Externes Backup via MS365 (Onedrive)

Question

Seit MS365 datenschutzkonform die Server und D stehen hat und eine ordentliche AVV anbietet, kann man auch Backups von Tomedo in den Tresor ablegen.Da Onedrive ein lokales Laufwerk bereitstellt, welches dann mit der Cloud synchronisiert wird, klappt as auch mit dem Tomedoserver .... nur ...

Ondrive hat Restriktionen bei den Ordner- / Dateinamen: https://support.microsoft.com/de-de/office/onedrive-kann-dateien-mit-ungültigen-zeichen-umbenennen-99333564-c2ed-4e78-8936-7c773e958881

Das Backup beinhaltet aber 7 Dateien, die dem nicht entsprechen. Z.B.: Icon/ Duplizieren.pdf

Kann Tomedo dafür eine Lösung anbieten? Z.B. im nächsten Release die Dateinamen anpassen?

 

Danke und Grüße

Comments

Ich würde aus Prinzip niemandem extern meine Daten anvertrauen ...

Natürlich haben Sie das nicht gefragt, aber musste ich einfach mal anmerken. Man sieht gerade aktuell, was passieren kann wenn man IT-Pflege extern verlagert hat ...

---

nein, das habe ich in der Tat nicht gefragt

Answer 1

Das mit den Dateinamen habe ich auch angemerkt da sind files mit ellenlangen Dateinamen im Backup bei denen Backupprogramme Fehler melden. Wichtig wäre, dass Tomedo das Backup packt und verschlüsselt dann sind auch die Dateinamen egal. Dann kann es auch zu Onedrive. Haben sie das  schriftlich, dass Onedrive jetzt DSGVO und GOBD konform ist und die Server in D liegen? Sehr interessant auch jeden Fall und günstig wenn es geht. Von mir ein +1!

Können wir ein Screenshot haben wie das in den Servertools aussieht?

Comments

Die Variante fände ich auch traumhaft, das hin- und her-Geschleppe der Festplatten ist genauso nervig wie die Tatsache, dass trotz allem immer mal wieder die falsche Festplatte am falschen Ort ist... Zollsoft, übernehmen Sie! ;-)

Answer 2

Danke für die Anregung.

Wir werden das Thema intern besprechen.

 

Viele Grüße

Comments

Ich "hänge" mich mal hier in die Diskussion, um das Interesse an dem Thema zu unterstreichen. Ich habe in der Vergangenheit SpiderOak zur kompletten Datensicherung genutzt, dies aufgrund der DSGVO aber nun seit einiger Zeit auf Nicht-Patientendaten reduzieren müssen. Wenn es über Office365 nun tatsächlich eine bezahlbare Lösung gäbe, die derzeit nur am Dateinamen scheitert, dann sollte hier schnell eine Lösung gefunden werden. SSDs hin und her schleppen nervt mächtig gewaltig...

Answer 3

MS365 bietet nur im Business - Tarif die Option DS-GVO-konform mit Servern in D an. Der private bzw. persönliche Account nutzt nichts.

Hinsichtlich der Sicherheit wird man mit MS365 deutlich besser fahren, als die Dateien selber zu speichern. Auch wenn Tomedo und der MAC-Server bestimmte Sicherheiten bietet, so wird diese durch das offene Backup (gerade die Dateien sind unverschlüsselt - also alle Briefe, Befunde usw.) wieder ausgehebelt. Nahezu Jeder der Zugang zum Netzwerk hat und das Backup auf einer (nicht abgesicherten) Festplatte findet, kommt an die Daten heran. Da Tomedo auch immer Internetzugang benötigt, ist es exponiert und müsste mittels harter Sicherheitsfeatures geschützt werden. Die Fritzbox oder eine einfache Fiwewall, wie hier garantiert die meisten einsetzen hilft nur begrenzt. IntrusionDetection o.ä. wird wohl kaum hier eingesetzt.

Im Gegensatz dazu bietet MS mit den Anwendungen ein Höchstmaß an IT-Security, ein Level, welches wir mit unseren Systemen eher kaum erreichen können und wenn, dann nur mit allerhöchsten Aufwand.

Wichtig wäre hier, dass Tomedo die Dateiablage und vor allem das Baclkup richtig schützt. So wie es ist, ist es regelmäßig ein recht offenes Scheunentor und Sicherheitsfeatures werden nicht erzwungen.

Comments

Das kann man schon ohne M$ lösen Frau Krenski. Aktivieren sie Filevault und lassen sie es am Server durchlaufen, lassen sie ein CCC Backup laufen, starten sie dieses, starten se auch dort Filevault und lassen sie es auch dort durchlaufen und sie haben ein verschlüsseltes lokals Backup. ab dann ist jedes dieser CCC Backups verschlüsselt. Ihr System ist inkl. Backups auf Festplate recht hermetisch geschlossen. Installieren sie Tresorit auch dann haben sie ein externes verschlüsseltes Backup. Es kostet nur zusätzlich. Aufwand ist das nicht. Läuft bei mir seit Jahren vor sich hin, Solange es Apple erlaubt vom Backup zu starten.

Das Problem ist, mit welchem App wollen sie die Dateien verschlüsselt nach Onedrive bringen? Tresorit hat seine eigene App. Es muss packen, verschlüsseln wiederherstellen und auch Speicherverwaltung betreiben sonst läuft OneDrive über. Optimal wäre es wenn Zollsoft das erledigt aber die haben dazu keinen Bock. Ich glaube die haben ja selbst ein  Backupsystem mit einem teuren Kooperationspartner oder? Unverschlüsselt in den Servertools Onedrive als Ziel? Weiss nicht habe kein gutes Gefühl dabei vor allem weil es Micro$oft ist.

Haben sie einen Link zur DSGVO und GOBD Konformität der Business versio? Wegen Word/Excell habe ich die auch.

Answer 4

Ich würde das Thema gerne warmhalten da viele von uns Exchange 365 wegen Email und Word/Excel haben und die Lösung günstig wäre.

- wo kann ich nachlesen, dass die Server wirklich im EU Raum oder sogar in D stehen?

- ist die Übertragung verschlüsselt wovon ich ausgehe?

- lässt sich OneDrive auf ein externes Laufwerk verschieben? Ich habe intern keinen Platz für ein weiteres volles Backup über Monate.

- kann Zollsoft das Dateinamen Problem im Backup angehen. Zu lange Dateinamen und Umlaute lassen sich doch sicher verhindern und ändern damit Dateien problemlos kopiert werden können?

Comments

Ich würde mich direkt an Microsoft wenden.

---

Bis auf den letzten Punkt werde ich das tun müssen. Ich dachte Frau Krenski hat da was zum lesen gefunden.

Answer 5

Gibt es zu diesem Thema Neuigkeiten? Wir sind auch an einer entsprechenden Lösung interessiert (Fix der Dateinahmenproblematik und vor allem Erstellung eines verschlüsselten Backups).

Comments

Ich habe neulich von LuckyCloud erfahren. Offenbar eine komplett deutsche Lösung. Hat jemand dazu eine Meinung?

---

Christian Klaproth benutzt das glaube ich. Kostet aber wieder M$ wäre umsonst wenn man Word und Exchange bei denen hat.

---

Wir benutzen Luckycloud seit über einem Jahr. Wir haben über Lack iCloud eine NAS Bezogen, die Preise hängen hier von der gewünschten Speichergröße ab. Dann wurde dort die Software installiert und synchronisiert alle Sachen von uns in unserer Praxis: Tomedo, aber auch alle privaten Ordner, zum einen Dokumente nur für Ärzte und zum anderen einen Ordner mit Dokumenten nur für eingeschränkte Benutzer. Die einzige technische Schwierigkeit war unsere Röntgendaten (wir benutzen Aycan) zu synchronisieren, da hier die schiere Datenmenge und kleinteiligkeit kompliziert war. Hier konnte aber eine Lösung mit einem S3 Back-up gefunden werden.Der Preis kann einfach Ruhe Speichermenge online eingesehen werden, der Geschäftsführer Herr Mader ist sehr hilfsbereit.

