Bewusste Vertriebslügen im Gesundheitswesen?
Guten Abend, versammelte Administratorenschaft!
Dieses Thema richtet sich speziell an alle, die sich mit IT im deutschen Gesundheitssystem beschäftigen und in diesem Zuge mit der IT-Sicherheitsrichtlinie der KBV (§ 75B SGB V) befasst sind.
Immer häufiger erlebe ich, dass verschiedene Anbieter Aussagen mit Bezug auf die IT-Sicherheitsrichtlinie treffen, die aus meiner Sicht fragwürdig bis schlicht falsch sind. Aktuell scheint eine neue Goldgräberstimmung ausgebrochen zu sein, weil ja innerhalb der nächsten Monate viele zehntausend Praxen zwangsweise auf TIaaS migriert werden, was dann für die Anbieter neue Verträge mit neuen Kostenmodellen bedeutet. Nicht nur in diesem Zusammenhang wird Praxisinhabern z.B. erzählt, sie wären rechtlich zur Nutzung einer "Hardware-Firewall" verpflichtet. Selbstverständlich hat der jeweilige Anbieter dann auch stets das passende Angebot "jetzt exklusiv zum Einführungspreis" parat...
Ein konkreter Satz aus einem aktuellen Anschreiben:
"Gemäß IT-Sicherheitsrichtlinie der KBV bedarf es zum Betrieb eines TIaaS (Konnektor im Rechenzentrum) und des TI-Gateway in Ihrer Praxis zur Sicherung der Netzübergangspunkte einer Hardware-Firewall (z. B. UTM-Firewall)."
Da ich glaube, die Sicherheitsrichtlinie ziemlich genau zu kennen, bin ich sehr sicher, dass an keiner Stelle davon die Rede ist, Praxen hätten überhaupt "Hardware-Firewalls" einzusetzen. Geschweige denn, dass an irgendeiner Stelle Zugangsvoraussetzungen zur TIaaS genannt werden. Immerhin ist die aktuelle Version der Richtlinie auch bereits von Januar 2021, zu diesem Zeitpunkt gab es noch kein einziges TIaaS-Angebot.
Jetzt frage ich mich und somit Euch: Übersehe ich etwas? Kenne ich spezifische Bestimmungen einfach nicht? Oder wird hier tatsächlich von einigen Anbietern schamlos die eigene Kundschaft belogen?
Dieses Thema richtet sich speziell an alle, die sich mit IT im deutschen Gesundheitssystem beschäftigen und in diesem Zuge mit der IT-Sicherheitsrichtlinie der KBV (§ 75B SGB V) befasst sind.
Immer häufiger erlebe ich, dass verschiedene Anbieter Aussagen mit Bezug auf die IT-Sicherheitsrichtlinie treffen, die aus meiner Sicht fragwürdig bis schlicht falsch sind. Aktuell scheint eine neue Goldgräberstimmung ausgebrochen zu sein, weil ja innerhalb der nächsten Monate viele zehntausend Praxen zwangsweise auf TIaaS migriert werden, was dann für die Anbieter neue Verträge mit neuen Kostenmodellen bedeutet. Nicht nur in diesem Zusammenhang wird Praxisinhabern z.B. erzählt, sie wären rechtlich zur Nutzung einer "Hardware-Firewall" verpflichtet. Selbstverständlich hat der jeweilige Anbieter dann auch stets das passende Angebot "jetzt exklusiv zum Einführungspreis" parat...
Ein konkreter Satz aus einem aktuellen Anschreiben:
"Gemäß IT-Sicherheitsrichtlinie der KBV bedarf es zum Betrieb eines TIaaS (Konnektor im Rechenzentrum) und des TI-Gateway in Ihrer Praxis zur Sicherung der Netzübergangspunkte einer Hardware-Firewall (z. B. UTM-Firewall)."
Da ich glaube, die Sicherheitsrichtlinie ziemlich genau zu kennen, bin ich sehr sicher, dass an keiner Stelle davon die Rede ist, Praxen hätten überhaupt "Hardware-Firewalls" einzusetzen. Geschweige denn, dass an irgendeiner Stelle Zugangsvoraussetzungen zur TIaaS genannt werden. Immerhin ist die aktuelle Version der Richtlinie auch bereits von Januar 2021, zu diesem Zeitpunkt gab es noch kein einziges TIaaS-Angebot.
Jetzt frage ich mich und somit Euch: Übersehe ich etwas? Kenne ich spezifische Bestimmungen einfach nicht? Oder wird hier tatsächlich von einigen Anbietern schamlos die eigene Kundschaft belogen?
Please also mark the comments that contributed to the solution of the article
Content-ID: 669819
Url: https://administrator.de/contentid/669819
Printed on: December 7, 2024 at 19:12 o'clock
31 Comments
Latest comment
Hi,
ich arbeite als Außendiensttechniker eines KMU, welches Partner eines PVS-Hersteller ist.
