Page 22 - xpress_Ausgabe 18.1
P. 22
Thema
INFO PASSWORTMANAGEMENT konnte der digitale Schädling aber glücklicher-
weise nicht. An diesem Beispiel wird deutlich,
Passwörter sollten individuell und geheim sein. Die wichtigsten Empfehlungen dass Cyberkriminelle unablässig versuchen,
für den sicheren Umgang mit Passwörtern stammen vom Bundesamt für Sicher- über Geräte wie Router oder Hardware-Fire-
heit in der Informationstechnik (BSI). walls in die lokalen Netze einzudringen. Aus
diesem Grund ist es auch für eine Arztpraxis
SICHERES PASSWORT Das BSI hat eine Reihe von „Regeln zu Passwortgestaltung und -gebrauch“ wichtig, diese Geräte so einzustellen und zu
festgelegt. Beispielsweise soll ein Passwort aus Großbuchstaben, Kleinbuchstaben, Sonderzeichen warten, dass ein Angreifer die Kontrolle über
und Zahlen bestehen. Mindestens zwei dieser Zeichenarten sollten verwendet werden und das den Datenverkehr nicht übernehmen kann. In
Passwort sollte mindestens 8 Zeichen lang sein. Außerdem muss das Passwort regelmäßig der Regel sorgt der IT-Dienstleister, mit dem
gewechselt werden, zum Beispiel alle 90 Tage. Eigentlich eine Selbstverständlichkeit: Passwörter die Praxis zusammenarbeitet, für den nötigen
müssen geheim gehalten werden und sollten nur dem Benutzer persönlich bekannt sein. Schutz der Praxis-IT. Wer auf Nummer sicher
Einen Schritt weiter als das BSI geht das amerikanische Institut für Standards und Technologie gehen möchte, sollte sein Praxisnetz inklusive
(NIST), welches die technischen Standards für US-Behörden festlegt. Auf Grundlage neuester Unter- aller Komponenten und Einstellungen regel-
suchungen empfiehlt das NIST, Passwörter nicht mehr regelmäßig, sondern nur noch bei Bedarf mäßig von einem Experten überprüfen und
zu wechseln. Untersuchungen haben ergeben, dass häufiger Passwortwechsel dazu führt, dass die aktualisieren lassen.
Nutzer einfach zu knackende Passwörter verwenden. Auch rät das NIST dazu, Leerzeichen in
den Passwörtern zu verwenden, weil diese Hackern Probleme bereiten. Passwörter sollten nicht Analyse der Schwachstellen
zu komplex sein, damit man sie sich merken kann, aber mindestens aus 12 Zeichen bestehen. Von Großbanken ist bekannt, dass sie die Ver-
„Meiner Katze geht es gut“ soll demnach sicherer sein als „Jm3!45k§“.< C BSI.DE C NIST.GOV lässlichkeit ihrer IT durch professionelle Ha-
cker testen lassen. Diese Experten versuchen
in einem sogenannten IT-Penetrationstest mit
getrennten Computer zu verwenden. Weil dies kannt gewordene Sicherheitslücke in Routern denselben Methoden, die auch kriminelle Ha-
im Praxisalltag jedoch zutiefst unpraktikabel nutzen, um die WLAN-Passwörter auszuspä- cker verwenden, in das Computernetz einzu-
ist, empfehlen sie auch, Internetanwendungen hen und auf diese Weise die Kontrolle über die dringen. Im Gesundheitswesen sind solche
zumindest über einen zwischengeschalteten Router übernehmen. Die so gekaperten Router Tests zukünftig für Gesundheitseinrichtungen
Proxyserver zu nutzen. sollten zu einem großen Netz (Botnetz) zu- vorgeschrieben, die zur Kritischen Infrastruk-
sammengeschlossen werden und sich mittels tur (KRITIS) zählen – zurzeit sind das zum
Angriff auf die Hardware einer eingeschleusten Schadsoftware an noch Beispiel Krankenhäuser mit über 30 000 Pati-
Die Hardware ist nach Software und Nutzer größeren Angriffen beteiligen. Die Telekom- enten pro Jahr.
das dritte große Angriffsziel der kriminellen Kunden hatten Glück im Unglück, weil das ei- Für Arztpraxen wäre die Durchführung
Hacker. Ende November 2016 brachten Cyber- gentliche Ziel des Angriffs die Router anderer solcher Tests so, als würde man mit Kanonen
kriminelle Hunderttausende Internetrouter Anbieter waren. Deshalb kam es zwar zu ei- auf Spatzen schießen. Hier genügt eine
der Telekom zum Absturz. Wie sich heraus- nem Überlastungsangriff, der die Geräte vor- IT-Schwachstellenanalyse, bei der anhand von
stellte, wollte der Angreifer eine zuvor be- übergehend schachmatt setzte. Eindringen Checklisten alle IT-Systeme, die personenbe-
zogene Daten verarbeiten, kontrolliert werden.
INFO DATENSICHERUNG Dabei werden vom IT-Dienstleister oder einem
externen IT-Sicherheitsexperten Einstellungen
Trotz aller IT-Sicherheitsvorkehrungen bleibt immer ein Restrisiko bestehen. von Router und Firewall überprüft und Hand-
Damit es nicht so weit kommt, sollten die Praxen regelmäßig ihre Daten lungsregeln für die Mitarbeiter definiert.
sichern, um sie bei Bedarf wiederherstellen zu können. Wie es um die IT-Sicherheit in Arztpraxen
bestellt ist, hat das Schweizer Unternehmen
BACK-UP Seit Erpressertrojaner wie Locky ihr Unwesen treiben, gilt die Drei-Generationen- First Security Technology aus Chur untersucht.
Sicherung – tägliches, wöchentliches und monatliches Back-up auf jeweils einem Datenträger – als Im Auftrag des Schweizer Tages-Anzeigers
veraltet. Computerviren können eine längere „Inkubationszeit“ haben und zum Beispiel erst am Tag führten die Experten IT-Schwachstellenanaly-
nach der Infektion losschlagen. Damit nicht bereits die Datensicherung vom Vortag infiziert ist, soll- sen durch, ohne die Praxis vor Ort aufzusuchen.
te jeder Wochentag mit einem eigenen Datenträger gesichert werden. Da die Angreifer ohne Vor- Pascal Mittner und sein Team haben eine Soft-
warnung alle Datenträger verschlüsseln, die sie im Praxisnetz finden, empfiehlt es sich, die ware entwickelt, mit der sie über das Internet
Back-up-Festplatten nur für die Dauer der Datensicherung an den Computer anzuschließen und sie auf die Praxis-IT zugreifen und mit verschie-
danach an einem sicheren Ort aufzubewahren. Hierfür kommen ein Tresor oder ein anderes Gebäu- densten Prüftechniken die Schwachstellen in
de infrage. Neben dem täglichen Back-up sollten wöchentliche, monatliche und jährliche Sicherun- Form von Softwarefehlern und Falschkonfigu-
gen vorgenommen werden. Wichtig: Gute Programme zur Datensicherung melden, ob ein Back-up rationen identifizieren. Von 256 angefragten
erfolgreich verlief oder ob Fehler aufgetreten sind. Diese Meldungen sollte man sich immer an- Ärzten waren 110 an einem Sicherheitstest
schauen. Außerdem sollte regelmäßig überprüft werden, ob mit dem Datenträger gesicherte Daten interessiert. Davon brachten elf Ärzte den Mut
im Notfall zurückgespielt werden können.< auf, ihre Computersysteme für eine ihnen un-
bekannte IT-Firma zu öffnen. Technische und
22 x.press 18.1