Eysenbach G. Das Internet für Mediziner Teil 3: Email

Das Internet für Mediziner Teil 1: Grundlagen

Das Internet für Mediziner Teil 2: Arzthomepage

Das Internet für Mediziner Teil 3: Email

Zitierweise:
Eysenbach G. Das Internet. (Kapitel 08.05) In: Schaefer OP, Lamers W, Eysenbach G (Hrsg.): Praxis und Computer. 21. Folgelieferung, Berlin-Heidelberg: Springer-Verlag 1998

Das Internet

Teil 3: Electronic Mail - Grundlagen und Richtlinien bei der Kommunikation medizinischer Daten

Email (Electronic Mail) steht für elektronische Post und ist wahrscheinlich im Moment der meist genutzte Dienst des Internets. Per Email können Texte, aber auch Grafiken -, Sound -, und Videodateien versendet werden - weltweit, innerhalb von Sekunden, und (nahezu) kostenlos. Vermeidung von Papierfluten und durch kurze Antwortzeiten auch die Zunahme der Flexibilität sind weitere Vorteile. Mittelfristig wird Email herkömmliche Medien wie Fax verdrängen und langfristig sogar ersetzen. Doch Emails bringen auch Probleme mit sich: Wie verhält es sich mit der Sicherheit? Was sollen Ärzte tun, wenn Sie von Patienten bedrängt werden, ihnen medizinische Fragen per Email zu beantworten?

Stichwörter: Internet, World-Wide-Web, Email, PGP, Datensicherheit

In diesem Beitrag erfahren Sie:

- Email-Grundlagen: Welche Email-Protokolle es gib, Wie Emails aufgebaut sind und wie man ein Email-Client handhabt

- Email-Leitfaden: Richtlinien und Tips zur Kommunikation medizinischer Daten per Email. Wie Sie auf unverlangt eingesandte Emails von Patienten, die Sie nicht kennen, reagieren sollten

- PGP: Wie das Verschlüsselungsprogramm PGP funktioniert und wie Sie PGP einsetzen können, um die Vertraulichkeit und Authentizität von Daten zu gewährleisten

- Checkliste Email-Kommunikation

Gunther Eysenbach

Email-Grundlagen

Email-Verfahren

Eine der wichtigsten Internetanwendungen ist elektronische Post (electronic mail - email). Während 1970 erst 100.000 Benutzer eine Email-Adresse hatten, waren es 1997 über 50 Millionen. In den USA haben heute schon 15% der Bevölkerung Email. Bis zum Jahr 2000 werden rund 100 Millionen Erdenbürger eine Email-Adresse besitzen.

Email - electronic mail - ist genau das, was der Name sagt: Ein Brief von einer bestimmten Person an eine oder mehrere andere bestimmte Personen. Wie ein Papierbrief auch, besteht Email aus einem Umschlag - auch als "header" bezeichnet - und dem Inhalt - auch als "body" bekannt.

Nicht nur im Internet, sondern auch in LANs (geschlossenen lokalen Netzwerken) und Intranets (geschlossene lokale Netzwerke auf der Basis der Internetprotokolle) kann Email verwendet werden (zum Beispiel in geschlossenen Klinik- oder Praxisnetzen). Man unterscheidet hauptsächlich zwei technische Standards (Protokolle), die bei der Versendung von Emails zum Einsatz kommen und die sich für den Anwender hauptsächlich in der Adressierung des Empfängers unterscheiden:

- SMTP (Simple Mail Transfer Protocol) gehört zur sogenannten TCP/IP-Protokollfamilie und ist somit das im Internet zum Einsatz kommende Protokoll. Die Email-Adressen sehen nach diesem Protokoll so aus: is@cicb.fr. In diesem Fall ist "is" der Benutzer am ("at" = engl. bei, das @-Zeichen wird daher "at" gelesen) Rechner "cicb" in Frankreich "fr".

- vornehmlich in Intranets zum Einsatz kommt das sogenannte X.400-E-Mail-Protokoll. Dieses hat gegenüber SMTP einige zusätzliche Sicherheitsfunktionen, und kommt gelegentlich noch in Uni-Netzen oder Kliniknetzen sowie LANs zum Einsatz. Eine Adressierung sieht etwa wie folgt aus: c=fr;admd=atlas;prdm=cicb;s=is

Soll eine E-Mail zwischen den Netzen verschickt werden, muß die Adresse konvertiert werden. Es gibt Konvertierungsdienste (Software), die dies automatisch machen. Alternativ kann man mit etwas Übung die Adressen auch manuell umsetzen.

MIME - Eine Email-Erweiterung

Eine SMTP-EMail darf höchstens 1.000 Zeilen lang sein und nur 7-Bit-ASCII-Zeichen enthalten (das heißt nur 127 Zeichen des Basis-Computerzeichensatzes, dazu gehören beispielsweise keine Umlaute). Dies ist der Grund dafür, warum gelegentlich Emails etwas verstümmelt aussehen und Umlaute nicht richtig wiedergegeben werden.

Die Erweiterung MIME (Mulitpurpose Internet Mail Extension), die die meisten modernen Email-Programme heute beherrschen, stellt eine Ergänzung dar, die diese Limitationen aufhebt.

Eine MIME-Mail enthält im Email-Kopf (Header) unsichtbar für den Benutzer ein Feld ("Content-Transfer-Encoding"), welches den Zeichensatz für den Datentransport angibt (und damit, wie die Mail zu entschlüsseln ist). Der Mail-Körper kann 8-Bit-ASCII-Text in verschiedenen Kodierungen (z.B. die im lateinischen Sprachraum benutzte ISO-Latin-1) oder mit Formatierungsanweisungen angereicherten Text (Richtext) enthalten.

Bei einer ISO-Latin-1-kodierung nimmt beispielsweise das MIME-Programm auf der Absenderseite einen Umlaut - sagen wir das kleine ö - und schreibt stattdessen die Zeichenfolge =F6 in die Email. Diese drei Zeichen werden nun vom MIME-Programm auf der Empfängerseite wieder zu einem ö umgewandelt. Diese Umsetzung macht MIME mit allen "verbotenen" Zeichen, so daß wir bei der Verwendung von MIME auch Umlaute oder Akzente schreiben können.

Mit Formatierungsanweisungen angereicherter Text enthält Richtext-Formatierungsanweisungen, die sich an SGML orientieren, einer Markierungssprache ähnlich HTML (siehe vorheriger Kapitelteil), die Konstrukte wie "<bold> nun fett </bold>" erlaubt. Der eingeklammerte Text wird mit dem entsprechenden Mail-Programm und einer graphischen Benutzeroberfläche mit einem fetten Zeichensatz dargestellt.

Die MIME-Mail kann aus mehreren Mails, die beim "Ansehen" ausgepackt werden oder aus einem Anwendungsprogrammaufruf, der beim "Ansehen" gestartet wird, bestehen. Als Anwendungen sind Dialogprogramme zum Ausfüllen eines Formulars oder der Aufruf eines Winword-Programms, der die beiliegende .doc-Datei darstellt, denkbar. Ebenso kann die MIME-Mail Audio oder Video darstellen und digitale Bilder bis hin zu digitalisierten Röntgenbildern enthalten. Eine MIME-Mail kann aus verschiedenen Teilen bestehen.

Mit MIME erhält Internet-Mail Fähigkeiten, die X.400 teilweise schon besitzt. MIME wird daher auch zur Übersetzung von X.400- in Internet-Mail benötigt, damit kein Informationsverlust eintritt.

Der "Briefumschlag": Der Header

Grundsätzlich besteht der "header" einer Internet (SMTP)-Mail aus mehreren Zeilen, die jeweils ein Steuerwort enthalten, gefolgt von einem Doppelpunkt, einem Leerzeichen, dem Inhalt und einer Zeilenschaltung.

Die wichtigsten "header"-Zeilen, die auch die Anwender zu gesicht bekommen, sind:

- From: die Email-Adresse des Absenders

- Date: das Absendedatum

- To: die Email-Adresse des Empfängers

- Cc: stand ursprünglich für "carbon copy", also eine Art elektronisches Kohlepapier, welches einen "Durchschlag" der Email an einen zweiten, im Feld cc adressierten Empfänger sendet. Da das kohlepapier nicht mehr existiert wird cc als "cross copy" oder "courtesy copy" übersetzt. Der "Hauptempfänger" (d.h. derjenige, der mit "To" adressiert wurde) kann anhand des Headers sehen, daß und an wen ein Durchschlag gesendet wurde. Dies ist anders bei Bcc:

- Bcc: "blind carbon copy", wobei wie bei cc eine Kopie der Email an einen zweiten, im Feld bcc adressierten Empfänger gesendet wird. Diese Tatsache wird aber vor dem Hauptadressaten (To:) verborgen, das heißt er kann nicht sehen, an wen die Email noch versandt wurde. Aus verständlichen Gründen gilt das Versenden von Bcc-Emails als "unfair" dem Empfänger gegenüber, da dieser nicht weiß, daß noch jemand anderes die vermeintlich nur an ihn adressierte Email ebenfalls gelesen hat, und sollte sehr speziellen Fällen vorbehalten bleiben.

- Subject: die Betreffzeile. Es geht auch ohne, aber es gilt als schlechter Stil, Emails ohne Subject-Zeile zu versenden. Wird auf eine Email direkt geantwortet (reply), so übernehmen die meisten Email-Programme die Subject-Zeile und schreiben ein Re: (reply) oder Antw: (Antwort) oder ähnliches vor die Subject-Zeile, so daß der Empfänger sofort sehen kann, daß es sich um eine Antwort auf seine vorher gesandte Email handelt.

Übrigens können in den Felder to, cc und bcc auch mehrere Email-Adressen, getrennt durch ein Komma, stehen. Daher kann man sich bei mehreren Empfängern entscheiden, ob man den zweiten Empfänger in das cc-Feld schreibt, oder ihn mit ins to-Feld schreibt (einfach mit einem Komma getrennt hinter den ersten Empfänger). Wie man dies handhabt hängt davon ab, ob man den zweiten Empfänger ebenfalls als "Hauptempfänger" betrachtet (und etwa erwartet, daß er antwortet) - dann würde man das to-Feld wählen -, oder ob man ihm einfach nur "nachrichtlich" eine Kopie senden will - hier wäre also cc oder bcc die richtige Wahl.

Der Rest des "header" enthält Informationen, die nur für Spezialisten interessant sind und darum hier nicht behandelt werden.

Benutzung von Email-Programmen

Email-Clients oder auch einfach Email-Programme verwalten die ausgehenden und hereinkommenden Emails und bieten ein kleines Textverarbeitungsprogramm zum Schreiben von Emails. Es gibt eine ganze Reihe von Email-Programmen, die bekanntesten sind vielleicht die in den Web-Browsern (z.B. Netscape) integrierten Email-Clients. Im UNIX-Bereich ist ein bekannter Email-Client z.B. "pine".

Normalerweise bietet das Email-Programm zunächst eine Übersicht aller in der Mailbox befindlichen Emails. Auch kann man gewöhnlich den Status der jeweiligen Email erkennen - gelesen, neu, ungelesen, aber älter, gelöscht usw. - und auswählen, was man mit einer bestimmten Email machen will (zum Beispiel Lesen).

Will man z.B. eine neue Email schreiben, bedient man einen entsprechenden Menüpunkt, und wird nach dem Emfänger und dem Subject: gefragt. Dann landet man im Editor, um einen Text zu tippen. Während des Schreibens muß man nicht unbedingt "online", also mit dem Internet verbunden sein, sondern kann, um Telefonkosten zu sparen, seine Emails auch "offline" vorbereiten. Bei der nächsten Internet-Sitzung werden dann alle ausgehenden Emails automatisch versandt. Ebenso empfiehlt es sich, Emails in der Regel auch "offline" zu lesen, das heißt nach dem "Abholen" der neuen Emails die Verbindung zunächst zu trennen und dann in Ruhe seine Emails zu lesen.

Liest man eine Email und will dem Absender darauf antworten, kann man meist ein entsprechendes Kommando ("Reply" oder "Antworten" o.ä.) geben und landet dann wieder im Editor. Allerdings ist das Editierfenster nun nicht leer, sondern der Text der ursprünglichen Email steht da, jeweils mit einem ">" am Zeileanfang (z.B. "> Hallo"): Ein ">" am Anfang einer Zeile bedeutet ein Zitat, ein "Quote"; man "quotet" in der Regel die entsprechenden Zeilen auf die man antwortet. Man kann die Textpassagen, auf die man antworten will, als Gedächtnisstütze (für den Empfänger und den Schreibenden!) stehen lassen und den Rest einfach löschen. Übrigens gibt es auch Email-Programme, die beispielsweise noch die Initialen des Autors vor das ">" schreiben (z.B. "ge>").

Eine weitere Möglichkeit, wie man auf eine an einen selbst gerichtete Email reagieren kann, besteht darin, diese an einen anderen Empfänger weiterzuleiten. Der entsprechende Menüpunkt lautet meist "forward" oder eben "Weiterleiten"). Hier kann ich entweder die Original-Email unkommentiert an einen weiteren Empfänger weiterleiten (das Email-Programm fügt einige automatische Zusätzen ein, aus denen hervorgeht, daß es sich um eine weitergeleitete Email handelt, von wem sie an wen ursprünglich geschickt worden war usw.), oder aber die Email kann mit zusätzlichen Kommentaren versehen an den neuen Empfänger weitergeleitet werden.

Bessere Mailprogramme sollten darüber hinaus mit folgenden Funktionen ausgestattet sein, die :

- automatische Weiterleitung (Forwarding) ankommender Post an vom Nutzer angegebene E-Mail-Adressen oder Mail-Filter, die Emails nach bestimmten Kriterien automatisch löschen

- Vergabe von Alias für Email-Adressen oder Gruppen von Email-Adressen (Verteiler),

- automatisches Einfügen von Briefkopf und Signatur. Die Signatur besteht aus einer oder mehreren Fußzeilen, die vom Emailprogramm automatisch an die Email angehängt wird. Hier kann also zum Beispiel die komplette Praxisanschrift o.ä. stehen. Es gilt als "unfein", zu lange Signaturen zu verwenden - wer 10 Zeilen Signatur an jede Email hängt, belastet das Netz und die Telefonrechnung des Email-Empfängers (wenn dieser seine Email über ein langsames Modem abholt) und kann sich daher den Unmut des Empfängers zuziehen.Drei bis fünf Zeilen gelten als gerade noch tolerabel.

- Verwaltung mehrerer Ablagen, (automatische) Sortierung der abgespeicherten Post in Ablagen beispielsweise nach Absenderadresse oder Subject-Zeile.

Häufige Fehlermeldungen beim Versenden von Emails

unknown user...

Der Rechnername ist wohl richtig (d.h. der Teil hinter dem @), aber der Benutzer ist an diesem Rechner (evtl. Tippfehler).

unknown host...

Der Versuch Ihres Rechners, einen Namen einer IP-Adresse zuzuordnen, ist fehlgeschlagen (evtl. Tippfehler).

not responding

Diese Meldung bedeutet das gleiche wie "timed out". Ihr Computer hat zwar einen Befehl geschickt, aber keine Antwort bekommen.

unreachable

Netz-Problem: Wahrscheinlich ist der Rechner, den Sie erreichen wollen, gerade nicht erreichbar.

can't open passive connection

Der angewählte Server versucht eine Rückverbindung aufzubauen, kann dies jedoch nicht wegen der Proxy-Server. Schalten Sie den Zugriff auf die Proxies aus (Optionen/ Netzwerkeinstellungen/ Proxies/ Keine Proxies).

posting not allowed

Beim Versuch, eine neue Nachricht in eine Newsgruppe zu senden, kommt diese Fehlermeldung. Evtl. wurden Sie vom Newsmaster für diese Newsgruppe gesperrt.

service unavailable

Möglicherweise ist der Server Ihres Internet-Providers ausgefallen oder der Server, den Sie aufgerufen haben, ist ausgefallen bzw. wegen Wartungsarbeiten vom Netz genommen.

timed out

Die TCP-Software, die Ihre Anfrage ans Internet geschickt hat, erwartet innerhalb einer bestimmten Zeit eine Antwort. Kommt keine Antwort zurück, erscheint diese Meldung für Zeitüberschreitung. Meist ist der angesprochene Rechner nicht in Betrieb oder hat aus anderen Gründen keine Verbindung zum Netz.

warning - message could not be delivered after xx hours (days)

Der Rechner der gegenseite ist aus irgendeinem Grund momentan nicht erreichbar und die Email konnte bislang noch nicht zugestellt werden. Dies ist eine Warnmeldung, die einen lediglich darauf hinweist, daß sich die "Auslieferung" der Email etwas verzögert hat. Der Zeitpunkt, zu dem diese Warnmeldung erstmals auftaucht, ist unterschiedlich, meist wird die Warnung verschickt, wenn die Email etwa nach 48 Stunden noch nicht beim Empfängerrechner angekommen ist. Das Mailprogramm (der "Mailer-Demon") wird noch eine ganze Weile lang versuchen, die Email zuzustellen. Wenn dies nicht gelingt, erhält der Absender nochmal eine explizite Email (z.B. "host unreachable"), gelingt es doch irgendwann, erhält der Absender keine weitere Nachricht über die erfolgreiche Auslieferung.

Alias: Verteilerlisten

Wenn Sie öfter Email an eine bestimmte Personengruppe schreiben - beispielsweise einen Rundbrief an alle Praxismitarbeiter -, wird es ziemlich schnell lästig, dauernd alle Adressen eintippen zu müssen. Sie werden sich dann eine einfache Mailingliste (Verteilerliste) anlegen. Das Verfahren dazu ist von Programm zu Programm sehr unterschiedlich. Zuweilen verbirgt sich diese Funktion unter der Bezeichnung "alias". In einem Befehlsorientierten Email-Programm geben Sie beispielsweise ein:

alias praxis franz@kiste.bla.de fritz@tower.foo.de

Jedesmal, wenn Sie nun eine Email an den Empfänger "praxis" schreiben, wird das alias in alle angegebenen Adressen aufgelöst und all diese Menschen erhalten die Email.

Verwechseln Sie diese Alias-Funktion nicht mit der Alias-Funktion bei t-online: Dort heißen Verteilerlisten tatsächlich Verteilerlisten und "alias" bedeutet etwas ganz anderes: Wenn Sie von T-Online Ihre Email-Adresse zugewiesen bekommen, ist dies normalerweise Ihre Telefonnummer und eine laufenden Nummer. Diese ellenlange Nummer (0913123427-0001@t-online.de) ist recht unhandlich, daher können Sie sich noch einen "Zweitnamen", eben den Alias-Namen vergeben lassen (z.B. fritz@t-online.de).

Allgemeine Grundsätze beim Versand von Emails

Es gibt einige allgemeine Regeln, die man beim Versenden von Emails - gleich welchen Inhalts - beherzigen sollte. Dazu gehört:

- Vertrauen Sie nichts der Email an, was Sie nicht öffentlich bekannt werden lassen wollen.

- Verschicken Sie keine beleidigenden, verletzenden oder drohenden Nachrichten.

- Vorsicht mit Sarkasmus, Ironie und ähnlichem. Während man im gesprochenem Wort seine "ironische" Aussage mit einem Augenzwinkern oder einem Lächeln relativieren kann, ist dies bei Emails problematisch. Smileys wie etwa ;-) , welches ein augenzwinkerndes Lächeln darstellen soll, gehören zu Emails wie Punkt und Komma, werden aber nicht von allen verstanden

- Halten Sie Ihre Zeilen angemessen kurz (etwa 66 Anschläge). Danach immer Return drücken, da manche Email-Clients keinen automatischen Zeilenumbruch einfügen und der Leser dadurch horizontal scrollen muß.

- Auch wenn Emails einen informellen Charakter haben und viele dazu verleitet, sämtliche Regeln der Grammatik und Orthographie über Bord zu werfen, sollten Sie Groß- und Kleinschreibung verwenden und sich um ordentliche Rechtschreibung bemühen - zumindest wenn Sie vermeiden wollen, daß Ihr Gegenüber Sie für einen Analphabeten hält.

- Verwenden Sie vorsichtshalber (auch bei Verwendung von MIME) reinen ASCII-Text, das heißt auch keine Umlaute (stattdessen oe, ae, ue, ss), da Sie nicht wissen, mit welchem Email-Client der Empfänger arbeitet.

- Lesen Sie immer Ihre Nachricht nochmals komplett durch, bevor Sie sie abschicken. Was mal unterwegs ist, ist unterwegs, und bei einem Fehler hilft sonst nur noch eine zweite Email hinterherzuschicken.

Sicherheit

Priveligierte Nutzer mit bestimmten Zugriffsrechten wie UNIX-Systemadministratoren können ankommende und abgehende Post lesen, sofern sie nicht verschlüsselt ist. Durch Verschlüsselung kann einerseits erreicht werden, daß nur derjenige, für den die Post bestimmt ist, diese lesen kann (Vertraulichkeit) und

andererseits, daß der vorgeblicher Absender mit dem tatsächlichen Absender übereinstimmt bzw. der Email-Inhalt nicht verändert wurde (Authentizität). Bei symmetrischen Verschlüsselungsverfahren (vgl. Kap. 08.07) wie DES (Data Encryption Standard, zur UNIX-Paßwortverschlüsselung benutzt) müssten die Schlüssel erst über einen sicheren Nachrichtenkanal ausgetauscht werden, gäbe es jedoch einen solchen, bräuchten die Nachrichten nicht verschlüsselt zu werden. Mit anderen Worten, man muß auf öffentliche Verschlüsselungsverfahren zurückgreifen (z.B. das RSA-Verfahren), bei denen es einen öffentlichen und einen privaten Schlüssel gibt. Mit einem der beiden wird das Dokument verschlüsselt, mit dem anderen entschlüsselt. Benutzen sowohl Absender als auch Empfänger einer Email das Verfahren, kann durch eine doppelte Verschlüsselung, erst mit dem privaten Schlüssel des Absenders, dann mit dem öffentlichen Schlüssel des Empfängers, sowohl Authentizität als auch Vertraulichkeit erreicht werden. Das RSA-Verfahren ist in pgp (Pretty Good Privacy) von Phillip Zimmerman (siehe unten) implementiert.

Leitfaden für die medizinische Email-Kommunikation mit Patienten

Von einer Arbeitsgruppe der American Medical Informatics Association wurden kürzlich Leitlinien zur medizinischen Kommunikation mit Patienten mittel Email aufgestellt (Kane, 1998). In den USA ist die Kommunikation mit Patienten und Kollegen via Email schon weitaus verbreiteter als hier. Die Richtlinien lassen sich nicht immer uneingeschränkt auf deutsche Verhältnisse übertragen, wir versuchen hier eine Umsetzung und Wiedergabe der relevanten Teile. Wichtig ist, daß es hier um die Kommunikation mit Patienten geht, zu dem ein Arzt-Patienten-Verhältnis besteht, d.h. der Arzt kennt den Patienten und hat ihn schon mindestens einmal vorher gesehen. Dies ist nicht der Fall, wenn ein Patient, den der Arzt vorher nicht kennt, einen Arzt unaufgefordert kontaktiert und ihm in seiner Email seine gesamte Krankengeschichte ausbreitet, in der Hoffnung, der Arzt könne ihm Tips geben oder an einen Spezialisten verweisen. Wie mit diesen "unerwünschten" Emails umgegangen werden sollte, wird im nächsten Abschnitt erläutert.

Effektive Email-Kommunikation zwischen Arzt und Patient

Wann immer ein Arzt vorhersehen kann, daß der Patient nach einem Arztbesuch erneut kontaktiert werden muß, sollte er erfragen, welche Kommunikationsart der Patient vorzieht - ein Telefonanruf, ein schriftliches Ergebnis oder eine Kontaktaufnahme via Email. Kann der Arzt dem Patienten auch letzteres anbieten, werden dies insbesondere jüngere Patienten, bei denen Email so selbstverständlich ist wie das Telefon, dankbar zur Kenntnis nehmen. Äußert der Patient den Wunsch, via Email kontaktiert zu werden, sollte seine Email-Adresse zu den Akten (bzw. in seine Stammdaten) mitaufgenommen werden. Sieht die Praxissoftware kein Feld für die Email-Adresse vor (auch das soll es noch geben!), kann hilfsweise das Fax- oder Telefonnummern-Feld herangezogen werden.

Zur Kommunikation via Email eignen sich

- Rückfragen hinsichtlich der Krankenversicherung, Erinnerung an den Krankenschein.

- Erinnerungen an einen Termin oder Recalls für periodische Kontrolluntersuchungen.

- Laborwerte, die keinerlei größerer Erklärungen bedürfen (etwa bei Diabetikern Blutzuckerwerte)

Auch vom Patienten zum Arzt sind sinnvolle Anwendungen denkbar:

- Verschreibungsanfragen: Patienten können den Arzt um die Ausstellung von Rezepten bitten, wenn der Medikamentenvorrat verbraucht ist. Das Rezept muß natürlich weiterhin abgeholt werden, kann aber vom Arzt schon vorbereitet werden.

- Transfer von medizinischen Daten, die der Patient zu Hause selbst erhebt, zum Arzt (z.B. Blutzucker, Blutdruck usw.), zur Bewertung durch den Arzt.

Wichtig ist, daß zeitkritische Information (medizinische Notfälle usw.) niemals per Email verschickt werden sollte. Dies klingt zunächst paradox, gilt doch gerade Email als schnelles Medium. Jedoch kann man niemals sagen, ob die Email vom Empfänger auch entsprechend schnell gelesen wird, ist es doch möglich, daß die Email tagelang ungelesen in einer Mailbox herumliegt! Daher sollte man in solchen Fällen auch weiterhin das Telefon benutzen.

Bereits mehrmals wurde das Problem der mangelhaften Sicherheit von Emails angesprochen. Sensitive und höchst vertrauliche Information sollte daher möglichst nicht per Email ausgetauscht werden.

Antwortzeiten

Generell sollten die Emails mindestens einmal täglich gelesen werden, möglichst sogar zweimal täglich (morgens und abends). Es gilt als schlechter Stil, Emails länger als 24 Stunden unbeantwortet zu lassen, zumindest sollte - übersteigt die Antwortzeit 24 Stunden - eine kurze Eingangsbestätigung versandt werden. Natürlich richtet sich die Antwortdauer auch nach der Dringlichkeit der Anfrage - eine Frage nach möglichen aufgetretenen Nebenwirkungen eines Medikamentes hat beispielsweise Priorität vor der Nachfrage nach einem Routinebefundergebnis.

Die normale Antwortzeit sowie Email-Abrufintervalle sollten den Patienten mitgeteilt werden, etwa durch Wartezimmer-Aushang oder ein spezielles Handout zum Mitnehmen.

Wahrung der Privatsphäre

Zur Wahrung der Privatsphäre ist es notwending, innerhalb der Praxis festzulegen, wer Patientenemails lesen darf, und dies dem Patienten mitzuteilen. Hinter einer Email-Adresse wie "praxis@t-online.de" können sich mehrere Personen - von der Helferin bis zum Arzt - verbergen, die unter Umständen alle die Emails der Patienten lesen können. Über diese Tatsache muß der Patient informiert werden - er darf nicht in dem Glauben gelassen werden, daß nur der Arzt selbst die Emails lesen kann.

Erlaubte Transaktionen und Inhalte definieren

Es ist essentiell, innerhalb der Praxis nicht nur zu regeln, wer Emails in welchem Umfang lesen, sondern auch wer welche Emails beantworten darf. Bestimmte Themen oder Anfragen können per Email "tabu" sein, so regeln etwa die Richtlinien der Stanford University Medical Clinic, daß HIV Status, Geisteskrankheiten und Rentenansprüche wegen Berufskrankheiten usw. grundsätzlich nicht per Email diskutiert werden dürfen.

Schlagwörter in Subject-Zeilen bei eingehenden Emails

Von Vorteil ist es, die Patienten zu instruieren, bestimmte Subject-Zeilen zu verwenden. Dies kann die automatische Verteilung an zuständige Mitarbeiter erleichtern (z.B. "Labor" für Anfragen zu Laborwerten, "Termin" zur Weiterleitung an die Helferin zur Terminvergabe, "Rezept" zur Weiterleitung an Arzt und Helferin zum Ausstellen eines Rezepts usw. Auch diese "Stichwörter" könnten in einem Wartezimmer-Aushang oder einem Handout bekanntgegeben werden.

Diskrete Subject-Zeilen bei ausgehenden Emails

Da die Subject-Zeilen in einem Email-Programm schon in der Übersicht gelesen werden können, ohne daß man die entsprechende Email erst öffnen muß, und da man niemals weiß, wer dem Patienten beim Lesen der Emails über die Schulter sieht, sollte man die Subject-Zeile so diskret wie möglich formulieren, und dort keinesfalls schon Informationen unterbringen. "Resultat Ihres HIV-Tests: Negativ!" ist beispielsweise eine inakzeptable Subject-Zeile, aber auch "Ihr HIV-Test" ist immer noch zu indiskret.

Automatische Antwort

Gute Email-Programme lassen sich so konfigurieren, daß auf jede eingehende Email eine automatische Antwort generiert wird. Diese Antwort könnte etwa wie folgt lauten:

"Dies ist eine automatisch generierte Antwort. Ihre Email wurde von Dr. ... erhalten. Ich werde versuchen, Ihre Anfrage innerhalb eines Arbeitstages zu beantworten. In dringenden Fällen rufen Sie bitte meine Sprechstundehilfe ... unter der Telefonnummer .. an."

Eine entsprechende Auto-Reply Antwort sollte auch generiert werden, wenn der Arzt für längere Zeit abwesend ist (Urlaub etc.). Eine solche Email sollte die Information beinhalten, wann die Praxis wieder besetzt ist und wer die Vertretung übernimmt, also ähnlich wie beim Anrufbeantwortertext.

Manuelle Antwort

Grundsätzlich sollte jede Email beantwortet werden, und sei es nur mit einer kurzen Bestätigung, daß zum Beispiel das Rezept ausgestellt wurde und zur Abholung bereit liegt usw.

Empfangsbestätigung durch den Patienten

Bei wichtigen Emails bitten Sie den Patienten, den Empfang der Email zu bestätigen, indem sie eine kurze Antwort schicken. Wenn diese Antwort aussteht, sollte die Email nicht endgültig archiviert werden oder mit einem Vermerk versehen werden, der angibt, daß der Empfang noch nicht bestätigt wurde. Solange dies nicht geschieht, muß davon ausgegangen werden, daß der Patient die Email nicht gelesen hat; gegebenenfalls muß telefonisch nachgehakt werden.

Banner

Manche Ärzte empfehlen, am Kopf einer Email ein kleines Banner anzubringen, welches auf den vertraulichen Inhalt der Email hinweist, etwa so:

-------------------------------------------------------------------------------------

Dies ist eine VERTRAULICHE medizinische Nachricht

-------------------------------------------------------------------------------------

Die Idee dabei ist, daß sich ein unauthorisierter Dritter, der die Nachricht zu Gesicht bekommt, sich nicht mehr darauf berufen kann, er hätte die Nachricht nur zufällig gelesen und nicht geahnt, daß es sich um vertrauliche Information handelt. Andererseits dürften solche Banner gerade erst die Neugier von Dritten auf die Email ziehen, so daß letztlich ein solches Banner eher Geschmackssache ist.

Signatur

Die Fußzeile (Footer, Signatur) der Email sollte die komplette Adresse des Arztes sowie die Telefonnummer des Arztes enthalten. Außerdem sollte sie den Patienten standardmäßig auffordern, den Arzt zu kontaktieren, falls irgendwelche Unklarheiten bestehen.

Archivierung von Emails

Emails sind archivierungsrelevante Dokumente. Wenn die elektronische Patientenakte realisiert ist (d.h. wenn alle Daten des Patienten elektronisch gespeichert sind) und wenn sich die Email dort elektronisch ablegen läßt, sollte dies so gemacht werden. Andernfalls sollte man jede Email ausdrucken und zu den Patientenakten heften. Ebenso sollte die Antwort des Arztes bzw. die Antworten der Praxishilfen archiviert werden. Die Ausgangs-Email sollte möglichst komplett "gequotet" werden (siehe oben). Selbstverständlich sollte der Drucker in einem Praxisbereich stehen, der nicht für Patienten zugänglich ist.

Adressbuch, Verteilerliste

Es kann hilfreich sein, ein elektronisches Adressbuch bzw. einer Verteilerliste (siehe Alias oben) mit allen Patienten, die Email besitzen und eingewilligt haben, darüber kontaktiert zu werden, zu führen. So können "Rundschreiben" an Patienten (etwa bezüglich neuer Sprechstunden, neue Adresse, Urlaub usw.) einfach und kostengünstig per Email durchgeführt werden. Wichtig ist dabei jedoch, daß die gesamte Patientenliste auf keinen Fall im cc-Feld stehen darf, da so alle Patientenemails für jeden Patienten sichtbar werden! Wird ein Alias-Name für eine Verteilerliste verwendet, werden die einzelnen Email-Adressen in der Regel nicht für die einzelnen Empfänger sichtbar - dies sollte aber vorsichtshalber anhand einer anderen Empfängergruppe ausprobiert werden. Im Zweifelsfalle bietet sich das Empfängerfeld "Bcc" (blind carbon copy, siehe oben) an, da in diesem Fall alle in diesem Feld gelisteten Empfänger zuverlässig anonym bleiben.

Passwortgeschützte Bildschirmschoner

Es ist zu vermeiden, eine Workstation mit einem geöffneten Email-Programm unbeaufsichtigt zu lassen. Dies hat denselben Effekt, als würde man seine Post offen herumliegen lassen.

Günstig sind passwortgeschützte Bildschirmschoner (Screensaver), die nach etwa 5 Minuten Inaktivität am Rechner automatisch einen Bildschirmschoner starten, der nur nach Eingabe eines Passworts wieder deaktiviert werden kann.

Email-Weiterleitung

Man sollte grundsätzlich davon Abstand nehmen, eine Patienten-Email ohne ausdrückliche Einwilligung des Patienten an einen Dritten weiterzuleiten.

Vertrauliche Behandlung der Email-Adressen

Email-Adressen von Patienten sollten selbstverständlich an niemanden weitergegeben werden oder für Werbezwecke "ausgeliehen" werden. Selbst wenn nur die Email-Adressen ohne jede weitere Information in falsche Hände geraten (Firmen u.ä.) und Ihre Patienten auf einmal Werbeemails bekommen, können Sie in allergrößte Schwierigkeiten kommen.

Email-Bearbeitung außerhalb der Praxis

Wie alle anderen medizinischen Unterlagen sind auch Emails grundsätzlich nicht aus der Praxis zu entfernen bzw. sollten generell gar nicht erst von außerhalb der Praxis abgerufen werden. Geschieht dies dennoch, muß sichergestellt sein, daß am Abfrageort (etwa zu Hause) die gleichen Sicherheitsmechanismen implementiert sind, wie in der Praxis. Selbstverständlich sollte der Praxisaccount (Passwort usw.) nicht an andere Familien- oder Haushaltsmitglieder weitergegeben werden.

Doppelte Vorsicht bei der Empfängereingabe

Ende 1996 wurde in den USA ein Arzt verklagt, weil er versehentlich eine Email, aus der die Diagnose Brustkrebs einer Patientin hervorging, an eine öffentlichen Newsgroup schickte, anstatt an die Patientin. In der Newsgroup konnte die Email von tausenden anderen Benutzern gelesen werden.

Solche Fehler können leicht passieren, insbesondere da Email-Programm die Reply-Option oft auf unterschiedliche Weise ausführen - manchmal wird die Antwort nur an den Absender geschickt ("reply to sender only"), andere Email-Programme führen Standardmäßig ein "reply-to-all" aus, bei der die Antwort auch an alle Empfänger gesendet wird, die auch in dem cc-Feld stehen.

Dies macht deutlich, daß man unbedingt vor dem Absenden nochmals überprüfen sollte, daß die Email auch an den richtigen Adressaten (und zwar nur an diesen) geht.

Juristische Absicherung

In den USA - wo die Phobie vor zivil- und strafrechtlichen Klagen noch größer ist als hierzulande - wird zusätzlich empfohlen, zur juristischen Absicherung jeden Patienten, der Kommunikation via Email wünscht, ein Dokument unterzeichnen zu lassen, welches einige Eckpunkte der Email-Kommunikation beschreibt und jegliche Haftung für eventuelle Sicherheitslücken ausschließt. In diesem Dokument sollte demnach beschrieben sein

- Wie die Email-Kommunikation auf Seiten der Praxis abläuft, wer die Email zu sehen bekommt, und welche Sicherheitsmechanismen bestehen (falls keinerlei Sicherheitsmechanismen bestehen, sollte darauf hingewiesen werden, so daß der Patient mit seiner Unterschrift bestätigt, daß er von potentiellen Sicherheitslücken Kenntis hatte und dennoch auf eigenes Risiko Email-Kommunikation wünscht).

- Eine generelle Klausel, die Haftungsansprüche für jegliche Ereignisse, die jenseits des Einflusses des Leistungserbringers liegen, ausschließt, etwa Netzzusammenbrüche etc.

- Falls der Patient auf Verschlüsselung der Emails mit PGP (siehe unten) o.ä. verzichtet, weil er zum Beispiel nicht über eine entsprechende Software verfügt, sollte er explizit den Arzt von seiner Verpflichtung, vertrauliche medizinische Daten, die per Email verschickt werden, zu verschlüsseln, entbinden. Ähnliches gilt, wenn auf Seiten der Arztpraxis keine Verschlüsselung möglich ist.

"Unerwünschte" Patientenemails

Patienten wenden sich zunehmend dem Internet zu, um sich über gesundheitsbezogene Themen zu informieren.

Obwohl Patientenaufklärung über WWW und Internet aus präventivmedizinischer Sicht große Chancen bietet, ergeben sich auch zahlreiche Probleme. Eines dieser Probleme ist die Tatsache, daß Patienten sich zunehmend per Email an Informationsanbieter bzw. ihnen persönlich unbekannte Ärzte wenden, deren homepage sie zufällig im Internet finden, um direkt Fragen zu medizinischen Problemen zu stellen ohne daß ein Arzt-Patienten-Verhältnis besteht, das heißt ohne daß der Arzt den Patienten kennt.

Bei Informationsanbietern im WWW mit einem hohen Benutzeraufkommen können diese "unverlangten Emails" ein beträchtliches Volumen erreichen und den Informationsanbieter vor erhebliche Probleme stellen. Sowohl, wenn er die Emails beantwortet, als auch wenn er sie unbeantwortet läßt, begibt er sich unter Umständen in juristisch gefährliches Fahrwasser.

An der Dermatologischen Uniklinik Erlangen wurde vom Autor kürzlich ein Experiment durchgeführt, um zu evaluieren, wie Ärzte auf derartige "unverlangte Emails" reagieren: Unter einer neutralen Email-Adresse schilderte ein vorgeblicher "Patient" die Symptome eines akuten medizinischen Problems (Herpes Zoster). Die Email wurde an 56 dermatologische Informationsanbieter im WWW (meist Ärzte an Unikliniken) verschickt. In diesem Experiment antworteten 28 der Ärzte (50%) dem Patienten. Sieben der Antwortenden (25%) lehnten es ab, per Email eine Diagnose zu stellen, 18 der Antwortenden stellten eine Verdachtsdiagnose, davon 17 die "richtige".

Die meisten Ärzte sind unsicher, ob sie derartige Anfragen ignorieren dürfen, ob Beratung geboten und erlaubt sei - oder ob eine Standardantwort wie "Ich kann Ihre Frage leider nicht beantworten, suchen Sie bitte einen Arzt auf." geboten ist. Unterschiedliche Gesundheits- und Rechtssysteme erschweren zusätzlich die weltumspannende Kommunikation. Wenn zum Beispiel ein Arzt aus den Vereinigten Staaten eine Behandlungsempfehlung ausspricht, kann es durchaus sein, daß ein Patient in Deutschland diese gar nicht befolgen kann. Schließlich sind manche US-Medikamente hier nicht zugelassen.

Nach deutschem Standesrecht ist eine telefonische Diagnosestellung und Beratung von Patienten, die ein Arzt nicht kennt, verboten. Gleiches, so argumentiert der Hamburger Arztrechtler Dr. Ulrich Steffen, gelte für die elektronische Beantwortung von Patientenanfragen. Schwierig wird es nur in den Grenzfällen, bei denen Patienten per Email ein akutes Problem beschreiben - hier gebietet es das ärztliche Gewissen, auf das Hilfegesuch zu reagieren, aber der Arzt darf strenggenommen dem Patienten lediglich empfehlen, mit seinem Problem seine oder die Sprechstunde eines ärztlichen Kollegen aufzusuchen. Damit ist er zwar wettbewerbs- und berufsrechtlich auf der sicheren Seite, ob dies aber in der Praxis immer so durchzuhalten ist, ist eine andere Frage. Schließlich ergibt sich aus dieser verzwickten Rechtslage auch die Pflicht für den Arzt, seine Email täglich aufmerksam zu lesen, um zu sehen, ob nicht eventuell ein Notfall darunter ist. Dies kann eine erhebliche Arbeitsbelastung darstellen, bekommen doch manche Ärzte gleich eine ganze Handvoll von Emails pro Tag von irgendwelchen Benutzern, die nur zufällig auf seine Homepage gestossen sind und nun etwas wissen wollen. Ob ein Arzt haftungsrechtlich herangezogen werden kann, wenn er auf einen offensichtlichen Notfall, der ihm per Email zur Kenntnis hätte gelangen können, nicht reagierte, ist bislang ebenso ohne Präzedenzfall wie die Situation, daß ein Patient per Email falsch oder mißverständlich beraten wurde und der Arzt zur Rechenschaft gezogen wurde, obwohl er es nur "gut gemeint" hatte.

Um solchen Problemen von vornherein aus dem Weg zu gehen, können folgende generelle Empfehlungen gegeben werden:

- Auf jede Arzthomepage gehört unbedingt ein Standardhinweis für Patienten, daß Anfragen zu medizinischen Problemen grundsätzlich nicht beantwortet werden

- Kommt trotzdem eine Anfrage (und die Erfahrungen des Autors zeigen, daß man so viele Hinweise auf die Homepage machen kann, wie man will - es kommen dennoch Anfragen - manchmal kunstvoll formuliert wie "ich weiß zwar, daß Sie keine medizinischen Fragen beantworten, aber könnten Sie mir vielleicht trotzdem nur kurz sagen ob..."), sollte man mit einer Standardemail antworten, die den Patienten darauf hinweist, daß es der berufsordnung widerspricht, via Email Beratung anzubieten.

- Handelt es sich um ein dringliches medizinisches Problem, sollte der Patient explizit aufgefordert werden, zum Arzt zu gehen. Selbst in diesen Fällen sollte man mit Diagnosestellung und Therapieempfehlungen sehr zurückhaltend sein.

Ziemlich gute Sicherheit mit PGP

Wie schon mehrfach erwähnt ist Email ein recht unsicheres Verfahren, um sensitive medizinische Daten über öffentliche Netze zu übermitteln - jede Email ist ein "offenes Buch" und kann prinzipiell von jedem gelesen werden.

Pretty Good Privacy (PGP) ist im Internet seit Jahren ein anerkannt sicherer De-Facto-Standard für authentische und vertrauliche Email. PGP kann dazu eingesetzt werden

sicherzustellen, daß die Email authentisch ist, d.h. nicht von jemandem dritten verändert wurde, oder/und

sicherzustellen, daß die Email vertraulich bleibt, d.h. von keinem Dritten gelesen werden kann.

PGP wendet dafür kryptographische Verschlüsselungsverfahren an (siehe auch Kap. 08.07). Nur vergleichsweise wenige Netzbenutzer verwenden derzeit aktiv Kryptographie. Dabei ist gerade in der Medizin Vertraulichkeit und Authentizität gefordert, wenn Ärzte mit Patienten oder anderen Ärzten kommunizieren.

Warum kann die Verschlüsselung von E-Mails überhaupt sinnvoll sein? An jedem Vermittlungsrechner im Internet, den eine Email auf ihrem Weg zum Empfänger passiert, kann der Text abgefangen und kopiert werden. Auch an den Netzleitungen selbst ist dies möglich.

Intelligente Computerprogramme könnten diesen Strom an digitalen Daten sichten und nach bestimmten Schlüsselbegriffen filtern. Es gilt als offenes Geheimnis, daß sich die Geheimdienste solcher Techniken bedienen. Auch Hacker setzen sogenannte Sniffer-Programme (Schnüffler) ein, die Datenpakete im Internet abfangen und auswerten. Der Versand von Emails ohne Verschlüsselung wird daher häufig mit dem Verschicken einer Postkarte verglichen - erst die Verschlüsselung sorgt für den "versiegelten" Briefumschlag. Inwieweit die Verschlüsselung zur Erleichterung der Verbrechensbekämpfung staatlich reguliert werden sollte, ist in Europa derzeit strittig.

Das Verschlüsselungsprogramms Pretty Good Privacy (PGP) ist Freeware und ist kostenlos über viele Sharewarearchive zu beziehen. Im Email-Bereich ist PGP mittlerweile zu einem (Quasi-) Standard geworden und wird von sehr vielen Leuten eingesetzt. Seit Version 5.0 liegt PGP auch für grafische Betriebssystemoberflächen (Macintosh, Windows 95/NT) vor. Neben einer erheblich vereinfachten Bedienung durch volle Integration in die jeweilige grafische Benutzerschnittstelle und Anwendungsprogramme wurde vor allem auch der Sicherheitsstandard weiter erhöht (Schlüssellängen von über 1024 Bits; da wird das Schnüffeln für einen unbefugten Mitleser schon ziemlich zeit- und kostenintensiv).

Hinzu kommen eine verbesserte Schlüsselverwaltung und die Möglichkeit, Gruppen von Adressaten zu erstellen, um Mitteilungen für diese Empfänger gleichzeitig zu verschlüsseln. Emails oder andere Texte werden über die Zwischenablage von Windows 95 oder Windows NT spielend einfach verschlüsselt oder entschlüsselt sowie mit einer digitalen Unterschrift signiert. Mit der digitalen Signatur kann überprüft werden, ob ein Dokument von dem Unterzeichner stammt und bei der Übertragung nicht verändert wurde. Wer das E-Mail-Programm Eudora oder Microsoft Outlook verwendet, kann PGP als sogenanntes Plug-In einbinden und die Verschlüsselungsfunktionen direkt im Programm aufrufen.

Über die internationale PGP-Homepage (http://www.pgpi.com/) ist die US-Version ladbar.

Daneben gibt es auch noch die ältere Version 2.6.3, die kommandozeilenorientiert arbeitet und über die Eingabeaufforderung oder über grafische Shells (Benutzeroberflächen) bedient wird.

Wer sich also bislang noch scheute, ihre/seine - alltägliche - elektronische Post in einen sicheren und verschlossenen virtuellen Briefumschlag zu stecken oder unter eine Mitteilung seine digitale Unterschrift zu setzen, weil ihr/ihm die mitunter recht komplexen Befehlszeileneingaben zu unhandlich waren, ist heute mit ein paar Mausklicks dabei. Auch unter Komfort- und Bequemlichkeitsaspekten spricht nun nichts mehr dagegen, private elektronische Post auch privat zu halten oder doch zumindest digital zu unterschreiben und damit sicherzustellen, daß ein genannter Absender auch wirklich der Absender ist.

Tabelle 1. Häufige Begriffe, die im Kontext von PGP verwendet werden

File	Text- oder Binärdatei
Public Key	öffentlicher Schlüssel mit dem ein file verschlüsselt wird. Enthalten in der Datei »pubring.pkr«
Secret Key	privater Schlüssel. Enthalten in der Datei »secring.skr«
Pubring	Public Ring/Public Key Ring. Öffentlicher Schlüsselbund, die Datei »pubring.pkr«
Secring	Secret Ring/Secret Key Ring. Privater (geheimer) Schlüsselbund, die Datei »secring.skr«
Passphrase	Password Phrase, Paßwortsatz. Ein langes Passwort, auch »Mantra« genannt, mit dem der Secret Key verschlüsselt wird
Key-ID	Schlüsselnummer. Eine Ziffer mit der Syntax "0xXXXXXXXX", die es für jeden Key nur einmal gibt (ähnlich den Nummern, die man auf normalen Sicherheitsschlüsseln findet)
User-ID	Besitzerkennung. Der Name (+ der E-mailadresse) des Schlüsselbesitzers
Fingerprint	"Fingerabdruck" eines Keys. Eine Zahlenreihe, die bei der Schlüsselerzeugung als Prüfsumme der Schlüsselbits erstellt wird. Beispiel eines Fingerprints: B7 02 0B C1 24 FA E0 72 8B 2D 23 F2 CA BA 68 A0
Posting	Nachricht in eine Newsgroup des Usenets
Email	Nachricht an eine Person oder Mailingliste
Export	ein Public Key wird aus dem Pubring herauskopiert und als Datei abgelegt
Import	ein Public Key, der als Datei oder Bestandteil einer E-mail vorliegt, wird in den Pubring hineinkopiert
Validity	Gültigkeit, Authentizität eines Public Keys. Bezeichnet den Grad, inwieweit der Public Key wirklich dem User zuzuordnen ist
Trust	Vertrauensparameter. Vertrauen, daß man einem User zubilligt und damit auch das Vertrauen in einen Key, der von diesem User signiert wurde
Revocation	Rückzugsurkunde. Ein Public Key, der mit dem Merkmal "ungültig/zurückgezogen" veröffentlicht wird
E-mail Signatur	ein vierzeiliger Textblock am Ende einer E-mail, die zur Information persönliche Angaben des Autoren enthält
PGP Signatur	auch "Digitale Signatur". Ein PGP Block am Ende einer E-mail, der die Textprüfsumme des Textes darstellt (ähnlich der CRC-Prüfsumme bei ZIP Archiven) und die Überprüfung der Authentizität eines Textes ermöglicht
Session Key	zufälliger Schlüssel, mit dem der Klartext konventionell mittels IDEA verschlüsselt wird. Der Session Key wird mit dem Public Key des Empfängers verschlüsselt

Asymetrisches Schlüsselverfahren

Bei PGP 5.0 wird, wie schon zuvor mit der Version 2.6.3 ia oder 2.6.3 in, das asymetrische Schlüsselverfahren eingesetzt.

Das heißt, jeder PGP-Benutzer hat zwei zusammengehörende Schlüssel (ein Schlüsselpaar), bestehend aus:

- secret key (privater Schlüssel)

- public key (öffentlicher Schlüssel)

Secret Key ("privater Schlüssel")

Diesen Schlüssel kennt nur der Besitzer. Er bleibt geheim. Der Aufbewahrungsort für den eigenen (wenn man nur einen PGP-Key benutzt) oder die eigenen (wenn man mehrere PGP-Keys verwendet) privaten Schlüssel ist der private Schlüsselbund (die Datei "secring.skr").

Der Secret Key wird von PGP zuerst automatisch mit der Passphrase (siehe Tabelle 1) verschlüsselt und zwar mit Hilfe des symmetrischen Verfahrens IDEA. Somit wird der Secret Key durch die Passphrase vor neugierigen Blicken geschützt.

Der verschlüsselte Secret Key wird dann im Secring gespeichert. Mit dem Secret Key werden verschlüsselte Nachrichten entschlüsselt und die digitalen Unterschriften ("Signaturen") erzeugt.

Deshalb wird PGP jedesmal, wenn man entschlüsselt oder signiert, die Passphrase abfragen, da ja in beiden Fällen der Secret Key zum Einsatz kommt.

Public Key ("öffentlichen Schlüssel")

Dieser Schlüssel wird von dem Schlüsseleigner veröffentlicht, um anderen zu ermöglichen, die Authentizität der Email nachzuprüfen. Er ist nicht geheim. Der Aufbewahrungsort für alle öffentlichen Schlüssel, also auch dem eigenen Public Key ist der öffentliche Schlüsselbund (die Datei "pubring.pkr").

Mit dem Public Key wird eine Nachricht verschlüsselt oder die Signatur eines Absenders überprüft.

Verschlüsselung und Signierung können dabei miteinander kombiniert werden.

Dabei kann man aus dem Public Key nicht den Secret Key berechnen und ohne den Secret Key zu kennen, kann man keine Nachricht entschlüsseln, die mit dem dazugehörigen Public Key verschlüsselt wurde.

Auch wenn mit dem Secret Key eine Signatur erstellt wurde, kann man aus dieser Signatur nicht den Secret Key errechnen.

Daraus folgt, daß man den Public Key ohne Bedenken weitergeben kann, den Secret Key niemals !

Mehr noch: Der Secret Key sollte möglichst sicher abgelegt sein.

Zum Beispiel kann man den Secring auf einer Diskette abspeichern und diese nur einlegen, wenn man PGP benutzen will.

Digitaler Fingerabdruck

Eine der verwundbarsten Stellen von Kryptografieystemen, die mit öffentlichen Schlüsseln arbeiten, liegt darin, daß ein unbefugter Dritter den öffentlichen Schlüssel einer Person durch seinen eigenen ersetzt. Absolute Sicherheit, daß ein Schlüssel auch tatsächlich einer bestimmten Person gehört, ist nur dann gegeben, wenn der Besitzer des Schlüssels diesen auf eine Diskette kopiert und ihn persönlich weiterreicht. Da dies in der Regel nicht möglich ist, läßt sich die Echtheit eines Schlüssels jedoch an seinem "digitalen Fingerabdruck" feststellen. Also: Im Zweifelsfalle muß man den Inhaber des Schlüssels anrufen und sich den "Fingerabdruck" am Telefon vorlesen lassen. Vergleichen Sie diese Angaben mit dem Fingerabdruck des Schlüssels auf Ihrem Computer! Nur wenn beides übereinstimmt, sollten Sie diesen öffentlichen Schlüssel mit Ihrem eigenen privaten Schlüssel "signieren" und damit bestätigen, daß der Schlüssel tatsächlich der angegebenen Person gehört.

Zehn Richtlinien zur Aufbewahrung des privaten PGP-Schlüssels und dem Umgang mit PGP

Zur Gewährleistung der Sicherheit des geheimen Schlüsselbundes sind zwei Bedingungen zu erfüllen:

- der sichere Aufbewahrungsort

- die sichere Passphrase (Paßwort-Satz)

Ist der Paßwort-Satz ausreichend sicher, so kann die Sicherheit des Aufbewahrungsortes nachrangig behandelt werden. Da sich jedoch aus dem Verlust (oder auch Diebstahl) des Schlüssels aufwendige Arbeiten ergeben (Schlüssel sperren, alle Kommunikationspartner informieren, neuen Schlüssel generieren und verteilen usw.)

sollte ein Minimum an Vorsorge zur Schlüsselaufbewahrung getroffen werden.

Idealerweise befindet sich der geheime Schlüssel auf einem nicht-vernetzten PC, der jederzeit der physischen Kontrolle unterliegt. Da das in den meisten Fällen und insbesondere am Arbeitsplatz nicht realisierbar ist, gelten folgende Richtlinien für die Aufbewahrung:

- Der geheime Schlüssel wird nicht auf der Festplatte des PCs abgelegt, sondern befindet sich auf einer schreibgeschützten Diskette, die der Schlüsselinhaber entweder an einem wirklich sicheren Ort in der Praxis (z.B. im Safe) oder zu Hause aufbewahrt. Dazu sind vier Schritte notwendig:

- Die Datei secring.pgp wird auf eine Diskette kopiert.

- Falls vorhanden, wird auch die Datei secring.bak auf die Diskette kopiert.

- Beide kopierten Dateien werden auf der Festplatte gelöscht.

- In der Datei config.txt wird folgender Parameter geändert: SecRing = a:\secring.pgp

- Es sollte auf jeden Fall noch eine Kopie der Diskette mit dem geheimen Schlüssel als Backup erstellt werden, für den Fall, daß das Original einmal defekt sein sollte. Für den Aufbewahrungsort der Kopie gelten natürlich die gleichen Regeln, wie für das Original.

Sollte der private Schlüssel tatsächlich einmal "gestohlen" worden sein, so ist es wichtig, daß ein ausreichender Schutz durch einen vernünftig gewählten Paßwort-Satz besteht.

- Der Paßwort-Satz muß schwer zu erraten sein. Günstig sind Kombinationen von Zeichen, Ziffern und Sonderzeichen, z.B. 14munny,24show,32ready,42go!

- Der Paßwort-Satz muß leicht zu merken sein. Das widerspricht scheinbar obiger Regel, aber wenn man den obigen Paßwort-Satz richtig "interpretiert", kann man ihn sich auch gut merken. Auf keinen Fall darf der Paßwort-Satz aufgeschrieben werden.

- Der Paßwort-Satz sollte leicht zu tippen sein.

- Der Paßwort-Satz darf nur für PGP verwendet werden. Paßwörter, die auf anderen Rechnern oder unter anderen Benutzernummern verwendet werden, dürfen auf keinen Fall mit dem PGP-Paßwort-Satz identisch sein.

Ein sogenanntes Key Revocation Certificate (Rückrufurkunde) muß möglichst bald nach Erstellung des ersten Schlüsselpaares erstellt werden. Eine Rückrufurkunde besagt, daß der öffentliche Schlüssel, aus welchen Gründen auch immer, ungültig geworden ist. Zur Bestätigung der Echtheit des Key Revocation Certificate trägt es die Unterschrift des Schlüsselbesitzers.

Eine Rückrufurkunde wird benötigt, wenn:

- der Schlüssel "verloren" wurde (Festplatte/Diskette und alle Backups davon sind defekt und es existiert kein Ausdruck vom Schlüssel)

- der Schlüssel "gestohlen" wurde (selbst wenn der "Dieb" voraussichtlich nicht in den Besitz des Paßwortes gelangen wird)

- der Paßwort-Satz, der den privaten Schlüssel schützt, eventuell bekannt wurde

- der Schlüsselbesitzer den Paßwort-Satz vergessen hat.

Die Rückrufurkunde wird möglichst breit im Internet an alle Kommunikationspartner und Key-Server verteilt. Diese können die Rückrufurkunde an ihren Schlüsselbund aufnehmen.

PGP reagiert anschließend folgendermaßen:

- der gesperrte Schlüssel kann nicht mehr zum Verschlüsseln verwendet werden

- bei der Überprüfung von Signaturen, die mit dem zugehörigen privaten Schlüssel erstellt wurde, erscheint eine Warnung am Bildschirm.

Literatur

Anonym (1998): Deutsche Anleitung zu PGP 5.X http://www.hkn.de/user/raven/pgp5kurs.htm

Kane B et al. (1998). Guidelines for Clinical Use of Electronic Mail with Patients. JAMIA 5:104-111

Checkliste Email-Kommunikation

Antwortzeiten definieren. Maximale Antwortdauer: ...... Stunden
Patienten darüber informieren, wer in der Praxis die Emails alles zu sehen bekommt
Intern für die Praxismitarbeiter Bereiche und Themen definieren, die grundsätzlich per Email kommuniziert werden dürfen
Bereiche und Themen definieren, die grundsätzlich nicht per Email kommuniziert werden dürfen
Patienten darüber informieren, welche Subject-Zeilen bevorzugt verwendet werden sollen
Patienten darüber aufklären, daß sie grundsätzlich den vollen Namen und die Versichertennummer in die Email schreiben sollen
Email-Client so konfigurieren, daß auf alle Emails eine automatische Antwort-Email als Eingangsbestätigung versandt wird
Alle Emails einschließlich Antworten auf die Emails sollten ausgedruckt und in den Patientenakten archiviert werden
Grundsätzlich jede Patienten-Email sollte beantwortet werden, und sei es nur mit einer kurzen Bestätigung, daß das gewünschte veranlaßt wurde
Patienten in wichtigen Fällen instruieren, daß sie bestätigen sollen, wenn sie die Arzt-Email gelesen haben
Emails niemals für dringliche Fälle verwenden
Mailinglisten (Verteilerlisten, Adressbücher) mit allen Patientenemails führen, aber
diese Verteilerliste niemals an Dritte weitergeben
bei Nutzung darauf achten, daß nicht die gesamte Verteilerliste für den Empfänger sichtbar wird (bcc statt cc verwenden)
Zur juristischen Absicherung eventuell die Erlaubnis des Patienten, Email zu verwenden (eventuell unverschlüsselt), schriftlich bestätigen lassen
Passwort-geschützte Bildschirmschoner verwenden für alle Arbeitsplätze, an denen Email gelesen werden kann
Niemals Patienten-Emails an Dritte (auch Kollegen) weiterleiten, ohne die ausdrückliche Einwilligung des Patienten
Den Praxis-Email-Account nicht mit Familienangehörigen teilen
Möglichst kryptographische Methoden (PGP) verwenden
Alle Einträge in den Empfängerfeldern ("To", "Cc", "Bcc") vor dem Absenden nochmals prüfen, ob die Email auch an den richtigen Empfänger geht
Email vor dem Absenden nochmals durchlesen
Im Footer der Email komplette Absenderadresse angeben und den Patienten ermuntern, eventuell telefonisch nachzufragen
Emails von unbekannten Patienten grundsätzlich mit einem Standardhinweis beantworten, daß medizinische Fragen nicht per Email beantwortet werden können. Ansonsten Verstoß gegen die Berufsordnung!