Die IT-Sicherheitsrichtlinie sagt alles und gar nichts, sie ist leider nur schwammig geschrieben. Einen Punkt finde ich aber direkt auf Seite 7 (Punkt 32):
"Der Übergang zu anderen Netzen insbesondere das Internet muss durch eine Firewall geschützt werden"
Was ist jetzt eine Firewall? Muss Sie UTM haben oder wird UTM einfach nur genannt, weil es der aktuelle Stand der Technik ist?
Das man als Wirtschaftsunternehmen, wozu nun mal eine Praxis zugehört, keine Firewall einsetzen würde, finde ich schon fast grob fahrlässig. Es wird immerhin mit hochsensiblen Patientendaten gearbeitet. Für mich ist das eine grobe Sicherheitslücke und sollte daher zwingend geschlossen werden, von daher stellt sich die Frage für mich und mein Unternehmen überhaupt nicht. Die Praxis muss ja zudem nicht nur die IT-Sicherheitsrichtlinie umsetzen. Es gehört ja auch die allgemeine DSGVO und DVG dazu.
Na klar warum auch nicht? Eine Firewall ist ein zentraler Baustein, in der IT-Sicherheit. Jede Praxis sollte diese haben und bei jeder Praxis, welche wir das PVS umstellen und uns vorher die Praxisgegebenheiten anschauen, wird das rot angemarkert, wenn keine Firewall vorhanden ist.
Die Praxen sind mit der TIaaS grundsätzlich per VPN angebunden. Bucht man dies bei der CGM bspw. bekommt man unweigerlich eine Watchguard Firewall geliefert, welche für den Zugriff zur TI verpflichtend ist. Wie es bei RISE oder anderen Hersteller ist, kann ich gar nicht genau sagen. Die meisten Kunden wechseln von der CGM weg :D
Als Hinweis: Die IT-Sicherheitsrichtlinie der KBV wird momentan überarbeitet und fußt dann auf einen anderen Paragraphen im SGB V Hierzu stehen mir erste Entwürfe zur Verfügung.
Als Punkt zur Firewall wird dann unteranderem folgendes genannt:
"Der Übergang zu anderen Netzen insbesondere dem Internet muss durch eine Firewall geschützt werden. Primäres Ziel ist es, keine unerlaubten Verbindungen von außen in das geschützte Netz zuzulassen. Zusätzlich sollten nur erlaubte Verbindungen aus dem geschützten Netz nach außen aufgebaut werden können."
Quacki
ich arbeite als Außendiensttechniker eines KMU, welches Partner eines PVS-Hersteller ist.
Die IT-Sicherheitsrichtlinie sagt alles und gar nichts, sie ist leider nur schwammig geschrieben. Einen Punkt finde ich aber direkt auf Seite 7 (Punkt 32):
"Der Übergang zu anderen Netzen insbesondere das Internet muss durch eine Firewall geschützt werden"
Was ist jetzt eine Firewall? Muss Sie UTM haben oder wird UTM einfach nur genannt, weil es der aktuelle Stand der Technik ist?
Das man als Wirtschaftsunternehmen, wozu nun mal eine Praxis zugehört, keine Firewall einsetzen würde, finde ich schon fast grob fahrlässig. Es wird immerhin mit hochsensiblen Patientendaten gearbeitet. Für mich ist das eine grobe Sicherheitslücke und sollte daher zwingend geschlossen werden, von daher stellt sich die Frage für mich und mein Unternehmen überhaupt nicht. Die Praxis muss ja zudem nicht nur die IT-Sicherheitsrichtlinie umsetzen. Es gehört ja auch die allgemeine DSGVO und DVG dazu.
Selbstverständlich hat der jeweilige Anbieter dann auch stets das passende Angebot "jetzt exklusiv zum Einführungspreis" parat...
Na klar warum auch nicht? Eine Firewall ist ein zentraler Baustein, in der IT-Sicherheit. Jede Praxis sollte diese haben und bei jeder Praxis, welche wir das PVS umstellen und uns vorher die Praxisgegebenheiten anschauen, wird das rot angemarkert, wenn keine Firewall vorhanden ist.
Zugangsvoraussetzungen zur TIaaS genannt werden. Immerhin ist die aktuelle Version der Richtlinie auch bereits von Januar 2021, zu diesem Zeitpunkt gab es noch kein einziges TIaaS-Angebot.
Die Praxen sind mit der TIaaS grundsätzlich per VPN angebunden. Bucht man dies bei der CGM bspw. bekommt man unweigerlich eine Watchguard Firewall geliefert, welche für den Zugriff zur TI verpflichtend ist. Wie es bei RISE oder anderen Hersteller ist, kann ich gar nicht genau sagen. Die meisten Kunden wechseln von der CGM weg :D
Als Hinweis: Die IT-Sicherheitsrichtlinie der KBV wird momentan überarbeitet und fußt dann auf einen anderen Paragraphen im SGB V Hierzu stehen mir erste Entwürfe zur Verfügung.
