"gerichtsfeste" Datensicherung

Fragen, Anregungen oder Tipps und Tricks? Hier ist der erste Anlaufpunkt.
Nicht sicher, wo ein Thema hingehört? Hier hinein - wir kümmern uns! :)

Moderator: Forum Moderatoren

Forumsregeln
TM-Startforum - "offen für alle Themen".
Beiträge, die in einen anderen Bereich passen, werden bei Bedarf verschoben.
Benutzeravatar
Geigenberger
PowerUser
Beiträge: 1302
Registriert: Dienstag 9. Dezember 2003, 22:26
20
Bedankt: 3 times

"gerichtsfeste" Datensicherung

Beitrag von Geigenberger »

Hallo,

motiviert von "benni" habe ich ein kleines Programm geschrieben, mit dem man sehr einfach "alte" Datensicherungen so dokumentieren kann dass ein Beweis vorliegt, dass diese Datei nicht mehr geändert worden ist. Eigentlich schreibt so etwas ähnliches ja der Gesetzgeber vor, nur niemand hält sich daran...
Bis -- ja, bis man plötzlich die Beweislast hat...
http://www.vondoczudoc.de/viewtopic.php ... 017#p33487
benni hat geschrieben:Lieber Herr Geigenberger,
habe das Programm jetzt fest in meine Praxis-Backup-Rouinte übernommen und ich muss sagen, es ist super. Die Anwendung ist einfach, und ich habe dabei ein wesentlich besseres Gefühl als bei so manchen "kommerziellen" Verschlüsselungsprogrammen.
Vielen Dank!
Ich nenne das Programm jetzt einfach mal "MyDokuStamp". Es ist zwar noch recht "frisch aus der Feder" funktioniert aber recht gut, da klein und übersichtlich.

Hier der Download der Windows-Version: [upgedatet am 3.11.2015]
http://www.MyDownloads.n-bay.de/MyDokuStamp.zip


Und hier noch zwei Screenshots (mehr Fenster hat das Programm nicht)
DokuStamp2.png
DokuStamp1.png
Im folgenden nun der einleitende Text des Programms:

Liebe Kolleginnen und Kollegen,

Irgendwann einmal kann es wichtig werden, dass Sie belegen können, wie der
Datenbestand z.B. Ihrer Praxisdatenbank zu einem bestimmten Zeitpunkt war.
Mit Hilfe von Prüfsummen (Hash-Werten) ist dies recht leicht möglich.

Zwei auch nur geringstgradig unterschiedliche Dateien ergeben einen völlig
anderen Hashwert, so dass Sie mit solchen Hashwerten absolut sicher belegen
können, wie der Inhalt einer Datei zu einem bestimmten Zeitpunkt war.
Um einen solchen Beweis zu führen, können Sie ein teures Dokumentensystem
kaufen oder auch dieses einfache, kostenlose und "selbsterklärende" Programm
"MyDokuStamp" benutzen. "Klicken" Sie sich einfach durch die wenigen Buttons!

Am Ende können Sie einen Zettel ausdrucken, der verschiedene Prüfsummen
Ihrer angewählten Datei enthält. Wenn Sie diesen Zettel z.B. von zwei Arzt-
helferinnen mit Datum und Uhrzeit unterschreiben lassen, dann können Sie
zur jeder Zeit beweisen, dass diese Datei nicht verändert worden ist.

shaped by A. Geigenberger V.: 0.9.9

(Weitere Infos zum Thema: https://de.wikipedia.org/wiki/Hashfunktion)


... und nun der Text, der Ihnen zum Ausdruck angeboten wird:

Von der unten angegebenen Datei wurden verschiedene
Hashwerte (Prüfsummen) erstellt.

Diese Prüfsummen dieser Datei können zu einem späteren
Zeitpunkt jederzeit erneut generiert werden. Wenn diese
Hashwerte dann identisch sind, so zeigt dies, ohne dass ein
Zweifel möglich ist, dass diese Datei nicht mehr verändert
worden ist.

Die unten abgegebenen Unterschriften belegen nicht(!)
zweifelsfrei, wann und wie diese Prüfsummen erstellt worden
sind! Sie belegen aber absolut eindeutig, dass dieses Formular
hier zum Zeitpunkt der Unterschrift existent gewesen ist.
Damit ist gleichzeitig belegt, dass die angegebene Datei zum
Zeitpunkt der Unterschrift mit den angegebenen Prüfsummen
existiert hat.
---------------------------------------------------------
Dateiname : otrmultidecoder.sh
gespeichert am : 29.10.2015 12:48:45
MD5 :
a3a46641b573fbf94ca482d6dccfbe3f
SHA1 :
4C500395B7929052EB9E555A7B148732782A33CE
Tiger :
7509312CB3DEF740C9280F59631E1D59D13F7AD02FAA0876
Haval :
AFD6B740F8C815FEA4F51237F90D31AC91832EE9482576F76ECCA18E6AE17616
SHA256:
9D3247C5FCF26A5BBC018FA2C80419C252CF60A01FB6A32C5D5BA145730921C5
---------------------------------------------------------
Mit den nachstehenden Unterschriften versichern
die unterzeichnenden Personen lediglich, dass ihre
Unterschriften zum angegebenen Zeitpunkt geleistet
worden sind.

