Ergebnis 1 bis 13 von 13

Thema: Verschlüsselung von eMails im Praxisalltag

  1. #1
    Nein.

    Moderator

    Avatar von Fhynn
    Registriert seit
    Jul 2013
    Beiträge
    8.830
    ngb:news Artikel
    5

    Verschlüsselung von eMails im Praxisalltag

    Moin Mädels,

    folgende Geschichte: Durch die DSGVO fragen immer mehr Praxen (Ärzte) nach, wie sie den ihre eMails verschlüsselt bekommen. Soweit ich weiß gibt es derzeitig keinen "Idiotensicheren" Standard? Es gibt PGP und S/MIME und noch andere kleinere und größere Projekte, aber so wirklich DAU-tauglich ist ja nichts davon.

    Klar kann ich PGP etc. den Kunden einrichten, aber letzlich haben sie nix davon. Was nutzt eine PGP Verschlüsselung, wenn der Gegenüber (Labore, andere Ärzte etc.) nicht auch PGP nutzt?

    Ich bin in dem ganzen Verschlüsselungskram nicht so drin, aber hier gibt's ja sicher ein paar Leute die sich damit beschäftigen. Was rät man solchen Praxen? Laborberichte nicht mehr per Mail anfordern sondern klassisch über Fax? Kein verschicken mehr von irgendwelchen Befunden und Co per Mail? Weiter machen und abwarten was sich so ergibt?

    Lg,

    Ich wurde so geboren, Ich werde so bleiben bis ich sterb,
    Ich wurde so geboren, Antifaschist für immer, für immer


  2. #2
    Defender of Freedom

    Administrator

    Avatar von Metal_Warrior
    Registriert seit
    Aug 2013
    Ort
    /dev/mapper/home
    Beiträge
    3.178
    ngb:news Artikel
    6

    Re: Verschlüsselung von eMails im Praxisalltag

    Bloß nicht weitermachen, zumindest nach bayrischem Datenschutzgesetz ist das jetzt schon nen Datenleck und dürfte anzeigepflichtig sein. E-Mail ist als unverschlüsselter Kommunikationsweg zu betrachten, egal wie viel "E-Mail made in Germany" draufsteht.

    Am Sichersten ist GnuPG. Es gibt derzeit keinen bekannten Angriffsweg, derartige Dateien ohne Key zu entschlüsseln. Das ist auch (wenn auch unbekannt) sogar ziemlich DAU-Freundlich: https://www.gpg4win.de/doc/de/gpg4wi...endium_24.html. USB-Stick für jeden Mitarbeiter mit dem Key vorbereiten (der den Ort nicht verlassen darf), die Datei-Verschlüsselung ordentlich einrichten, zentral irgendwo die Zielkeys hinlegen und sauber benennen - dürfte ein mit Prozess behandelbares, temporäres Problem werden. Ein bisschen Schulung draufschmeißen, dann dürfte das jede Arzthelferin hinbekommen - die müssen schließlich auch mit der Arztsoftware arbeiten können, und die ist ja eher... semi-selbsterklärend.
    Nachteil: Jeder benötigt einen eigenen Schlüssel, oder die Praxis nutzt einen zentralen (dann aber bitte nicht jedem das Passwort sagen, weil sobald ein Mitarbeiter das Haus verlässt, darf man nen neuen machen und mit den Kommunikationspartnern austauschen).

    Am Zweitsichersten ist S/MIME, das aber ein bekanntes Leck hat, das im Standard verankert und damit systemisch ist: Keine cryptographische Sicherstellung der Manipulationsfreiheit. Ist aktuell zwar nur bei Mails ein Problem, aber wer weiß, was da sonst noch so kommt. Dateiverschlüsselung mit S/MIME kenn ich so nicht, gibts aber mit Sicherheit.

    ZIP ist so lala. Je nach verwendetem Passwort und Algorithmus ist das eher so semi-sicher, zumal die Leute sicher anfangen werden, "1234" als Passwort zu nehmen. Das kann dir halt bei Schlüsseln eher nicht passieren (ist ja egal, wenn die lokal eher so semi-verschlüsselt sind, die verlassen ja nie das Haus).

