Aufzeichnungen sensibler Daten, wie es Patientendaten immer sind, müssen mit besonderer Sorgfalt aufbewahrt und gesichert werden. Dieser Artikel beschreibt einige Konzepte zur Datensicherheit.

Grundsätzlich besteht bei einem Computersystem jederzeit die Gefahr eines kompletten oder teilweisen Verlusts aller darauf gespeicherten Daten. Dies kann durch Fehler der Hardware pas­sieren (beispielsweise haben Festplatten nur eine begrenzte Lebensdauer von einigen Jahren im Dauerbetrieb und kön­nen dann unver­mittelt unlesbar werden, weil wichtige Sektoren zerstört sind). Es kann auch durch äussere Einflüsse passieren (beispielsweise durch eine Spannungsspitze oder einen Ausfall im Strom­netz, während gerade wichtige Schreiboperationen stattfinden). Und last but not least können vorher nicht erkannte Fehler in den beteiligten Programmen sich plötzlich zeigen und zu Datenverlusten führen.

Aus all diesen Gründen muss man sich überlegen:

• Wie lang ist der Zeitraum, für den ich Daten notfalls manuell rekonstruieren könnte, bzw. deren Verlust ich verschmerzen könnte.
• Wie teuer kommt mich eine manuelle Rekonstruktion dieser Daten.
• Wie teuer kommen mich unwiederbringlich verlorene Daten.

Aus diesen Überlegungen kann man dann abschätzen, wie teuer eine automatische Daten­sicherungs­lösung sein darf, und wie häufig sie angewendet werden soll. Bei einer lebhaft genutzen Arztpraxisanwendung, bei der ein Daten­verlust peinlich und allenfalls sogar juristisch relevant sein könnte, kann eine Sicherung stünd­lich bis mehrmals täglich durchaus sinnvoll sein. In jedem Fall ist eine mindestens einmal tägliche Sicherung dringend zu empfehlen.

Wie diese Sicherung im einzelnen funktioniert, hängt von der verwendeten Datenbank ab. Falls Sie den entsprechenden Vorgang bei Ihrer Datenbank nicht kennen oder nicht selbst durchführen kön­nen, empfehlen wir Ihnen dringend, Support einzukaufen – der Verzicht auf Datensicherung kann schwer zu tragende Folgen haben.

Eine computerbasierte Datenbank ist hier gegenüber der Papier-Krankengeschichte im Nachteil: Veränderungen an einem handschriftlichen Eintrag sind im Allgemeinen leicht zu erkennen, während man einem Datensatz im Computer nicht ansieht, ob er noch im Originalzustand ist... Elexis begegnet diesem Problem mit dem Konzept der Versionierung: Eine Änderung eines KG-Eintrags überschreibt nie den ursprünglichen Datensatz, sondern erstellt eine neue Version dieses Datensatzes, welche mit aktuellem Datum, Zeit und aktuell eingeloggtem Benutzer markiert wird. Die vorherigen Versionen können bei Bedarf sehr leicht angesehen und/oder wiederhergestellt werden. Ein normaler Benutzer hat keine Möglichkeit, einen Eintrag unwiederbringlich zu löschen. Aus praktischen Gründen hat aber der Administrator als einziger standardmässig doch diese Möglichkeit. So können grob falsche Einträge doch gelöscht werden, oder die Datenbank kann von Zeit zu Zeit bereinigt werden, um das System schlanker zu machen. Gegen ainen allfälligen Vorwurf, Dokumente verfälscht zu haben, kann man sich bei diesem Konzept beispielsweise schützen, indem man vor jeder derartigen Bereinigung eine Kopie der Datenbank auf ein nur beschreibbares Medium überträgt und dieses Medium mit einem zuverlässigen Zeitstempel versieht oder notariell versiegelt aufbewahren lässt. Ein weitergehender Schutz gegen Aktivitäten des Administrators ist technisch gar nicht möglich - jemand mit Administratorrechten könnte ja jederzeit auch einfach die Datenbank löschen oder gegen eine verfälschte oder frühere Version ersetzen. Daher sollte nur eine einzige Person Administratorzugriff auf den Rechner mit der Datenbank haben.

