PVS-Backup: Die 3-2-1-Regel auf die Arztpraxis übertragen

Die 3-2-1-Regel auf eine Praxis übertragen

Die 3-2-1-Regel kommt aus der professionellen IT-Sicherheit und ist einfach genug, um sie in jeder Praxis umzusetzen. Sie lautet: drei Kopien der Daten, auf zwei unterschiedlichen Medien, davon eine außerhalb des Praxisgebäudes.

Auf eine typische Arztpraxis übertragen sieht das so aus:

Kopie 1: Die Produktivdaten auf dem Praxis-Server. Das ist keine Backup-Kopie, sondern die Live-Datenbank. Sie ist trotzdem Teil der Drei.

Kopie 2: Tägliche automatisierte Sicherung auf ein NAS (Network Attached Storage) im Praxisgebäude. Das NAS steht idealerweise in einem anderen Raum als der Server, damit ein lokaler Schaden (Überspannung, Wasserschaden in einem Raum) nicht beide trifft.

Kopie 3: Verschlüsseltes Offsite-Backup. Entweder eine externe Festplatte, die täglich oder wöchentlich ausgetauscht und außer Haus gebracht wird, oder ein automatisiertes Cloud-Backup bei einem DSGVO-konformen Anbieter.

Quelle: BSI IT-Grundschutz-KompendiumBSI IT-Grundschutz: Baustein CON.3 Datensicherungskonzept.

Welche Daten überhaupt gesichert werden müssen

Nicht alle Daten im Praxisnetz haben dasselbe Gewicht. Priorität haben:

PVS-Datenbank. Das Herzstück. Alle Patientenstammdaten, Karteikarten-Einträge, Abrechnungsdaten und Verlaufsdokumentationen. Bei Medistar ist das eine SQL-Datenbank im Standardformat. Bei Turbomed und Isynet ebenso. Bei Z1 liegt die Datenbank je nach Version im eigenen Format vor. Der Backup-Job muss auf das konkrete Datenbankformat abgestimmt sein, eine einfache Dateikopie des Datenbankordners reicht nicht.

Konfigurationsdateien und Einstellungen. Wenn der Server ausfällt, müssen Drucker, Kartenleser, KIM-Verbindung und TI-Einstellungen wiederhergestellt werden. Ohne gesicherte Konfigurationsdateien dauert das Stunden.

Scan-Anhänge und Dokumentenarchiv. Alle einscannten Befunde, Briefe und Formulare, die als Datei im PVS hinterlegt sind. Je nach Praxis summiert sich das auf Gigabytes. Diese Dateien müssen explizit in den Backup-Job aufgenommen werden, das PVS-Datenbank-Backup schließt sie nicht immer automatisch ein.

E-Mails und KIM-Postfach. Wenn das KIM-Client-Modul lokal Mails zwischenspeichert, gehört dieser Ordner ebenfalls ins Backup.

Lokale vs Cloud-Backups

Beide Varianten haben ihren Platz in einer sinnvollen Strategie. Es ist kein Entweder-oder.

Das lokale Backup auf einem NAS ist die schnelle Wiederherstellungslösung. Wenn eine Datei versehentlich gelöscht wird oder eine Datenbank korrupt ist, dauert die Wiederherstellung aus dem lokalen NAS typischerweise Minuten bis zu einer Stunde. Das Cloud-Backup braucht je nach Datenmenge und Verbindungsgeschwindigkeit Stunden.

Das Cloud-Backup schützt gegen Szenarien, gegen die lokale Backups nichts nützen: Brand, Einbruch mit Diebstahl, Wasserschaden. Es ist die Absicherung für den schlimmsten Fall, nicht für den häufigen Fall.

Cloud-Backup-Anbieter, die für Praxen in Frage kommen, müssen folgende Voraussetzungen erfüllen: Server-Standort in der EU, Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, Ende-zu-Ende-Verschlüsselung, nachweisbare Zugriffsprotokollierung. Anbieter wie Veeam Cloud Connect, Acronis mit EU-Rechenzentrum oder Microsoft Azure Backup (in deutschen Rechenzentren) erfüllen diese Kriterien, wenn sie korrekt konfiguriert werden.

Kosten für Cloud-Backup: typischerweise 30 bis 80 Euro monatlich je nach gesichertem Datenvolumen und Anbieter.

Backup-Test als Pflichtroutine

Ein Backup, das nie getestet wurde, ist kein Backup. Das ist kein Aphorismus, sondern eine Erfahrung aus dem Alltag: defekte Backup-Jobs, die niemand bemerkt hat, weil nie jemand nachgeschaut hat ob die Sicherung auch lesbar ist.

Die KBV-IT-Sicherheitsrichtlinie nach §75b fordert dokumentierte Wiederherstellungstests. Das bedeutet: mindestens einmal pro Quartal muss nachgewiesen werden, dass die Daten aus dem Backup tatsächlich wiederhergestellt werden können.

1. 1
   Backup auswählen
   Ein Backup aus der vergangenen Woche auswählen. Nicht das letzte Backup testen, sondern eines, das ein paar Tage alt ist. So prüft man, ob auch ältere Sicherungen lesbar sind.
2. 2
   Testwiederherstellung in separater Umgebung
   Die Daten in eine separate Testumgebung wiederherstellen, nicht auf dem Produktivsystem. Das kann ein isolierter virtueller Rechner sein oder ein Testordner auf einem nicht-produktiven Rechner.
3. 3
   Datenintegrität prüfen
   PVS starten und prüfen, ob Patientendaten lesbar und vollständig sind. Stichprobenweise Datensätze vergleichen: Stimmt der letzte Eintrag des gewählten Backup-Datums mit den Originaldaten überein?
4. 4
   Test dokumentieren
   Datum, Ergebnis und wer den Test durchgeführt hat in die §75b-Dokumentation eintragen. Bei Fehlern: Ursache analysieren und Backup-Konfiguration korrigieren, dann Test wiederholen.

Verschlüsselung und DSGVO

Jedes Backup, das den Server verlässt, ob auf eine externe Festplatte oder in die Cloud, muss verschlüsselt sein. Das ist keine Empfehlung, sondern eine Pflicht aus der DSGVO.

Die Verschlüsselung muss vor dem Transfer stattfinden. Es reicht nicht, die externe Festplatte mit einem Windows-Passwort zu schützen. Gefordert ist eine starke Verschlüsselung, in der Praxis mindestens AES-256.

Gängige Backup-Software wie Veeam, Acronis oder Windows Server Backup bietet Verschlüsselung als Einstellungsoption. Diese muss explizit aktiviert werden. Wer das seinem IT-Dienstleister überlässt, sollte sich schriftlich bestätigen lassen, dass die Verschlüsselung aktiv ist.

Für Cloud-Backups muss zusätzlich ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO mit dem Cloud-Anbieter abgeschlossen sein. Ohne AVV ist die Nutzung eines Cloud-Backup-Dienstes für Patientendaten unzulässig, auch wenn die Daten verschlüsselt übertragen werden.

Quelle: Verordnung (EU) 2016/679 (DSGVO)Verordnung (EU) 2016/679, Art. 28: Auftragsverarbeiter.

Quelle: KBV IT-Sicherheitsrichtlinie (§75b SGB V)KBV IT-Sicherheitsrichtlinie: Anforderungen an Datensicherung und Verschlüsselung.