Warnung an Zahnarztpraxen, oder: Besuch beim Zahlarzt

Vorbemerkung
Ich bin einer dieser IT-Selbständigen, wie es Zehntausende gibt. Mein hauptsächliches Arbeitsgebiet ist Internet-Werbung, also eine Kombination aus Suchmaschinen-Optimierung (SEO) und Webdesign.
Natürlich erwarten meine Kunden von mir, dass ich ihre Computer und ihr Netzwerk betreuen kann. PC-Technik und Netzwerk-Arbeit sind also im Paket ganz selbstverständlich mit drin. Nolens volens habe ich jetzt, nach mehr als zehn Jahren Berufserfahrung mit Büro-Netzwerken, eine gewisse Fachkenntnis. Soll heißen, ich kann die Kostenseite, die Hardware-Anforderungen und den Einrichtungsaufwand einschätzen. Zudem verfüge ich, auch dies ein typisches Merkmal des alten Hasen, über ein Netzwerk aus Berufskontakten, mit dem ich sowohl Aufträge als auch Fachwissen austausche.

Hier eine Warnung an Zahnarztpraxen.

Sie kennen das: die Symptombeschreibung ist nie sehr exakt. „Tut weh“ ist in der Regel die genaueste Beschreibung, die Sie erhalten, und wenn Sie Glück haben, kommt noch eine Ortsbeschreibung.
Das ist bei mir nicht unähnlich, nur, dass es „tut NICHT“ heißt. Dann geht es weiter wie bei Ihnen: Klappe auf und nachsehen.

Was diesmal nicht tat, war das Internet.

Es „tat nicht“ seit mehr als einem Dreivierteljahr.
Das ist für eine Zahnarztpraxis mit einer Ärztin und vier Angestellten, die Vollzeit arbeiten, ziemlich lang. Schließlich müssen ja Rechnungen, Steuerdaten und auch Patientendaten mit Patienten, Steuerberater, Zahntechnikern und Krankenkassen ausgetauscht werden.

Eine solche Situation darf nicht eintreten. Es entsteht nämlich sofort Schaden: hohe Kosten für Arbeitszeit, Telefon, Mahngebühren für verspätet erledigte Rechnungen und generell eine unglaubliche Ineffizienz des Bürobetriebes, die für Stress sorgt und schlechten Eindruck macht.

Das Seltsame daran: man hat die Netzwerkfirma im Hause, zwei Stockwerke höher. Der Techniker hat all dies eingerichtet. Seit etwa einem Dreivierteljahr jedoch erklärt besagter Techniker, ehe nicht das Hausnetz modernisiert ist, könne das Internet nicht repariert werden.

„Haus-Netz?“

Im zweiten Stock ist der Technikraum, dessen Verkabelung aussieht wie schwäbischer Wurstsalat. Noch mehr ist verwurstelt: Kabel hängen aus einem Loch, das mit krudem Werkzeug in die Decke geschlagen wurde, eine Armada von hintereinander geschalteten Mehrfachsteckern wälzt sich unter den Tischen, aus der Wand hängen blanke Drähte, die zu etwas führen, was wohl als Telefonanlage dient.

Obendrauf thront das DSL-Modem der Zahnärztin: eine Vodafone Easy-Box. Und die Box „hat Internet“, wie man so schön sagt. Sie strahlt es auch per WLAN nach allen Seiten ab. Selbstverständlich unverschlüsselt und ungesichert.

Nur die Zahnarztpraxis hat nichts davon.

Dieser „Technikraum“ gehört einer anderen Firma und ist offen. Will sagen, die Tür steht offen. Auch der Vorraum ist offen. Und im Hause ist, natürlich, Publikumsverkehr: Patienten, Kunden, Mandanten laufen durchs Treppenhaus. Wer will, kann den Datenverkehr aller Firmen im Hause nicht nur mitlesen oder manipulieren, er kann auch alle Geräte mitnehmen. Mich hat ja auch keiner gefragt, was ich da mache, als ich mein Notebook an das Praxis-Modem anschließe.

