Wenn das die b\u00f6sen Jungs auch verstehen, dann sind solche Praxen ein gefundenes Fressen, wenn man bedenkt das die DB des PVS auch hier recht schnell die Gr\u00f6\u00dfe von mehreren Gigabyte erreicht.<\/li>\n<\/ul>\nDie Mail endete mit der Aussage \"Als Mensch, der nun seit knapp vier Jahren im Bereich der Telematikinfrastruktur arbeitet, habe ich Angst vor der Digitalisierung des Gesundheitswesens. Nicht weil die gro\u00dfen Firmen ihre Hausaufgaben nicht richtig machen, sondern weil die kleinen nicht mal damit anfangen wollen. Dar\u00fcber sollten wir langsam nachdenken denn es wird gerne vergessen das der Hausarzt und Facharztpraxis um die Ecke mit zu diesem Klientel geh\u00f6rt<\/em>.\"<\/p>\nGelebte Verantwortungslosigkeit<\/h2>\n
Ich habe dann mal nachgefragt und der Leser hat dann mit einigen Berichten aus der Praxis nachgelegt. Meine ungenannt bleiben wollende Quelle beobachtet, dass die meisten kleineren Praxisinhaber, gerade im therapeutischen Bereich, IT- und Datenschutz-relevante Themen kaum tangieren. In diesem Umfeld findet man, laut Leser gerne solche Clients\/Umgebungen:<\/p>\n
\n- Windows 10: Update-Stand vor Version 22H2<\/li>\n
- Praxis IT gern im Mix mit privaten Daten<\/li>\n
- Filesharing-Software auf dem Praxis-Verwaltungssystem<\/li>\n
- Cloud-Dienste wie OneDrive, Google Drive oder Dropbox. Bei ersterem gerne die kostenfreien, privaten Angebote.<\/li>\n<\/ul>\n
Ist dann in Punkto Sicherheit und Datenschutz so etwas wie \"IT aus der H\u00f6lle\" und gelebte Verantwortungslosigkeit – es ist na noch nie etwas passiert. Der IT-Dienstleister bekommt h\u00f6chstens den Auftrag, das Ganze \"abzusichern\". Die Quelle schreibt: \"F\u00fcr den Schutz sorgen dann Internet Security-Suites wie Norton, G Data oder Kaspersky mit Lizenzen f\u00fcr den privaten Gebrauch\". F\u00fcr den erweiterten Schutz vor Eindringlingen aus dem Internet sollte dann eine FRITZ!Box als Firewall reichen. Mit ein wenig Gl\u00fcck findet man dann doch gelegentlich eine kleine Sophos-, Lancom- oder Securepoint-Firewall-L\u00f6sung, wei\u00df meine Quelle zu berichten.<\/p>\n
FRITZ!Box als Router (Privat und Praxis)<\/h3>\n
Bei der FRITZ!Box kann ich noch ein besonderes Schmankel berichten, auf das mich ein Leser hingewiesen hat. In der Regel werden \u00fcber diese Router ja auch die Telefonfunktionen laufen. Gerade im medizinischen Bereich ist es aber ein Problem, wenn Telefonate f\u00fcr die Praxis und ggf. private Telefonanschl\u00fcsse \u00fcber die gleiche FRITZ!Box laufen. Das kann nicht getrennt werden – und wer privat auf die FRITZ!Box-Oberfl\u00e4che zugreifen kann, sieht, welche Telefonate in der Praxis einlaufen, wer angerufen hat und wie lange ein Gespr\u00e4ch dauert. L\u00e4uft ein Anrufbeantworter, k\u00f6nnte man auch die Sprachnachrichten abh\u00f6ren. Aus Datenschutzsicht ein No-Go. Ich hatte diesbez\u00fcglich mal bei AVM diesbez\u00fcglich nachgefragt und folgendes aufgeworfen:<\/p>\n
\n- Seit der Coronavirus-Pandemie werden viele Menschen ins Homeoffice gedr\u00e4ngt.<\/li>\n
- In der Regel gibt es dort nur einen privaten DSL-Anschluss, der \u00fcber einen Router – oft eine FRITZ!Box mit FRITZ!OS – abgedeckt wird.<\/li>\n<\/ul>\n
Sobald dort aber private und beruflich Funktionen (Telefonanrufe, Zugriff auf Ger\u00e4te, VPN-Verbindungen etc.) genutzt werden, laufen wir in ein Problem. Alle Anrufe, die \u00fcber die FRITZ!Box einlaufen, legt FRITZ!OS in eine Log-Datei. Dabei werden berufliche und private Anrufe im Protokoll gemischt. Schickt der FRITZ!OS-Nutzer sich die Log-Dateien \u00fcber irgend einen Freemail-Account selbst zu, liegt bereits ein DSGVO-Versto\u00df vor – denn ich gehe davon aus, dass kein Nutzer einen Datenverarbeitungsvertrag mit den g\u00e4ngigen Freemail-Anbietern hat.<\/p>\n
