Gut verschlüsselt

Der Gefahr eines Diebstahl mobiler Laptops, externer Datenträger oder auch stationärer Rechner kann durch die Sicherung der Arbeitsgeräte entgegengewirkt werden – der Schutz von darauf befindlichen Daten ist hierdurch allerdings noch nicht gewährleistet. Die Entwendung von Geräten oder der Zugriff durch unbefugte Dritte, bedeutet für viele Zahnarztpraxen gleichzeitig den Zugriff auf Praxisinterna, wie Rechnungen oder Gehaltsabrechnungen, aber auch auf besonders schützenswerte Patientendaten. Verschlüsselte Daten sind nur noch dem Personenkreis zugänglich, dem das entsprechende Passwort zur Entschlüsselung der Daten bekannt ist.

Es empfiehlt sich jeden mobilen Datenträger und auch stationäre Rechner zu verschlüsseln. Unterschieden wird dabei die komplette Verschlüsselung des Datenträgers und die Teilverschlüsselung, bei der beispielsweise nur einzelne Ordner oder Partitionen verschlüsselt sind.

Nach Möglichkeit sollte immer der vollständige Datenträger verschlüsselt werden, um nicht für jede einzelne Datei eine Abschätzung des Schutzbedarfgrads durchzuführen. Dies kann zwar Perfomanceeinbußen bedeuten, allerdings sind diese beim heutigen Technikstand hinnehmbar.

Bei der vollständigen Festplattenverschlüsselung eines Rechners wird der Benutzer beim Hochfahren des Rechners nach einem Passwort gefragt, um die Festplatte wieder entschlüsseln zu können. Hierzu sollten die Regeln zur sicheren Erstellung von Pass- wörtern beachtet werden (zm-Ausgabe 04/2014).

Zusätzlich besteht die Möglichkeit, dass der Schlüssel zur Entschlüsselung einer Datei, nicht auf dem Medium selbst, sondern beispielsweise auf einem USB-Stick oder einer Smartcard abgelegt wird. In diesem Fall kann der Inhalt der Festplatte nur gelesen werden, wenn der Benutzer diesen USB-Stick mit dem Schlüssel besitzt und das Passwort kennt.

Es gibt mehrere Möglichkeiten, mit denen eine Verschlüsselung erreicht werden kann. Zum einen gibt es Programme von unterschiedlichsten Anbietern und zum anderen Festplatten, die von sich aus eine Verschlüsselung anbieten. Moderne Betriebssysteme bieten mittlerweile vorgefertigte Lösungen an, mit denen eine Verschlüsselung realisiert werden kann.

In der Regel beherrschen die Programme verschiedene Algorithmen, mit denen die Verschlüsselung möglich ist. Da diese unterschiedliche Vor- und Nachteile bieten, sollte immer der Rat eines Experten eingeholt werden, um etwaige unangenehme Nebenwirkungen zu vermeiden.

Verschlüsselung spielt nicht nur bei der Absicherung von Datenträgern eine Rolle. Auch für die Kommunikation von sensiblen Daten ist eine Verschlüsselung unerlässlich.

So bieten viele Internetseiten mittlerweile auch an, dass sie verschlüsselt aufgerufen werden können. Ob man nun eine Seite wirklich verschlüsselt aufgerufen hat, erkennt man zum einen daran, dass aus dem „http“ in der URL ein „https“ geworden ist. Zum anderen zeigen viele Browser mittlerweile ein Schloss an, dass Informationen über die Verschlüsselung liefert, wenn man es anklickt. Werden verschlüsselte Seiten angesteuert sollte besonders auf etwaige Meldungen des Browsers geachtet werden. So kommt es häufiger vor, dass der Browser meldet, dass mit dem Zertifikat der Internetseite, über das die Verschlüsselung läuft, etwas nicht stimmt. Ein Blick in die Details zeigt, woran der Browser sich genau stört. In Abhängigkeit davon sollte überlegt werden, ob die Webseite noch aufgerufen werden muss oder man besser eine Alternativseite besucht.

Weit verbreitet sind Homepages zur Vorstellung der Zahnarztpraxis. Sollte auf dieser Internetseite ein Kontaktformular vorhanden sein, über das Patienten Informationen eintragen können, sollte eine Übertragung der Daten nur verschlüsselt erfolgen. Dies kann über das Einspielen eines SSL/TLS-Zertifikats und entsprechender Konfigurierung des Servers realisiert werden. Die Kommunikation wird dann mittels einer hybriden Verschlüsselung abgesichert. Eine Alternative stellt die Information der Nutzer des Kontaktformulars dar, bei dem sie darauf hingewiesen werden, dass die Übertragung über das Internet unsicher ist und davon ausgegangen werden muss, dass die Daten von Unbefugten eingesehen werden können. Die Verantwortung wird somit an den Nutzer übertragen, der selbst entscheidet, welche Daten er über diesen unsicheren Kanal übertragen möchte.

Auch die Verschlüsselungen von Daten und deren Übertragungswegen kann keinen 100-prozentigen Schutz bieten. Somit bietet auch eine SSL-Verschlüsselung keinen perfekten Schutz, allerdings erhöht die Verschlüsselung die Hürde für potenzielle Angreifer in einem solchen Maß, dass die meisten Angreifer sich andere Ziele suchen. Von daher ist bei einer guten SSL-Konfiguration des Servers von einem angemessenen Sicherheitsniveau auszugehen.

Mit der Schaffung der technischen Voraussetzungen ist der Rahmen für eine effektive Verschlüsselung jedoch noch nicht vollständig erfüllt. Es muss festgeschrieben werden, wann welche Medien, in Abhängigkeit ihrer Inhalte, zu verschlüsseln sind. Außerdem müssen Kennwortrichtlinien bestimmt werden, um sicherzustellen, dass erstens die Passwörter sicher und zweitens wie und wo diese aufzubewahren sind, damit sie nicht verloren gehen und dann auch die Daten nicht mehr zur Verfügung stehen. Die Passwörter und gegebenenfalls die Kopien der Schlüssel, die auf USB-Sticks oder Smartcards gespeichert sind, sollten an einem sicheren Ort außerhalb der Praxis für den Notfall aufbewahrt werden. Hierfür kommen zum Beispiel Bankschließfächer oder Tresore infrage.

Verschlüsselung ist ein sehr komplexes Thema, mit dem sich allerdings effektiv ein guter Schutz für sensible Daten erreichen lässt. Für eine vollumfängliche Absicherung aller Daten einer Zahnarztpraxis sollte allerdings, aufgrund der Komplexität, immer ein Experte zurate gezogen werden. Zudem sollte der Einsatz von Verschlüsselung in der Praxis in jedem Fall auch mit dem PVS-Hersteller besprochen werden.

Prof. Dr. Thomas JäschkeSimon Hacks B. Sc.ISDSG Institut für Sicherheit und Datenschutz im GesundheitswesenWestfalendamm 25144141 Dortmund