nullpointerexception
Goto Top

Wie kann man in einer Praxis einen Server physisch vor unbefugtem Zugriff bzw. Diebstahl schützen?

Guten Tag, ich habe eine technische Frage.

Kurz vor Weihnachten ist in unserer Arztpraxis eingebrochen worden. Die Einbrecher waren offensichtlich gezielt auf bestimmte Medizintechnik aus, und ließen die ganze EDV zum Glück stehen. Nicht auszumalen was passiert wäre wenn die ganzen Patientendaten einfach geklaut worden wären. Die Festplatten sind zwar verschlüsselt, aber der Datenverlust wäre für uns unter Umständen teuer.

Wir haben uns nun entschlossen die Sicherheitsvorkehrungen in der Praxis zu erhöhen. Bessere Türen, Fenstergitter, moderne Alarmanlage, Videoüberwachung usw...
Und vor allem wollen wir den Server, wo die ganzen Patientendaten gespeichert werden, sicher einschließen. Das ist ein Big-Tower PC der im Moment einfach im Büro der Ärztin steht. Wir wollen ihn zusätzlich sichern, so dass selbst wenn jemand in das Büro einbricht, dass er wenigstens nicht so leicht den Server bzw. die Festplatte klauen kann.

Ich wollte fragen, welche Lösungen da in Frage kämen? Wir denken an eine Art PC-Tresor. Gibt es so etwas?

Content-ID: 258604

Url: https://administrator.de/forum/wie-kann-man-in-einer-praxis-einen-server-physisch-vor-unbefugtem-zugriff-bzw-diebstahl-schuetzen-258604.html

Ausgedruckt am: 22.12.2024 um 15:12 Uhr

Lochkartenstanzer
Lochkartenstanzer 29.12.2014 um 15:07:05 Uhr
Goto Top
Moin,

PC-Tresor und PC-Tresor.

Aber ihr solltet auch Eure Backup-Strategie überdenken, wenn der Verlust des "Servers" (vermutlich ein ordinärer PC) den verlust eurer patientendaten nach sich zieht.

lks
VGem-e
VGem-e 29.12.2014 aktualisiert um 15:25:17 Uhr
Goto Top
Servus,

Dein Anliegen betrifft evtl. ja auch andere Adressaten wie Apotheken o.ä.?

Neben der von Dir schon angesprochenen Festplattenverschlüsselung auf jeden Fall ein Backup (Datensicherung) weg vom eigentlichen Datenbank-"Server" lagern.
So z.B. ein Bankschließfach, Privatanwesen des Arztes o.ä. als weiteren Aufbewahrungsort dieses Backups andenken!

Ich denke hier nicht mal an Diebstahl der Patientendaten.
Was wäre, wenn die Arztpraxis und damit der "Server" infolge eines Brandes irreparabel beschädigt würden? Hardware lässt sich ggfls. kurzfristig neu anschaffen.
Aber was ist mit den Patientendaten in so einem Fall?

Zusätzlich würde ich diesen wichtigen PC evtl. in einen separaten, abschließbaren EDV-Schrank stellen und zusätzlich mit Kensington-Lock sichern!

Gruß,
VGem-e
certifiedit.net
certifiedit.net 29.12.2014 um 15:34:48 Uhr
Goto Top
Guten Tag NullPointer,

wie wäre es denn erstmal damit zu beginnen den Server physikalisch etwas anders zu positionieren - da hilft schon ein festgeschraubter Serverschrank.

Beste Grüße,

Christian
broecker
broecker 29.12.2014 um 15:42:56 Uhr
Goto Top
es gibt auch tatsächlich "PC-Tresore" aber angemessen ist einfach ein Umbaukit für den Server zum 19"-Rack und ein entsprechender Serverschrank, der zugeschlossen aber insbesondere reingeschraubt jeden Dieb einfach durch Aufhalten abhält, den Server mitzunehmen.
HG
Mark
transocean
transocean 29.12.2014 um 16:02:13 Uhr
Goto Top
Moin,

frag mal den Kollegen aus der Sachsen-Klinik.

https://administrator.de/userid/70864

Wenn ich nicht ganz falsch liege, schläft der gefesselt an seinen Server face-wink

