Das interne Praxisnetz und ein neues Handy – oder was ein Handy so alles anrichten kann

Wir haben in der Praxis ein Netz von sechs Rechnern an einem Netzwerk mit Windows Terminal Server (WTS). Der Server selbst ist vom Internet getrennt, aber im Netz hängt ein Telekom DSL Router neuerer Bauart mit gesichertem Wlan. Und an dem Wlan seit Jahr und Tag 2 Android-Handys und ein iPad, um ins Internet zu gelangen.

Ein defektes Handy musste ausgetauscht werden, und damit begann ein Problem, das den ganzen Tag in Anspruch genommen hatte.

Zunächst war es morgens unmöglich mit einem der  Rechner ins interne Netz zu kommen, mögliche Probleme wie frisch geupdateter lokaler Virenchecker mit neuer Firewall und Kabelprobleme wurden rasch ausgeschlossen. Es half nichts, ein Hardwareproblem schien nicht ausgeschlossen. Nach langer Suche zusammen mit einem hinzugezogenen Techniker fand sich schließlich die Ursache: ein „fremder Rechner“ hatte sich über Wlan ins Netz eingeloggt und per Zufall eine Netzwerkadresse bezogen, die für einen der lokalen Rechner bereits vergeben war. Der Adressenkonfikt war die Ursache. Anhand der Mac-Adressen wurden die beiden „Androiden“ und das iPad für unschuldig erklärt, der „fremde Rechner“ war zunächst nicht aufzufinden.

Bis die Kollegin am nächsten morgen mit einem frisch ausgetauschtem Handy (und eingerichtetem Wlan….) in der Praxis auftauchte und der Vorgang sich wiederholte, diesmal mit einem anderen Rechner. Ein Blick auf die Wlan Einstellung des neuen Handys bestätigte den Andressenkonflikt: es war tatsächlich eine bereits vergebene IP Adresse, identisch mit dem Rechner, der nun nicht mehr ins Netz wollte. Abschalten des Handys identifizierte den „Täter“ nun endgültig. Der Vorgang lies sich beliebig reproduzieren. Interessanterweise half auch das Löschen der Wlan Einstellung im Handy und Neueinrichtung nichts: es besteht darauf, eine bereits bezogenen IP Adresse zu bekommen.

Ich werde das Wlan abschalten ….

Medizinische Geräte aus dem Internet angreifbar ?

Bereits vor einigen Jahren hatte ich über ein grundsätzliches Problem mit vernetzten Medizinprodukten berichtet. Im Kern ging es um das Medizinproduktgesetz und dessen Folgen für die Sicherheit von medizinischen Geräten.

Heise Securitiy berichtete nun in einem Beitrag wiederum über Sicherheitslücken.

Hier wird auf Windows-XP als Sicherheitsproblem hingewiesen. Aus meiner Sicht bleibt – wie damals von mir berichtet – das statische Medizinproduktegesetz das Hauptproblem. Im Einzelfall sind die beschriebenen Probleme noch nicht relevant, da wichtige Medizinprodukte in der Klinik meist nicht mit dem Internet verbunden sind, das grundsätzliche Problem jedoch bleibt.

Den seinerzeitigen Artikel kann man hier finden.

Datenschutz und Internetsicherheit in Arztpraxen

Eines der wichtigsten Themen auf dem 111. Ärztetag vom Mai dieses Jahres war der Datenschutz und Internetsicherheit. Sowohl die elektronische Gesundheitskarte und die Kommunikation via Internet, als auch das Thema um die elektronische Patientenakte erfordern entsprechende Richtlinien und aktualisierte Rechtssicherheit.  Folgerichtig entstanden Konsequenzen für die Arztpraxis, die ich hier auszugsweise erläutern möchte.

Erstes Thema war die Internetfähigkeit von Praxisrechnern. Ärzte dürfen mit ihren Praxisrechnern auch dann ins Internet, wenn auf Ihnen Patientendaten gespeichert werden. Allerdings ist dann für entsprechenden Schutz zu sorgen. 80% der Ärzte nutzen das Inernet  für rechnergestüzte Kommunikation, auch Patientendaten werden auf diese Art übertragen. Nun galt es auf dem Ärztetag, die Empfehlungen zur Schweigepflicht an die Anforderungen des Internetzeitalters anzupassen und so für Rechtssicherheit zu sorgen.

Im übrigen kann in größeren Praxisgemeinschaften durchaus ein betrieblicher Datenschutzbeauftragter notwendig werden. Nach §4f BDSG besteht diese Verpflichtung immer dann, wenn mehr als 9 Personen mit der automatischen Verarbeitung personenbezogener Daten beschäftigt sind.

1. Sicherheitsvorkehrungen bei externer Kommunikation

Rechner mit Patientendaten in Arztpraxen brauchen besonderen Schutz . Neben Virenschutz und mehrstufigen Firewallkonzepten ist die Wahl des Providers entscheidend. Empfohlen wurden Hochsicherheitsdatennetze (KVen, KV-Safenet). Die Patientendaten sind im Falle eines internetangebundenen Rechners verschlüsselt zu speichern. Hier gab es deutliche Anleihen an die Verfahren, die Banken bereits seit Jahren einsetzen.

2. Fernwartung

Die Fernwartung von Praxisrechnern durch einen Dienstleister geschah bisher in einer rechtlichen Grauszone. Mit den neuen Empfehlungen ist dieses nun erlaubt, vorausgesetzt, dass die durchgeführten Maßnahmen protokolliert und überwacht werden und ein gesichertes Netz verwendet wird.

3. Elektronische Dokumentation

Die Papierdokumentation ist in den Arztpraxen mittlerweile überwiegend durch eine elektronische Dokumentation abgelöst. Die Empfehlungen sehen eine elektronische Signatur vor um eine beweissichere Dokumentation zu erreichen. Praktikable technische Verfahren sind aber noch in Entwicklung. Gewöhnlich ist eine nachträgliche Änderung eines Befundtextes nur dem äußeren Anschein nach möglich, wird aber im Hintergrund ohne Möglichkeit des Eingriffes protokolliert, so dass rückwirkend jedwede Änderung z.B. eines Befundtextes dokumentiert wird. Hinzu kommt in Zukunft die elektonische Signatur, wie bereits erwähnt.

4. Sicherung vor Verlust

Dies betrifft die Lesbarkeit im Rahmen der Aufbewahrungsfristen. Dies sind in der Regel 10 Jahre. Ein Sicherungskonzept muß dies somit sicherstellen. Hier geht es unter anderem um tägliche Komplettbackups (optimalerweise automatisierte Serversicherungen), sowie um externe Zwischensicherungen auf externen Medien.

Referenz:

Empfehlungen Schweigepflicht Datenschutz