Zero Trust Security mit Microsoft Entra ID: Moderne Sicherheitsarchitektur für Spitäler
Die traditionelle Perimeter-Sicherheit – Firewall um das Netzwerk, dann freier Zugang intern – ist im modernen Gesundheitswesen nicht mehr zeitgemäss. Mobile Mitarbeitende, Cloud-Dienste, Telemedizin und die Integration externer Partner erfordern einen neuen Ansatz: Zero Trust.
Was ist Zero Trust?
Zero Trust basiert auf dem Grundsatz: "Never trust, always verify." Jeder Zugriff wird verifiziert, unabhängig davon, ob er von innerhalb oder ausserhalb des Unternehmensnetzwerks erfolgt.
Die drei Säulen von Zero Trust
1. Explizite Verifizierung
Jede Zugriffsanfrage wird anhand aller verfügbaren Signale überprüft:
- Benutzeridentität
- Standort
- Gerätegesundheit
- Ressourcensensitivität
- Ungewöhnliche Aktivitätsmuster
2. Geringstmögliche Berechtigungen
Benutzer erhalten nur die Rechte, die sie für ihre aktuelle Aufgabe benötigen:
- Just-in-Time-Zugriff
- Just-Enough-Access
- Zeitlich begrenzte Berechtigungen
- Regelmässige Zugriffsüberprüfungen
3. Annahme einer Kompromittierung
Die Architektur geht davon aus, dass Angreifer bereits im Netzwerk sind:
- Mikrosegmentierung
- Ende-zu-Ende-Verschlüsselung
- Echtzeitüberwachung
- Automatische Reaktion auf Anomalien
Microsoft Entra ID: Das Fundament für Zero Trust
Microsoft Entra ID (früher Azure Active Directory) ist die zentrale Identitätsplattform für Zero Trust. Im Gesundheitswesen ermöglicht sie sichere Zugriffe für verschiedenste Szenarien.
Conditional Access: Intelligente Zugriffssteuerung
Conditional Access ist das Herzstück von Zero Trust in Microsoft 365. Richtlinien definieren, unter welchen Bedingungen Zugriff gewährt wird.
Beispiel-Richtlinien für ein Spital:
Richtlinie 1: Klinische Anwendungen
- Erfordert: MFA + verwaltetes Gerät + Standort Schweiz
- Gilt für: KIS-Zugriff, Patientendokumentation
- Blockiert: Zugriff von nicht-konformen Geräten
Richtlinie 2: Administrative Systeme
- Erfordert: MFA + Privileged Access Workstation
- Gilt für: HR-Systeme, Finanzanwendungen
- Zeitbeschränkung: Nur während Arbeitszeiten
Richtlinie 3: Notfallzugriff
- Erlaubt: Zugriff von beliebigem Gerät mit erhöhter MFA
- Gilt für: Notarzt-Rolle bei Nacht/Wochenende
- Logging: Erhöhte Überwachung
Richtlinie 4: Externe Partner
- Erfordert: MFA + Terms of Use akzeptiert
- Gilt für: Zuweisende Ärzte, Lieferanten
- Beschränkung: Nur spezifische Dokumente
Multi-Faktor-Authentifizierung (MFA)
MFA ist die wichtigste Einzelmassnahme gegen Identitätsdiebstahl. Microsoft Entra ID unterstützt verschiedene MFA-Methoden:
Push-Benachrichtigungen (Microsoft Authenticator):
- Schnellste Methode
- Numbermatching für Phishing-Schutz
- Zusätzliche Standort- und App-Anzeige
FIDO2-Sicherheitsschlüssel:
- Höchste Sicherheit
- Phishing-resistent
- Ideal für Shared Workstations (Pflegestationen)
Biometrie (Windows Hello):
- Fingerabdruck oder Gesichtserkennung
- Gerätegebunden
- Keine Passwörter mehr nötig
Telefon-basiert:
- SMS oder Anruf (Fallback)
- Weniger sicher, aber universell
- Für Mitarbeitende ohne Smartphone
Privileged Identity Management (PIM)
PIM ermöglicht Just-in-Time-Zugriff für privilegierte Rollen:
Szenario IT-Administrator:
1. Administrator hat normalerweise nur Standard-Benutzerrechte
2. Bei Bedarf aktiviert er temporär erhöhte Rechte
3. Aktivierung erfordert MFA und Begründung
4. Rechte laufen nach definierter Zeit automatisch ab
5. Alle Aktionen werden protokolliert
Szenario Abteilungsleitung:
1. Zugriff auf Personaldaten nur bei aktivem Request
2. Genehmigung durch HR erforderlich
3. Maximale Aktivierung: 8 Stunden
4. Monatliche Überprüfung durch Vorgesetzten
Identitätsschutz (Identity Protection)
Microsoft Entra Identity Protection analysiert Anmelderisiken in Echtzeit:
Erkannte Risiken:
- Anmeldungen von unbekannten Standorten
- Unmögliche Reisen (Anmeldung in Zürich, 5 Minuten später in New York)
- Passwort-Spray-Angriffe
- Kompromittierte Anmeldedaten (im Darknet gefunden)
- Malware-verknüpfte IP-Adressen
Automatische Reaktionen:
- Niedriges Risiko: Zusätzliche MFA-Aufforderung
- Mittleres Risiko: Passwortänderung erforderlich
- Hohes Risiko: Konto sperren, IT benachrichtigen
Präziis: Zero Trust für Healthcare-Workflows
Präziis integriert die Microsoft Entra ID Sicherheitsfunktionen nahtlos in healthcare-spezifische Arbeitsabläufe.
