"gerichtsfeste" Datensicherung

Fragen, Anregungen oder Tipps und Tricks? Hier ist der erste Anlaufpunkt.
Nicht sicher, wo ein Thema hingehört? Hier hinein - wir kümmern uns! :)

Moderator: Forum Moderatoren

Forumsregeln
TM-Startforum - "offen für alle Themen".
Beiträge, die in einen anderen Bereich passen, werden bei Bedarf verschoben.
Benutzeravatar
Nobbie
Beiträge: 1647
Registriert: Samstag 27. Juli 2013, 11:42
10
Bedankt: 1 time

Re: "gerichtsfeste" Datensicherung

Beitrag von Nobbie »

Hallo,
ich kann nur wärmstens Revilock empfehlen, das nutzen wir seit ca 1/2 Jahr. Die revisionssichere Datensicherung erfolgt täglich nachts, das Netzwerk wird hierdurch im Tagesbetrieb nicht beeinträchtigt und wir haben alle möglichen juristischen Winkelzüge vom Hals. Und das alles zu einem angemessenen Preis ohne Softwarepflegekosten!

mfg Nobbie
Gruß Nobbie

Ich werde keine frühe Turbomed - Downloadversion installieren
Benutzeravatar
wahnfried
PowerUser
Beiträge: 3180
Registriert: Freitag 13. Januar 2006, 23:46
18
Wohnort: Braunschweig

Re: "gerichtsfeste" Datensicherung

Beitrag von wahnfried »

Hallo allerseits,

das Argument, dass ein hash-Wert nicht hundertprozent sicher sei, mag theoretisch korrekt sein. Das Manipulieren eines hash-Wertes erfordert also welche Veränderungen an einer Datei, damit hinterher das gleiche als hash herauskommt: Das sind m.E. mit Sicherheit nicht die Veränderungen, die zu einer im Sinne von Verschleierung veränderten Dokumentation erforderlich wären.

Selbst wenn man es schaffen könnte, die gewünschte Manipulation der Dokumentation so zu kompensieren, dass ein gleicher hash-Wert herauskommt (was m.E. nicht vorab in Klartext übersetzt werden, sondern nur nach "Veränderung und dann prüfen, ob gleicher hash-Wert oder nicht" erfolgen kann...). ist es doch unmöglich, dies gleichzeitig für zwei hash-Werte hinzubekommen - und dann ggfs für deren 5???

Die Methode, den ermittelten Hash-Wert per email zu versenden, dann auszudrucken und mit Unterschriften abzuheften, gibt dann noch eine Überprüfungsmöglichkeit der zeitnahen Erstellung (und sollte vielleicht noch mit "MyDokuStamp" kombinierbar gemacht werden).

Die kriminelle Energie, die nötig wäre, dies zu überlisten (falls überhaupt denkbar), ist in einer Arztpraxis weder zeitlich noch finanziell stemmbar.

behauptet Wahnfried
Macros
Beiträge: 284
Registriert: Mittwoch 22. Oktober 2014, 10:25
9
Bedankt: 1 time

Re: "gerichtsfeste" Datensicherung

Beitrag von Macros »

Geigenberger hat geschrieben:
Meckelein hat geschrieben: ...Im Wortlaut "Berichtigungen und Änderungen von Eintragungen in der Patientenakte sind nur zulässig, wenn neben dem ursprünglichen Inhalt erkennbar bleibt, wann sie vorgenommen worden sind. Dies ist auch für elektronisch geführte Patientenakten sicherzustellen."

Wenn man ein entsprechendes Hash-Verfahren für seine Datensicherungen einigermaßen regelmäßig macht, dann kommt man dieser Forderung wenigstens ein wenig näher.

Ansonsten erfüllt kein Arztprogramm diese Forderung des Gesetzgebers. Und dennoch sind diese Programme von der KV , einer "Körperschaft des öffentlichen Rechts" zugelassen!!? Rechtswidrig zugelassen?