............... .......... .......... ..........................
Ort Datum Uhrzeit Unterschrift


Es würde mich natürlich freuen, wenn Sie dieses kleine "Progrämmchen" einmal ausprobieren würden und ich wünsche Ihnen, dass Sie es nie "im Ernstfall" einmal brauchen - oder gebraucht hätten.

A. Geigenberger
Sapias, vina liques et spatio brevi spem longam reseces... carpe diem, quam minimum credula postero [Horaz]
"Sei klug, gönn dir noch ein Glas Wein ein und hoffe auf nichts weiter. ... Genieße den Tag, und vertraue möglichst wenig auf den folgenden!"
Benutzeravatar
DrHJvdB
Beiträge: 524
Registriert: Mittwoch 4. Januar 2012, 11:34
12
Wohnort: 24114 Kiel
Kontaktdaten:

Re: "gerichtsfeste" Datensicherung

Beitrag von DrHJvdB »

Sehr lobenswerte Initiative!
Sicher kommen noch die einen oder anderen Einwände, aber fachlich scheint mir das ein sehr gutes Verfahren zu sein.
Je nach dem, was die Diskussion hier ergibt: so etwas kann man ja auch in andere Programme einbauen.
Benutzeravatar
EXEWERKER
Beiträge: 807
Registriert: Freitag 12. Februar 2010, 12:43
14
Wohnort: Leipzig
Hat sich bedankt: 1 time
Bedankt: 3 times

Re: "gerichtsfeste" Datensicherung

Beitrag von EXEWERKER »

Mein Einwand ist ja bekannt: Technisch sicherlich alles prima, aber "gerichtsfest" auf keinen Fall. Es ist nur eine bessere gefühlte Sicherheit.
Noch nicht gerichtsfest, aber wenigstens unter Fachleuten anerkannt, ist eine Archivierung nach dieser Richtlinie, die zumindest das Finanzamt schon mal so anerkennt:
https://www.bitkom.org/Publikationen/20 ... ierung.pdf
EX EWERKER :-)
Benutzeravatar
Geigenberger
PowerUser
Beiträge: 1302
Registriert: Dienstag 9. Dezember 2003, 22:26
20
Bedankt: 3 times

Re: "gerichtsfeste" Datensicherung

Beitrag von Geigenberger »

... "standardisiert" ist es nicht; aber ich würde in einem "worst case scenario" jedes Gutachten sehr gelassen abwarten.
Eine Beweislastumkehr hätte dies jedenfalls ganz sicherlich zur Folge.
Und ja: Verdienen kann man halt damit nix mit uns Ärzten... 8)
Sapias, vina liques et spatio brevi spem longam reseces... carpe diem, quam minimum credula postero [Horaz]
"Sei klug, gönn dir noch ein Glas Wein ein und hoffe auf nichts weiter. ... Genieße den Tag, und vertraue möglichst wenig auf den folgenden!"
Benutzeravatar
EXEWERKER
Beiträge: 807
Registriert: Freitag 12. Februar 2010, 12:43
14
Wohnort: Leipzig
Hat sich bedankt: 1 time
Bedankt: 3 times

Re: "gerichtsfeste" Datensicherung

Beitrag von EXEWERKER »

Geigenberger hat geschrieben: Und ja: Verdienen kann man halt damit nix mit uns Ärzten... 8)
Das muss ich zum Glück nicht. :roll:

Die Beweislast dreht sich aus 2 Gründen nicht um. Weil (egal wie Sie dokumentieren), Sie in vielen Fällen ohnehin beweispflichtig werden können: https://de.wikipedia.org/wiki/Beweislas ... rzthaftung
Außerdem sagt ja das Signaturgesetz, dass es nur einen Fall möglich ist, ohne Prüfung von einem "Beweis" auszugehen. Mit § 371a Abs. 1 ZPO wird die Beweiskraft elektronischer Dokumente durch einen Anscheinsbeweis geregelt.
Ich reite immer wieder darauf herum, da haben sich doch auch schon schlauere Leute Gedanken gemacht ( schlauer als ich :lol: ): http://subs.emis.de/LNI/Proceedings/Pro ... 54-116.pdf
EX EWERKER :-)
Benutzeravatar
Geigenberger
PowerUser
Beiträge: 1302
Registriert: Dienstag 9. Dezember 2003, 22:26
20
Bedankt: 3 times

Re: "gerichtsfeste" Datensicherung

Beitrag von Geigenberger »

Guten Abend Herr Richter,

ich hab tatsächlich ganz fest damit gerechnet, dass Sie zu diesem Thema Stellung nehmen werden. :D

Vor ca. 1 Jahr hörte ich in Dresden einen bemerkenswerten Vortrag einer sehr renomierten Medizinrechtlerin aus München (Chefin einer riesigen Anwaltskanzlei). Alleine die Tatsache, dass man in der Karteikarte - egal ob Papier oder elektronisch - ein schlichtes Kürzelsystem als Karteieintrag anwendet, belegt eine Dokumentierung und führt dazu, dass ein Prozessgegner erstmal beweisen muss, dass der Eintrag unrichtig ist. Dies ist ja jetzt schon mal recht schwierig für einen Gegner. Soviel dazu, wie schnell es zu einer Beweislastumkehr kommen kann.