Eine Datenbank dient dazu, Informationen zu speichern, abzurufen und zu modifizieren. Leider „weiss“ die Datenbank im Einzelfall nicht ohne weiteres, ob ein Zugriff von einer berechtigten Per­son erfolgt, oder nicht. Unberechtigte Zugriffe können gezielt sein (um etwa Daten auszuspähen, Daten zu vernichten, oder auch um Daten subtil zu verändern, was manchmal weit grössere Schäden nach sich ziehen kann, als eine direkte Zerstörung, die ja immerhin wenigstens sofort bemerkt wird.). Unberechtigte Zugriffe können auch zufällig und ungezielt sein, hervorgerufen durch Schadprogramme, die nach dem Zufallsprinzip weit ausgestreut werden, und jedes System anzugreifen ver­su­chen. Im Folgenden sollen einige Angriffsszenarien kurz umrissen werden. Danach gehen wir je­weils auf die entsprechenden Verteidigungsmassnahmen ein. Dieser Teil des Handbuchs ist eher tech­nisch gehalten und braucht Sie nur zu interessieren, wenn Sie die Installation und Wartung Ihres Netz­werks nicht extern in Auftrag gegeben haben.

Angriff auf offene Ports

Ein am Internet angeschlossener Computer gleicht einem Haus mit verschiedenen Türen, die unterschiedlichen Zwecken dienen. Anstatt Kellertreppen, Lieferanteneingängen, Balkontüren, Haustüren und Gartentoren hat ein Computer aber einfach sogenannte Ports. Und zwar genau 65535 Stück. Jeder dieser Ports kann ähnlich wie eine Tür offen, geschlossen oder auch zugemauert sein. Ein offener Port ist wie eine offenstehende Haustür in gewissem Sinn eine Einladung an Einbrecher, die Zugänglichkeit der Innenräume zu erkunden. Ebensowenig wie es Sinn macht, zuhause Türen und Fenster zumauern zu lassen, kann man auf diese Ports einfach verzichten. Würde man keine Kommunikation über einige Ports zulassen, könnte man auch gleich einfacher das Netzwerkkabel bzw. die Telefonleitung abtrennen.

Glücklicherweise ist ein offener Port nicht einfach ein „Loch“ im Computer, sondern es ist immer ein Türsteher da – ein Programm, das diesen Port geöffnet hat. Ohne solche Programme wären nämlich alle Ports standardmässig geschlossen. Ein Angreifer wird also zuerst nachsehen, ob Ports offen sind. Dazu werden alle Ports kurz nacheinander geprüft (Ein sogenann­ter Portscan). Wenn offene Ports gefunden werden, wird versucht herauszufinden, welches Programm den Port geöffnet hat. Und wenn dies ein Programm ist, von dem eine Sicherheits­schwäche (vulnerability) bekannt ist, dann wird diese Sicherheitslücke für einen Angriff benutzt.

Ein derartiger Angriff aus Portscan, Programmanalyse und Einbruch braucht leider keinen hochintelligenten und zu allem entschlos­senen Hacker, sondern es existieren massenhaft fixfertige Programme, die derartige Angriffe ohne menschliches Zutun an tausenden Computern pro Sekunde durchführen können, und welche beispielsweise von abenteuerlustigen oder einfach zerstörungswilligen Jugendlichen („Script kiddies“) verbreitet werden.

Was kann man dagegen tun?

• Computer mit kritischen Daten weder direkt noch indirekt (via LAN) ans Internet anschliessen. Lieber einen separaten, nicht mit dem Netzwerk verbundenen PC zum Surfen und für E-Mail verwenden. Wenn doch das LAN ans Internet angeschlossen werden soll, dann sollte man sich unbedingt Kenntnisse über die Absicherung der Computer aneignen oder einkaufen.
• Nur solche Ports öffnen lassen, die auch wirklich benötigt werden. Dazu sollte kritisch geprüft wer­den, welche Dienste das Betriebssystem standardmässig startet, und ob diese wirklich alle ge­braucht werden. So neigen beispielsweise Windows-Computer dazu, NetBIOS-Ports nach aussen zu öffnen, was im LAN freigegebene Ressourcen unnö­ti­ger­weise auch gleich im ganzen Internet frei­gibt. Welche Ports bei Ihnen offen sind, können Sie beispielsweise unter http://www.security-check.ch herausfinden.
• Einen Router mit Firewall zwischen LAN und Internet-Anschluss setzen. Ein Router „versteckt“ die internen Adressen der Computer im LAN, und eine Firewall kontrolliert (unter anderem), über welche Ports Kom­munikation überhaupt erlaubt werden soll. Dies kann aber nicht sämtlich Angriffe verhindern!
• Darauf achten, dass man möglichst wenig Software mit bekannten Sicherheitslücken einsetzt. Lei­der gehö­ren dazu viele Microsoft-Produkte – nicht zuletzt wegen ihrer hohen Verbreitung sind Programme wie Internet Explorer und Outlook immer wieder Ziele erfolgreicher Angriffe gewesen. In sicher­heits­kritischen Umgebungen ist der Einsatz alternativer Web- und Mail­pro­gram­me sicherlich eine Überlegung wert.

