Eine Handreichung zur Frage der Datensicherheit verschiedener Praxis-IT-Lösungen


Mit Blick auf meine verschlüsselte Online Praxisverwaltung kumppani weise ich immer wieder darauf hin, wie wichtig eine echte Ende-zu-Ende-Verschlüsselung (E2EE > End-2-End-Encryption) ist, um ein Höchstmaß an Datensicherheit für meine Daten, aber natürlich ganz besonders die Patientendaten zu erreichen, wenn auf der anderen Seite die Vorteile einer Online Anwendung genutzt werden sollen. Da wird es Zeit, einmal etwas grundsätzlicher und weiter auszuholen, um zu begründen, wie ich zu dieser Einschätzung gekommen bin.

Völlig unabhängig von allen rechtlichen Fragen sind wir Menschen in Heilberufen auch aus Verantwortung unserer Existenzgrundlage und unseren Patienten gegenüber aufgefordert, für unsere Praxis-Daten ein angemessenes Maß an technischer Sicherheit zu gewährleisten.

Wer sich also in der Berufsausübung nicht auf Papier, Stift und Schreibmaschine beschränken will, muss sich in jedem Fall mit dem Thema Datenschutz und der Datensicherheit auch aus technischer Sicht beschäftigen.

Vorneweg: 100%ige Sicherheit gibt es nie und nirgends. Aber es gibt für jede Art von elektronisch gespeicherten Daten technische Sicherheitsstrategien. Allerdings auch unterschiedliche Meinungen darüber, was denn nun ein wirklich ausreichender Schutz ist. Je nach Blickwinkel und Eigeninteresse fallen die Antworten da sehr verschieden aus.

Das hat natürlich auch damit zu tun, dass jede Entscheidung mit Blick auf die technische Sicherheit eines IT-Systems eine Abwägung zwischen Bedienungsfreundlichkeit und Sicherheit beinhaltet. Auf diese Abwägung komme ich ganz am Schluss zurück, wenn ich meine eigenen Entscheidungen zur Thematik vorstelle und begründe, warum ich dem bunten Strauß an Praxissoftware eine weitere Blüte hinzugefügt habe.

Das Thema IT-Sicherheit ist komplex und für Laien teilweise schwer zu verstehen. Trotzdem werde ich es in diesem Artikel einige für Heilberufler wichtige Aspekte nachvollziehbar und praxisnah zu erläutern versuchen.

Es braucht etwas Grundlagenwissen, um sich eine eigene Meinung dazu zu bilden. Das folgt im übernächsten Abschnitt. Wer in diesen Dingen schon genug Wissen hat, kann ihn gerne überspringen.

Als Praxisbetreiber haben wir es mit zwei Typen von Gefährdung unserer Daten zu tun:

• den Datenverlust durch einen technischen Defekt oder Datenträgerzerstörung • einem „Diebstahl" von Daten durch einen realen oder elektronischen Einbruch

Beides sind sehr reale Gefährdungen, wie die folgenden Beispiele zeigen.

Ein Großbrand und zwei „Hacks"

Am 10. März 2021 zerstörte ein Großbrand 2 von 4 Blöcke eines Rechenzentrums des Providers OVH in Straßburg, und mit ihnen zahllose Datenträger, auf denen die Daten von Millionen Kunden (oder die Daten von Kunden dieser Kunden ) gespeichert waren.

Die Daten etlicher dieser Kunden sind für immer vollständig verloren, darunter wohl auch die einer großen Anwaltskanzlei.

2020 wurden in Finnland tausende von psychotherapeutischen Unterlagen und 2018 in Norwegen sogar Millionen von Gesundheitsdaten von Servern gestohlen, auf denen diese Daten zentral gespeichert waren. Das Tückische an einem elektronischen Daten-„Diebstahl" ist der Umstand, dass es technisch gesehen nur ein Kopieren der Daten ist, keine wirkliche Entwendung. Ist das unauffällig genug gemacht, wird der „Diebstahl" erst bemerkt, wenn die Täter es öffentlich machen.

