26.04.2019 Dieser Artikel als .pdf

Welches Praxisverwaltungssystem für Psychotherapie hat die sicherste Datenbank?

Der Druck zum Anschluss an die Telematikinfrastruktur verleiht der alten Frage Aktualität, wie wir Patientendaten für den Fall schützen können, dass ein Trojaner auf den Praxisrechner gerät. Will man auf dem Praxisrechner Updates des Betriebssystems oder der Antivirensoftware durchführen, geht das häufig nur mit einer Verbindung ins Internet. Selbst wenn dazu der im Konnektor der Telematikinfrastruktur integrierte »Secure Internet Service« genutzt wird, filtert dieser zwar bekannte Gefahren heraus, kann aber nicht jeden Trojaner erkennen.

So könnte eine Kopie der nur wenige Kilobyte großen Datenbank des Praxisverwaltungssystems ins Internet gelangen. Selbst dann, wenn wir Patientendaten nur auf einem USB-Stick speichern und ihn entfernen, bevor wir mit dem Rechner ins Internet gehen, könnte ein Trojaner die Daten zwischen­gespeichert haben und sie trotzdem senden. Auch nicht ausgeschlossen ist es, dass aufgrund seiner Intransparenz in Sachen Datenschutz Windows 10 selbst zum Trojanischen Pferd mit ferngesteuerter Hintertür und unerwünschtem Selbstzweck werden kann.

Die Gematik zertifiziert nur die Konformität des Praxisverwaltungssystems zur Konnektorschnittstelle und zu den E-Health-Kartenterminals. Die Kassenärztliche Bundesvereinigung zertifiziert andere Teil­bereiche der Praxisverwaltungssysteme wie die Quartalsabrechnung und die Blankoformular­bedruckung. Aber niemand zertifiziert die Sicherheit der Praxisdatenbank gegenüber Angreifern.

Auf diesem Flickenteppich der Zuständigkeiten muss ein »einheitlicher Kenntnisstand« zwischen Politik, Industrie und den als Benutzern der Telematikinfrastruktur vorgesehenen Ärzten, Psycho­therapeuten und Patienten überwiegend erst noch erarbeitet werden. Wie also lässt sich herausfinden, welches Praxisverwaltungssystem für Psychotherapie die am besten verschlüsselte Datenbank hat?

Falsche Frage

Die Frage nach der Sicherheit des Praxisverwaltungssystems ist leider an mindestens zwei Elefanten im Raum vorbei gestellt: an der Frage nach der Festplattenverschlüsselung und an der Frage nach dem Betriebssystem. Sobald wir die Kontrolle darüber verlieren, welche Programme auf unserem Rechner ausgeführt werden, spielt es kaum noch eine Rolle, ob Patientendaten im Klartext auf der Festplatte liegen oder ob sie mit einem komplexen Algorithmus wie AES-256 verschlüsselt sind. Läuft erst einmal auf unserem Rechner ein schädliches Programm, kann es Bildschirminhalte, Tastatureingaben, Daten vom USB-Anschluss, unverschlüsselte Daten aus dem Arbeitsspeicher und Daten von der Festplatte verarbeiten und die Daten direkt oder zeitversetzt ins Internet senden. Anschließend kann der Angreifer die so kopierten Daten bei sich in Ruhe über Tage, Monate und Jahre hinweg nach Schwachstellen durchsuchen. Fast alle Praxisverwaltungssysteme und ihre Datenbankstrukturen können als Testversionen beim Anbieter heruntergeladen werden und sind so um so leichter dem Reverse Engineering zugänglich. Auf diesem Weg kann ein Angreifer die Speicherpfade und die verwendeten Verschlüsselungsmethoden der Patientendatenbank schon kennen, wenn er unseren Praxisrechner betritt.