    Zentraler Server, auf dem alle Daten liegen, und der von überall her erreichbar ist: Denkbar beschissenste Idee. Hast du einmal ein Leck, und wenn nur einer mal seinen Account mit beschissenem Passwort sichert oder in der U-Bahn vergisst, darfst du gleich die Kavallerie verständigen... Ich erinnere mich da gern an die Sache mit dem Passwort-Recycling hier bei uns letztes Jahr...
    Für diesen Beitrag bedanken sich Cybergreek, Fhynn
    GCM/IT/S/O d-(--) s+:- a? C++(+++) UL+++(++++)$ P L+++>++++ W++ w@$ M--$ PS+(++) PE(-) Y+(++) PGP++(+++) t+ 5(+) R* !tv b+(++++) DI(++) G++ e+>++++ h(--) y?
    Das Ende ist nahe: Dem Harleyschen Kometen folgt der Gammablitz beim Scheißen.

  3. #3
    Nein.

    Moderator

    (Threadstarter)

    Avatar von Fhynn
    Registriert seit
    Jul 2013
    Beiträge
    8.830
    ngb:news Artikel
    5

    Re: Verschlüsselung von eMails im Praxisalltag

    Die Problematik die ich eben aktuell sehe:
    Der Empfänger muss eben auch über ein entsprechendes Verfahren verfügen und es sollte eben auch noch zueinander passen. Nutzt der Sender OpenPGP und der Empfänger S/MIME wird das wieder nichts.

    Ich kann aber nur Einfluss nehmen auf meine Kunden, dh. die Praxen. Ich kann aber schlecht das Labor anrufen und verlangen das sie alle ihre eMails an Praxis XY mit OpenPGP verschlüsseln. Genau so habe ich keinen Einfluss darauf was andere Supportcenter machen - wir betreuen zwar Arztpraxen in Bezug auf EDV, ja, aber wir betreuen ja nicht die medizinischen Geräte. Sonogeräte, HRT, OCT, allgemein eigentlich alles was so richtig Special ist, wird immer in Kombination mit einem "Fremdtechniker" angeschlossen und eingerichtet. Die leisten aber eben bei Problemen mit ihrem Kram auch selbst Support (wenn das HRT plötzlich nicht mehr tut, sind idR nicht wir dafür verantwortlich, außer es liegt daran das unser NAS abgeraucht ist und die Datenübertragung fehlschlägt^^) leisten. Die schicken auch Mails. Wir können jetzt schlecht einem Unternehmen, selbst wenn es "nur" 150 Mitarbeiter hat, vorschreiben das sie plötzlich OpenPGP o.Ä. nutzen sollen...

    Irgendwie gibt es da nicht so wirklich den idealen Schnittpunkt?

    Ich wurde so geboren, Ich werde so bleiben bis ich sterb,
    Ich wurde so geboren, Antifaschist für immer, für immer


  4. #4
    Defender of Freedom

    Administrator

    Avatar von Metal_Warrior
    Registriert seit
    Aug 2013
    Ort
    /dev/mapper/home
    Beiträge
    3.178
    ngb:news Artikel
    6

    Re: Verschlüsselung von eMails im Praxisalltag

    @Fhynn: Doch, eigentlich kannst du das. Spätestens dann, wenn sie euch schriftlich garantieren müssen, für alle Datenschutzverstöße, die durch GnuPG verhindert hätten werden können, die Verantwortung zu übernehmen, werden die sehr schnell einknicken. Aktuell haben alle Angst...

    Setz ein nettes Schriftstück auf, lass nen Anwalt drüberschauen, und schlag ihnen vor: Entweder GnuPG oder Unterschrift, und die werden gern GnuPG nehmen...
    GCM/IT/S/O d-(--) s+:- a? C++(+++) UL+++(++++)$ P L+++>++++ W++ w@$ M--$ PS+(++) PE(-) Y+(++) PGP++(+++) t+ 5(+) R* !tv b+(++++) DI(++) G++ e+>++++ h(--) y?
    Das Ende ist nahe: Dem Harleyschen Kometen folgt der Gammablitz beim Scheißen.