Als Punkt zur Firewall wird dann unteranderem folgendes genannt:
"Der Übergang zu anderen Netzen insbesondere dem Internet muss durch eine Firewall geschützt werden. Primäres Ziel ist es, keine unerlaubten Verbindungen von außen in das geschützte Netz zuzulassen. Zusätzlich sollten nur erlaubte Verbindungen aus dem geschützten Netz nach außen aufgebaut werden können."
Quacki
Moin,
den Punkt hatten wir schon vor Jahren in Zahnarztpraxen.
In den Dokumenten wird eine Hardware-Firewall gefordert.
Aber 1: AVM beschreibt seine Fritz!Box als ein Gerät (Hardware) mit Firewall-Funktion.
Aber 2: Die KVZ (hatten) ein PDF-Dokument wo eine Fritz!Box explizit als Hardware-Firewall genannt wurde.
Versteht mich nicht falsch: Ein gut eingerichtete UTM-Firewall mit Updates und Pflege erhöht die Sicherheit.
Aber eine Firewall mit Standard-Einstellungen einfach nur hingestellt ist eher schädlich. Ja, die macht auch ein bisschen. Aber sie bietete eine trügerische Sicherheit für den Nutzer den sie nicht erfüllt.
IT ist und bleibt aus meiner Sicht ein Thema was primär vom Budget und nicht den Anforderungen getrieben ist. 30% aller Zahnärzt in Deutschland stehen finanziell auf der Kippe. Besonders in Großstädten wo es einfach zu viele davon gibt. Da gibt es dann wirklich Entscheidungen zwischen: Neuer Server, Firewall, Behandlungseinheit reparieren und Fortbildung.
Stefan
den Punkt hatten wir schon vor Jahren in Zahnarztpraxen.
In den Dokumenten wird eine Hardware-Firewall gefordert.
Aber 1: AVM beschreibt seine Fritz!Box als ein Gerät (Hardware) mit Firewall-Funktion.
Aber 2: Die KVZ (hatten) ein PDF-Dokument wo eine Fritz!Box explizit als Hardware-Firewall genannt wurde.
Versteht mich nicht falsch: Ein gut eingerichtete UTM-Firewall mit Updates und Pflege erhöht die Sicherheit.
Aber eine Firewall mit Standard-Einstellungen einfach nur hingestellt ist eher schädlich. Ja, die macht auch ein bisschen. Aber sie bietete eine trügerische Sicherheit für den Nutzer den sie nicht erfüllt.
IT ist und bleibt aus meiner Sicht ein Thema was primär vom Budget und nicht den Anforderungen getrieben ist. 30% aller Zahnärzt in Deutschland stehen finanziell auf der Kippe. Besonders in Großstädten wo es einfach zu viele davon gibt. Da gibt es dann wirklich Entscheidungen zwischen: Neuer Server, Firewall, Behandlungseinheit reparieren und Fortbildung.
Stefan
Nachtrag: Ich werfe mal den Begriff "Verantwortung" in den Raum.
Mein Beispiel: Eine Firma/Praxis hat eine gut funktionieren Open-Source-Firewall mit allen Schikanen von einer kleine 2-Mann-Firma die wirklich Ahnung davon hat und die kümmern sich auch für einen schmalen Euro für Updates.
Jetzt kommt der "böse" Vertriebler und biete die neueste UTM-Firewall von Schnubbel-Tech mit Cloud-Verwaltung und AI-Funktionen für einen nicht so schmalen Euro an.
Die Praxis lehnt das Angebot ab.
12 Monate später wird die Praxis gehackt. Ein Gutachter der Cyber-Versicherung kommt und sagt als erstes: Mit einer richtigen UTM-Firewall wäre das nicht passiert. Bevor überhaupt geklärt ist was die Ursache war. Die möglicherweise mit einer gehackten zentralen Verwaltung der Verwaltungssoftware zu tun hat.
Wenn die Praxis das Angebot angenommen hätte, wäre sie auch gehackt aber der Gutachter würde sagen sagen: Sie haben ja eine UTM-Firewall. Mehr hätte sie wirklich nicht machen können.
Die gleiche Argumentation höhre ich auch für O365 und andere Cloud-Produkte.
Früher gab es diese Argumentation nur bei "großen" Firmen. Im KMU-Bereich eher selten.
Heute gilt es fast überall.
Stefan
Mein Beispiel: Eine Firma/Praxis hat eine gut funktionieren Open-Source-Firewall mit allen Schikanen von einer kleine 2-Mann-Firma die wirklich Ahnung davon hat und die kümmern sich auch für einen schmalen Euro für Updates.
Jetzt kommt der "böse" Vertriebler und biete die neueste UTM-Firewall von Schnubbel-Tech mit Cloud-Verwaltung und AI-Funktionen für einen nicht so schmalen Euro an.
Die Praxis lehnt das Angebot ab.
12 Monate später wird die Praxis gehackt. Ein Gutachter der Cyber-Versicherung kommt und sagt als erstes: Mit einer richtigen UTM-Firewall wäre das nicht passiert. Bevor überhaupt geklärt ist was die Ursache war. Die möglicherweise mit einer gehackten zentralen Verwaltung der Verwaltungssoftware zu tun hat.