In dem Moment, wenn mit verschlüsselten Daten gearbeitet werden soll, muss der dazu passende Schlüssel vorliegen. Sonst wären es keine Patientendaten, sondern eine nutzlose Kette von Nullen und Einsen. Ein Trojaner hat viel Zeit und alle Freiheiten, um durch logische Analyse oder mittels Probieren die Zahlenkombination für den Zugang zu den Daten zu finden. Die einzige sinnvolle Gegenwehr würde eben darin bestehen, den Praxisrechner nie mit dem Internet zu verbinden, nicht einmal für Updates. Vielleicht sollten wir dann nicht einmal mehr beschreibbare USB-Sticks an unse­ren Praxisrechner anschließen und Updates nur noch von nicht wieder beschreibbaren CDs aufspielen. Natürlich können wir auch trotz gelegentlicher Internetverbindung die eine oder andere dieser Maß­nahmen zur Minderung der Gefahr anwenden. Ungewiss bleibt dabei aber, ob wir nach jedem langen Arbeitstag noch an ausgeschaltetes WLAN und abgezogene USB-Sticks denken. Zur Verringerung der Gefahr können auch zwei Rechner mit unterschiedlichen Arbeitsaufgaben physisch durch einen Air Gap (»Luftspalt«) voneinander getrennt werden, statt alle Teilbereiche der Datenverarbeitung auf einem Rechner laufen zu lassen.

Daten ohne Datenbank

Niemand speichert alle Patientendaten im Praxisverwaltungssystem. In weiteren Verzeichnissen liegen Befunde, Briefe, Fragebogenauswertungen und archivierte E-Mails von Patienten. Ein im Vergleich zur Datenbank des Praxisverwaltungssystems leichteres Ziel für Angreifer wären nicht nur diese umfangreichen Informationen außerhalb des Praxisverwaltungssystems, sondern auch die unver­schlüsselten Abrechnungsdateien. Lässt man sich im Windows-Explorer das Verzeichnis des Praxis­verwaltungssystems anzeigen und gibt in das Suchfeld oben rechts *.CON ein, werden alle jemals erstellten Abrechnungsdateien aufgelistet. Unverschlüsselte Abrechnungsdateien enthalten in Textform die Abrechnungsdaten, aus denen das Kryptomodul der Kassenärztlichen Bundes­vereinigung jeweils eine verschlüsselte Datei mit der Dateiendung *.CON.XKM erstellt. Mit einem Texteditor kann man in diese Dateien hineinschauen. Was wir dort lesen, würde ein Angreifer auch lesen können. Nach der Abrechnungsabgabe werden die unverschlüsselten Abrechnungsdateien höchstens noch im Fall eines Wechsels zu einem anderen Praxisverwaltungssystem benötigt, wenn man diese alten Abrechnungsdaten in das neue System übertragen will. Bis dahin können sie auf einen externen und idealerweise verschlüsselten Datenträger verschoben werden. Mit Befunden und Testergebnissen aktueller Patienten wird das nicht immer möglich sein, selbst wenn sie unabhängig von der Datenbank des Praxisverwaltungssystems vorliegen. Jede dieser Dateien einzeln zu verschlüsseln und bei Bedarf wieder zu entschlüsseln, wäre zu umständlich und zu fehleranfällig.

Festplattenverschlüsselung

Einen Bereich gibt es jedoch, über den wir eine ungleich größere Kontrolle haben können, nämlich über die Datensicherheit im ausgeschalteten Zustand unseres Rechners. Dann liegt es an uns, ob wir das Passwort zu den Patientendaten im Klartext auf einem USB-Stick oder auf einem Zettel am Bildschirm aufbewahren oder besser beides nicht. Bei ausgeschalteter Technik gibt es keine Bildschirminhalte, keine Tastatureingaben, kein Passwort im Arbeitsspeicher, keinen Internetzugang und auch keine anderen »Verräter«. Gehen der heruntergefahrene Laptop oder ein abgezogener USB-Stick verloren, ist der Unterschied der Wirkungen groß zwischen einer meldepflichtigen Verletzung des Datenschutzes ohne Verschlüsselung und dem nicht meldepflichtigen Verlust ausreichend gut verschlüsselter Hardware.

Zwischen gut verschlüsselten Daten und Zufallsdaten kann ein Betrachter keinen Unterschied erkennen. Sie sind so etwas wie fein geschreddertes Papier in digitaler Form. Nur der Schlüssel oder das Passwort enthalten dann die Anweisungen dazu, wie die Papierfetzen wieder zusammengesetzt werden können.

