Zero Trust Security mit Microsoft Entra ID: Moderne Sicherheitsarchitektur für Spitäler

Die traditionelle Perimeter-Sicherheit – Firewall um das Netzwerk, dann freier Zugang intern – ist im modernen Gesundheitswesen nicht mehr zeitgemäss. Mobile Mitarbeitende, Cloud-Dienste, Telemedizin und die Integration externer Partner erfordern einen neuen Ansatz: Zero Trust.

Was ist Zero Trust?

Zero Trust basiert auf dem Grundsatz: "Never trust, always verify." Jeder Zugriff wird verifiziert, unabhängig davon, ob er von innerhalb oder ausserhalb des Unternehmensnetzwerks erfolgt.

Die drei Säulen von Zero Trust

1. Explizite Verifizierung

Jede Zugriffsanfrage wird anhand aller verfügbaren Signale überprüft:

  • Benutzeridentität
  • Standort
  • Gerätegesundheit
  • Ressourcensensitivität
  • Ungewöhnliche Aktivitätsmuster

2. Geringstmögliche Berechtigungen

Benutzer erhalten nur die Rechte, die sie für ihre aktuelle Aufgabe benötigen:

  • Just-in-Time-Zugriff
  • Just-Enough-Access
  • Zeitlich begrenzte Berechtigungen
  • Regelmässige Zugriffsüberprüfungen

3. Annahme einer Kompromittierung

Die Architektur geht davon aus, dass Angreifer bereits im Netzwerk sind:

  • Mikrosegmentierung
  • Ende-zu-Ende-Verschlüsselung
  • Echtzeitüberwachung
  • Automatische Reaktion auf Anomalien

Microsoft Entra ID: Das Fundament für Zero Trust

Microsoft Entra ID (früher Azure Active Directory) ist die zentrale Identitätsplattform für Zero Trust. Im Gesundheitswesen ermöglicht sie sichere Zugriffe für verschiedenste Szenarien.

Conditional Access: Intelligente Zugriffssteuerung

Conditional Access ist das Herzstück von Zero Trust in Microsoft 365. Richtlinien definieren, unter welchen Bedingungen Zugriff gewährt wird.

Beispiel-Richtlinien für ein Spital:

Richtlinie 1: Klinische Anwendungen

  • Erfordert: MFA + verwaltetes Gerät + Standort Schweiz
  • Gilt für: KIS-Zugriff, Patientendokumentation
  • Blockiert: Zugriff von nicht-konformen Geräten

Richtlinie 2: Administrative Systeme

  • Erfordert: MFA + Privileged Access Workstation
  • Gilt für: HR-Systeme, Finanzanwendungen
  • Zeitbeschränkung: Nur während Arbeitszeiten

Richtlinie 3: Notfallzugriff

  • Erlaubt: Zugriff von beliebigem Gerät mit erhöhter MFA
  • Gilt für: Notarzt-Rolle bei Nacht/Wochenende
  • Logging: Erhöhte Überwachung

Richtlinie 4: Externe Partner

  • Erfordert: MFA + Terms of Use akzeptiert
  • Gilt für: Zuweisende Ärzte, Lieferanten
  • Beschränkung: Nur spezifische Dokumente

Multi-Faktor-Authentifizierung (MFA)

MFA ist die wichtigste Einzelmassnahme gegen Identitätsdiebstahl. Microsoft Entra ID unterstützt verschiedene MFA-Methoden:

Push-Benachrichtigungen (Microsoft Authenticator):

  • Schnellste Methode
  • Numbermatching für Phishing-Schutz
  • Zusätzliche Standort- und App-Anzeige

FIDO2-Sicherheitsschlüssel:

  • Höchste Sicherheit
  • Phishing-resistent
  • Ideal für Shared Workstations (Pflegestationen)

Biometrie (Windows Hello):

  • Fingerabdruck oder Gesichtserkennung
  • Gerätegebunden
  • Keine Passwörter mehr nötig

Telefon-basiert:

  • SMS oder Anruf (Fallback)
  • Weniger sicher, aber universell
  • Für Mitarbeitende ohne Smartphone

Privileged Identity Management (PIM)

PIM ermöglicht Just-in-Time-Zugriff für privilegierte Rollen:

Szenario IT-Administrator:

1. Administrator hat normalerweise nur Standard-Benutzerrechte

2. Bei Bedarf aktiviert er temporär erhöhte Rechte

3. Aktivierung erfordert MFA und Begründung

4. Rechte laufen nach definierter Zeit automatisch ab

5. Alle Aktionen werden protokolliert

Szenario Abteilungsleitung:

1. Zugriff auf Personaldaten nur bei aktivem Request

2. Genehmigung durch HR erforderlich

3. Maximale Aktivierung: 8 Stunden

4. Monatliche Überprüfung durch Vorgesetzten

Identitätsschutz (Identity Protection)

Microsoft Entra Identity Protection analysiert Anmelderisiken in Echtzeit:

Erkannte Risiken:

  • Anmeldungen von unbekannten Standorten
  • Unmögliche Reisen (Anmeldung in Zürich, 5 Minuten später in New York)
  • Passwort-Spray-Angriffe
  • Kompromittierte Anmeldedaten (im Darknet gefunden)
  • Malware-verknüpfte IP-Adressen

Automatische Reaktionen:

  • Niedriges Risiko: Zusätzliche MFA-Aufforderung
  • Mittleres Risiko: Passwortänderung erforderlich
  • Hohes Risiko: Konto sperren, IT benachrichtigen

Präziis: Zero Trust für Healthcare-Workflows

Präziis integriert die Microsoft Entra ID Sicherheitsfunktionen nahtlos in healthcare-spezifische Arbeitsabläufe.