  5. #5
    SYS64738

    Moderator

    Avatar von thom53281
    Registriert seit
    Jul 2013
    Beiträge
    3.717
    ngb:news Artikel
    41

    Re: Verschlüsselung von eMails im Praxisalltag

    Zitat Zitat von Metal_Warrior Beitrag anzeigen
    ZIP ist so lala. Je nach verwendetem Passwort und Algorithmus ist das eher so semi-sicher, zumal die Leute sicher anfangen werden, "1234" als Passwort zu nehmen.
    ZIP gehört halt zu den Dingen, die praktisch auf jedem PC vorhanden sind. Ich kann eine verschlüsselte ZIP verschicken und praktisch davon ausgehen, dass der Empfänger sie auf jeden Fall öffnen können wird. Ich kenne da keine andere Methode, die diese Kriterien ebenfalls erfüllen wird. Ok, verschlüsselte PDF noch, aber das ist schon etwas komplizierter als ZIP.

    Die Sicherheit steht und fällt mit dem Kennwort, welches für die ZIP-Datei vergeben wird. Man darf die Leute daher nicht selbst ein Kennwort vergeben lassen. Man muss den (verschickenden) Leuten einen entsprechend konfigurierten Zufallsgenerator auf den PC packen und sie anweisen, diesen zwingend zu verwenden. Das Kennwort gibt man dann dem Kunden, wenn er vor Ort da ist, auf einem Zettel mit und die Diagnose kommt dann später per Mail.

  6. #6
    Defender of Freedom

    Administrator

    Avatar von Metal_Warrior
    Registriert seit
    Aug 2013
    Ort
    /dev/mapper/home
    Beiträge
    3.178
    ngb:news Artikel
    6

    Re: Verschlüsselung von eMails im Praxisalltag

    @thom53281: Und sobald du das mit dem Generator hast, bist du mit GnuPG und der Rechtsklick-Lösung schneller. Da können sie nämlich nicht aus. Beim Zufallsgenerator.... naja, der braucht so lang, ich hab mal schnell 123 genommen...

    Und wie gesagt, da ist die Sicherheit im Paket mit drin, und nicht vom Anwender abhängig. Grundsatz der IT-Sicherheit: Vertraue nie dem DAU!
    GCM/IT/S/O d-(--) s+:- a? C++(+++) UL+++(++++)$ P L+++>++++ W++ w@$ M--$ PS+(++) PE(-) Y+(++) PGP++(+++) t+ 5(+) R* !tv b+(++++) DI(++) G++ e+>++++ h(--) y?
    Das Ende ist nahe: Dem Harleyschen Kometen folgt der Gammablitz beim Scheißen.

  7. #7
    SYS64738

    Moderator

    Avatar von thom53281
    Registriert seit
    Jul 2013
    Beiträge
    3.717
    ngb:news Artikel
    41

    Re: Verschlüsselung von eMails im Praxisalltag

    Ja, wenn zwei Kommunikationspartner des öfteren Mails miteinander austauschen, sollte man selbstverständlich eine solche Lösung aka PGP einsetzen. Ich rede da eher vom 0815-Patienten, der sich 1-2 Mal im Leben eine Diagnose per Mail zuschicken lässt. Der wird sich dafür sicherlich keinen E-Mail-Client mit PGP konfigurieren.

  8. #8
    Defender of Freedom

    Administrator

    Avatar von Metal_Warrior
    Registriert seit
    Aug 2013
    Ort
    /dev/mapper/home
    Beiträge
    3.178
    ngb:news Artikel
    6

    Re: Verschlüsselung von eMails im Praxisalltag

    @thom53281: Der nicht. Aber der dürfte die Daten auch nicht bekommen, und wenn: Da würde ich tatsächlich CDs brennen lassen...
    GCM/IT/S/O d-(--) s+:- a? C++(+++) UL+++(++++)$ P L+++>++++ W++ w@$ M--$ PS+(++) PE(-) Y+(++) PGP++(+++) t+ 5(+) R* !tv b+(++++) DI(++) G++ e+>++++ h(--) y?
    Das Ende ist nahe: Dem Harleyschen Kometen folgt der Gammablitz beim Scheißen.

