Verschlüsselung

Verschlüsselung – Das letzte Sicherheitsnetz¶

Warum Verschlüsselung für Arztpraxen nicht optional ist¶

Das Szenario ist einfach und real: Ein Laptop wird aus einer Praxis gestohlen. Oder eine externe Backup-Festplatte geht im Umzug verloren. Oder ein Tablet mit Patientendaten wird im Taxi vergessen.

Ohne Verschlüsselung sind diese Daten für jeden lesbar, der das Gerät öffnet. Mit Verschlüsselung sind sie wertlos – ohne den richtigen Schlüssel.

Aus rechtlicher Perspektive ist das nicht nur gut für die Sicherheit, sondern auch eine Pflicht. Das Strafgesetzbuch (§ 203 StGB) schützt das Berufsgeheimnis von Ärzten. Die Datenschutzgrundverordnung (DSGVO) verlangt eine „Verarbeitung personenbezogener Daten mit angemessenen Mitteln". Für Gesundheitsdaten ist Verschlüsselung eine dieser Mittel.

Und praktisch: Ein unverschlüsselter USB-Stick mit Patientendaten ist nicht nur ein Sicherheitsrisiko – es ist im schlimmsten Fall eine Straftat.

Merksatz: In einer Arztpraxis ist Verschlüsselung nicht die höchste Sicherheitsstufe – sie ist die Mindestanforderung.

Festplattenverschlüsselung – Standard auf allen Praxis-PCs¶

Das Erste und Wichtigste: die Festplatte des Computers, auf dem täglich gearbeitet wird.

Moderne Betriebssysteme haben eingebaute Verschlüsselungsfunktionen, die einfach zu nutzen sind:

Windows – BitLocker:

Windows 10 und 11 Pro/Enterprise haben BitLocker. Die Aktivierung passiert unter Systemsteuerung → BitLocker-Laufwerkverschlüsselung. Alternativ: Windows Home nutzt eine vereinfachte Geräteverschlüsselung, die automatisch aktiv ist, sobald Sie sich mit einem Microsoft-Konto anmelden.

Wichtig: Microsoft speichert den BitLocker-Wiederherstellungsschlüssel standardmäßig im Online-Konto (Microsoft Cloud). Das ist praktisch – wenn Sie den Key verlieren, können Sie ihn wiederherstellen. Es ist aber auch ein Sicherheitsrisiko – Microsoft hat theoretisch Zugang zu Ihrem Verschlüsselungsschlüssel.

Sicherere Alternative: Deaktivieren Sie die Online-Speicherung des Keys und bewahren Sie den Key lokal auf – ausgedruckt oder im Passwort-Manager. Das ist aufwendiger (wer den Key verliert, verliert auch die Daten), ist aber sicherer: Nur Sie haben Zugang zu Ihren Daten.

macOS – FileVault:

Auf Apple-Computern heißt die Festplattenverschlüsselung FileVault. Sie finden sie unter Systemeinstellungen → Datenschutz & Sicherheit → FileVault. Auf Macs mit Apple Silicon ist FileVault aktiv, sobald Sie ein Benutzerpasswort gesetzt haben.

Den Wiederherstellungsschlüssel müssen Sie speichern – im Passwort-Manager oder ausgedruckt. Falls Sie den Key verlieren und Ihr Passwort vergessen, sind die Daten unwiederbringlich weg.

Linux – LUKS:

Wer Linux nutzt, hat LUKS (Linux Unified Key Setup) – typischerweise bei der Installation konfiguriert.

Smartphones und Tablets¶

Ein Smartphone ist eine vollwertiges Arbeitsgerät für Ärzte und Arzthelferinnen. Es speichert Passwörter, KIM-Zugang, möglicherweise auch Notizkarten mit Patienten-Informationen.

Das gute: Moderne iPhones und Android-Geräte verschlüsseln ihre Speicher standardmäßig, sobald eine Bildschirmsperre (PIN, biometrische Authentifizierung) eingerichtet ist. Was Sie prüfen müssen:

Ist eine starke Bildschirmsperre aktiviert? (mindestens 6 Ziffern, besser biometrisch)
Das Gerät verschlüsselt dann automatisch

Bei älteren Geräten können Sie die Verschlüsselung auch manuell aktivieren – typischerweise in den Sicherheitseinstellungen unter „Geräteverschlüsselung" (Android) oder „Code" (iPhone).

USB-Sticks und externe Festplatten¶

Hier passiert oft Leichtsinn. Ein USB-Stick wird zur Datensicherung oder zum Transport von Patientendaten zwischen Geräten verwendet – und niemand verschlüsselt ihn.