Wenn die Praxis das Angebot angenommen hätte, wäre sie auch gehackt aber der Gutachter würde sagen sagen: Sie haben ja eine UTM-Firewall. Mehr hätte sie wirklich nicht machen können.
Die gleiche Argumentation höhre ich auch für O365 und andere Cloud-Produkte.
Früher gab es diese Argumentation nur bei "großen" Firmen. Im KMU-Bereich eher selten.
Heute gilt es fast überall.
Stefan
Moin, auch ohne aus dem direkten Bereich zu kommen würde ich mal 2 Punkte reinwerfen:
Das eine ist die Überlegung das solche Formulierungen ja generell auch gerne genommen werden DAMIT eben im dümmsten Fall sich niemand rausreden kann. Damit eben nicht irgendwer (ob Arzt, Klemptner oder was auch immer) nicht den Rechner einfach so mitm Modem ans Internet hängt und sich danach darauf beruft das es ja nie anders gefordert war. Und DA reicht oft eben schon ne Fritzbox aus da auch die (wie jedes andere Plastikgerät vom Baumarkt-Wühltisch) erstmal alle Verbindungen von aussen nach innen abblockt. Das ist natürlich nur ein _minimum_, aber schon um Klassen besser als nen Rechner ohne irgendwas mitm Modem am Internet...
Das zweite ist eben die Firewall selbst - und hier macht es aus meiner Sicht eben auch keinen SINN da irgendwas vorzugeben. Denn eine Firewall macht erstmal nix sicherer, DAS passiert doch erst mit der Konfiguration UND dem Überwachen der Konfig/Logs/... Die oben erwähnte "Any-Any-Rule" ist ja leider nicht mal sooo unüblich, grade in kleinen Betrieben. Dabei sind die Lizenzkosten für die FW nicht das einzige - man müsste ja eben sonst auch ne Pauschale mind. für jemanden zahlen der da drauf guckt (und ich vermute auch "ihr" als Dienstleister für solche "kleingewerbe" werdet das entweder nach Zeit oder nach Leistungsumfang abrechnen). Dazu muss natürlich für das ganze geraffel auch noch nen Platz vorhanden sein - würde ich in nem Hotelbereich nämlich den Rezi-Bereich wie nen IT-Raum aussehen lassen würde man mir schon was erzählen, ich vermute Ärzte sind da jetzt nicht grossartig anders und auch eher wenig begeistert...
Was den Nachtrag angeht: Was soll ein Gutachter denn machen? WIE willst du sowas denn neutral bewerten? Guck mal hier ins Forum - da wären einige Fragen bei denen ich dem Fragesteller jegliche Qualifikation absprechen würde sein/ihr Wissen an Kunden zu verkaufen. Genauso weisst du bei der "2-Mann-Firma" ja nicht automatisch ob die das wirklich machen - oder ob die nicht in dem Moment irgendeinen Studenten für 20E/Tag holen der da irgendwas zusammenbläst. DAS kannst du erst rausfinden wenn du die entsprechende Zeit aufwendest um das alles wirklich nachzuverfolgen. Ich glaube dafür wird kaum einer Zeit haben - und auch nicht bekommen da der Gutachter selbst ja idR. von der Versicherung bezahlt wird (welche ja durchaus ein Interesse hat das der Gründe findet warum die nich zahlen müssen). Und sorry - wenn mir zB. von nem IT Dienstleister schon Leute geschickt wurden die angeblich "mit Server-Erfahrung" kommen -> wenn man die bittet nen Server neu zu starten die aber ganz hart übers iDrac gehen, power-off, power on (und NICHT shutdown) und sagen "machen wir immer so" - nun, als Gutachter würdest du ja erstmal aufm Papier sehen "kommen von nem prof. IT Dienstleister", mehr hast du da ja nicht mehr. Damit wären bei mir die Menschen auch raus aus der Gleichung -> und es bleibt nur die Hardware... bei $Hersteller könnte ich noch gucken ob die letzten Versionsstände passen, bei Open Source -> eher schwer. Bei $Hersteller könnte ich im Zweifel (wenns um höhere Beträge geht) das Gerät einschicken lassen um das prüfen zu lassen. Bei Open-Source -> eher schwer... Von daher kann ich solche Argumentationen schon nachvollziehen - im Einzelfall ist es natürlich blöd wenn du wirklich weisst was du tust, meine Erfahrung zeigt mir aber leider das "wissen was man tut" eher aussterbend ist und es mehr "Internet hilft schon" auch reicht.
Das eine ist die Überlegung das solche Formulierungen ja generell auch gerne genommen werden DAMIT eben im dümmsten Fall sich niemand rausreden kann. Damit eben nicht irgendwer (ob Arzt, Klemptner oder was auch immer) nicht den Rechner einfach so mitm Modem ans Internet hängt und sich danach darauf beruft das es ja nie anders gefordert war. Und DA reicht oft eben schon ne Fritzbox aus da auch die (wie jedes andere Plastikgerät vom Baumarkt-Wühltisch) erstmal alle Verbindungen von aussen nach innen abblockt. Das ist natürlich nur ein _minimum_, aber schon um Klassen besser als nen Rechner ohne irgendwas mitm Modem am Internet...
