Gehen Sie durch ein beliebiges Krankenhaus. Werfen Sie einen Blick auf die Workstation hinter dem Stationsstützpunkt, auf die am Medikamentenwagen, auf die im Arztzimmer mit drei Wartenden dahinter. Der Bildschirm ist entsperrt. Die Sitzung gehört irgendwem, der sich zu Schichtbeginn angemeldet hat, möglicherweise vor Stunden, möglicherweise einer anderen Person aus einer anderen Schicht, die sich nie abgemeldet hat.

Jeder in der IT weiß, dass das falsch ist. Die Compliance weiß es. Der CISO weiß es. Die Auditoren wissen es. Und trotzdem ist der unverschlossene PC der dominierende Betriebsmodus im Gesundheitswesen, weil die Kosten des Sperrens (in Form von Nutzerfrustration) immer höher waren als die wahrgenommenen Kosten des Offenlassens.

Bis jetzt.

Der Grund, warum medizinische Arbeitsplätze ungesperrt bleiben, ist keine Nachlässigkeit. Es ist Arithmetik. Eine Pflegekraft nutzt eine Workstation dreißig- bis vierzigmal pro Zwölf-Stunden-Schicht. Wenn jede Anmeldung mindestens dreißig Sekunden kostet (bestenfalls!), sind das fünfzehn bis dreißig Minuten unproduktives Herumstehen pro Schicht, pro Pflegekraft, pro Arbeitsplatz. Hochgerechnet auf eine Station sind das Stunden. Hochgerechnet auf ein Krankenhaus sind das Vollzeitäquivalente. Diese Mathematik kann niemand in einer Budgetsitzung verteidigen, und so war der praktische Kompromiss immer derselbe: einmal zu Schichtbeginn anmelden, die Workstation offen lassen, das Beste hoffen.

Jede Authentisierungsoption, die dem Gesundheitswesen je angeboten wurde, ist an dieser Beschränkung gescheitert:

• Passwörter: zu langsam zu tippen, zu viele zu merken, innerhalb der ersten Woche auf Haftnotizen geteilt.
• Smartcards: besser, aber Einstecken, Entnehmen und Mittragen einer Karte sind erforderlich, die leicht verloren oder im Lesegerät vergessen wird. Die PIN-Eingabe verlängert jede Anmeldung um Sekunden.
• Windows Hello for Business: konzipiert für persönliche Geräte. PIN und Biometrie sind an einen bestimmten Benutzer auf einem bestimmten Rechner gebunden. Geteilte Arbeitsplätze sind nicht das Problem, das es lösen soll.
• Bestehende „Tap-and-Go"-Aufsätze: die meisten spielen unter der Haube ein gespeichertes Passwort ab. Die Audit-Logs sehen einen einzigen Benutzer. Echte Authentisierung hat nicht stattgefunden. Sicherheitstheater, das Auditoren zunehmend nicht mehr akzeptieren.

Was das Gesundheitswesen brauchte, war ein Berechtigungsnachweis, den der Nutzer ohnehin schon mit sich trägt, der eine AD-Anmeldung in unter zwei Sekunden erzeugt und der nicht irgendwo in der Kette in ein geteiltes Passwort zusammenfällt. Lange Zeit existierte diese Kombination nicht.

Der Ausweis, den eine Krankenhausmitarbeiterin ohnehin trägt, die NFC-Karte, die die Tür zum Pausenraum öffnet, ihren Druckauftrag freigibt, ihr Kantinenessen abrechnet, wird zu ihren Active-Directory-Anmeldedaten. Ein Tap. Anmeldung in unter zwei Sekunden. Die Sitzung des vorherigen Nutzers wird gesperrt. Die Sitzung des neuen Nutzers wird fortgesetzt oder gestartet. Es wird kein Passwort eingegeben. Es existiert kein Passwort.

Möglich wird das durch das Credential-Modell. Wenn ein Nutzer seinen Ausweis an ein Lesegerät am Arbeitsplatz hält, stößt SystoLOCK einen Authentisierungsvorgang an, der mit einem kurzlebigen X.509-Zertifikat endet, das speziell für diese Sitzung ausgestellt wird. Active Directory validiert dieses Zertifikat genauso, wie es ein Smartcard-Zertifikat validieren würde — über PKINIT. Der Nutzer ist angemeldet. Das Zertifikat läuft kurz danach ab. Es gibt kein Passwort, das gephisht, replayed, geteilt oder auf eine Haftnotiz geschrieben werden könnte, weil das Protokoll keines verwendet.

Der Ausweis selbst muss sich nicht ändern. SystoLOCK liest die vorhandenen Kartendaten von denselben NFC-Chips aus, die das Zutrittskontrollsystem ohnehin schon nutzt. Keine Neuausstellung, keine Parallelinfrastruktur, keine zweite Karte, die verloren gehen kann. Die Investition des Krankenhauses in Zutrittsausweise, oft ein sechs- oder siebenstelliges Programm, wird ein zweites Mal als Identitätsfaktor für AD genutzt.

