Daten verschlüsseln?

Fragen, Anregungen oder Tipps und Tricks? Hier ist der erste Anlaufpunkt.
Nicht sicher, wo ein Thema hingehört? Hier hinein - wir kümmern uns! :)

Moderator: Forum Moderatoren

Forumsregeln
TM-Startforum - "offen für alle Themen".
Beiträge, die in einen anderen Bereich passen, werden bei Bedarf verschoben.
Antworten
Benutzeravatar
Nobbie
Beiträge: 1647
Registriert: Samstag 27. Juli 2013, 11:42
10
Bedankt: 1 time

Daten verschlüsseln?

Beitrag von Nobbie »

Hallo zusammen,
ich dachte, ich frage mal in die Runde, in anbetracht des neuen Datenschutzgesetzes, wie das so um die Verschlüsselung der Praxisdaten, insbesondere PraxisDB und Dokumente steht. Ggf. auch rechtliche Aspekte.
Unberechtigter Zugriff auf die Daten im Praxisbetrieb ist durch einen Passwort geschützten Bildschirmschoner nicht möglich.
Wir sind da im Augenblick warscheinlich ein wenig rückständig. Wenn jemand in die Praxis einbricht, kann er leicht einen abgeschlossenen Karteischrank aufbrechen und sich die Karteikarten ansehen. Bei uns müsste er den Server zerlegen, die Platten ausbauen und klauen und die bei sich anschließen. Dann könnte er die Dokumente auslesen aber noch nicht die PraxisDB.
Gruß Nobbie
Gruß Nobbie

Ich werde keine frühe Turbomed - Downloadversion installieren
Kasimir
PowerUser
Beiträge: 1618
Registriert: Mittwoch 11. Mai 2005, 20:23
18
Wohnort: Land Brandenburg
Hat sich bedankt: 3 times
Bedankt: 23 times

Re: Daten verschlüsseln?

Beitrag von Kasimir »

Ich würde gern mit "Steganos Safe" meine Dokumente sicher verwahren.
Ich habe es vor einiger Zeit (mit einer älteren Version) mal probiert:
Leider finde ich keine Informationen, wie man einen erstellten Safe so einrichtet, dass er auf Dauer für das gesamte Turbomed-Netzwerk Lese-und Schreibzugriff erlaubt.
Wenn ich einem Ordner "Dokumente" im Safe-Laufwerk Freigaben erteile (so wie er ansonsten auf dem "normalen" Laufwerk auch Freigaben bekommen muss), bleiben diese immer erhalten, bis ich den PC (einer der PC's unserer kleinen Praxis fungiert als Server und Arbeitsstation) ausschalte. Bei nächsten Einschalten muss ich immer wieder die Freigaben neu vergeben, das aber ist mir auf Dauer zu umständlich.
Für die neue Version 19 steht zwar im Internet auch etwas von Netzwerk, aber ehe ich nicht weiß, ob und wie das funktioniert, kann ich die Software natürlich nicht kaufen.

Hat jemand evtl. Erfahrung damit?
Viele Grüße
Kasimir
nmndoc
Beiträge: 1797
Registriert: Donnerstag 17. März 2011, 12:56
13
Bedankt: 24 times

Re: Daten verschlüsseln?

Beitrag von nmndoc »

Ich bin ja relativ viel in Verschlüsselungsprojekten tätig, daher zusammenfassend zu den o.g. Beiträgen, folgende Gedanken von mir:
  • Man muss unterscheiden zwischen a) Datenträgerverschlüsselung b) Container, c) Datei/Ordner d) nur bestimmte Inhalte zB bestimmte Datenbankfelder etc.
  • Zweitens unterscheidet man zwischen Schutz im Betrieb und Offline-Schutz (s.u.)
  • Ob ein TM-Kennwort ein effektiver Schutz für eine entwendete DB ist, würde ich mal bezweifeln. Immerhin liegen die Daten da drin unverschlüsselt und ich muss nur das Format verstehen. Vermutl. kann ich auch in der DB einfach den Benutzer/Kennwort zurücksetzen und mich dann ganz normal anmelden. (davon abgesehen, haben viele TM-Installationen noch zusätzliche Standard-Benutzer ohne/mit default Kennwort)
  • Ein Dieb wird sicher nicht die Platten vor Ort ausbauen, sondern den ganzen Server mitnehmen.
Die sauberste Lösung wäre natürlich, TM würde das selbst anbieten. Technisch wäre das nicht sehr kompliziert und CGM M1 Pro wirbt doch auch mit Verschlüsselung (wobei ich mir nicht im Detail angesehen habe, was/wie genau, meine aber auch die Datenbank
Container-Verschlüsselung (=eine Datei, in der sich dann "innen" ein Dateisystem befindet) (wie Truecrypt, Steganos vermutl. auch etc.) sind eigentlich nicht für Muli-User gemacht - d.h. Ich würde nicht empfehlen so einen Container gemeinsam/gleichzeitig zu nutzen. Außerdem: Wenn der Container defekt ist, ist der komplette Inhalt auch weg.