Gruß,

Uwe
keine-ahnung
Lösung keine-ahnung 29.12.2014 aktualisiert um 20:52:29 Uhr
Goto Top
Moin,
Wenn ich nicht ganz falsch liege, schläft der gefesselt an seinen Server
nein, Uwe, meine Server schlafen gefesselt bei mir face-wink
Nicht auszumalen was passiert wäre wenn die ganzen Patientendaten einfach geklaut worden wären.
Und? Peinlich, aber nicht völlig zu unterbinden. Solange man Dir und Deiner Kollegin keine Vorwürfe wegen Sorgfaltspflichtverletzungen machen kann ...

Und da wären wir beim Thema face-smile!

Es sollte sich mittlerweile rumgesprochen haben, dass Praxen favorisierte Einbruchsziele sind? Sich nach einem Bruch Gedanken über Alarmanlage, IP-Cams und Aufbruchssicherheit zu machen - Klasse! Trotzdem wirst Du einen Einbruch nie verhindern können ...

Aber die gebackupten Daten nicht ausser Haus zu lagern - die ganz hohe Schule. Kollegialen Respekt!
aber der Datenverlust wäre für uns unter Umständen teuer.
Einerseits wäre dann ein ganzes Quartal umsonst gearbeitet wurden, wenn das so unmittelbar vor Ende passiert, andererseits hast Du im Falle eines Haftungsprozesses NULL-Chance, vor Gericht in einen Beweis zu gehen -> Du zahlst dann immer.

Bevor Du jetzt Egon Olsen bezgl. eines Panzerschrankes konsultierst, würde ich an Deiner Stelle schnellstmöglich eine vernünftiges Sicherheits- und Sicherungskonzept umsetzen. Und ja, kostet auch erstmal dreipfennigfuffzig ...

LG, Thomas

p.s.: Um Deine Eingangsfrage zu beantworten - mit vernünftigen Mitteln wird Deine IT immer abholbar sein face-wink
NullPointerException
NullPointerException 29.12.2014 um 20:48:25 Uhr
Goto Top
Vielen Dank face-wink

Wir haben natürlich wöchentliche Routinebackups. Trotzdem, selbst wenn die Daten von einem einzigen Tag verloren gingen kann das sehr teuer werden. Ich denke die Investition in so ein PC-Tresor ist es auf jeden Fall wert.
NullPointerException
NullPointerException 29.12.2014 um 20:50:57 Uhr
Goto Top
Hallo Thomas. Wir machen wöchentliche Backups und diese lagern wir außerhalb der Praxis. Aber selbst wenn wir ein oder zwei Tage an Daten verlieren sollten, dann kann das sehr teuer werden.
keine-ahnung
keine-ahnung 29.12.2014 um 21:27:39 Uhr
Goto Top
Moin nochmal,
Wir haben natürlich wöchentliche Routinebackups. Trotzdem, selbst wenn die Daten von einem einzigen Tag verloren gingen kann das sehr teuer werden.
jetzt grübeln wir mal 10 Sekunden, was sich an diesen zwei Sätzen beisst .... RICHTIG!

Ich sichere meine Server komplett zweimal am Tag (1xlokal, 1xRDX), meine Datenbanken zusätzlich nocheinmal auf einen WSS in einem anderen Brandabschnitt. Zusätzlich wöchentlich Komplettsicherungen auf RDX. Zusätzlich monatliche und Quartalskomplettsicherungen auf RDX. In jedem meiner Server laufen für OS und Daten getrennte RAID1 auf vernünftigen bis halbvernünftigen Controllern.

Ich denke die Investition in so ein PC-Tresor ist es auf jeden Fall wert.
Damit hältst Du Egon Olsen vielleicht ab ... obwohl alles weggeschlossene zusätzliche Begehrlichkeiten weckt. Aber was passiert bei einem Hardwareschaden, einem Brand, einem Wasserschaden, Fehlbedienungen weil ich mal vermute, dass vernünftige Rechteverwaltung bei Euch ebenso Fremdwörter sind ...??
Und jetzt nochmal:

> Wir haben natürlich wöchentliche Routinebackups. Trotzdem, selbst wenn die Daten von einem einzigen Tag verloren gingen kann das sehr teuer werden.
Jetzt kommst Du selber drauf, gelle face-wink? Und glaube mir, Deine KV zahlt Dir nicht eine Leistung, die Du nicht einzeln und plausibel nachweisen kannst ...