Kontextsensitive Zugriffssteuerung

Stationsbasierter Zugriff:

  • Pflegekraft auf Station A sieht nur Patienten von Station A
  • Automatische Rechteerweiterung bei Verlegung
  • Notfallzugriff auf andere Stationen mit Audit

Rollenbasierte Sichten:

  • Arzt sieht vollständige Patientendokumentation
  • Pflegekraft sieht pflegerelevante Daten
  • Reinigungspersonal sieht nur Raumbelegung

Zeitbasierte Berechtigungen:

  • Nachtdienst hat andere Rechte als Tagdienst
  • Wochenend-Pikettdienst mit erweiterten Zugängen
  • Temporäre Rechte für Stellvertretungen

Geräte-Compliance im Klinikalltag

Managed Devices (Unternehmensgeräte):

  • Voller Zugriff auf alle Anwendungen
  • Lokale Datenspeicherung erlaubt
  • Offline-Zugriff auf Dokumente

BYOD (private Smartphones/Tablets):

  • Eingeschränkter Zugriff via Mobile App
  • Keine Datenspeicherung auf Gerät
  • Automatische Datenlöschung bei Ausscheiden

Shared Devices (Stationscomputer):

  • Schnelle Benutzeranmeldung per Badge oder Biometrie
  • Automatische Abmeldung nach Inaktivität
  • Session-Isolation zwischen Benutzern

Audit und Compliance

Alle Zugriffe werden für Compliance-Zwecke protokolliert:

Protokollierte Informationen:

  • Wer hat zugegriffen?
  • Von welchem Gerät?
  • Auf welche Ressource?
  • Zu welchem Zeitpunkt?
  • Welche Aktionen wurden durchgeführt?
  • Welche Risikobewertung galt?

Automatische Reports:

  • Monatlicher Zugriffsbericht für Datenschutzbeauftragten
  • Alarmierung bei verdächtigen Mustern
  • Nachvollziehbarkeit für Audits

Implementierung: Der Weg zu Zero Trust

Phase 1: Identitäten absichern (1-2 Monate)

  • MFA für alle Benutzer aktivieren
  • Conditional Access Basisrichtlinien einführen
  • Password Protection konfigurieren
  • Selbst-Service-Passwort-Reset ermöglichen

Phase 2: Geräte einbinden (2-3 Monate)

  • Geräte-Compliance-Richtlinien definieren
  • Microsoft Intune für Mobile Device Management
  • Windows Autopilot für Geräte-Onboarding
  • FIDO2-Schlüssel für kritische Rollen

Phase 3: Anwendungen schützen (2-3 Monate)

  • Alle Anwendungen über Entra ID authentifizieren
  • Privileged Identity Management einführen
  • Session-Management konfigurieren
  • DLP-Richtlinien verschärfen

Phase 4: Netzwerk segmentieren (3-4 Monate)

  • Mikrosegmentierung für kritische Systeme
  • Netzwerkzugriff nur für verifizierte Geräte
  • VPN-Ablösung durch Zero Trust Network Access
  • Überwachung des Ost-West-Traffics

Phase 5: Kontinuierliche Verbesserung

  • Regelmässige Risikobewertungen
  • Anpassung der Richtlinien an neue Bedrohungen
  • Penetration Tests
  • Schulung der Mitarbeitenden

Praxisbeispiel: Zero Trust in einer Psychiatrischen Klinik

Eine psychiatrische Klinik mit 800 Mitarbeitenden implementierte Zero Trust mit Microsoft Entra ID und Präziis:

Ausgangslage:

  • Passwort-basierte Anmeldung für alle Systeme
  • Keine Gerätekontrolle
  • Breite Zugriffsrechte (jeder sieht fast alles)
  • 4 Sicherheitsvorfälle pro Jahr

Implementierung:

MFA-Rollout:

  • Microsoft Authenticator für alle Mitarbeitenden
  • FIDO2-Schlüssel für IT und Leitungspersonen
  • Numbermatching gegen Phishing

Conditional Access:

  • KIS-Zugriff nur von verwalteten Geräten
  • Patientendokumentation nur mit MFA
  • Administrative Systeme mit PIM

Geräteverwaltung:

  • Alle Arbeitsplätze via Intune verwaltet
  • BYOD nur für E-Mail und Kalender
  • Shared Devices mit schneller Benutzerumschaltung

Ergebnisse nach 12 Monaten:

  • 0 erfolgreiche Phishing-Angriffe (vorher: 2 pro Jahr)
  • 100% MFA-Abdeckung für alle Mitarbeitenden
  • Reduktion der IT-Tickets um 40% (Self-Service-Reset)
  • Erfolgreiche ISO 27001-Zertifizierung

Der IT-Leiter: "Zero Trust war anfangs skeptisch betrachtet – zu kompliziert, zu restriktiv. Heute wollen die Mitarbeitenden nichts anderes mehr. Die Anmeldung ist schneller und sicherer."

Fazit

Zero Trust ist kein Produkt, sondern eine Strategie. Microsoft Entra ID liefert die technischen Bausteine, Präziis integriert sie in healthcare-spezifische Workflows. Das Ergebnis:

  • Sicherheit ohne Produktivitätsverlust: MFA ist schneller als Passworteingabe
  • Compliance by Design: Jeder Zugriff ist dokumentiert
  • Flexibilität: Sichere Arbeit von überall, auf jedem Gerät
  • Schutz vor modernen Bedrohungen: Ransomware, Phishing, Insider

Der Weg zu Zero Trust ist eine Reise, kein Sprint. Beginnen Sie mit der Identitätsabsicherung und erweitern Sie schrittweise – wir begleiten Sie dabei.