Das 1x1 der IT-Sicherheit

Die ärztliche Schweigepflicht ist ein hohes Gut und eine Berufspflicht für Ärzte und Zahnärzte, deren Verletzung sogar nach dem Strafgesetzbuch geahndet wird. Das gilt für Verstöße gegen die Vorschriften des Bundesdatenschutzgesetzes zwar nicht, trotzdem kann es zu enormen Bußgeldern kommen. Patientendaten liefern insgesamt aufschlussreiche Informationen über die jeweiligen persönlichen und sachlichen Verhältnisse und sind damit damit besonders schützenswert. Da diese Daten in einer modernen Praxis größtenteils elektronisch verarbeitet werden, sollten Praxisinhaber gezielte Maßnahmen zur IT-Sicherheit durchführen, um den Zugriff Dritter zu verhindern und die Praxis-IT vor Schadsoftware zu schützen.

Bei der Bestimmung des jeweils angemessener Sicherheitsstandards geht es natürlich um das Abwägen von Sicherheit und Aufwand. Unabhängig davon, ob Sie über die Bestellung eines Datenschutzbeauftragten nachdenken (siehe Kasten), sollten Sie einige wesentliche Aspekte zwingend umsetzen.

Den physische Schutz der Daten Können Sie bereits bei der Planung der Praxiseinrichtung berücksichtigen: Wartende Patienten am Tresen lugen mal auf den Bildschirm. Computer sollten Sie deshalb immer so aufstellen, dass Tastaturen und Monitore für Unbefugte nicht direkt zugänglich und einsehbar sind.

Um Kosten und Aufwand zu sparen, sollten Sie erst einmal die Sicherheitsmechanismen ausschöpfen, die die Programme und Betriebssysteme der Praxis von sich aus anbieten. Dazu gehören als erstes Benutzerkonten: Richten Sie ein Administratorkonto ein. Darüber kann das Betriebssystem konfiguriert, die notwendige Software und falls nötig auch die Hardware installiert werden. Den Zugang zu diesem Konto erhält nur die Person, die in der Praxis für IT-Sicherheit verantwortlich ist. Für die tägliche Nutzung der EDV werden anschließend Benutzerkonten für jeden Praxismitarbeiter inklusive Inhaber eingerichtet, denen nur eingeschränkte Rechte zugestanden werden. Das „Daily Business“ ist damit möglich, ohne – wissend, unwissend oder durch Dritte – sicherheitskritischen Aktionen zu ermöglichen. Außerdem sollten Sie alle Mitarbeiter sensibilisieren, dass sie selbst beim kurzen Verlassen des Arbeitsplatzes den PC sperren.

###more### ###title### Kennwörter ###title### ###more###

Alle Benutzerkonten, Abrechnungs- und andere sensible Programme sollten mit unterschiedlichen Kennwörtern geschützt werden. Hier liegt der Teufel im Detail: Die Komplexität des Passworts bestimmt dessen Sicherheit. Andernfalls haben geübte Angreifer extrem leichtes Spiel. Zur Verdeutlichung: Mit einem handelsüblichem PC und entsprechender Software brauchen Kenner zum Knacken eines aus sechs Zeichen bestehenden Passworts weniger als eine Minute. Deshalb sollten keine Standard-Passwörter im Stile von „123456“ verwendet werden. Wie weit verbreitet ein solches Vorgehen noch immer ist, zeigte sich 2013 im Fall eines Hackerangriffs beim Software-Riesen Adobe. Damals ließen sich mit den 100 häufigsten Passwörtern rund 6 Millionen Kunden-Accounts öffnen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt für sichere Passwörter mindestens zwölf Zeichen. Dabei sollten keine Namen, Worte oder Geburtstage gewählt werden, sondern möglichst zufällige Kombination von Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen. Damit das praxistauglich wird, sollten Sie keinem Mitarbeiter verbieten, sein Kennwort zu notieren, bis es gut eingeprägt ist. Natürlich muss dann anschließend auf eine sichere Aufbewahrung geachtet werden. Eine Binsenweisheit, die allerdings oft nicht befolgt wird: Das beste Kennwort hilft nichts, wenn es am Monitor klebt. Eine Alternative kann der Einsatz sogenannter Hardware-Token sein. Der Besitz eines solchen Tokens kann die Eingabe von Kennwörtern ersetzen. Für die Auswahl und Installation einer solchen Lösung sollten Sie aber auf jeden Fall einen Experten konsultieren.

