|
Warum ist die Datenbank nicht verschlüsselt? |
|
Frage: Hersteller X hat mir gesagt, bei Programm Y sei die Datenbank verschlüsselt, bei Elexis aber nicht. Stimmt das? Und wenn ja: ist das nicht extrem unsicher?
Antwort: Jein. Wir müssen ein wenig weiter ausholen: Natürlich ist die Frage berechtigt, ob denn die Vertraulichkeit medizinischer Daten nicht eine Verschlüsselung zur absoluten Pflicht macht. Um diese Frage zu beantworten, müssen wir uns klar werden, wovor eine Verschlüsselung schützen kann, und was ihre Grenzen und Nebenwirkungen sind.
Zunächst die "eigentliche" Beantwortung Ihrer Frage: Sie können die Elexis-Datenbank sehr einfach verschlüsseln, indem Sie sie auf einer verschlüsselten Partition des Servers einrichten. Zumindest Windows- und Linux-Server bieten diese Option an, beim Macintosh weiss ich es nicht.
Nun zur Beantwortung der Frage, warum Elexis die Datenbank nicht anwendungsseitig verschlüsselt, sondern dies dem Betriebssystem überlässt:
- Mit einer anwendungsseitig verschlüsselten Datenbank werden Sie vollkommen abhängig vom Hersteller Ihres Praxisprogramms: Niemand ausser ihm kann Ihre Daten wieder aus Ihrer Datenbank herausholen. Und er kann dafür jeden Preis verlangen, der ihm vorschwebt. Oder er kann auch einfach behaupten, das sei unmöglich und niemand wird ihm das Gegenteil beweisen können. Das heisst: die anwendungsseitige Verschlüsselung erhöht die Stärke Ihrer Zwangsheirat mit dem Hersteller: Ein Wechsel auf ein anderes Programm wird extrem schwierig. Eine solche Zwangsheirat widerspricht der Elexis-Philosophie und wird darum von uns abgelehnt.
- Das Betriebssystem kann Daten sehr viel effizienter und schneller verschlüsseln, als ein Anwendungsprogramm: Das Betriebssystem erledigt ohnehin den Datentransfer von und zur Platte und kann diese Zugriffe optimieren und "en passant" ent- und verschlüsseln.
- Gegen wen nützt Verschlüsselung überhaupt? Sie kann nur gegen jemanden nützen, dem es gelingt, Zugriff auf den Server zu erlangen. Denn solange der Server intakt ist, kann kein Unberechtigter auf die darauf gespeicherten Daten zugreifen, egal ob sie verschlüsselt sind oder nicht. Wenn nun aber ohnehin schon jemand Zugriff auf den Server erlangt hat, dann ist er in einer ähnlich komfortablen Position wie jemand, der Ihren Praxisschlüssel bekommen hat: Er kann in aller Ruhe auf "offiziellen" Wegen auf die Datenbank zugreifen, Passwörter mitschneiden usw. Das Hauptaugenmerk muss also darauf liegen, dass Einbrüche auf den Server verhindert werden. Denn wenn der Bösewicht erst mal drauf ist, wird er auch Wege finden, eine Verschlüsselung zu umgehen.
- Wirklich von Nutzen ist Verschlüsselung bei folgendem Szenario: Ihre Server-Harddisk ist kaputt und Sie lassen sie entsorgen (Selbstverständlich haben Sie ein Backup, so dass Sie Ihre Daten problemlos auf einer neuen Platte rekonstruieren konnten). Jemand mit ausreichend krimineller Energie und Interesse an Ihren Daten kann sich nun die Platte auf dem Weg zur Entsorgung schnappen und (auch wenn sie kaputt ist) mit speziellen Techniken den grössten Teil der Daten auslesen. Dieser Fall kann nur durch eine Verschlüsselung oder durch eigenhändige Verschrottung jeder ausgemusterten Platte abgefangen werden. Allerdings gilt auch hier: Die betriebssystemseitige Verschlüsselung ist mindestens ebenso sicher wenn nicht sicherer wie die anwendungsseitige Verschlüsselung.
- Last but not least sollten Sie sich Gedanken über die Aufbewahrung Ihrer Backups machen. Diese sollten eigentlich tunlichst nicht verschlüsselt sein, denn man will ja auch in 10 Jahren die Daten noch lesen können, und wer weiss, ob Sie in 10 Jahren noch dasselbe Programm und Passwort haben wie heute und ob Sie sich an das heutige Passwort dann noch erinnern können... Allerdings befinden sich darauf Daten, die ebenso vertrauliuch sind, wie früher die Daten Ihrer Papier-KGs. Daher müssen die Backups mindestens ebenso sicher aufbewahrt werden, wie die KG's. Also im verschlossenen Schrank.
|
