So docken Sie sicher an

NEU-ISENBURG. Gerade angestellte Ärzte oder Medizinische Fachangestellte (MFA) kennen den Effekt: Privat genutzte Geräte sind mittlerweile oft wesentlich eleganter und leistungsfähiger als die IT-Ausstattung, die der Arbeitgeber zur Verfügung stellt.

Und auch Praxischefs kommen schnell in die Versuchung, das nützliche neue Tablet mit in die Praxis zu bringen, um dort bei eng getakteten Konsultationen von seinen Vorzügen zu profitieren.

Im IT-Bereich hat sich für diesen Trend das Kürzel "BYOD" etabliert - "Bring Your Own Device". Also etwa: Bringe Dein eigenes Gerät mit zur Arbeit. Dabei sind es keineswegs die Arbeitgeber, die diese Entwicklung fördern.

Sondern die Angestellten, die auch während des Arbeitsalltags nicht mehr auf den Bedienkomfort verzichten mögen, an den sie sich im Privatbereich gewöhnt haben. IT-Verantwortlichen bereitet BYOD jedoch massive Sorgen, denn der Trend wirft bedenkliche Sicherheitsfragen auf.

Da liegt es auf der Hand, dass gerade im Umfeld von MVZ und Arztpraxen auf diesen Aspekt besonderes Augenmerk gerichtet werden sollte. Denn wo jeden Tag mit sensiblen Patientendaten gearbeitet wird, ist die Zahl interessierter Angreifer hochund das mögliche Schadenspotenzial entsprechend hoch.

Mobile Geräte immer öfter gefährdet

Doch wo liegt das Problem? Mittlerweile stehen Smartphones und Tablets im Fokus von Cyberkriminellen. Aktuelle Analysen zeigen: Die Anzahl neuer Schadprogramme insbesondere für das marktführende Mobil-Betriebssystem Android steigerte sich im Vergleich zum ersten Halbjahr 2012 um das Fünffache und erreichte zum Ende der zweiten Jahreshälfte einen Höchststand von fast 140.000.

"Wir registrieren ständig neue Varianten von schädlichen Apps", erklärt etwa Ralf Benzmüller, Leiter des Antiviren-Labors der deutschen Sicherheits-Firma G Data. "Die Schadprogramme werden immer professioneller.

Das Ausspähen von Daten ist die häufigste Schadfunktion. Mittlerweile versuchen schädliche Apps sogar PCs zu infizieren."

Der klassische Weg zu einem Datenleck oder ausgespähten Zugangsdaten führt über präparierte Anwendungen, die sogenannten Apps. Sie vermitteln vordergründig den Eindruck, mehr oder weniger nützliche Funktionen bereitzustellen, während sie im Hintergrund auf die im Smartphone oder Tablet gespeicherten Daten zugreifen und diese zum Beispiel auf getarnte Server ihrer Programmierer verschicken.

Darin, so Benzmüller, liegt die besondere Problematik von BYOD: Da die Geräte auch privat genutzt werden, hat kein IT-Leiter oder Sicherheitsbeauftragter Kontrolle darüber, welche Programme auf diesen Geräten installiert werden.

Ein einziges infiziertes Computerspiel, ein einziges kompromittiertes Hilfsprogramm genügt dann schon, um ein fatales Loch in jede Sicherheitsarchitektur zu reißen, mit der ein Praxis-Netzwerk geschützt werden soll. Noch größer ist das Problem in Praxen, in denen es keinen IT-Verantwortlichen gibt.

Dabei geht es Cyberkriminellen in erster Linie um finanziellen Gewinn. Der Markt für ausgespähte Kreditkartendaten und Zugängen zu Online-Banking oder Online-Shopping-Systemen ist deutlich größer als der Handel mit Patientendaten oder digitalen Untersuchungsergebnissen.

Doch zum einen können solche sensiblen Daten als Beifang die gesicherte Praxisumgebung verlassen, was per se schon einen Datenschutz-GAU darstellt.