  9. #9
    SYS64738

    Moderator

    Avatar von thom53281
    Registriert seit
    Jul 2013
    Beiträge
    3.717
    ngb:news Artikel
    41

    Re: Verschlüsselung von eMails im Praxisalltag

    Wer was bekommen darf oder nicht, kann ich mangels Fachkenntnissen in dem Bereich nicht beurteilen. Aber man kann das auch allgemeiner formulieren: Wie schicke ich meinen Kunden irgendwelche halbwegs sensiblen Daten per Mail? Oder theoretisch müssen die nichtmal sensibel sein, muss ja nicht jeder mitlesen können. Bei einer CD läufst Du mittlerweile sogar schon Gefahr, dass es Leute gibt, die eine solche gar nicht mehr lesen können. Viele Notebooks/Geräte sind mittlerweile schon ohne Laufwerk.

  10. #10
    gesperrt
    Registriert seit
    Mar 2015
    Beiträge
    5.374
    ngb:news Artikel
    4

    Re: Verschlüsselung von eMails im Praxisalltag

    Für regelmäßige Mails: PGP. Mit Enigmail sehr einfach zu bedienen.

    Für einmalige Mails: client-side verschlüsselter/entschlüsselter Download-Link, beispielsweise mit Nextcloud. Kennt ihr Alternativen dazu?

  11. #11
    Nein.

    Moderator

    (Threadstarter)

    Avatar von Fhynn
    Registriert seit
    Jul 2013
    Beiträge
    8.830
    ngb:news Artikel
    5

    Re: Verschlüsselung von eMails im Praxisalltag

    @phre4k: Und was nutzt PGP wenn mein Gegenüber kein PGP nutzen will, kann oder sich für z.B. S/MINE entscheidet? Wie soll ich als Externer dem Labor vorschreiben das sie ihre Emails an Praxis XYZ bitte per PGP verschlüsseln sollen?

    Ich wurde so geboren, Ich werde so bleiben bis ich sterb,
    Ich wurde so geboren, Antifaschist für immer, für immer


  12. #12
    Defender of Freedom

    Administrator

    Avatar von Metal_Warrior
    Registriert seit
    Aug 2013
    Ort
    /dev/mapper/home
    Beiträge
    3.178
    ngb:news Artikel
    6

    Re: Verschlüsselung von eMails im Praxisalltag

    @Fhynn: Wenn die S/MIME verwenden, kannst du das ja zusätzlich machen. Trotzdem dürftest du zumindest in Teilen dem Labor vorschreiben können, sichere Kommunikation zu verwenden, und wenns über die Drohung mit dem Datenschutzbeauftragten geht.
    GCM/IT/S/O d-(--) s+:- a? C++(+++) UL+++(++++)$ P L+++>++++ W++ w@$ M--$ PS+(++) PE(-) Y+(++) PGP++(+++) t+ 5(+) R* !tv b+(++++) DI(++) G++ e+>++++ h(--) y?
    Das Ende ist nahe: Dem Harleyschen Kometen folgt der Gammablitz beim Scheißen.

  13. #13
    gesperrt
    Registriert seit
    Mar 2015
    Beiträge
    5.374
    ngb:news Artikel
    4

    Re: Verschlüsselung von eMails im Praxisalltag

    Zitat Zitat von Fhynn Beitrag anzeigen
    @phre4k: Und was nutzt PGP wenn mein Gegenüber kein PGP nutzen will, kann oder sich für z.B. S/MINE entscheidet? Wie soll ich als Externer dem Labor vorschreiben das sie ihre Emails an Praxis XYZ bitte per PGP verschlüsseln sollen?
    Indem man sich ein Labor sucht, welches die Daten verschlüsselt übertragen will und darauf hinweist, dass das seit DSGVO ziemliche Bußgelder mit sich ziehen kann.

    Wie viele Labors in Deutschland gibt es? Drei?

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •