Stellen Sie sich vor, dass Sie morgends Ihren Praxis-PC starten, um Ihre Buchhaltung erledigen zu können. Statt des Windows Starbildschirm sehen Sie einen furchteinflößenden Hinweis, dass alle Ihre Daten verschlüsselt sind. Gegen Zahlung von 0,5 Bitcoins (ca. 550 € Stand April 2017) würden Sie einen Entschlüsselungscode erhalten, mit dem Sie die Verschlüsselung rückgängig machen können. (Studie: Computersabotage und Erpressung nehmen deutlich zu)

Der Hacker, der so tiefen Zugriff auf Ihren PC hatte, könnte genau so gut Ihre Klientenakten herunter kopieren und Sie damit erpressen, dass er die Daten Ihrer Klienten veröffentlicht oder dass er damit beginnen würde, nunmehr Ihre Klienten zu erpressen, wenn Sie nicht zahlen. Sie halten das für unrealistisch? – Selbst die betreffend Praxis-IT tendenziell unbekümmerten Ärzte sind inzwischen besorgt! (wie man hier sieht und hier ebenfalls)

Was können Sie tun, um Ihre sensiblen Praxisdaten und Ihre Praxis-IT vor Hackerangriffen zu schützen?

In den folgenden Tipps beschreibe ich, welche Maßnahmen Sie konkret ergreifen können, damit Ihnen die am Anfang meines Beitrags beschriebenen Horror-Szenarien erspart bleiben. Am besten ist es, wenn Sie gleich mit Beginn Ihrer Selbstständigkeit in eigener Praxis Ihre Praxis-IT gemäß dieser Tipps aufbauen. Ein bereits auf Windows eingerichtetes System nachträglich auf Linux umzustellen, kostet erheblich mehr Zeit und Aufwand! Außerdem müssten Sie evtl. einige bereits vorhandene Daten in ein anderes Format konvertieren, damit diese korrekt angezeigt werden. Beispiel: Alle Word-Dokumente müssten in das ODF-Format (Open-Document-Format) umgewandelt und die evtl. auftretenden Darstellungsfehler von Hand korrigiert werden. Nur dann können Sie mit den Dokumenten in Libre-Office weiter arbeiten. Haben Sie hingegen alle wichtigen Dokumente als PDF-Dateien gespeichert, ändert sich nichts und es entsteht kein Aufwand.

Bitte klicken Sie auf die Überschriften, um den zugehörigen Textabschnitt zu lesen!

Benutzen Sie ein seriöses Betriebssystem!

  1. Benutzen Sie niemals Windows! – Wie bereits beschrieben, werden ab Windows 7 und höher und ab Windows 10 in extremem Umfang sensible Daten an Microsoft übertragen. Sicherheitsexperten und Datenschützer warnen eindringlich vor dem von Microsoft betriebenen Ausspionieren von Nutzerverhalten und von Daten.
  2. Benutzen Sie niemals Windows! – Wenn Hacker mit viel Aufwand eine Schadsoftware schreiben, dann möchten sie damit auf möglichst viele PCs zugreifen können. Folglich schreiben Hacker ihre Software bevorzugt für diejenigen Betriebssysteme, die am weitesten verbreitet sind. Und das ist nun mal Windows. Und in zweiter Linie MacOS. Und erst an dritter Stelle steht Linux mit seinen Varianten. Aus diesen Gründen ist Windows immer das bevorzugte Angriffsziel von Hackern.
  3. Benutzen Sie niemals Windows! – Denn Microsoft liefert nur in relativ großen Zeitabständen Sicherheitsupdates, wenn Lücken in Windows bekannt werden. Viele Lücken werden ziemlich schnell nach ihrem Bekanntwerden von Hackern ausgenutzt. Damit Windows auch in der Zeit bis zum nächsten Update besser geschützt ist, benötigt man Virenscanner. Aber auch diese arbeiten angesichts der raffinierten Angriffe der Hacker nicht mehr zuverlässig!
    Gängige Linux-Versionen werden dagegen ständig upgedatetet und diese Updates geschehen bei laufendem PC im Hintergrund und automatisch! Nach einem Update steht das neue System nach einem (einzigen) Neustart zur Verfügung. Deshalb kommt Linux ohne Virenscanner aus.
  4. Benutzen Sie niemals ein „Chrome-Book”! – Denn alle Programme und alle Daten, die Sie mit dem Chromebook verarbeiten, liegen auf den Servern von Google. Es ist bekannt, dass Google (wie Microsoft auch – z.B. auch bei Office 365), alle Daten nach Suchbegriffen analysiert und damit auch persönliche Profile erstellt, die wiederum für die Erzielung von Werbe-Einnahmen genutzt bzw. missbraucht werden.

