Praxis-Computer defekt – Backup fehlt – was tun?

Das Backup der „Kronjuwelen“ einer Praxis ist die technische Risikoversicherung jeder Gesundheitseinrichtung. Die Datensicherung der Patientendaten ist einer der wichtigsten technischen und organisatorischen Präventionsmaßnahmen und verdient ein Höchstmaß an Aufmerksamkeit in der Praxis. Denn nach Murphys Gesetz wird früher oder später etwas schief gehen… so wie vor kurzem in einer psychotherapeutischen Praxis.

Beschreibung des Vorfalls

Frau P. aus K. betreibt eine Psychotherapiepraxis und arbeitete bisher mit einem Apple MacBook aus dem Jahr 2012, auf dem neben dem Original-MacOS auch das Programm Parallels verwendet wurde, um dort eine Windows 10-VM (Virtuelle Maschine) zu betreiben. Innerhalb dieses Microsoft Betriebssystems wurde das Praxisverwaltungsprogramm (PVS) genutzt, welche Frau P. täglich zum Einsatz brachte. An einem Tag jedoch reagierte Windows 10 nicht mehr, Maus und Tastatur funktionierten nicht, und selbst ein Wechsel zurück zum MacOS war nicht möglich, was dazu führte, dass das MacBook durch einen erzwungenen Ausschaltvorgang neu gestartet werden musste. Danach startete das MacOS nicht mehr und zeigte statt der gewöhnlichen Oberfläche lediglich einen weißen Bildschirm mit einem blinkenden Ordnersymbol und einem Fragezeichen.

Trotz weiterer Abhilfeversuche bootete das MacBook nicht korrekt, woraufhin Frau P. den Rat eines Mac-Spezialisten einholte. Seine Diagnose deutete auf eine möglicherweise defekte SSD-Festplatte hin, wodurch ein einfacher Zugriff oder eine rasche Wiederherstellung des Systems ausschieden. Der Fokus lag nun auf die Datenwiederherstellung durch die lokal vorhandenen Backupmedien, doch es stellte sich heraus, dass die letzte Sicherungskopie vom November 2023 datierte – wichtige Daten und Dokumente waren seitdem nicht gesichert worden.

Die Lösung suchte sie anschließende gemeinsam mit ihrem IT-Dienstleister, indem sie sich für den Besuch bei einem auf Datenrettung spezialisierten Unternehmen in Köln entschloss. Glücklicherweise gelang die Datenwiederbeschaffung nach einigen Tagen, allerdings verursachte dies beträchtliche Kosten im vierstelligen Bereich. Die geretteten Rohdaten wurden schließlich in ein neues System mit Windows 11 Professional überführt, was die vollständige Wiederherstellung des PVS inklusive Patientendaten nach rund zwei Wochen ohne funktionsfähigen Computer ermöglichte.

Beschreibung der Schwachstelle

Bei dem Vorfall kamen hauptsächlich zwei erhebliche Mängel zum Vorschein: Erstens, der Einsatz eines technisch veralteten Computermodells von 2012, was nicht mehr Stand der Technik war und das Fehlen von Wartungsarbeiten an diesem System über mehrere Jahre. Zweitens gab es eine Vernachlässigung der Datensicherung, was zum Verlust neuerer Daten führte, da das aktuellste Backup aus dem November 2023 stammte.  Weiterhin mangelte es an einer Backupstrategie, sowie der Überprüfung der Wiederherstellbarkeit der eigenen Dateien.

Auswirkung und Ausnutzung der Schwachstelle

Sollte bei einem technischen Defekt des Praxiscomputers ein Wiederherstellen von Daten aus einem zuvor erstellten Backup notwendig werden, ist es erforderlich, dass aktuelle und funktionsfähige Backups auf lokalen Backupmedien vorhanden sind. Im Worst Case sind diese Backups nicht vorhanden, unvollständig, nicht funktionsfähig bzw. die Integrität nicht gewährleistet.

• Potenzieller Schaden: Kritisch

Angriffsvektor

• Vorbedingungen: Wiederherstellung aus Backup erforderlich
• Angriffspfad: Keiner
• Wahrscheinlichster Angreifer: Trifft nicht zu.
• Angriffskomplexität: Einfach

Mögliche abmildernde Maßnahmen

• Beschreibung: Es ist erforderlich, dass eine zuvor erstellte Backupstrategie alle wichtigen Daten mit einbezieht, technisch umgesetzt, regelmäßig durchgeführt und die Wiederherstellbarkeit von Daten in gewissen Zeitabständen getestet wird.
• Kostenabschätzung: Backup-Lösungen & -Funktionstest verursachen in der Regel einen geringen Kostenaufwand.
• Verbleibendes Restrisiko: Das Restrisiko ist gering

Weitere Vorfallbearbeitung

• Der Vorfall wird protokolliert (interne Dokumentationspflicht nach Art. 33 Abs. 5 Datenschutzgrundverordnung).
• Wenn durch den Vorfall die Verfügbarkeit personenbezogener Daten (in diesem Fall Patientendaten) beeinträchtigt ist, handelt es sich um eine Datenpanne gemäß Art. 4 Nr. 12 DSGVO, die auch den Verlust der Verfügbarkeit von Daten umfasst. Es gilt zu prüfen, ob eine Meldung an die Landesdatenschutzbehörde nach der Meldepflicht gemäß Art. 33 DSGVO innerhalb von 72 Stunden erfolgen muss, wenn durch den Vorfall einer defekten Festplatte keine Daten für die Behandlung von Patienten zur Verfügung stehen.
• Bei der Übergabe eines Datenträgers an einen Datenrettungslabor zwecks Analyse oder Datenrettung ist in der Regel eine Auftragsdatenverarbeitungsvereinbarung (ADV) gemäß Art. 28 DSGVO erforderlich. Diese Vereinbarung ist notwendig, wenn ein Datenrettungslabor beauftragt wird, eine defekte Festplatte zu reparieren und dabei Zugriff auf personenbezogene Daten haben kann.