Ein paar technische Grundlagen zu Computerprogrammen

Gerade Psychotherapeuthen, die schon länger mit Computern unterwegs sind, kennen die altehrwürdigste Form von Programmen (Anwendungen) von ihrer unerfreulichen Seite:

Das Programm wird auf dem „Einzelplatzrechner", dem PC oder Mac, "installiert" (früher von einem Datenträger, heute heruntergeladen von einem Server irgendwo im Internet). Ich muss regelmäßig ein Update machen (oder dem Hersteller erlauben, aus dem Internet auf mein Gerät zuzugreifen und aus der Ferne das Update anzustoßen). Die immer wieder auftretenden Problemchen nach dem Starten der vierteljährlichen Update-Disk des Praxis-Programmes sind vielleicht manchen noch in „guter" Erinnerung.

Aber genau so stressig in die anderen Fragen: Habe ich ein ausreichend aktuelles und funktionierendes Backup? Und wo ist es denn nun gerade, wenn ich es dringend brauche? Und dann doch oft nicht zuletzt: Ist mein PC-Helfer gerade greifbar? Dieses Prinzip ist nach wie vor aktuell, egal ob für ein Desktop-Gerät, ein Tablet oder Smartphone: Ich installiere Programme oder "Apps". Und bin verantwortlich für Updates und Backups von Programmen und Daten.

Eine in Praxen mit mehreren Mitarbeitern inzwischen verbreitete Lösung sieht etwas anders aus. Das Praxisprogramm läuft auch auf nur einem Rechner, dem Praxis-Zentralrechner (genannt „Server"), der über das lokale Netzwerk („LAN" , „WLAN" ) mit allen Arbeitsplatz-Rechnern (genannt „Clients") verbunden ist, die aber keinen Programmcode des Praxisprogramms enthalten. Diese Arbeitsplatz-Rechner sind dann bildlich gesprochen nur noch „übermotorisierte" Anzeigegeräte, die im Grunde nichts mehr richtig zu tun haben, weil das Praxisprogramm ja auf dem Server installiert ist. Sie geben nur noch Eingaben über das Netzwerk an den Server weiter und zeigen dessen „Antworten" an, meist als veränderte Anzeige auf ihrem Display. . Der Aufwand zur Programm- und Datenpflege ist im Grunde nicht höher als bei einem echten Einzelplatz-Rechner, obwohl beliebig viele Arbeitsplätze mit den Praxisprogramm verbunden sind, aber natürlich kommt die Pflege des Netzwerks hinzu.

Seit ca. 10 Jahren breitet sich allerdings rasant eine Alternative aus, die auf den ersten Blick viele Vorteile zu haben scheint: die Web-Anwendung, kurz „WebApp". Ich muss dann auf meinem Gerät nichts installieren, sondern nur mit dem Internet verbunden sein. Ich brauche ein Konto beim Anbieter der Online Anwendung mit meinen Anmeldedaten. Ich logge mich ein und nutze die auf dem Server laufende Anwendung, rufe sie wie eine Webseite auf, wann und wo immer ich will. Die Verarbeitung aller Daten findet auf dem Server statt. Das Ganze nennt sich auch „Software-as-a-Service" (SaaS).

Vereinfacht kann man sich das so vorstellen, dass der Zentralrechner, der Server, auf dem alle Prozesse ablaufen, nicht mehr in der Praxis steht, sondern irgendwo auf der Welt.

Das klappt, weil das Internet, das „Netz", inzwischen so viel Kapazität („Bandbreite") besitzt, dass immer mehr Daten gleichzeitig zwischen Abermilliarden von Rechnern, Tablets und Smartphones (aber inzwischen ja auch Kühlschränken, Toastern, Thermostatventilen und und und) hin- und hergeschoben werden können.

Die Vorteile liegen auf der Hand: die App ist immer und von überall (mit Netzverbindung) erreichbar, es ist automatisch immer die aktuelle Version, und auf die Daten passen die Profis vom Anbieter auf. Sie sorgen für Wartung und regelmäßige Backups von System und Daten. Wenn, ja, wenn alles korrekt läuft (s.o. und s.u.).