Benutzen Sie auf Ihren Praxis-Computern z.B. die Linux-Variante Ubuntu. Diese hat den großen Vorteil, das am meisten verbreitete Linux zu sein und sich sehr einfach installieren zu lassen. Alle für den Bürogebrauch üblichen Software-Pakete sowie der Firefox-Browser sind bereits in Ubuntu enthalten und werden in einem Rutsch gleich mit installiert. Und alle diese zusätzlichen Software-Pakete werden genau so wie das Ubuntu-Betriebssystem selbst, ständig automatisch aktuell gehalten. Einfacher geht es nicht!
Mehr zu Linux und OpenSource-Software für Ihre Praxis finden Sie in diesem Tipp.

Erstellen Sie regelmäßige Backups mittels eines speziellen BackUp-Servers

Alle möglichen Computerzeitschriften empfehlen, in kurzen Zeitabständen ein BackUp aller wichtigen Daten anzufertigen. Diese Empfehlung ist sinnlos: Denn der durchschnittlich informierte Computerbenutzer wird sich meist eine mobile Festplatte kaufen und alle seine Daten darauf kopieren. Er glaubt dann, er hätte nun BackUp, also eine Datensicherung erreicht.

Tatsache ist aber: Falls ein Verschlüsselungstrojaner den PC befällt, wird dieser Trojaner sofort auch die mobile Festplatte verschlüsseln, sobald diese an den PC angeschlossen wird. Dann ist auch die Datensicherung verschlüsselt, auf die man sich doch verlassen hatte. Deshalb ist eine einfache Kopie aller Daten nicht identisch mit einer Datensicherung bzw. einem BackUp.

Außerdem ist bei einer Sicherung aller wichtigen Daten das Betriebssystem selbst und alle sorgfältig auf dem PC eingerichteten Programme nach wie vor nicht gesichert! Was nützt es jemandem, der den PC dringend benötigt, wenn er zwar seine Daten gesichert hat – aber um diese wieder nutzen und bearbeiten zu können, erst mal den ganzen PC neu installieren muss?
Folglich muss zusätzlich zum BackUp der Daten auch ein BackUp des Betriebssystems mitsamt aller installierter Software erstellt werden!

Sowohl für die Sicherung der Daten, als auch für die Sicherung des kompletten Betriebssystems mitsamt aller installierten Programme muss ein sogenannter BackUp-Server aufgebaut werden. Dieser hat keineswegs etwas mit einem „Server im Inernet” zu tun, sondern es ist ein ganz normaler PC, der ausschließlich dazu genutzt wird, automatisch in bestimmten Zeitabständen alle Daten und Programme und das Betriebssystem zu sichern.
Damit der BackUp-Server von Schadsoftware nicht befallen werden kann, wird er so eingerichtet, dass kein anderer PC auf den Server schreibend zugreifen kann. Nur dann kann die Schadsoftware nicht die auf dem BackUp-Server liegenden Daten beschädigen. Der BackUp-Server hingegen kann auf andere PCs lesend und schreibend zugreifen. Auf diese Weise kann er einen von Hackern gestörten PC innerhalb kurzer Zeit auf den Stand der letzten Sicherung wiederherstellen.

Einzige Einschränkung - die Hardware-Infektion: Es gibt leider auch Schadsoftware, die sich in der Firmware der Festplatte und oder im BIOS des PC oder sogar in der Firmware der Grafikkarte festsetzt. In diesem Fall hilft es nicht, auf den befallenen PC das Backup des Servers zu installieren, weil die Schadsoftware sofort wieder alles infizieren würde. Bei einer Firmware-Infektion der Festplatte muss diese mechanisch zerstört (Vorschlaghammer, Axt, Schraubstock usw.) und im Elektronikschrott entsorgt werden.
Bei einer Firmware-Infektion des BIOS eines PC kann man versuchen, vom Hersteller des Motherboards ein neues BIOS zu erhalten und damit das infizierte zu überschreiben. Misslingt dies, so ist leider auch das Motherboard verloren und muss in den Elektronikschrott (nicht aber der darauf befindliche Prozessor mit Kühlkörper und das RAM).
Prinzipiell kann auch die Firmware von Grafikkarten infiziert werden, sodass auch die Grafikkarte sorgfältig geprüft werden muss.

Sensible Daten und eMail-Kommunikation gehören nicht auf ein Smartphone!

