Mechanische, elektronische, interne und externe Bedrohungen
Sicherheit in der Apotheken-EDV
Schutz. Eine absolute Sicherheit gibt es nicht! Auch nicht im EDV-Bereich. Selbst Firmen und Institutionen mit höchsten Sicherheitsstandards wie CIA, FBI, KGB oder Armeen werden immer wieder Opfer von elektronischen Angriffen. Wie kann sich also eine im Vergleich dazu kleine österreichische Apotheke davor schützen?*
Autor: Apotheker Mag. pharm. Robert J. Welzel
Betreffend Sicherheit im EDV-Bereich gibt es in jeder Apotheke unterschiedliches Vorwissen. Ich unterscheide gerne zwischen Sicherheits-Profis und Nicht-Profis. Der Profi hatte bereits bewusst zumindest einmal einen Viren-Kontakt. Der Nicht-Profi hatte bewusst bisher noch keinen Kontakt oder vielleicht auch nur Glück. Damit Sie nicht zu Profis werden, habe ich diesen Artikel geschrieben, denn das Bewusstsein betreffend Gefahren im EDV-Bereich ist erschreckend gering!
Mechanische Bedrohungen
 |
Mag. pharm.
Robert J. Welzel |
Welche Bedrohungen kann man für eine Apotheken-EDV-Anlage heute ausmachen? Neben den mechanischen wie Strom, Feuer, Wasser, Vandalismus, Handwerker, Reinigungspersonal und Mitarbeiter sind es vor allem die elektronischen, die den meisten Schaden verursachen. Gegen mechanische Gefahren kann man mit entsprechenden Methoden vorbeugen.
Es ist unwahrscheinlich, dass folgender Fall eintritt: Ein Gewitter zieht auf. Es kommt zu Stromschwankungen und Ausfällen. Dagegen schützt eine unterbrechungsfreie Strom-Versorgung, eine so genannte USV-Anlage. Schließlich schlägt der Blitz ein. Ein Feuer bricht aus. Bei den Löscharbeiten werden die am Boden stehenden Computer unter Wasser gesetzt. Hier ist nicht mehr viel zu machen. Hoffentlich wurde eine ordnungsgemäße tägliche Datensicherung durchgeführt und die Speichermedien an einem sicheren Ort wie dem Tresor verwahrt. Das hilft auch gegen Vandalismus im Falle eines Einbruchs.
Im Rahmen der Aufräumungsarbeiten bohren Handwerker die Datenkabel an und zerstören sie. Hier hilft nur die genaue Dokumentation der Leitungsbahnen im Haus während der Verlegungsarbeiten, um später noch die exakte Lage feststellen zu können. Kurz vor der Wiedereröffnung löst jemand beim Saubermachen unabsichtlich ein Kabel. Dagegen kann man sich nur schützen, wenn diese fragilen Bereiche entsprechend geschützt sind. Ein Serverschrank und Abdeckbleche sollten der Mindeststandard sein, der bei älteren Installationen meist jedoch fehlt.
Elektronische Bedrohungen
Das Problem liegt oftmals darin, dass es heißt: Das ist MEIN Computer! Meinen Computer darf nur ich benützen. Um meinen Computer kümmere ich mich allein. Dabei ist zu bedenken, dass es immer wieder jemanden im Umfeld geben wird, der sich computermäßig besser auskennt und auf dessen Wissen man somit verzichtet.
Bei den elektronischen Bedrohungen kann man apothekenspezifisch zwei große Blöcke feststellen: betriebsinterne und betriebsexterne. Unter betriebsinterne Bedrohungen fallen die unerwünschte Inbetriebnahme des Computers, das unerwünschte Verwenden von Disketten und CDs auf dem Apotheken-Computer sowie die unerwünschte Einsicht von Dateien. Unter betriebsexterne verstehe ich das unerwünschtes Starten von Programmen und das unerwünschte Öffnen von Dateien, wie es vor allem im Rahmen von Programm- und Daten-Updates immer wieder vorkommt, und in weiterer Folge kann es sein, dass andere Programme nicht oder nur mehr eingeschränkt funktionieren. Die größte Bedrohung aber besteht durch die Vernetzung mit der Welt außerhalb der Apotheke über das Medium Internet.