A. Geigenberger

http://vondoczudoc.de/viewtopic.php?f=33&t=5558#p33139
Geigenberger hat geschrieben:... und schon wieder läßt uns die KV - wie beim Kapitel Datensicherheit und Datenschutz - im Stich! Warum wird eine solche Revisionssicherheit bei der Zertifizierung von Arztsoftware nicht zwingend vorgeschrieben? Sonst wird doch auch jede Kleinigkeit reglementiert!
A. Geigenberger
Also ich kenne mindestens 2 Programme die das können.
Epikur und IXX.Concept
Da es ixx Concept kann, würde ich fast vermuten dass es auch Medatixx kann ....
Benutzeravatar
Geigenberger
PowerUser
Beiträge: 1302
Registriert: Dienstag 9. Dezember 2003, 22:26
20
Bedankt: 3 times

Re: "gerichtsfeste" Datensicherung

Beitrag von Geigenberger »

wahnfried hat geschrieben:Die Methode, den ermittelten Hash-Wert per email zu versenden, dann auszudrucken und mit Unterschriften abzuheften, gibt dann noch eine Überprüfungsmöglichkeit der zeitnahen Erstellung (und sollte vielleicht noch mit "MyDokuStamp" kombinierbar gemacht werden).

Die kriminelle Energie, die nötig wäre, dies zu überlisten (falls überhaupt denkbar), ist in einer Arztpraxis weder zeitlich noch finanziell stemmbar.

behauptet Wahnfried
Hallo und Guten Abend,

@Wahnfried: ... Wie Sie das Procedere des e-mail Versands meinen, verstehe ich wahrscheinlich nicht richtig. Das von "MyDokuStamp" generierte - und zum Ausdruck vorgesehene - Textfile kann man ja so und so per email an beliebige Adressen mit "Bordmitteln" nach der Erstellung und sehr zeitnah versenden, wodurch dann erneut ein zeitlicher Bezug dokumentiert wäre.
(Senden Sie mir gerne regelmäßig Ihre Hashcodes und ich stehe für Sie jederzeit gerne als Zeuge zur Verfügung, wann ich die einzelnen Mails erhalten habe :) )
Und weiter: 5 (Fünf!!) Hashcodes so zu überlisten, dass nach Veränderungen am Text bei allen Fünfen wieder der gleiche Hashcode generiert wird UND gleichzeitig der veränderte Text auch noch einen Sinn ergibt dürfte absolut unmöglich sein.

Aber um die allerletzten Zweifel bzgl. Manipulationsmöglichkeiten auszuräumen: Es gibt ein Update! :) 8)
"MyDokuStamp" kann nun die Datei vorher auch noch sehr einfach(!!) verschlüsseln. Dabei wird die Datei gleichzeitig erheblich komprimiert.
Wenn man nun bei so einem GPG-File auch nur 1(!) Buchstaben verändert, dann läßt sich das File auch mit dem richtigen Passwort nicht mehr entschlüsseln! Und dann gibts da noch die Hashcodes...

Die Windows- und Linux-Version: [upgedatet am 3.11.2015]
http://www.MyDownloads.n-bay.de/MyDokuStamp.zip

Bei all diesen technischen Fragen muss ich aber natürlich auch "Ewerker" recht geben: Was nützt eine technisch perfekte Methode, wenn diese dann vor Gericht trotzdem nicht anerkannt wird. Halte ich aber dennoch für unwahrscheinlich - und wohl auch für Unrecht: Denn was soll bewiesen werden: Für einen bestimmten Datenbestand zu einem bestimmten Zeitpunkt der Vergangenheit muss zweifelsfrei bewiesen werden, dass dieser Datenbestand 1. damals so war und 2. bis zum aktuellen Zeitpunkt nicht verändert worden ist. Und dies wird zweifellos mit Hascodes bewiesen.

