6. Januar 20215 j Hallo an alle da drauĂen, ich habe hier fĂŒr meine Projektbeschreibung folgenden Text geschrieben: Projektbeschreibung Die *KLINIK AG* ist ein Klinikbetreiber, fĂŒr Reha Kliniken und KrankhĂ€user in ganz *KLINIKLANDEN*, mit Hauptsitz in *HAUPTSTADT*. Die *KLINIK-IT* GmbH ist das IT-Systemhaus der *KLINIK AG* und entwickelt Strategien, als auch IT-Konzepte fĂŒr die einzelnen Kliniken und setzt diese technisch um. Neue Mitarbeiter der Kliniken bekommen bei Beginn ihrer TĂ€tigkeit ein eigenes Benutzerkonto fĂŒr die Anmeldung der Workstations in deren Klinik. Damit die Klinikmitarbeiter eine optimale Versorgung der Patienten gewĂ€hrleisten können, mĂŒssen diese jederzeit Zugriff auf die Daten der Patienten haben. Der GeschĂ€ftsfĂŒhrung soll eine Lösung geboten werden, mit der den Klinikmitarbeitern die Möglichkeit geboten wird, ohne technischen Support mithilfe eines Self-Service Password Reset Dienstes, eigenstĂ€ndig deren Zugangsdaten zurĂŒcksetzen zu können.  SOLL-Analyse Wenn ein Mitarbeiter seine Anmeldedaten verliert, muss sich dieser bei der Hotline melden, ein Ticket erstellen lassen und warten bis das Ticket bearbeitet wurde (z.B. um das Passwort zurĂŒckzusetzen). Sind aber Administratoren, aufgrund von Feiertagen, Wochenenden, oder spĂ€teren Uhrzeiten nicht erreichbar, muss der Klinikmitarbeiter ĂŒber andere Wege (z.B. Kollegen) die Unterlagen ausdrucken, Handschriftlich bearbeiten und bei erhalt neuer Zugangsdaten diese wieder elektronisch ĂŒbertragen. Dieser Vorgang ist sehr Zeitaufwendig und erhöht den Arbeitsaufwand.  IST-Konzept Bei Anmeldung am Betriebssystem soll dem Benutzer die Möglichkeit geboten werden, sich eine E-Mail zukommen zu lassen, die einen Link fĂŒr das zurĂŒcksetzen des eigenen Passwortes Bietet. Diese Funktion wird mithilfe von Sicherheitsfragen, deren Antworten durch den Benutzer bei der Einrichtung des Benutzerkontos gespeichert werden gesichert. Dadurch ist der Klinikmitarbeiter jederzeit in der Lage, sich auf sicherem Weg Zugriff auf das eigene Benutzerkonto zu gewĂ€hren.  Die mit Sternchen versehenen Stellen werden natĂŒrlich durch die echten Daten versehen.  Was meint ihr? so ok? Wo ist verbesserungsbedarf, etc? MFG
6. Januar 20215 j Moment, Passwortreset fĂŒr EINE Anwendung? Das hat die Anwendung nicht eingebaut? SSO anyone? Wer entsperrt das Windows-Passwort, wenn nur der Anwendungs-SSPR erreichbar wĂ€re?
6. Januar 20215 j Autor Nicht ganz, das ist ein SSPR fĂŒr die Anmeldung am Betriebssystem. Steht da auch
6. Januar 20215 j Wie kann ich ohne Kenntnis des BS-Passworts und somit erfolgtem Login eine E-Mail lesen? đ€
6. Januar 20215 j Autor ok, ich glaube ich muss noch ergĂ€nzend erwĂ€hnen, dass das die E-Mail mit dem Link zur Passwort ZurĂŒcksetzung an eine Private mail geschickt wird, mit der ein Benutzer sich dann via Handy authentifizieren kann und das Passwort festlegt. @charmanta Fachinformatiker Systemintegration, ich entwickle dieses Programm nicht, sondern es ist schon vorhanden (Lam - ldap). DafĂŒr wird ein Linux Server benötigt, der eine Kommunikation mit dem Domain Controller aufbaut und darĂŒber zugriff auf die Benutzer Daten bekommt.Â
6. Januar 20215 j vor 1 Minute schrieb Rumpelchen: dass das die E-Mail mit dem Link zur Passwort ZurĂŒcksetzung an eine Private mail geschickt wird Das heiĂt, wenn das Postfach des Nutzers kompromittiert wurde, besteht grundsĂ€tzlich die Möglichkeit, dass Dritte Zugriff auf Patientendaten erlangen könnten?