Alle modernen Smartphones wurden niemals vorrangig dafür konstruiert, dass Sie ihrem Benutzer das Leben leichter machen. Letzteres tun sie zwar auch, aber der Preis, den die Benutzer von Samrtphones dafür zahlen müssen, ist extrem und unüberschaubar hoch:
Der Preis, das sind die persönlichen und teils intimen Daten, die der Benutzer an Google, Facebook, Twitter, Whatsap und die Entwickler anderer Apps und Spiele frei Haus liefert. Diese sehr persönlichen und intimen Daten werden dazu (miss-)gebraucht, um Ihre persönlichen Interessen und Vorlieben auszuspionieren und Ihnen dann genau dazu passende Werbung präsentieren zu können.

Die Anbieter von Diensten wie z.B. Google, Facebook usw. sowie die App-Entwickler verdienen ihr Geld also weniger mit dem Verkauf ihrer Apps, sondern mit dem Verkauf von Werbeplätzen. Wenn jemand Werbung schalten will, so kann er über spezielle Agenturen die erfolgversprechendsten Werbeplätze z.B. innerhalb von Apps heraus suchen und die Werbung schalten lassen. Damit diese Vermittlung funktioniert, sammeln diese Agenturen die persönlichen Daten von Samrtphone-Nutzern und erstellen über sie Profile. Diese werden kategorisiert, sodass jemand seine Werbung gezielt in einer solchen Kategorie schalten kann.
Bisher gibt es kaum gesetzliche Regulierungen und Beschränkungen für solche Agenturen, sodass Missbrauch der angehäuften Daten nie ausgeschlossen werden kann – auch nicht für kriminelle Zwecke!

Da außerdem die gesamte Kommunikation eines Smartphone so primitiv verschlüsselt ist, dass sie jederzeit mit einer relativ einfachen, selbstgebauten Technik abgehört werden kann, sind auch die übertragenen, sensiblen Daten der Smartphone-Benutzer und deren Telefonate unsicher!

Das meist verbreitete Smartphone-Betriebssystem ist Android. Dieses System ist zwar eigentlich OpenSource-Software und damit für jeden Programmierer transparent. Aber Google hat die Software Android stark mit eigenen Software-Anteilen vermischt, um sich die oben beschriebenen Vorteile zu sichern. (siehe Mike Kuketz: Android ohne Google) – International haben sich damals Programmierer zusammen geschlossen, um ein google-freies Android-Betriebssystem für Smartphones zu schreiben. So entstand Cyanogen. Leider wurde dieses System dann doch wieder kommerzialisiert und wieder mit Google-Software vermischt. Nach dem Konkurs der Firma Cyanogen gründeten engagierte Programmierer das googlefreie Nachfolgeprojekt LineageOS. Mehr dazu finden Sie beim Heise-Verlag: Installation und erste Infos zu LineageOS.
Wie schwierig es ist, ein Smartphone daran zu hindern, private Daten in die Welt zu senden, können Sie bei Mike Kuketz nachlesen: Fairphone 2 - Wie man ein Smartphone etwas dümmer macht – Sie sehen, dass es sogar für Spezialisten eine herausfordernde Aufgabe ist, die Datenschnüffelei zu unterbinden.

Fazit des Ganzen: Ein Smartphone, dem Sie guten Gewissens sensible Daten Ihrer Praxis anvertrauen können, gibt es nicht! Nicht einmal den Terminkalender Ihrer Praxis dürfen Sie auf dem Smartphone haben, wenn dort auch die Namen der Klienten gespeichert werden!
Mein Tipp, wenn Sie das durchaus vorhandene Restrisiko (Mithören Dritter) eingehen wollen: Benutzen Sie ein altes Handy, das bestenfalls per WAP ins Internet könnte und sperren Sie die WAP-Funktion. Dann dürfen Sie auf dem Smartphone auch Ihren Praxis-Terminkalender speichern. Bedenken Sie aber auch den Aufwand: Immerhin werden Sie sicher auch eine Praxis-Software benutzen, in der ein Terminkalender und die Aufgabenplanung enthalten ist. Es existiert keine Möglichkeit, derart alte Handys mit diesen Daten zu synchronisieren. Sie müssen also jeden Termin in zwei verschiedene Geräte eintragen!

Wenn Sie Termine, Aufgaben und Kontaktadressen mit Telefonnummern auch unterwegs dabei haben müssen, könnten Sie über die Benutzung eines möglichst kleinen Netbooks nachdenken. Ob das aber unter Linux einwandfrei läuft, ist wiederum fraglich. Eine tragfähige Lösung für die Anforderung, auch von unterwegs bei großer Datensicherheit Termine, Aufgaben, Kontaktdaten Ihrer Praxis handhaben zu können, habe ich zurzeit leider auch nicht.

Wenn Sie Programmierer sind und Interesse an einer Zusammenarbeit an einem Praxis-IT-Projekt haben, dann bitte ich Sie, sich mit mir in Verbindung zu setzen!