Leider ist Datensicherheit häufig nur simuliert und statt die Anweisungen zum Wiederherstellen der Daten zu enthalten, ist der Schlüssel oder das Passwort dann nur symbolischer Platzhalter für die Datenwiederherstellung. Dann teilt die Software den eigentlichen Schlüssel für die Daten dem Nutzer gar nicht mehr mit. Stattdessen wird beispielsweise geprüft, ob das Passwort »Müllerstochter« eingegeben wurde und wenn das eingegebene Wort ein anderes ist, wird die eigentlich problemlos mögliche Entschlüsselung nicht durchgeführt. Im Fall von echter, nicht nur simulierter Datensicherheit sind Datenrettung und Datenwiederherstellung mathematisch extrem unwahrscheinlich, nachdem Schlüssel oder Passwort vergessen wurden. Nur mittels simulierter Datensicherheit lässt sich ein Passwort ändern, ohne dass dabei zuerst alle Daten zeitintensiv entschlüsselt und dann mit dem neuen Passwort neu verschlüsselt werden müssen. Deshalb wird sie sehr häufig angewandt.

Betriebssystem

Es hängt von vielen Faktoren ab, ob man sich anstelle von Windows für eines der zahlreichen Linux-Betriebssysteme entscheidet. Zwar ist Linux kostenlos, die Verschlüsselung von Datenträgern ist einfacher als unter Windows und wegen des strengeren Umgangs mit Zugriffsrechten ist Linux weit weniger anfällig für Schadsoftware. Der Einsatz von Antivirensoftware ist unter Linux in weit geringerem Ausmaß notwendig als unter Windows. Als weitere Maßnahme gegen die meisten Arten von Trojanern kann man z.B. einmal jährlich das Betriebssystem und alle Programme auf den Rechner neu aufspielen. Auch das ist häufig unter Linux einfacher als unter Windows. Oder man greift zu einer Virtualisierungssoftware und setzt diese regelmäßig auf ihren Anfangszustand zurück. Jedoch setzt das, ebenso wie die erste Installation einer Linux-Distribution, mehr technisches Wissen voraus als der Umgang mit Windows. Bei Peripheriegeräten wie Druckern, Monitoren und Scannern unterstützt Linux nicht alle Fabrikate.

Zum Ausprobieren und Vergleichen lassen sich Windows und Linux in einer Dual-Boot-Konfiguration parallel auf demselben Rechner installieren. Der Nutzen von Linux für die psychotherapeutische Praxis ist leider sehr begrenzt. Das einzige unter Linux lauffähige Praxisverwaltungssystem ist Epikur und das einige von Epikur unterstützte Linux-Betriebssystem ist Ubuntu 18.04.X LTS.

Zur Verschlüsselung von Datenträgern geeignet sind BitLocker unter Windows, VeraCrypt unter Windows, macOS und Linux sowie unter Linux verschiedene Systemprogramme wie dm-crypt und LUKS. Es gibt auch hardwareverschlüsselte, vom eingesetzten Betriebssystem unabhängige USB-Sticks und Festplatten.

BitLocker unter Windows 10 Pro

Das Aktivieren der Festplattenverschlüsselung mit BitLocker unter Windows ist einfacher, als es klingt. Doch ist es für Nutzer von Windows Home mit 145 € nicht ganz billig. Getestet habe ich BitLocker unter Windows 10, es funktioniert aber auch unter Windows 8 und Windows 7. BitLocker jetzt noch unter Windows 7 zu installieren, lohnt sich nicht mehr, denn ab Januar 2020 werden für dieses Betriebssystem keine aktuellen Sicherheitsupdates mehr ausgeliefert, so dass Windows 7 auf einem Praxisrechner sich spätestens dann verbietet.

Ratsam ist zunächst, alle Daten vom Rechner auf externer Festplatte, SD-Karte oder USB-Stick zu sichern. Bei der Installation von Windows Pro und BitLocker geht selten etwas schief. Aber falls doch, sind dann keine Daten verloren. Um herauszufinden, welche Edition von Windows auf dem Rechner läuft, kann man zum Beispiel die Windows-Logo-Taste + Pause (neben F12) drücken oder die Windows-Logo-Taste + R drücken und msinfo32 öffnen. Sollte dort Windows Home stehen, muss als Voraussetzung für den Einsatz von BitLocker zunächst das kostenpflichtige Upgrade auf Windows Pro durchgeführt werden.

