Dieser Standpunkt Sicherheit zerpflückt eine ganze Reihe mehr oder weniger kurioser Meldungen. Was halten Sie denn von Patientendaten bei Google? Außerdem erfahren Sie etwas über aktuelle Angriffe, und es gibt zwei Lesetipps und einen Hinweis auf ein neues Tool. Wussten Sie schon, dass diese Woche wieder Microsofts Patchday ist?
Big Brother Google
Google startet einen neuen Dienst: "Google Web Security for Enterprise". Man wickelt seinen Web-Traffic über Google ab, und die filtern dann Schadsoftware und andere unerwünschte Inhalte raus. Sorry, tut mir leid, aber das kann doch wohl nur ein schlechter Scherz sein, oder? Warum um alles in der Welt sollte ich meinen Internetverkehr über einen Anbieter leiten, dessen Hauptgeschäft im Sammeln und Auswerten von Daten besteht? Da müssen nicht mal vertrauliche Daten dabei sein, allein schon die Möglichkeiten zur Profilbildung reichen für ein "Never ever!" aus. Sicherheitsgateways gibt es reichlich, die kann man im eigenen Unternehmen aufstellen und hat die vollständige Kontrolle darüber. Und es wird noch besser: Auch z.B. Außendienstmitarbeiter sollen sich über Google "sicher" mit dem Unternehmensnetz verbinden. Auch dafür gibt es schon lange Lösungen, die ganz ohne den großen Bruder Google auskommen. Das Ganze nennt sich z.B. VPN und funktioniert wunderbar, warum also sollte man seine Daten über Google leiten?
Sensitive Daten mit Internetanschluss?
Dass sensitive Daten normalerweise nichts auf einem Rechner mit einer Verbindung zum Internet zu suchen haben, ist eigentlich allgemein bekannt und vor allem auch anerkannt. Dachte ich jedenfalls, bis ich eine Meldung der Ärzte-Zeitung las: "Das Internet ist für Praxisrechner mit Patientendaten nicht mehr tabu". Patientendaten und Internet - das geht ja nun gar nicht. Dazu aus der Meldung zwei Zitate:
"Wir können Ärzte nicht in einem rechtsunsicheren Raum arbeiten lassen, wir wollen ihnen Empfehlungen an die Hand geben, damit sie auf berufsrechtlich saubere Art und Weise neue Kommunikationsformen nutzen können."
Das klingt nach "Wir liefern den Ärzten die Ausreden, wieso sie gegen alle Datenschutz-Grundsätze verstoßen können". Und es wird noch besser:
"Durch die Empfehlungen und die zugehörige Technische Anlage sei nun aber auch klar geregelt, welche Sicherheitsvorkehrungen einzuhalten sind, so Stachwitz - zum Beispiel die Nutzung von Providern, die einen Schutz durch Firewalls garantieren."
Da bietet sich doch das neue Angebot von Google an, oder? Können wir also unsere Krankenakten demnächst bei Google nachlesen? Aber Scherz beiseite: Die Firewalls beim Provider schützen den Praxisrechner ziemlich genau gar nicht. Das klingt also, als wäre diese Empfehlung absolut nicht empfehlenswert. Zum Glück ist das ganz und gar nicht so. Denn wenn man sich ansieht, was Bundesärztekammer und Kassenärztliche Bundesvereinigung wirklich veröffentlicht haben, relativieren sich die obigen Aussagen zum Glück sehr schnell. Darin steht z.B. im Anhang
"3.1.5 Schutz von Patientendaten vor Zugriffen aus Netzen
Rechner mit Patientendaten sollten niemals direkt mit dem Internet/Intranet verbunden sein. [...]"
Und andere Quellen im Netz haben die obigen Aussagen, die wahrscheinlich aus einer Presseerklärung stammen, auch richtig wiedergegeben und nicht verfälscht gekürzt. Z.B. bei juravendis.de steht es richtig:
"Bisher galt: Praxisrechner, die Patientendaten verwalten, dürfen nicht ans Internet. Dies ist nun nicht mehr zwingend, wenn Provider einen entsprechenden Schutz durch Firewalls garantieren. Dies ist zum Beispiel im Rahmen des Hochsicherheitsdatennetzes der KVen, dem KV-Safenet der Fall".
