Leseprobe: DHZ 08/2019

Crashtest Datensicherheit

Berufliches und Privates zu trennen, gilt auch für die Datensicherheit. Was ist bei der Sicherung von personenbezogenen Daten zu beachten? Die Regeln sind einfach zu beherzigen, wenn sie stringent verfolgt werden. Dirk Größer,
  • Durch die Digitalisierung von Informationen entstehen massenhaft Daten, die komplex genutzt werden können. Es ist wichtig, diese zu schützen.

Die Europäische Datenschutz-Grundverordnung (DSGVO) setzt klare rechtliche Vorgaben für die Verarbeitung und Nutzung sogenannter personenbezogener Daten. Dabei nimmt die DSGVO eine Abstufung bei der Bewertung und damit des Schutzbedarfs vor: So gehören beispielsweise Gesundheitsdaten und auch Daten zur sexuellen Orientierung zu den sogenannten besonderen Arten von personenbezogenen Daten, für die ein strengerer Maßstab für die Verarbeitung und Nutzung gilt.

Daraus leitet sich ab, dass gemäß Art. 32 DSGVO geeignete und angemessene Maßnahmen zu treffen sind, um die Sicherheit der Verarbeitung personenbezogener Daten und damit auch deren Verfügbarkeit und Vertraulichkeit sicherzustellen, so dass die Daten gegen unberechtigten Zugriff und vor Verlust geschützt sind.

Ohne Anspruch auf Vollständigkeit werden im Folgenden einige grundlegende Hilfestellungen für die Praxis gegeben. Je nach Art, Umfang und Nutzung ist immer eine individuelle Beratung dringend anzuraten!

Gerade beim Thema IT-Sicherheit ist ein systematisches und ganzheitliches Vorgehen wichtig. Man kann das mit einer Kette vergleichen, die immer an der schwächsten Stelle reißen wird. Das bedeutet übertragen auf die IT-Sicherheit, dass es beispielsweise nicht ausreicht, eine Firewall zu verwenden, sondern man muss diese auch korrekt und sicher konfigurieren und betreiben.

 

Leistungsstarke Firewall

 

Zunächst sollte man berufliche und private Nutzung strikt trennen. Das bedeutet, dass Hebammen für die berufliche Datenverarbeitung konsequent ausschließlich dafür vorgesehene Geräte einsetzen sollten.

Diese Trennung sollte sich auch auf Netzebene weiter fortsetzen. Das gilt insbesondere für das Home-Office, wo häufig alle Geräte in einem Netz betrieben werden. Hier würde sich als Minimal-Lösung anbieten, die von vielen Routern angebotenen Gastnetz-Funktion zu nutzen. Dabei werden zwei getrennte Netzwerkbereiche gebildet, die für die Trennung der privaten von den beruflich genutzten Endgeräten verwendet werden kann.

Gerade aus dem Internet entstehen viele Gefährdungen. Zur Absicherung des eigenen Netzwerkes ist es unerlässlich, eine leistungsfähige Firewall einzusetzen. Dabei wird häufig übersehen, wie wichtig es ist, dass der Hersteller regelmäßig und zeitnah sicherheitsrelevante Software­updates (sogenannte Patches) herausgibt. Denn nur damit ist die Firewall auch langfristig sicher.

Apropos Netzwerk: Bei der WLAN-Verschlüsselung sollten Hebammen als Verschlüsselungsmethode mindestens WPA2 verwenden, das ist ein Sicherheitsstandard für Funknetzwerke mit einem 20 bis 30 Zeichen langen Passwort. Oder WPA3 bei allen Geräten, die das bereits unterstützen. Auf keinen Fall sollten sie den veralteten Standard WEP nutzen oder das WLAN gar offen betreiben.

 

Passwörter mit mindestens zehn Zeichen

 

Womit wir schon bei einem Dauerthema der IT sind: die Qualität der Passwörter. Schlecht gewählte Passwörter wie »123456« stehen auf der Hitliste besonders häufiger IT-Sicherheitsdefizite ganz weit oben.

Nicht als Passwörter geeignet sind Namen von Familienmitgliedern, des Haustiers, des besten Freundes, des Lieblingsstars, Geburtsdaten und so weiter.

