Supplement: PRAXiS

Windows XP: Risiken für den sicheren Betrieb im Gesundheitswesen

Dtsch Arztebl 2013; 110(39): [6]

Jäschke, Thomas

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...

Microsoft läutet das Ende seines veralteten Betriebssystems Windows XP und anderer Produkte ein. Ein weiterer Betrieb dieser Lösungen stellt ein erhebliches Sicherheitsrisiko dar. Aber auch beim Ersatz dieser Lösungen ergeben sich datenschutzrechtliche Fragen.

Foto: Fotolia/maxkabakov
Foto: Fotolia/maxkabakov

Das Softwareunternehmen Microsoft will im April 2014 die erweiterte Produktpflege für Windows XP und das Bürosoftwarepaket „Office 2003“ (unter anderem Outlook, Word, Excel) einstellen. Mit dem Ende des Produktlebenszyklus (end-of-lifecycle) wird es dann auch für neue Sicherheitslücken keine Updates mehr geben.

In vernetzten Einrichtungen des Gesundheitswesens, zum Beispiel einer größeren Arztpraxis oder einem Medizinischen Versorgungszentrum, wird allerdings in Kombination mit Windows XP im Hintergrund oft noch das Serverbetriebssystem „Windows Server 2003“ – zur Bereitstellung von Druckerdiensten, gemeinsamer Dateiablage oder E-Mail- und Kalenderfunktionalität – eingesetzt. Der Support für die E-Mail-Lösung „Exchange 2003“ wird ebenfalls im April 2014 eingestellt, und das Ende der Produktpflege für den Windows Server 2003 folgt im Juli 2015.

Obwohl seit der Markteinführung von Windows XP im Oktober 2001 schon mehr als zehn Jahre vergangen sind und mit Windows 8 mittlerweile der dritte Nachfolger – nach Windows Vista und Windows 7 – in den Verkaufsregalen steht, ist Windows XP in der Praxis immer noch weit verbreitet. In einer Auswertung vom März 2013 berechnete das Marktforschungsunternehmen Net Applications (www.netmarketshare.com) den Marktanteil von Windows XP international noch mit etwa 39 Prozent. Die Daten werden mit einer Analyse der Internetaktivität erhoben und stellen eine realistische Annäherung an die tatsächliche Nutzung dar. Mit einem ähnlichen Verfahren ermittelte StatCounter GlobalStats (http://gs.statcounter.com) im selben Zeitraum für die Region Deutschland einen Marktanteil von knapp 18 Prozent.

Ein Grund für die immer noch weite Verbreitung von Windows XP, insbesondere im betrieblichen Umfeld, ist dabei sicher der mit einem Releasewechsel verbundene hohe Aufwand für Kompatibilitätstests, Schulungen und Systemmigration. Diese Situation wurde lange durch die schleppende Marktakzeptanz von Windows Vista und dem Entschluss vieler IT-Verantwortlicher, beim „funktionierenden“ Betriebssystem zu bleiben, begünstigt.

Oft versteckt vorhanden

Ebenso setzten viele Softwarehersteller noch lange auf Windows XP und sagten erst spät eine Installationsfreigabe ihrer Produkte für andere Betriebssystemversionen zu. Aber auch gerade in herstellerseits konfektionierten Komplettlösungen aus Hard- und Software (wie Touchscreen-Terminals, Kassensystemen und auch Medizinprodukten) werkelt oft noch ein verstecktes Windows XP.

Unproblematisch ist der Einsatz der „Oldies“ auch schon heute nicht mehr, wie Microsoft in seinem „Security Intelligence Reports Volume 14“ Anfang 2013 feststellt (www.microsoft.com/security/sir/default.aspx). Bei „Windows XP“- und „Windows Server 2003“-Installationen zeigt sich im Vergleich zu ihren Nachfolgeprodukten eine deutliche höhere Infektionsrate mit Schadsoftware oder unerwünschten Programmen.

Langfristig kann der Betrieb der abgekündigten Produkte nicht sichergestellt werden, und die Umstellung auf Nachfolge- oder Alternativprodukte bedarf einer soliden technischen Planung mit entsprechendem Zeitbedarf. Zusätzlich muss beachtet werden, dass Microsoft für seine integrierten Produktlösungen aus Serverbetriebssystem und E-Mail-Lösung, die sogenannte Small Business-Serie, die speziell auf den Einsatz in kleineren und mittleren Unternehmen (KMU) ausgerichtet war, keine vergleichbaren Nachfolgeprodukte anbietet.

Im neuen Windows Server 2012 gibt es keine Version mehr mit integrierter E-Mail-Lösung, sondern alternativ bietet Microsoft eine Integration in das Cloud-Angebot „Office 365“ an. Für den Anwender ergibt sich beim Empfangen und Versenden von E-Mails praktisch kein Unterschied, allerdings ist zu bedenken, dass die E-Mails nicht mehr lokal auf dem Server „im Haus“, sondern in einem Rechenzentrum von Microsoft gespeichert werden. Formal handelt es sich bei diesen Angeboten, in denen personenbezogene Daten verarbeitet werden, um eine Auftragsdatenverarbeitung, die neben der eigentlichen Dienstleistung (etwa Bereitstellung der E-Mail-Funktionalität) zusätzlich vertraglich fixiert werden muss. Microsoft bietet allen Kunden an, online einen entsprechenden Vertrag zur Auftragsdatenverarbeitung abzuschließen*.

