Thema




        INFO    PASSWORTMANAGEMENT                                             konnte der digitale Schädling aber glücklicher-

                                                                               weise nicht. An diesem Beispiel wird deutlich,
          Passwörter sollten individuell und geheim sein. Die wichtigsten Empfehlungen   dass Cyberkriminelle unablässig versuchen,
          für den sicheren Umgang mit Passwörtern stammen vom Bundesamt für Sicher-  über Geräte wie Router oder Hardware-Fire-
          heit in der Informationstechnik (BSI).                               walls in die lokalen Netze einzudringen. Aus
                                                                               diesem Grund ist es auch für eine Arztpraxis
          SICHERES PASSWORT Das BSI hat eine Reihe von „Regeln zu Passwortgestaltung und -gebrauch“   wichtig, diese Geräte so einzustellen und zu
          festgelegt. Beispielsweise soll ein Passwort aus Großbuchstaben, Kleinbuchstaben, Sonderzeichen   warten, dass ein Angreifer die Kontrolle über
          und Zahlen bestehen. Mindestens zwei dieser Zeichenarten sollten verwendet werden und das   den Datenverkehr nicht übernehmen kann. In
          Passwort sollte mindestens 8 Zeichen lang sein. Außerdem muss das Passwort regelmäßig    der Regel sorgt der IT-Dienstleister, mit dem
          gewechselt werden, zum Beispiel alle 90 Tage. Eigentlich eine Selbstverständlichkeit: Passwörter   die Praxis zusammenarbeitet, für den nötigen
          müssen geheim gehalten werden und sollten nur dem Benutzer persönlich bekannt sein.  Schutz der Praxis-IT. Wer auf Nummer sicher
            Einen Schritt weiter als das BSI geht das amerikanische Institut für Standards und Technologie   gehen möchte, sollte sein Praxisnetz inklusive
          (NIST), welches die technischen Standards für US-Behörden festlegt. Auf Grundlage neuester Unter-  aller Komponenten und Einstellungen regel-
          suchungen empfiehlt das NIST, Passwörter nicht mehr regelmäßig, sondern nur noch bei Bedarf    mäßig von einem Experten überprüfen und
          zu wechseln. Untersuchungen haben ergeben, dass häufiger Passwortwechsel dazu führt, dass die   aktualisieren lassen.
          Nutzer einfach zu knackende Passwörter verwenden. Auch rät das NIST dazu, Leerzeichen in
          den Passwörtern zu verwenden, weil diese Hackern Probleme bereiten. Passwörter sollten nicht    Analyse der Schwachstellen
          zu komplex sein, damit man sie sich merken kann, aber mindestens aus 12 Zeichen bestehen.    Von Großbanken ist bekannt, dass sie die Ver-
          „Meiner Katze geht es gut“ soll demnach sicherer sein als „Jm3!45k§“.<     C BSI.DE    C NIST.GOV   lässlichkeit ihrer IT durch professionelle Ha-
                                                                               cker testen lassen. Diese Experten versuchen
                                                                               in einem sogenannten IT-Penetrationstest mit
          getrennten Computer zu verwenden. Weil dies  kannt gewordene Sicherheitslücke in Routern  denselben Methoden, die auch kriminelle Ha-
        im Praxisalltag jedoch zutiefst unpraktikabel  nutzen, um die WLAN-Passwörter auszuspä-  cker verwenden, in das Computernetz einzu-
        ist, empfehlen sie auch, Internetanwendungen  hen und auf diese Weise die Kontrolle über die  dringen. Im Gesundheitswesen sind solche
        zumindest über einen zwischengeschalteten  Router übernehmen. Die so gekaperten Router  Tests zukünftig für Gesundheitseinrichtungen
        Proxyserver zu nutzen.             sollten zu einem großen Netz (Botnetz) zu-  vorgeschrieben, die zur Kritischen Infrastruk-
                                           sammengeschlossen werden und sich mittels  tur (KRITIS) zählen – zurzeit sind das zum
        Angriff auf die Hardware           einer eingeschleusten Schadsoftware an noch  Beispiel Krankenhäuser mit über 30 000 Pati-
        Die Hardware ist nach Software und Nutzer  größeren Angriffen beteiligen. Die Telekom-  enten pro Jahr.
        das dritte große Angriffsziel der kriminellen  Kunden hatten Glück im Unglück, weil das ei-  Für Arztpraxen wäre die Durchführung
        Hacker. Ende November 2016 brachten Cyber-  gentliche Ziel des Angriffs die Router anderer  solcher Tests so, als würde man mit Kanonen
        kriminelle Hunderttausende Internetrouter  Anbieter waren. Deshalb kam es zwar zu ei-  auf  Spatzen  schießen.  Hier  genügt  eine
        der Telekom zum Absturz. Wie sich heraus-  nem Überlastungsangriff, der die Geräte vor-  IT-Schwachstellenanalyse, bei der anhand von
        stellte, wollte der Angreifer eine zuvor be-  übergehend schachmatt setzte. Eindringen  Checklisten alle IT-Systeme, die personenbe-
                                                                               zogene Daten verarbeiten, kontrolliert werden.
        INFO    DATENSICHERUNG                                                 Dabei werden vom IT-Dienstleister oder einem