Für das Upgrade zu Windows 10 Pro wählt man Einstellungen => Update und Sicherheit => Aktivierung => Store aufrufen. Dort klickt man auf die Schaltfläche »Kaufen« und muss sich dann zunächst in ein bestehendes Microsoft-Konto einloggen oder ein neues Konto erstellen. Darin kann zwischen zwei Bezahlmethoden gewählt werden: Sofortüberweisung und Giropay. Den besseren Datenschutz bietet Giropay, jedoch wird diese Methode nicht von allen Banken angeboten. Wer das Praxiskonto beispielsweise bei der apoBank hat, muss auf die Abbuchung von einem Konto bei einer anderen Bank ausweichen oder die Sofortüberweisung nutzen, welche die Zugangsdaten zum Online­banking an Dritte weitergibt. Dann sollte man seine Zugangsdaten zum Onlinebanking im Anschluss ändern. Nach erfolgtem Kauf muss der Rechner neu gestartet werden und nach wenigen Minuten ist Windows Pro installiert.

Vor der Aktivierung von BitLocker stellen sich mehrere Glaubens- und Geschmacksfragen. Die erste Frage ist jene für oder wider den in den meisten aktuellen Rechnern verbauten TPM-Chip (Trusted Platform Module). Ob der Rechner über einen TPM-Chip verfügt, findet man heraus, indem man in einem Benutzerkonto mit Administratorrechten die Windows-Logo-Taste + R drückt und tpm.msc öffnet. Dort steht unter »Status«, ob das TPM vorhanden und einsatzbereit ist.

Für dessen Verwendung spricht, dass mit dem Chip die Festplatte nur dann wieder entschlüsselt werden kann, wenn die Hardware des Rechners unverändert ist. Würde man die Festplatte in einen anderen Rechner einbauen, um dort die Verschlüsselung zu brechen, ließe der TPM-Chip den Versuch scheitern. Gegen den TPM-Chip spricht, dass dessen Manipulation durch die NSA oder andere staatliche Stellen nicht auszuschließen ist. Diese könnten dann die Festplatte selbst entschlüsseln oder deren Entschlüsselung durch den Besitzer verhindern.

Nicht zu empfehlen ist die Authentifizierung von BitLocker allein über das TPM, weil einige Angriffe auf die verschlüsselten Daten dann trotzdem möglich wären. So lautet die zweite Entscheidung, was entweder als alleinige Authentifizierung ohne TPM oder als zweiter Authentifizierungsfaktor zusätzlich zum TPM-Chip gewählt werden soll: Passwort oder Schlüsseldatei?

Vor- und zugleich Nachteil des Passwortes ist, dass es nicht aufgeschrieben werden muss. Was man im Gedächtnis hat, kann zwar nicht ausgespäht, aber vergessen werden. Das Passwort ist weniger komplex als die Schlüsseldatei und deshalb leichter durch Probieren zu finden. Bei jedem Start des Rechners muss es eingegeben werden.

Vor- und zugleich Nachteil der Schlüsseldatei ist deren Länge. Um sich diese Information zu merken, müsste man ein Gedächtniskünstler sein. Deshalb wird die Schlüsseldatei auf einem USB-Stick oder einer SD-Karte abgelegt (die jeweils beliebige weitere, nicht mit BitLocker verschlüsselte Daten enthalten dürfen). Bei jedem Einschalten muss der Datenträger mit der Schlüsseldatei mit dem Rechner verbunden sein und kann dann ggf. bis zum nächsten Einschalten wieder entfernt werden. Auch von der Schlüsseldatei sollte man sich eine oder besser zwei Sicherungskopien anfertigen und sie gut verwahren. Sucht man die Schlüsseldatei auf dem USB-Stick, sieht man zunächst nichts, da sie als Systemdatei gekennzeichnet ist und Windows Systemdateien standardmäßig nicht anzeigt. Das kann man ändern, indem man im Windows-Explorer auf Datei => Ordner- und Suchoptionen ändern => Ansicht geht und das Häkchen bei »Geschützte Systemdateien ausblenden (empfohlen)« entfernt. Jetzt zeigt Windows im Windows-Explorer die Schlüsseldatei mit an, deren Name auf *.BEK endet. Nicht passieren darf es, dass USB-Stick bzw. SD-Karte und damit die Schlüsseldatei gemeinsam mit dem verschlüsselten Rechner in die Hände Unbefugter geraten.

Eine Entscheidungshilfe zu der Frage TPM-Chip, Passwort und/oder Schlüsseldatei bietet dieser Artikel (auf Englisch). Microsoft empfiehlt die Kombination aus TPM-Chip und Passwort. Ich bevorzuge die Kombination aus TPM-Chip und USB-Stick, um mir das Eintippen eines weiteren Passwortes vor dem eigentlichen Windows-Login zu sparen. So macht sich BitLocker beim Benutzer gar nicht bemerkbar, solange beim Anschalten des Rechners der USB-Stick mit der Schlüsseldatei steckt.

