Sicherheitskonzept für Privacy und Datenschutz

Hi.

Sie haben eine Arzt- oder Anwaltspraxis, eine steuerlich beratende oder im Privatbereich angesiedelte Selbständigkeit aufgebaut. Als Therapierende/r, Beratende/r oder Betreuende/r kommen Sie mit Daten aus dem finanziellen, seelischen, medizinischen oder sonstwie geheimen und schützenswerten Lebensbereich Ihrer Patienten, Mandanten oder Kunden in Berührung.

Ihnen werden Medien wie Fotos, Scans oder Filme geschickt, Sie verwalten Kontodaten und Rechnungsnummern. In all diesen Bereichen ist Privatheit unverzichtbar.

Die Haftungsrisiken und Strafen sind unkalkulierbar und können extreme Höhen erreichen, etwa dann, wenn Sie Kontozugangsdaten in die Hände von Hackern geraten lassen. Das kann durch eine einzige kriminelle Mail passieren, die Sie versehentlich anklicken.

Dieser Artikel versucht, die Erfahrungen aus 20 Jahren Computer-Administration für Firmen und Private übersichtlich zusammenzufassen.

Datenschutz zerfällt in Bestandsschutz und Zugriffsschutz. Sie müssen verhindern, dass Unbefugte Daten auslesen können (Zugriffsschutz, Schutz vor Hackern und Kriminellen). Sie müssen BEWIRKEN, dass Ihr Kunde und Sie an lebenswichtige Daten immer bzw. dauerhaft, von überall und im Notfall auch sehr schnell herankommen.

Dazu müssen Sie auch noch die Kontrolle behalten. Sie müssen dafür sorgen können, dass Daten löschbar und nachweislich löschbar sind, die Verbreitung ausweiten oder einschränken können, sie updaten können und doch wissen, was wann wie publiziert oder eben versteckt wurde.

Vielleicht fällt Ihnen hier schon auf, dass hier ein Widerspruch ist. Daten, die Sie ins Internet stellen, sind unter Umständen sehr sicher vor Vernichtung geschützt. Das bedeutet datenrechtlich aber einen Verstoß gegen das Erfordernis der Löschbarkeit. Das passwortgeschützte Archiv im Kellersafe mag sagenhaft sicher vor Hackern sein, wenn die Infos aber überraschend für einen medizinischen Notfall gebraucht werden, stirbt der Patient, ehe die verschlüsselte Festplatte gemountet ist.

In Großfirmen gelten eigene Gesetze, da diese Intratnet, eigene Domänen und beim Home-Office meist VPN benutzen.

In Kleinpraxen, etwa von juristisch, medizinisch oder beratend Tätigen, ist die Sicherheit allerdings relativ leicht herzustellen. Hier eine kurze Übersicht.

Tipps für Kleinpraxen

Verwenden Sie einen Desktop-Computer als zentrales Bürogerät, KEIN Mobilgerät. Das Mobilgerät sollte nur ergänzend da sein.

Ihr Netzwerk nutzt, wann immer möglich, KABEL statt Funkverbindung. Ihr permanentes Arbeitsgerät bzw. Ihr wichtigster Arbeitsplatz ist ortsfest, der Arbeitscomputer ist mit Kabeln ans Internet angeschlossen und idealerweise fest mit der Wand oder Heizung verbunden.

Solche Fest-Verbindungen stellen, wie fast alles, nur eine relative Sicherheit dar. Letztendlich geht es nur darum, die Sicherheit zu erhöhen, indem man Diebstahl oder Zugriff so schwer wie möglich macht.

Ihre Büroräume sollten so einbruchssicher wie möglich sein. Alarmanlagen, Rauchwarngeräte, Feuerlöscher und eine optionale (abschaltbare) Raumüberwachung sollten vorhanden sein, ebenso Sicherheitsschlösser. Das Mithören durch Mitbewohner oder Nachbarn sollte unmöglich sein.