Active Directory authentisiert mit Kerberos. Kerberos wurde in den 1980er Jahren für Passwörter entworfen und später über PKINIT auf Smartcards erweitert. Es gibt keinen nativen Weg, AD beizubringen, „diese Person hat einen Ausweis an ein Lesegerät gehalten" als Anmeldeinformation zu akzeptieren. Jeder Anbieter, der vor SystoLOCK ein Tap-and-Go-Produkt gebaut hat, musste diese Lücke irgendwie überbrücken, und die Brücke war fast immer dieselbe: Speichere das Passwort des Nutzers in einem Vault, hole es beim Tap heraus, spiele es am Arbeitsplatz ab. Funktional hat es geklappt. Sicherheitstechnisch nicht. Das Passwort existierte weiterhin. Der Vault war ein Angriffsziel. Auditoren sahen einen Nutzer „tippen", jedes Mal wenn ein Ausweis ein Lesegerät berührte und stellten unangenehme Fragen.

Der SystoLOCK-Ansatz entfernt das Passwort vollständig aus der Kette. Der Tap am Ausweis löst eine Zertifikatsausstellung aus, und das Zertifikat ist es, was sich gegenüber AD authentisiert. Kein Vault, kein Passwort, kein Replay. Die Anmeldedaten, die der Nutzer vorzeigt (ein Ausweis, den er ohnehin trägt), unterscheidet sich strukturell von Anmeldedaten, die AD prüft (ein frisches Zertifikat), aber die kryptografische Verbindung dazwischen ist solide und die Benutzererfahrung ist ein Tap.
Das war ein Engineering-Problem, dessen saubere Lösung Jahre gedauert hat. Der Kernansatz von SystoLOCK wurde 2017 patentiert und ist seit 2021 mit zahlenden Kunden im produktiven Einsatz.

Der interessante Teil ist, was mit der Betriebsrichtlinie passiert, sobald Tap-and-Go tatsächlich funktioniert.

Der Sperrbildschirm wird einsetzbar. Das Inaktivitäts-Timeout auf jedem klinischen Arbeitsplatz kann auf zwei oder drei Minuten gesetzt werden, ohne eine Revolte auszulösen, weil das Entsperren nur einen Tap kostet. Die Standard-Bildschirmsperr-Richtlinie, die das GPO seit 2003 anbietet, hat endlich einen Tap-and-Go-Partner, der sie im Produktivbetrieb erträglich macht.

Audit-Logs werden nützlich. Jede Sitzung hat einen echten, individuell zurechenbaren AD-Nutzer dahinter. Das Windows-Ereignisprotokoll, das KIS-Anwendungslog und das Zutrittskontrollprotokoll verweisen alle auf dieselbe Identität. Incident Response kann die Frage „Wer hat die Akte dieses Patienten um 03:14 Uhr eingesehen?" mit einem Namen beantworten, nicht mit „dem Station-3-Konto", denn SystoLOCK unterstützt auch Funktionskonten.

Compliance-Narrative hören auf, Wunschdenken zu sein. Jedes Rahmenwerk, das die Authentisierung im Gesundheitswesen berührt (NIS2, DSGVO, die länderspezifischen Patientendatengesetze in der EU, das KRITIS-Dachgesetz in Deutschland) setzt persönliche Authentisierung als Standardfall voraus. Zwei Jahrzehnte lang wurde diese Voraussetzung auf der Station höflich ignoriert. Mit Tap-and-Go, das tatsächlich funktioniert, wird sie zur betrieblichen Realität.

Eine Pflegekraft nähert sich dem Medikamentenwagen. Der Bildschirm ist gesperrt und zeigt den SystoLOCK-Prompt. Sie hält ihren Ausweis an das Lesegerät am Wagen. Innerhalb von zwei Sekunden erscheint ihre Sitzung auf dem Bildschirm, einsatzbereit, mit dem KIS geöffnet beim Patienten, den sie zuletzt bearbeitet hat. Sie dokumentiert, was zu dokumentieren ist. Sie geht weiter. Nach zwei Minuten sperrt sich der Bildschirm. Drei Minuten später hält eine andere Pflegekraft derselben Schicht ihren Ausweis an dasselbe Lesegerät. Ihre Sitzung erscheint, getrennt und persönlich. Die vorherige Sitzung bleibt im Hintergrund erhalten, gesperrt, in jeder Audit-Abfrage ihr zurechenbar. Oder, falls so konfiguriert, wird die vorherige Sitzung abgemeldet.

Die Workstation hatte in der letzten Stunde zehn verschiedene Nutzer. Der Sperrbildschirm war zwischen jedem Wechsel aktiv. Niemand hat ein Passwort getippt. Niemand hat eine Smartcard verloren. Niemand hat gewartet.

Das ist es, was SystoLOCK tut. Der Ausweis in der Kitteltasche hat sich an der Tür bereits einmal bezahlt gemacht. Er macht sich an der Workstation ein zweites Mal bezahlt.