Und Ihre Argumentation, dass die von mir dargestellte Dokumentensicherung ein Finanzamt erstmal nicht zufrieden stellt, ist natürlich richtig, denn da gibt's feste Regeln einer kontinuierlichen Datendokumentation und - sicherung.

Lassen wir doch die Kirche im Dorf! Worum geht es? Es geht schlicht darum, dass man beweisen kann, dass sich eine Patientendokumentation von z.B. vor zwei Jahren nicht von der heute vorliegenden Dokumentation für den fraglichen Zeitraum unterscheidet! Nicht mehr und nicht weniger! Und genau dies kann man mit dem Festhalten von ehemaligen Hascodes über damalige Sicherungsfiles zweifelsfrei belegen.


Ich zitiere von Ihrem verlinkten Wikipedia-Eintrag:
... unvollständige oder verfälschte Dokumentation, einschließlich nachgetragener Änderungen oder angeblich verlorener Dokumente und ungesicherter oder unregistrierter Zugang zu Änderungsmöglichkeiten in Datenbanken der Fallakten

Genau das verhindert ein gut dokumentierter Hashcode einer alten, zeitnah zum strittigen Ereignis gemachten Datensicherung!! Eine nachträgliche Änderung der Datei ohne dass sich die entsprechenden Hashcodes verändern ist absolut unmöglich. In einem Ihrer früheren Beiträge haben Sie darauf hingewiesen, dass der MD5 Code nicht mehr als absolut sicher angesehen wird. Selbst dies ist sehr theoretisch, denn niemand wird eine Datenbanksicherungsdatei so "hinkriegen", dass die veränderte Datei der ursprünglichen Datei auch nur annähernd ähnlich ist und dass das Computerprogramm diese veränderte Datei (mit demselben MD5-Code!!!) als fehlerfrei anerkennt!! Ist das nicht ein wenig "Angstmache? Aber egal: "MyDokuStamp" [ :wink: 8) ] erzeugt 5 verschiedene Hashcodes!

Freundliche Grüße!
A. Geigenberger
Sapias, vina liques et spatio brevi spem longam reseces... carpe diem, quam minimum credula postero [Horaz]
"Sei klug, gönn dir noch ein Glas Wein ein und hoffe auf nichts weiter. ... Genieße den Tag, und vertraue möglichst wenig auf den folgenden!"
Benutzeravatar
EXEWERKER
Beiträge: 807
Registriert: Freitag 12. Februar 2010, 12:43
14
Wohnort: Leipzig
Hat sich bedankt: 1 time
Bedankt: 3 times

Re: "gerichtsfeste" Datensicherung

Beitrag von EXEWERKER »

Wir sind uns völlig einig darüber, dass das Verfahren sicherlich viele der geforderten Punkte abdecken kann. Sie verbessern damit auch Ihre Position. Und man kann die Kirche auch im Dorf lassen. Aber, dabei bleibe ich auch, vor Gericht ist dies Schall und Rauch. Bei bestimmten Fällen sagt der Richter (siehe Artikel) spätestens aber der Nebenkläger wird sagen: Sorry, die Beweispflicht haben Sie! Und dann müssen nicht Sie einen Gutachter finden, der das toll findet, was Sie da machen, sondern DAS GERICHT BESTELLT EINEN (GGF. EINEN DEPPEN). Der hat dann entweder einen guten Tag, dann findet er das auch toll. Wenn aber nicht, weil er sagt. "Die 10 anerkannten Regeln der Archivierung waren nicht vollständig dokumentiert oder unabhängig zertifiziert." Dann sagt das Gericht: "Der Beweis der Echtheit konnte also nicht zweifelsfrei erbracht werden". Dann können Sie sich einen Gutachter suchen, den ein Gericht vielleicht hören will...... Könnte man sich ersparen. Ich war ja in solchen Sachen schon oft unterwegs, und was Sie vor einem deutschen Gericht erleben - unglaublich. Es geht ja nicht darum Panik zu verbreiten, aber wenn man sicher gehen will, dann würde ich auch den sicheren Weg wählen. Dies mache ich so in meiner Firma, es muss aber jeder selber wissen. Die Chance von tatsächlichen Problemen ist so oder so gering, ist ja nur für den Notfall. Jeder angestellte GF oder Krankenhaus ITler würde aber wegen ein paar Euro nicht mit einem Bein im Knast stehen wollen, allerdings sind im KH Bereich die Fälle viel häufiger.
EX EWERKER :-)
nmndoc
Beiträge: 1797
Registriert: Donnerstag 17. März 2011, 12:56
13
Bedankt: 24 times