Kontextsensitive Zugriffssteuerung
Stationsbasierter Zugriff:
- Pflegekraft auf Station A sieht nur Patienten von Station A
- Automatische Rechteerweiterung bei Verlegung
- Notfallzugriff auf andere Stationen mit Audit
Rollenbasierte Sichten:
- Arzt sieht vollständige Patientendokumentation
- Pflegekraft sieht pflegerelevante Daten
- Reinigungspersonal sieht nur Raumbelegung
Zeitbasierte Berechtigungen:
- Nachtdienst hat andere Rechte als Tagdienst
- Wochenend-Pikettdienst mit erweiterten Zugängen
- Temporäre Rechte für Stellvertretungen
Geräte-Compliance im Klinikalltag
Managed Devices (Unternehmensgeräte):
- Voller Zugriff auf alle Anwendungen
- Lokale Datenspeicherung erlaubt
- Offline-Zugriff auf Dokumente
BYOD (private Smartphones/Tablets):
- Eingeschränkter Zugriff via Mobile App
- Keine Datenspeicherung auf Gerät
- Automatische Datenlöschung bei Ausscheiden
Shared Devices (Stationscomputer):
- Schnelle Benutzeranmeldung per Badge oder Biometrie
- Automatische Abmeldung nach Inaktivität
- Session-Isolation zwischen Benutzern
Audit und Compliance
Alle Zugriffe werden für Compliance-Zwecke protokolliert:
Protokollierte Informationen:
- Wer hat zugegriffen?
- Von welchem Gerät?
- Auf welche Ressource?
- Zu welchem Zeitpunkt?
- Welche Aktionen wurden durchgeführt?
- Welche Risikobewertung galt?
Automatische Reports:
- Monatlicher Zugriffsbericht für Datenschutzbeauftragten
- Alarmierung bei verdächtigen Mustern
- Nachvollziehbarkeit für Audits
Implementierung: Der Weg zu Zero Trust
Phase 1: Identitäten absichern (1-2 Monate)
- MFA für alle Benutzer aktivieren
- Conditional Access Basisrichtlinien einführen
- Password Protection konfigurieren
- Selbst-Service-Passwort-Reset ermöglichen
Phase 2: Geräte einbinden (2-3 Monate)
- Geräte-Compliance-Richtlinien definieren
- Microsoft Intune für Mobile Device Management
- Windows Autopilot für Geräte-Onboarding
- FIDO2-Schlüssel für kritische Rollen
Phase 3: Anwendungen schützen (2-3 Monate)
- Alle Anwendungen über Entra ID authentifizieren
- Privileged Identity Management einführen
- Session-Management konfigurieren
- DLP-Richtlinien verschärfen
Phase 4: Netzwerk segmentieren (3-4 Monate)
- Mikrosegmentierung für kritische Systeme
- Netzwerkzugriff nur für verifizierte Geräte
- VPN-Ablösung durch Zero Trust Network Access
- Überwachung des Ost-West-Traffics
Phase 5: Kontinuierliche Verbesserung
- Regelmässige Risikobewertungen
- Anpassung der Richtlinien an neue Bedrohungen
- Penetration Tests
- Schulung der Mitarbeitenden
Praxisbeispiel: Zero Trust in einer Psychiatrischen Klinik
Eine psychiatrische Klinik mit 800 Mitarbeitenden implementierte Zero Trust mit Microsoft Entra ID und Präziis:
Ausgangslage:
- Passwort-basierte Anmeldung für alle Systeme
- Keine Gerätekontrolle
- Breite Zugriffsrechte (jeder sieht fast alles)
- 4 Sicherheitsvorfälle pro Jahr
Implementierung:
MFA-Rollout:
- Microsoft Authenticator für alle Mitarbeitenden
- FIDO2-Schlüssel für IT und Leitungspersonen
- Numbermatching gegen Phishing
Conditional Access:
- KIS-Zugriff nur von verwalteten Geräten
- Patientendokumentation nur mit MFA
- Administrative Systeme mit PIM
Geräteverwaltung:
- Alle Arbeitsplätze via Intune verwaltet
- BYOD nur für E-Mail und Kalender
- Shared Devices mit schneller Benutzerumschaltung
Ergebnisse nach 12 Monaten:
- 0 erfolgreiche Phishing-Angriffe (vorher: 2 pro Jahr)
- 100% MFA-Abdeckung für alle Mitarbeitenden
- Reduktion der IT-Tickets um 40% (Self-Service-Reset)
- Erfolgreiche ISO 27001-Zertifizierung
Der IT-Leiter: "Zero Trust war anfangs skeptisch betrachtet – zu kompliziert, zu restriktiv. Heute wollen die Mitarbeitenden nichts anderes mehr. Die Anmeldung ist schneller und sicherer."
Fazit
Zero Trust ist kein Produkt, sondern eine Strategie. Microsoft Entra ID liefert die technischen Bausteine, Präziis integriert sie in healthcare-spezifische Workflows. Das Ergebnis:
- Sicherheit ohne Produktivitätsverlust: MFA ist schneller als Passworteingabe
- Compliance by Design: Jeder Zugriff ist dokumentiert
- Flexibilität: Sichere Arbeit von überall, auf jedem Gerät
- Schutz vor modernen Bedrohungen: Ransomware, Phishing, Insider
Der Weg zu Zero Trust ist eine Reise, kein Sprint. Beginnen Sie mit der Identitätsabsicherung und erweitern Sie schrittweise – wir begleiten Sie dabei.