Bezogen auf TM gibt es ja mind. a) die Datenbank(en) (zB TM, IV, ...) und die Dokumente. Die Dokumente zu verschlüsseln, so dass diese beim (erlaubten) Zugriff automatisch im Hintergrund ent-/verschlüsselt werden (genauer gesagt wird blockbasiert auf dem weg von/zur Anwendung verschlüsselt - also eine verschlüsselte Datei bleibt verschlüsselt - nur die Ausgabe/Anzeige wird sozusagen entschlüsselt) - hier wäre die Datei/Ordnerverschlüsselung das Mittel der Wahl - dazu gibt es erprobte Produkte.
Anders sieht es bei der DB aus. Normal würde man eine DB-Datei nicht auf diese Weise verschlüsseln - bei FastObjects *könnte* es sogar sein, dass das funktioniert, aber empfohlen ist das sicher nicht. Eine Option könnte hier sein (und ggf. auch für die Dokumente, s.u.), die gesamte Festplatte (oder nur die mit TM) zu verschlüsseln. Allerdings muss dann beim Serverstart bzw vor TM-Start einmalig ein Kennwort eingegeben werden. Der Vorteil ist, dass der Zugriff auf die Platte für das System und die Anwendungen völlig transparent ist, d.h. die wissen nicht, dass da was verschlüsselt wird (da auf Sektor-Ebene).

Wichtig ist folgende Unterschiede zu wissen:
- Bei Dateibasierter Verschlüsselung ist die eigentliche Datei geschützt, d.h. wenn Jemand die Datei vom Server kopiert, bleibt diese verschlüsselt (zB im Gegensatz zum Container - wenn ich da was rauskopiere ist es ungeschützt). Die Berechtigungen auf die Datei (auf den Inhalt) sind i.d.Regel unabhängig von den Windows-Berechtigungen. D.h. auch ein Administrator kommt an den Inhalt nicht ran, wenn er den "Schlüssel" nicht hat.
- Bei Datenträger/Festplattenverschlüsselung werden die Daten geschützt, wenn der Rechner aus ist (ggf. auch Standby) - d.h. hier geht es um Diebstahl etc. Sobald das System aber hochgefahren/angemeldet ist (Authentifizierung erfolgt vor Windows-Start), ist der Zugriff für alle transparent, die zB auf dem System arbeiten (also auch Trojaner o.ä.). (Technisch betrachtet befindet sich zwischen „Platte“ und System/Windows noch ein Treiber „durch“ den die Zugriffe auf die Platte erfolgen und der entsprechend transparent Daten beim lesen/schreiben ent-/verschlüsselt )










[/list]
Benutzeravatar
Nobbie
Beiträge: 1647
Registriert: Samstag 27. Juli 2013, 11:42
10
Bedankt: 1 time

Re: Daten verschlüsseln?

Beitrag von Nobbie »

Ich würde mir ein Verschlüsselung mit Containern vorstellen, damit im Falle eines Diebstahls keiner an die Daten ran kann. Im Falle eines Angriffs, z.B. Trojaner, muß ich mich auf unsere Abwehr verlassen, ich denke alles andere ist im Praxisbetrieb nicht gut realisiserbar.
Ein weiteres Problem ist , das wir jede Nacht eine Serversicherung durchführen mit der Win2012 eigenen Sicherungssoftware. Da könnte man natürlich die PraxisDB und die Dokumente rausnehmen.

Zu Steganos: ich würde Veracrypt nehme, das ist kostenfrei und soll sehr sicher sein.
Gruß Nobbie

Ich werde keine frühe Turbomed - Downloadversion installieren
Kasimir
PowerUser
Beiträge: 1618
Registriert: Mittwoch 11. Mai 2005, 20:23
18
Wohnort: Land Brandenburg
Hat sich bedankt: 3 times
Bedankt: 23 times

Re: Daten verschlüsseln?

Beitrag von Kasimir »

Nobbie hat geschrieben: Zu Steganos: ich würde Veracrypt nehme, das ist kostenfrei und soll sehr sicher sein.
Ja, Steganos-Safe 19 mit seiner 384 Bit-AES-XEX-Verschlüsselung ist aber auch sehr sicher, und mit 29,95 € für fünf-Safe-Lizenzen nicht teuer.
Aber, wie gesagt, ich weiß nicht, wie das mit den freigegebenen Dateien ist; als ich es vor Jahren mal probierte, musste ich die Freigaben nach jedem PC-Neustart neu vergeben...
Vielleicht frage ich mal direkt bei Steganos an.
Viele Grüße
Kasimir
jkrei
Beiträge: 2
Registriert: Dienstag 6. August 2013, 21:07
10

Re: Daten verschlüsseln?

