So sichern Sie Browser und Mailprogramme

Da es sich bei Browsern um eineSoftware zur Darstellung von Webseiten handelt, gelten für diese dieselben Sicherheitsempfehlungen wie für jede andere Software auch: Updates müssen schnellstmöglich nach deren Veröffentlichung installiert werden, um die Sicherheit der Geräte zu erhöhen. Diese sind aus sicheren Quellen zu beziehen und es darf nach Möglichkeit nur mit beschränkten Rechten gearbeitet werden. Darüber hinaus bieten die gängigen Browser die Möglichkeit, besonders kritische Funktionen abzuschalten. Dies bedeutet einen Zuwachs an Sicherheit, kann allerdings auch einen Komfortverlust bedeuten. So können zum Beispiel keine Videoformate mehr abgespielt werden oder einige Internetseiten sind umständlicher zu bedienen. Für Arztpraxen, die solche Funktionen in ihrem Arbeitsalltag benötigen, könnte der Komfortverlust zu wesentlichen Einschränkungen führen. Im Rahmen dessen sollten ActiveX (beim Internet Explorer) sowie Skript-Sprachen (etwa JavaScript) und Multimedia-Plug-ins (Flash und Java) deaktiviert werden. Je nach Browser ist dies über die Einstellungen oder spezielle Plug-ins/Add-ons möglich (etwa NoScript im Firefox).

Um das persönliche Surfverhalten möglichst gut vor Tracking-Software, wie Piwik oder Google Analytics, zu verbergen, sollten im Browser die „Do-Not-Track“-Funktion eingeschaltet, sowie Cookies nicht von Drittanbietern akzeptiert und beim Schließen des Browsers gelöscht werden. Hat ein Benutzer im Browser Do-Not-Track (engl. für „nicht verfolgen“) aktiviert, wird jeder angesteuerten Webseite mitgeteilt, dass das Anlegen eines Verhaltensprotokolls nicht erwünscht ist. Nach Ansicht der deutschen Datenschutzbehörden kommt diese Funktion „der Erklärung eines Widerspruchs im Sinne von § 15 Abs. 3 TMG gleich“[Berliner Beauftragter für Datenschutz und Informationsfreiheit, 2011]. Die Zukunft dieser Funktion ist allerdings ungewiss, da die Umsetzung derzeit nur sehr sporadisch bei den Webseiten-Betreibern erfolgt, so haben Google und Facebook die Anweisung noch nie befolgt und die Firma Yahoo fiel im Mai 2014 auf, als sie sich ebenfalls von der Umsetzung losgesagt hat [Sokolov, 2014].

Über die technischen Maßnahmen hinaus gibt es einige Verhaltensregeln, die für einen höheren Grad an Sicherheit sorgen. So sollten von Rechnern, auf denen besonders schützenswerte Daten, wie sensible Patientendaten, lagern, keine unbekannten Internetseiten angesteuert werden. Besonders Internetseiten, die kostenfreie Software, Musik oder Filme anbieten, sollten gemieden werden, da diese Produkte häufig dazu genutzt werden, Schadsoftware zu verteilen. Ebenfalls sollte es vermieden werden, bei Facebook oder Google eingeloggt zu sein, da diese Anbieter auf vielen Seiten eingebunden sind (beispielsweise über Facebooks „Like“-Button) und auf diese Weise Profile über die Nutzer erstellen können.

Nach Möglichkeit sollten Internetseiten nur verschlüsselt angesteuert werden, um eventuelle Datenübermittlungen vor dem unberechtigten Zugriff durch Dritte zu schützen (weitere Informationen hierzu im Artikel über Verschlüsselung).

Es gibt drei wesentliche Punkte, die in den E-Mail-Programmen konfiguriert werden sollten. Zum einen sollte das Programm empfangene E-Mails nicht automatisch öffnen, sondern diese Aktion nur ausführen, wenn sie durch den Benutzer aktiv ausgewählt wird. So kann dieser unerwünschte E-Mails gefahrlos löschen. Zusätzlich sollte das E-Mail-Programm so konfiguriert werden, dass Inhalte wie Bilder nicht automatisch geladen werden. Ebenso wichtig ist, dass Anhänge immer vollständig in ihrer Bezeichnung angezeigt werden, damit eventuell versteckte Endungen eine ausführbare Datei nicht als Textdatei erscheinen lassen.

