DIGITALES MAGAZIN
022 | Mai 2023
12/27
HERSTELLER

HERSTELLER

ES KANN JEDEN TREFFEN

Von Dennis Kraus / Fotos: Screenshot, Sonova, Maike Hilbert

ES KANN JEDEN TREFFEN

Mit dem Ende März abgehaltenen Expertentalk hat HANSATON einmal mehr die Bestrebungen unterstrichen, nicht nur Lieferant sondern auch Business Supporter sein zu wollen. So stellte Anna-Lena Schultz zu dem Termin nicht etwa neue Geräte vor. Vielmehr hatte sich die Leiterin der Audiologie bei HANSATON zwei Gäste eingeladen, um mit ihnen über Datenschutz und Datensicherheit zu sprechen. Ein erhellendes Gespräch zu einem wichtigen Thema. 

Bequem vorlesen lassen:

Die Aktualität lag auf der Hand. Cyberangriffe nehmen immer weiter zu, und ins Visier der Angreifer geraten längst nicht mehr nur große, global tätige Konzerne. Auch kleine Unternehmen, ja selbst Privathaushalte erleben immer wieder Angriffe auf ihre Netzwerke. Wie man sich davor schützen kann und was das Thema insgesamt beinhaltet, darüber sprach Anna-Lena Schultz anlässlich des jüngsten, live abgehaltenen HANSATON-Expertentalks mit Sven Blumenstiel, Vice President Group IT, Sonova AG, und Florian Haedge, Geschäftsführer der ipn-Software GmbH.

Die Wahl der Gesprächspartner an jenem Dienstag Ende März war wohl getroffen. Mit Sven Blumenstiel hatte man einen Repräsentanten des global tätigen Mutterkonzerns eingeladen, bei dem nicht nur große Teile der internen Kommunikation digital ablaufen. Als Hersteller von Hörgeräten, Cochlea-Implantaten und entsprechendem Zubehör sowie als Anbieter von Anpasssoftware und Apps hat die Sonova auch produktseitig vieles im Portfolio, für was Datenschutz und -sicherheit äußerst relevant ist. Mit Florian Haedge hatte man dazu einen zweiten Gesprächspartner gewinnen können, der mit vielen digitalen Anwendungen in den Hörakustikfachgeschäften bestens vertraut ist, nicht zuletzt, weil AkuWin, das Flaggschiff-Produkt der ipn-Software GmbH, in vielen Betrieben als ERP-System genutzt wird. Datenschutz und -sicherheit spielen für ihn also von Haus aus eine zentrale Rolle. 

Zwei Paar Schuhe: Datenschutz und Datensicherheit

Zunächst werden die beiden für den Expertentalk wichtigsten Begriffe geklärt, denn Datenschutz und Datensicherheit meinen bei weitem nicht dasselbe. »Datensicherheit beinhaltet im Wesentlichen technische Aspekte«, erklärt Florian Haedge. So gehe es hierbei um den Schutz der Informationssysteme und um die Gewährleistung von deren Verfügbarkeit und Integrität. Mit der Datensicherheit werde gewissermaßen »die technische Sicherheit für die Vertraulichkeit von Daten hergestellt«, so der ipn-Geschäftsführer. Datensicherheit meint also den Schutz der technischen Systeme, mit denen Daten erhoben, verarbeitet und gespeichert werden. Damit ist sie die Voraussetzung für Datenschutz. Und bei dem geht es wiederum um den Umgang mit personenbezogenen und damit besonders schützenswerten Daten.

Ergänzend betont Sven Blumenstiel, wie gefährlich die Einstellung sein kann, zu glauben, man selbst wäre zu wenig von Bedeutung, als dass sich potenzielle Angreifer für einen interessieren können. »Man muss ganz klar sagen, dass heute niemand mehr davon ausgenommen ist«, so der IT-Experte der Sonova. Die Suche nach Schwachstellen laufe längst automatisiert. Die Vorstellung, dass irgendwo ein Hacker sitzt und sich denkt, Hörakustik Kraus mit seinen drei Mitarbeitenden sei wohl kaum ein lohnenswertes Ziel, kann man also getrost als romantische Fehleinschätzung sehen. Im Darknet jedenfalls würden längst auch Gesundheitsdaten gehandelt. Diese könnten unter Umständen für Betrugsversuche genutzt werden, darüber hinaus ließen sich damit die Unternehmen erpressen, denen die Daten gestohlen wurden. Von der Verletzung der Privatsphäre der Betroffenen ganz zu schweigen …