Re: "gerichtsfeste" Datensicherung

Beitrag von nmndoc »

Geigenberger hat geschrieben: Lassen wir doch die Kirche im Dorf! Worum geht es? Es geht schlicht darum, dass man beweisen kann, dass sich eine Patientendokumentation von z.B. vor zwei Jahren nicht von der heute vorliegenden Dokumentation für den fraglichen Zeitraum unterscheidet! Nicht mehr und nicht weniger! Und genau dies kann man mit dem Festhalten von ehemaligen Hascodes über damalige Sicherungsfiles zweifelsfrei belegen.
Hallo Herr Geigenberger,

m.E. verbessert sich die Situation durch Ihren Ansatz nicht wirklich (aber mögliche Entwarnung folgt/s.u.), denn:

a) Papier ist geduldig. Wer sagt dass die Helferinnen - ihrem Job zur Liebe - nicht bei Bedarf nochmal den 'Wisch' unterschreiben
b) oder VIEL einfacher: Die Helferinnen werden ja - wenn überhaupt - maximal prüfen, ob für die angegebene Datei tatsächlich auch die Hashes erzeugt werden/passen (in der Praxis würde ich mal behaupten, würden sie Ihnen das einfach so glauben/unterschreiben - schon aus Zeitmangel + Gewohnheit). Die Hashes sagen aber über die "Echtheit/Korrektheit" Ihrer Daten nichts aus (zumindest nicht in dem Sinne, wie Sie das gerne hätten). Denn zum einen ist der Dateinamen m.E. kein Bestandteil des Hash - d.h. Sie können die Datei nachträglich beliebig in ganz_alte_sicherung_mittelalter.zip umbenennen und erhalten den selben Hash - aber am wichtigsten - woher wissen die Helferinnen, dass der "INHALT" dessen, was sie da signieren, tatsächlich stimmt - d.h. - Sie könnten ihnen doch einfach bei Bedarf eine Datei geben, die meinetwegen TM-bak-20151030.zip heißt, in Wirklichkeit aber eine (abgeänderte Version) des Stands Q2/2011 enthält.

Die "Entwarnung": evtl. kann man sich den Aufwand sparen, da ja, so TM will, nachtägliches ändern der Datenbank ohnehin auffallen müsste - allein schon weil mutmaßlich irgendwelche Indizes dann nicht mehr zur Chronologie passen o.ä.
Benutzeravatar
Geigenberger
PowerUser
Beiträge: 1302
Registriert: Dienstag 9. Dezember 2003, 22:26
20
Bedankt: 3 times

Re: "gerichtsfeste" Datensicherung

Beitrag von Geigenberger »

Hallo nmndoc,

bitte "überdenken" Sie die Situation noch einmal im zeitlichen Ablauf:

Die Helferinnen müssen sich keineswegs davon überzeugen, dass bei der Erstellung des Hash-Codes oder bei der Aufbewahrung der gehashten Dateien alles "mit rechten Dingen" zugegangen ist!!

Dies steht auch so auf dem Zettel, der unterschrieben werden muss:

Die unten abgegebenen Unterschriften belegen nicht(!)
zweifelsfrei, wann und wie diese Prüfsummen erstellt worden
sind! Sie belegen aber absolut eindeutig, dass dieses Formular
hier zum Zeitpunkt der Unterschrift existent gewesen ist.
Damit ist gleichzeitig belegt, dass die angegebene Datei zum
Zeitpunkt der Unterschrift mit den angegebenen Prüfsummen
existiert hat.

Auf diesem "Zettel" muss nur
1. Die Unterschrift echt sein und
2. Das Datum und die Uhrzeit richtig sein, zu dem die Unterschrift geleistet worden ist.

Das reicht!!

Denn auf diesem Zettel finden sich diverse Hash-Codes (MD5, SHA 256 usw.), die zum Zeitpunkt dieser Unterschrift bereits generiert worden sind und zweifelsfrei "vorhanden" waren - sonst stünden diese ja nicht auf dem Zettel!

Wenn nun die Datei nachträglich verändert wird, dann wird man mit absoluter Sicherheit nie wieder dieselben Hash-Codes bei der Überprüfung erzeugen können. Wenn später irgendwann die identischen Hash-Codes von den betreffenden Dateien aber erzeugt werden können, dann sind die entsprechenden Dateien seit dem Zeitpunkt der Unterschrift der Arzthelferinnen absolut zweifellos unverändert geblieben! Und genau das möchte man ja beweisen können.

Ein schönes Wochenende!

