IT-Sicherheit mit Planmeca Romexis®

Mit ihr ist die Zahnarztpraxis gewappnet gegen mutwillige Verschlüsselungs- oder Erpressungsprogramme („Ransom-Ware“) sowie auch gegen eigene Bedienfehler. Den Anforderungen der DGSVO trägt Romexis^® somit Rechnung.

Die Datensicherheit einer Zahnarztpraxis sollte sich über 3 Bereiche erstrecken:

1. Gegen den Verlust bzw. Missbrauch von Daten durch unbefugte Dritte (Ransom-Ware)
2. Gegen den Verlust, Veränderung oder Missbrauch von Daten durch Mitarbeiter oder Patienten (Rache oder Erpressung)
3. Gegen den Verlust oder Veränderung von Daten aus Versehen (Fehler)

Nicht erst seit der Einführung der Telematik-Infrastruktur oder der digitalen Kassenabrechnung sind Praxen mit dem Internet verbunden. Die Empfehlung aus früheren Tagen – nur einen bestimmten Computer mit dem Internet zu verbinden – ist der Notwendigkeit für die Nutzung verschiedener Programme für die Praxis gewichen.

E-Mail-Programme sowie Webseiten bergen generell das Risiko, sich einen „Erpressungstrojaner“ einzufangen. Der Personenkreis, der diese Trojaner vermehrt verbreitet, konzentriert sich auf konkrete Ziele, bei denen vermeintlich viel Geld zu holen ist.

Hierfür werden über „Social Engineering“ verblüffend echt aussehende E-Mails oder Fake-Webseiten auf den Anwender zugeschnitten (siehe die Warnungen des BSI – https://bsi.bund.de). Aber warum können diese Software- oder Malware-Angriffe überhaupt Schaden anrichten? Leider liegt dies in erster Linie an den verwendeten Programmen in der Zahnarztpraxis – und weniger am Schadprogramm selbst.

Viele Programme verwenden sogenannte „Dateifreigaben“. Mit jedem Computer kann man auf alle Dateien zugreifen bzw. mit dem Anwendungsprogramm holt man sich die gerade benötigten Daten. Jeder Benutzer kann aber das Anwendungsprogramm umgehen und die Daten selbst löschen oder kopieren – oder eben verschlüsseln.

Ein Benutzer kann dabei auch ein Patient sein, der – wenn unbeobachtet im Behandlungszimmer – einen USB-Stick verwendet und einfach alle Daten kopiert. Eine Sperre des Anwendungsprogramms hilft hier nicht, wenn man mit dem normalen Windows-Explorer an alle Dateien herankommt.

Explizit aus diesem Grund erfolgt der Zugriff auf Romexis^®-Daten ausschließlich über das eigene Client-Programm. Nur am speziell geschützten Servercomputer (möglichst in einem abgeschlossenen Raum) kann direkt auf die Daten zugegriffen werden. Ein Trojaner oder auch ein Mitarbeiter ohne Zugriffsberechtigung für den Server, kann ohne das Romexis^®-Programm keine Daten erreichen.

Die Kennwörter für Administratoren sollten daher auch nicht zu einfach und nur wenigen Personen bekannt sein. Ist der Zugriff auf die Daten nur über das Anwendungsprogramm selbst möglich, muss außerdem sichergestellt werden, dass nicht jeder Mitarbeiter alle Programmteile nutzen kann. Der Export von Bilddateien, das Erstellen von kompletten Berichten (Röntgenkontrollbuch), das Löschen von Patientenakten bzw. Bildern usw. sollten nur befugte Personen vornehmen können.

Auch sollten alle Vorgänge protokolliert werden, sodass jederzeit nachvollzogen werden kann, wer wann was durchgeführt hat. All dies bietet Planmeca Romexis® mit seiner revisionssicheren Datenbank.

Ganz ohne eine Sicherheits-Planung in der Praxis geht es leider nicht. Oft ist jedoch die Situation gegeben, dass ein User alles machen kann und sich nur einmal morgens anmelden muss – und dies meist mit der am häufigsten Benutzername-Kennwort-Kombination „praxis/Praxis“.

Dies öffnet Schadprogrammen bzw. böswilligen Anwendern Tür und Tor. Es empfiehlt sich daher, sich von IT-Sicherheitsexperten beraten zu lassen. Planmeca Romexis^® bietet die Sicherheit, die die Praxis braucht, explizit für die Bilddaten.

Quelle:
Planmeca OY