Skip to main content

Hat es sich ausgefaxt?

Gastbeitrag von HDI MedLetter März 2022

Im Alltag erleben wir regelmäßig, dass neben den üblichen Kommunikationsgeräten und Kommunikationsarten wie Telefon und E-Mail noch immer auch das Faxgerät seine Stellung halten konnte. In der Praxis ist das Fax gerade im Gesundheitswesen, aber auch in Kanzleien oder Behörden nach wie vor weit verbreitet.

Was sind die Schutzziele der Datenschutz-Grundverordnung (DSGVO) und in welcher Verbindung stehen diese mit dem Faxgerät?

Zu den Hauptschutzzielen der DSGVO Artikel 5 gehören als Säulen:

  • die Vertraulichkeit (unberechtigte Offenlegung),
  • Integrität (Wahrung der Richtigkeit) und
  • Verfügbarkeit (Zugriff definierter Personenkreis).

Diese Punkte werden erneut in Artikel 32 behandelt. In diesem Artikel geht es um die Sicherheit der Verarbeitung von personenbezogenen Daten. Weiter wird das Schutzziel der Belastbarkeit der informationsverarbeitenden Systeme genannt.

Neben diesen Hauptzielen sind weitere wichtige Ziele zu berücksichtigen wie Authentizität, Verbindlichkeit bzw. Nichtabstreitbarkeit, Zurechenbarkeit und Anonymität. Diese Ziele sind Bestandteile des Grundschutzkatalogs des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Beim Versand einer Nachricht mit personenbezogenen oder personenbeziehbaren Daten (pbD) über ein Faxgerät kann das Schutzziel der Vertraulichkeit nicht sichergestellt werden. Der Grund hierfür ist der Empfänger. Der Sender einer Information kann nicht wissen, konkret, er kann nicht sicherstellen, welche Technik auf der Empfängerseite eingesetzt wird.

So kann dies beispielsweise ein Faxgerät im Empfangsbereich sein und der Auswurf für jeden ersichtlich oder ein virtueller Fax-Server, welcher die Eingänge zu einer E-Mail konvertiert und dann unverschlüsselt an eine x-beliebige Empfänger-Mail-Adresse weiterleitet.

Was bedeutet dies für die Nutzung des Faxgeräts?

In einer von der Bitkom durchgeführten und veröffentlichten Studie (Business Communication Solutions, BCS) wird deutlich, dass sich das Fax auf einem absteigenden Trend befindet. So gibt die Studie wieder, dass die „häufige“ und „sehr häufige“ Nutzung von Faxgeräten seit 2017 von 79 % auf 43 % in 2021 gesunken ist. Dies lässt uns vermuten, dass es weiter an Beliebtheit verlieren wird und perspektivisch nur noch weniger häufig zum Einsatz kommen wird. Aus gutem Grund, denn die Wahrung der Sicherheit von personenbezogenen Daten ist in unser aller Interesse.

So haben bereits Datenschutzbehörden ihre Bedenken gegenüber dem Einsatz eines Faxgeräts geäußert. Die wirtschaftliche Praxis erkennt aber auch den historisch gewachsenen Nutzen und Einsatz. Unter Umständen kommt es aber auch darauf an, wer der Empfänger der Nachricht mit personenbezogenen oder personenbeziehbaren Daten ist. Es ist daher entscheidend, ob es bekannte Empfänger mit geeignetem Schutzniveau sind, welche via Fax personenbezogene Daten beziehen können.

Es gilt, viele weitere wichtige Einzelheiten zu berücksichtigen analog der eingangs erwähnten Schutzziele. Es ist wie bereits beschrieben in Abhängigkeit vom Sicherheitsniveau des Empfängers zu bewerten.

Gibt es Alternativen?

Ja, durchaus kann als Ersatz für den Faxversand eine Ende-zu-Ende(E2E)-verschlüsselte E-Mail verwendet werden. Zur Vergleichbarkeit würde ein Fax dem Niveau einer unverschlüsselten E-Mail entsprechen. Die E2E-Verschlüsselung funktioniert wie ein Schlüssel-Schloss-Prinzip, welches zu einer hohen Sicherheit beiträgt, da die Information nur vom Empfänger entschlüsselt werden kann. Nur dieser hat den Schlüssel hierzu.

Die Praxis zeigt, dass das Fax weiterhin in vielen Fällen als Medium eingesetzt wird. Getreu dem Motto „never change a running system“ existiert auf der Anwenderseite augenscheinlich kein Problem. Dieser Schein trügt, denn die Sicherheit personenbezogener Daten hat hohe Priorität. Wie der Empfänger einer Nachricht aufgestellt ist, kann der Versender nicht bestimmen.

Gibt es noch andere Aspekte, die es zu beachten gilt?

Der Versand einer Nachricht ohne personenbezogene Daten kann fortführend über diesen analogen Kanal durchgeführt werden. In Anbetracht des Datenschutzes sollte der Versand von Nachrichten mit personenbezogenen Daten über diesen Kanal eingestellt werden, zumal man im Arztkontext größtenteils von personenbezogenen Daten ausgehen kann.

Aus IT-Sicherheitssicht entlarvt sich das Faxgerät nicht nur als Problemkind des Datenschutzes, sondern auch – aber auch nicht wesentlich seltener der Drucker – als beliebtes Einfallstor für gezielte, aber auch ungezielte Cyberangriffe von außerhalb. Ein beliebter Weg, dieses informationsverarbeitende Gerät als Einstieg zu missbrauchen, ist die häufige Verwendung von Initial- oder Werkseinstellungspasswörtern. Diese gilt es immer zügig zu ändern.

Fazit

Schlussendlich bleibt unter Berücksichtigung der Anfälligkeit für Sicherheitslücken und den möglichen Datenschutzverstößen, hervorgerufen durch den potenziell mangelbehafteten Sicherheitsstandard der Empfängerseite, festzuhalten, dass vorzugsweise eine verschlüsselte E-Mail als Kommunikationsweg eingesetzt werden sollte.

Autor:
Sönke Glanz, HDI Produktmanagement, Underwriter Cyber

© HDI Versicherung AG - Medletter
www.hdi.de

Startseite - Tausend.Praxis.News
Anmelden - Tausend.Praxis.News