Das Büro des Technikers nebenan ist abgeschlossen. Klar, seine Daten schützt er.

Zu diesem Zeitpunkt wusste ich noch nichts über die eigentliche Netzwerk-Situation. Ich weiß nur, dass ein Büro ohne Internet-Anschluss nicht normal arbeiten kann. Da die Leitungen des Haus-Netzes (es handelt sich um alte Telefon-Drähte) marode sind, leite ich zunächst das Internet-Signal durch einen Steckdosen-Stecker ins Erdgeschoss und schließe den PC an, der seltsamerweise zwei Netzwerk-Karten hat. Vielleicht soll diese Sicherungskopie darüber hinwegtrösten, dass eine Lösung für Datensicherung nicht implementiert wurde.

Die zwei Netzwerk-Adapter? Das ist aus Sicherheitsgründen, um die Netze zu trennen, erklärt mir eine Zahnarzthelferin. Hat der Techniker so eingerichtet. Ebenso wie die Telefon-Anlage, die alle Firmen im Haus versorgt, die Weiterleitung aller Signale durch alte Telefondrähte in den Wänden (die irgendwann korrodiert sind und die Praxis im Erdgeschoss daher nicht mehr mit Signalen versorgen. Finde ich nicht schlimm: Telefondraht taugt nix für moderne LANs.)

Wie sinnvoll das ist? Lassen Sie es mich so ausdrücken: stellen Sie sich vor, Sie hängen an Ihre Haustür ein Schild mit der Aufschrift: liebe Diebe, benutzt bitte den Nebeneingang! Und die Haustüre lassen Sie obendrein unabgeschlossen und angelehnt.
Die Zahnarztpraxis hat also, technisch gesehen, zwei Netze. Das verdoppelt die Kosten für Hardware und Installation, hat aber keinen Nutzen für die Ärztin. Schon gar nicht, da die Internet-Verbindung ja weg ist. Ich teste das Netz mit Ping und erhalte keinerlei Verbindung zum DSL-Modem.

Ich schließe die Steckdosen-Verbindung an die richtige Netzwerkkarte an, und schon sind wir wieder online. Auftrag erledigt.

Die Ärztin teilt mit, ihr Netzwerk ausbauen zu wollen. In meinem Bericht schreibe ich den Vorschlag, wie die Vernetzung möglich wäre und weise auch darauf hin, dass es eigenartig ist, Telefonie und DSL für eine Arztpraxis zwei Stockwerke höher in die Räume einer Fremdfirma zu legen.

Sie ahnen schon, dass das Dicke Ende noch nachkommt, aber zunächst bin ich zufrieden: die Kosten für meine Ärztin waren gering, Internet tut wieder, die Jungs vom Technikraum können sich nicht beschweren, denn unser Steckdosen-LAN hat sogar eine eigene Steckdose obendrauf, so dass kein Stromanschluss verloren geht. Viele Jugendliche im Umkreis werden sich wundern, dass der kostenlose Hotspot, über den man so schön Verbotenes herunterladen konnte, plötzlich nicht mehr verfügbar ist.

Anruf der Ärztin am nächsten Tag: die Technikfirma und der Vermieter sind empört von mir.

Denn: dass die Ärztin nun Internet hat, das geht überhaupt nicht. Schon gar nicht mit einer Behelfslösung. Denn schließlich soll das Hausnetz modernisiert werden, und an diesen Kosten soll sich die Zahnärztin beteiligen. Man hält die Übergangslösung außerdem für datenschutzrechtlich fragwürdig.

