Simon Keller
erklärt, worauf es beim Bauen von Alphörnern ankommt.
Patientinnen und Patienten des Ärztezentrums Flawil bangen um ihre Gesundheitsdaten. Bei einem Diebstahl wurden diese entwendet. Jan Bühlmann ist IT-Spezialist und Experte für Datensicherung und hat den Fall von Flawil für die «Wiler Nachrichten» einmal genauer unter die Lupe genommen.
Flawil Kürzlich ereignete sich im Ärztezentrum Flawil eine ernste Datenschutzpanne, bei der eine Sicherungskopie der Serverdaten aus einem Auto gestohlen wurde. Das Speichermedium mit den sensiblen Kundendaten wurde bei einem Autoeinbruch entwendet. Doch weshalb hat sich das Speichermedium überhaupt ausserhalb der Praxis befunden? «Dies ist eine Methode zur Datensicherung. Leider ist diese veraltete Back-up-Methode bei vielen Schweizer KMU noch gang und gäbe», weiss IT-Spezialist Jan Bühlmann, Datenschutzexperte der Firma Datatrust. Diese Art der Datensicherung werde den heutigen Anforderungen nicht mehr gerecht: «Der neue Back-up-Standard ist unter der 3–2–1–1–0-Back-up-Methode (Box) bekannt und bietet den Unternehmen eine höhere Sicherheit.» Das Datenschutzgesetz, so der IT-Fachmann, sehe vor, dass hochsensibles Material, wie das des Ärztezentrums, nie aus den Augen gelassen werden dürfe. Ausserdem müssen die Speichermedien mit Patientendaten an einem sicheren Ort und verschlossen aufbewahrt werden. Genau bei diesem Punkt sieht der Experte die Sicherheitslücke: «Für gewöhnlich sind eine bis zwei Personen zuständig. Ich konnte schon oft beobachten, dass anfangs die Speichermedien gewissenhaft eingeschlossen wurden, jedoch mit der Zeit das Pflichtbewusstsein nachgelassen hat.» In einem Auto, so Bühlmann, sei es ein leichtes an die Festplatte zu kommen: «Gelegenheit macht Diebe.»
Die gestohlenen Daten sind verschlüsselt und mit einem Passwort geschützt. Wie sicher Daten geschützt sind, weiss der Experte, hängt von der Art der Verschlüsselung und der Stärke des Passworts ab. Ein Passwort sollte komplex und mindestens 16 Stellen lang sein: «So wird es für die künstliche Intelligenz zu anspruchsvoll, das Passwort zu knacken. Da braucht es dann schon eher einen Quanten-Computer.» Für Bühlmann ist es allerdings nicht leicht, zu sagen, was mit den gestohlenen Daten nun geschehen könnte. Es gebe zwei mögliche Szenarien: «Es könnte ein gewöhnlicher Diebstahl der Wertsachen gewesen sein. Der Täter weiss in diesem Fall höchstwahrscheinlich nichts mit der Festplatte anzufangen. Oder aber der Dieb verkauft die Daten im Darknet.» Um diese unter die Leute zu bringen, müsse die Festplatte nicht zwingend entschlüsselt sein. «Entschlüsselte sowie verschlüsselte Varianten können erworben werden», so der Experte. Für Jan Bühlmann ist die Datenpanne der Flawiler Praxis nichts Aussergewöhnliches: «Genau solche Fälle kommen jährlich zwischen zehn und zwanzig Mal vor.»
Um Datenmissbrauch vorzubeugen, empfiehlt der Spezialist mindestens eine quartalsmässige Überprüfung der Daten. «Ein Back-up muss jederzeit auch wiederhergestellt werden können. Ist das nicht der Fall, ist das Vorhaben eine glatte Nullrunde.» Kommt es doch zu einer Datenschutzpanne, wie im Fall des Ärztezentrums, sind die Einschaltung der Polizei und das Informieren der Patientinnen und Patienten sowie des eidgenössischen Datenschutzbeauftragten zwingend notwendig: «Die Praxis hat alles richtig gemacht. Mehr kann ein Unternehmen in dieser Situation nicht tun.» Auch die Patientinnen und Patienten könnten nicht mehr machen: «Google bietet einen Service, mit dem im Darknet überprüft wird, ob Name, Mailadresse und/oder Passwörter zu finden sind.» Seit es Computer gibt, weiss der IT-Experte, gibt es auch ein Wettrüsten zwischen Sicherheitsexperten und Hackern. «100 Prozent sicher sind keine Daten. Die Praxis sollte aber auf jeden Fall ihr Sicherheitskonzept überarbeiten und einen Profi hinzuziehen.»
Von Dominique Thomi
Was sagen Sie zum Vorfall? Waren Sie davon betroffen? Melden Sie sich bei uns: redaktion@wiler-nachrichten.ch.
Bei diesem heute standardisierten Back-up werden jeweils drei Kopien der Daten erstellt. Diese werden auf zwei verschiedenen Medien gespeichert. Ein Aufbewahrungsort dieser Medien ist ausser Haus und einer offline. Beim Überprüfen der Daten gilt eine Null-Error-Regel. Das heisst, es dürfen sich keine Fehler auf den Speichermedien befinden.
Lade Fotos..