Viele Grüße
A. Geigenberger

P.S.: "MyDokuStamp" eignet sich im übrigen für jegliche Verschlüsselungsaufgaben hervorragend als ausgesprochen einfach zu bedienendes Programm!
Sapias, vina liques et spatio brevi spem longam reseces... carpe diem, quam minimum credula postero [Horaz]
"Sei klug, gönn dir noch ein Glas Wein ein und hoffe auf nichts weiter. ... Genieße den Tag, und vertraue möglichst wenig auf den folgenden!"
danspie
PowerUser
Beiträge: 858
Registriert: Samstag 15. Juli 2006, 08:48
17
Wohnort: Murnau

Re: "gerichtsfeste" Datensicherung

Beitrag von danspie »

wahnfried schrieb:
Die Methode, den ermittelten Hash-Wert per email zu versenden, dann auszudrucken und mit Unterschriften abzuheften, gibt dann noch eine Überprüfungsmöglichkeit der zeitnahen Erstellung (und sollte vielleicht noch mit "MyDokuStamp" kombinierbar gemacht werden).

Die kriminelle Energie, die nötig wäre, dies zu überlisten (falls überhaupt denkbar), ist in einer Arztpraxis weder zeitlich noch finanziell stemmbar.

behauptet Wahnfried
.. und man müsste diesen Aufwand ja für alle Sicherung seit der zu überprüfenden Dokumentation zu machen, die bei einem Gerichtsverfahren ja schon einige Zeit zurück liegen dürfte - dies dürfte selbst größere Unternehmen vor nicht zu überwindende Probleme stellen ..........
lapins
PowerUser
Beiträge: 494
Registriert: Donnerstag 7. April 2005, 12:44
18
Wohnort: Heckental
Hat sich bedankt: 1 time
Bedankt: 1 time

Re: "gerichtsfeste" Datensicherung

Beitrag von lapins »

ismiralleszukompliziert, bevor Ich unnötig Arbeit mach, die dann vor Gericht eh nix nutzt machiliebernix.
Benutzeravatar
DrHJvdB
Beiträge: 524
Registriert: Mittwoch 4. Januar 2012, 11:34
12
Wohnort: 24114 Kiel
Kontaktdaten:

Re: "gerichtsfeste" Datensicherung

Beitrag von DrHJvdB »

Ich frag mich ja, ob unsere demnächst erscheinende Programmversion unter den Kritikern hier als 'sicher' gilt:
bei uns wird es so sein, dass man bei Änderungen einer Zeile den vorherigen Zustand, also die Historie, lesend einsehen kann, hingegen nicht schreibend drauf zugreifen kann...
Benutzeravatar
RAMöller
Beiträge: 1311
Registriert: Montag 4. Januar 2010, 20:42
14
Hat sich bedankt: 3 times
Bedankt: 13 times

Re: "gerichtsfeste" Datensicherung

Beitrag von RAMöller »

@DrHJvdB

Das klingt wirklich gut. Alkerdings sollte es möglich sein, die Option abschalten zu können, es benötigt nicht jeder.
Benutzeravatar
Geigenberger
PowerUser
Beiträge: 1302
Registriert: Dienstag 9. Dezember 2003, 22:26
20
Bedankt: 3 times

Re: "gerichtsfeste" Datensicherung

Beitrag von Geigenberger »

Um Daten in Datenbanken abzusichern ist es nach meinem Wissen nötig, die Server "wegzusperren". Denn wer Zugriff auf die Hardware hat, hat auch Zugriff auf die Daten. Der T2Med-Server steht aber in jeder Arztpraxis und Sie werden ja wahrscheinlich den jeweiligen Praxis-Chefs beim Unterschreiben des T2-Med-Vertrags nicht den Schlüssel zu ihrem Server-Raum abnehmen. :shock:

Und für PostgreSQL gibts ähnliche Administrations-Tools wie für MySQL oder SQLite:
http://www.heise.de/download/phppgadmin ... &hgf=false
http://pgadmin.org/

Und so dürfte es nicht sonderlich schwer sein, die Tabellen- und Datenstruktur der T2Med-Datenbank zu analysieren und beliebige Datenfelder "abseits" des T2-Med-Programms zu editieren und zu verändern.

