Donnerstag, 9. April 2020

IT-Sicherheit auch in Krisenzeiten wichtig!

Bei den sich derzeit überschlagenden Ereignissen in der Corona-Pandemie treten Viren für die IT-Infrastruktur (Trojaner, Schadcode, Malware) schnell in den Hintergrund.

Dennoch ist es wichtig, auf die praktischen Aspekte der IT-Sicherheit zu achten – nichts könnten beispielsweise Krankenhäuser und Arztpraxis weniger gebrauchten als eine Infektion der Computer mit Schadsoftware, die den IT-Betrieb für Tage lahmlegt.

Ein praktisches Problem besteht darin, dass viele Dokumente schnell per E-Mail ausgetauscht werden. Dabei gibt es unkritische Dateiformate, aber auch solche, die Schadcode beinhalten können. Daher wurden im Rahmen der Emotet-Welle verstärkt gefährlichen Dateiformate herausgefiltert (etwa Dateien mit Makros), von Hand nachbearbeitet (kontrolliert, ggf. weitergegeben) oder sogar vollständig blockiert. Dies erfolgt meist pauschal am zentralen E-Mail-Eingang – unabhängig von Absenderadressen.

Weil Dokumente häufig zeitkritisch sind, werden sie jetzt teilweise wieder ungeprüft zugestellt oder wichtige Dokumente kommen wegen der notwendigen Prüfung verspätet an. Beides ist zu vermeiden.

Ein Beitrag zur Lösung des Problems ist, Dateien im richtigen Datenformat zu versenden. Dabei ist es zunächst wichtig zu verstehen, welche Unterschiede die Formate mit sich bringen. Sogenannte offene Formate wie .docx, .xlsx oder .odt enthalten bearbeitbare Dokumente. Wer eine solche Datei empfängt, kann sie zumeist problemlos bearbeiten. Häufig ist dies erwünscht oder sogar notwendig. Offene Dateien können jedoch oftmals auch problematische Inhalte wie Makros oder Scripte enthalten, also kleine Programme, die mitunter schadhafter Natur sein können. Daher werden sie teilweise automatisiert herausgefiltert.

Geschlossene Dateiformate wie .pdf bieten stark eingeschränkte Bearbeitungsmöglichkeiten und sind als Papier-Ersatz gedacht. Hier können sich auch weniger Schadfunktionen verbergen.

Vor diesem Hintergrund gibt es – je nach Anwendungszweck – mehr oder weniger geeignete Dateiformate.

  • Wenn Dateien nur Informationen (wie etwa Pressemitteilungen) transportieren, aber nicht weiterverarbeitet werden sollen, sind Dateiformate wie .pdf geeignet. Sie können mit typischer Bürokommunikationssoftware (z. B. MS Office, LibreOffice) direkt erzeugt werden (beim Speichern das Datenformat "pdf" wählen, oder als "pdf exportieren") – dies sind nur wenige Mausklicks.
    [Hinweis: Ebenso wie in Word-Dokumenten können in solchen PDF-Dateien weiterhin Metadaten enthalten sein, etwa Autorennamen, Überarbeitungen, Uhrzeiten, Versionsverläufe etc. Sie sind daher unter Umständen nicht für eine unmittelbare Veröffentlichung, etwa auf Webseiten, geeignet, sondern müssen entsprechend nachbearbeitet werden.]
  • Auch aus pdf-Dateien lässt sich Text wieder extrahieren – wer wenige Zeilen Text aus empfangenen Dokumenten kopieren muss, benötigt dafür keine Word/Writer-Datei.
  • Sollen die Empfangenden Dateien weiterverarbeiten und zurücksenden (etwa Ergänzungen vornehmen, Einträge hinzufügen, etc.), kann ebenfalls das PDF-Format geeignet sein. Anmerkungen lassen sich mit entsprechenden PDF-Betrachtern bereits in normalen PDF-Dokumenten hinterlassen. Sollen größere Datenmengen abgefragt werden, sind PDF-Formulare sinnvoll.
  • E-Mails als solche sind auch "bearbeitbar", etwa wenn es sich um Ergänzungen im Text handelt, die in eine Antwort eingefügt werden können. Angänge sind dann nicht erforderlich.
  • Vermieden werden sollten Dateien mit Makros, da solche Dateien aus gutem Grund herausgefiltert werden oder die Nutzung von Makros schlicht technisch unterbunden wird. Auch Tabellen lassen sich, wenn es nicht um automatische Auswertungen geht, in unkritischen Dateiformaten wie .csv abspeichern.
  • Sollte der Einsatz von Makros oder Scripten aus funktionalen Gründen notwendig sein, sollten der Einsatz und die zu treffenden Schutzmaßnahmen zwischen Absender und Empfänger abgesprochen werden (etwa Speicherung und Ausführung empfangener Dateien in bestimmten Unterordnern, Software-Signaturen, Passwortschutz von Dateien).
  • Alternativ zur E-Mail können auch gesicherte Datenaustauschportale (der Absendenden, der Empfangenden oder von ihnen beauftragter vertrauenswürdiger Dienstleister) genutzt werden, bei denen Dateien nach Nutzerüberprüfung per Upload/Download übertragen werden, etwa über Webportale: In diesem Fällen ist es unwahrscheinlich, dass es einem Angreifer gelingt, Dateien mit Schadcode dort abzulegen.
Dienstag, 17. März 2020