Um die technischen Maßnahmen zu unterstützen, sollten Dateianhänge nicht unbedacht geöffnet werden. Wenn die Anhänge von unbekannten Personen oder solchen Personen, von denen keine Anhänge erwartet werden, empfangen werden, dann empfiehlt es sich, den Absender über einen anderen Kommunikationskanal, zu kontaktieren, um zu klären, ob der Anhang wirklich aus vertrauenswürdiger Quelle stammt. Besondere Vorsicht gilt bei ausführbaren Anhängen (unter Windows enden diese auf „.exe“) oder solche in Archivformaten (am weitesten verbreitet sind sogenannte „ZIP“-Archive), da diese jegliche Form von Dateien und Programmen enthalten können. Ein Anzeichen für mit Schadsoftware belastete E-Mails können auch unbekannte Betreffe, sowie eine schlecht oder ungewöhnlich formulierte Sprache sein. In allen diesen Fällen empfiehlt es sich, die E-Mail zu löschen und den Anhang nicht zu öffnen.

Sollen Patienteninformationen über E-Mails ausgetauscht werden, darf der Patient nicht erkennbar sein, da unverschlüsselte E-Mails mit Postkarten zu vergleichen sind, die von jeder Stelle gelesen werden können, an der sie vorbei kommen. Demzufolge sollten sich Ärzte, die über E-Mails miteinander kommunizieren, entweder auf Pseudonyme für ihre Patienten einigen oder die Kommunikation verschlüsseln.

Für die Verschlüsselung von E-Mails gibt es zwei wesentliche Techniken, die allerdings außerhalb der Informatik und der großen Konzerne nur wenig Anklang gefunden haben, da sie auf viele Endnutzer zu kompliziert wirken: PGP und SMIME. Beide Verfahren arbeiten mit sogenannten Zertifikaten, die unter den jeweiligen Kommunikationspartnern ausgetauscht werden müssen. Hinzu kommt, dass für viele E-Mail-Programme zusätzliche Plug-ins benötigt werden, die in ihrer Handhabung relativ komplex sind. Einige Alternativen sind bei Anbietern zu finden, bei denen es sich jedoch immer um Insellösungen handelt, sodass proprietäre Software installiert werden muss, oder die Nachrichten in einer Weblösung liegen.

Wesentlich einfacher ist der Einsatz von verschlüsselten ZIP-Archiven, in denen die vertraulichen Inhalte hinterlegt werden und in der E-Mail selber keine vertraulichen Informationen enthalten sind. Das Passwort für das Archiv tauschen die beiden Kommunikationspartner dann zum Beispiel telefonisch aus und informieren sich so gegenseitig, dass eine E-Mail mit Anhang zu erwarten ist. Eine andere Möglichkeit sind Anbieter, die einen verschlüsselten Austausch zwischen mehreren Kommunikationspartnern erlauben. Diese funktionieren entweder wie eine Art interne E-Mail (beispielsweise JULIA) oder wie Cloud-Dienste mit ausreichender Verschlüsselung und Servern innerhalb Deutschlands (etwa IDGARD).

Um einen sicheren Umgang mit Browsern und E-Mail-Programmen zu erreichen, sollten einige technische Maßnahmen ergriffen werden, die eine Verbesserung des Schutzniveaus erzielen. Allerdings ist es auch unerlässlich, gewisse Verhaltensregeln einzuhalten, die häufig wesentlich effektiver sind. So sollte das Internet immer mit einem gesunden Misstrauen genutzt werden.

Prof. Dr. Thomas JäschkeSimon Hacks B. Sc.ISDS Institut für Sicherheit und Datenschutz im GesundheitswesenWestfalendamm 25144141 Dortmund