Jump to content
  • Willkommen

    Willkommen auf Teramed. Bitte melde Dich an, um an der Community teilzunehmen.

  • Praktische Datensicherung in der Arztpraxis


    teramed

    Mit der Datensicherung ist es wie mit dem Sport: Sie ist oft das Objekt guter Vorsätze, die aber selten konsequent in die Tat umgesetzt werden.

    Teil des Problems ist sicher, dass man wir alle insgeheim davon ausgehen, ein Datenverlust werde nur die anderen treffen – so, wie man auch annimmt, dass nur andere krank werden. Aber diese Annahme ist nicht erst seit der aktuellen Ransomware-Epidemie gefährlich. Eine Festplatte kann auch ohne Vireninfektion jederzeit defekt sein – und die damit verlorenen Daten sind bares Geld wert.

    Ziele der Datensicherung

    Datensicherung in der Arztpraxis hat zwei Ziele:

    • Die Daten nach einem Datenverlust möglichst schnell und möglichst vollständig wiederherstellen zu können, damit weitergearbeitet werden kann und keine abrechnungsrelevanten Daten verloren gehen.
    • Die gesetzlichen Aufbewahrungsfristen zu erfüllen. Je mehr medizinische Informationen von der Papierakte in den Computer wandern, desto wichtiger wird auch dieses Ziel der Datensicherung.

    Im täglichen Betrieb steht bei einem akuten Datenverlust jedoch sicherlich das erste Ziel im Vordergrund: Den Schaden so weit zu beheben, dass die Patientenversorgung fortgesetzt werden kann und nicht allzu viele Daten für die Abrechnung verloren sind.

    Wie gut dieses Ziel erreicht werden kann, lässt sich anhand von zwei Größen messen:

    • Recovery Point Objective (RPO)
    • Recovery Time Objective (RTO)

    RPO-RTO.thumb.jpg.75da5ed2118633a791907d9be115d208.jpg

    Jeder Zusammenbruch des Systems mit Datenverlust führt zu zwei Problemen: Die Daten aus der Vergangenheit müssen wieder hergestellt werden und der Betrieb muss weitergehen. Der Punkt in der Vergangenheit, bis zu dem die Daten wiederhergestellt werden können und nach dem die Daten unwiederruflich verloren sind, wird als RPO bezeichnet. Dies ist normalerweise der Zeitpunkt, zu dem das letzte Backup gemacht wurde.

    Wenn Du also am Dienstag abend um 18 Uhr das letzte Backup durchgeführt hast und am Mittwoch vormittag um 10 Uhr das System abstürzt, beträgt das RPO 16 Stunden. Wenn am Freitag nachmittag um 17 Uhr das letzte Backup gelaufen ist und das System am Montag morgen um 9 Uhr abstürzt, beträgt das RPO 64 Stunden. Hier sieht man, dass das RPO kein direktes Maß dafür ist, wie viele Daten verloren gehen – im zweiten Beispiel können das durchaus weniger Daten sein als im ersten Beispiel, weil das Wochenende dazwischen lag und vor dem Absturz nur eine Stunde Praxisbetrieb herrschte.

    Das RTO gibt an, in welchem Zeitrahmen der normale Betrieb wieder hergestellt werden kann. Wenn also im obigen Beispiel am Montag morgen um 9 Uhr das System abstürzt und zur Nachmittagssprechstunde um 15 Uhr wieder normal eingesetzt werden kann, dann betrug das RTO 6 Stunden. Auch hier gilt wieder: Ein hohes RTO entspricht nicht immer einem großen Verlust an Betriebszeit, wenn beispielsweise ein Wochenende dazwischen liegt.

    Trotzdem kann man von der Faustregel ausgehen: Je niedriger RPO und RTO, desto besser – und desto aufwändiger bzw. teurer.

    Je häufiger Backups durchgeführt werden, desto kürzer ist das RPO – jedenfalls im Durchschnitt. Auch, wenn Du nur einmal wöchentlich ein Backup durchführst, kannst Du das Glück haben, dass der Systemabsturz nur zehn Minuten nach dem letzten Backup passiert. Das ist aber weniger wahrscheinlich als wenn Du einmal täglich ein Backup machst.

