Datensicherheit in der Cloud?!

Wie sicher sind meine Patientendaten? Diese Frage stellen sich viele Praxisinhaber:innen, wenn sie über die Anschaffung einer Praxissoftware nachdenken. Gerade im Gesundheitswesen werden besonders sensible Daten gespeichert und ein Ausfall des Systems kann schwerwiegende Folgen für das Tagesgeschäft in der Praxis haben. 

Legt man dies zu Grunde scheint für viele Praxisinhaber:innen ein Risiko darzustellen und ein eigener lokaler Server erscheint zunächst sicherer: Statt die besonders schützenswerten Gesundheitsdaten der Patient:innen auf den Servern eines anderen Unternehmens zu speichern, hat man in den eigenen Räumlichkeiten alles verfügbar und im Blick.

Diese Denkweise hat jedoch einen großen Haken: Die Sicherheit Ihrer Daten ist nicht abhängig von der räumlichen Nähe Ihres Speicherorts. Wir zeigen auf, warum Sie eher auf eine Cloudbasierte Software setzen sollten, als auf einen lokalen Server. 

Zur Klärung: Cloud ist nicht gleich Internet

Von vielen wird ein Speicher in der Cloud noch mit „irgendwo im Internet“ beschrieben – auch wenn gerade das nicht der Fall ist. Zwar greift der Nutzer über das Internet auf die Daten zu, diese sind aber auf Servern von höchstem Sicherheitsniveau gespeichert (z.B. in Deutschland) und ein Zugriff ist nur verschlüsselt möglich, bei Optica Viva zum Beispiel mittels eines Praxisschlüssels, der nur der Praxis bekannt ist.

Der Grundsatz: Daten müssen überall geschützt sein/ Datenschutz gilt überall

Egal ob Ihre Daten vor Ort in der Praxis oder auf den Servern eines Cloudanbieters gespeichert sind: Die Notwendigkeit, diese zu schützen und sich vor Angriffen oder Ausfällen zu schützen betrifft beide Systemvarianten. 

Betrachtet man das Risiko durch einen Hackerangriff ist wichtig zu verstehen: solche Attacken erfolgen über das Internet, sodass es zweitrangig ist, wo der Server physisch steht, in den er sich einschleichen will. Der entscheidende Faktor ist vielmehr, wie gut dieser gesichert ist. Das bedeutet, dass ein Server einige Schutzmaßnahmen erfüllen muss – nicht nur gegen unerlaubten Zugriff, sondern auch mit Blick auf andere Gefahren wie Brände oder zusätzliche Datensicherungen („Back-Ups“). 

Notwendige Schutzmaßnahmen für einen Server umfassen also unter anderem eine unterbrechungsfreie Stromversorgung, Kühlsysteme um eine Überhitzung zu vermeiden, Brandmelde- und Löschungsanlagen sowie ein Überwachungssystem (z.B. Videoüberwachung) und ein System zur zusätzlichen Datensicherung. Diese Schutzmaßnahmen sind zudem gesetzlich festgelegt. Darüber hinaus müssen bestimmte DIN-Normen erfüllt werden, egal ob der Server in Ihren Räumlichkeiten steht oder bei Ihrem Cloud-Anbieter. 

Die Vorteile der Cloud

Betrachtet man die oben genannten Sicherheitsanforderungen an einen Server, so wird schnell deutlich: einen sicheren Server zu betreiben ist auch ein Kostenfaktor. Mehr darüber lesen Sie auch in unserem Beitrag „Praxissoftware aus der Cloud: Warum sich die Anschaffung eines eigenen Servers nicht lohnt“.

Expertise und höchste Standards

Praxissoftwareanbieter, die Ihre Praxissoftware über eine Cloud anbieten, wissen genau mit welchen Risiken zu rechnen ist, und welche Schutzmaßnahmen umgesetzt werden müssen. Dort sind entsprechende Expert:innen angestellt, die den bestmöglichen Schutz der dort gespeicherten Daten immer weiterentwickeln – denn schließlich ist die Sicherheit der Daten ein wichtiger Teil ihres Geschäftsmodells. 
Das bedeutet gleichzeitig, dass immer die höchstmöglichen Sicherheitsstandards sichergestellt werden können und macht eine Cloud-Lösung nachweislich sicherer als ein lokales System. 
Zudem sind Sie nicht selbst für die Einhaltung aller Standards verantwortlich – dies liegt ganz beim Betreiber bzw. Ihrem Praxissoftwareanbieter.

Zugangssicherheit

Das Rechenzentrum eines Softwareanbieters ist zwar um einiges größer als ein Serverraum im Praxiskeller, dafür aber deutlich besser gegen den Zutritt durch Unbefugte gesichert -  Stichwort Videoüberwachung, Wachdienst, Zugangsüberwachung oder mehrstufige Authentifizierung. Welche Praxis könnte da mithalten?

Back-Ups: Zusätzliche Datensicherungen

Wie kann ich mich vor einem Datenverlust schützen? Auch diese Frage stellt sich in diesem Zusammenhang. Wer seinen eigenen Server unterhält, speichert seine Datensicherungen („Back-Ups“) in der Regel auch dort – was kritisch ist, sobald der Serverraum durch Störungen wie z.B. einen Stromausfall, ein Feuer oder Hochwasser beeinträchtigt ist. 

In der Regel hat ein Cloudsoftwareanbieter für alle Katastrophenszenarien vorgesorgt und sichert seine Daten doppelt an verschiedenen Standorten. Die Cloud ermöglicht außerdem deutlich kürzere Intervalle für einen Back-Up bis hin zur Echtzeit-Sicherung, bei der immer aktuelle Daten für eine Wiederherstellung bereitstehen.

Praxiswachstum und Skalierbarkeit

Was ist, wenn meine Praxis wächst? Auch hier ist eine Praxissoftware im Vorteil, die auf einer Cloud-Lösung basiert: zusätzlicher Speicherplatz, z.B. durch neue Patient:innen bei einer Praxiserweiterung stellen kein Problem dar. Eine entsprechend große Infrastruktur sorgt dafür, dass immer genug Speicherplatz vorhanden ist. Und wachsen die Kund:innen eines Anbieters, so wächst auch dieser mit. Bei einem eigenen lokalen Server ist das längst nicht selbstverständlich und oft mit hohen Kosten verbunden. 

Neue oder defekte Hardware ist kein Problem

Ist der Computer oder Laptop defekt, mit dem Sie auf Ihren lokalen Server zugreifen, startet ein aufwändiger Prozess, mit dem das neue Gerät mit Ihrem Server verbunden werden muss, um den Zugriff wiederherzustellen. Dasselbe gilt für zusätzliche Geräte (z.B. für neue Mitarbeiter:innen). Nutzen Sie eine cloudbasierte Praxissoftware genügt ein Login mit den Zugangsdaten auf dem neuen Rechner und alle Daten sind wieder verfügbar. 

Vorsicht: Cloud ist nicht gleich Cloud 

Auch wenn jeder Anbieter bestimmte Standards einhalten muss, so gibt es doch Unterschiede. Auf folgende Punkte sollten Sie achten:

• Serverstandort: befindet sich dieser in Deutschland oder der EU ist ein besonders hoher Datenschutz gewährleistet.
• Login und Verschlüsselung: neben Benutzername und Passwort sollte ein zusätzliches Kriterium, das nur der Praxis bekannt ist für den Login notwendig sein, z.B. ein Praxisschlüssel oder eine Praxis-ID.
• Datenzugriff: Alle Daten müssen jederzeit vor dem unbefugten Löschen, Ändern, Kopieren und Lesen geschützt sein.