Es geht also um ein spezielles Hochsicherheitsnetz, nicht um irgendeinen Internet-Zugangsprovider, der irgendwo ein paar Firewalls stehen hat. Das ist doch ein gewaltiger Unterschied.
Mein Tipp: Lesenwert!
Die Empfehlungen, vor allem die Technische Anlage, sind nicht schlecht. Wer ein paar Anregungen zum Absichern seines Netzes sucht, sollte sich das ruhig mal durchlesen, auch wenn er nicht Arzt ist. Natürlich sind da etliche Selbstverständlichkeiten drin, aber gerade die werden ja oft übersehen oder aus Bequemlichkeit außer Acht gelassen. Allerdings sind mir auch ein paar Sachen aufgefallen, bei denen ich etwas gestutzt habe, aber da das Ganze für Laien geschrieben ist, ist das wohl zu verschmerzen.
Und noch etwas zum Lesen
Und weil ich gerade bei Ärzten bin: Auch zur elektronischen Gesundheitskarte gibt es Neuigkeiten. Leider nicht die, auf die ich warte (der Unsinn wurde eingestampft), aber immerhin eine mit angenehmen Nebeneffekt: Die für die Einführung der Karte zuständige Projektgesellschaft gematik GmbH hat ein Paper (PDF) zur Sicherheit der Gesundheitskarte veröffentlicht. Nicht, dass der Inhalt mich von der Sicherheit des Systems überzeugt hätte (ganz im Gegenteil, außerdem stört mich besonders die Speicherung der Daten auf fremden Servern, und darauf wird gar nicht eingegangen), aber es ist eine schön aufgemachte Einführung in IT-Sicherheit, Kryptografie und PKI. Zwar alles sehr idealisiert, aber als Einführung nicht schlecht gemacht. Und das ist doch schon mal etwas. Wenn das Ganze also irgendwann eingestampft wird, sind wenigstens ein paar schöne Einführungstexte dabei entstanden.
Vorsicht, Angriffe!
Kommen wir von der Theorie zur Praxis: Es wurden mal wieder Seiten mit präparierten Links gefunden, über die Schadsoftware in die Browser der Besucher eingeschleust werden sollte - diesmal traf es die ARD. Außer solcher "Schrotschuss-Angriffe" wurden in der letzten Woche auch gezielte Angriffe bekannt: Ende November bis Anfang Dezember 2007 gab es gezielte Angriffe auf die Schweizer Bundesverwaltung (siehe Seite 11 im Halbjahresbericht 2007/2 der Scheizer Melde- und Analysestelle Informationssicherung MELANI), sowie laut Websense aktuell welche durch gefälschte Vorladungen an Führungskräfte großer Unternehmen. Entsprechende Angriffe gab es auch schon im vergangenen Jahr, die Opfer liefern den Phishern die für die Personalisierung der Angriffe nötigen Informationen ja durch Social Networks etc. frei Haus. Für Phishing auf "große Fische" wurde inzwischen ein eigener Begriff geprägt: "Whaling". Ob die Führungskräfte dann als Gegenmaßnahme vielleicht besser in den Social Networks abtauchen sollten?
Kill-Bit setzen
Zum Abschluss ein Programmhinweis: Um sich vor der Ausnutzung von Schwachstellen in ActiveX-Controls zu schützen, muss für die betreffenden Controls das sog. Kill-Bit gesetzt werden. Das verhindert ein Laden des Controls durch den Internet Explorer und damit die Ausnutzung der Schwachstellen über präparierte Webseiten. Das Setzen des Kill-Bits erfolgt normalerweise manuell durch eine Änderung an der Registry, wie es Microsoft in einem Knowledgebase-Artikel beschreibt. Da Manipulationen an der Registry nicht jedermanns Sache sind, hat David Maynor ein Programm veröffentlicht, mit dem das Kill-Bit für als verwundbar bekannte ActiveX-Controls gesetzt werden kann: AxBan.
Und zu guter Letzt: Der Patchday
Am Dienstag ist wieder Microsofts Patchday. Angekündigt wurden 4 Security-Bulletins. Zwei kritische Bulletins für Office und ein kritisches Bulletin für Windows betreffen die Ausführung beliebigen Codes aus der Ferne. Ein wichtiges Bulletin betrifft eine DoS-Schwachstelle in verschiedenen Sicherheitsprodukten. Na, dann mal los!
Carsten Eilers
Kommentare