Betriebsinterne Bedrohungen
 Unerwünschte Inbetriebnahme
Wie kann man sich gegen eine unerwünschte Inbetriebnahme des PC schützen? Die Lösung ist relativ einfach. Die Anmeldung beim PC-Start sollte nur mit Passwort möglich sein. Wird der PC von mehreren Personen auf unterschiedliche Art benutzt, sollte für jeden Benutzer ein eigenes Profil mit genau festgelegten Berechtigungen definiert werden. Auch beim Bildschirmschoner sollte dann – den Sicherheitsgedanken konsequent umgesetzt – eine Anmeldung nur mit Passwort möglich sein. In einzelnen Apotheken-EDV-Programmen wie Suchtgift- und Alkoholbuch, Wareneingangs- und Elaborationskartei ist es von Anfang an üblich gewesen, den Zugriff mit Passwörtern abzusichern. Die Apotheken-EDV-Anbieter sehen dafür unterschiedliche Sicherheits- und Berechtigungsstufen vor. Es hängt von der Apotheke ab, wie weit sie die gebotenen Möglichkeiten nutzt.
Unerwünschtes Verwenden von Disketten und CDs
Ein immer wiederkehrendes Problem in Apotheken ist das unerwünschte Verwenden von fremden Disketten und CDs zum Starten von Fremdprogrammen und zum Lesen externer Dateien durch Apothekenmitarbeiter. Verursacht der Chef selbst fahrlässig einen Schaden, muss er dafür auch selbst aufkommen. Was aber, wenn der Schaden durch einen Mitarbeiter verursacht wurde? Der Nachweis ist oft problematisch, die Haftungsfrage ebenso – auf jeden Fall für beide Seiten eine unangenehme und letztlich auch teure Situation.
Die Gefährdung des bestehenden EDV-Systems durch eingeschleppte Bedrohungen – hier vor allem Viren – ist sehr groß und war von Anfang an ein Problem. Wenn der Eigentümer nicht möchte, dass auf dem Apotheken-EDV-System etwas anderes gemacht wird als das, wofür es erworben wurde, dann ist konsequent vorzugehen: schriftliche Verbote. Wenn das nicht ausreicht, sind mechanische Sperren an den Laufwerken anzubringen. Ein aktueller Virenschutz bietet eine zusätzliche Sicherheitsebene, auch wenn das EDV-Netzwerk keinen direkten Zugang zum Internet ermöglicht, denn Verbote können umgangen und mechanische Sperren geknackt werden.
Unerwünschte Einsicht von Dateien
Auf fast jedem Chef-Computer befinden sich »geheime Daten« (z.B. Geschäftszahlen, Personaldaten,...) sowie »private Dateien« (Privatsphäre), die absichtlich, meist jedoch aber unabsichtlich von Apotheken-Mitarbeitern eingesehen werden können. Natürlich gibt es auch die umgekehrte Situation, dass Mitarbeiter private Daten auf den Apothekencomputern speichern. Davon ist im Interesse beider Seiten abzuraten. Private Daten gehören auf eigene private PCs.
Das Problem der unerwünschten Einsicht von Dateien entsteht im Firmenbereich einfach dadurch, dass der PC auch noch von anderen benützt wird. Die optimale Lösung wäre, einen eigenen Chef-PC anzuschaffen, der mit Passwort abgesichert ist. Dieser PC wird in der Abwesenheit ausgeschaltet oder zumindest mit einem Bildschirmschoner gegen unerwünschte Einsicht geschützt. Stellen Sie sich vor, Sie arbeiten gerade an der Personalplanung für die nächsten Jahre und werden an die Tara gerufen. In Ihrer Abwesenheit liest ein Mitarbeiter zufällig diese Informationen, während er Ihnen die tägliche Post auf den Schreibtisch legt...