                                                                               externen IT-Sicherheitsexperten Einstellungen
          Trotz aller IT-Sicherheitsvorkehrungen bleibt immer ein Restrisiko bestehen.     von Router und Firewall überprüft und Hand-
          Damit es nicht so weit kommt, sollten die Praxen regelmäßig ihre Daten     lungsregeln für die Mitarbeiter definiert.
          sichern, um sie bei Bedarf wiederherstellen zu können.                 Wie es um die IT-Sicherheit in Arztpraxen
                                                                               bestellt ist, hat das Schweizer Unternehmen
          BACK-UP Seit Erpressertrojaner wie Locky ihr Unwesen treiben, gilt die Drei-Generationen-   First Security Technology aus Chur untersucht.
          Sicherung – tägliches, wöchentliches und monatliches Back-up auf jeweils einem Datenträger – als   Im Auftrag des Schweizer Tages-Anzeigers
          veraltet. Computerviren können eine längere „Inkubationszeit“ haben und zum Beispiel erst am Tag   führten die Experten IT-Schwachstellenanaly-
          nach der Infektion losschlagen. Damit nicht bereits die Datensicherung vom Vortag infiziert ist, soll-  sen durch, ohne die Praxis vor Ort aufzusuchen.
          te jeder Wochentag mit einem eigenen Datenträger gesichert werden. Da die Angreifer ohne Vor-  Pascal Mittner und sein Team haben eine Soft-
          warnung alle Datenträger verschlüsseln, die sie im Praxisnetz finden, empfiehlt es sich, die   ware entwickelt, mit der sie über das Internet
          Back-up-Festplatten nur für die Dauer der Datensicherung an den Computer anzuschließen und sie   auf die Praxis-IT zugreifen und mit verschie-
          danach an einem sicheren Ort aufzubewahren. Hierfür kommen ein Tresor oder ein anderes Gebäu-  densten Prüftechniken die Schwachstellen in
          de infrage. Neben dem täglichen Back-up sollten wöchentliche, monatliche und jährliche Sicherun-  Form von Softwarefehlern und Falschkonfigu-
          gen vorgenommen werden. Wichtig: Gute Programme zur Datensicherung melden, ob ein Back-up   rationen identifizieren. Von 256 angefragten
          erfolgreich verlief oder ob Fehler aufgetreten sind. Diese Meldungen sollte man sich immer an-  Ärzten waren 110 an einem Sicherheitstest
          schauen. Außerdem sollte regelmäßig überprüft werden, ob mit dem Datenträger gesicherte Daten   interessiert. Davon brachten elf Ärzte den Mut
          im Notfall zurückgespielt werden können.<                            auf, ihre Computersysteme für eine ihnen un-
                                                                               bekannte IT-Firma zu öffnen. Technische und

    22   x.press 18.1