Auch sonstige Zugriffe \u00fcber die FRITZ!Box, die ggf. protokolliert werden, und gemischte private\/berufliche Funktionen betreffen, fallen in die gleiche Kategorie. Zugriffe vom Internet auf die FRITZ!Box erm\u00f6glichen auf das gesamte Netzwerk zuzugreifen, was hinter der FRITZ!Box h\u00e4ngt. Anders herum kann im lokalen Netzwerk, welches durch die FRITZ!Box aufgespannt wird, jeder Nutzer auf alle Freigaben der Ger\u00e4te zugreifen. Das ist kritisch, wenn private Nutzer auf Freigaben von Firmenger\u00e4ten oder beruflich genutzten Ger\u00e4ten zugreifen k\u00f6nnen.<\/p>\n
Dumm ist auch, wenn es einen Hack gibt, wo dann private und berufliche Informationen, protokolliert durch die FRITZ!Box, in fremde H\u00e4nde fallen. Solange nur private Daten bei einem solchen Vorfall betroffen sind, hat nur das jeweilige Opfer den Schaden. Sind aber beruflich genutzte Daten bei einem solchen Vorfall involviert, wird der gesamte Vorfall f\u00fcr die betreffende Firma\/Organisation DSGVO-relevant und muss gemeldet werden.<\/p>\n
Ich fragte dann, ob AVM dieser Problembereich bewusst sei und ob es Pl\u00e4ne gebe, FRITZ!OS entsprechend zu ert\u00fcchtigen, dass bei der Konfiguration des Netzwerks und des Routers eine Trennung in zwei Segmente privat\/beruflich erfolgen kann (z.B. Telefonanrufe anhand der Nummer in separate Protokolle, Segmentierung der Ger\u00e4te im Netzwerk in privat\/beruflich etc.). Ich wies in meiner Mail darauf hin, das Szenario auch bei \u00c4rzten auftritt und hoch sensibel sei. Aber im Grunde betrifft es jeden Arbeitnehmer im HomeOffice.<\/p>\n
In der Antwort von AVM hie\u00df es dann \"Ob und wie ein Nutzer seinen Router auch beruflich nutzt, ist uns nat\u00fcrlich nicht bekannt und ist Sache des Nutzers. Dazu geh\u00f6rt auch die Sicherstellung der DSGVO und der Vertraulichkeit.\" Der Ball wird also konkret an die Nutzer und deren Arbeitgeber zur\u00fcck gespielt. Mein Fazit: Im Grunde kann keine AVM FRITZ!Box in diesem Bereich eingesetzt werden, wenn berufliches und privates \u00fcber ein Ger\u00e4t und eine Internetleitung abgewickelt werden, weil es kaum oder nur sehr schwierig DSGVO-m\u00e4\u00dfig in den Griff zu bekommen ist.<\/p>\n
IT-Zugriffsschutz in der Praxis<\/h2>\n
Doch zur\u00fcck zu den Ausf\u00fchrungen des Blog-Leser, der mir schrieb: \"Nun schauen wir uns den physischen Zugriffschutz an, wenn ich Ihn mal so nennen darf. Eigentlich, so in 80% aller F\u00e4lle, stehen die Ger\u00e4te meistens in einfachen Schr\u00e4nken, Regalen oder unter dem Schreibtisch. Abgeschlossener Raum mit Netzwerkschrank o. \u00e4. Fehlanzeige. \"<\/p>\n
Die Verkabelung ist sei immer ein Graus, so die Beobachtung des Lesers. Von wild rumliegenden LAN Kabeln angefangen, bis hin Kabelb\u00e4llen aus einem Mix von LAN, Telefon- und Stromkabeln. Die Highlights bisher:<\/p>\n
![\"Gesundheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Gesundheit-klein.jpg\" "\\"Gesundheit\\"")
Wir stehen bez\u00fcglich der Digitalisierung im Gesundheitswesen sicherlich \"in der Morgend\u00e4mmerung\" – bald soll es \"hell werden\", eRezept \"fl(o)uppt\" schon, die elektronische Patientenakte (ePA) kommt 2025 und alles klappt wie am Schn\u00fcrchen. Ist der Traum von Dr. Karl Lauterbach, seines Zeichens amtierender Gesundheitsminister in Deutschland. Nach der Pr\u00e4misse \"was kann schon schief gehen\" wird auf Teufel komm raus Digitalisierung im Gesundheitswesen verordnet. Da st\u00f6rt es vermutlich nur, wenn man mal einen Blick auf die \"IT in der Praxis\" im doppeldeutigen Sinne des Wortes Praxis wirft. Ein \"Insider-Blick auf IT aus Praxen\" gef\u00e4llig?<\/p>\n