201002 Kaspersky Sicherheit in der Praxis
|
|
|
»manage
it«
als
|
Trennung des Internet-Zugangs vom Praxisnetz Sicherheit in der Praxis Ärzteverbände empfehlen ganz klar, dass das Netzwerk, über das die Patientendatenbank abgerufen wird, nicht mit dem Internet verbunden ist. Doch die Ärzte können oder wollen nicht ohne Online-Zugang sein: Viele Praxen haben eine eigene Homepage mit E-Mail-Adresse, die abgefragt werden muss. Wie lässt sich der Widerspruch lösen?
ie Empfehlung ist eindeutig: Die Verwaltung von Patientendaten und der Zugang zum Internet schließen sich gegenseitig aus. Im technischen Anhang zu »Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis« der Bundesärztekammer und der Kassenärztlichen Vereinigung heißt es in Kapitel 3.1.5, Schutz von Patientendaten vor Zugriffen aus Netzen: »Rechner mit Patientendaten sollten niemals direkt mit dem Internet verbunden sein. Sobald ein direkter Zugriff aus dem Internet/Intranet auf eine Festplatte mit sensitiven Daten gelingt und diese Daten in unverschlüsselter Form abgelegt wurden, lassen diese sich auslesen.« Und auch die verschlüsselten Daten sind nicht hinreichend sicher, da sie für die reguläre Nutzung jeweils entschlüsselt werden müssten und dann der Zugriff wieder möglich sei, heißt es weiter. Betreibt der Arzt eine Homepage, sollte er auf diese in seiner/ihrer Praxis zugreifen und so kontrollieren können. Unumgänglich ist ein Webzugang, wenn regelmäßig eigene Inhalte auf der Homepage veröffentlicht werden. Ist als Kontakt eine E-Mail-Adresse vorhanden, müssen die Nachrichten in der Praxis auch ankommen. Getrennte Systeme. Aus den oben erwähnten Empfehlungen lässt sich schlussfolgern, dass der Arzt einen separaten, vom übrigen Praxisnetz getrennten Computer für den Internetzugang benötigt. Mit einem separaten PC für das Internet ist man auf der sicheren Seite – nur muss diese Trennung dann auch konsequent umgesetzt werden. Und der Internet-Rechner muss über eine Anti-Viren-Software mit Firewall verfügen. Ebenso sollte der Rechner für das weltweite Netz über einen eigenständigen Internet-Anschluss verfügen, der mit dem Praxisnetz nicht verbunden ist – oder versehentlich verbunden werden kann. Also darf der Router für das Praxisnetzwerk nicht mit dem DSL-Modem für den Internet-Zugang verbunden werden, und es muss durch entsprechenden Zugriffsschutz auf die Hardware – etwa die Unterbringung in einem abgeschlossenen Schrank oder Zimmer – gewährleistet sein, dass niemand diese Verbindung nachträglich herstellen kann. Sicherheit ist notwendig. In jedem Fall muss die Umgebung mit Internetzugriff gegen Bedrohungen aus dem Internet geschützt werden. Die Verbindungsstelle ins Internet muss gegen Angriffe aus dem Netz abgesichert werden. Dazu dient ein aktuelles Internet-Schutzprogramm wie etwa »Internet Security 2011« oder »Anti-Virus 2011« von Kaspersky Labs, das zudem so konfiguriert sein muss, dass es sich mehrmals am Tag automatisch aktualisiert. Diese beiden Softwarepakete haben mit einem »Gut« bei einem Test der Stiftung Warentest abgeschnitten. Arztpraxen müssen also nicht vom Internet ausgesperrt bleiben – denn es gibt Möglichkeiten, sich relativ sicher darin zu bewegen, ohne dass die Sicherheit der Patientendaten gefährdet ist. Wichtig ist in jedem Fall, dass sowohl der mit dem Internet verbundene Computer als auch das davon getrennte System mit den Patientendaten ständig durch Sicherheitssoftware überwacht wird und diese regelmäßig auf den neuesten Stand gebracht wird – wo die Internetverbindung nicht vorhanden ist, auf anderem Weg wie zum Beispiel über Update-CDs. Thomas Jungbluth
__________________________________________ Thomas Jungbluth ist IT-Autor und -Experte seit mehr als 23 Jahren. |