Bildschirme sind so gestellt, dass sie durch Dritte nicht direkt einsehbar sind, Datenports sind nicht dem öffentlichen Publikumsverkehr zugänglich. Ihr Hausnetz hat einen stark verschlüsselten WLAN Zugang, Gastzugang sollte nur eingeschaltet sein, wenn es einen konkreten Grund dafür gibt.

Ihr Hausnetz schützen Sie nach außen mit einem starken Passwort, mit dem Sie Ihr DSL-Modem schützen.

Kommunikation

Verwenden Sie ein mehrstufiges Konzept. E-Mail sollten Sie anbieten, ein Verschlüsselungskonzept kann hier am einfachsten durchgeführt werden, indem Sie Dateien, die Sie versenden wollen, komprimieren und das komprimierte Zip-Archiv mit einem Passwort schützen. Das Passwort teilen Sie den Empfangenden via separaten Kanal mit, etwa per Telefon.

Empfehlung: ALLE Passwörter sollten mehr als 12 Zeichen lang sein und Großbuchstaben, Kleinbuchstaben, Zahlen, Umlaute und Sonderzeichen enthalten.

Ihr Computer ist also mit starken Passwörtern abgesichert. Für Internet-Nutzung sollten Sie dennoch nicht mit Administratoren-Rechten arbeiten.

Empfehlung fürs E-Mail-Programm: „Thunderbird“. Stellen Sie den Account direkt beim Anlegen NICHT auf „IMAP“, sondern auf „POP“ (Post Office Protocol); stellen Sie ein, dass eine Kopie der Mails auf dem Server verbleibt.

Kundendaten, die Sie versenden, legen Sie vor dem Verschicken in einem Netzwerk-Verzeichnis ab, sortiert nach Kundennamen. Damit behalten Sie die Übersicht, was wann an wen verschickt wurde.

Online-Sicherheit

Arbeiten Sie mit freien, nicht mit dem Betriebssystem (OS) des Computers direkt verbundenen Browsern.

Empfehlung: Nutzen Sie „Opera“, „Firefox“ oder „Google Chrome“, um im Internet zu surfen.

Passwörter sollten Sie LOKAL verwalten, also nicht einem online-Sammeldienst anvertrauen. Nein, auch nicht dem von Firefox. Eine lokale Datei aus einfachem Text ist eine hochwirksame Passwort-Verwaltung. Ein gelegentlicher Ausdruck aller Passwörter, der verschlossen verwahrt wird, empfiehlt sich.

Empfehlung: Nutzen Sie „Password Safe Portable“ zur Verwaltung von Passwörtern.

Im Computer nutzen Sie ein Anti-Virus-Programm einer deutschen Firma, und zwar aus Gründen der Rechtssicherheit und der vertraglichen Einfachheit.

Empfehlung: GData. Empfehlungsgrund ist die gute Hotline, das hohe Niveau beim Abschneiden in unabhängigen Tests und eben der strenge deutsche Maßstab der Datensicherheit.

Aus demselben Grund sollten Sie einen deutschen E-Mail-Provider oder Internet-Provider (ISP) nutzen. Das hat nichts mit Nationalismus oder Merkantilismus zu tun. Da die strengen Vorschriften des deutschen Datenschutzes an SIE angelegt werden, ist es sicherer und einfacher, wenn auch Ihre digitalen „Zulieferer“ sich daran halten müssen. Sie nutzen in jedem Fall einen kostenpflichtigen Account, im Idealfall betreiben Sie eine eigene Domain mit Ihrem Firmennamen und wickeln den Mailverkehr auch über diese, allein von Ihnen kontrollierte, Haupt-Domain ab.

Eine externe Festplatte UND eine Netzwerk-Festplatte sollten zur Standard-Ausrüstung gehören. Regelmäßige Sicherungen, ob automatisch oder manuell, sind Pflicht. Sicherungen müssen verschlossen verwahrt werden.