Vor dem Einrichten von BitLocker kann eine dritte Entscheidung getroffen werden. Die Verschlüsse­lungsstärke von BitLocker ist auf 128 Bit voreingestellt, kann aber auf 256 Bit erhöht werden, ohne dass es die Schnelligkeit der meisten Rechner wesentlich bremst.

Zusätzliche Informationen zu BitLocker findet man im Internet beispielsweise bei bei Microsoft, Wikipedia und YouTube. Um die Installation durchzuführen, müssen wir Windows mitteilen, wie wir uns hinsichtlich TPM-Chip, Password oder Schlüsseldatei und Verschlüsselungsstärke entschieden haben. Das geschieht in den sogenannten Gruppenrichtlinien. Um dorthin zu gelangen, drückt man die Windows-Logo-Taste + R, öffnet gpedit.msc und klickt sich durch bis zum Unterordner Richtlinien für Lokaler Computer => Computerkonfiguration => Administrative Vorlagen => Windows-Kompo­nenten => BitLocker-Laufwerkverschlüsselung. (Bitte nicht in die Benutzerkonfiguration verrutschen, wo es auch Administrative Vorlagen gibt.)

Im Unterordner BitLocker-Laufwerkverschlüsselung angekommen, stehen auf der rechten Seite mehrere Einträge mit dem Namen »Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerk auswählen«. Der passende Eintrag ist der für Windows-Version 1511 und höher. Ist man sich nicht sicher, können auch alle Einträge bearbeitet werden. Nach Doppelklick auf den Eintrag muss die Option »Aktiviert« und darunter die gewünschte Kombination aus Verschlüsselungs­methode und Verschlüsselungsstärke gewählt werden, beispielsweise XTS-AES 256-Bit.

Zurück auf der linken Seite wählt man den Unterordner »Betriebssystemlaufwerke« und doppelklickt auf der rechten Seite auf den Eintrag »Zusätzliche Authentifizierung beim Start anfordern«. Auch hier muss wieder die Option »Aktiviert« gewählt werden. Möchte man den TPM-Chip nicht nutzen, muss das Häkchen bei »BitLocker ohne kompatibles TPM zulassen« gesetzt sein. Auch die nachfolgenden Einstellungen zu Passwort (PIN) und Schlüsseldatei können entsprechend den eigenen Wünschen gesetzt werden.

Dieses Fenster kann jetzt wieder geschlossen werden und es geht weiter im Windows-Explorer, wo man mit der rechten Maustaste auf das Betriebssystem-Laufwerk (meist C:) klickt, »Bitlocker aktivieren« wählt und die Laufwerksverschlüsselung startet. Je nach Größe des Laufwerks dauert der Verschlüsselungsvorgang zwischen einer und mehreren Stunden. Dabei ist es ratsam, den ungenutzten Platz des Laufwerks mit zu verschlüsseln, da sich dort Reste gelöschter Daten befinden können, die sonst für einen Angreifer lesbar bleiben. Die Abläufe beim Verschlüsseln der Festplatte zeigt dieses Video (auf Englisch). Am Ende darf nicht vergessen werden, den Wiederherstellungs­schlüssel zu sichern, am besten sowohl als Datei auf einem externen Laufwerk als auch als Ausdruck auf Papier.

Praxisverwaltungssysteme

Ich habe mir einen Überblick über die Verschlüsselung der Datenbank in vier verschiedenen Praxisverwaltungssystemen verschafft. In jeder Patientendatenbank befinden sich Daten im Klartext, aber Kompetenzunterschiede zwischen den Softwareanbietern in Sachen Sicherheit werden deutlich.

Will man sich den Inhalt einer Datenbank auf möglichst einfache Weise und ohne technische Vorkenntnisse ansehen, empfiehlt sich als Werkzeug ein Hexeditor. Wie der Name »Editor« sagt, könnte man damit auch Daten verändern, auf die Gefahr hin, dass anschließend das Praxisverwaltungssystem nicht mehr wie gewohnt funktioniert. Die Vorsilbe Hex- bezieht sich auf das 16-er Zahlensystem, das einen bewährten Kompromiss darstellt zwischen der menschlichen Gewohnheit, im 10-er Zahlensystem zu denken und der Hardware des Computers, die nur die Zustände 0 und 1 kennt. Ein Hexeditor ist ein Programm, mit dem man Daten unabhängig von ihrer Bedeutung und von dem Programm, aus dem sie stammen, ansehen und bearbeiten kann. Dennoch wird in der rechten Spalte angezeigt, wie der Inhalt einer Datei aussieht, würde man ihn als Text lesen. Sieht man hier Patientennamen, Versichertennummern oder Diagnosebezeichnungen, dann ist die Datei entweder gar nicht oder nicht vollständig verschlüsselt. Auf Rechnern mit installiertem Praxisverwaltungssystem besonders leicht zu nutzen, ist dieser in der Programmiersprache Java geschriebene Hexeditor: https://github.com/javadev/hexeditor/blob/master/hexeditor.jar.