Grundsätzlich gilt natürlich immer die alte Regel aus den Kindertagen des Internets: Aktuelle Virenschutz-Software ist unverzichtbar, denn die Welt der Gefahren durch Computerviren unterliegt einem ständigen Wandel. Neueste Entwicklung ist die Bedrohung durch „Ransomware“. Diese Erpressungstrojaner verschlüsseln die Daten auf dem befallenen System und bieten die Entschlüsselung gegen Entgelt an, ohne die die Daten verloren sind – wenn man sie nicht auf einer Sicherung verfügbar hat. So simpel wie wichtig ist auch, alle Mitarbeiter über die Gefahr des manuellen Datenaustauschs per CD oder USB-Stick zu sensibilisieren: Dateien aus unsicheren Quellen haben auf den Rechnern der Zahnarztpraxis nichts verloren.

Beim Datenaustausch via Internet spielt die Netz-Architektur eine wichtige Rolle. Die größte Sicherheit erreichen Sie mit der Nutzung eines separaten, vom Praxis-Netzwerk getrennten Internet-PC – sofern das Internet in Ihrer Praxis überhaupt genutzt werden soll. Ist das keine praktikable Option, so haben Sie verschiedene Möglichkeiten, um ein ordentliches Sicherheitsniveau zu gewährleisten. Grundsätzlich sollte die Verbindung mit dem Internet über einen Router und eine Firewall erfolgen. Auch der Einsatz eines Proxy-Servers oder eines VPN-Gateways kann sinnvoll sein, ist ohne externe Betreung aber wohl nur von den wenigsten Praxen umzusetzen. In jedem Fall gilt: Eine direkte Verbindung der Praxis-Rechner mit dem Internet sowie den Besuch unbekannter Webseiten oder Filesharing sollten Sie immer vermeiden. Außerdem sollte Ihr Browser auf dem aktuellsten Stand sein. Die Nutzung aktiver Komponenten wie ActiveX, Scriptsprachen oder Multimedia-PlugIns sollten Sie einschränken oder verhindern. Um das häufigste Einfallstor von Schadsoftware zu verschließen, muss das E-Mail-Programm so eingestellt sein, dass E-Mails nicht automatisch angezeigt werden. Ebenfalls extrem simpel aber entscheidend: Dateianhänge sollten nur geöffnet werden, wenn der Absender bekannt ist.

Sperichern Sie keine Patientendaten in der Cloud! Wer mit dem Gedanken trotzdem spielt, sollte vorab folgende wichtige Fragen klären: Wo liegen die Daten physisch? Wie werden sie gesichert? Eine verschlüsselte Speicherung ist unabdingbar, damit der Anbieter keinen direkten Zugriff auf die Daten hat! Und: Wie sieht es mit Verfügbarkeit, Support und einer Datensicherung durch den Anbieter aus? Seriöse Anbieter von Cloud-Dienstleistungen sollten Ihnen zu diesen Fragen befriedigende Antworten liefern können. Ansonsten bleibt für die richtige, zum jeweiligen Praxismodell passende, Auswahl von Soft- und Hardware- lösungen immer noch die Hinzuziehung eines Experten.

Dipl.-Math. Jochen Gottsmann, Projektleiter elektronischer Zahnarztausweis, Telematik bei der Bundeszahnärztekammer

Weitere Informationen zu allen Aspekten der IT-Sicherheit in Praxen finden Sie im „Datenschutz und Datensicherheits-Leitfaden für die Zahnarztpraxis-EDV“ von BZÄK und KZBV unterwww.bit.ly/datenschutzleitfaden