(openPR) Unternehmensweite Software-Lösung vom SCCH gewährleistet anwendungsunabhängige Sicherheit beim Datenzugriff
Mit der vom Software Competence Center Hagenberg (SCCH) entwickelten Software kann die Oberösterreichische Gebietskrankenkasse ihren Versicherten zukünftig genau Auskunft erteilen, wer wann auf bestimmte personenbezogene Daten zugegriffen hat. Dadurch wird nicht nur die anwendungsübergreifende Umsetzung des österreichischen Datenschutzgesetzes gewährleistet, sondern auch die interne Datensicherheit durch das unternehmensweite Datenauditing.
Datensicherheit großgeschrieben
Für die Oberösterreichische Gebietskrankenkasse ist das Thema Datensicherheit von großer Bedeutung. Dabei geht es der OÖGKK nicht nur um die strikte Einhaltung des österreichischen Datenschutzgesetzes, welches einerseits die Protokollierung der Zugriffe auf sensible Daten vorschreibt und andererseits das Auskunftsrecht für die Versicherten bestimmt. Neben der Einhaltung der gesetzlichen Rahmenbedingungen hat der Schutz der sensiblen Daten bei der OÖGKK oberste Priorität.
Im Rahmen des Projektes „Integrated Data Auditing“ hat des SCCH gemeinsam mit der OÖGKK einen Software-Prototyp entwickelt, der es ermöglicht, dass sämtliche Geschäftsprozesse der OÖGKK den Protokolldaten zugeordnet werden. Zuvor konnte man diese Daten nur mit umfassendem technischen Fachwissen auswerten. Die große Herausforderung bei der Entwicklung der unternehmensweiten anwendungs- und geschäftsfallunabhängigen Lösung stellten die unterschiedlichen Zugriffsmuster der Anwendung in den verschiedenen Systemlandschaften dar. Außerdem sollten sämtliche Zugriffe auf die Versicherungsdaten sowie deren Verarbeitung transparent und exakt nachvollziehbar sein.
Umfassende Protokollierung
Die neue Software protokolliert durchgängig alle Zugriffe auf die Versicherungsdaten über die Applikationsgrenzen hinweg. Aus diesen Protokollen werden unternehmensweite Zugriffsmuster auf sämtliche Datenbestände abgeleitet und den im Unternehmen vorhandenen Geschäftsprozessen zugeordnet.
„Unsere neue Datenauditing-Lösung kann man mit einer Netzwerk-Firewall vergleichen. Wir können nun zentral alle Datenzugriffe kontrollieren. Neben der Anwendungssicherheit gewährleisten wir mit dieser „Daten-Firewall“ eine unternehmensweite Datensicherheit. Ein weiterer Vorteil ist die flexible Erweiterbarkeit sowie die kostengünstige Wartung“, sagt Manfred Schöneborn, stellvertretender Leiter der IT-Entwicklungsabteilung der OÖGKK.
Der große Vorteil der realisierten Lösung ist die Tatsache, dass kaum Änderungen an den verschiedenen Anwendungen vorgenommen werden mussten und dass deren Performance nicht beeinträchtigt wird. Darüber hinaus enthalten die Zugriffsprotokolle nicht nur technische Informationen (wie z.B. File- oder Datenbanktabelle), sondern auch die Geschäftsprozesse – zum Beispiel die AU-Meldung.
Die im Zuge des Projektes entwickelte anwendungsübergreifende Auditing-Architektur wurde auf Netzwerkbasis mithilfe von Event Stream Processing Technologie, d.h. Esper und einem Open Source Data Warehouse mit einer auf Mondrian basierten OLAP-Lösung umgesetzt. Das System macht somit das Datenauditing komplett anwendungsunabhängig. Außerdem bietet es Potenzial für Business Performance Measurement, Intrusion Detection sowie Performance-Analysen.
„Der von uns entwickelte Ansatz unterscheidet sich von kommerziellen Anbietern dadurch, dass nicht nur die Datenzugriffe, sondern auch die von dieser Abfrage gelieferten Daten ausgewertet werden“, betont Christian Hawel, Leiter der Industrial Data Warehousing Group beim SCCH. „Besonders innovativ dabei ist, dass das System automatisch die Geschäftsfälle erkennt, die aus den technischen Zugriffsmustern abgeleitet werden.“
, 
, 
