• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

Verschlüsselung von eMails im Praxisalltag

Fhynn

Wird jetzt vernünftig.
Veteran

Registriert
13 Juli 2013
Beiträge
12.934
Moin Mädels,

folgende Geschichte: Durch die DSGVO fragen immer mehr Praxen (Ärzte) nach, wie sie den ihre eMails verschlüsselt bekommen. Soweit ich weiß gibt es derzeitig keinen "Idiotensicheren" Standard? Es gibt PGP und S/MIME und noch andere kleinere und größere Projekte, aber so wirklich DAU-tauglich ist ja nichts davon.

Klar kann ich PGP etc. den Kunden einrichten, aber letzlich haben sie nix davon. Was nutzt eine PGP Verschlüsselung, wenn der Gegenüber (Labore, andere Ärzte etc.) nicht auch PGP nutzt?

Ich bin in dem ganzen Verschlüsselungskram nicht so drin, aber hier gibt's ja sicher ein paar Leute die sich damit beschäftigen. Was rät man solchen Praxen? Laborberichte nicht mehr per Mail anfordern sondern klassisch über Fax? Kein verschicken mehr von irgendwelchen Befunden und Co per Mail? Weiter machen und abwarten was sich so ergibt?

Lg,
 

Metal_Warrior

Defender of Freedom
Teammitglied

Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
Bloß nicht weitermachen, zumindest nach bayrischem Datenschutzgesetz ist das jetzt schon nen Datenleck und dürfte anzeigepflichtig sein. E-Mail ist als unverschlüsselter Kommunikationsweg zu betrachten, egal wie viel "E-Mail made in Germany" draufsteht.

Am Sichersten ist GnuPG. Es gibt derzeit keinen bekannten Angriffsweg, derartige Dateien ohne Key zu entschlüsseln. Das ist auch (wenn auch unbekannt) sogar ziemlich DAU-Freundlich: https://www.gpg4win.de/doc/de/gpg4win-compendium_24.html. USB-Stick für jeden Mitarbeiter mit dem Key vorbereiten (der den Ort nicht verlassen darf), die Datei-Verschlüsselung ordentlich einrichten, zentral irgendwo die Zielkeys hinlegen und sauber benennen - dürfte ein mit Prozess behandelbares, temporäres Problem werden. Ein bisschen Schulung draufschmeißen, dann dürfte das jede Arzthelferin hinbekommen - die müssen schließlich auch mit der Arztsoftware arbeiten können, und die ist ja eher... semi-selbsterklärend.
Nachteil: Jeder benötigt einen eigenen Schlüssel, oder die Praxis nutzt einen zentralen (dann aber bitte nicht jedem das Passwort sagen, weil sobald ein Mitarbeiter das Haus verlässt, darf man nen neuen machen und mit den Kommunikationspartnern austauschen).

Am Zweitsichersten ist S/MIME, das aber ein bekanntes Leck hat, das im Standard verankert und damit systemisch ist: Keine cryptographische Sicherstellung der Manipulationsfreiheit. Ist aktuell zwar nur bei Mails ein Problem, aber wer weiß, was da sonst noch so kommt. Dateiverschlüsselung mit S/MIME kenn ich so nicht, gibts aber mit Sicherheit.

ZIP ist so lala. Je nach verwendetem Passwort und Algorithmus ist das eher so semi-sicher, zumal die Leute sicher anfangen werden, "1234" als Passwort zu nehmen. Das kann dir halt bei Schlüsseln eher nicht passieren (ist ja egal, wenn die lokal eher so semi-verschlüsselt sind, die verlassen ja nie das Haus).

Zentraler Server, auf dem alle Daten liegen, und der von überall her erreichbar ist: Denkbar beschissenste Idee. Hast du einmal ein Leck, und wenn nur einer mal seinen Account mit beschissenem Passwort sichert oder in der U-Bahn vergisst, darfst du gleich die Kavallerie verständigen... Ich erinnere mich da gern an die Sache mit dem Passwort-Recycling hier bei uns letztes Jahr...
 

Fhynn

Wird jetzt vernünftig.
Veteran

Registriert
13 Juli 2013
Beiträge
12.934
  • Thread Starter Thread Starter
  • #3
Die Problematik die ich eben aktuell sehe:
Der Empfänger muss eben auch über ein entsprechendes Verfahren verfügen und es sollte eben auch noch zueinander passen. Nutzt der Sender OpenPGP und der Empfänger S/MIME wird das wieder nichts.

Ich kann aber nur Einfluss nehmen auf meine Kunden, dh. die Praxen. Ich kann aber schlecht das Labor anrufen und verlangen das sie alle ihre eMails an Praxis XY mit OpenPGP verschlüsseln. Genau so habe ich keinen Einfluss darauf was andere Supportcenter machen - wir betreuen zwar Arztpraxen in Bezug auf EDV, ja, aber wir betreuen ja nicht die medizinischen Geräte. Sonogeräte, HRT, OCT, allgemein eigentlich alles was so richtig Special ist, wird immer in Kombination mit einem "Fremdtechniker" angeschlossen und eingerichtet. Die leisten aber eben bei Problemen mit ihrem Kram auch selbst Support (wenn das HRT plötzlich nicht mehr tut, sind idR nicht wir dafür verantwortlich, außer es liegt daran das unser NAS abgeraucht ist und die Datenübertragung fehlschlägt^^) leisten. Die schicken auch Mails. Wir können jetzt schlecht einem Unternehmen, selbst wenn es "nur" 150 Mitarbeiter hat, vorschreiben das sie plötzlich OpenPGP o.Ä. nutzen sollen...

