Passwörter und verschlüsselte Verbindungen

Du kommst hier nicht rein: Kennwörter und Verschlüsselung anhand der KBV-Richtlinie

Die IT-Sicherheitsrichtlinie der Kassenärztlichen Bundesvereinigung (KBV) verlangt seitens der Arztpraxen eine hohe Sicherheit der zu schützenden Patientendaten. Um dies umzusetzen, spielen Passwörter und Verschlüsselungen eine nicht unerhebliche Rolle. Für einen Großteil der Anwender ist der Gebrauch eines Passwortes natürlich mit Sicherheit verbunden. Doch dies gelingt nur dann, wenn dieses richtig konfiguriert und berechnet wird.

Die Anwendung sicherheitsrelevanter Funktionen

Mittlerweile leben wir in einem Umfeld, wo permanent ein Passwort abgefragt wird. Ob bei der Computeranmeldung am Arbeitsplatz, beim Online-Banking, am Geldautomat, Smartphone oder beim bargeldlosen Bezahlen im Supermarkt. Im Umgang mit einem Passwort hat sich mittlerweile jeder Nutzer seine eigene Strategie angeeignet. Sofern das Kennwort nicht vorgegeben wird, wie etwa bei der EC- oder Kreditkarte, werden Buchstaben und Ziffernkombinationen fast immer aus dem privaten Umfeld benutzt. Dies ist verständlich, denn so möchte der Anwender sich sein Passwort merken.

Bislang blieben Arztpraxen in der Frage nach einem Passwort verschont, bis auf die Konfiguration der eigenen Praxis-IT. Denn Datenbestände werden überwiegend intern verarbeitet, bis auf die ein oder andere versandte E-Mail, die dann einen Arztbericht enthielt. Die Richtlinie der KBV enthält jedoch mehrere Hinweise auf geforderte Passwortsicherheit, ohne dies zu konkretisieren.

Was ist überhaupt ein Passwort?

Die Aufforderung zur Eingabe eines Passwortes dokumentiert, dass der Anwender Zutritt zu einem sicherheitsrelevanten Bereich haben möchte. Weiterhin besteht ein Passwort aus Zeichen, Zahlen und Sonderzeichen. Problematisch ist oftmals die Länge des Kennwortes und die Zusammensetzung der Zeichenfolge. Dies betrifft vor allem jene Zugangsbereiche, die im Internet auf einem Websystem aufgerufen werden. Typisches Beispiel ist hier das Online-Banking oder Zahlungssysteme. Wir halten fest, ein Passwort ist der Schlüssel für den Zutritt zu einem Dienstanbieter.

Aufbewahrung sicherheitsrelevanter Kennwörter

Wie oben beschrieben, gibt es eine große Anzahl von Diensten, wo ein Passwort gefordert wird. Daher sei an dieser Stelle die Empfehlung ausgesprochen, Kennwörter zu notieren und in einem Bereich abzulegen, der sich außerhalb der Praxis befindet. Verwendet werden sollte auf keinen Fall eine digitale Ablage, wie etwa als Notiz in einem Outlook-Ordner oder als Datei auf einer Festplatte.

Länge eines Kennwortes

Bei der optimalen Länge eines Passwortes ist die Anzahl der Zeichen von elementarer Bedeutung. Eine Brute-Force-Attacke benötigt bei einer Kennwortlänge von 4 Zeichen unter 3 Sekunden, um ein Passwort zu erkennen. Damit die jeweilige Arztpraxis auf der sicheren Seite ist, gehen wir Schritt für Schritt die Punkte durch, die es dem Angreifer unmöglich machen, sich per Passwort in der Praxis-IT anzumelden.

Variante 1:

Passwortlänge: 4
Kontosperrung bei ungültiger Anmeldung: nein
Zeichenfolge: aaaa bis zzzz
Servertyp: Intel XEON

Maximale Kombinationen des Passwortes: 264 = 456.976 Varianten
Dauer der Brute-Force-Attacke bis zur Anmeldung: unter 3 Sekunden

Variante 2:

Passwortlänge: 8
Kontosperrung bei ungültiger Anmeldung: nein
Zeichenfolge: aaaaaaaa bis zzzzzzzz
Servertyp: Intel XEON

Maximale Kombinationen des Passwortes: 268 = 2.088.270.645.760 Varianten
Dauer der Brute-Force-Attacke bis zur Anmeldung: über 80 Sekunden

Das bedeutet, ab einer Zeichenlänge von acht wird es für den Angreifer schwer an Kennwörter heranzukommen. Wird bei der Passwortdefinition dann noch unterschieden zwischen Groß- und Kleinschreibung, Sonderzeichen und nummerische Zeichen, steigt der Sicherheitsfaktor exponentiell an. Kommt zusätzlich eine Zeitsperre bei einer fehlerhaften User-Anmeldung am Server oder Arbeitsplatz hinzu, hat der Angreifer keine Chance und wird entnervt aufgeben.

Bei allen verfügbaren Betriebssystemen kann eine gezielte Konfiguration der Passwörter vorgenommen werden. In den Kontorichtlinien der Benutzer lässt sich festlegen, dass in einem festzulegenden Zeitraum das Passwort automatisch zu ändern ist. Der Benutzer wird dann zum Beispiel alle 60 Tage aufgefordert, ein neues Passwort einzugeben.

Welche Geräte und Anwendungen müssen gemäß der KBV Sicherheitsrichtlinie geschützt werden?

Alle Geräte und Anwendungen die mit der Verarbeitung und Speicherung der Patientendaten eingesetzt werden und über ein eigenes Gerätemanagement oder Benutzerverwaltung verfügen. Dazu zählen:

• Serveranlagen
• Arbeitsplätze
• Tablets
• Smartphones
• Router und Switchs
• gegebenenfalls medizinische Geräte mit Anbindung an die Praxis-IT
• Praxis-Software
• Dokumente und Auswertungen von Patienten
• Internetzugang und Benutzerkonten bei Dienstanbietern (wie etwa Krankenkasse)

SSL-Verbindungen und ihre Funktion

Ebenfalls in der IT-Sicherheitsrichtlinie der KBV wird die ausschließliche Nutzung per SSL (Secure Socket Layer) bei Internetanwendungen gefordert. Hierbei handelt es sich um eine verschlüsselte Datenübertragung per Webbrowser zwischen zwei Punkten (Webserver – Webclient). Anders als bei einem Passwort ist eine Konfiguration nicht möglich, da eine SSL-Verbindung nur durch den Betreiber der jeweiligen Webseite angeboten wird.

Bei der zukünftigen Übertragung von Patientendaten in die Patientenakte muss also darauf geachtet werden, dass eine HTTPS-Verbindung vorliegt. Annähernd alle Webbrowser zeigen links von der Webadresse über diverse Icons an, ob die Verbindung als sicher eingestuft wird.

An dieser Stelle sei noch angemerkt, dass SSL durch TLS (Transport Layer Security) seit geraumer Zeit abgelöst ist.