Exkurs: Das ideale Passwort
Immer wieder habe ich jetzt darauf hingewiesen, dass ein PC durch Passwörter abgesichert sein muss. Wie sollte das ideale Passwort nun aber aufgebaut sein? Dazu gibt es folgende Empfehlungen der Sicherheitsexperten: Es sollte mehr als 7 Zeichen, Groß- und Kleinschreibung sowie Zahlen und Sonderzeichen beinhalten. Zum Beispiel: Verwenden Sie statt »haus31« besser »#hAus§1«. Für die Passwörter der Mitarbeiter empfiehlt sich der Passwort-Safe. Für Notfälle gibt es von jedem Mitarbeiter in einem von ihm versiegelten Kuvert ein Blatt mit seinen Passwörtern. Dieses Kuvert wird im Safe deponiert. Diese Methode hat sich schon oftmals bewährt, wenn Mitarbeiter, die zum Beispiel das Suchtgiftbuch führen, aufgrund von Krankheit oder Urlaub nicht anwesend sind, die Daten aber im Rahmen einer Überprüfung dringend benötigt werden.
Betriebsexterne Bedrohungen
Unerwünschtes Starten von Programmen und Öffnen von Dateien
Unter betriebsexternen Bedrohungen verstehe ich alle Gefahren, die von Personen ausgehen, die nicht in die Gruppe der Apotheken-Mitarbeiter fallen: Ein großes Gefahrenpotenzial geht von Familienangehörigen aus, die die Apotheken-EDV für private Zwecke nutzen dürfen. Die Investition in einen eigenen PC für die Kinder bzw. Enkelkinder rechnet sich innerhalb kürzester Zeit! Vorsicht ist aber auch im Rahmen von Daten- und Programm-Updates geboten. Viele Apotheken-EDV-Anbieter haben deshalb die Systeme gegen Installationen von Fremdprogrammen geschützt. Als erste Lösungsstufe empfehlen sich in beiden Fällen schriftliche Verbote und – wenn das nicht ausreicht – der Einbau mechanischer Sperren. Ein Virenschutz beugt auch hier unliebsamen Überraschungen vor.
Internet
Das Internet ist die zurzeit schnellste Möglichkeit, um Informationen aus aller Welt zu erhalten, und um mit Freunden und Geschäftspartnern in Kontakt zu treten. Dies bedeutet für jeden Benutzer einen bedeutenden Informationsvorsprung und Zeitgewinn. Es überwiegen die Vorteile und der Nutzen des Internets gegenüber allfälligen Schäden. Dennoch bedeutet ein »Unfall« einen hohen Schaden aufgrund des Produktivitätsausfalls. Man fühlt sich persönlich betroffen und meist auch hilflos einer unsichtbaren Bedrohung ausgeliefert. Die nachfolgende Reparatur durch Spezialisten ist mit hohen Kosten verbunden. Und dann stellt sich immer wieder die bange Frage, ob die letzte Datensicherung noch in Ordnung ist.
Bei anderen Gefahren im Apothekenalltag bietet sich als Lösung an, eine Versicherung gegen einen allfälligen Schadensfall abzuschließen. Dieser Ansatz ist hier jedoch falsch. Die einzige richtige Lösung liegt in der Prävention! Im Apothekenbereich sind es vor allem drei Bedrohungen: Spam, Viren und Hacker.
Bedrohung durch Spam
Unerwünschte Werbemails, sogenannte Spams, sind nicht nur lästig, weil sie Mailboxen anfüllen und uns Zeit kosten, sie sind auch gefährlich. Sie können Viren liefern, oftmals als unscheinbares Attachment getarnt. Sie bieten aber auch Zugang zum »Virenversand«. Die Lösung besteht darin, Spams nie zu öffnen und auch nie darauf zu reagieren. Spams, auf die eine Antwort kommt – und wenn es nur die mit dem Wunsch ist von diesem Absender keine Mails mehr zu bekommen –, werden sehr wertvoll und können gut weiterverkauft werden, weil sie zeigen, dass es diese Adresse wirklich gibt.
Ein Spam-Filter reduziert die Anzahl unerwünschter Mails sehr, hat aber in unserer Branche den Nachteil, dass er immer wieder auch Mails von Apotheken und Pharmafirmen versehentlich für Spams hält und diese ausscheidet. Eine weitere Möglichkeit besteht darin, regelmäßig die E-Mail-Adresse zu wechseln und generell Alias-Adressen und Freemail-Adressen wie Hotmail, GMX oder ähnliche zu nützen. Im Geschäftsverkehr ist das nur eingeschränkt möglich. Denken Sie jedoch daran, nicht immer gleich Ihre Apotheken-E-Mail-Adresse anzugeben.