A. Geigenberger
Sapias, vina liques et spatio brevi spem longam reseces... carpe diem, quam minimum credula postero [Horaz]
"Sei klug, gönn dir noch ein Glas Wein ein und hoffe auf nichts weiter. ... Genieße den Tag, und vertraue möglichst wenig auf den folgenden!"
Meckelein
Beiträge: 164
Registriert: Samstag 2. August 2014, 09:14
9
Bedankt: 1 time

Re: "gerichtsfeste" Datensicherung

Beitrag von Meckelein »

Danke Herr Geigenberger für das Program, es kann die Aufgabe der Hashwertberechnung tatsächlich erleichtern. Auch finde ich ok, dass Sie das "gerichtsfest" im Titel in Anführungszeichen geschrieben haben. Dies ist nämlich besonders wichtig. Auf Grund unserer Rechtssprechung kann es nämlich kein Verfahren geben, welches von vornherein als "gerichtsfest" anerkannt werden kann. Richter in Deutschland sind unabhängig und ihre Meinungsbildung ist der Gerichtsverhandlung unterworfen. Daher muß jedes Verfahren in der Verhandlung dem Richter vorgelegt und durch diesen begutachtet werden. Wenn ihm Sachkunde fehlt, kann er einen Sachverständigen beauftragen und das Ergebnis des Gutachtens kann zur Meinungsbildung beitragen. Es kommt also wirklich immer auf den Einzelfall an.

Ich bevorzuge jede technische Maßnahme die mich dabei unterstützt, aufzuzeigen alles in meiner Macht stehende getan zu haben um den Anforderungen des Gesetztes nachzukommen. Für meine Backups verwende ich ein ähnliches Verfahren. Jedes Backup wird von meinem Script zuerst verschlüssel, mit einem 4096 Byte langen Key und anschliessend werden Hashwerte erstellt. Diese werden zusammen mit Datum, Uhrzeit und Dateiname per Mail an die jeweile Praxis geschickt. Dort werden diese Mails ausgedruckt, mit Datum und Unterschrift versehen und in einem Ordner abgelegt. Dies dient dazu einen zusätzlichen Ort zu haben, ausserhalb der EDV, an dem Informationen zur Überprüfung der Daten vorliegen. Es geht quasi in die Richtung eines vier Augen Prinzips, ich habe die Gewalt über die EDV, die Praxis hat die Gewalt über Ihre Räume, mal sehr einfach dargestellt. Dazu sind meine Scripte, sowie die Sourcecodes der verwendeten Programme Open Source und können von jedem eingesehen werden.

Natürlich gibt es bei diesen Verfahren etliche Punkte an dennen man angreifen kann um diese zu kompromitieren, wie nmndoc ja schon aufgezeigt hat. Gleiche Probleme ergeben sich aber auch bei Benutzung von selbstverschlüsselnden Festplatten oder zertifizierten Sicherungsmechanismen. Man kann einige Probleme teilweise ausschliessen aber absolute Sicherheit gibt es nicht.

Ich empfehle jedem mindestens ein Hashverfahren für die Backups zu verwenden, die Hashwerte auszudrucken und mit Datum und Unterschrift zu lagern. Besser ist es, weitere Sicherheitsmassnahmen zur Revisionssicherung durchzuführen. Dazu würde ich auch auf professionelle Hilfe zurück greifen. Im Artikel Revisionssichere Archivierung, ein kurzer Überblick wurde schonmal die komplette Diskussion darüber geführt und von ausführlicher Besprochen.

just my two cents

Alexander Meckelein
nmndoc
Beiträge: 1797
Registriert: Donnerstag 17. März 2011, 12:56
13
Bedankt: 24 times

Re: "gerichtsfeste" Datensicherung

Beitrag von nmndoc »

Geigenberger hat geschrieben:Hallo nmndoc,

bitte "überdenken" Sie die Situation noch einmal im zeitlichen Ablauf:

Die Helferinnen müssen sich keineswegs davon überzeugen, dass bei der Erstellung des Hash-Codes oder bei der Aufbewahrung der gehashten Dateien alles "mit rechten Dingen" zugegangen ist!!

Dies steht auch so auf dem Zettel, der unterschrieben werden muss:

Die unten abgegebenen Unterschriften belegen nicht(!)
zweifelsfrei, wann und wie diese Prüfsummen erstellt worden
sind! Sie belegen aber absolut eindeutig, dass dieses Formular
hier zum Zeitpunkt der Unterschrift existent gewesen ist.
Damit ist gleichzeitig belegt, dass die angegebene Datei zum
Zeitpunkt der Unterschrift mit den angegebenen Prüfsummen
existiert hat.

Auf diesem "Zettel" muss nur
1. Die Unterschrift echt sein und
2. Das Datum und die Uhrzeit richtig sein, zu dem die Unterschrift geleistet worden ist.

Das reicht!!

Denn auf diesem Zettel finden sich diverse Hash-Codes (MD5, SHA 256 usw.), die zum Zeitpunkt dieser Unterschrift bereits generiert worden sind und zweifelsfrei "vorhanden" waren - sonst stünden diese ja nicht auf dem Zettel!