    Das RTO hängt von der Art Deines Systems und von Geschick und Verfügbarkeit Deines technischen Supports ab. Lösungen, die ein niedriges RTO versprechen, sind tendenziell teurer: Wenn Du einen Supportvertrag abgeschlossen hast, der Dir eine Antwortzeit von einer Stunde garantiert, dann ist Dein System schneller wieder lauffähig als wenn Du Dich selbst darum kümmerst, nachdem Du mit Hilfe von Papierdokumentation erst einmal die ganze Sprechstunde abgearbeitet hast.

    RPO und RTO sind also stets ein Kompromiss zwischen dem, was man sich wünscht und dem, was man dafür ausgeben will. Sinnvoll sind in einer Arztpraxis aber auf jeden Fall ein RPO und RTO von jeweils unter einem Tag, besser nur einigen Stunden.

    Praktische Datensicherungsstrategie

    Wichtiger als die perfekte Datensicherungsstrategie zu finden: Eine Strategie festzulegen, die in der Praxis tatsächlich eingehalten wird. Sie darf also nicht zu sehr mit dem täglichen Geschäft in Konflikt geraten. Wenn sich niemand wirklich verantwortlich fühlt und lediglich der gute Vorsatz besteht, an irgendeinem Tag einmal wöchentlich nach Feierabend ein Backup zu machen, wird dies von Woche zu Woche mehr vernachlässigt werden.

    In einer Datensicherungsstrategie müssen folgende Dinge konkret festgelegt werden:

    Wer ist für das Backup verantwortlich? Vertretung?

    Beispielsweise die Praxismanagerin, bei Urlaub oder Krankheit die Praxisinhaberin.

    Welche Daten sollen gesichert werden?

    Mindestens das Datenverzeichnis der Praxisverwaltungsprogramms und das Verzeichnis mit der Korrespondenz. Eher zu großzügig sichern als zu sparsam.

    Wann sollen die Daten gesichert werden?

    Es gibt Lösungen, bei denen ständig eine zweite Version der aktuellen Daten vorgehalten wird, ein sogenannter Mirror. Dies ist jedoch teuer und für eine Arztpraxis in der Regel nicht notwendig. Eine mindestens tägliche Datensicherung ist aber zu empfehlen.

    Auf welche Medien sollen die Daten gesichert werden?

    Die Daten können über das Netzwerk gesichert werden, beispielsweise auf einen separaten Server oder ein NAS (siehe unten), oder auf einen externen Datenträger. Empfehlenswert ist eine Kombination aus beidem.

    Speicherung auf einen Server ist komfortabel und kann schnell wieder hergestellt werden. Server können zudem mit einem sogenannten RAID-System arbeiten: Einer Kombination aus Festplatten, bei der der Inhalt immer noch lesbar bleibt, wenn eine oder mehrere Platten ausfallen, so dass sie rechtzeitig vor Datenverlust ausgetauscht werden können. Ein ans Netz angeschlossener Server ist aber auch infektionsgefährdet, wenn ein Virus ins System gerät.

    Ein kleiner Server, der ausschließlich der Datenspeicherung dient, wird als NAS (Network-attached storage) bezeichnet. Er ist eine mögliche Ergänzung der Datensicherungsstrategie. Aber Vorsicht: Einige Hersteller liefern ihre NAS mit voreingestelltem automatischem Backup in die Cloud aus, das für den Benutzer nicht sehr transparent gemacht wird und schwierig bis gar nicht abzustellen ist. Solche Lösungen sollte man aus Gründen des Datenschutzes vermeiden. Zudem sollte man daran denken, dass auch ein NAS befallen werden kann, wenn das System mit einem Virus infiziert wird.