Irgendwie gibt es da nicht so wirklich den idealen Schnittpunkt?
 

Metal_Warrior

Defender of Freedom
Teammitglied

Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
@Fhynn: Doch, eigentlich kannst du das. Spätestens dann, wenn sie euch schriftlich garantieren müssen, für alle Datenschutzverstöße, die durch GnuPG verhindert hätten werden können, die Verantwortung zu übernehmen, werden die sehr schnell einknicken. Aktuell haben alle Angst...

Setz ein nettes Schriftstück auf, lass nen Anwalt drüberschauen, und schlag ihnen vor: Entweder GnuPG oder Unterschrift, und die werden gern GnuPG nehmen...
 

thom53281

SYS64738
Teammitglied

Registriert
14 Juli 2013
Beiträge
6.908
ZIP ist so lala. Je nach verwendetem Passwort und Algorithmus ist das eher so semi-sicher, zumal die Leute sicher anfangen werden, "1234" als Passwort zu nehmen.
ZIP gehört halt zu den Dingen, die praktisch auf jedem PC vorhanden sind. Ich kann eine verschlüsselte ZIP verschicken und praktisch davon ausgehen, dass der Empfänger sie auf jeden Fall öffnen können wird. Ich kenne da keine andere Methode, die diese Kriterien ebenfalls erfüllen wird. Ok, verschlüsselte PDF noch, aber das ist schon etwas komplizierter als ZIP.

Die Sicherheit steht und fällt mit dem Kennwort, welches für die ZIP-Datei vergeben wird. Man darf die Leute daher nicht selbst ein Kennwort vergeben lassen. Man muss den (verschickenden) Leuten einen entsprechend konfigurierten Zufallsgenerator auf den PC packen und sie anweisen, diesen zwingend zu verwenden. Das Kennwort gibt man dann dem Kunden, wenn er vor Ort da ist, auf einem Zettel mit und die Diagnose kommt dann später per Mail.
 

Metal_Warrior

Defender of Freedom
Teammitglied

Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
@thom53281: Und sobald du das mit dem Generator hast, bist du mit GnuPG und der Rechtsklick-Lösung schneller. Da können sie nämlich nicht aus. Beim Zufallsgenerator.... naja, der braucht so lang, ich hab mal schnell 123 genommen...

Und wie gesagt, da ist die Sicherheit im Paket mit drin, und nicht vom Anwender abhängig. Grundsatz der IT-Sicherheit: Vertraue nie dem DAU!
 

thom53281

SYS64738
Teammitglied

Registriert
14 Juli 2013
Beiträge
6.908
Ja, wenn zwei Kommunikationspartner des öfteren Mails miteinander austauschen, sollte man selbstverständlich eine solche Lösung aka PGP einsetzen. Ich rede da eher vom 0815-Patienten, der sich 1-2 Mal im Leben eine Diagnose per Mail zuschicken lässt. Der wird sich dafür sicherlich keinen E-Mail-Client mit PGP konfigurieren.
 

thom53281

SYS64738
Teammitglied

Registriert
14 Juli 2013
Beiträge
6.908
Wer was bekommen darf oder nicht, kann ich mangels Fachkenntnissen in dem Bereich nicht beurteilen. Aber man kann das auch allgemeiner formulieren: Wie schicke ich meinen Kunden irgendwelche halbwegs sensiblen Daten per Mail? Oder theoretisch müssen die nichtmal sensibel sein, muss ja nicht jeder mitlesen können. Bei einer CD läufst Du mittlerweile sogar schon Gefahr, dass es Leute gibt, die eine solche gar nicht mehr lesen können. Viele Notebooks/Geräte sind mittlerweile schon ohne Laufwerk.
 

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
Für regelmäßige Mails: PGP. Mit Enigmail sehr einfach zu bedienen.

Für einmalige Mails: client-side verschlüsselter/entschlüsselter Download-Link, beispielsweise mit Nextcloud. Kennt ihr Alternativen dazu?
 

Fhynn

Wird jetzt vernünftig.
Veteran

Registriert
13 Juli 2013
Beiträge
12.934
  • Thread Starter Thread Starter
  • #11
@phre4k: Und was nutzt PGP wenn mein Gegenüber kein PGP nutzen will, kann oder sich für z.B. S/MINE entscheidet? Wie soll ich als Externer dem Labor vorschreiben das sie ihre Emails an Praxis XYZ bitte per PGP verschlüsseln sollen?
 

Metal_Warrior

Defender of Freedom
Teammitglied

Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
@Fhynn: Wenn die S/MIME verwenden, kannst du das ja zusätzlich machen. Trotzdem dürftest du zumindest in Teilen dem Labor vorschreiben können, sichere Kommunikation zu verwenden, und wenns über die Drohung mit dem Datenschutzbeauftragten geht.
 

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
@phre4k: Und was nutzt PGP wenn mein Gegenüber kein PGP nutzen will, kann oder sich für z.B. S/MINE entscheidet? Wie soll ich als Externer dem Labor vorschreiben das sie ihre Emails an Praxis XYZ bitte per PGP verschlüsseln sollen?

Indem man sich ein Labor sucht, welches die Daten verschlüsselt übertragen will und darauf hinweist, dass das seit DSGVO ziemliche Bußgelder mit sich ziehen kann.

Wie viele Labors in Deutschland gibt es? Drei?
 
Oben