Angriff durch Ausnutzen von Sicherheitslücken

Um den Komfort für den Anwender zu erhöhen, hat vor allem die Firma Microsoft in ihre Produkte viele Funktionen eingebaut, mit denen gewisse Aufgaben vollautomatisch erledigt werden können. Und dies sogar ohne Anweisung des Anwenders. So können beispielsweise in einer E-Mail, einer Web­site, einem Word-Dokument oder einer Excel-Tabelle unsichtbare Befehle enthalten sein, wel­che das entsprechende Micro­soft-Programm (Outlook, Internet-Explorer, Word, Excel) ohne wei­tere Rückfrage ausführt. Diese Kom­fort­funk­tionen haben Programmierer von Schadsoftware aus­genutzt. Dadurch konnte beispielsweise durch das blosse Lesen einer E-Mail oder Surfen auf eine ent­sprechende Website oder Öffnen eines Office-Dokuments der Computer mit Schadsoftware be­fallen werden. In der letzten Zeit hat Microsoft zwar diese Nachteile ihrer Programme erkannt und lau­fend Verbesserungen entwickelt, aber es werden doch immer wieder neue Sicherheitslücken be­kannt. Selbstverständlich betrifft dieses grundsätzliche Problem auch andere Hersteller, aber Microsoft ist wegen seiner Bedeutung halt doch das weitaus häufigste Ziel von Angriffen.

Was kann man dagegen tun?

• Besorgen Sie sich immer die neuesten Updates Ihres Betriebssystems und Ihrer Anwendungs­software. Nur dann haben Sie die Gewähr, dass wenigstens die bekanntgewordenen Lücken gestopft sind.
• Für „Abenteuersurfen“ sollten Sie nicht den Geschäftscomputer benutzen. Besuchen Sie zweifel­haf­te Websites niemals mit einem Computer, der am Geschäftsnetz angeschlossen ist.
• Lesen Sie niemals unkritisch E-Mails. Eine der grössten Virenschwemmen bisher entstand, weil Leu­te mit Microsoft Outlook eine E-Mail mit dem Titel „I love you“ geöffnet haben, und weil Outlook auto­matisch und ohne Rückfrage den darin enthaltenen Virus ausführte und im System installierte.Wenn eine E-Mail eine ausführbare Datei als Dateianhang enthält, sollten Sie diese nur dann ausführen, wenn Sie wis­sen, von wem diese stammt, und warum sie sie bekommen. Wenn eine Mail ein Office-Do­ku­ment als Dateianhang enthält, sollten Sie diesen niemals mit dem entsprechenden Microsoft-Pro­gramm lesen, sondern immer zuerst mit einem der vielen kostenlos erhältlichen reinen Dateibetrachter.
• In vielen Fällen kann man ohne weiteres ganz auf Alternativprogramme umsteigen. So kann man statt dem Internet-Explorer ohne weiteres Firefox oder Opera einsetzen, statt Outlook Thunderbird oder Opera, statt Microsoft Office kann OpenOffice eingesetzt werden.
• Installieren Sie auf jedem Computer einen Virenscanner und achten Sie darauf, dass dieser immer auf dem neuesten Stand ist.