---

Ja Luckycloud machen viele, wohl die beste Lösung bei einer grossen Praxis lohnt sich das, mir ist das zu teuer für ein Backup. Diese vielen Microausgaben 20 hier 20 da killen uns. Ich versuche es jetzt mal selbst auf NAS über ARQ.

Answer 6

Hiernach wäre ein Backup auf Onedrive möglich. Laut Microsoft sind die Server in D.

https://www.microsoft.com/de-de/microsoft-365/microsoft-365-local-datacenter.

Die Software ARQ7 scheint da recht geeignet dafür zu sein.

Comments

Leider ist, auch wenn die Daten in Deutschland von Microsoft gehostet werden, die Speicherung der Daten in Cloud von amerikanischen oder nicht-europäischen Anbietern durch die KBV IT Sicherheitsrichtlinie nicht erlaubt. Aufgrund des Cloud Act, an den Microsoft (als US Konzern) auch in Deutschland gebunden ist, kann trotzdem ein Abfluss der Daten in die USA und somit ausserhalb des Geltungsbereiches der DSGVO nicht verhindert werden. Wenn ein Cloudspeicher genutzt werden soll, dürfte dieser ausschließlich von europäischen Unternehmen mit entsprechender AVV erbracht werden, deren Rechenzentrum ausschließlich in Europa stehen. Sobald die Möglichkeit der Speicherung von Daten in andere außereuropäische Länder innerhalb des Konzerns möglich wird, wird es schwierig da hier (gerade bei den klassischen Cloudanbietern) nicht garantiert werden kann, dass diese nicht doch irgendwann zu Sicherungs- oder Redundanzzwecken an andere Standorte ausgelagert werden und somit in den Zugriffsbereich von ungewünschten Dritten kommen.

---

Und wenn die Daten verschlüsselt sind?

---

Leider ist für die KBV Richtilinie (und auch für die DSGVO) die Verschlüselung kein "Go" Kriterium. Da alleine die legale (durch den Cloud Act) Möglichkeit besteht, dass die Daten (auch in verschlüsselter Form) ausserhalb des definierten Rechtsraumes der DSGVO und des deutschen Datenschutzrechtes gelangen verhindert die Erlaubnis der Speicherung. Die Verschlüsselung würde hier den Zugriff nur erschweren aber nicht auf Ewigkeit verhindern.

---

Naja Microsoft scheint ja die Server genau aus diesem Grund in Deutschland zu haben. Warum schreiben sie denn sonst

Microsoft bietet Kunden den vollen Funktionsumfang und schützt die Datenbestände in Einklang mit deutschem und europäischem Recht. Durch die neuen Rechenzentren ist für die redundante Speicherung der Daten in Deutschland gesorgt.

 

Bei einem Deutschen anbieter können sie auch nicht sicherstellen, dass sie nicht doch die Daten billig in Alaska zwischenlagern. Nach dem was da bei Microsoft steht wäre ein Backup bei MS möglich. Der Anbieter Sitz oder US-Unternehmen ist meiner Meinung nach irrelevant. 