Nach Klick auf »Download« kann er auf die Festplatte heruntergeladen und ohne Installation per Doppelklick direkt gestartet werden. Zum Ausführen der Datei wird die Java-Laufzeitumgebung benö­tigt, die als Voraussetzung für das Erstellen der KV-Quartalsabrechnungen als Teil des Praxisverwal­tungssystems schon installiert ist. Die folgenden Praxisverwaltungssysteme habe ich mir angeschaut:

Psyprax (36% Marktanteil)
  https://www.psyprax.de
Download-Größe: 575 MB
Hauptdatenbank: \ProgramData\Psyprax32\DB\psyprax.fdb
Datenbankformat: Firebird Embedded 2.1.1
Elefant (32% Marktanteil)
  https://www.hasomed.de
Download-Größe: 998 MB
Hauptdatenbank: \Elefant\ELEFANT.GDB
Datenbankformat: Firebird 2.0.1
Smarty (10% Marktanteil)
  https://www.smarty-online.de
Download-Größe: 834 MB
Hauptdatenbank: \Smarty\Database\data.mdb
Datenbankformat: Microsoft Jet-Datenbank Version 4.0

Epikur (9% Marktanteil)

Epikur für Linux Ubuntu
  https://www.epikur.de
Download-Größe: 1602 MB
Hauptdatenbank: /home/[Benutzer]/Epikur4/db/epikurdb.h2.db
Datenbankformat: H2 Database Engine
Epikur für Windows
  https://www.epikur.de
Download-Größe: 1574 MB
Hauptdatenbank: \Users\[Benutzer]\Epikur4\db\epikurdb.h2.db
Datenbankformat: H2 Database Engine

Das Praxisverwaltungssystem Psychodat (https://www.ergosoft.info, 7% Marktanteil) habe ich mir nicht angeschaut, da es laut Kassenärztlicher Bundesvereinigung wenig verbreitet ist und eine Testversion nur nach Anmeldung beim Hersteller heruntergeladen werden kann.

Alle verwendeten Datenbankformate sind entweder quelloffen (Firebird, H2) oder die wesentlichen Teile ihres Aufbaus wurden durch Dritte rekonstruiert und veröffentlicht (Microsoft Jet). Die trügerische Sicherheit durch Unklarheit schätze ich so bei allen Praxisverwaltungssystemen als gering ein. Dass die Funktionsweise der Datenbanken in allen Fällen schon durch zahlreiche Dritte nachvollzogen wurde, sehe ich als positiv, da ein aus unverständlichen Datenbankformaten resultierendes Wissensdefizit sich gegen alle Beteiligten richten würde.

Kunden sollten sich im Klaren darüber sein, dass es nicht die Aufgabe von Software ist, möglichst unverständlich zu sein. Auch deshalb erhielte unter jedem Praxisverwaltungssystem und in jedem denkbaren Szenario ein Trojaner zumindest auf eine Teilmenge der Patientendaten Zugriff. Zugriff kann auch das Verändern oder Löschen von Daten bedeuten.

Softwarehersteller sollten einen »Schlüssel unter der Fußmatte« nicht mit kryptografischer Sicherheit verwechseln. So legt eine Google-Suche über das von Smarty genutzte Microsoft-Access-Datenbank­format nahe, dass das Datenbankpasswort mit dem unsicheren RC4-Algorithmus verfremdet und in der Datenbankdatei selbst gespeichert ist.

Bemerkenswert am Praxisverwaltungssystem Elefant ist das Angebot eines verschlüsselten Modus gegen einen Aufpreis von 3 Euro monatlich. Patientendatenschutz wird als Zusatzmodul verkauft. Das unterstreicht den Eindruck, dass in Praxisverwaltungssystemen für Psychotherapie bestmöglicher Datenschutz nicht Standard ist, sondern eine Frage des Geldes und der Zeit. Getestet habe ich das Angebot nicht, weil ich den zeitlichen Aufwand dafür scheue. Datenschutz mit Ein- und Ausschalter macht mich zumindest misstrauisch.