LG, Thomas
Manfred15
Manfred15 30.12.2014 um 08:32:11 Uhr
Goto Top
Hallo zusammen,

oder man geht einen ganz anderen Weg:

http://www.dokom21.de/de/Geschaeftskunden/Produkte--Tarife/Rechenzentru ...

Den Server inkl. aller Schutzmechanismen auslagern und nur noch remote auf die Daten zugreifen. So viel Sicherheitsequipment kann man sich als Kleingewerbetreibender etc. vermutlich nicht selber anschaffen und unterhalten. Allerdings setzt das voraus, dass die Apotheke / Arztpraxis / Kanzlei etc. gut per Internet anbindbar ist.

Beste Grüße
Manfred
killtec
killtec 30.12.2014 um 09:17:02 Uhr
Goto Top
Ich glaube aber bei den sensiblen Daten ist das keine gute Idee...

Gruß
Lochkartenstanzer
Lochkartenstanzer 30.12.2014 aktualisiert um 09:30:27 Uhr
Goto Top
Zitat von @Manfred15:

Allerdings setzt das voraus, dass die Apotheke / Arztpraxis / Kanzlei etc. gut per Internet anbindbar ist.

Ich glabe mit Patientendaten in den Händen von "dritten" hat man da ganz andere Probleme.

Außerdem kann man die daten in einem Rechenzentrum viel einafcher "abgreifen", ohne das das jemand mitbekommt. face-smile

lks

PS: Wer sich gruseln will, sieht sich mal die Vorträge vom 31c3 an. face-smile
Manfred15
Manfred15 30.12.2014 um 10:09:44 Uhr
Goto Top
Hab da schon viele seltsame Sachen gesehen, aber ob ein Server unter dem Tisch der Ärztin ein besserer Aufbewahrungsort für schützenswerte Unterlagen ist als ein zertifizierter Dienstleister, der NUR Serverraum-Stellplätze und Infrastruktur für die Kunden zur Verfügung stellt wage ich zu bezweifeln. Bevor man urteilt, sollte man sich eventuell mal das jeweilige Szenario anschauen.
Und ein Standort in Deutschland bei einer in Deutschland ansässigen Firma arbeitet ganz eindeutig nach deutschem Recht, also auch Datenschutzrecht.
Nur ein Beispiel bei dem sich mir die Nackenhaare aufstellen: kleine Kanzlei / Praxis mit eigener Intrastruktur, aber Daten mit Kunden / Patienten / Mandanten werden per unverschlüsselter Mail, per Dropbox und Co ausgetauscht und kommuniziert wird außerdem auch noch über Skype! Noch Fragen?

Ich sehe den Dienstleister eher vergleichbar zu einem externen Serverraum wo mein Equipment steht und wo auch nur ich drauf zugreifen kann (physikalisch wie elektronisch). Mit dem Unterschied, dass ich mir als Kleinunternehmer wie oben genannt vermutlich keine redundanten Schutzmechanismen leisten und unterhalten kann.
keine-ahnung
keine-ahnung 30.12.2014 um 10:55:46 Uhr
Goto Top
Moin,
Den Server inkl. aller Schutzmechanismen auslagern und nur noch remote auf die Daten zugreifen.
was Du vergessen hasst: Approbation und Kassenzulassung in einen Briefumschlag packen, Postmarke noch vor der Portoerhöhung draufbabben und wech damit ...

Lass doch mal stecken, wenn Du (auch) keine-ahnung hast face-wink!

LG, Thomas
keine-ahnung
keine-ahnung 30.12.2014 um 10:59:44 Uhr
Goto Top
Bevor man urteilt, sollte man sich eventuell mal das jeweilige Szenario anschauen.
Und bevor man hier sinnfreie posts einstellt, sollte man sich auch mal mit den Datenschutzrichtlinien der jeweilig zuständigen Aufsichtsbehörden auseinandersetzen ... brems Deinen Schreibdrang zu dem Thema jetzt mal besser aus - unbeteiligte Leser bauen diesen Blödsinn dann u.U. nach.

