zur Navigation zum Inhalt
 
Praxis 20. September 2007

Wie sicher sind persönliche Daten vor betrügerischen Angriffen?

Sobald ein Computer an das Internet angeschlossen ist, sind die Praxisdaten ein mögliches Ziel von verschiedenen Angreifern. Ärzten scheinbar so vertraute Erreger wie Viren oder Würmer bedürfen jedoch spezieller Präventionsmaßnahmen, wie einem gesunden Maß an Misstrauen sowie einer geeigneten Sicherheitssoftware.

Gerald Schmidt, Leiter des Bereichs Netzwerk-, Security- und Telekommunikation der Medizinischen Universität Innsbruck über die Gefahren bei der Datenübertragung von vertraulichen Praxisdaten.

Immer öfter ist zu lesen und zu hören, dass enorme finanzielle Schäden durch „Phishing“ im Netz entstehen. Es gibt ja sogar eine eigene Antiphishing-Arbeitsgruppe, die sich der Bekämpfung von Online-Betrug und Identitätsdiebstahl widmet. Ist dies eine Gefahr, die auch Ärzte und Ärztinnen betrifft?
Schmidt: Ja! Jeder, der auf einen ­Phishing-Betrüger hereinfällt, kann sehr viel Geld verlieren. Phishing heißt: der Angreifer versucht mit gefälschten Mails und Webseiten sein Opfer dazu zu bewegen, Benutzerdaten, vor allem aber Kreditkartennummern, Kontodaten, persönliche Kennwörter und auch Pin-Codes per Mail zu versenden oder auf einer Webseite einzugeben. Die Mails oder Webseiten ­werden so gestaltet, als kämen sie tatsächlich von Banken oder anderen Insti­tu­tionen. Erst bei genauem Hinsehen entpuppen sie sich als Fäl­schun­gen.

Wie wehre ich solche Phishing-Angriffe ab?
Schmidt: Wichtig ist, dass Sie vor Preisgabe jeglicher persönlicher oder finanzieller Daten sichergehen, dass Sie sich auf der „echten“ Website befinden. Beispielsweise sollten Sie immer kontrollieren, dass die Internetadresse mit „https“ beginnt („s“ für sicher) und nicht nur mit „http“. Bei https-Verbindungen sollte im Browserfens­ter ein geschlossenes Vorhängeschloss oder ein unversehrter Schlüssel zu sehen sein. Ein Doppelklick auf das Schloss sollte Sie zum Sicherheitszertifikat für die betreffende Seite führen. Vergleichen Sie überdies vorsichtshalber auch gleich den Namen des Unternehmens im Sicherheitszertifikat mit dem in der Internetadresse. Unstimmigkeiten können ein Hinweis auf eine gefälschte Seite sein!

Kann sich auch jemand bei mir einloggen, während ich Patientendaten übertrage?
Schmidt: Es gibt bestimmte Programme, die sich über verschiedene Wege in Ihren Computer ­einschleichen können. Ein dem Anschein nach harmloses oder nützliches heruntergeladenes ­Pro­-gramm kann zum Beispiel einen so genannten Trojaner enthalten. Dieser führt dann ohne Ihr Wissen unerwünschte Funktionen auf Ihrem Rechner aus oder installiert weitere Programme. Diese können dann zum Ausspionieren von Benutzerdaten, zur Überwachung des Datenverkehrs oder sogar zur Fernsteuerung des befallenen Rechners dienen. Für die Fernsteuerung eines Rechners wird zum Beispiel eine Backdoor (eine so genannte Hintertüre) installiert, durch die der Angreifer den Rechner übernimmt. Er kann dann ohne Wissen des PC-Besitzers gezielt Funktionen ausführen, wie zum Beispiel Spam verschicken.

Wie kann ich mich vor solchen schädlichen Programmen wie Trojanern, Viren, Würmern u. Ä. schützen?
Schmidt: Softwarehersteller bieten dazu so genannte Security Suiten an: Je nach Hersteller erwerben Sie dabei ein Paket aus Virenschutz, Firewall, Antispam-Schutz, Anti­spyware-Schutz und anderen Sicherheitsprogrammen für einen klassischen Arbeitsplatzrechner. Stecken Sie darüber hinaus keine fremden USB-Sticks an Ihren PC, laden Sie keine Dateien aus dem Internet auf Ihren PC, wenn Sie kein aktuelles Virenschutzprogramm haben und behandeln Sie alle eingehenden E-Mails mit einer gesunden Portion Misstrauen. ­Verwenden Sie zudem zwischen Ihrem Rechner/Netzwerk und dem Internet eine Firewall – und machen Sie vor allem regelmäßig ­Sicherheitsupdates Ihrer Betriebssysteme und Arbeitsprogramme.