Die grundsätzliche Idee der Auftragsdatenverarbeitung (sofern sie den Anforderungen nach § 11 Bundesdatenschutzgesetz genügt) ist nach der Vorstellung des Gesetzes, dass der Dienstleistungsanbieter, in diesem Falle Microsoft, datenschutzrechtlich im Sinne einer internen Abteilung des Auftraggebers (Kunden) fungiert und somit die Weisungsbefugnis und Verantwortlichkeit für die ordnungsgemäße Datenverarbeitung immer beim Auftraggeber verbleiben.

Daten in der Cloud

Das rechtliche Konstrukt der Auftragsdatenverarbeitung ist nicht neu, jedoch werden bei IT-getriebenen Projektumsetzungen diese wichtigen vertraglichen Komponenten oft vernachlässigt. Prinzipiell sollte jedoch in jeder Einrichtung des Gesundheitswesens ein Prozess etabliert sein, mit dem die Einbindung des betrieblichen Datenschutzbeauftragten bei Veränderung oder Neueinführung von IT-Verfahren sichergestellt ist. Zu den Aufgaben des Datenschutzbeauftragten gehört es, die Ordnungsmäßigkeit der Datenverarbeitung zu prüfen oder auch vorab zu beraten und mögliche Alternativen und Lösungen aufzuzeigen. Voraussetzungen sind eine notwendige Fach- und Sachkunde im Bereich der Informationstechnik.

Im Kontext des Gesundheitswesens muss zusätzlich berücksichtigt werden, dass die hausinterne E-Mail-Kommunikation potenziell auch Gesundheitsdaten von Patienten (gemäß § 3 (9) Bundesdatenschutzgesetz „besondere Arten von Daten“) enthalten und nicht ohne Weiteres in eine Auftragsdatenverarbeitung überführt werden kann. Generell ist nach Meinung von Experten die Eignung des Mediums E-Mail in seiner unverschlüsselten Form zur Kommunikation in diesem Bereich kritisch zu sehen. In diesem Fall kann sich mit der Migration in ein Cloud-Angebot sogar ein Verstoß gegen die ärztliche Schweigepflicht ergeben.

Die Nutzung derartiger Cloud-Lösungen muss nicht prinzipiell ausgeschlossen werden, aber möglicherweise muss auf eine Übernahme von Bestands-E-Mails verzichtet und für die künftige E-Mail-Nutzung eine Arbeitsanweisung erarbeitet werden, in der die Kommunikation von Gesundheitsdaten mit Personenbezug ausgeschlossen wird.

Mit dem Supportende für mehrere Microsoftprodukte kann eine Migration auf ein aktuelles Windows nun nicht mehr auf die lange Bank geschoben werden. Die bisherigen KMU-Lösungen wurden durch eine Kombination mit Cloud-Angeboten ersetzt, somit ergeben sich in der Migration neben technischen auch datenschutzrechtliche Fragen. Vor allem im Gesundheitswesen ist es daher unerlässlich, frühzeitig seinen Datenschutzbeauftragten in diesen Prozess zu involvieren. Thomas Jäschke

Anschrift des Verfassers

ISDSG – Institut für Sicherheit und Datenschutz im Gesundheitswesen

c/o Jäschke Health Care Consulting

Prof. Dr. Thomas Jäschke

Westfalendamm 251, 44141 Dortmund

kontakt@isdsg.de

* http://community.office365.com/de-de/blogs/microsoft_office_365_blog/archive/2012/03/07/jetzt-office-365-mit-auftragsdatenverarbeitung-und-standardvertragsklauseln-der-europ-228-ischen-union-nutzen.aspx

Fazit

Windows-XP-Nutzer sollten beachten:

  • Mit dem Auslaufen des Update-Supports für Windows XP entsteht ein Sicherheitsproblem, zumindest für Rechner mit einer Online-Verbindung und in vernetzten Umgebungen.
  • Bei nicht vernetzten Praxen sollten die Risiken abgewogen werden, weil die Wahrscheinlichkeit eines Sicherheitsproblems auf Grund der fehlenden Vernetzung eher klein ist.
  • Bei der Umstellung von bisherigen selbstbetriebenen E-Mail-Lösungen für die interne Kommunikation auf cloudbasierte E-Mail-Lösungen sind weitergehende datenschutzrechtliche Fragestellungen zu berücksichtigen.
  • Die „Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“ von der Bundes­ärzte­kammer und der Kassenärztlichen Bundesvereinigung geben weitere Auskunft und Handlungshinweise, siehe www.bundesaerztekammer.de/downloads/Empfehlung_Schweigepflicht_Datenschutz.pdf.
Anzeige

    Leserkommentare

    E-Mail
    Passwort

    Registrieren

    Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

    Fachgebiet

    Zum Artikel

    Alle Leserbriefe zum Thema

    Login

    Loggen Sie sich auf Mein DÄ ein

    E-Mail

    Passwort

    Anzeige