Ich weiß nicht, wie man an das "Admin-Passwort" herankommt und wie gut es gelingen kann, bundesweit dieses Admin-Passwort dauerhaft geheim zu halten. Insgesamt dürfte dies aber das geringste Problem sein.
Außerdem: Sind Sie, sehr geehrter Herr von der Burchard nicht ein glühender Verfechter des Statements: Der Arzt muss Herr über seine Daten bleiben???

Weiterhin fällt mir gerade ein: Der Anwender wird ja auch ein Dump-File (Datensicherung der gesamten Datenbank) machen können:
http://www.postgresql.org/docs/9.1/stat ... -dump.html
Auch dieses File wird man ja recht einfach mit einem Editor öffnen, Inhalte ganz gezielt ändern und dann in geänderter Form in die Datenbank wieder rücksichern können.

meint
A. Geigenberger
(habe aber bzgl Datenbanken nur ein recht oberflächliches Amateurwissen. Profis habe da sicher gaanz andere Tricks und Tools auf Lager!!)
Sapias, vina liques et spatio brevi spem longam reseces... carpe diem, quam minimum credula postero [Horaz]
"Sei klug, gönn dir noch ein Glas Wein ein und hoffe auf nichts weiter. ... Genieße den Tag, und vertraue möglichst wenig auf den folgenden!"
Benutzeravatar
EXEWERKER
Beiträge: 807
Registriert: Freitag 12. Februar 2010, 12:43
14
Wohnort: Leipzig
Hat sich bedankt: 1 time
Bedankt: 3 times

Re: "gerichtsfeste" Datensicherung

Beitrag von EXEWERKER »

Da wären wir erneut beim Thema "nachweisliche Unveränderbarkeit" z.B. mit WORM und schon drehen wir uns wieder im Kreise.....:-)
EX EWERKER :-)
Benutzeravatar
Geigenberger
PowerUser
Beiträge: 1302
Registriert: Dienstag 9. Dezember 2003, 22:26
20
Bedankt: 3 times

Re: "gerichtsfeste" Datensicherung

Beitrag von Geigenberger »

Jaa.. :) Stimmt!
und da wären wir wieder da -> http://www.vondoczudoc.de/viewtopic.php ... 651#p33905

Guten Morgen!
A. Geigenberger

Zwei Bemerkungen/Fragen:
1. Was ist "WORM"?
2. Mit Verlaub und bei allem Respekt, Herr von der Burchard: Aber haben Sie wirklich geglaubt, ein Zugriff auf eine T2-Med-PostgreSQL-Datenbank sei nur mit dem T2Med-Programm möglich?? Und bitte sagen Sie jetzt nicht, dass das Editieren einer Datenbank mit den oben genannten Tools nur was für halbkriminelle Nerds ist und nur in verrauchten und mit Pizzaschachteln zugemüllten Hinterhof-Baracken stattfindet.
Sapias, vina liques et spatio brevi spem longam reseces... carpe diem, quam minimum credula postero [Horaz]
"Sei klug, gönn dir noch ein Glas Wein ein und hoffe auf nichts weiter. ... Genieße den Tag, und vertraue möglichst wenig auf den folgenden!"
Benutzeravatar
EXEWERKER
Beiträge: 807
Registriert: Freitag 12. Februar 2010, 12:43
14
Wohnort: Leipzig
Hat sich bedankt: 1 time
Bedankt: 3 times

Re: "gerichtsfeste" Datensicherung

Beitrag von EXEWERKER »

Auf einem WORM Medium kann man nur einmal schreiben bzw. ergänzen, aber nie ändern oder löschen. Dies ist schon mal sicherer als nur in der "Anwendungsschicht" oder Datenbank ein paar Einträge gegen Änderungen zu sperren, sondern setzt auf dem physikalischen Medium an. Deshalb sind CD-R oder DVD-R quasi wie ein WORM zu betrachten. Grundsätzlich ist so etwas relativ sicher, wie auch viele Hash- oder Kryptoalgos. Wann ein solcher WORM erstellt wurde ist aber technisch schwer nachweisbar. Ein paar abhängige Zeugen können auch nicht wissen, wann genau dieser Datenträger mit welchem Inhalt erstellt wurde, deshalb benötigt man zur "Revisionsssicherheit" noch einen amtlichen Zeitstempel und ein paar Leute die das Verfahren absegnen (GDPdU/GoBS usw.)