    Ein externer Datenträger hat den Vorteil, dass er außerhalb der Praxis aufbewahrt werden kann. So bleiben die Daten auch bei einem Einbruch oder einem Feuer erhalten. Externe Datenträger können beispielsweise USB-Festplatten, USB-Sticks oder auch Magnetbänder sein. Letztere sind in der Benutzung relativ langsam, der Inhalt bleibt aber anders als bei anderen Medien über Jahrzehnte stabil.

    Ebenfalls sicher vor Schäden und Einbrüchen in der Praxis sind die Daten in einem externen Rechenzentrum. Ein solches können sich im ambulanten Bereich nur große MVZ leisten. Auch kleinere Praxen können aber Verträge mit Anbietern von Rechenzentren abschließen, in denen die Daten sicher und gesetzeskonform gespeichert werden (hierzu muss unter anderem ein Vertrag zur Auftragsdatenverarbeitung abgeschlossen werden).

    Eine vierte Möglichkeit ist das Backup in eine Cloud, das jedoch einige Sicherheitsprobleme mit sich bringt (siehe unten).

    Ob und wie werden die Medien verschlüsselt?

    Verschlüsselung ist Pflicht, wenn die Daten in eine Cloud gesichert werden. („Es gibt keine Cloud, nur die Computer anderer Leute.“)

    Zur Verschlüsselung gibt es eine Auswahl verschiedener Werkzeuge, beispielsweise TrueCrypt.

    Vorsicht: Wenn Du Dich entscheidest, Deine Backups zu verschlüsseln, verbessert das den Datenschutz, verschlechtert aber den Komfort des Backup-Prozesses. Wenn Euer Praxisteam beim Durchführen der Backups nachlässig wird, weil die Verschlüsselung so aufwändig zu benutzen ist, tut Ihr Euch damit keinen Gefallen. Wenn beispielsweise auf einer externen Festplatte gesichert wird und diese sicher aufgehoben wird (etwa im Tresor), dann ist eine Verschlüsselung nicht notwendig.

    Wo werden die Medien sicher aufbewahrt?

    Die Backupmedien sollten sicher sein vor

    • Diebstahl und
    • Unglücksfällen (Feuer, Wasserschaden).

    Beides kann etwa mit einem ausreichend guten Tresor erreicht werden. Da es unwahrscheinlich ist, dass Praxis und Wohnung gleichzeitig abbrennen, empfiehlt es sich zudem, eine Kopie stets an einem anderen Ort als der Praxis aufzubewahren. Auch diese zweite Kopie muss entsprechend gesichert sein, also nicht offen im Arbeitszimmer liegen, sondern beispielsweise eingeschlossen im heimischen Tresor.

    Wie lange werden die Medien aufbewahrt?

    Hier kommen unter Umständen die gesetzlichen Aufbewahrungsfristen ins Spiel (10 oder 30 Jahre), wenn die Dokumentation nur elektronisch vorliegt. Hier muss man daran denken, dass die Daten nicht nur unleserlich werden können, sondern auch Techniken veralten – viele moderne Computer haben beispielsweise kein CD-ROM-Laufwerk mehr. Magnetbänder sind eine bewährte Art der Langzeitspeicherung. Wenn man andere Medien verwendet, müssen sie regelmäßig umkopiert werden.

    Wenn keine gesetzlichen Aufbewahrungsfristen beachtet werden müssen, kann eine First-in-first-out-Strategie verwendet werden: Die jeweils ältesten Backups werden – beispielsweise nach drei Monaten – mit neuen Backups überschrieben.

    Eine andere Möglichkeit ist das Großvater-Vater-Sohn-Prinzip: Es wird einmal im Monat auf das „Großvater“-Medium gesichert, einmal in der Woche (z.B. freitags) auf das „Vater“-Medium und täglich auf das „Sohn“-Medium. So könnte man beispielsweise für die sechs zurückliegenden Monate jeweils ein Magnetband archiviert haben, für die wöchentlichen Backups externe Festplatten und für die täglichen Backups Verzeichnisse auf dem Server.

    Wer testet wie und wie oft, ob die alten Sicherheitskopien noch lesbar sind?