Es gibt jedoch auch noch eine andere Form von WebApp, die weniger verbreitet ist, aber mir als Nutzer weitere Vorteile bietet. Bei dieser Variante passiert nicht mehr alles auf dem (entfernten) Server. Vielmehr wird mir nach dem Einloggen die aktuelle Version des Programmes in den Browser (Firefox, Chrome, Safari,…) geladen. Man könnte sagen, dass diese Form von WebApp in gewisser Weise die Eigenschaften von installierten Programmen und Online Programmen miteinander kreuzt: das Anwendungsprogramm und meine Anwendungsdaten liegen auf einem entfernten Server und warten, bis ich mich einlogge. Bin ich "authentifiziert", lädt mein Browser die Anwendung ebenfalls wie eine Webseite (aber eben mit allem Code für die Datenverarbeitung) zusammen mit meinen Daten herunter, bzw. synchronisiert die Daten in der Datenbank des Browsers von meinem letzten Arbeiten vorher mit den Daten in der Datenbank auf dem Server. Dann kann ich mit den aktualisierten Daten (weiter) arbeiten.

Oder ich habe gerade keine Netzverbindung und kann dann mit der im Gerät gespeicherten letzten Fassung der WebApp und den Daten auf meinen Gerät weiterarbeiten, bis die Netzverbindung wieder vorhanden ist. Die Datenbestände werden dann im Hintergrund automatisch synchronisiert. Der Fachbegriff dafür ist „offline first WebApp".

Ich kann also wie bei einem auf meinem Gerät installierten Programm offline arbeiten, habe aber wie bei "normalen" WebApps den Vorteil, mich um Updates und Backups nicht kümmern zu müssen.

Einfache Online-Webapps können auf diese Variante nicht umgestellt werden, ohne sie komplett neu zu programmieren.

Zu den Risiken und Nebenwirkungen fragen Sie Ihren Arzt oder Apotheker

Rechner in der Praxis oder als Mobilgerät

Habe ich des Praxisprogramm auf meinen eigenen Rechner oder auf dem Praxis-Zentralrechner (Server) installiert, muss ich folgende Gefährdungen meiner Daten im Auge haben:

• Bedienungsfehler • Probleme mit der Zugangssperre des Gerätes • technischer Defekt während der Verwendung • Zerstörung des Gerätes oder Daten durch Unfall oder Unglück (Sturz, Stromausfall, Feuer,...) • Datenverlust durch Softwarefehler • Fehlschlag des Updates • das Update ist von Kriminellen beim Hersteller unbemerkt mit Schadsoftware („Malware") kompromittiert worden • elektronischer Einbruch in mein Gerät („Diebstahl" von Daten und Passwörtern, Verschlüsselung meiner Daten mit Erpressungsversuch) • Probleme bei der Verwendung oder mit dem Update des Betriebssystems (Windows-Nutzern durchaus vertraut)

Da kommt einiges zusammen, was mir prinzipiell Probleme machen kann. Nicht alles ist gleich wahrscheinlich, aber im Ernstfall genügt ja schon ein Ereignis, um mich in ernsthafte Schwierigkeiten zu bringen.

Bekannte Vertreter von installationsbasierten Praxisprogrammen für Heilpraktiker und Therapeuten sind SalutaMed, heilpraxisLIFE oder MedHQ.

Als Nutzer:in solcher Programme habe ich die volle Verantwortung für alles, werde dafür damit belohnt, eben auch alles selbst kontrollieren zu können und, oft auch verlockend, nur einmal bezahlen zu müssen.

Um diese Kontrolle auch wirklich zu haben, brauche ich Backups, Backups, Backups...(und natürlich auf mein Gerät aufpassen). Will sagen, ich brauche eine professionelle Backup- Strategie, nicht einfach nur ab und an meine Daten auf einen USB-Stick kopieren. Zu erklären, was das praktisch bedeutet, würde tatsächlich den Rahmen dieses Artikels sprengen. Als Tipp sei auf den Text „Deine Backup-Strategie - Datensicherung für kleine Unternehmen" von Mitch Symalla verwiesen.

Ein Teil der Lösung kann übrigens sein, dass ich meine Daten im virtuellen Laufwerk eines "Cloud"-Speicher-Anbieters (Google Drive, HiDrive, Dropbox,...) speichere, wodurch diese Daten dann automatisch im Hintergrund auf dem beim Anbieter gebuchten Speicherplatz gesichert werden.