Datensammlung wegen des Coronavirus (SARS-CoV-2) und Datenschutz

Die Landkreise und kreisfreien Städte des Landes haben auf Grundlage eines Erlasses der Landesregierung zur weiteren Eindämmung der Ausbreitung des Coronavirus (SARS-CoV-2) Allgemeinverfügungen zu diesem Zweck erlassen. So hat beispielsweise die Stadt Kiel am 16.03.2020 eine Allgemeinverfügung zum Verbot und zur Beschränkung von Kontakten in besonderen öffentlichen Bereichen der Landeshauptstadt Kiel veröffentlicht (Änderung der Allgemeinverfügung vom 14.03.2020).

"Datensammlung wegen des Coronavirus (SARS-CoV-2) und Datenschutz" vollständig lesen
Freitag, 25. Mai 2018

Die Datenschutz-Grundverordnung tritt in Kraft – das müssen selbstständige Heilberufler beachten

Am 25. Mai 2018 tritt die im Jahr 2016 verabschiedete EU-Datenschutz-Grundverordnung (DSGVO) vollständig in Kraft. Sie wird dann die wesentlichen in Deutschland und den anderen EU-Mitgliedstaaten anzuwendenden Vorschriften über den Datenschutz enthalten. Ergänzend finden sich für Heilberufler einzelne Konkretisierungen im neuen Teil 2 des Bundesdatenschutzgesetzes (BDSG), das am gleichen Tag in Kraft tritt.

"Die Datenschutz-Grundverordnung tritt in Kraft – das müssen selbstständige Heilberufler beachten" vollständig lesen
Freitag, 25. Mai 2018

Datenschutz-Selbst-Check - Datenschutz als Qualitätszeichen

Gemeinsam mit der Ärzte- und der Zahnärztekammer Schleswig-Holstein hat das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) einen „Datenschutz-Selbst-Check“ für Arzt- und Zahnarztpraxen erarbeitet.

"Datenschutz-Selbst-Check - Datenschutz als Qualitätszeichen" vollständig lesen
Dienstag, 24. Oktober 2017

Weitergabe von Patientendaten über Unfallbetroffene an Polizei

Zwischen Krankenhausärzten bzw. Krankenhausverwaltungen und der Polizei kommt es immer wieder zu Konflikten bzgl. der Frage, unter welchen Voraussetzungen Patienteninformationen über Beteiligte an Verkehrsunfällen an die Polizei offenbart werden dürfen oder gar müssen. Der Beitrag zeigt die Möglichkeiten der Information, aber auch deren Grenzen auf.

"Weitergabe von Patientendaten über Unfallbetroffene an Polizei " vollständig lesen
Freitag, 10. März 2017

Kieferorthopädische Behandlung mit Zuhörern und Zuschauern

Wie ist die zeitgleiche Behandlung mehrerer Patienten in einem Behandlungsraum datenschutzrechtlich zu bewerten? Welche Anforderungen werden an eine wirksame Einwilligungserklärung der Patienten in diese Behandlungsform gestellt? Welche Daten dürfen keinesfalls an Dritte übermittelt werden? Dieser Bericht soll aufzeigen, was bei einer Behandlung von mehreren Patienten in einem Behandlungsraum beachtet werden muss.

"Kieferorthopädische Behandlung mit Zuhörern und Zuschauern" vollständig lesen
Freitag, 10. März 2017

OH KIS - Orientierungshilfe Krankenhausinformationssysteme

Die OH KIS enthält im Teil 1 eine Darstellung der rechtlichen Rahmenbedingungen für den Einsatz von Krankenhausinformationssytemen. Im Teil 2 erfolgt eine Darstellung der technischen Anforderungen an die Gestaltung und den Betrieb von Krankenhausinformatiossystemen.

"OH KIS - Orientierungshilfe Krankenhausinformationssysteme" vollständig lesen
Donnerstag, 9. März 2017

Verfahren beim Landesamt für soziale Dienste (LAsD) für ärztliche Auskunftsersuchen in Verfahren nach dem Schwerbehindertenrecht

In Feststellungsverfahren nach dem Schwerbehindertenrecht ist das zuständige Landesamt für soziale Dienste (LAsD) zur Entscheidung über die Feststellung der Behinderung häufig auf Auskünfte der behandelnden Ärzte angewiesen. Die Antragsteller werden daher regelmäßig gebeten, mit ihrem Antrag auf Feststellung der Schwerbehinderteneigenschaft die in dieser Angelegenheit behandelnden Ärzte von der Schweigepflicht zu entbinden. Auf der Grundlage dieser Schweigepflichtentbindungserklärungen fordert das LAsD von den Ärzten medizinische Auskünfte und Unterlagen an. Hat der Antragsteller die Ärzte von ihrer Schweigepflicht entbunden, so sind diese gemäß § 100 Sozialgesetzbuch X (SGB X) verpflichtet, dem LAsD auf Verlangen Auskunft im erforderlichen Umfang zu erteilen.

"Verfahren beim Landesamt für soziale Dienste (LAsD) für ärztliche Auskunftsersuchen in Verfahren nach dem Schwerbehindertenrecht" vollständig lesen
Donnerstag, 9. März 2017

Patientengeheimnis: Vertrauen ist gut – doch eine Kontrolle soll wegfallen!? Drohende Verschlechterungen im Entwurf für das neue Bundesdatenschutzgesetz

Mit dem Datenschutzanpassungs- und Umsetzungsgesetz, über das der Bundesrat morgen, am 10. März 2017, abstimmt, soll das Bundesdatenschutzgesetz an die europäische Datenschutz-Grundverordnung angepasst werden. Nachbesserungen sind dringend nötig.
"Patientengeheimnis: Vertrauen ist gut – doch eine Kontrolle soll wegfallen!? Drohende Verschlechterungen im Entwurf für das neue Bundesdatenschutzgesetz" vollständig lesen
Dienstag, 6. Dezember 2016

Gesundheitsprodukte: Wenn der Blutdruckmesser mit der Zahnbürste spricht

Gesundheit kann man nicht verschenken, aber doch zumindest Gesundheitsprodukte. Seien es Blutdruckmessgeräte, Waagen oder auch Hilfen für Diabetiker – die App-Unterstützung und Online-Datenverarbeitung ist bei vielen Geräten Bestandteil der Infrastruktur. Das bedeutet aber auch, dass sensible Gesundheitsdaten in die Hände Dritter gelangen können. Wie bei den Wearables ist es dabei für den Nutzer kaum möglich, den Überblick über Dienstleister, Zugriffsmöglichkeiten und Server-Standorte und zu behalten.

Der Beschenkte sollte daher stets überlegen, ob er die Online-Funktionen der Geräte wirklich benötigt. In der Regel können diese abgeschaltet werden. Ist hingegen gerade der Zugriff auf die Gesundheitsdaten über das Internet gewollt, sollte zumindest ein Pseudonym bei der Anmeldung zu dem Dienst genutzt werden. Dies erschwert die Zuordnung zur eigenen Person für den Betreiber bzw. Dritte. Unmöglich wird die Identifikation dadurch jedoch nicht, da jeder Online-Zugriff auf die Daten weitere Kennungen und andere Identifikatoren mitsendet, die in vielen Fällen mit wenig Aufwand eindeutige Zuordnungen der Daten ermöglichen.

Wird die Übermittlung von Daten an den behandelnden Arzt angeboten, so sollte dieses nur verschlüsselt erfolgen. Eine einfache E-Mail zur Übermittlung der Daten ohne Verschlüsselung könnte von Dritten mitgelesen und ausgewertet werden.

Auch die Erotik-Branche hat inzwischen die Verbindung von physischen Geräten mit dem Internet für sich entdeckt. App-gesteuertes Sexspielzeug ermöglicht das gemeinsame Erlebnis, selbst wenn ein Partner viele Kilometer entfernt ist. Allerdings nutzen diese Geräte Dienstleister, um die Verbindung herzustellen und die Daten zur Steuerung zu übermitteln. Beispiele aus der Vergangenheit zeigen, dass diese Anbieter – so zumindest in einem Fall geschehen – ausführliche Protokolle erstellen können, die detaillierte Aussagen über das Sexualleben der beteiligten Personen (Häufigkeit, Abwesenheit des Partners, Zeiten, ggf. sogar mittels der verwendeten IP-Adresse den Ort) ermöglichen.