Fehlendes Technikwissen gefährdet Datenschutz in A
Fehlendes Technikwissen gefährdet Datenschutz in Arztpraxen
Natürlich kennen sich heute schon einige Ärzte mit Computern aus. Doch wenn es um Datenschutz, Netzwerk und Kommunikation geht, versagen fast alle. Zuhause bei einem Arzt würde fehlendes Technikwissen kaum zu gefährlichen Datenschutzgefahren führen. Außer er hat sich noch ungeschützte Remotezugänge in seine Praxis für die Heimarbeit von seinem Computer zuhause legen lassen oder gelegt.
Wir möchten hier keine kriminellen Tipps oder Informationen veröffentlichen. Darum umschreiben wir die festgestellten Szenarien natürlich nicht in der richtigen Reihenfolge oder nennen die notwendigen Tools oder Hardware. Unser Ziel ist es Ärzte vor möglichen Gefahren zu warnen und sie zu richtigem handeln zu inspirieren. Weitere Informationen über Praxisdatenschutz, Gefahren und Auswirkungen finden sie auf www.sichere-arztpraxen.de.
Einige technisch versierte Ärzte oder günstige PC-Techniker mit kleinen Praxen könnten tatsächlich auf folgende Idee gekommen sein. Sich einfach einen Router von einem günstigen Telefon- und DSL-Provider in die Arztpraxis zustellen. Denn ein solcher DSL-Router mit integrierter Telefonanlage ist sehr schnell geknackt. Einige dieser Geräte wie von vielen Providern angeboten. Bieten einen Resetschalter. Andere kann man direkt über das angeschlossen Telefon mit einer bekannten Sondernummer auf die Werkseinstellungen zurücksetzen.
Ist der Auslieferungszustands erst mal wieder hergestellt, ist ihr Zugang nicht mehr sicher. Wenn sie es mit einem Profi zu tun haben braucht der wirklich nicht lange. Er holt sich per bootfähigen USB-Stick und einige kleine Hard- und Softwarehelferlein ihre Router– bzw. DSL-Einstellungen zur späteren Nutzung.
Nutzt ihr Router nach dem zurücksetzen dann wieder die Standard-IP-Adresse (Beispiel 192.168.178.1) und läuft mit aktiviertem DHCP-Server hat er freie Bahn in Ihr Netzwerk. Denn auch ein eventuelles schützendes Konfigurationspasswort ist durch den Reset gelöscht. Ausserdem wird beim Reset dem Zurücksetzen auch alle Firewall-Änderungen und die Konfiguration des DSL-Anschlusses und des WLANs zurückgesetzt.
Das einzigste was ihn jetzt aufhalten könnte ihre Daten zu stehlen oder sich unbemerkt immer wieder in ihr Praxisnetzwerk einzuschleichen, wäre eine vollkommen physisch getrenntes Doppel-Netzwerk. Das diesem Router nur den Netzwerkzugang in ihr privates internes Netzwerk ermöglicht. So wäre wenigstens ihr Praxisnetzwerk davor „eigentlich“ sicher.
Von Entwarnung kann aber noch keine Rede sein. Wenn dieses private Netzwerk für Bankgeschäfte oder Patientenbriefe genutzt wird besteht hier Gefahr. Sollte ihnen jetzt noch ein findiger Techniker einen Remotezugang für bequemes Arbeiten in ihrem Praxisnetzwerk darüber eingerichtet haben, ist jeglicher Praxisschutz auch wieder dahin.
Ausreden einiger PC-Bastler das der Angreifer erstmal an den Router kommen müsste oder ihren Server knacken muss, sind totaler Blödsinn. Bei diesen Fon-Routern reicht ein angeschlossenes Telefon und einen Praxis-PC. Den er dank ungeschützter USB-Ports und ca. 8 - 12 Minuten teilweise unbeobachtet schnell übernimmt, neu (sehr schnell) extern startet und eine Telefonnummer wählt die den Router anspricht.
Wir vom FuSION e.V. gem können ihnen nur folgendes empfehlen!
Lassen sie hochbrisante Netzwerk und Kommunikationseinrichtungen nur von unabhängigen Netzwerk- und Kommunikationsprofis, mit umfangreicher jahrelanger „Businesserfahrung“ ausführen.
Auf keinen Fall sollten sie sich auf Leute verlassen die „nur“ Praxisnetzwerke (egal wie lange) einrichten!
Lassen sie sich bitte folgendes schriftlich bestätigen:
Jegliche gelieferte Hardware, die Installation und die Einrichtung ihres Praxis- und Privatnetzwerk und deren Kommunikationsanschlüsse in ihrer Praxis ist entsprechend den aktuell zutreffenden Gesetzen für Datenschutz in Arztpraxen und der Empfehlungen ihrer Bundesärztekammer (zu Schweigepflicht und Datenschutz) geliefert und ausgeführt worden.
Achten sie darauf das sie alleine der Administrator ihres Praxis- und Privatnetzwerkes sind. Ohne kleine Schulung geht das nicht! Sollten sie einen externen Administrator einsetzen müssen sind schriftliche vertragliche Abmachungen Pflicht und für sie existenziell äußerst wichtig.
Das das noch lange nicht alle Gefahren sind für die sie voll haften. Auf www.sichere-arztpraxen.de können sie noch weit aus mehr über Gefahren und deren Auswirkungen für sie und ihre Patienten erfahren.
Möchten sie auf Nummer sicher gehen und eine „Sichere Arztpraxis“ führen?
Dann nutzen sie bitte den gemeinnützigen Verbraucherschutzverein FuSION e.V. gem.
www.fusionev.de – www.itsozial.de – www.sichere-arztpraxen.de
Herausgeber und Rechteinhaber: © FuSION e.V. gem. 2010