Bedrohung durch Viren
Die Bedrohung durch Viren ist groß, und es gibt kaum jemanden, der noch keinen Virenkontakt im Internet hatte. Deshalb auf einen Internet-Zugang zu verzichten, ist falsch. Der richtige Lösungsansatz besteht darin, sich vor Viren zu schützen! Dazu gehören: korrekte Internet- und E-Mail-Einstellungen, die neuesten Virenschutz-Programme mit aktuellster Virendefinition, die für alles aktiviert sein müssen, sowie eine regelmäßige Prüfung des EDV-Systems nach einem Virendefinition-Update, das man am besten täglich automatisiert durchführt.
Bedrohung durch Hacker
Es gibt Freizeit- und Gelegenheits-Hacker, die Daten auf dem fremden Computer zerstören. Auch wenn es meist unabsichtlich geschieht, kann der Schaden enorm sein. Es gibt aber auch professionelle Hacker, die gezielt Daten holen und unerkannt wieder verschwinden. Der Sekundärschaden kann dafür umso höher sein. Meist ist er durch Versicherungen gedeckt, und nur ein gewisser Selbstbehalt ist zu übernehmen. Zum Glück sind Apotheken als Ziele weniger interessant.
Wie kann man sich nun gegen Hacker-Attacken schützen? Abhängig vom Verbindungszugang ins Internet gibt es verschiedene Risiken und entsprechende Vorkehrungen zu treffen. Besteht der Zugang nur über ein Modem, so ist das Risiko gering, da der Zugang nur kurzfristig erfolgt und durch den Benutzer kontrolliert wird. Ein markanter Leistungsabfall sollte zur Vorsicht mahnen und zu einer Unterbrechung des Internetzugangs führen. Anders sieht es bei einer permanenten Verbindung wie ADSL, lokale Telekabel-Anbieter oder ähnlichen aus. Hier ist eine mechanische Sperre wie ein entsprechender Web-Safe-Router in Kombination mit einer elektronischen Firewall momentan die einzige vernünftige Lösung.
Einige Internet-Sicherheits-Anmerkungen
Achten Sie auf die richtigen Internet- und E-Mail-Einstellungen. Je vorsichtiger, desto besser! Leider sind diese Einstellungen vom verwendeten Programm und hier wiederum von der Programmversion abhängig. Kontrollieren Sie die vergebenen Zugriffsberechtigungen durch den Administrator und die EDV-Firma. Verwahren Sie die Passwörter auch hier im versiegelten Kuvert im Safe für Notfälle.
Stellen Sie die Sicherheitsstufe möglichst hoch ein! Deaktivieren Sie Cookies soweit wie möglich. Wenn Sie Internetseiten deswegen nicht aufrufen können, erhalten Sie einen diesbezüglichen Hinweis. Dann können Sie immer noch entscheiden, ob diese Seite das Risiko wert ist. Löschen Sie Cookies regelmäßig! Das gleiche gilt auch für den Verlauf (Cave: Der Verlauf geht über fast alle Programme und zeigt somit alle aufgerufenen Dokumente an) und den Cache. Damit Sie nicht automatisch mit Viren verseuchte Mails öffnen, schalten Sie in ihrem E-Mail-Programm die Autovorschau aus.
Fazit
Unsere EDV-Systeme sind bedroht! Die potenziellen Gefahren sind bekannt. Einfache Verhaltensregeln und der Einsatz moderner Sicherheitsprogramme schützen uns vor diesen Bedrohungen. Es hängt von Ihnen ab. Verschließen Sie sich nicht vor diesen potenziellen Gefahren!
EXKURS: VIREN
Was sind eigentlich Viren? Viren sind kleine Programme, die sich im Computer festsetzen. Wie im wirklichen Leben kann eine Virusinfektion ohne Symptome ablaufen oder auch zum plötzlichen »Tod« führen. In unserem Fall ist der Computer nicht mehr zu verwenden, kann jedoch komplett neu installiert werden. Zumindest der Körper hat es überlebt und kann wiederverwendet werden. Das Problem ist aber, dass nicht die Hardware sondern die Daten das Wertvolle an einem Computer sind. Eine weitere Schwierigkeit besteht darin, dass Computer-Viren ebenfalls meist hochinfektiös sind und übertragen werden können. Das Internet hat sich hier als optimales Übertragungsmedium herauskristallisiert. Im Mai 2004 wurden weltweit fast 1.000 neue Viren gezählt.