Reklame: http://reseller.turbo-pacs.de/revilock-2/
EX EWERKER :-)
Benutzeravatar
Geigenberger
PowerUser
Beiträge: 1302
Registriert: Dienstag 9. Dezember 2003, 22:26
20
Bedankt: 3 times

Re: "gerichtsfeste" Datensicherung

Beitrag von Geigenberger »

... und was ist jetzt wieder "GDPdU/GoBS usw." :?: :|
Sapias, vina liques et spatio brevi spem longam reseces... carpe diem, quam minimum credula postero [Horaz]
"Sei klug, gönn dir noch ein Glas Wein ein und hoffe auf nichts weiter. ... Genieße den Tag, und vertraue möglichst wenig auf den folgenden!"
Benutzeravatar
EXEWERKER
Beiträge: 807
Registriert: Freitag 12. Februar 2010, 12:43
14
Wohnort: Leipzig
Hat sich bedankt: 1 time
Bedankt: 3 times

Re: "gerichtsfeste" Datensicherung

Beitrag von EXEWERKER »

Der Standard hierfür. Die deutsche Finanzverwaltung hat die bisher konkretesten Anforderungen an Revisionssicherheit formuliert, für Arztpraxen gibt es noch keinen gültigen Standard und die Daten enthalten ja auch Belege, Rechnungen usw.. Deshalb lassen sich die Hersteller das Archivierungsverfahren absegnen, neuerdings ist es wohl "GoBD" http://www.bundesfinanzministerium.de/C ... onFile&v=1 Dann kann relativ sicher sein, obwohl man noch immer keine Beweislastumkehr hat, wegen des Fehlens der Signatur hat. Aber so wird es kaum Zweifel geben. Wir haben z.B. ein Gutachten der KPMG (Wirtschaftsprüfer).
EX EWERKER :-)
danspie
PowerUser
Beiträge: 858
Registriert: Samstag 15. Juli 2006, 08:48
17
Wohnort: Murnau

Re: "gerichtsfeste" Datensicherung

Beitrag von danspie »

Wenn ich nach diesem Vorgehen Medizin mache, also dem Vorsatz, dass ich unter keinen Umständen gerichtlich belangt werden kann, dann könnte ich keinem Patienten raten, in meine Praxis zu kommen, da ich 1) nur dokumentiere 2) nichts mache, außer ihn woanders hin zu überweisen und zwar ausnahmslos oder ihn zu einer Unterschrift zu nötigen, dass er die verantwortung trägt, wenn er nicht sofort einen anderen Arzt aufsucht .........
Benutzeravatar
DrHJvdB
Beiträge: 524
Registriert: Mittwoch 4. Januar 2012, 11:34
12
Wohnort: 24114 Kiel
Kontaktdaten:

Re: "gerichtsfeste" Datensicherung

Beitrag von DrHJvdB »

Ich möchte das Thema nicht in seiner Wichtigkeit herabsetzen (wir wollen ja auch einiges dafür tun, s.o.), aber:

ich bin ja nun auch schon seit über 25 Jahren als Kassenarzt zugelassen und hatte diese Fragestellung noch niemals. Ich wurde noch nie gerichtlich belanmgt etc. So wird es doch den allermeisten Kollegen gehen.
Also: das Thema ist sicherlich wichtig, aber viel viel wichtiger finde ich persönlich Themen wie:

-Schnelligkeit des Programmes, z.B. des Laboblattes
-einfache Updates, guter Support
-tatsächliche Innovationen für uns Ärzte
-freie Verfügbarkeit über die eigenen Daten: BDT-SCHNITTSTELLE - also raus aus der totalen Ahängigkeit vom Softwarehersteller. Die Daten gehören der Praxis und deren Patienten, nicht dem Softwarehersteller!
Benutzeravatar
RAMöller
Beiträge: 1311
Registriert: Montag 4. Januar 2010, 20:42
14
Hat sich bedankt: 3 times
Bedankt: 13 times

Re: "gerichtsfeste" Datensicherung

Beitrag von RAMöller »

DrHJvdB hat geschrieben:Schnelligkeit des Programmes, z.B. des Laboblattes
-einfache Updates, guter Support
-tatsächliche Innovationen für uns Ärzte
-freie Verfügbarkeit über die eigenen Daten: BDT-SCHNITTSTELLE - also raus aus der totalen Ahängigkeit vom Softwarehersteller. Die Daten gehören der Praxis und deren Patienten, nicht dem Softwarehersteller!
Absolut einverstanden, Sie bekommen meine volle Zustimmung.
Diese Argumente waren übrigens der Grund, Turbomed als PVS zu nehmen.....
Meine bisherige Lebenserfahrung sagt mir hingegen, dass eine Wiederholung des gleichen Fehlers kein neues Ergebnis mit sich bringt.
So sorry :-)
Stefan
Beiträge: 546
Registriert: Dienstag 15. August 2006, 23:46
17
Wohnort: Land Brandenburg

Re: "gerichtsfeste" Datensicherung

Beitrag von Stefan »

Na werden wir doch mal konkreter.

Wir haben unsere zu sichernden Daten (Dateien & Ordner), die regelmäßig und zeitnah (schwammiger Begriff) gesichert werden müssen. Im Idealfall werden diese Daten dann mit einer "qualifizierten digitalen Signatur" (Elektronische Signatur) versehen. Diese beinhaltet auch einen Hash-Wert (Prüfsumme), der eine nachträglich Veränderung der Daten detektiert.

Weiterhin wird ein Zeitstempel erzeugt, der rechtssicher belegt, dass zum Zeitpunkt x die Daten vorgelegen haben.

Ob danach das Ganze auf einem WORM-Medium (WORM ; write once read multiple ; z.B. CD, DVD) gespeichert werden muss darüber lässt sich streiten. Durch die elektronische Signatur wird eine nachträgliche Veränderung ja erkannt aber man könnte ausschließen, dass einzelne Datensätze "verschwinden".


Für qualifizierte digitale Signaturen inkl. Zeitstempel listet die Bundesnetzagentur derzeit diese Anbieter auf: Zertifizierungsdiensteanbieter
Wollen für diesen Dienst natürlich Geld sehen. Mit dem elektronischen Heilberufsausweis (monatliche Kosten) soll eine "qualifizierte digitale Signatur" nach SigG übrigens möglich sein. Ein rechtssicherer Zeitstempel wird aber bestimmt nicht ohne einen anerkannten Anbieter (s.o.) möglich sein.
Gruß
Stefan
Stefan
Beiträge: 546
Registriert: Dienstag 15. August 2006, 23:46
17
Wohnort: Land Brandenburg

Re: "gerichtsfeste" Datensicherung

Beitrag von Stefan »

Eine ordentliche Dokumentation der Sicherungslösung gehört natürlich auch noch dazu.
Gruß
Stefan
Benutzeravatar
EXEWERKER
Beiträge: 807
Registriert: Freitag 12. Februar 2010, 12:43
14
Wohnort: Leipzig
Hat sich bedankt: 1 time
Bedankt: 3 times

Re: "gerichtsfeste" Datensicherung

Beitrag von EXEWERKER »

Genau so wäre es ok. Die Frage ist nur, will das noch jemand ohne Not bezahlen....

Aber wenn ich das neue e-Health Gesetz anschaue, dann ist das ein Schnäppchen. Aber dafür braucht man einen eigenen Threat.
EX EWERKER :-)
Antworten

Wer ist online?

Mitglieder in diesem Forum: Google [Bot] und 47 Gäste