Vermeiden Sie, wo immer möglich, die Cloud. Ihr Diensthandy sollte KEINE automatische Synchronisierung nutzen, außer der für das Betriebssystem. Eine gute Idee ist es, für Fälle, in denen Whatsapp oder ähnliche Dienste betriebswichtig sind, ein spezielles Smartphone einzusetzen, das keine anderen Funktionen hat.

Empfehlung. Nutzen Sie lokal installierte Office-Programme wie MS Office 2019, Libre Office oder ähnliche, aber NICHT „Office 365“, das stark ins Internet verbindet.

In Kundenräumen und bei Besprechungen sollte Ihr Smartphone auf „Flugzeugmodus“ gestellt sein. Webcams und Kameras allgemein sollten über eine abdeckbare Linse verfügen.

Backups

Kein Backup, kein Mitleid: niemand rettet Sie vor Sicherungskopien und davor, diese sinnvoll zu verwalten. Sie können das regelmäßig von Hand oder Automatik erledigen. Wichtig ist, dass Sie immer wieder Voll-Backups erstellen, aber laufende Projekte ZUSÄTZLICH zwischensichern.

Ein Arbeits-Tipp

Erstellen Sie größere Projekte durch Versions-Verwaltung. Heben Sie Zwischenstände sorgfältig auf, ob es nun Schriftsätze, Grafiken, Berechnungen oder beliebige Original-Daten sind: Sichern Sie das komplette Projekt mit einer Versionsnummer, beginnend bei „0001“. Verhalten Sie sich beim Erstellen von Sicherungsdateien so, als hätten Sie unendlich Platz zur Verfügung – außer im Multimedia-Bereich, wo die Dateigröße rasch die Kapazität „normaler“ Datenträger sprengt.

Betriebssicherheit

Erstellen Sie halbjährlich komplette Abbilder Ihres Firmencomputers und bewahren Sie diese auf einer speziellen Festplatte auf.

Erstellen Sie regelmäßig Wiederherstellungspunkte unter Windows und legen Sie Reparatur-Datenträger an. Für den Fall des Total-Ausfall eines Gerätes sollte es einen Aktionsplan geben.

Archivierung

Digitale Daten heben Sie am besten auf unterschiedlichen Datenträgern auf. Ihre Archivierung sollte

  • redundant
  • mediendivers
  • format-unabhängig

sein. Dazu verwenden Sie am besten eine Archiv-Festplatte, sowie, etwa im Projektbereich, optische Disks wie DVD und CD. Besonders wichtige Unterlagen sollten zusätzlich auf Papier vorliegen. Falls Sie SSD-Disks (Solid State Disk, schnelle Festplatten ohne Elektromotor) einsetzen, müssen diese Archive regelmäßig unter Strom gesetzt werden.

Fazit

Geräte

Sie benötigen mehrere leere USB-Sticks, eine externe Festplatte und eine Netzwerkfestplatte.

Lizenzen

Die erwähnte Software ist, bis auf GData oder andere Antivirus-Software, kostenlos. Die Kosten für Antivirus sollten mit Stand von 2020 den Betrag von EUR 50,- / Jahr keinesfalls übersteigen.

Verträge / Services

Sie benötigen einen Vertrag mit einem Internet Service Provider (ISP). Die Empfehlung, dabei in Deutschland oder wenigstens in Europa zu bleiben, ist sehr ernst gemeint. Von der Nutzung amerikanischer Internet-Giganten und deren Daten-Angeboten (Cloud Services, Soziale Netzwerke) innerhalb des streng datengeschützten Bereiches wird dringend abgeraten. Falls unumgänglich, sollten Sie Mandanten, Klienten oder Patienten auf die Gefahren hinweisen und sich ein schriftliches Einverständnis erteilen lassen.

Die Einrichtung kann schrittweise erfolgen, im Idealfall verbunden mit Schulungen für Sie oder Ihr Personal.