Das zweite ist eben die Firewall selbst - und hier macht es aus meiner Sicht eben auch keinen SINN da irgendwas vorzugeben. Denn eine Firewall macht erstmal nix sicherer, DAS passiert doch erst mit der Konfiguration UND dem Überwachen der Konfig/Logs/... Die oben erwähnte "Any-Any-Rule" ist ja leider nicht mal sooo unüblich, grade in kleinen Betrieben. Dabei sind die Lizenzkosten für die FW nicht das einzige - man müsste ja eben sonst auch ne Pauschale mind. für jemanden zahlen der da drauf guckt (und ich vermute auch "ihr" als Dienstleister für solche "kleingewerbe" werdet das entweder nach Zeit oder nach Leistungsumfang abrechnen). Dazu muss natürlich für das ganze geraffel auch noch nen Platz vorhanden sein - würde ich in nem Hotelbereich nämlich den Rezi-Bereich wie nen IT-Raum aussehen lassen würde man mir schon was erzählen, ich vermute Ärzte sind da jetzt nicht grossartig anders und auch eher wenig begeistert...
Was den Nachtrag angeht: Was soll ein Gutachter denn machen? WIE willst du sowas denn neutral bewerten? Guck mal hier ins Forum - da wären einige Fragen bei denen ich dem Fragesteller jegliche Qualifikation absprechen würde sein/ihr Wissen an Kunden zu verkaufen. Genauso weisst du bei der "2-Mann-Firma" ja nicht automatisch ob die das wirklich machen - oder ob die nicht in dem Moment irgendeinen Studenten für 20E/Tag holen der da irgendwas zusammenbläst. DAS kannst du erst rausfinden wenn du die entsprechende Zeit aufwendest um das alles wirklich nachzuverfolgen. Ich glaube dafür wird kaum einer Zeit haben - und auch nicht bekommen da der Gutachter selbst ja idR. von der Versicherung bezahlt wird (welche ja durchaus ein Interesse hat das der Gründe findet warum die nich zahlen müssen). Und sorry - wenn mir zB. von nem IT Dienstleister schon Leute geschickt wurden die angeblich "mit Server-Erfahrung" kommen -> wenn man die bittet nen Server neu zu starten die aber ganz hart übers iDrac gehen, power-off, power on (und NICHT shutdown) und sagen "machen wir immer so" - nun, als Gutachter würdest du ja erstmal aufm Papier sehen "kommen von nem prof. IT Dienstleister", mehr hast du da ja nicht mehr. Damit wären bei mir die Menschen auch raus aus der Gleichung -> und es bleibt nur die Hardware... bei $Hersteller könnte ich noch gucken ob die letzten Versionsstände passen, bei Open Source -> eher schwer. Bei $Hersteller könnte ich im Zweifel (wenns um höhere Beträge geht) das Gerät einschicken lassen um das prüfen zu lassen. Bei Open-Source -> eher schwer... Von daher kann ich solche Argumentationen schon nachvollziehen - im Einzelfall ist es natürlich blöd wenn du wirklich weisst was du tust, meine Erfahrung zeigt mir aber leider das "wissen was man tut" eher aussterbend ist und es mehr "Internet hilft schon" auch reicht.
Moin,
Allgemein wird unter Firewall eine Struktur verstanden, die den Zugang von einem Netzwerk ins andere Reglementiert. So gesehen sind auch Fritzboxen oder Speedports "Hardware-Firewalls" die i.d.R. den praktischen Zweck einer Firewall erfüllen, keine Verbindungen von einem netz (Internet) ins andere netz (LAN) zu lassen, außer man definiert regeln (Portweiterleitungen o.ä.), die Ausnahmen zulassen. Die Kommunikatin von innen nach außen läßt sich zwar nicht so granular regeln, wie man sich das manchmal wünscht, aber man kann z.B. bestimmte Stationen davon ausschließen, nach außen verbindungen aufzubauen. So gesehen erfüllen die Plaste-Router durchaus Firewall-Funktionalität und man kann die mit Fug und Recht als Hardware-Firewall bezeichnen.
Nun sind wir in einem Admin-Forum und uns durchaus bewußt, daß wir von einer Hardware-Firewall durchaus mehr erwarten. Aber als jemand der seit den späten 80ern, als kaum jemand das Internet kannte, Firewalls aufbaut und konfiguriert kann ich sagen, daß man eine Firewall immer an den Anforderungen messen muß und nicht an dem wie langder S_c_h_w_a_n_z die Featureliste ist. Von daher würde ich erstmal abklopfen, was da an funktionalität überhaupt benötigt wird. meiner erfahrung nach benötigen die meisten nämlich wirklich nicht viel mehr als die funktionalität einer Fritte, Insbesondere weil sie mit viel mehr meist auch nciht umgehen können und dann beim rumklicken Sachen einstellen können, die entweder den Betrieb lahmlegen oder große Löcher in die Firewall bohren.
