Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis

Technische Anlage Teil 2: Begrenzung von Programmprivilegien, Anpassung der Standardeinstellungen, Beachtung der Handbücher, Nutzung von Chipkarten

Die Kassenärztliche Bundesvereinigung - Bundesärztekammer hat Empfehlungen zur ärztlichen Schweigepflicht, zum Datenschutz und zur Datenverarbeitung veröffentlicht. Der DOV greift diese Empfehlungen auf und veröffentlich sie themenbezogen als fortlaufende Serie im vorliegenden Online-Magazin.

Mit freundlicher Genehmigung: Dtsch Ärztebl 2008; 105(19): A-1026

Begrenzung von Programmprivilegien
Neben der Rechtevergabe an einzelne Benutzer verfügen ausführbare Programme über bestimmte Zugriffsrechte und Systemprivilegien. Ein Benutzer vererbt in vielen Fällen die eigenen Berechtigungen an das gestartete Programm. Im Rahmen eines Angriffs und der Zweckentwendung des Programms durch den Angreifer, verfügt dieser somit über die vererbten Rechte des Benutzers. Programm-Berechtigungen sollten eingehend geprüft und nur mit Rechten ausgestattet werden, welche eine fehlerfreie Anwendung dieser garantieren.

Anpassung der Standardeinstellungen
Viele Betriebssysteme und Softwareapplikationen sind vom Hersteller häufig mit Standardpasswörtern und Standard-Benutzer-Accounts vorkonfiguriert. Um Missbrauch zu vermeiden, müssen diese deaktiviert werden. Auch ist häufig die Programm- oder Systemkonfiguration noch nicht mit sicheren Vorgaben vorbelegt. Ein „frisch“ installiertes und noch nicht an die eigenen (Sicherheits-)Bedürfnisse angepasstes System sollte deshalb nie im produktiven Betrieb (bspw. in der Arztpraxis) genutzt werden! Betriebssysteme besonders exponierter Rechner sowie wichtige Server müssen „gehärtet“ werden. Das bedeutet in der IT-Sicherheit die Entfernung aller Softwarebestandteile und Funktionen, die zur Erfüllung der vorgesehenen Aufgabe durch das Programm nicht zwingend notwendig sind. Dadurch sinkt das Risiko, dass ein Angreifer durch den Missbrauch eines ungenutzten Programms Administrator-Privilegien auf dem System erlangt, die „Angriffsfläche“ des Systems wird reduziert.

Beachtung der Handbücher
Die zu einem System gelieferten Produktdokumentationen sollten aufmerksam gelesen werden. Oft werden Warnhinweise des Herstellers übersehen, wodurch dann später Probleme auftreten: Inkompatibilitäten, Systemabstürze oder unentdeckte Schwachstellen. Insbesondere die in Handbüchern in der Regel enthaltenen Hinweise für die sichere Konfiguration und den Betrieb sollten unbedingt befolgt werden.

Nutzung von Chipkarten
Chipkarten sind sichere Träger von kryptographischen Schlüsseln. Bei Vorliegen der notwendigen Sicherheitszertifizierungen für die Chipkarte bieten sie einen effektiven Schutz der Schlüssel, da diese nicht von der Karte ausgelesen werden können. Kann ein Sicherheitsmechanismus auf den Schutz eines kryptographischen Schlüssels durch eine Chipkarte zurückgeführt werden, ist der Nachweis seiner Sicherheit und Effizienz einfach.

Chipkarten werden für die Ver-/Entschlüsselung von Daten, der Authentisierung des Inhabers gegenüber elektronischen Diensten und die (ggf. sog. qualifizierte, d. h. rechtsgültige) elektronische Signatur eingesetzt. Aufgrund der beschriebenen Funktionen sind Chipkarten und die dazugehörigen geheimen PINs vom Eigentümer (z. B. Arzt) insbesondere vor Verlust oder den Zugriff durch Dritte zu schützen. Detaillierte Hinweise dazu liefert der Aussteller der Chipkarte in seiner Dokumentation.

Es wird empfohlen, Daten für den Transport über potentiell unsichere Netzwerke mit dem öffentlichen Schlüssel der Chipkarte des Empfängers zu verschlüsseln (sog. Hybridverschlüsselung mit asymmetrischer Kryptographie). Dies gilt z. B. für den Versand von medizinischen Daten per E-Mail in einem Intranet oder über andere Kommunikationsprotokolle und Anwendungen, wie z. B. Anwendungen für elektronische Patientenakten. Auch die Authentisierung des Arztes z. B. gegenüber einem medizinischen Web-Portal in einem Intranet sollte über eine Chipkarte erfolgen. Bisher übliche Verfahren mit Username und Passwort können bei weitem nicht die Sicherheit einer Chipkarte bieten.

Werden private/geheime kryptographische Schlüssel nicht auf eine sicherheitszertifizierte Chipkarte sondern als sog. Soft-Keys auf der Festplatte abgelegt, sind sie grundsätzlich Angriffen ausgesetzt. So kann ein spezialisierter Schadcode den Schlüssel samt ggf. erforderlichem Passwort stehlen und sowohl medizinische Daten entschlüsseln und dem Angreifer zuleiten als auch mit der Identität des Arztes auf elektronische Dienste (z. B. Webportale) mit Patientendaten zugreifen. Dies würde eine folgenschwere Kompromittierung der entsprechenden Dienste bedeuten.