Wichtig ist, dass man sich das Passwort gut merken kann. Hierfür gibt es unterschiedliche Hilfsstrategien: Zum Beispiel merkt man sich einen Satz und benutzt von jedem Wort nur den ersten Buchstaben (oder nur den zweiten oder letzten). Anschließend verwandelt man unter Umständen noch bestimmte Buchstaben in Zahlen oder Sonderzeichen.

Das vollständige Passwort sollte möglichst nicht in Wörterbüchern vorkommen und auch nicht einfach zu erraten sein. Es sollte zudem nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern wie »asdfgh« oder »1234abcd« bestehen.

Generell gilt: Je länger, desto besser. Ein gutes Passwort sollte mindestens zehn Zeichen lang sein. Bei Verschlüsselungsverfahren für WLAN sollte es mindestens 20 Zeichen lang sein.

 

Passwortmanager

 

Nutzen Sie einen sogenannten Passwortmanager, um Ihre unterschiedlichen Passwörter gut und sicher verwalten zu können. Wählen Sie ein starkes Passwort, um den Passwortmanager selbst abzusichern. So müssen Sie sich nur ein komplexes Passwort merken und können trotzdem für die jeweiligen Zugänge sehr starke und unterschiedliche Passwörter verwenden.

 

Schutz vor Schadsoftware

 

Alle Endgeräte sollten mit einem Schutz vor Schadsoftware ausgestattet sein, dem sogenannte Virenscanner, dessen Signaturen zur Virenerkennung in der Regel automatisch von den Scannern selbst aktualisiert werden. Virensignaturen werden von Virenscannern benötigt, um Schadcode wie beispielsweise Viren erkennen zu können. Die Signaturen enthalten Erkennungsmerkmale zur Identifikation von Schadcodes. Man sollte daher hin und wieder den automatischen Aktualisierungsmechanismus der Scanner überprüfen und nachsehen, ob die vom Scanner verwendeten Signaturen aktuell sind.

Bei Windows 10 hat der Microsoft-Scanner beim Erkennen von Viren mittlerweile eine gute Rate erreicht, so dass man auf den Kauf von Zusatzprodukten verzichten kann. Bei Apple-Geräten (macOS) kommt man um ein Zusatzprodukt nicht herum.

 

Updates einspielen

 

Genauso wichtig wie der Virenscanner sind aktuelle Softwareversionen, sowohl bei den Betriebssystemen als auch bei den Anwendungen. Die von den jeweiligen Herstellern der Produkte bereitgestellten Updates müssen regelmäßig und möglichst zeitnah eingespielt werden. Nur so lassen sich Schwachstellen verschließen. Sinnvoll ist ein fester Zeitplan mit Checkliste, die im QM-Ordner hinterlegt ist und die regelmäßige Durchführung dokumentiert. Falls die verwendete Software einen Automatismus für das Updaten anbietet, sollte man diesen aktivieren und nutzen.

 

Die Datensicherung ernst nehmen

 

Gespeicherte Daten sind auf der Festplatte nicht für alle Zeiten sicher und abrufbar. Deshalb müssen Daten regelmäßig extern gespeichert werden.

Werden Teile des Betriebssystems und der installierten Programme und Anwendungen beschädigt, kann das dazu führen, dass eine Anwendung oder auch das Betriebssystem nicht mehr funktioniert. Trotzdem müssen diese Dateien in der Regel nicht zwingend gesichert werden. Meistens gibt es fürs Betriebssystem Reparaturmechanismen. Oder man installiert das Betriebssystem oder die Anwendungen mit den Original-CDs neu.

Wer allerdings die Programme auf die eigenen Bedürfnisse hin verändert oder angepasst hat, sollte die sogenannten Konfigurationsdateien extern speichern, weil die Änderungen darin gesichert sind.

Viel schlimmer ist der Verlust der Anwendungsdaten, also der Dateien, die Hebammen selbst erstellt und auf dem Computer gespeichert haben. Das können Texte, Bilder, Tabellen oder andere Dokumente sein. Verschwinden diese Informationen, sind sie für immer verloren. Daher müssen Anwendungsdaten regelmäßig gesichert werden.

Wie viel Aufwand man bei der Datensicherung betreibt, also wie oft man welche Dateien extern abspeichert, hängt von den konkreten Anforderungen ab. Da Hebammen aber bei beruflich genutzten Daten, insbesondere bei personenbezogenen Daten, unter anderem eine Rechenschaftspflicht haben, sollten sie diese in der Regel möglichst zeitnah und regelmäßig sichern.

