Qualität von Kennwörtern

Kennwörter dienen, meist in Kombination mit einem Benutzernamen, der Authentifizierung von Personen innerhalb eines Systems, wie zum Beispiel einem Patientenverwaltungssystem. Auch werden durch Kennwörter Berechtigungen vergeben, wie der Zugriff auf eine Patientenakte. Die Authentizität des Inhabers bleibt aber nur so lange gewahrt, wie das Kennwort nicht in die Hände Dritter oder Unbefugter gelangt. Aus diesem Grund ist der Schutz des Kennwortes durch organisatorische Maßnahmen zu gewährleisten.

Die organisatorischen Maßnahmen können einfach und schnell in jeden Praxisalltag integriert werden. Das allgemeine Notieren von Kennwörtern auf Zetteln, die an den Monitor oder unter die Tastatur gelegt werden, ist zu unterlassen.

Um sich Kennwörter leichter merken zu können, ist ein möglicher Weg, diese auf Basis der Anfangsbuchstaben der Wörter eines Satzes aufzubauen.

Ein Beispiel:

Ausgangssatz

Datenschutz in der Zahnarztpraxis ist 24/7 erforderlich!

Kennwort

DidZi24/7e!

Komplexität hoch

elf Zeichen, Verwendung von Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen.

Aufgrund der Vielzahl genutzter Systeme innerhalb der Zahnarztpraxis empfiehlt es sich für jedes System und je Mitarbeiter ein eigenes Kennwort zu nutzen. Die Notwendigkeit immer wieder neue Regeln zu entwickeln besteht nicht. Vielmehr sollte eine Regel genutzt werden, die für unterschied- liche Systeme, unterschiedliche Passwörter generiert.

Auch sollte die Weitergabe von Kennwörtern an Kollegen vermieden werden, da hierdurch die Verbindlichkeit beim Datenzugriff verletzt wird.

Sollte der Fall eintreffen, dass das Kennwort in die Hände von Dritten gelangt oder der Verdacht dazu besteht, ist dieses unverzüglich zu ändern. Um die Gefahr zu minimieren, dass ein bereits entwendetes Kennwort genutzt wird, sollte es in regelmäßigen Zeitintervallen geändert werden. Hierbei sollten bereits verwendete Kennwörter nicht erneut genutzt werden.

Um den Schutz des Kennworts weiter zu steigern, darf es nicht außerhalb der Zahnarztpraxis, etwa beim Email-Anbieter, verwendet werden.

Um die Qualität eines Kennwortes und somit auch den Schutz gegen gängige Angriffsmethoden zu steigern, gilt es grundlegende Regeln bei der Erstellung zu beachten. Ein „sicheres Kennwort“ ist dann gegeben, wenn eine Kombination aus Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen verarbeitet sind. Dies führt zu einer gesteigerten Komplexität des Kennwortes und der theoretische Schutz erhöht sich.

Ein weiterer wichtiger Faktor ist die Länge des Kennwortes. Je länger ein Kennwort ist, desto mehr Kombinationsmöglichkeiten existieren, was wiederum im Falle eines Hacker-Angriffs mehr Zeit kostet bis das Passwort ermittelt wird. Im folgenden Rechenbeispiel wird aufgezeigt, wie der momentan schnellste Einzelcomputer unter Einsatz der „Brute-Force-Methode“ (siehe Infobox Angriffsmethoden Seite 80) bei einer Passwortlänge von acht Zeichen circa 1,2 Tage braucht, um jede Möglichkeit auszuprobieren. Wird die Länge auf 9 Zeichen erhöht, benötigt dieser Computer schon 75 Tage. Diese Zeitwerte sind nur theoretischer Natur, da auch schon die erste Möglichkeit korrekt sein kann. [Benchmark, 2011].

Höhere Sicherheit wird durch ein längeres Kennwort erzeugt. Bei der Nutzung von Groß- und Kleinbuchstaben sowie der Zahlen null bis neun gibt es 62 verschiedene Zeichen:

Beispiel 1

Kennwortlänge von acht Zeichen:

62⁸= 340.105.584.896 mögliche Kombinationen

Benötigte Zeit: ca. 1,2 Tage

Beispiel 2

Kennwortlänge von neun Zeichen:

62⁹= 13.537.086.546.263.552 mögliche Kombinationen

Benötigte Zeit: ca. 75 Tage

Um das Kennwort möglichst sicher zu gestalten, sollte darauf verzichtet werden, sogenannte Tastaturketten, wie „qwertz“ oder ähnliches zu verwenden. Auch ist die Nutzung von Vor- beziehungsweise Nachname, Geburtsdaten oder Wörtern aus dem Wörterbuch zu vermeiden.

Die richtige Konfiguration der in der Zahnarztpraxis verwendeten Systeme, wie Abrechnungs- oder Patientenverwaltungssysteme, kann die Nutzer beim sicheren Umgang mit Kennwörtern unterstützen. So gibt es Systeme, in denen Richtlinien für die Einrichtung von Kennwörtern definiert werden können. Eine Erinnerungsfunktion kann für die regelmäßige Änderung oder eine Überprüfung von bereits genutzten Kennwörtern aktiviert werden. Eine weitere effektive Möglichkeit gegen das „Erraten“ von Kennwörtern ist eine Sperrung von Benutzerkonten nach einer entsprechenden Anzahl von Fehlversuchen. Mittels Tastenkombinationen kann schnell und einfach der passwortgeschützte Sperrbildschirm des Betriebssystems aktiviert werden, um den PC schnell vor Einblicken unberechtigter Dritter zu schützen.

Windows

Strg + Alt + Entf oderWindows-Logo-Taste + L

Mac OSX

ctrl + shift + eject

Die beschriebenen Passwortrichtlinien zu vergeben funktioniert in jedem Betriebssystem und sollte auch in jedem guten Praxisverwaltungssystem enthalten sein.

Ob die Funktionalitäten in den eingesetzten Systemen vorhanden sind und wie diese konfiguriert werden, kann entweder im Nutzerhandbuch oder beim Softwarehersteller direkt in Erfahrung gebracht werden. Auch sollte der Praxisverantwortliche Erkundigungen bei den Herstellern der Systeme nach möglichen versteckten Kennwörtern, sogenannten Backdoors, für zum Beispiel Wartungszwecke einholen und diese gegebenenfalls deaktivieren lassen. Wichtig ist hierbei auch eine softwareseitige Aktivierung von:

• Kennwortrichtlinien

• Erinnerungsfunktionalität für die regelmäßige Änderung

• Überprüfung auf bereits verwendete Kennwörter

• bedingte Sperrung des Benutzerkontos, etwa nach x-maliger Fehleingabe des Kennworts

Zum Schluss sei noch erwähnt, dass keine 100-prozentig sicheren Kennwörter existieren. Durch entsprechende Maßnahmen und Verhalten kann aber die Sicherheit und der Schutz durch Kennwörter erheblich gesteigert werden. Dies macht es Unbefugten schwerer, Zugang zu sensiblen, patientenbezogenen Daten zu erhalten.

Prof. Dr. rer. medic. Thomas Jäschke,Alexander Vogel B.Sc.ISDSG Institut für Sicherheit und Datenschutz im GesundheitswesenWestfalendamm 25144141 Dortmundkontakt@isdsg.de