Sichere Passwörter in der Arztpraxis
Beim Betreten einer Arztpraxis kein seltener Anblick: Passwörter, die auf Klebezetteln an den Bildschirm in der Anmeldung geheftet sind. Weniger Unbedarfte
Dabei ist es nicht schwer, Passwörter in der Praxis sicher zu machen. Zwei Dinge müssen dabei sichergestellt sein:
Zunächst einmal dürfen Passwörter physisch nicht in unbefugte Hände gelangen. Das bedeutet, wie in unserem Eingangsbeispiel, dass Sie es am besten ganz vermeiden, Passwörter auf Notizzetteln aufzubewahren - Zettel, die es nicht gibt, können auch nicht in falsche Hände gelangen.
Ist das in Ihrer Praxisorganisation umsetzbar? Wenn jede zweite morgendliche Sprechstunde verspätet anfängt, weil ein Mitarbeiter sich wegen eines vergessenen Passworts nicht mehr ins Praxisverwaltungssystem einloggen kann, lautet die Antwort auf diese Frage vielleicht
Vertraulichkeit bedeutet zudem, dass Passwörter auch mündlich nicht weitergegeben werden dürfen. Jeder Nutzer kann in den gängigen Praxisverwaltungssystemen ein eigenes Konto mit eigenen Rechten und eigenem Passwort zugewiesen bekommen. Auf diese Weise kann der Administrator des Praxisverwaltungssystems bei Verletzungen des Datenschutzes auch nachvollziehen, von welchem Konto diese ausgegangen sind. Eine Weitergabe der Login-Informationen ist nicht notwendig und beeinträchtigt die Sicherheit des Systems - insbesondere bei Personen, die nur kurzfristig zum Team gehören wie beispielsweise Studenten oder Praktikanten.
Die Faustregel lautet außerdem: Lieber das Passwort einmal zu oft ändern als einmal zu wenig. Als absolute Mindestanforderung sollte das Passwort jedes Mal geändert werden, wenn ein Mitarbeiter die Praxis verlässt.
Wenn Sie diese Grundsätze beachten, haben Sie Ihre Praxis-IT schon ein ganzes Stück sicherer gemacht. Schauen wir uns nun einmal das Passwort mit der Lupe an: Was macht ein starkes Passwort aus?
Grundsätzlich gilt die einleuchtende Regel: je länger ein Passwort ist, desto stärker ist es.
Leider gilt aber auch: die sichersten Passwörter sind oft die, die am schwersten zu merken sind.
Warum ist das so? Leicht zu merken sind Passwörter, die aus nicht-zufälligen Zeichenkombinationen bestehen, also vor allem aus Namen, Wörtern und kurzen Zahlenkombinationen (beispielsweise Geburtsdaten). Diese sind gleichzeitig unsicher: einerseits kann ein Angreifer mit Hintergrundkenntnissen sie möglicherweise erraten, und andererseits können sie durch ein entsprechendes Programm leichter geknackt werden, wenn es Wörter aus Wörterbüchern in Kombination mit einzelnen Zahlen oder Sonderzeichen durchprobiert. Am schwersten hat ein solcher Passwortknacker es, wenn das Passwort aus einer völlig zufälligen Zeichenkombination besteht. Informatiker sagen dazu: wenn es eine hohe Entropie hat.
Ein Beispiel: tLyZ3=SU9jML+Nb-.
Dr. Christina Czeschik
Die Vorgehensweise funktioniert auch umgekehrt: Lassen Sie sich von einem Online-Tool wie http://passwordsgenerator.net ein sicheres Passwort generieren und dazu direkt eine Folge von Wörtern vorschlagen, mit deren Hilfe Sie sich das Passwort merken können.
Möchten Sie mehr zu Datensicherheit in der Praxis wissen?
Sicheres und unsicheres E-Mailen
Sicher kommunizieren mit Telefon und Fax – die Basics
versteckendie Passwörter unter der Tastatur. Auf diese Art und Weise ist weder die Sicherheit von Patientendaten und Kommunikation in der Praxis gewährleistet, noch lässt sich auf diese Art eine QM-Zertifizierung bestehen.
Dabei ist es nicht schwer, Passwörter in der Praxis sicher zu machen. Zwei Dinge müssen dabei sichergestellt sein:
- Dass die Passwörter vertraulich sind.
- Dass die Passwörter stark sind.
Passwörter nicht weitergeben
Was bedeutet Vertraulichkeit?Zunächst einmal dürfen Passwörter physisch nicht in unbefugte Hände gelangen. Das bedeutet, wie in unserem Eingangsbeispiel, dass Sie es am besten ganz vermeiden, Passwörter auf Notizzetteln aufzubewahren - Zettel, die es nicht gibt, können auch nicht in falsche Hände gelangen.