lks
Allgemein wird unter Firewall eine Struktur verstanden, die den Zugang von einem Netzwerk ins andere Reglementiert. So gesehen sind auch Fritzboxen oder Speedports "Hardware-Firewalls" die i.d.R. den praktischen Zweck einer Firewall erfüllen, keine Verbindungen von einem netz (Internet) ins andere netz (LAN) zu lassen, außer man definiert regeln (Portweiterleitungen o.ä.), die Ausnahmen zulassen. Die Kommunikatin von innen nach außen läßt sich zwar nicht so granular regeln, wie man sich das manchmal wünscht, aber man kann z.B. bestimmte Stationen davon ausschließen, nach außen verbindungen aufzubauen. So gesehen erfüllen die Plaste-Router durchaus Firewall-Funktionalität und man kann die mit Fug und Recht als Hardware-Firewall bezeichnen.
Nun sind wir in einem Admin-Forum und uns durchaus bewußt, daß wir von einer Hardware-Firewall durchaus mehr erwarten. Aber als jemand der seit den späten 80ern, als kaum jemand das Internet kannte, Firewalls aufbaut und konfiguriert kann ich sagen, daß man eine Firewall immer an den Anforderungen messen muß und nicht an dem wie lang
lks
Moin
da ist so einiges an den Arzt oder die Ärztin verkauft worden, was die nicht wirklich zwingend benötigen.
Was mir noch sehr gut in Erinnerung ist, ist der Verkauf des Konnektors mitsamt des VPNs und der dringenden Empfehlung, den gesamten Internetverkehr duch den Tunnel zu routen. "Weil es sicherer ist". Oder sollte es doch eher so sein, weil es sich für den Anbieter rechnet, wenn man jedes GB Internettraffic dann teuer bezahlen muss?
Gruß
da ist so einiges an den Arzt oder die Ärztin verkauft worden, was die nicht wirklich zwingend benötigen.
Was mir noch sehr gut in Erinnerung ist, ist der Verkauf des Konnektors mitsamt des VPNs und der dringenden Empfehlung, den gesamten Internetverkehr duch den Tunnel zu routen. "Weil es sicherer ist". Oder sollte es doch eher so sein, weil es sich für den Anbieter rechnet, wenn man jedes GB Internettraffic dann teuer bezahlen muss?
Gruß
Erstmal finde ich den Thread hier gut, ich kann deine Einwende absolut des OP nachvollziehen. Es macht Sinn, sich mit dem Wortlaut solcher Regelungen zu befassen und aufzuzeigen, wo die Probleme bei solchen Angeboten liegen.
Ich kenne die konkrete Regelung nicht und habe zum Glück nichts mit der IT des Gesundheitswesens zu tun. Ich würde jetzt mal nur auf das hier Geschriebene und andere Vorgaben von z.B. Cyber-Versicherungen eingehen. Aus mehreren Annahmen würde ich das ganze für mich ableiten.
Annahme 1:
Erstmal nehme ich an, das so ziemlich jede gesetzliche Regelung den Begriff "Firewall" als Paketfilter auslegt.
Annahme 2:
Welche Pakete ein Paketfilter nicht raus in das Internet routen darf, das kann eigentlich nicht sinnvoll geregelt werden. Natürlich wäre es wünschenswert, ungewollte Datenabflüsse zu erkennen und zu unterbinden. Sowas ließe sich aber weder per Gesetz oder Richtline vorgeben, noch gibt es Lösungen, die überall und out of the box funktionieren. Also muss eine "Firewall" keine technische Lösung für Dataloss Prevention oder dergleichen bieten. Eine Regel "alles darf raus" wäre also auf keiner Firewall per se problematisch.
Annahme 3:
Welche Pakete eine Firewall rein lassen darf, lässt sich natürlich auch nicht pauschal sagen. I.d.R. sind es aber sowieso nur solche, die als Antwort auf ausgehende Verbindungen eintreffen. Niemand kann hier ernsthaft von einem Paketfilter erwarten, das er z.B. die AnyDesk-Verbindung aus Pakistan raus hält, die ein Arzthelfer für den Microsoft-Support aufgemacht hat.
Eine Regel "nichts darf rein, mit Ausnahme von Antworten" ist also auch kein Problem. Eine UTM mit Any-Any Regel dürfte das i.d.R. auch gewährleisten, wenn zeitglich NAT ohne Portforwarding statt findet. (Auch das würde ich erstmal als Regelfall vermuten.)
Zwischen-Fazit I:
Jeder Paketfilter, jedes Gerät mit NAT ohne Portforwarding, erfüllt die Vorgabe als Firewall zu fungieren. Jede Fritzbox, jeder Router vom ISP ist vermutlich eine Firewall.