Wenn nun die Datei nachträglich verändert wird, dann wird man mit absoluter Sicherheit nie wieder dieselben Hash-Codes bei der Überprüfung erzeugen können. Wenn später irgendwann die identischen Hash-Codes von den betreffenden Dateien aber erzeugt werden können, dann sind die entsprechenden Dateien seit dem Zeitpunkt der Unterschrift der Arzthelferinnen absolut zweifellos unverändert geblieben! Und genau das möchte man ja beweisen können.

Ein schönes Wochenende!

A. Geigenberger
ok, ich verstehe Ihre Agrumentation - entscheidend wäre hier das Datum der Unterschrift - quasi as Zeitstempel für die Datei+Hash.
Obwohl der Kritikpunkt, dass eben genau dieser Zeitstempel *nicht' sicher vor absichtlicher Manipulation ist, könnte sich ihre argumentative Ausgangslage durch o.g. Vorgehen tatsächlich verbessern.

Ihmen ebenfalls ein schönes Wochenende!
Benutzeravatar
Geigenberger
PowerUser
Beiträge: 1302
Registriert: Dienstag 9. Dezember 2003, 22:26
20
Bedankt: 3 times

Re: "gerichtsfeste" Datensicherung

Beitrag von Geigenberger »

nmndoc hat geschrieben:...Obwohl der Kritikpunkt, dass eben genau dieser Zeitstempel *nicht' sicher vor absichtlicher Manipulation ist, könnte sich ihre argumentative Ausgangslage durch o.g. Vorgehen tatsächlich verbessern. ...
... Da müssten dann allerdings zwei Arzthelferinnen dazu bereit sein, vor Gericht eine Falschaussage zu machen. :?

A. Geigenberger
Sapias, vina liques et spatio brevi spem longam reseces... carpe diem, quam minimum credula postero [Horaz]
"Sei klug, gönn dir noch ein Glas Wein ein und hoffe auf nichts weiter. ... Genieße den Tag, und vertraue möglichst wenig auf den folgenden!"
Benutzeravatar
Geigenberger
PowerUser
Beiträge: 1302
Registriert: Dienstag 9. Dezember 2003, 22:26
20
Bedankt: 3 times

Re: "gerichtsfeste" Datensicherung

Beitrag von Geigenberger »

Meckelein hat geschrieben: ...Im Wortlaut "Berichtigungen und Änderungen von Eintragungen in der Patientenakte sind nur zulässig, wenn neben dem ursprünglichen Inhalt erkennbar bleibt, wann sie vorgenommen worden sind. Dies ist auch für elektronisch geführte Patientenakten sicherzustellen."

Wenn man ein entsprechendes Hash-Verfahren für seine Datensicherungen einigermaßen regelmäßig macht, dann kommt man dieser Forderung wenigstens ein wenig näher.

Ansonsten erfüllt kein Arztprogramm diese Forderung des Gesetzgebers. Und dennoch sind diese Programme von der KV , einer "Körperschaft des öffentlichen Rechts" zugelassen!!? Rechtswidrig zugelassen?

A. Geigenberger

http://vondoczudoc.de/viewtopic.php?f=33&t=5558#p33139
Geigenberger hat geschrieben:... und schon wieder läßt uns die KV - wie beim Kapitel Datensicherheit und Datenschutz - im Stich! Warum wird eine solche Revisionssicherheit bei der Zertifizierung von Arztsoftware nicht zwingend vorgeschrieben? Sonst wird doch auch jede Kleinigkeit reglementiert!
A. Geigenberger
Sapias, vina liques et spatio brevi spem longam reseces... carpe diem, quam minimum credula postero [Horaz]
"Sei klug, gönn dir noch ein Glas Wein ein und hoffe auf nichts weiter. ... Genieße den Tag, und vertraue möglichst wenig auf den folgenden!"
Meckelein
Beiträge: 164
Registriert: Samstag 2. August 2014, 09:14
9
Bedankt: 1 time

Re: "gerichtsfeste" Datensicherung

Beitrag von Meckelein »

@Geigenberger

"Rechtswidrig zugelassen?" Nunja, an sich nicht. Die Zulassung einer Praxissoftware ist eine andere Sache als die Vorgaben aus dem § 630f BGB. Soweit ich mich richtig erinnere geht es bei der Zulassung der Software nur um die Konformität zur Abrechnung der einzelnen Krankenkassen. Im Gesetz hingegen sind die Pflichten des Behandelnden geregelt. Dieser muß sicher stellen, dass er alle Anforderungen erfüllt. Eine Karteikarte wie von vor 30 Jahren ist an sich zwar nicht durch die KV zugelassen, sie genügt aber den Anforderungen des Gesetzes. Hier muß man zwingend zwischen verschiedenen Punkten unterscheiden.
Benutzeravatar
EXEWERKER
Beiträge: 807
Registriert: Freitag 12. Februar 2010, 12:43
14
Wohnort: Leipzig
Hat sich bedankt: 1 time
Bedankt: 3 times

Re: "gerichtsfeste" Datensicherung

Beitrag von EXEWERKER »

Ich glaube, wir werden hier nicht weiterkommen.