Das reicht zwar eigentlich nicht, aber ein Teil der Verantwortung ist dadurch an Profis ausgelagert. Die Wahrscheinlichkeit eines vollständigen Datenverlustes ist massiv verringert. Und sehr schön daran ist, dass ich dafür sorgen kann, dass die Daten mein Gerät nur verschlüsselt verlassen und auch erst im Gerät wieder entschlüsselt werden. Das nennt sich dann „Ende-zu-Ende-Verschlüsselung" (E2EE → End 2 End Encryption). Ich komme auf dieses Thema bei der Betrachtung von Online Apps zurück, denn es ist nach übereinstimmender Einschätzung von Sicherheitsexperten die einzige verlässliche Schutztechnik für Daten im Netz (iX 2/2019, S.84: Mit der Keule).

Klassische Online WebApp

Verwende ich eine „Cloud"-basierte Praxis-WebApp wie AppointMed oder Lemniscus, verlagern sich bzw. verringern sich vordergründig die Gefährdungen. Denn was auch immer ich mit meinen Gerät anstelle, meine Daten sind beim Anbieter der WebApp gespeichert und ich kann nach der Beseitigung eines Schadens oder von einem anderen Gerät schnell wieder darauf zugreifen.

Ich lege die Pflege und die Verbesserung des Programms sowie die Aufbewahrung und die Sicherung meiner Daten in die Verantwortung von Menschen, die das als Dienstleistung anbieten und denen ich dafür regelmäßig etwas bezahle. Damit ist die gesamte Praxis-IT entkoppelt von dem einen alleinigen Gerät, von dessen „Gesundheit" alles abhängt.

Allerdings hängt nun alles davon ab, dass diese Anbieter ihren Job wirklich umsichtig und professionell machen. All die Gefährdungen, die ich oben für die eigene IT aufgelistet habe, bestehen natürlich auch für alle Anwendungen in der berühmt-berüchtigten Cloud. Ich sehe es nur nicht mehr.

Denn es heißt zwar „Cloud" (Wolke), aber in diesem Fall ist nur der Begriff wolkig. Real arbeiten die Programme genauso auf prinzipiell baugleichen Rechnern mit CPU und Arbeitsspeicher und liegen die Daten ganz normal auf einem Datenträger (HD oder SSD).

Nur befindet sich das alles, wie schon gesagt, irgendwo in der Welt, ohne dass wir einzelnen Nutzer überhaupt wissen oder sicher sein können, wo genau. Wir müssen uns auf die Sorgfalt und die Angaben der Anbieter verlassen. Die Bespiele ganz oben beweisen, dass das leider doch nicht immer zuverlässig funktioniert. Streng genommen habe ich es nämlich mit mindestens 2 Anbietern zu tun: dem, der mir die App als SaaS vermietet, und im Hintergrund dem Infrastrukturanbieter, bei dem wiederum mein Anbieter Kunde ist ( Marktführer sind hier Amazon Web Services). Selbst überprüfen, ob alles korrekt läuft, ist praktisch unmöglich. Sicherheit sollen uns Prüfsiegel und Zertifikate geben. Das ist auch schon wieder ein Thema für einen ganzen Artikel. Der Infrastruktur-Anbieter OVH hatte es versäumt, die Daten der Kunden unaufgefordert auf verschiedene Standorte zu spiegeln. Das mussten die Kunden gegen Aufpreis zusätzlich bestellen. Und dann brannte es unerwartet...

Die beschriebenen Daten-„Diebstähle" beruhten auf Sicherheitslücken in den Systemen. Leider sind solche Sicherheitslücken unvermeidlich, selbst bei größter Sorgfalt. Das ist die unabänderliche Realität. Ein Anbieter kann nicht mehr tun als ein System nach Stand der Technik zu designen und zu pflegen, alle bekannten Sicherheitslücken durch Updates jeweils schnellstmöglich zu schließen. Dummerweise ist an dem Spruch, es sei nicht die Frage, OB, sondern nur WANN ein System gehackt wird, etwas Wahres dran.