Als Speichermedien bieten sich USB-Sticks oder Wechselfestplatten an, je nach Datenmenge. Diese lassen sich gut wiederverwenden und auch problemlos auslagern. So kann man beispielsweise je ein Medium für jeden Wochentag und zusätzlich eines für die jeweilige Wochen- und Monatssicherung nutzen.

 

Checkliste

 

Elf Tipps zur Datensicherheit:

  1. Sicherheitsupdates möglichst automatisch und zeitnah einspielen und alle Systeme auf dem aktuellen Stand halten.
  2. Regelmäßig – täglich oder mindestens einmal wöchentlich – Sicherungskopien machen.
  3. Nicht mit Administrationsrechten arbeiten und Administratorenrechte nur an Administratoren vergeben.
  4. Alle Systeme, die über das Internet erreichbar oder im mobilen Einsatz sind, zusätzlich schützen.
  5. Manipulationen und unberechtigten Zugriff auf Sicherungskopien verhindern.
  6. Festplatten mobil genutzter IT-Systeme müssen vollständig verschlüsselt sein.
  7. Alle Systeme mit Virenscannern ausstatten und diese automatisch aktualisieren lassen.
  8. Sicherungskopien vom gesicherten System trennen und auslagern.
  9. Mindestanforderungen für Passwörter nutzen und die Umsetzung technisch erzwingen.
  10. Alle NutzerInnen mit eigener Zugangskennung (ohne Administrationsrechte) und individuellem Passwort ausstatten.
  11. Wiederherstellen der Daten aus der Sicherungskopie regelmäßig testen.

 

Sicher auslagern

 

Bislang wurde immer so beiläufig von »auslagern« gesprochen. Dennoch ist das ein sehr wichtiger Punkt. Auslagern bedeutet konkret, dass man das Sicherungsmedium ausschließlich für die Dauer des Sicherungsvorgangs mit dem zu sichernden System verbindet und danach vom System trennt und an einem räumlich getrennten Ort sicher verwahrt. Sicher heißt wiederum, dass man die Sicherungsmedien vor unberechtigtem Zugriff in einem abschließbaren und/oder einer Zutrittskontrolle unterworfenem Bereich aufbewahren muss, also in einem abschließbaren Raum, einem Safe oder Schrank. Zudem müssen sie vor schädlichen Umwelteinflüssen wie Feuer, Wasser oder Hitze geschützt sein. Unter »räumlich getrennt« ist hier tatsächlich ein anderes Gebäude oder ein anderer Ort gemeint als der, wo sich die gesicherten Systeme befinden. Denn wenn es an dem Ort der Systeme brennen würde, würden ansonsten auch die Sicherungsmedien vernichtet.

Vertrauen ist gut, Kontrolle ist besser! Das gilt umso mehr für die Datensicherung. Denn diese ist die letzte Verteidigungslinie gegen den Notfall, der bei Versagen der Datensicherung schnell und unbarmherzig zur Katastrophe wird. Das kann erhebliche Folgen für die SystembetreiberInnen haben. Daher ist es wichtig, die korrekte Ausführung der Datensicherung regelmäßig zu kontrollieren und auch die Rücksicherung der gesicherten Daten immer mal wieder zu testen!

 

Mobile Systeme

 

Bei mobil eingesetzten Laptops oder Tablets ist das Risiko eines Verlustes des Gerätes deutlich höher als bei stationär betriebenen Geräten. Daher muss die Festplatte dieser mobil genutzten Geräte vollständig verschlüsselt sein. In der Regel bringen die jeweiligen Betriebssysteme wie Windows, Linux oder MacOS entsprechende Funktionen mit. Man muss sie aber aktivieren!

Wenn man die Verschlüsselung der Festplatte aktiviert, erhält man vom System einen Wiederherstellungs-Schlüssel, mit dessen Hilfe man die Festplatte im Notfall auch wieder entschlüsseln kann. Es ist wichtig, diesen Code sicher und getrennt von den jeweiligen Systemen aufzubewahren!

Da in der heutigen Zeit die Technik der Geräte leistungsfähig ist, wird sie durch die Verschlüsselung der Festplatte nicht spürbar langsamer. Insofern sollte man auch bei stationären Geräten über eine Verschlüsselung der Festplatten nachdenken.

Rubrik: Beruf & Praxis | DHZ 08/2019