Angriffe durch Abhören des Netzwerkverkehrs

Dies ist ein relativ neues Problem. Netzwerkleitungen sind nämlich ziemlich abhörsicher (Da sie aus mehreren miteinander verdrillten Leitungen bestehen, ist die Abstrahlung nur minimal). Mit dem Aufkommen von kabellosen Netzwerken (WLAN) entsteht hier aber ein sehr grosses Angriffspotential. Grundsätzlich kann jeder, der in Funkreichweite ist, sich in ein WLAN einklinken und so beispielsweise andere am Netz hängende Computer an der Firewall vorbei ausspionieren oder benutzen. Ausserdem kann jeder, der in Funkreichweite ist, den gesamten Netzwerkverkehr zwischen allen Computern des LAN abhören. Dies ist technisch keineswegs schwierig und kann mit gewöhnlichem Standard-Equipment gemacht werden. Die WLAN Hersteller haben schon früh ein Verschlüsselungsverfahren namens WEP entwickelt, das diesen Gefahren begegnen sollte. WEP hat aber gravierende Implementationsfehler und ist heute ge­bro­chen. Das heisst, jeder der eine bestimmte im Internet gratis erhältliche Software benutzt, kann nach weni­gen Stunden „mithören“ die WEP-Verschlüsselung umgehen und genausoleicht einbrechen, wie in ein un­ge­si­chertes Netz. Als Reaktion darauf entwickelten die WLAN Hersteller in neuerer Zeit ein besseres Ver­schlüsselungs- und Authentifizierungsverfahren namens WPA. Dieses ist nur mit erheblichem Aufwand, Know-How und viel Geduld zu knacken (aber ebenfalls nicht mehr unknackbar). Und noch immer beherrschen nicht alle WLAN Geräte WPA, und ausserdem können Geräte verschiederer Hersteller wegen mangelnder Standardisierung nicht immer über WPA miteinander verbunden werden. Der aktuelle Stand der Technik ist WPA2, auch WPA-AES oder IEEE 802.11i genannt. Dies ist nur mit brute force zu brechen und ist ausserdem international standardisiert, so dass alle IEEE 802.11i-fähigen Geräte miteinander kommunizieren können sollten. Zur Zeit dieses Schreibens (Oktober 2005) gibt es aber nur eine kleine Zahl von WPA2-fähigen WLAN-Adaptern.

Was kann man dagegen tun?

Im Prinzip: Verwenden Sie möglichst kein WLAN, wenn Sie in Ihrem Netzwerk sensible Daten haben. Wenn Sie wirklich keine Möglichkeit haben, Kabel zu ziehen, denken Sie vielleicht eher über Powerline nach. Wenn es wirklich WLAN sein muss: Verwenden Sie ausschliesslich Geräte, die WPA2 (IEEE 802.11i) beherrschen, und schalten Sie diese Verschlüsselung auch ein! Wenn Sie die Sendeleistung Ihres Access-Points einstellen können, wählen Sie die niedrigste mögliche Leistung, damit möglichst wenig Netzwerkverkehr nach aussen dringt. Verwenden Sie zur Authentisierung der Netzwerkteilnehmer entweder einen RADIUS-Server, oder wenn sie PSK vewenden, wechseln Sie das WPA2-Passwort alle paar Wochen und wählen Sie keinen zu einfachen Schlüssel.

Angriffe durch Ausnutzen der Naivität des Anwenders

Häufig versuchen Angreifer, Anwender durch irgendwelche geschickt formulierten Emails zum Ausführen eines virenverseuchten Mail-Anhangs oder zur Preisgabe sensibler Daten wie Passworte etc. zu verleiten.

Was kann man dagegen tun?

• Reagieren Sie niemals auf E-Mails, die irgendwelche Angaben von Ihnen per Mail oder durch An­klicken eines Links wollen. Rufen Sie den vorgeblichen Absender an, und fragen Sie, ob die Mail wirk­lich von ihm stammt.
• Führen Sie niemals Dateianhänge aus, wenn Sie nicht genau wissen, warum sie sie bekommen ha­ben. Es genügt auch nicht, wenn Ihnen der Absender bekannt ist, da viele Viren Absenderangaben aus dem Adress­buch entnehmen und fälschen.

