Datenschutz für die Praxis-IT

Datenschutz ist doch selbstverständlich? Ja, aber ein angemessener Sicherheitsstandard ist mitunter gar nicht so einfach. Allein weil Hard- und Software zunehmend komplexer aufgebaut sind und die Praxis mehr und mehr mit externen Dienstleitern vernetzt ist. Darüber hinaus erfordern der Schutz elektronisch gespeicherter Daten und deren Aufbewahrung eine besondere Sorgfalt.

Dennoch ist Absicherung kein Hexenwerk. Sie fängt schon damit an, dass man Bildschirm, Tastatur und Maus so in der Praxis aufstellt, dass niemand von außen Zugriff beziehungsweise Einblick hat. Verlässt der Zahnarzt oder eine seiner Mitarbeiterinnen den Arbeitsplatz, sollte der Computer sofort gesperrt sein. Auch der Bildschirmschoner kann so konfiguriert werden, dass zwingend ein Kennwort abgefragt wird, sobald man die Arbeit wieder aufnehmen will.

Grundsätzlich sollte die Praxis einen Router installieren, der die Verbindung zum Internet aufbaut. Plus einer Firewall, die den Datenverkehr in und aus dem Netz regelt. Um die gesamte Praxis-Infrastruktur zu schützen, empfiehlt sich der Einsatz einer Firewall- beziehungsweise einer Proxy- Lösung an zentraler Stelle. Insbesondere ein drahtloses Netzwerk birgt das Risiko, dass man es auch außerhalb der Praxisräume anwählen kann, wenn kein ausreichender Passwortschutz – möglichst verschlüsselt via WPA2-Verfahren – besteht. Fachliche Unterstützung macht sich in diesem Fall bezahlt. Eine weitere Möglichkeit, das Internet zu nutzen und gleichzeitig mit der KZV zu kommunizieren, ist das Intranet. Und zwar in Form von VPN, dem virtuellen privaten Netzwerk. Was bedeutet, dass jeder Kontakt zu anderen VPN-Teilnehmern über eine geschützte Verbindung läuft. Und man darüber auch den Zugriff auf das Internet absichern kann – etwa durch Vergabe dynamischer Rechneradressen oder Firewalls. Welche Möglichkeiten gibt es, die Praxis-IT an das World Wide Web anzubinden?

Drei Wege sind denkbar:

• die Nutzung eines eigenen unabhängigen Internet-PCs – ohne Patientendaten (sicher)

• die Nutzung eines Proxy-Servers (nahezu sicher)

• die direkte Anbindung von Praxisrechnern mit Patientendaten an das Internet (extrem unsicher)

Die höchste Sicherheitsstufe, die Praxis-IT ans Internet anzubinden, bietet also der Internet- PC. Das heißt, alle Rechner im Praxisnetz sind miteinander verbunden und nutzen einen gemeinsamen Server für die Praxis- und Patientendaten. Zusätzlich wird ein Anfragen ins Web und verteilt dementsprechend die eingehenden Antworten an die anfragenden PCs. Ein Proxy reicht, um den Internet- und Mailverkehr zu filtern und das Risiko einer Infektion durch bösartige Software zu minimieren. Der dritte, aber absolut ungangbare Weg: Praxisrechner direkt mit dem Internet zu verbinden. Von dieser Variante sollte man unbedingt absehen.

Wer mit Browser und E-Mail-Programm arbeitet, riskiert immer feindliche Attacken. Stichwort Schadsoftware. Aktive Komponenten wie Multimedia Plugins, Scriptsprachen und AcitveX beim Webbrowser bieten eben Angriffsfläche. Bei modernen Browsern kann man diese Nutzung jedoch einschränken oder untersagen und die Sicherheitslücke schließen. Unbekannte Websites sind No-go-Areas – das gilt vor allem für Seiten, die Filme oder Musik anbieten. Denn: Jede Infektion des Praxisrechners stellt wegen der Patientendaten ein unkalkulierbares Risiko dar. Was die Mails betrifft: Vorsicht bei Anhängen. Sie sollten auf keinen Fall arglos geöffnet werden, weil auch sie Viren transportieren können. Bei unbekannten Absendern und unbekanntem Betreff lieber misstrauisch sein. Am besten mit einem kurzen Anruf beim Absender klären, ob man die angehängten Dateien öffnen darf oder nicht. Übrigens: Fast alle Programme und Betriebssysteme verfügen schon über vorinstallierte Sicherheitsmechanismen. Wer sie nicht nutzt, verzichtet auf Sicherheit zum Nulltarif. Hinweise dazu stehen im betreffenden Handbuch. Ein weiteres Bollwerk im Kampf gegen Eindringlinge: das Kennwort. Grundsätzlich sollte man die eingesetzten Abrechnungsprogramme durch Kennwörter schützen. Kennwort ist freilich nicht gleich Kennwort. Viele Anwender übernehmen einfach das voreingestellte Kennwort oder vergeben eins, das jeder Laie knacken kann. Tipp: Das optimale Kennwort ist länger als sieben Zeichen, kommt nicht im Wörterbuch vor und enthält keine Namen oder Geburtstage. Idealerweise wird es aus Sonderzeichen, Ziffern und einem Wechsel aus Groß- und Kleinbuchstaben gebildet. Dass man es nicht auf einem Zettel notiert, der unter der Schreibtischunterlage liegt, versteht sich von selbst. Der Hersteller des Praxisverwaltungssystems sollte in dem Zusammenhang zusichern, dass er keine versteckten Kennwörter – sogenannte Backdoors – zu Wartungszwecken in sein Produkt eingebaut hat.

Ebenfalls unverzichtbar: ein zuverlässiger Virenschutz. Und zwar unabhängig davon, ob das System ans Internet angeschlossen ist oder nicht. Allein der Datenaustausch via CD, DVD oder USB-Stick birgt nämlich immense Gefahren. Jeder Zahnarzt sollte darum unbedingt ein Virenschutzprogramm installieren – mit „Echtzeitschutz“. Und darauf achten, dass es auf dem neuesten Stand ist. Wobei auch ein regelmäßig aktualisiertes Programm inklusive Updates keinen absoluten Schutz bietet, weil bekanntlich ständig neue Viren auftauchen, die die Killer-Software noch nicht identifizieren beziehungsweise eliminieren kann.

Nicht nur die Software ist beim Datenschutz relevant. Ein simpler Hardwaredefekt kann dazu führen, dass plötzlich sämtliche Daten auf der Festplatte verschwunden sind. Von Feuer, Einbruch und Diebstahl ganz zu schweigen. Ein regelmäßiges Backup ist daher nötig. Mit einer marktgängigen Software kann man seine Daten auf externen Speichermedien, wie externen Festplatten, USB-Sticks, DVDs oder CDs, absichern. Und zwar automatisiert, so dass nur das Wechseln der Sicherungsmedien von Hand erfolgt. Selbstverständlich müssen auch diese gegen unbefugte Zugriffe geschützt werden, am besten durch eine geeignete Verschlüsselung. Als Faustregel gilt: Je mehr Daten sich in kurzer Zeit ändern, desto häufiger ist eine Datensicherung notwendig. Ob täglich oder wöchentlich: Man sollte dabei stets mehrere Datenträger im Wechsel einsetzen.