6. Januar 20215 j vor 7 Minuten schrieb Rumpelchen: ich entwickle dieses Programm nicht, sondern es ist schon vorhanden (Lam - ldap). DafĂŒr wird ein Linux Server benötigt, der eine Kommunikation mit dem Domain Controller aufbaut und darĂŒber zugriff auf die Benutzer Daten bekommt. Hrmblbhrml .... das ist nicht wirklich ein komplexes Problem im Sinne der PO. Wird schwierig dass durchzubekommen beim PA. Ich wĂŒrds ablehnen vor 8 Minuten schrieb Rumpelchen: dass das die E-Mail mit dem Link zur Passwort ZurĂŒcksetzung an eine Private mail geschickt wird, mit der ein Benutzer sich dann via Handy authentifizieren kann Boah Geil. Ich MUSS also als Angestellter meine private Email-Adresse fĂŒr diesen Zweck meinem Arbeitgeber mitteilen ? Gruss an den Kollegen Datenschutzbeauftragten in Deinem Hause ... die Rechtsgrundlage hĂ€tte ich gerne mal gesehen Mit anderen Worten: Das Verfahren ist auch datenschutzrechtlich nicht ohne
6. Januar 20215 j Autor vor 2 Stunden schrieb Visar: Das heiĂt, wenn das Postfach des Nutzers kompromittiert wurde, besteht grundsĂ€tzlich die Möglichkeit, dass Dritte Zugriff auf Patientendaten erlangen könnten? in wie fern kommt jemand an Daten von Patienten, wenn sich der Mitarbeiter ĂŒber sein Handy auf die Webseite schaltet, auf der eine 2-Fach Authentifizierung eingerichtet ist und sich danach auf seine private E-Mail einen Link zuschickt, um sich das Passwort zurĂŒckzusetzen? und ich habe mich bei dem kommentar verschrieben. Man bekommt keine Zugangsadaten, sondern Ă€ndert das passwort von einem selbst. Solange wie man sich selbst nicht Authentifizieren kann, bsplw. ĂŒber die Sicherheitsfragen, oder eine Software (z.b. windows authenticator, etc..) Und das ist eine freiwillige Funktion, man wird nicht gezwungen, aber das ist ein guter Punkt, das und die 2-Fach Authentifizierung sollte ich noch etwas genauer hervorheben. Bearbeitet 6. Januar 20215 j von Rumpelchen
6. Januar 20215 j vor 1 Stunde schrieb Rumpelchen: in wie fern kommt jemand an Daten von Patienten, wenn sich der Mitarbeiter ĂŒber sein Handy auf die Webseite schaltet, auf der eine 2-Fach Authentifizierung eingerichtet ist und sich danach auf seine private E-Mail einen Link zuschickt, um sich das Passwort zurĂŒckzusetzen? Inwiefern kann ich bzw. können wir wirklich etwas zu deiner Projektidee sagen, wenn du derart essentielle Infos wegslĂ€sst. đ€Â Vielleicht nochmal neu formulieren, vollstĂ€ndig... sonst ist das hier vergebliche LiebesmĂŒh'. Bearbeitet 6. Januar 20215 j von Visar Add missing word "wir"
6. Januar 20215 j Autor Stimmt da hast du natĂŒrlich recht. Das werde ich mir dann vornehmen. Ich bedanke mich auf jedenfall noch mal HERZLICHÂ bei allen fĂŒr die MĂŒhe. Ich werde das nochmal bearbeiten und vielleicht ist es dann ja besser.Â
6. Januar 20215 j vor 8 Stunden schrieb Rumpelchen: Und das ist eine freiwillige Funktion, man wird nicht gezwungen So was wird schnell "freiwillig"... Das Problem ist also, dass med.Personal relativ hĂ€ufig seine Zugangsdaten "vergisst" und dieses Vergessen gefĂ€hrdet Patienten? Dann soll dieser MA in aller Ruhe sein Passwort selbst zurĂŒcksetzen können, natĂŒrlich freiwillig. Sollte er nicht freiwillig daran teilnehmen oder das Prozedere nicht hinbekommen... Moment, ein Klinikverbund ohne 24/7 (Ruf-) Bereitschaft in der IT? Kann und will ich mir nicht vorstellen. Was, wenn nicht nur der Pfleger sein Kennwort vergessen hat sondern ein Server ausfĂ€llt, das RZ gehackt wird... Warum nicht einfach ein Token/eine Smartcard? Irgendwas das man sowieso immer dabei hat und am Körper trĂ€gt? RFID Chip im Mitarbeiterausweis oder so was? Entsperren mit dem MA-AusweiĂ, ggf. automatische Bildschirmsperre/Abmeldung nach Entfernen des Ausweises oder $Minimalwert fĂŒr Timeout falls der MA wegrennt wegen Notfall und entgegen der klaren Anweisung vergisst den Bildschirm zu sperren.  Â
Erstelle ein Konto oder melde dich an, um einen Kommentar zu schreiben.