Annahme 4:
Ob eine Firewall Hardware sein muss oder Software sein darf, darüber kann man sich sicherlich streiten. Da auch viele "Hardware-Firewalls", UTMs, etc. nicht nur Paketfilter sondern auch weitere Funktionen übernehmen (DHCP, E-Mail Gateway) ist die Diskussion ziemlich dämlich. Solange der Hersteller des Paketfilters auch die anderen Software Funktionen liefert, und solange die Hardware nichts macht als die Software dieses Herstellers zu betreiben, könnten wir uns, denke ich, darauf einigen, das es sich um eine Hardware Firewall handelt. Das würde auch wieder bedeuten das jede Fritzbox, jeder Router vom ISP ist vermutlich eine Hardware-Firewall darstellt.
Zwischen-Fazit II:
Ob die IT-Sicherheitsregelung eine Hardware- oder nur eine Firewall vorschreibt, ist in 99,9% der Fälle belanglos.
Annahme 5:
Durch Begriffe wie "Stand der Technik" und aus dem gesunden Menschenverstand würde ich einfach ableiten, das die Software einer Hardware-Firewall aktuell sein muss. Alles andere währe Fahrlässig. Also der Paketfilter, die Plattform, und alles was sonst noch neben dem Paketfilter läuft, muss aktuell sein. Das kann man auch mit einer Fritzbox leisten. Bei vielen Billo-Routern wäre ich da vorsichtig. Die sollten zumindest einen bekannten Support-Zyklus haben, mit dem man planen kann.
Fazit:
Also Paketfilter + dedizierte Hardware + aktuelle Software = Hardware-Firewall. Ich würde sagen jeder dieser Lösungen, auch eine Fritzbox die Updates zeitnah bekommt, ist Vorschriftsmäßig.
Ich hatte in der Vergangenheit auch mit solchen Fragen zu tun. Der TÜV-Auditor hatte schon sehr komische Vorstellungen in einigen Punkten, da ging es z.B. um Virenscanner auf Android-Geräten (Eine UTM habe ich ja, dazu hat er nichts gesagt ). Die Cyberversicherungen waren da unterschiedlich. Man hat sich in einigen Fällen zufrieden gegeben mit einer Angabe wie: "Wir haben ein Konzept und setzen sinnvolle Maßnahmen um. Dinge, die wir nicht für sinnvoll halten, können Sie uns gerne im Detail vorschreiben oder wir machen das nicht."
Ich kenne die konkrete Regelung nicht und habe zum Glück nichts mit der IT des Gesundheitswesens zu tun. Ich würde jetzt mal nur auf das hier Geschriebene und andere Vorgaben von z.B. Cyber-Versicherungen eingehen. Aus mehreren Annahmen würde ich das ganze für mich ableiten.
Annahme 1:
Erstmal nehme ich an, das so ziemlich jede gesetzliche Regelung den Begriff "Firewall" als Paketfilter auslegt.
(z. B. UTM-Firewall).
Eine UTM (oder eine "Next Generation Firewall xy") hat einen Paketfilter, nicht jeder Paketfilter ist eine UTM. Hat auch bisher keiner behauptet, will ich nur zur Verdeutlichung sagen. Ein Paketfilter filtert ausschließlich auf den Ebenen Herkunft, Ziel und Port. Er Bewertet Verbindungen nur auf Basis dieser Eigenschaften und erlaubt oder unterbindet sie.Annahme 2:
Welche Pakete ein Paketfilter nicht raus in das Internet routen darf, das kann eigentlich nicht sinnvoll geregelt werden. Natürlich wäre es wünschenswert, ungewollte Datenabflüsse zu erkennen und zu unterbinden. Sowas ließe sich aber weder per Gesetz oder Richtline vorgeben, noch gibt es Lösungen, die überall und out of the box funktionieren. Also muss eine "Firewall" keine technische Lösung für Dataloss Prevention oder dergleichen bieten. Eine Regel "alles darf raus" wäre also auf keiner Firewall per se problematisch.
Annahme 3:
Welche Pakete eine Firewall rein lassen darf, lässt sich natürlich auch nicht pauschal sagen. I.d.R. sind es aber sowieso nur solche, die als Antwort auf ausgehende Verbindungen eintreffen. Niemand kann hier ernsthaft von einem Paketfilter erwarten, das er z.B. die AnyDesk-Verbindung aus Pakistan raus hält, die ein Arzthelfer für den Microsoft-Support aufgemacht hat.
Eine Regel "nichts darf rein, mit Ausnahme von Antworten" ist also auch kein Problem. Eine UTM mit Any-Any Regel dürfte das i.d.R. auch gewährleisten, wenn zeitglich NAT ohne Portforwarding statt findet. (Auch das würde ich erstmal als Regelfall vermuten.)
Zwischen-Fazit I:
Jeder Paketfilter, jedes Gerät mit NAT ohne Portforwarding, erfüllt die Vorgabe als Firewall zu fungieren. Jede Fritzbox, jeder Router vom ISP ist vermutlich eine Firewall.