Es gibt so viele Punkte, denen ich widersprechen möchte.

- Eine Unterschrift einer abhängigen Person ist nichts wert, dann sollte es schon ein Notar sein.
- Das Beweisproblem wird immer bleiben, solange keine qualifizierte Signatur vorliegt
- Das Verfahren ist nicht vollständig
- Das Verfahren ist nicht standardisiert
- ...
- ...
Nichts ist 100%, auch nicht bei kommerziellen Lösungen,
EX EWERKER :-)
Benutzeravatar
Nobbie
Beiträge: 1647
Registriert: Samstag 27. Juli 2013, 11:42
10
Bedankt: 1 time

Re: "gerichtsfeste" Datensicherung

Beitrag von Nobbie »

Hallo,
ich kann nur wärmstens Revilock empfehlen, das nutzen wir seit ca 1/2 Jahr. Die revisionssichere Datensicherung erfolgt täglich nachts, das Netzwerk wird hierdurch im Tagesbetrieb nicht beeinträchtigt und wir haben alle möglichen juristischen Winkelzüge vom Hals. Und das alles zu einem angemessenen Preis ohne Softwarepflegekosten!

mfg Nobbie
Gruß Nobbie

Ich werde keine frühe Turbomed - Downloadversion installieren
Benutzeravatar
wahnfried
PowerUser
Beiträge: 3180
Registriert: Freitag 13. Januar 2006, 23:46
18
Wohnort: Braunschweig

Re: "gerichtsfeste" Datensicherung

Beitrag von wahnfried »

Hallo allerseits,

das Argument, dass ein hash-Wert nicht hundertprozent sicher sei, mag theoretisch korrekt sein. Das Manipulieren eines hash-Wertes erfordert also welche Veränderungen an einer Datei, damit hinterher das gleiche als hash herauskommt: Das sind m.E. mit Sicherheit nicht die Veränderungen, die zu einer im Sinne von Verschleierung veränderten Dokumentation erforderlich wären.

Selbst wenn man es schaffen könnte, die gewünschte Manipulation der Dokumentation so zu kompensieren, dass ein gleicher hash-Wert herauskommt (was m.E. nicht vorab in Klartext übersetzt werden, sondern nur nach "Veränderung und dann prüfen, ob gleicher hash-Wert oder nicht" erfolgen kann...). ist es doch unmöglich, dies gleichzeitig für zwei hash-Werte hinzubekommen - und dann ggfs für deren 5???

Die Methode, den ermittelten Hash-Wert per email zu versenden, dann auszudrucken und mit Unterschriften abzuheften, gibt dann noch eine Überprüfungsmöglichkeit der zeitnahen Erstellung (und sollte vielleicht noch mit "MyDokuStamp" kombinierbar gemacht werden).

Die kriminelle Energie, die nötig wäre, dies zu überlisten (falls überhaupt denkbar), ist in einer Arztpraxis weder zeitlich noch finanziell stemmbar.

behauptet Wahnfried
Macros
Beiträge: 284
Registriert: Mittwoch 22. Oktober 2014, 10:25
9
Bedankt: 1 time

Re: "gerichtsfeste" Datensicherung

Beitrag von Macros »

Geigenberger hat geschrieben:
Meckelein hat geschrieben: ...Im Wortlaut "Berichtigungen und Änderungen von Eintragungen in der Patientenakte sind nur zulässig, wenn neben dem ursprünglichen Inhalt erkennbar bleibt, wann sie vorgenommen worden sind. Dies ist auch für elektronisch geführte Patientenakten sicherzustellen."

Wenn man ein entsprechendes Hash-Verfahren für seine Datensicherungen einigermaßen regelmäßig macht, dann kommt man dieser Forderung wenigstens ein wenig näher.

Ansonsten erfüllt kein Arztprogramm diese Forderung des Gesetzgebers. Und dennoch sind diese Programme von der KV , einer "Körperschaft des öffentlichen Rechts" zugelassen!!? Rechtswidrig zugelassen?

A. Geigenberger

http://vondoczudoc.de/viewtopic.php?f=33&t=5558#p33139
Geigenberger hat geschrieben:... und schon wieder läßt uns die KV - wie beim Kapitel Datensicherheit und Datenschutz - im Stich! Warum wird eine solche Revisionssicherheit bei der Zertifizierung von Arztsoftware nicht zwingend vorgeschrieben? Sonst wird doch auch jede Kleinigkeit reglementiert!
A. Geigenberger
Also ich kenne mindestens 2 Programme die das können.
Epikur und IXX.Concept
Da es ixx Concept kann, würde ich fast vermuten dass es auch Medatixx kann ....
Benutzeravatar
Geigenberger
PowerUser
Beiträge: 1302
Registriert: Dienstag 9. Dezember 2003, 22:26
20
Bedankt: 3 times

Re: "gerichtsfeste" Datensicherung

Beitrag von Geigenberger »

wahnfried hat geschrieben:Die Methode, den ermittelten Hash-Wert per email zu versenden, dann auszudrucken und mit Unterschriften abzuheften, gibt dann noch eine Überprüfungsmöglichkeit der zeitnahen Erstellung (und sollte vielleicht noch mit "MyDokuStamp" kombinierbar gemacht werden).