Was allgemein als Viren bezeichnet wird, unterscheidet der Fachmann in Viren, Trojaner, Makroviren, Würmer sowie Vermischungen. Trojaner versuchen meist die Daten auf dem befallenen Computer auszuspionieren und können im Extremfall sogar die Fernsteuerung des Rechners über das Internet möglich machen. Makroviren sind besonders leistungsfähige Viren, die erst mit den Makrosprachen moderner Officepakete aufgetreten sind und diese auch zum Leben benötigen. Würmer infizieren im Gegensatz zu Viren keine anderen Programme, sondern kommen selbst als ganzes Programm daher. Im Gegensatz zu den Trojanern besitzen sie einen Infektionsmechanismus und verbreiten sich also selbstständig über alle möglichen Kanäle weiter. Am gefährlichsten sind alle Arten von Vermischungen der Virentypen. Der im Vorjahr weltweit grassierende Love-Letter-Virus ist beispielsweise sowohl ein Virus als auch ein Wurm und hat zusätzlich noch einen Trojaner an Bord.
Wie läuft eine typische Viren-Infektion ab? Als Beispiel mag der Love-Letter-Virus dienen. Die Viren-Datei wird über das Mail-Programm (z.B. MS Outlook) empfangen. Ein sofortiges Löschen des Mails stoppt die Verbreitung des Virus. Leider ist der Virus meist so interessant verpackt, dass das Mail geöffnet wird. Im Mail ist eine Datei als Attachment eingefügt, die nun fatalerweise geöffnet wird. Der Virus ist aktiviert! Auf der einen Seite zerstört er nun Dateien auf der Festplatte und auf der anderen Seite öffnet er das Outlook-Adressbuch. Automatisch wird der Virus nun an alle Mail-Partner versendet. Der Virenbefall bekommt somit noch eine soziale Komponente. Keiner macht sich beliebt, der Viren versendet, ob absichtlich oder unabsichtlich. |
| Dazu die Apotheken-EDV-Anbieter:
Ich habe alle Apotheken-EDV-Anbieter gefragt: „Worin sehen Sie die größte Bedrohung für Apotheken-EDV-Systeme?“ Die erhaltenen Antworten geben einen Überblick über diese umfangreiche Problematik.
„… nach außen nicht genügend abgesicherte EDV-Systeme, mangelndes Problembewusstsein, nicht genügend abgesicherte Funknetze …“ (Michael Drobil, ADG)
„... durch ein fehlendes Sicherheitskonzept und nicht laufend geschulte Anwender in Zusammenarbeit mit nicht versierten EDV-Partnern wird am falschen Platz gespart...” (Wolfgang Nagy, Apotheker-Verlag)
„… EDV-Systeme sind »lebende« Einheiten und erfordern stetige Wartung und Betreuung auch innerhalb der Apotheke. Ist dies mangels geschulter Mitarbeiter bzw. eines kompetenten Systemverantwortlichen nicht sichergestellt, sind vermeidbare Betriebsstörungen oft die Folgeerscheinung…“ (Ing. Werner W. Joksch, Apotronik)
„… ungeschulte Mitarbeiter, EDV-Betreuung durch unterschiedliche Firmen und/oder Personen, schlampige Planung bzw. Konfiguration des EDV-Systems, …“
(Ing. Christian Singer, Datapharm Network)
„.… kein EDV-Verantwortlicher, Antivirenprogramme helfen nur, wenn sie richtig parametriert sind (und auch bleiben), Verhalten der Benutzer ...“ (Thomas Hye, iso-soft)
„… Neben der selbstverständlichen Sicherung der Apotheken-EDV mit Firewall und Virenschutz bei regelmäßigen online-Updates ist heute besonders auf den Menschen zu achten…“ (Dr. Michael Schönfelder, Optipharm) |
Anschrift des Verfassers: Mag. pharm. Robert J. Welzel, PharmAid – Dienstleistungen für Apotheken, robert.welzel@a1.net
* Eine Zusammenfassung des Vortrags, gehalten für den Österreichischen Apothekerverband, Landesgruppe Wien, am 12. Mai 2004. |