Was man tun kann

Zu den empfohlenen Schutzmaßnahmen zählt weiterhin eine stetig aktuell gehaltene Schutzsoftware wie etwa ein Virenscanner, der auf allen Rechnern im Netzwerk laufen sollte. Dazu kommt die Firewall, um den Internetzugang abzusichern. Des Weiteren rät Sven Blumenstiel, die Betriebssysteme sowie die weitere Software im Betrieb stets auf dem aktuellsten Stand zu halten. Gleichzeitig sei es aber auch ratsam, sich auf den Ernstfall zumindest vorzubereiten. Zu der Vorbereitung zählen zum Beispiel mehrere, auch weiter in der Zeit zurückreichende Back-ups, schließlich kann eine Schadsoftware länger unentdeckt bleiben, bis sie mit einem Mal ihre Wirkung entfaltet. Das Back-up vom Vortag allein reiche also nicht aus, so Blumenstiel. Oftmals müsse man in der Zeit etwas weiter zurück. Zudem empfiehlt der IT-Experte der Sonova, Betriebspläne für den Notfall zu erstellen, so dass man bei einem Ausfall der Technik zumindest ein »Rumpfgeschäft« weiter aufrechterhalten kann. Dazu gehört auch, einen von der eigenen IT unabhängigen Kommunikationskanal aufzusetzen, und sei es eine profane WhatsApp-Gruppe.

Nicht außer Acht zu lassen sei außerdem der Faktor Mensch. »Man schätzt, dass etwa bei der Hälfte der Cyber-Attacken der Faktor Mensch eine entscheidende Rolle spielt«, so Blumenstiel. Eine »gesunde Vorsicht« etwa im Umgang mit eingehenden Mails und zum Beispiel darin enthaltenden Links und Anhängen ist also ebenso geboten, um nicht den ebenfalls immer besser werdenden Phishing-Mails zum Opfer zu fallen. Bei der Sonova etwa, berichtet Anna-Lena Schultz, würde daher längst immer mal wieder die Sensibilität der Belegschaft für eben diese immer echter wirkenden Betrugsversuche getestet. Dabei gehe es um eine Kombination verschiedener Merkmale solcher Mails, die man als Nutzerin respektive Nutzer kennen sollte, ergänzt Sven Blumenstiel.

Der Umgang mit sensiblen Daten im Betriebsalltag

Dass im Betriebsalltag viele personenbezogene Gesundheitsdaten erhoben, verarbeitet und gespeichert werden, macht das Thema Datenschutz in der Hörakustik besonders relevant. Gleichzeitig zähle der Datenschutz »oftmals nicht zu den beliebtesten Themen«, so Florian Haedge. In der Folge zeigt der ipn-Geschäftsführer auf, wann im Versorgungsprozess welche personenbezogenen Gesundheitsdaten erfasst werden. Diese Prozesse zählen im Grunde zum Alltagsgeschäft in den Betrieben, sagt Haedge. Habe man diese Szenarien für sich erfasst und dafür gesorgt, dass immer nur die Daten des Kunden, der gerade vor einem sitzt, sichtbar sind, habe man »schon viel für den Datenschutz getan«. 

Als unabdingbar hebt Florian Haedge außerdem hervor, die Zustimmung des Kunden für das Speichern und Verarbeiten der Daten einzuholen, die während der Versorgung anfallen. ERP-Systeme wie AkuWin halten hierfür entsprechende Blätter bereit, auch für das Data Logging. »Dafür haben Verwaltungsprogramme in der Regel ein gesondertes Dokument, das den Kunden darüber aufklärt, was Data Logging genau ist, wie man mit den Daten umgeht und wie die verarbeitet werden«, erklärt Haedge und fügt an, dass ein Kunde auch hierzu seine Erlaubnis erteilen muss. 

