Hallo liebes Forum,

ich versuche hier mal mein Glück.

Ein NAS habe ich bislang nur Offline benutzt um meine Bilder-Rohdaten und Backups zu speichern.

Nach dem Zusammenzug mit Freundin (Ärztin) soll dieses NAS etwas aufgemotzt werden.
Wie sieht ihr die Sicherheit der kleinen Kisten? Ist es vertretbar, dort Patientendaten zu speichern?

Welche Firma bietet die beste Sicherheit an? Bislang war mein NAS ein WD MyCloud EX2 damit bin ich gut gefahren, reicht dort ein einfaches Upgrade der Platten?
Vielen Dank,
Taddy

Wahrscheinlich läuft auf diesen Kisten ein uralter Linux-Kernel gepaart mit einem noch älteren Busybox. Also eher ungeeignet.

Trennt am besten strikt private und geschäftliche Daten. „Strikt“ heißt in dem Sinne dedizierte Hardware, die nicht in eurem privaten Netzwerk läuft. Wahrscheinlich bedeutet das praktisch einen Laptop und ein NAS nur für den Zweck. Das Stichwort „Airgap“ dürfte euch interessieren. Benutzt für beides Vollverschlüsselung. Sichere Passwörter lassen sich leicht mit Diceware generieren.

Ansonsten würde ich auch nicht auf Meinungen aus einem Hardware-Forum vertrauen und einen Experten befragen. Wahrscheinlich wird es da rechtliche Hürden geben.

Wahrscheinlich wird es da rechtliche Hürden geben.Bei Patientendaten auf jeden Fall.
Schon die Zugriffsmöglichkeit durch den Mitbewohner/Freund ist rechtlich in der Regel nicht zulässig.

mfg

https://www.heise.de/security/meldung/Sicherheitspatch-Western-Digital-My-Cloud-Mirror-empfaenglich-fuer-Schadcode-3606909.html

Auch wenn WD jetzt patched, kann ich nur von abraten Fix-und-Fertig-NAS fürs Internet zu öffnen. Bei dem letzten NAS von WD, welches ich eingerichtet hatte, liefen sogar die ganzen Daten über WD-Server, da man sich wohl so das Port-Öffnen/Weiterleiten in den Routern sparen wollte (war nämlich nicht nötig).

Wenn man dann auch noch vor hat, Patientendaten auf dem NAS (und damit auch auf den WD-Servern, die sonstwo stehen könnten) abzuladen, gibt es auch noch Probleme mit dem Datenschutz und der Verschwiegenheitspflicht.

Wenn es unabdingbar ist, medizinische Daten auch aus dem Internet erreichbar zu machen, dann nur über eine Firewall mit DMZ (in dem sich das NAS oder ein Reverse-Proxy befindet) und einer auf aktuellen Stand befindlichen VPN-Verbindung (also z.B. kein PPTP, was mal mit Windows95! eingeführt wurde), welche Zeitpunkt und Benutzer-Logins protokolliert (die Protokollierung muss den Nutzern der VPN-Verbindung auch mitgeteilt werden).

Nach dem Zusammenzug mit Freundin (Ärztin) soll dieses NAS etwas aufgemotzt werden.
Wie sieht ihr die Sicherheit der kleinen Kisten? Ist es vertretbar, dort Patientendaten zu speichern?

Zu den Anforderungen an den Datenschutz im ärztlichen Umfeld ist das hier ein guter Einstieg: http://www.it-recht-kanzlei.de/arztpraxis-datenschutz-itsysteme.html
Grüße: Perry