Beitrag von jkrei »

Hallo zusammen,
in Anbetracht der tollen Datenschutzverordnung habe ich jetzt auch aufgerüstet. Da hier schon drüber diskutiert wird, kann ich ja mal meine Lösung präsentieren. 100% Sicherheit wird man niemals erreichen. Wenn sich jemand in die Praxis hacken will, wird er das über kurz oder lang schaffen. Ich habe jetzt vor allem die Sicherheit vor unberechtigtem Zugriff und Datendiebstahl durch Hardwareklau versucht zu erhöhen. Was haltet ihr davon?
Die Datenträger des Servers sind mit Bitlocker verschlüsselt. Die externen Platten zur Datensicherung werden via Bitlocker to go verschlüsselt. Dadurch, dass Bitlocker in Windows integriert ist, fällt im laufenden Betrieb keine Mehrarbeit an. Wenn der Server neu gestartet wird, muss einmal ein Passwort eingegeben werden. Erst danach ist der Zugriff möglich. Ohne das Passwort oder einen speziellen Wiederherstellungsschlüssel (der an einem anderen Ort außerhalb der Praxis gelagert wird) kann kein Dieb die Daten mehr auslesen, wenn der Server ausgeschaltet ist. Gleiches gilt für die externen Sicherungen, auf die auch nur mit dem Passwort oder dem Schlüssel zugegriffen werden kann. Administratorkonten haben sichere Kennwörter, die den Helferinnen nicht bekannt sind. Jeder PC ist durch einen Bildschirmschoner mit Kennwortreaktivierung geschützt. Die Passwörter werden per Kennwortrichtlinie alle 60 Tage geändert. USB Massenspeicher sind an den Arbeitsstationen deaktiviert. Internet ist nur für ausgewählte Arbeitsplätze mittels Whitelist verfügbar. Damit auch die Arbeitsstationen ohne Internet stets aktuell sind, werden Virenscanner auf allen Arbeitsplätzen mit zentralen Virenupdates versorgt. Mit den Windows Updates passiert dies via Windows Server Update Services.
Falls sich jemand wirklich direkt in die Praxis hacken will, w
Was mir weiterhin ein Dorn im Auge ist (und auch im Forum schon viel diskutiert wurde): die Koco-Box!

Gruß
jk
moose
Beiträge: 559
Registriert: Sonntag 29. November 2009, 19:42
14
Bedankt: 1 time

Re: Daten verschlüsseln?

Beitrag von moose »

hab mal Bitlocker Hack gegoogelet
https://www.xing.com/communities/posts/ ... 1012338013
Es gibt keine Sicherheit mehr, die Zeiten sind längst vorbei, es gibt nur Strafen für Ärzte, die keine ausreichende Sicherheit herstellen, was die aber nie richtig können, siehe oben.
moose
JueHof
Beiträge: 69
Registriert: Samstag 1. August 2009, 11:46
14

Re: Daten verschlüsseln?

Beitrag von JueHof »

moose hat geschrieben:hab mal Bitlocker Hack gegoogelet
https://www.xing.com/communities/posts/ ... 1012338013
Es gibt keine Sicherheit mehr, die Zeiten sind längst vorbei, es gibt nur Strafen für Ärzte, die keine ausreichende Sicherheit herstellen, was die aber nie richtig können, siehe oben.
moose
Tatsächlich finde ich das eher beruhigend als verunsichernd.
Denn je klarer es ist, dass auch mit vergleichsweise hohem Aufwand eine Datensicherheit nicht wirklich herstellbar ist, desto unwahrscheinlicher ist es, dass man als Arzt für einen entsprechenden Hack zur Verantwortung gezogen wird.
Auch Juristen wissen, dass sie Unmögliches nicht verlangen können; sanktioniert wird auch hier wie im sonstigen Bereich der Arzthaftung grobe Fahrlässigkeit und Schlamperei.
Dass eine Arztpraxis kein NATO-Hauptquartier oder Pentagon ist und sein kann (und auch die wurden schon z.T. gehackt), dürfte jedem Gericht klar sein.
turbotm
Beiträge: 480
Registriert: Montag 27. August 2012, 17:37
11
Hat sich bedankt: 2 times
Bedankt: 8 times

Re: Daten verschlüsseln?