Andersherum können und dürfen Kunden natürlich auch die Frage stellen, welche Daten man von ihnen erhebt und verarbeitet. Für Florian Haedge ist das kein Grund, nervös zu werden. Wichtig sei hier allerdings zunächst, dass man den Kunden zweifelsfrei identifizieren könne, zum Beispiel mit einer »Sicherheitsfrage« nach dessen Geburtsdatum, Wohnort oder einer Besonderheit, die nur der Kunde und man selbst wisse. Das könnte man im Alltag »sehr gut hinbekommen«, so Haedge. Im nächsten Schritt gelte es dann, zu überprüfen, welche Daten, für die man selbst verantwortlich ist, man zu dem entsprechenden Kunden hat. In der Regel erfolgt auch das über die Verwaltungssoftware. Das ERP-System »gibt mir hierzu also alle Materialien und Prozesse an die Hand, um den Datenschutz sicherzustellen«, so Florian Haedge. 

Wünscht ein Kunde, dass die Daten zu ihm gelöscht werden, etwa, weil er seinen Akustiker wechselt, sei abermals im ersten Schritt festzustellen, dass die Person, die sich an einen wendet, auch die ist, um deren Daten es geht. Im zweiten Schritt schaut man, welche Daten im eigenen Verantwortungsbereich liegen und ob man diese löschen kann. Einige Daten wie zum Beispiel Rechnungen unterliegen hier ja einer Aufbewahrungspflicht. Erst, wenn diese Pflicht abgelaufen ist, darf man die Daten löschen. Allerdings gebe es in diesem Kontext auch die Möglichkeit, einige der Daten zu anonymisieren. Auch hier könne man sich, sagt Florian Haedge, an seine Verwaltungssoftware halten.

Darüber hinaus empfiehlt Florian Haedge, auch mal einen Schritt zurück zu machen und aus der Ferne zu betrachten, wie man als Betrieb digital aufgestellt ist. Auch auf die Website seines Unternehmens sollte man dabei blicken sowie auf den Host, der ja auch mal Datenverarbeitungsaufgaben übernimmt. Hier gelte es ebenso, sicherzustellen, dass nur berechtigte Nutzer Zugriff auf die Daten haben. Um das Thema außerdem auch mal praktisch zu betrachten, rät Florian Haedge, diese Prozesse mit einer Kollegin oder einem Kollegen einmal selbst zu durchlaufen. Das schaffe nicht nur eine Sensibilisierung, sondern zeige auch eventuelle Schwachstellen auf.

Bietet man außerdem seiner Kundschaft WLAN an, sollte dies über einen Zugang erfolgen, der nicht derselbe ist wie der zu dem Netz, in dem die internen Prozesse des Betriebes ablaufen. Dafür brauche man, so Sven Blumenstiel, nicht mal einen zweiten Router. Ein sogenanntes virtuelles WLAN mit einem eigenen Zugang könne schon reichen. Aktuelle Router böten diese Option bereits an. Und natürlich sollte man von Zeit zu Zeit das Passwort des Kunden-WLANs ändern.

Ausblick

Im Anschluss an das Gespräch mit Anna-Lena Schultz beantworten Sven Blumenstiel und Florian Haedge Fragen der User. Einer möchte zum Beispiel wissen, ob Branchensoftware künftig auch kompatibel zu Linux oder OS von Apple sein werde. Aktuell laufen die allermeisten Softwares ja ausschließlich auf Microsoft Windows. 

Die Herausforderung sei hier, dass Anpasssoftware aber auch Systeme wie NOAH an Windows gebunden seien. Und für die Hersteller sei es ein »nicht unerheblicher Aufwand«, ihre Software auch für Linux oder Mac OS anzubieten, erklärt Sven Blumenstiel. Zumal im Geschäftsumfeld Windows weiterhin das dominierende Betriebssystem ist. Dennoch wünsche man sich, irgendwann unabhängig zu werden von nur einem Betriebssystem, ergänzt Florian Haedge. Bis es soweit ist, werden aber noch viele Jahre vergehen, schätzt der Geschäftsführer der ipn-Software GmbH. Dass NOAH nun aber auch als Webservice bereitgestellt werde, könne man allerdings als einen ersten Schritt hin in Richtung Unabhängigkeit mit Blick auf die Betriebssysteme werten. Der Weg dahin werde aber noch ein weiter sein.