    Da elektronische Daten mit der Zeit unleserlich werden können, sollte auch dann gelegentlich probeweise eine Wiederherstellung (Rücksicherung) der Daten gemacht werden, wenn kein Datenverlust eingetreten ist. Hier muss natürlich aufgepasst werden, dass keine aktuellen Dateien überschrieben werden. Die Rücksicherung kann beispielsweise an einem dafür vorgesehenen Computer erfolgen, in einem festgelegten Intervall (beispielsweise einmal pro Monat).

    Alle Daten oder nur neue Daten sichern?

    Man unterscheidet drei Vorgehensweisen zur Datensicherung:

    • Voll-Backup – alle Daten werden gesichert
    • Differenzielles Backup – nur die Daten, die im letzten Voll-Backup nicht enthalten sind, werden gesichert
    • Inkrementelles Backup – nur die Daten, die seit dem letzten inkrementellen Backup hinzugekommen sind, werden gesichert

    Das Voll-Backup benötigt den meisten Speicherplatz, ist aber am einfachsten und zuverlässigsten wiederherzustellen. Zudem ist es bei den anderen Backup-Arten schwierig, Daten aus den Backups zu löschen (weil sie beispielsweise privat sind oder weil Speicherplatz freigestellt werden soll).

    Eine gute Strategie ist beispielsweise ein wöchentliches Voll-Backup mit zusätzlich täglichem inkrementellen oder differenziellen Backup.

    Professionelle Lösung oder Eigenkonstruktion?

    Je nachdem, wie IT-affin Praxisinhaber und Team sind, kann eine Datensicherungsstrategie auch selbst umgesetzt werden.

    Hierbei sollten folgende Punkte beachtet werden:

    • Die Datensicherung wird oft aus dem Grund selbst gemacht, weil Geld eingespart werden soll. An der Hardware sollte jedoch nicht gespart werden: Billig-Hardware macht auf lange Sicht oft mehr Probleme, als es das eingesparte Geld am Anfang rechtfertigt.
    • Für die Software gilt das nicht unbedingt: Viele gute Lösungen, insbesondere für das Linux-Betriebssystem, aber auch für Windows, sind Open Source und damit kostenlos.
    • Wenn nur eine Person in der Praxis sich mit der Datensicherung auskennt: Was passiert, wenn diese Person ausfällt? Wenn es sich um eine Mitarbeiterin handelt: Was, wenn sie kündigt oder in Ruhestand geht? Wenn es die Praxisinhaberin selbst ist: Was, wenn die Praxis an einen Nachfolger übergeben wird? Es sollten daher immer mindestens zwei Personen mit den Feinheiten der Praxis-IT vertraut sein.
    • Je mehr Daten gesichert werden müssen, desto höher sind die Ansprüche an Hardware und Abläufe. Die Datensicherung einer Hausarztpraxis ist einfacher umzusetzen als die einer radiologischen Praxis.
    • Die Datensicherung darf nicht im Alltagsgeschäft untergehen. Bei Eigenlösungen besteht immer die Gefahr, dass andere Dinge dringender erscheinen.
    • Bei einem Ausfall der IT seid Ihr im Zweifelsfall gleichzeitig damit beschäftigt, den Betrieb aufrechtzuerhalten und den Fehler zu suchen. Dies ist eine stressige Situation, die nicht unbedingt zu besonnenem und analytischem Handeln führt. Man sollte sich diese Doppelbelastung rechtzeitig klarmachen.

    Bei der Beauftragung eines Dienstleisters fallen regelmäßige Kosten an. Dafür kann man sich bei einem guten Dienstleister jedoch darauf verlassen, dass die Einsatzfähigkeit des Systems schnell wiederhergestellt wird. Je nach Vertrag werden hierfür auch gewisse Garantien ausgesprochen. Es lohnt sich, mehrere Dienstleister zu vergleichen: Wie ist der versprochene Leistungsumfang? Mit wem könnt Ihr Euch ein gutes Arbeitsverhältnis vorstellen? Wenn Ihr einen vertrauenswürdigen Dienstleister habt, hält dieser Euch im Ernstfall den Rücken frei und Ihr könnt Euch derweil auf die Patientenversorgung konzentrieren.