Ein unverschlüsselter USB-Stick mit Patientendaten ist:

Ein Datenschutzrisiko
Ein Straftatrisiko (unverschlüsselte Patientendaten im öffentlichen Raum)
Ein Vertrauensproblem – falls verloren oder gestohlen

Lösungen:

Festplattenverschlüsselung mit BitLocker To Go (Windows): Externe USB-Laufwerke können mit BitLocker verschlüsselt werden. Wenn Sie den Stick an einen anderen Computer anschließen, wird Ihnen ein Passwort abgefragt.

FileVault für externe Laufwerke (macOS): Ähnlich – externe Festplatten können mit FileVault verschlüsselt werden.

VeraCrypt: Ein plattformübergreifendes Verschlüsselungstool, das auf Windows, macOS und Linux funktioniert. Sie erstellen ein verschlüsseltes Volumen auf dem USB-Stick. Aus Anwendersicht sieht es aus wie einen externen Ordner, der gelöst werden muss.

Hardware-verschlüsselte USB-Sticks: Es gibt USB-Sticks mit eingebautem Verschlüsselungs-Chip (z. B. IronKey). Diese sind praktisch, kosten aber mehr.

Regel für die Praxis: Kein USB-Stick mit Patientendaten ohne Verschlüsselung. Und der Passwort sollte sich vom eHBA-Passwort unterscheiden.

NAS-Verschlüsselung¶

Falls Ihre Praxis ein NAS-System hat (Synology, QNAP, oder ähnlich) – auch dort sollten sensible Daten verschlüsselt sein.

Beide Hersteller bieten Verschlüsselung auf Ordner- oder Volume-Ebene an. Das funktioniert transparent – Nutzer sehen keinen Unterschied, aber die Daten sind geschützt.

Praktische Frage: Soll ich alles verschlüsseln?

Nicht unbedingt. Ein NAS, das nur mit Praxis-Daten befüllt ist, kann selektiv verschlüsselt werden – zumindest die Ordner mit Patientendaten sollten geschützt sein. Ordner mit unkritischen Daten (Verwaltungsdokumente, IT-Dokumentation) können unverschlüsselt bleiben, um die Performance nicht zu belasten.

Der Verschlüsselungsschlüssel muss sicher aufbewahrt sein – im Passwort-Manager, nicht auf einem Post-it.

Alle großen Cloud-Anbieter (Microsoft OneDrive, Google Drive, Dropbox) verschlüsseln Ihre Daten. Das ist richtig und wichtig. Aber es ist Anbieter-seitige Verschlüsselung – der Anbieter hat den Schlüssel, nicht Sie.

Das bedeutet: Der Anbieter kann Ihre Daten lesen. Behörden mit Gerichtsbeschluss können Zugang verlangen. Ein Hack auf die Anbieter-Server könnte zu Schlüssel-Kompromittierung führen.

Für besonders sensible Daten – Patientenakten in der Cloud – ist clientseitige Verschlüsselung die bessere Lösung. Das bedeutet: Sie verschlüsseln die Daten auf Ihrem Gerät, bevor sie in die Cloud gehen. Der Anbieter sieht nur unlesbares Datenmüll.

Praktische Tools für clientseitige Verschlüsselung:

Cryptomator: Open Source und kostenlos. Es erstellt einen verschlüsselten Tresor in Ihrem Cloud-Ordner. Dateien werden lokal verschlüsselt, bevor sie hochgeladen werden. Funktioniert mit Dropbox, OneDrive, Google Drive.

Boxcryptor / Nordlocker: Kommerzielle Alternativen mit zusätzlichen Features wie Team-Unterstützung.

Hinweis für Arztpraxen: Falls die PVS in der Cloud läuft und der Anbieter keine clientseitige Verschlüsselung anbietet, muss das mit dem PVS-Anbieter geklärt sein. Viele große PVS-Anbieter (z. B. Agfa, CGM, Medistar) betreiben Cloud-Infrastruktur, die DSGVO-konform ist – das sollte ausreichen.

Wiederherstellungsschlüssel – die oft vergessene Achillesferse¶

Alle Verschlüsselungssysteme haben ein Problem: Wenn Sie den Verschlüsselungsschlüssel vergessen oder verlieren, sind die Daten weg.

Deshalb generieren fast alle Systeme beim Aktivieren der Verschlüsselung einen Wiederherstellungsschlüssel – eine lange Zeichenfolge, mit der Sie Zugang wiederherstellen können, falls Sie den Hauptschlüssel verlieren.

Diese Schlüssel MÜSSEN sicher aufbewahrt werden:

Ausgedruckt und in einem Tresor aufbewahrt (physisch, nicht digital)
Im Passwort-Manager gespeichert
Getrennt vom verschlüsselten Gerät aufbewahrt (nicht auf der gleichen Festplatte)

Eine gute Praxis-Dokumentation listet auf: Welche Geräte sind verschlüsselt, wo liegt der Wiederherstellungsschlüssel, wer hat Zugang?

Verschlüsselung