer Abwesenheit absperrt.

    Ich habe ihr natürlich auch von meinen privaten PC erzählt. Dessen Netzschalter ist umfunktioniert. Statt ihn auszuschalten versetzt er in in einen leichten Schlummer. Der Stromverbrauch liegt dann bei zwei Watt, die gegenüber den 8 Watt des Routers, der wegen der angeschlossenen Internettelefonie durchlaufend in Betrieb ist vernachlässigt werden können.

    Bei Einschalten wacht er ganz flott auf:

    Jul 31 07:49:33.852283 erlangen kernel: PM: Restoring platform NVS memory

    Jul 31 07:49:33.852805 erlangen kernel: ACPI: Waking up from system sleep state S3

    Jul 31 07:49:33.853202 erlangen kernel: PM: early resume of devices complete after 69.709 msecs

    Jul 31 07:49:33.854661 erlangen kernel: PM: Finishing wakeup.

    Jul 31 07:49:33.854690 erlangen kernel: Restarting tasks …

    Jul 31 07:49:33.855136 erlangen kernel: done.

    Am längsten dauert der Aufbau der Betriebsspannung im Netzgerät sowie die Initialisierung der Hardware des Rechners mit 1 bis 2 Sekunden. Die SSDs (Festplatten) sind nach 0,07 Sekunden verfügbar, der Kernel benötigt zur Wiederherstellung der Sitzung 0,001 Sekunden. Danach reagiert der Rechner wieder auf meine Aktionen.

  35. #35 Serapio
    1. August 2016

    Das mit den 3,5 Minuten kann ich wahrscheinlich erklären. Das kenne ich von einem ehem. Kunden, einer Bank.

    Dort wird bei jedem Login die benutzerspezifische Software vom Netz auf die Disk geladen. Und damit das recht schnell geht, natürlich auch gleich die Registry mit den Einstellungen. Andere Daten befinden sich nicht auf der HD. Alles wird im Netz gespeichert.

    Der Vorteil ist, dass die User erst gar nicht auf die Idee kommen, (viröse) Fremdsoftware zu installieren, weil ja am nächsten Tag alles wieder weg wäre. Und Software Updates sind nie ein Problem, sie fließen beim Login gleich mit ein.

    Funktioniert wunderbar, wenn jeder normalerweise sich einmal am Tag einloggt. Aber natürlich nicht hier.

  36. #36 tomtoo
    2. August 2016

    @all
    die sache ist doch die. Also dialog “wo issen der dongel für den defibrilator schrank “?
    Du auf der liege ” scheixx auf den dongle “

  37. #37 Laie
    3. August 2016

    Ja, lieber Herr Dr. Webbaer, wenn denn der Kunde immer noch König ist/wäre.

    Aber da tut sich ja nicht nur bei den Monopolen und Oligopolen etwas in Richtung staatlicher Bürger/Kundenbetreuung, so mein Eindruck.

    Da gab es mal eine Sendung im PrivatTV namens “wie bitte” die auf humoristische Art recht eindrucksvoll zeigte, was die deutsche Telekom unter Kundenbetreuung versteht, bzw. sich allgemein mit argen Fällen von “Kundenservice” auseinandersetzte.

    (Das ist jetzt nicht als Pauschalurteil gegen die Telekom zu werten, Kundendienst wird dort von unterschiedlich motivierten Leuten gemacht, mal besser mal schlechter.)

  38. #38 PatientX
    Ludwigshafen
    28. August 2016

    Anekdote (kein Märchen!):
    Musste in die Notaufnahme, langes Warten, Prof. + Tross kamen, Problem wurde gelöst. Dann kam die Dokumentation ins SAP-System… Doc tippte und tippte. “Schwester soundso kommen sie doch schnell mal her und geben mein Passwort ein”.