Die kriminelle Energie, die nötig wäre, dies zu überlisten (falls überhaupt denkbar), ist in einer Arztpraxis weder zeitlich noch finanziell stemmbar.

behauptet Wahnfried
Hallo und Guten Abend,

@Wahnfried: ... Wie Sie das Procedere des e-mail Versands meinen, verstehe ich wahrscheinlich nicht richtig. Das von "MyDokuStamp" generierte - und zum Ausdruck vorgesehene - Textfile kann man ja so und so per email an beliebige Adressen mit "Bordmitteln" nach der Erstellung und sehr zeitnah versenden, wodurch dann erneut ein zeitlicher Bezug dokumentiert wäre.
(Senden Sie mir gerne regelmäßig Ihre Hashcodes und ich stehe für Sie jederzeit gerne als Zeuge zur Verfügung, wann ich die einzelnen Mails erhalten habe :) )
Und weiter: 5 (Fünf!!) Hashcodes so zu überlisten, dass nach Veränderungen am Text bei allen Fünfen wieder der gleiche Hashcode generiert wird UND gleichzeitig der veränderte Text auch noch einen Sinn ergibt dürfte absolut unmöglich sein.

Aber um die allerletzten Zweifel bzgl. Manipulationsmöglichkeiten auszuräumen: Es gibt ein Update! :) 8)
"MyDokuStamp" kann nun die Datei vorher auch noch sehr einfach(!!) verschlüsseln. Dabei wird die Datei gleichzeitig erheblich komprimiert.
Wenn man nun bei so einem GPG-File auch nur 1(!) Buchstaben verändert, dann läßt sich das File auch mit dem richtigen Passwort nicht mehr entschlüsseln! Und dann gibts da noch die Hashcodes...

Die Windows- und Linux-Version: [upgedatet am 3.11.2015]
http://www.MyDownloads.n-bay.de/MyDokuStamp.zip

Bei all diesen technischen Fragen muss ich aber natürlich auch "Ewerker" recht geben: Was nützt eine technisch perfekte Methode, wenn diese dann vor Gericht trotzdem nicht anerkannt wird. Halte ich aber dennoch für unwahrscheinlich - und wohl auch für Unrecht: Denn was soll bewiesen werden: Für einen bestimmten Datenbestand zu einem bestimmten Zeitpunkt der Vergangenheit muss zweifelsfrei bewiesen werden, dass dieser Datenbestand 1. damals so war und 2. bis zum aktuellen Zeitpunkt nicht verändert worden ist. Und dies wird zweifellos mit Hascodes bewiesen.

Viele Grüße
A. Geigenberger

P.S.: "MyDokuStamp" eignet sich im übrigen für jegliche Verschlüsselungsaufgaben hervorragend als ausgesprochen einfach zu bedienendes Programm!
Sapias, vina liques et spatio brevi spem longam reseces... carpe diem, quam minimum credula postero [Horaz]
"Sei klug, gönn dir noch ein Glas Wein ein und hoffe auf nichts weiter. ... Genieße den Tag, und vertraue möglichst wenig auf den folgenden!"
danspie
PowerUser
Beiträge: 858
Registriert: Samstag 15. Juli 2006, 08:48
17
Wohnort: Murnau

Re: "gerichtsfeste" Datensicherung

Beitrag von danspie »

wahnfried schrieb:
Die Methode, den ermittelten Hash-Wert per email zu versenden, dann auszudrucken und mit Unterschriften abzuheften, gibt dann noch eine Überprüfungsmöglichkeit der zeitnahen Erstellung (und sollte vielleicht noch mit "MyDokuStamp" kombinierbar gemacht werden).

Die kriminelle Energie, die nötig wäre, dies zu überlisten (falls überhaupt denkbar), ist in einer Arztpraxis weder zeitlich noch finanziell stemmbar.

behauptet Wahnfried
.. und man müsste diesen Aufwand ja für alle Sicherung seit der zu überprüfenden Dokumentation zu machen, die bei einem Gerichtsverfahren ja schon einige Zeit zurück liegen dürfte - dies dürfte selbst größere Unternehmen vor nicht zu überwindende Probleme stellen ..........
Antworten

Wer ist online?

Mitglieder in diesem Forum: Ahrefs [Bot], Bing [Bot], Google [Bot], Semrush [Bot] und 49 Gäste