Beitrag von turbotm »

Ehrlich gesagt, ich habe bisher mit Verschlüsselung keine guten Erfahrung gemacht, was den Zugriff angeht. Ich war nämlich meist der einzige, der keinen Zugriff mehr bekam, aus welchen Gründen auch immer. Für mich ist demnach die Wahrscheinlichkeit deutlich höher, mir meine Daten selber unzugänglich zu machen, als dass jemand Fremdes versucht, mir meine Daten zu stehlen.
Viel mehr Angst habe ich vor Verschlüsselungs-Viren o.ä.
Schönes WE
nmndoc
Beiträge: 1797
Registriert: Donnerstag 17. März 2011, 12:56
13
Bedankt: 24 times

Re: Daten verschlüsseln?

Beitrag von nmndoc »

wie oben bereits geschrieben: Für das Szenario Einbruch/Jemand trägt den Server (oder nur die HDDs) weg ist Festplattenverschlüsselung genau das Mittel der Wahl. Bei Bitlocker würde es ja theoretisch mit passender Hardware ja sogar ohne Anmeldepasswort gehen - allerdings halte ich das für etwas fragwürdig - speziell im Umfeld Arztpraxis/Turbomed (* s.u.). Außerdem haben andere Produkte teilweise deutlich bessere Recover-Möglichkeiten zB im Falle eines defekten Windows, Startsektors etc. Zumindest habe ich in all den Jahren noch die einen (Kunden-)Rechner bzw. dessen Daten wegen Verschlüsselung verloren - selbst wenn mal was komplett defekt war.

Klar - Restrisiko gibt es immer - aber genau dafür hat man dann ja hoffentlich eine (verschlüsselte) Sicherung - UND die Backupsoftware auch noch wo (und nicht nur zB auf dem defekten Server).

*) Bitlocker/autom. Start/Anmeldung: Mal abgesehen davon, dass ein autom. Laden von Schlüsseln immer etwas fragwürdig ist - aus Sicherheitssicht: Der Server stellt ja speziell Turbomed/die Patientendaten + Dokumente über eine Netzwerkfreigabe zur Verfügung - und in vielen Praxen dürfte es hier um den Zugriffsschutz eher etwas mau bestellt sein - nicht wenige werden da zB "Jeder" erlauben oder entspr. schwache Kennwörter verwenden. Wie oben beschrieben ist ja nach dem Start/Anmeldung (nicht Windows-Anmeldung, sondern an der Verschlüsselung) - die Ver/Entschlüsselung völlig transparent. Daher bietet sie im laufenden Betrieb keinen zusätzlichen Schutz. Daher m.E. Verschlüsselung mit Pre-Boot-Authentifizierung verwenden.
Benutzeravatar
Nobbie
Beiträge: 1647
Registriert: Samstag 27. Juli 2013, 11:42
10
Bedankt: 1 time

Re: Daten verschlüsseln?

Beitrag von Nobbie »

Hallo zusammen,
ich habe mich mit dem Justiziar unseres Berufsverbandes in Verbindung gesetzt und die aktuelle Rechtslage geklärt. Eine Datenverschlüsselung ist zur Zeit nicht gesetzlich vorgeschrieben. Lediglich der unberechtigte Zugriff im laufenden Praxisbetrieb muss unterbunden werden, zum Beispiel durch einen passwortgeschützten Bildschirmschoner. Ist die Praxis nicht besetzt reicht es aus, wenn Türen und Fenster verschlossen sind. Eine spezielle Sicherung des Serverschrank oder Serverraums ist nicht erforderlich.
Gruß Nobbie

Ich werde keine frühe Turbomed - Downloadversion installieren
JueHof
Beiträge: 69
Registriert: Samstag 1. August 2009, 11:46
14

Re: Daten verschlüsseln?

Beitrag von JueHof »

Nobbie hat geschrieben:Hallo zusammen,
ich habe mich mit dem Justiziar unseres Berufsverbandes in Verbindung gesetzt und die aktuelle Rechtslage geklärt. Eine Datenverschlüsselung ist zur Zeit nicht gesetzlich vorgeschrieben. Lediglich der unberechtigte Zugriff im laufenden Praxisbetrieb muss unterbunden werden, zum Beispiel durch einen passwortgeschützten Bildschirmschoner. Ist die Praxis nicht besetzt reicht es aus, wenn Türen und Fenster verschlossen sind. Eine spezielle Sicherung des Serverschrank oder Serverraums ist nicht erforderlich.

Ist m.E. ja auch verständlich: ansonsten müssten die Kollegen, die noch auf Karteikarten dokumentieren (und das gibt es sicher noch jede Menge in der Generation 60+) ja konsequenterweise ihre Kartei nach Sprechstundenende in einem Tresorraum unterbringen :wink:
Antworten

Wer ist online?

Mitglieder in diesem Forum: Semrush [Bot] und 7 Gäste