---

Das ist richtig, dass ein Anbieter seine Daten auch extern lagern kann. Hier muss sichergestellt sein, dass dies nicht geschieht (dies wird der Anbieter entsprechend versichern müssen). Die Krux an der Sache ist aber, dass Microsoft (auch wenn sie die Speicherung der Daten in Deutschland durchführen) auf Anordnung von amerikanischen Behörden jegliche Kundendaten (auch diese aus dem Ausland) aushändigen und in die USA überführen muss. Daran ist es als amerikanisches Unternehmen gebunden (via Cloud Act). Diese Ausnahme macht die Speicherung nicht mehr konform mit den Vorgaben für Daten nach KBV IT Sicherheitsrichtlinie. Sie können problemlos die Daten bei einem deutschen, spanischen oder niederländischen (oder beliebiger Anbeiter aus dem DSGVO Raum) Anbieter lagern, der Ihnen versichert dass die Daten die EU nicht verlassen. Anbieter hierfür gibt es in der EU genug, die solche Services anbieten. Leider sind diese nicht so günstig wie die großen drei as Übersee.

Auch wenn die Verlockung für die Speicherung in "günstigen" Cloudanbietern groß ist - am Ende steht man als Praxisinhaber immer an der Grenze zum Verstoß (oder darüber) und man ist vollumfänglich verantwortlich.

---

Welcher Anbieter versichert den schriftlich per Vertrag? Das ist so das Einzige was uns der Verantwortung enthebt.

---

Das kommt ganz auf den Anbieter an. Hier sind aber in Deutschland mindestens zwei oder drei Anbieter aktiv, die dies vertraglich garantieren. Normalerweise kann man bei allen Anbietern die Verträge vorab zur Prüfung erhalten und somit sich versichern, dass der Anbieter dies garantiert. LuckyCloud wurde hier meine ich bereits genannt. Ansonsten gibt es auch Anbieter wie LeitzCloud oder Backups über tomedo Partner.

---

Wie sieht es mit Snapshots aus wie lange kann man zurückgehen? Das ist das Einzige was einen bei Ransomeware schützt, zurückgehen vor die Infektion und den Datenverlust von einige Wochen oder Monaten in Kauf nehmen, statt zu zahlen und nicht zu wissen ob man das Entschlüsselungspasswort überhaupt bekommt. Hier sehe ich ein massives Problem wegen Kosten durch die Datenmenge. Um nicht abzuschrecken scheinen Anbieter das nicht anzusprechen. Christian wiegt sich oben in Sicherheit, hätte er Luckycloud mit Ransomewareschutz gemacht wenn es monatlich 150 Euro kostet? Vielleicht ist der Schutz im aktuellen Preis dabei, dann mache ich Luckycloud auch, ich bezweifle das aber. Ransomeschutz kostet so viel, dass es sich meiner Meinung nach lohnt selber ein entferntes Backup zu fahren. Ich lasse mich aber sehr gerne vom Gegenteil überzeugen.

---

Um Schutz vor Rasonware zu haben sollte man die Anbieter fragen, wie deren Sicherungsstruktur aussieht. Wir nutzen z.B. bei uns firmenintern folgenden Sicherungsweg:

 

- tomedo Sicherung auf NAS (interne Sicherungsroutine, Server hat ausschließlich Zugriff auf separates Sicherungsvolume per NFS)

- NAS sichert per separater Sicherungsroutine auf einen externen Speicherserver (Versioniert) (Standort Rechenzentrum 1)

- Speicherserver sichert täglich auf Speicherserver 2 (ebenfalls versioniert) (Standort Rechenzentrum 1 in separatem Gebäude)

- Speicherserver 2 sichert wöchentlich im Wechsel auf 2 unterschiedliche Langzeitspeicher (Standort Rechenzentrum 2) mit unterschiedlichen Sicherungsoptionen (Versionierung auf Dateiebene und Snapshotsicherung)

 

Da wir für jeden Sicherungsschrit separierte Datensicherungsprogramme verwenden, welche auf verschiedenen Hosts laufen und zusätzlich die Sicherungen versioniert sind, ist hier ein sehr hoher Schutz vor Ransomware gegeben. Selbst wenn ein Teil oder der gesamte Server verschlüsselt wird (unter Linux sehr unwahrscheinlich), liegen die letzten Datensicherungen als Version vor und können schnell wiederhergestellt werden. Durch Trennung der Sicherungsvolumes in eigenständige Speichereinheiten ist bei einer Infektion auch kein Übergreifen in andere Sicherungsbereiche (z.B. ERP System) möglich. Da jedes System mit einem Antivirusprogramm ausgestattet ist, welches die Daten regelmässig prüft, wird hier eventuell vorhandene Schadsoftware (z.B. in Office Dokumenten) rausgefiltert.

