So wappnen sich Praxen vor Web-Attacken

NEU-ISENBURG. Die Skandale um Online-Daten reißen nicht ab: Erst rüttelte die NSA-Affäre Computernutzer weltweit wach, dann folgten die beiden groß angelegten Identitätsdiebstahlattacken auf deutsche Mail-Accounts.

Da wird es höchste Zeit, das Thema Datenschutz und -sicherheit in Arztpraxen einmal näher zu beleuchten. Oder besser zu schauen, wie sich die Systeme mit sensiblen Patientendaten in Zeiten, in denen Online-Abrechnung und -Kommunikation mehr oder weniger zum Pflichtprogramm gehören, wirksam absichern lassen.

Bundesärztekammer (BÄK) und Kassenärztliche Bundesvereinigung (KBV) halten zwar nach wie vor an ihren "Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung" aus dem Jahr 2008 und der zugehörigen "Technischen Anlage" fest.

Und darin wird deutlich gesagt, dass Praxen für die Nutzung des Internets einen dedizierten Rechner bereitstellen sollten, der keinen direkten Zugriff auf Patientendaten hat. Gerade die "Technische Anlage" bietet allerdings einige Hinweise, die nach wie vor aktuell sind und helfen, die Praxisdaten zu schützen.

Virtuelle Surfumgebung schützt

Wer etwa nicht zusätzliche Hardware - also einen weiteren Rechner - anschaffen will, kann über eine Virtualisierungssoftware eine vom Hauptsystem getrennte Surfumgebung aufbauen. Diese so genannte virtuelle Box läuft zwar ebenfalls unter dem Betriebssystem des Rechners, macht es Angreifern durch die Abschottung von den anderen Anwendungen des Rechners aber schwer, an Daten heranzukommen.

Microsoft bietet etwa eine solchen VirtualPC als Download an. Auf der Website des Bundesamtes für Sicherheit in der Informationstechnik (BSI) kann aber ebenso eine - kostenfreie - virtuelle Surfbox, die BitBox der Sirrix AG, heruntergeladen werden.

Vorkehrungen muss allerdings auch treffen, wer über eine Intranet-Verbindung und somit ein geschlossenes Netz Patientendaten übermitteln will. Denn für alle gilt: Es braucht eine Firewall und einen aktuellen Virenscanner um Angreifer auch vor dem Tor zur sicheren Verbindung abzuwehren beziehungsweise erst gar keine Sicherheitslücken entstehen zu lassen.

Wobei BÄK und KBV zu Recht darauf hinweisen, dass die Software-Firewall auf dem Rechner - die übrigens nicht nur die Betriebssysteme bereits standardmäßig mitliefern, sondern auch viele Antimalware-Programme zusätzlich bieten - alleine nicht ausreicht. Besser ist es, noch eine Hardware-Firewall vorzuschalten. In der Regel ist die Hardware-Firewall in den Router, dem Zugangsgerät zum Internet, integriert.

Wer nur Daten über das KV-SafeNet an seine KV beziehungsweise via KV-Connect an andere Kollegen überträgt, bewegt sich in einem gesicherten Datentunnel. Denn Zutritt in diesen Datentunnel haben nur Nutzer, die sich eindeutig identifizieren können.

Doch was passiert, wenn der Fachkollege oder die Klinik, an die ein Befund gemailt werden soll, nicht ans sichere SafeNet angeschlossen sind? Dann sollten die Daten in jedem Fall vor dem Versand verschlüsselt werden. Und zwar mit einem System, das adressatgebunden ist, also nur von bestimmten Personen wieder entschlüsselt werden kann.

Das Problem dabei: Der Fachkollege müsste über dieselbe Verschlüsselungstechnik in der Praxis verfügen, damit er die Daten auslesen kann. Meist beinhalten elektronische Arztausweise beziehungsweise der eHeilberufsausweis mit qualifizierter elektronischer Signatur auch eine Verschlüsselungsfunktion.

Und diese lassen sich in vielen Regionen auch für den Zugang und die Verschlüsselung der Daten für Krankenhaus-Portale nutzen. Denn auch Letzteres ist ein per Virtual Private Network (VPN) gesicherter Übermittlungsweg.

Vorsicht mit WLAN-Anbindungen

Mit dem Trend zu mobilen Geräten wie Tablet-PC und Smartphone stellt sich aber auch zunehmend die Frage, wie WLAN-Umgebungen in Praxen sicherheitstechnisch zu werten sind. BÄK und KBV raten, das kabellose Netzwerk in der Praxis möglichst zu vermeiden.

Aber auch das Bundesamt für Sicherheit in der Informationstechnik weist auf seiner Website ausdrücklich darauf hin, dass beim Einsatz von Wireless LAN (WLAN) auch noch aus großer Distanz die Kommunikation "mitgehört werden kann". Wichtig sei daher, dass die gesamte Kommunikation über WPA2 verschlüsselt werde. In der Regel lässt sich die Verschlüsselung über die Einstellungen des Routers aktivieren.

Zusätzlich sollte die Praxis die Übertragung des Namens ihres Funknetzwerkes, die so genannte SSID, abschalten. Denn auch diese Vorkehrung macht es Datendieben etwas schwerer, das Netz ausfindig zu machen. Wichtig ist dann aber: Um sich selbst im WLAN-Netz anmelden zu können, muss das Praxisteam dann jeweils den Namen des Funknetzes parat haben - in der richtigen Schreibweise.

Das BSI rät zudem, dass sich die Geräte für die WLAN-Nutzung - also Router und Tablet-PC oder Laptop - gegenseitig authentifizieren sollten. Das gelingt über die Kennung des Netzwerkadapters des mobilen Gerätes, die Mac-Adresse.

Denn jedes Gerät erhält eine individuelle Mac-Adresse, die weltweit auch nur einmalig vergeben wird. Über den Router lässt sich der Mac-Filter aktivieren bzw. dort lassen sich die Mac-Adressen der Rechner eintragen, die als einzige Zugriff aufs WLAN erhalten sollen.

Wer den Tablet oder das Laptop, auf dem sich Patientendaten befinden auch in Hotels, an Flugplätzen etc. in öffentlichen WLAN-Netzen nutzt, sollte unbedingt das Gerät und die Daten mit einer zusätzlichen Verschlüsselungssoftware sichern. Besser ist es allerdings, Geräte mit Zugriff auf Patientendaten gar nicht in öffentlichen Netzwerken zu nutzen.