Auch bei Epikur ist von einer »Möglichkeit der Datenbankverschlüsselung (AES)« die Rede. Weiter oben auf derselben Seite beruft Epikur sich auf Sicherheit durch Unklarheit: »Dokumente im Archivordner sind in einem von uns programmierten Dateiformat gespeichert«. Beides habe ich nicht getestet, den Interpretationsspielraum dieser Aussagen kann ich deshalb nicht erhellen.

Im Kontrast dazu fällt die Website von Psyprax wohltuend durch die Abwesenheit von Rätselhaftigkeit auf. Dafür trifft Psyprax eine klare Aussage zur Telematikinfrastruktur: »Wir wollten die TI auch nicht. Allerdings scheint sie nicht mehr aufzuhalten zu sein. Widerstand durch nicht-Mitmachen wird sie auch nicht aufhalten.«

Wer bei laufendem Rechner am besten gegen Trojaner geschützt sein will, könnte seine Zeit in Linux Ubuntu und Epikur investieren und dafür etwas Geld sparen. Wer Geld ausgeben, bei Windows bleiben und bei ausgeschaltetem Rechner mehr verschlüsseln will als nur die Patientendatenbank, sollte über das Upgrade auf Windows Pro mit BitLocker nachdenken. Das ist zeitlich unbegrenzt und kostet so viel wie 40 Monate Elefant-Datenschutzmodul.

Der einzige Anbieter, der zum Überprüfen eines fehlerfreien Downloads der Installationsdatei eine Prüfsumme bereitstellt, ist Smarty. Stimmt die Prüfsumme der fertig heruntergeladenen Datei mit der Angabe im Downloadbereich des Softwareanbieters überein, ist sichergestellt, dass die Datei zwischenzeitlich nicht verändert oder gehackt oder beim Herunterladen am Ende abgeschnitten wurde. Um das zu überprüfen, öffnet man im Programme-Menü im Ordner Windows-System die Eingabeaufforderung (alternativ dazu Windows-Logo-Taste + R und cmd öffnen). Dort gibt man den folgenden Befehl (auf Benutzer- und Dateiname angepasst) ein, drückt die Eingabetaste und wartet, bis die Prüfsumme erscheint:

CertUtil -hashfile C:\Users\[Benutzer]\Downloads\Smarty-PT-XXX-Setup.exe MD5

So ist der Befund meiner Tests dreifach:

  1. Ab dem Zeitpunkt, an dem bei laufendem Rechner über einen Trojaner mit Hintertür Patientendaten abgegriffen werden können, gibt es dem wenig entgegenzusetzen. Dann muss der Rechner nur einmal Kontakt zum Internet aufnehmen und der Angreifer benötigt kaum mehr Wissen, als eine sorgfältige Google-Suche zutage fördert. Dabei kann der Angreifer unter Windows aus einem wesentlich umfangreicheren Werkzeugkasten schöpfen als unter Linux. Durch den Einsatz eines sehr starken Passwortes oder kryptografischen Schlüssels für die Patientendatenbank und die weiteren Dokumente außerhalb ließe sich vielleicht der Umfang der ausgespähten Daten reduzieren. Aber auch das hinge von der Art und der Professionalität des Angriffs ab.

  2. Jemand, der einen ausgeschalteten Rechner unbefugt wieder einschaltet, wird von einer Festplattenverschlüsselung sehr wirksam am Lesen und Schreiben von Daten gehindert. Das folgt aus den Gesetzen der Statistik und ist weitgehend unabhängig vom genutzten Betriebssystem und vom Wissen des Angreifers.

  3. Datensicherheit darf nicht vom Besitz der größeren intellektuellen oder technischen Fähigkeiten abhängen, nach dem Motto: Wer das Rätsel löst, dem gehören die Daten. Datensicherheit soll auf dem Besitz eines Geheimnisses beruhen, das auch mit großen intellektuellen und technischen Möglichkeiten praktisch nicht erraten werden kann.

 

Bildquelle: Daniel Stori @ turnoff.us.

Welches PVS für Psychotherapie hat die sicherste Datenbank?

Beitragsnavigation