Vermieter und Netzwerkfirma wollen nämlich das Haus modernisieren und ein Gesamtnetz installieren, das von der Netzwerkfirma verwaltet wird und zentral für das ganze Haus verwaltet wird. Da die Ärztin auch „etwas“ davon hat, soll sie mitbezahlen.
Mich interessiert der Datenschutz: da ich mehrere Anwaltspraxen zu meinen Kunden zähle, ist das ein wichtiges Gebiet. Dass die Vernetzung durchs Stromnetz weniger sicher sein soll als die durch alte Telefon-Leitungen, die behelfsmäßig an uralte Netzdosen gewürgt wurden, ist albern (meine Steckdosenstecker haben immerhin eine gesicherte Verbindung); aber dass eine Arztpraxis überhaupt ein offenes Datennetz mit anderen Firmen betreiben soll, ist doch nicht normal…?
Verwirrt frage ich bei der Zahnärztekammer nach.

Sehr eindeutig wird mir mitgeteilt, was Sie vermutlich wissen: für Artzpraxen gelten strengste Datenschutzauflagen. Der Zugang zu Praxisdaten hat überwacht und begrenzt zu sein, wenn mehr als neun Personen auch nur theoretisch zugreifen könnten, muss ein/e Datenschutzbeauftragte/r eingestellt werden; Telefonie und DSL müssen sich innerhalb praxiseigener Räume befinden.

Ich schreibe eine Empfehlung, dass die geplante Vernetzung nicht Datenschutz-konform ist und schlage die Installation eines Telefonanschlusses in den Praxisräumen vor. Dass die geplante Netzwerklösung nicht mandantenfähig, nicht zugriffsgeschützt, nicht kontrollierbar, von hohen Folgekosten begleitet, nicht praktikabel und IMHO eine unverschämte Abzocke ist, verkneife ich mir.

Das Internet „tut“ noch mehrmals nicht; einmal wird der Stecker im Technikraum von Unbekannten ausgesteckt, einmal melden sich fremde Computer an unserem Modem an (DHCP-Server), so dass ein Netzwerk-Konflikt entsteht. Als wir dies melden, wird es abgestritten. Als wir den Ausdruck der MAC-Adressen der Computer anderer Firmen im Hause vorlegen, ist die Antwort, dass es erstens nicht so sei und zweitens dieses nur durch Zufall geschehen könne…

Weil die „Netzwerkfirma“ und der Hauswirt mit so großem Nachdruck auf ihrem „Hausnetz“ bestehen, frage ich doch noch mal bei Fachleuten aus meiner Umgebung nach. Ein Kollege, der für einen namhaften Autohersteller Cluster mit hunderten PCs betreut, erklärt mir, dass man Mischnetze „gar nicht“ macht. Ein anderer Kollege, der Schulen und Ämter vernetzt, erklärt, dass die Absicherung in Mehrparteien-Häusern eben sehr komplex und teuer ist und Firmen normalerweise einen eigenen DSL-Anschluss haben.
Der Vermieter, der möchte, dass die Ärztin die Modernisierung seines Hauses unter Bruch der Datenschutznormen mitbezahlt, besteht auf „seiner“ Lösung. Das mache er in „allen seinen Häusern“ so.

Sie werden nicht erfahren, wie die Geschichte ausgeht; ich kann nur sagen, dass soweit ich beteiligt bin, nie etwas anderes eingerichtet werden wird als ein normaler, eigener Telefonanschluss mit DSL-Zugang, und zwar in Praxisräumen der Arztpraxis.

Erschütternd finde ich, dass die Netzwerk-Firma sich anheischig macht, auch Großfirmen im Sicherheitsbereich zu beraten; falls es je dazu kommt, können sich die Bewohner der Städte und Flecken im Umland sicher bald darüber freuen, dass überall frei zugängliche Hotspots entstehen. Wer an peinlichen oder geheimen Daten interessiert ist, braucht eigentlich nur zu verfolgen, in welchem Bezirk oder für welche Auftraggeber diese Firma arbeitet. Denn dort wird der Zugang selbst für Nicht-Hacker spielend einfach sein. Wer dann wissen will, wie sich eine Patientenakte so liest, braucht sich nicht mehr mühsam in einer Zahnarztpraxis zu bewerben. Ein Blick in die Liste der verfügbaren Netzwerke genügt.

Advertisements

Ein Gedanke zu “Warnung an Zahnarztpraxen, oder: Besuch beim Zahlarzt

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s