    Die schlechteste Möglichkeit ist, die Aufgabe an einen nicht-professionellen Dritten auszulagern, beispielsweise einen Informatikstudenten aus dem Bekanntenkreis. Die Gefahr ist hoch, dass dieser im Ernstfall nicht erreichbar ist oder nicht genau weiß, was er tut. Der Zugriff eines Dritten auf die Praxis-IT muss ohnehin immer vertraglich geregelt werden (Auftragsdatenverarbeitung) und sollte nicht jemandem gewährt werden, der es nur „nebenher“ macht.

    Schnell wieder einsatzfähig mit Snapshots

    Ein Snapshot ist ein Abbild eines kompletten Dateisystems zu einem bestimmten Zeitpunkt. Man kann anhand eines Snapshots beispielsweise die Konfiguration eines Servers sichern, um ihn im Fall eines Schadens schnell wieder einsatzfähig zu machen. Werkzeuge hierfür sind unter Windows beispielsweise das kostenpflichte Drive Snapshot, unter macOS das ebenfalls kostenpflichtige Volume Snapshot und unter Linux der Logical Volume Manager LVM (Paket lvm2 für Ubuntu).

    Zum Nutzen von Snapshots haben wir Thomas Klug befragt, Geschäftsführer des Medizin-IT-Dienstleisters datenstrom aus Remscheid. Er sagt: „Mit Hilfe eines Snapshots kann ein beschädigtes System schnell wieder einsatzfähig gemacht werden. Wir hatten kürzlich erst den Fall einer Praxis, deren Server von Ransomware befallen wurde. Zu unserer Sicherheitsstrategie gehörte glücklicherweise ein zweiter Server, der nicht ohne weiteres vom Netzwerk aus zugänglich war, so dass er von der Ransomware verschont blieb. Diesen haben wir mit Hilfe des Snapshots zum primären Server der Praxis gemacht. Nach zwei Stunden konnte die Patientenversorgung wieder aufgenommen werden. Wenn erst ein neuer Server aufgesetzt und Daten von externen Medien rückgesichert werden müssen, kann die Ausfallzeit auch einen ganzen Tag betragen. Kürzlich hatten wir sogar einen Fall, in dem die gesamte IT-Ausrüstung eines Praxis ausgeräumt wurde und nur externe Sicherheitskopien vorlagen – die Praxis konnte erst nach einer Woche den normalen Betrieb wieder aufnehmen. Mittlerweile wurde dort auf ein moderneres Datensicherungskonzept umgestellt.“

    Das RTO (die Zeit, bis der Betrieb wieder aufgenommen werden kann – siehe auch Abbildung) kann also durch das Arbeiten mit Snapshots deutlich verkürzt werden. Noch deutlicher sind die Vorteile eines Snapshots bei der Verbesserung des RPO. Das RPO, wie oben besprochen, gibt an, wie alt der aktuellste Datensatz ist, der gerettet werden kann. Dazu Thomas Klug: „Die Snapshots können so eingestellt werden, dass im laufenden Betrieb mit geöffneter Datenbank alle 15 Minuten eine inkrementelle Sicherung durchgeführt wird. Im Ernstfall gehen daher maximal die Daten der letzten 15 Minuten verloren.“

    Vorbeugende Hygiene gegen Systemabstürze

    Zum Schluss noch einmal zurück zur Ransomware und anderen Schädlingen. Tatsächlich ist die Wiederherstellung eines Backups – von ganz wenigen Ausnahmen abgesehen – die einzig realistische Chance, eine Infektion mit einem Cryptotrojaner zu „behandeln“. Aber auch Vorbeugung ist möglich: Hier sind die gleichen Maßnahmen empfehlenswert, die auch dem Schutz vor anderen Viren dienen.

     




×