Zum anderen bieten die empfindlichen Informationen durchaus Möglichkeiten zur Monetarisierung durch Datendiebe - man denke etwa an Erpressungsversuche oder den Weiterverkauf von Patientendaten an zwielichtige Adresshändler. Ralf Benzmüller: "Viele Computernutzer unterschätzen den Wert ihrer Daten."

Nicht ohne Sperrfunktion arbeiten

Es gilt daher, auch die mitgebrachten Geräte abzusichern - über eine Sicherheitssoftware. Neben den auf Einzelanwender zugeschnittenen Schutz-Apps beziehen Sicherheits-Lösungen für Unternehmen und Institutionen mobile Geräte längst in ihre Schutzkonzepte mit ein.

"In unseren aktuellen Unternehmenslösungen, wie G Data ClientSecurity oder G Data EndpointProtection, ist die Absicherung mobiler Sicherheitslösungen ein fester Bestandteil", so Ralf Benzmüller. Bereits bei der Installation neuer Apps überprüfen die Sicherheitsprogramme, ob es sich um Schadcode handelt.

So wird die Ausführung von Spionage- oder Betrugsfunktionen vor deren Aktivierung verhindert und das Programm nicht installiert. Zeitgemäße Sicherheitsprogramme gehen einen Schritt weiter und haben auch bei regulären Apps die Rechte im Blick.

So haben Datenkraken keine Chance und Anwender wissen jederzeit genau, welche Anwendungen welche Berechtigungen umfassen, zum Beispiel den Zugriff auf das Adressbuch oder auf das Internet. Ein weiteres Szenario, das Schutzprogramme für mobile Endgeräte abdecken, ist der Verlust des Geräts.

Dabei geht es nicht nur um die Ortung via eingebauter GPS-Funktion. Noch wichtiger ist es, ein abhanden gekommenes Gerät aus der Ferne sperren oder bei Bedarf sogar komplett löschen zu können, damit ein Dieb oder zufälliger Finder keinen Zugriff auf die darauf gespeicherten sensiblen Daten erhalten kann.

Die genannten Funktionen zählen heute zum Standard bei mobilen Sicherheitslösungen. Doch ähnlich wie aus dem PC-Bereich bekannt, zeichnet sich auch bei den Tablet- und Smartphone-Plattformen ein Wettrennen ab zwischen den Schöpfern digitaler Bedrohungen und den Sicherheitsexperten, welche diese verhindern wollen.

Patientendaten nicht dauerhaft speichern

Deshalb entwickeln die Anbieter von Schutzprogrammen laufend neue Verfahren und Strategien, um Anwender und Unternehmen effektiv vor Angriffen zu schützen.

So umfassen viele Netzwerklösungen ein sogenanntes Mobile Device Management, mit dem IT-Verantwortliche, Praxisinhaber oder auch der jeweilige IT-Dienstleister den Sicherheitsstatus der eingebundenen Smartphones und Tablets immer im Blick haben.

Fazit: Wer mit sensiblen Daten zu tun hat, sollte also auf jeden Fall ein leistungsstarkes und technologisch aktuelles Sicherheitsprogramm auch auf mobilen Geräten installieren.

Hinzu komme aber, so Sicherheitsexperte Benzmüller immer auch der Faktor Mensch: "Eine wichtige Dimension in jedem Schutzkonzept ist verantwortungsvolles und sicherheitsbewusstes Verhalten der Anwender beziehungsweise Mitarbeiter".

Patientendaten und Untersuchungsergebnisse sollten nicht dauerhaft auf dem privaten Gerät gespeichert bleiben. Auf Endgeräten, die in sensiblen Bereichen zum Einsatz kommen, muss vielleicht nicht unbedingt "Angry Birds" gespielt werden.

Und bei vermeintlichen Gratisangeboten oder verdächtigen E-Mails ist ein vernünftiges Maß an Skepsis angebracht. "Wer solche simplen Verhaltensregeln befolgt, und dann noch ein geeignetes Schutzprogramm nutzt, ist in puncto Sicherheit schon einen großen Schritt weiter."