Eine Handreichung zur Frage der Datensicherheit verschiedener Praxis-IT-Lösungen


Mit Blick auf meine verschlüsselte Online Praxisverwaltung kumppani weise ich immer wieder darauf hin, wie wichtig eine echte Ende-zu-Ende-Verschlüsselung (E2EE > End-2-End-Encryption) ist, um ein Höchstmaß an Datensicherheit für meine Daten, aber natürlich ganz besonders die Patientendaten zu erreichen, wenn auf der anderen Seite die Vorteile einer Online Anwendung genutzt werden sollen. Da wird es Zeit, einmal etwas grundsätzlicher und weiter auszuholen, um zu begründen, wie ich zu dieser Einschätzung gekommen bin.

Völlig unabhängig von allen rechtlichen Fragen sind wir Menschen in Heilberufen auch aus Verantwortung unserer Existenzgrundlage und unseren Patienten gegenüber aufgefordert, für unsere Praxis-Daten ein angemessenes Maß an technischer Sicherheit zu gewährleisten.

Wer sich also in der Berufsausübung nicht auf Papier, Stift und Schreibmaschine beschränken will, muss sich in jedem Fall mit dem Thema Datenschutz und der Datensicherheit auch aus technischer Sicht beschäftigen.

Vorneweg: 100%ige Sicherheit gibt es nie und nirgends. Aber es gibt für jede Art von elektronisch gespeicherten Daten technische Sicherheitsstrategien. Allerdings auch unterschiedliche Meinungen darüber, was denn nun ein wirklich ausreichender Schutz ist. Je nach Blickwinkel und Eigeninteresse fallen die Antworten da sehr verschieden aus.

Zunächst ein paar wichtige Grundlagen:

Bei einer Online Anwendung (Web App), die daran zu erkennen ist, dass sie im Browser aufgerufen wird, passiert alles auf den Servern des Anbieters. Alle Operationen, die ihr auf eurem Gerät anstoßt, werden zunächst durch das Internet auf einen Server (das ist auch nichts anderes als ein Computer) übertragen. Und die Antwort des Servers wird über das Internet zurück übertragen auf euer Gerät. Was ihr bei einer Online App in der Hand haltet, ist nur noch ein Anzeigegerät. Bildlich ausgedrückt entspricht das grob der Vorstellung, bei euch stehen nur noch Monitor, Tastatur und Maus, euer PC steht aber ganz woanders.

Das hat Konsequenzen. Denn alle Daten von euch, das Passwort , um sich in der Anwendung einzuloggen, alle Befehle, die ihr dem Programm gebt und alle Daten, die ihr eingebt oder verarbeitet, müssen durch das Internet geschickt werden. Und alle Daten werden auf der Festplatte des fernen Computers in der gleichen Weise abgespeichert, als wenn das Gerät bei euch zuhause stände. Natürlich muss der Server auch euer Passwort kennen und überprüfen können, bevor er die Anwendung für euch als autorisierten Nutzer freigibt.

Gestern musste ich lesen, dass Goolge die Standortdaten meines Smartphones auch dann loggt und speichert, wenn ich den Standortverlauf deaktiviert habe, weil dieser Standort auch jedes mal dann übermittelt wird, wenn einer der Google-Dienste wie Maps und Suche diesen sendet.

Beispielhaft hier nachzulesen: Heise News

Abschalten im Smartphone funktioniert so: Google > Google-Konto > Daten & Personalisierung > Web- & App-Aktivitäten. In dem Heise-Artikel ist auch ein Link direkt in das Google Konto, um das zu stoppen und auch gleich alle bsiherigen daten zu löschen.

Von dieser Speicherung der Web- und App-Aktivitäten hatte ich ehrlich gesagt bsiher überhaupt noch nichts mitbekommen. Das war für mich die eigentliche Nachricht.

Bis vor kurzem galt der Grundsatz, dass sichere Passwörter lang und kryptisch zu sein haben. Und dass sie außerdem regelmäßig erneuert werden müssen.

Ein gutes Passwort war demnach etwa die Zeichenfolge "GfoKB65%[a94).dd". Klarer Fall, leicht zu merken und schnell eingegeben, überhaupt kein Problem. Und nach 3 Monaten wechselt man dann auf "](34 .fiGNNsWW?j". Ja, und das mache ich dann mit den geschätzt 50+x Passwörtern, die ein Mensch mit Internetaffinität heute so braucht.

Ok, das war natürlich Ironie mit dem Holzhammer.