Elexis ist zumindest in der Mehrbenutzervariante ein Client/Server-System. Das heisst, der Server muss einen Port öffnen, über den der Client zugreifen kann. Anders wäre eine Kom­munikation über ein Netzwerk nicht möglich.Im Fall der MySQL-Datenbank trägt dieser Port die Nummer 3306. Prinzipiell kann, wenn der Computer direkt oder indirekt mit dem Internet ver­bunden ist, jeder aus der ganzen Welt auf Ihre Datenbank zugreifen, denn es ist kein Geheimnis, dass an Port 3306 meistens ein MySQL-Server liegt. Sie sind dann auf der sicheren Seite, wenn Sie im Router/Firewall die von der Datenbank verwendeten Ports sperren. Damit sorgen Sie dafür, dass diese Ports vom Internet her ge­schlossen erscheinen, während sie im internen LAN offen sind. Wenn Sie aber beispielsweise von zu­hause aus auf Ihr Elexis zugreifen möchten, dann muss eine Kommunikation von aussen ja möglich sein. Sie können dann auf dem Router eine „forward“-Regel für den benötigten Port auf den Computer mit der Datenbank einrichten. In diesem Fall müssen Sie aber unbedingt dafür sorgen, dass der Zugriff auf die Datenbank durch deren eigene Sicherheitsregeln kontrolliert wird. Behalten Sie auf keinen Fall das Standardpasswort bei, sorgen sie dafür, dass der root-account der Datenbank durch ein Passwort geschützt und nicht von aussen zugänglich ist und begrenzen Sie die Rechte von aussen zugreifender Anwender auf das unbedingt notwendige. Lesen Sie dazu bitte die Dokumentantion der Datenbank durch, oder beauftragen Sie eine Fachperson, die Einrichtungen für Sie zu übernehmen. Da auch Datenbankserver niemals garantiert frei von Sicherheitslücken sind, kann es darüberhinaus besser sein, den Datenbank-Port gar nicht direkt nach aussen zu leiten, sondern den Zugriff vom Internet her nur über ver­schlüs­selte und gesicherte Kanäle wie SSH oder VPN zu ermöglichen. Eine weitere Erläuterung die­ser Techniken würde aber den Rahmen dieses Artikels endgültig sprengen. Lassen Sie sich ggf. über für Sie sinnvolle Sicherheitsmassnahmen individuell beraten.

Das geht mich alles gar nichts an, ich habe ja einen Virenscanner

Vermutlich glauben Sie sonst auch nicht immer alles, was die Werbung erzählt. Seien Sie daher auch kritisch gegenüber dem, was der Hersteller Ihres Virenscanners behauptet.
Virenscanner können ganz prinzipiell Schadsoftware auf drei Arten erkennen:

a) Signaturvergleich

Es werden bestimmte "eindeutige" Codesequenzen aus Viren mit dem Inhalt der Prüflinge verglichen.

Nachteile:

• Es können nur bereits bekannte Viren gefunden werden
• Es gibt mittlerweile einige hunderttausend bekannte Signaturen. Der Vergleich jeder Datei mit jeder Signatur wird somit zum Leistungsfresser.

Vorteile:

• Relativ sichere Erkennung und relativ wenige falsch positive Meldungen

b) heuristische Dateibeurteilung

Es werden bestimmte Code-Patterns aus den Dateien analysiert, die für Schadsoftware typisch sein sollen

Nachteile:

• viele falsch negative und viele falsch positive

Vorteile:

• Diese Methode kann theoretisch auch neue Schädlinge erkennen, deren Signaturen noch nicht bekannt sind.

c) Verhaltensbasierte Beurteilung

Programme werden "beobachtet" und verdächtige Aktionen (wie unmotiviertes Öffnen einer Internetverbindung oder Einrichten bestimmter Systemhooks)  werden registriert.

Nachteile:

• Relativ leistungshungrig; der Ablauf aller Programme wird verlangsamt
• Relativ viele falsch negative

Vorteile:

• Kann auch bisher unbekannte Schädlinge erkennen
• Relativ wenig falsch positive

Wie Sie sehen ist keine dieser Techniken hundertprozentig sicher. Vor allem bei neuen Schädlingen (und es kommen jeden Tag ca. 100 neue Schädlinge ins Internet) gibt es keine sichere Erkennungsmethode. Ausserdem wird die Systemleistung durch die Virenscanner immer mehr beeinträchtigt, was die Leistungssteigerung der PC's gleich wieder vernichtet.