Daten­schutz in Arzt­pra­xen: Geän­der­te Emp­feh­lun­gen des BSI zu Pass­wort­vor­ga­ben

Warum Pass­wör­ter vor allem im Gesund­heits­we­sen wich­tig sind.

Bei dem Stich­wort „Vor­ga­ben für Pass­wör­ter“ werden bei Schu­lun­gen in Arzt­pra­xen, MVZ oder ande­ren Ein­rich­tun­gen des Gesund­heits­we­sens oft die Augen gerollt. An die Pass­wort­re­geln, die für den Schutz der Pati­en­ten­da­ten erfor­der­lich sind, hält sich in der Praxis kaum jemand. Doch dies kann schlim­me Folgen haben. Nicht nur, dass sen­si­ble Daten gestoh­len werden können, auch hohe Stra­fen bis zu 10 Mil­lio­nen Euro oder 2% des welt­wei­ten Unter­neh­mens­um­sat­zes können ein­ge­for­dert werden. Daher ist es wich­tig alle Mit­ar­bei­ter noch­mals zu diesem Thema zu sen­si­bi­li­sie­ren. Das ist die Auf­ga­be des Ver­ant­wort­lich in Zusam­men­ar­beit mit der jewei­li­gen IT-Abtei­lung und dem inter­nen oder exter­nen Daten­schutz­be­auf­trag­ten.

Pass­wör­ter sind die zen­tra­len Schutz­ein­rich­tun­gen, um die Sys­te­me vor der unbe­fug­ten Nut­zung durch Dritte zu schüt­zen. Ein Nutzer kann sich durch eine Benut­zer­ken­nung oder meh­re­re Pass­wör­ter iden­ti­fi­zie­ren. Ins­be­son­de­re zu Zeiten des Ver­stärk­ten Arbei­tens aus dem Home­of­fice ist die Siche­rung der Sys­te­me zwin­gend not­wen­dig.

Was macht ein gutes Pass­wort aus?

Das Bun­des­amt für Sicher­heit und Infor­ma­ti­ons­tech­nik (BSI) hat neue Emp­feh­lun­gen zum Thema Pass­wör­ter raus­ge­ge­ben. Daher soll­ten alle Mit­ar­bei­ter noch einmal in diesem Bereich sen­si­bi­li­siert werden, um sowohl die geschäft­li­chen als auch die pri­va­ten Accounts zu schüt­zen.

Die wich­ti­gen Regeln noch einmal zusam­men­ge­fasst:

  • Wählen Sie mehr als 8 Zei­chen
  • Ver­wen­den Sie Groß- und Klein­buch­sta­ben, Zif­fern und Son­der­zei­chen
  • Nutzen Sie selbst­aus­ge­dach­te, sinn­lo­se Sätze, wobei jeder erste Buch­sta­be eines Wortes ein Zei­chen des Pass­wor­tes ergibt

Weisen Sie alle Mit­ar­bei­ter darauf hin keine bana­len Pass­wör­ter sowie Wie­der­ho­lungs- oder Tas­ten­mus­ter zu nutzen! Beden­ken Sie dabei, dass auch Tablets und Smart­pho­nes kleine Com­pu­ter sind, die vor einem unbe­fug­ten Zugriff geschützt werden müssen.

Hier ein Bei­spiel für eine Pass­wort aus einem Satz: Meine Familie wohnt bereits seit 20 Jahren in Köln und mag das Rhein­land -> #MFwbs20JiKumdR#

 

Als wich­ti­ge Neue­rung ist zu nennen, dass ent­ge­gen den Emp­feh­lun­gen wie bisher Pass­wör­ter nicht mehr alle drei Monate ver­än­dert werden sollen, da es in den meis­ten Fällen dazu kam, dass die Pass­wör­ter nur leicht abge­än­dert wurden und somit auch schnell geknackt werden konn­ten.

Wann sollte ein Pass­wort zwin­gend geän­dert werden?

Geän­dert werden muss ein Pass­wort, wenn ein Schad­pro­gramm auf dem PC oder dem IT-System ist, da diese Pro­gram­me Zugangs­da­ten auf­zeich­nen und an Dritte über­mit­teln können. Zudem kur­sie­ren diese Daten dann auch oft im Inter­net. Daher muss das Schad­pro­gramm schnellst­mög­lich ent­fernt und neue Pass­wör­ter instal­liert werden. Zudem soll­ten Pass­wör­ter geän­dert werden, sobald sie von einem Diens­te­an­bie­ter dazu auf­ge­for­dert werden oder sie Infor­ma­tio­nen von seriö­sen Nach­rich­ten­diens­ten zu bestimm­ten Angrei­fern, Spam- oder Pis­hing-Mails erhal­ten.

Wie kann man Pass­wör­ter am besten ver­wal­ten?

Es ist bekannt, dass man für jeden ein­zel­nen Account, sei es beruf­lich oder privat, ein sepa­ra­tes Pass­wort nutzen soll. So kommen bei den meis­ten Men­schen sehr viele Pass­wör­ter zustan­de. Hierzu ist es hilf­reich, einen soge­nann­te Pass­wort-Safe zu nutzen. Hier können alle Pass­wör­ter hin­ter­legt werden und der Nutzer muss sich nur ein Mas­ter­pass­wort merken. In diesem Bereich gibt es neben Open-Source Soft­ware auch die Mög­lich­keit Pass­wort­ver­wal­tungs­soft­ware von Betriebs­sys­te­men zu nutzen. Sogar einige Web­brow­ser bieten an Pass­wör­ter zu spei­chern, hier muss man als Nutzer beson­ders darauf achten, dass diese mit einem Mas­ter­pass­wort abge­si­chert sind.

 

Für den Alltag gilt, sen­si­bi­li­sie­ren sie alle Mit­ar­bei­ter und legen sie eine Pass­wort­richt­li­nie für ihre Praxis/ ihr Unter­neh­men fest. Geben Sie Pass­wör­ter nicht weiter und ver­wen­den Sie in der Praxis keine Kle­be­zet­tel oder sons­ti­ges. Ändern Sie alle vor­ein­ge­stell­ten Pass­wör­ter ab. Für die IT-Abtei­lung ist es wich­tig Pass­wör­ter der Nutzer nicht im Klar­text zu spei­chern, da dies ein Ver­stoß gegen Art. 32 der DSGVO dar­stellt und mit einem Buß­geld in einem aktu­el­len Fall von 20.000 Euro geahn­det wurde. Dieses Buß­geld, wel­ches in Baden-Würt­tem­berg ver­hängt wurde, fiel auch nur so gering aus, da sich der Ver­ant­wort­li­che inten­siv darum geküm­mert hat, den Daten­schutz­ver­stoß schnellst­mög­lich zu besei­ti­gen. Wenn mög­lich nutzen Sie eine 2‑Fak­tor-Authen­ti­fi­zie­rung, so kann ein Zugriff auf das System ver­hin­dert werden, auch wenn das Pass­wort geknackt wurde, da eine Infor­ma­ti­on an den Nutzer gesen­det wird und dieser bspw. einen Veri­fi­zie­rungs­code ein­ge­ben muss, um sich ein­deu­tig zu iden­ti­fi­zie­ren.

 

Haben Sie Fragen oder Anre­gun­gen rundum und den Arti­kel oder unsere Daten­schutz­be­ra­tung? Schrei­ben Sie uns über unser Kon­takt­for­mu­lar oder rufen Sie uns an