Ist das in Ihrer Praxisorganisation umsetzbar? Wenn jede zweite morgendliche Sprechstunde verspätet anfängt, weil ein Mitarbeiter sich wegen eines vergessenen Passworts nicht mehr ins Praxisverwaltungssystem einloggen kann, lautet die Antwort auf diese Frage vielleicht
nein. In diesem Fall müssen die Passwörter zumindest sicher aufbewahrt werden - beispielsweise in einem abgeschlossenen Schrank.
Vertraulichkeit bedeutet zudem, dass Passwörter auch mündlich nicht weitergegeben werden dürfen. Jeder Nutzer kann in den gängigen Praxisverwaltungssystemen ein eigenes Konto mit eigenen Rechten und eigenem Passwort zugewiesen bekommen. Auf diese Weise kann der Administrator des Praxisverwaltungssystems bei Verletzungen des Datenschutzes auch nachvollziehen, von welchem Konto diese ausgegangen sind. Eine Weitergabe der Login-Informationen ist nicht notwendig und beeinträchtigt die Sicherheit des Systems - insbesondere bei Personen, die nur kurzfristig zum Team gehören wie beispielsweise Studenten oder Praktikanten.
Passwörter ändern
Wenn es organisatorisch nicht möglich ist, jedem Praxismitarbeiter ein eigenes Passwort zuzuteilen - wenn beispielsweise das E-Mail-Konto der Praxis von mehreren Personen abgerufen werden soll - muss ganz klar geregelt sein, dass die Weitergabe des Passworts verboten ist.Die Faustregel lautet außerdem: Lieber das Passwort einmal zu oft ändern als einmal zu wenig. Als absolute Mindestanforderung sollte das Passwort jedes Mal geändert werden, wenn ein Mitarbeiter die Praxis verlässt.
Wenn Sie diese Grundsätze beachten, haben Sie Ihre Praxis-IT schon ein ganzes Stück sicherer gemacht. Schauen wir uns nun einmal das Passwort mit der Lupe an: Was macht ein starkes Passwort aus?
Gute Passwörter auswählen
Der einfachste Angriff auf ein Passwort ist natürlich der Versuch, es zu erraten. Es gibt daneben aber noch eine Reihe von Werkzeugen, mit denen Angreifer versuchen können, ein Passwort zu überwinden. Diese Werkzeuge probieren beispielsweise viele Zeichenkombinationen in schneller Abfolge aus, testen Varianten von Wörtern aus Wörterbüchern oder eine Kombination aus beidem. Stark bedeutet in diesem Zusammenhang, dass ein Passwort sowohl schwer erraten werden kann als auch widerstandsfähig gegenüber den gängigsten Angriffen ist.Grundsätzlich gilt die einleuchtende Regel: je länger ein Passwort ist, desto stärker ist es.
Leider gilt aber auch: die sichersten Passwörter sind oft die, die am schwersten zu merken sind.
Warum ist das so? Leicht zu merken sind Passwörter, die aus nicht-zufälligen Zeichenkombinationen bestehen, also vor allem aus Namen, Wörtern und kurzen Zahlenkombinationen (beispielsweise Geburtsdaten). Diese sind gleichzeitig unsicher: einerseits kann ein Angreifer mit Hintergrundkenntnissen sie möglicherweise erraten, und andererseits können sie durch ein entsprechendes Programm leichter geknackt werden, wenn es Wörter aus Wörterbüchern in Kombination mit einzelnen Zahlen oder Sonderzeichen durchprobiert. Am schwersten hat ein solcher Passwortknacker es, wenn das Passwort aus einer völlig zufälligen Zeichenkombination besteht. Informatiker sagen dazu: wenn es eine hohe Entropie hat.
Ein Beispiel: tLyZ3=SU9jML+Nb-.
Passwörter aus einem Satz konstruieren
Es gibt jedoch einen Trick, wie Sie sich ein Passwort mit ziemlich hoher Entropie ausdenken, das Sie sich gleichzeitig leicht merken können:- Wählen Sie einen gut zu merkenden Satz, beispielsweise aus Ihrem Lieblingsbuch (aber kein berühmtes Zitat). Sie können auch selbst kreativ werden und sich einen möglichst absurden Satz ausdenken - je schräger, desto einprägsamer. Bonuspunkte für die Verwendung von Satz- und Sonderzeichen. Beispiel:
Wieso platzen acht öffentliche Busse? Äste fallen!
- Nehmen Sie die Anfangsbuchstaben der Wörter (Groß- und Kleinschreibung beibehalten) und fügen Sie passende Zahlen und Sonderzeichen ein:
Wp8öB?Äf!
Unsere Autorin
Dr. Christina Czeschik
Ärztin und Autorin für
Medizinische Informatik
Sicher kommunizieren mit Telefon und Fax – die Basics
Alle Tipps, Tricks und Neuigkeiten für Studium und Praxis in der Lehmanns WissensBox