 

Bei vielen Anbietern dürften Sie detaillierte Informationen zum Schutz vor Ransomware erhalten, ebenso Informationen zur Datensicherung oder Duplizierung.

---

Ich denke auch, dass Ransomeware den zweiten Schritt vom Server nicht mehr mitmachen kann, es kann nur verschlüsseln was es direkt erreichen kann. Die Kopie auf ein zweite Stelle ist immer gut. Da müssen sich einige Kollegen glaube ich an die Nase fassen bei ihrer Vorgehensweise. Viele haben hier sicher nur eine einzelne Tageskopie als Sicherheitskopie die sie ganz brav täglich mitnehmen.

---

Rechtlich steht der Cloud Act einer Speicherung von Daten bei einem US-Unternehmen in Europa entgegen, oder juristisch besser ausgedrückt, er kann als Umgehungsinstrument genutzt werden, wenn ein Rechtshilfeabkommen zwischen dem Drittland und der EU bzw. einem EU-Mitgliedsstaat vorliegt, da die Datenschutz-Grundverordnung (DS-GVO) in Art. 48 vorsieht, dass Drittländer per Gerichtsurteil oder Entscheidung von Verwaltungsbehörden von einem europäischen Datenverarbeiter die Übermittlung personenbezogener Daten verlangen können, wenn es ein solches gibt.

Faktisch sind die Hürden hoch, dass Patientendaten im Rahmen einer Strafverfolgung (!) von einem US-amerikansichen Server, der in Europa steht, herausgegeben werden. Entsprechende Zusicherungen aber auch die Berücksichtigung des Cloud Acts sehen die AV-Verträge vor. Die EU hat vor einigen Wochen vertragliche Formulierunegn vorgeschlagen, bei deren verwendung eine Speicherung von pbD ind den USA zulässig ist. Die Crux daran ist nur, dass AWS und Co. derartige Verträge höchst ungern abschließen. Und das ie viel Kunden haben, ist es für deutsche Markteilnehmer praktisch uninteressant so zu verfahren.

Wenn ich aber auf dem AWT in Jena mitbekomme, wie sorglos Ärzt:innen mit ihren Daten auf einem iPad oder iPhone umgehen und ein tägliches Backup in die icloud (sprich in die USA) zulassen, dann schüttelt es mich. Hier würde es mich überhaupt nicht wundern, wenn diese unverschlüsselten Uploads dann irgendwann mal gehackt werden. Macht man die User auf  diese Umstände aufmerksam, sind sie schon betroffen. Aber ein solches Nutzerverhalten läßt sich verhindern, wenn man eine DS-GVO konforme Dokumentation hat, die jede Form des Datentransfers erfasst. Aber auch die kostet halt etwas. In Kenntnis der Kostenstruktur der eigenen Praxis, schmerzt natürlich jeder Euro, der in unproduktive Dokumentationen oder Backup-Strategien gesteckt wird. In anderen Branchen, die gleichgerichtete Kundeninteressen bedienen, sind Rahmenverträge mit Sonderkonditionen an der Tagesordnung. Wenn hieran Interesse besteht, würde ich diese Vorgehensweise unterstützen.

Gruß aus Lippstadt vom Arztgatten, RA Jörg Frotscher

Answer 7

Hallo Tomedo - Team, danke für die Umsetzung! Es gibt nun keine Dateinamen-Konflikte mit Windows mehr, so dass alle Daten und Dateien synchronisiert werden. Die Upload-Zeiten sind überschaubar, so dass auch kein Stau entsteht. Alles Bestens!