Brauche ich diese Sicherheitsupdates auch dann, wenn mein PC und die dazugehörigen Sicherheitsprogramme relativ neu sind?
Schmidt: Auf jeden Fall. Solche Sicherheitsupdates sind genauso wichtig wie das aktuelle Sicherheitsprogramm selbst. Wenn man zum Beispiel mit einem frisch installierten Windows-XP-Rechner mit Servicepack 1 ins Internet geht, so hat man heute oft nicht einmal mehr die notwendige Zeit, um alle Updates herunterzuladen. Mir ist dies selbst schon untergekommen. Der Rechner hing zehn Minuten direkt am Internet, und schon wurde er von einem Wurm namens Sasser befallen. Sasser nützt eine Lücke in Windows XP aus, die bei Windows XP erst ab Servicepack 2 behoben wurde. Ich musste mir dieses Update dann mit einem anderen Rechner erst herunterladen. Sicherheitsupdates und Servicepacks enthalten Korrekturen von Programmierfehlern, sofern diese bekannt sind. Deshalb sind sie so unerlässlich!

Wie mache ich solche Updates?
Schmidt: Die Updates geschehen eigentlich automatisch, vorausgesetzt, der Rechner oder Server, auf dem die Software installiert ist, ­verfügt über eine Verbindung ins Internet. Die meisten Benützer kennen den Zweck und Nutzen dieser Updates aber nicht und beantworten die Anfrage des Programms, ob es mit dem Update beginnen soll, mit: „Später fragen“ oder „Nicht mehr fragen“. Einige Computerzeitschriften bieten diese Updates auch als Heftbeigabe auf einer CD oder DVD an.

Kann ich eigentlich auch von zu Hause aus auf meinen Praxis­server zugreifen?
Schmidt: Prinzipiell ja! Eine der ­sichersten Methoden ist die so ­genannte VPN-Technik („Virtual ­Private Network Technology“). Vo­raussetzung ist, dass man an beiden Standorten einen Internetzugang hat. Zudem müssen auf der Praxisseite eine Firewall und ein VPN-Server stehen. Beide Programme können Sie entweder zusammen – meist in Form einer Box – zukaufen oder auch selbst aus dem Internet herunterladen. Im letzteren Fall müssen Sie die Programme noch auf einen eigenen Rechner installieren, der Ihnen dann quasi als „VPN-Server“ dient. Mit dem VPN-Client stellen Sie dann eine Verbindung zum VPN-Server her und bauen damit einen virtuellen Tunnel auf. Entscheidend ist, dass ein VPN-Tunnel stark verschlüsselt ist. Deshalb kann diese Verbindung nur äußerst schwer bis „fast“ gar nicht abgehört werden. Das ist recht praktisch!

Was ist, wenn ich einmal selbst Daten von meinem PC entfernen möchte oder gar den ganzen Computer entsorge?
Schmidt: Gerade für Ärzte, die viele vertrauliche Daten zu schützen haben, ist die richtige Datenentfernung ein brisantes Thema. Denn selbst das am meisten verwendete Betriebssystem Windows hat eine eigenartige Methode, Daten zu löschen: Wenn Sie zum Beispiel Daten unter Windows löschen, wird nur der Verweis auf die Datei entfernt. Das ist so, als würde ich aus einem Buch nur das Inhaltsverzeichnis entfernen, nicht aber die betreffenden Seiten. Mit speziellen Programmen kann dann eine auf diese Weise gelöschte Datei wieder rekonstruiert werden. Bevor Sie also eine Festplatte weitergeben oder auch verkaufen, sollten Sie sicherstellen, dass darauf keine Daten mehr lesbar sind. Dazu gibt es spezielle Programme: Die einen entfernen die Dateien nicht nur aus dem Index, sondern überschreiben diese auch gleich mit sinnlosen Werten; die anderen formatieren die Festplatte in einer Art und Weise, sodass wirklich keine Daten mehr auf dem Datenträger vorhanden sind.
Einkaufstests bei eBay haben nämlich gezeigt, dass bei den meis­ten Festplatten die Daten rekonstruiert werden konnten. Es war bei einem Test sogar eine Festplatte aus einem Bankomatrechner dabei, auf der noch alle Transaktionsdaten lesbar waren. Dies gilt übrigens auch für USB-Sticks und Speicherkarten!

Zum Schluss eine persönliche Frage: Wie machen Sie Ihre Bankgeschäfte?
Schmidt: Wie sieht denn ein Bankschalter heute überhaupt aus? (Lacht!)

 Computer-Erreger auf einen Blick

Dr. A. V. Scheiderbauer, Ärzte Woche 38/2007

Zu diesem Thema wurden noch keine Kommentare abgegeben.

Medizin heute

Aktuelle Printausgaben