Wir dürfen nicht mal Abrechnungsdaten über KV-eigene VPN schicken, wenn diese nicht vorher zertifiziert kryptographiert werden ... wie willst Du das in Echtzeit gewährleisten --> mit richtigen Patientendaten????

LG, Thomas
certifiedit.net
certifiedit.net 30.12.2014 um 11:07:48 Uhr
Goto Top
Zitat von @killtec:

Ich glaube aber bei den sensiblen Daten ist das keine gute Idee...

Gruß

Bei de facto fast allen Daten ist das keine gute Idee face-wink
killtec
killtec 30.12.2014 um 11:10:13 Uhr
Goto Top
Zitat von @certifiedit.net:

> Zitat von @killtec:
>
> Ich glaube aber bei den sensiblen Daten ist das keine gute Idee...
>
> Gruß

Bei de facto fast allen Daten ist das keine gute Idee face-wink

Da hast du recht. Nur Patitentendaten packen da noch ein bisschen Prio drauf face-smile
certifiedit.net
certifiedit.net 30.12.2014 um 11:15:14 Uhr
Goto Top
Zitat von @killtec:

> Zitat von @certifiedit.net:
>
> > Zitat von @killtec:
> >
> > Ich glaube aber bei den sensiblen Daten ist das keine gute Idee...
> >
> > Gruß
>
> Bei de facto fast allen Daten ist das keine gute Idee face-wink

Da hast du recht. Nur Patientendateien packen da noch ein bisschen Prio drauf face-smile

Anscheinend nicht für manche Ärzte(dienstleister), so wie ich das leider schon ein paar mal mit bekommen hab face-smile
C.R.S.
C.R.S. 30.12.2014 um 20:48:26 Uhr
Goto Top
Zitat von @NullPointerException:

Ich denke die Investition in so ein PC-Tresor ist es auf jeden Fall wert.

Du wirst aber keine Freude an den verlinkten Angeboten haben, wenn Du einfach einen Standard-PC hinein stellst. Passiv gekühlt sind eigentlich nur Netzwerkkomponenten unterzubringen. Eine aktive (Luft-)Kühlung hat, den kleinen Öffnungen entsprechend, die Geräuschkulisse eines Rack-Servers.

Beispiel mit VPN-Appliances bei Minute 25:25: http://www.ardmediathek.de/tv/die-story/Spitzel-und-Spione-Innenansicht ...;
Die großzügige Verteilung im Rack ist thermisch notwendig.

Grüße
Richard
ente
ente 05.01.2015 um 10:43:02 Uhr
Goto Top
Wie wärs einfach mit einer Synology, die Zuhause steht und per VPN verbunden ist?
Darauf einfach nachts das Backup übertragen ... reicht sowas nicht aus?
Ist natürlich ne einigermaßen schnelle Leitung (am besten VDSL) nötig ... kostet auch nicht soviel.

Herzliche Grüße

Heiko
Wingman991
Wingman991 05.01.2015 aktualisiert um 11:10:18 Uhr
Goto Top
Das ist bei einigen unserer Kunden auch schon oft ein Thema gewesen...

http://www.zetbox.de/19serverschrank/19serverschranksafes/index.php

Frage :
- Preis
- Gewicht > Statik
- Anliefermöglichkeiten > Türenbreite, Stockwerke
- Handhabbarkeit
windowstimo
windowstimo 16.10.2015 um 09:51:34 Uhr
Goto Top
Schönen guten Morgen!

Hast du denn schon einmal darüber nachgedacht die heiklen und wichtigen Daten in deinem Server an einem sicheren Standort stellen zu lassen. Wir haben zum Beispiel unter https://www.accelerated.de/de/colocation einen Server Standplatz gebucht und uns kann dann auch im Falle von Einbrüchen etc. nicht wirklich etwas passieren in dieser Hinsicht.

Ich bin daher wirklich sehr zufrieden mit dem Angebot und kann es nur weiterempfehlen.