Arbeiten Anbieter nach Stand der Technik, liegen die Daten, die gerade nicht verwendet werden, verschlüsselt in einer Datenbank. Dazu dient ein digitaler “Schlüssel”, mit dem die Daten verschlüsselt werden und ohne den sie dann unleserlich sind. Um nun allerdings im Praxisprogramm mit diesen Daten etwas machen zu können, müssen sie vorher mit Hilfe des Schlüssels wieder entschlüsselt werden, bevor der Server sie verarbeiten kann. Also - und das ist der entscheidende Punkt - muss der Schlüssel in den Systemen des Anbieters – und sei es noch so versteckt - lesbar vorhanden sein. Und dann kann er von Unbefugten letztendlich auch ausgelesen werden. Sie können die Daten damit dann nach deren „Ausleitung" bequem entschlüsseln oder damit drohen. Das ist noch einfacher und fataler, wenn der Angriff von „innen" , d.h. von Mitarbeitern des Anbieters erfolgt. (Auch schon passiert.)

Das bringt mich auf einen weiteren Punkt. Von innen wie von außen besteht prinzipiell die Möglichkeit, die WebApp selbst mit Schadsoftware zu kontaminieren, die dann bei der Benutzung des Programms an alle gerade aktiven Nutzer über den Browser verteilt wird. Ist sie so programmiert, dass sie über eine noch unbekannte Lücke aus dem Browser „ausbricht", ist der potentielle Schaden sehr groß.

Und schließlich gibt es noch eine Art des Angriffs, die nennt sich „Man-in-the-Middle"- Angriff. Das bedeutet, dass es jemandem gelingt, sich irgendwo auf der Internetwegstrecke zwischen dem Server und dem Client in meiner Praxis einzuklinken, um den Datenstrom zu manipulieren. Sei es, dass Daten “ausgeleitet” werden, Malware untergeschoben wird oder bei Offline WebApps der Programmcode verändert wird. Das ist nicht trivial, aber dennoch nicht völlig unmöglich. Deutlich erschwert wird es, seitdem der Datenverkehr in Internet überwiegend „transportverschlüsselt" abläuft. Für WebApps heute eine Selbstverständlichkeit. Zu erkennen ist das an dem Schloss-Symbol in der Adresszeile des Browsers. Diese lassen inzwischen eine unverschlüsselte Verbindung nur noch auf ausdrücklichen Wunsch der Nutzer:innen zu. Und was oft vergessen wird: Auch das lokale Netzwerk kann angegriffen werden, sei sei über eine Schwachstelle im Router, sei es über eine im WLAN-Standard.

Deshalb braucht eigentlich jede:r, auch die Nutzer:innen von Online Apps, eigene Backups . M.E. sollte jede Online Software deshalb die Möglichkeit bieten, selbst manuell Sicherheitskopien der Daten herzustellen. Das muss ich dann realistischerweise aber nicht jeden Abend machen.

Offline WebApps

Offline-WebApps sind wie oben beschrieben anders aufgebaut. Alle Datenverarbeitung geschieht im Gerät der Nutzer:innen. Die Aufgabe der Server beim Anbieter reduziert sich auf des Ausliefern des Programmcodes und das Empfangen und Ausliefern von verschlüsselten Daten. Diese Ende-zu-Ende-Verschlüsselung ist aktuell der höchste Sicherheitsstandard bei WebApps. Der Anbieter braucht den Schlüssel nicht. Dieser bleibt im alleinigen Besitz der Nutzer:innen.

Der Anbieter hat auch einen reduzierten Aufwand mit dem Programm selbst. Er muss ausschließlich darauf achten, dass der an die Browser auszuliefernde Programmcode sauber ist, die eigentliche Programmaktivität findet dezentral auf den Geräten der Nutzer: innen statt. Diese können nicht alle auf einen Schlag angegriffen werden, indem das Anbieter-System gekapert wird.

Allerdings sollte der Anbieter nach weiteren Möglichkeiten suchen, einen gelungenen Angriff auf die aktuelle auf dem Server liegende Programmversion so schnell wie möglich zu erkennen.

Wenn dann noch die Anmeldung (heute noch immer überwiegend passwortbasiert, evtl. mit einen zusätzlichen zweiten Faktor) und der Schlüssel für die Daten getrennt sind, gewinne ich zusätzliche Sicherheit. Das Passwort darf ich dann ruhig auch mal vergessen bzw. ändern. Allerdings habe ich immer die Verantwortung für den Schlüssel zur Datenbank. Den sollte ich erstens exportieren (auch zwecks Import auf andere Geräte von mir) und auf einem externen Medien sichern können.

Benutze ich mehrere Geräte, ist der Schlüssel auf allen diesen Geräten vorhanden und allein schon dadurch vor Verlust geschützt.

Außerdem muss ein Praxisprogramm aber auch die Möglichkeit bieten, die Praxisdaten selbst unverschlüsselt auf einem externen Medium zu speichern. Im Falle eines GAU's kam ich dann zumindest den Stand meiner Daten aus dieser manuellen Sicherung mit einem neuen Schlüssel zurückübertragen.

Diese Maßnahmen bilden dann alle zusammen in meinen Augen eine deutliche Erhöhung der Sicherheit bei WebApps, auch wenn dadurch die anderen Gefahren für diese Sicherheit nicht vollständig gebannt sind. Die sorgfältige Pflege der Infrastruktur beim Anbieter bleibt auch bei Offline-WebApps sehr wichtig. Nur sind meine Daten nicht verloren, wenn es beim Anbieter doch mal crasht. Bei mir selbst sind sie dann nicht automatisch auch kaputt.

Beispiele für Offline-WebApps mit E2E Verschlüsselung sind Red Medical (nicht für Heilpraktiker gedacht) oder kumppani, eine WebApp, deren Entwicklung ich selbst leite.

Ich komme auf die Notwendigkeitder Abwägung zwischen „Bequemlichkeit" und Sicherheit zurück. Eine WebApp ist eindeutig komfortabler als die Gesamtverantwortung für alle Aspekte einer Praxis-IT. Aber ohne die Möglichkeit einer E2E Verschlüsselung, also jeglicher Vermeidung von lesbaren Patientendaten im Netz, kommt es für mich nicht wirklich in Frage.

In dieser Einschätzung stehe ich in Übereinstimmung mit den allermeisten Experten für IT-Sicherheit bis hin zu den Richtlinien des Bundesministeriums für Wirtschaft.

Als ich mit der Entwicklung von meiner Praxis-WebApp kumppani (ist übrigens finnisch und bedeutet "Begleiter" ) begann, gab es das so nicht. Insofern spiegelt kumppani durch seine Architektur als offline-WebApp mit den genannten zusätzlichen Merkmalen meine Antwort auf die Frage nach dem richtigen Verhältnis von Anwenderfreundlichkeit und Datensicherheit.

Quellen:

Volker Brieglieb „Ransomware legt IT des irischen Gesundheitswesens lahm“ https://www.heise.de/news/Ransomware-legt-IT-des-irischen-Gesundheitswesens-lahm-6046309.html

Klaus Schmeh, Udo Wichert „Mit der Keule" iX 2/2019, S.84-87

„Kompass IT-Verschlüsselung“ Orientierungs- und Entscheidungshilfen für kleine und mittlere Unternehmen Studie im Auftrag des Bundesministeriums für Wirtschaft und Energie (BMWi) https://www.bmwi.de/Redaktion/DE/Publikationen/Studien/kompass-it-verschluesselung.pdf?__blob=publicationFile

Alexander Wilms “Cloud ist, wenn einer meine Daten klaut ...” https://www.doctors.today/praxis-qualitaetsmanagement/a/cloud-ist-wenn-einer-meine-daten-klaut-1790331

aerzteblatt.de/News 27.10.2020 „Vertrauliche Psychotherapiedaten in Finnland gehackt“ https://www.aerzteblatt.de/nachrichten/117742/Vertrauliche-Psychotherapiedaten-in-Finnland-gehackt

Dennis Schirrmacher „Offenbar Patienten-Daten von fast 3 Millionen Norwegern gehackt“ https://www.heise.de/newsticker/meldung/Offenbar-Patienten-Daten-von-fast-3-Millionen-Norwegern-gehackt-3945709.html

Der Artikel ist ein Vorabdruck meines Beitrages in der Zeitschrift des vfp "Freie Psychotherapie" (zuletzt aktualisiert: 06.06.2021)