Annahme 4:
Ob eine Firewall Hardware sein muss oder Software sein darf, darüber kann man sich sicherlich streiten. Da auch viele "Hardware-Firewalls", UTMs, etc. nicht nur Paketfilter sondern auch weitere Funktionen übernehmen (DHCP, E-Mail Gateway) ist die Diskussion ziemlich dämlich. Solange der Hersteller des Paketfilters auch die anderen Software Funktionen liefert, und solange die Hardware nichts macht als die Software dieses Herstellers zu betreiben, könnten wir uns, denke ich, darauf einigen, das es sich um eine Hardware Firewall handelt. Das würde auch wieder bedeuten das jede Fritzbox, jeder Router vom ISP ist vermutlich eine Hardware-Firewall darstellt.
Zwischen-Fazit II:
Ob die IT-Sicherheitsregelung eine Hardware- oder nur eine Firewall vorschreibt, ist in 99,9% der Fälle belanglos.
Annahme 5:
Durch Begriffe wie "Stand der Technik" und aus dem gesunden Menschenverstand würde ich einfach ableiten, das die Software einer Hardware-Firewall aktuell sein muss. Alles andere währe Fahrlässig. Also der Paketfilter, die Plattform, und alles was sonst noch neben dem Paketfilter läuft, muss aktuell sein. Das kann man auch mit einer Fritzbox leisten. Bei vielen Billo-Routern wäre ich da vorsichtig. Die sollten zumindest einen bekannten Support-Zyklus haben, mit dem man planen kann.
Fazit:
Also Paketfilter + dedizierte Hardware + aktuelle Software = Hardware-Firewall. Ich würde sagen jeder dieser Lösungen, auch eine Fritzbox die Updates zeitnah bekommt, ist Vorschriftsmäßig.
Ich hatte in der Vergangenheit auch mit solchen Fragen zu tun. Der TÜV-Auditor hatte schon sehr komische Vorstellungen in einigen Punkten, da ging es z.B. um Virenscanner auf Android-Geräten (Eine UTM habe ich ja, dazu hat er nichts gesagt ). Die Cyberversicherungen waren da unterschiedlich. Man hat sich in einigen Fällen zufrieden gegeben mit einer Angabe wie: "Wir haben ein Konzept und setzen sinnvolle Maßnahmen um. Dinge, die wir nicht für sinnvoll halten, können Sie uns gerne im Detail vorschreiben oder wir machen das nicht."
Ambivalentes Thema.
Generell geht es bei Gesetzen darum, sie so zu formulieren, dass sie weitestgehend alles abdecken. Daher sind sie eher schwammig als spezifisch formuliert. Es gäbe sonst zu viele Lücken.
Daher gibt es (quasi für jede Branche) eine Handlungsempfehlung von den entsprechenden Verbänden. Da werden dann oftmals brauch- und auch gangbare Szenarien aufgezeigt, mit dem auch der Laie etwas anfangen kann.
Das Problem ist jetzt, wenn es um komplettes Neuland geht. Da greifen die Verbände auch oft nur auf Spezialisten zurück, da sie ja im Grunde eine andere Aufgabe haben. Keiner will sich da möglicherweise in die Nesseln setzen und eine Empfehlung rausgeben, die dann doch irgendwo einen Fehler hat, der anfangs nicht ersichtlich war.
Heißt also, in der Realität muss man sich von Spezialisten beraten lassen. Dass Vertrieb was verkaufen will, steht doch außer Frage.
In dem genannten Fall nehm ich jetzt einfach mal das von @Quacksalber als gegeben, also dass eine "Firewall" gefordert wird.
Ich vermute jetzt stark, dass der vom TO genannte Vertrieb eine Hardware verkaufen will. Daher schreibt er in seinem Werbetext von einer Hardware-Firewall. Ich würde weiterhin vermuten, dass ein Vertrieb, der Software an den Mann bringen will in seinem Werbetext von einer Software-Lösung reden würde.
Sind die beiden Texte dann richtig? Eher nein. Aber sind sie richtig falsch? (Nicht richtig: der Berg da drüben ist kein 5.000er sondern ein 4.000er. Falsch: Das da drüben ist kein 5.000er, es ist eine Kuh)
Ich sehe da jetzt keine bewusste Lüge. Es wird nur bewusst in eine Richtung gewiesen, die dem Vertrieb von Vorteil ist.
Auf der anderen Seit des Tisches sitzt dem Vertrieb doch auch ein Unternehmer gegenüber. Es gehört da auch einiges mehr dazu als nur ein Schreibtisch und eine Metallplakette an der Tür. Da hat man auch Risiken und Pflichten. Und da ist es auch nicht anders wie sonst auch: habe ich keine Ahnung, dann wende ich mich zur Beurteilung an Fachspezialisten, aber mit Sicherheit nicht an einen Vertriebler.
Irgendjemand hat weiter oben was von "Verantwortung" geschrieben. Ich setze da noch ein "Eigen-" vorne weg.
Und ja, auch wenn es da um eine kleine Ein-Mann-Praxis geht, der Vertrieb sucht sich da (zumindest zu 99%) eben genau so einen raus, um genau den zu übertölpeln. Die gehen ins Verzeichnis, suchen nach "Arztpraxen", legen Geld auf den Thresen und lassen ein Mailing los.
Schwieriger wirds in meinen Augen dann, wenn man schon nach der Bedarfsanalyse ist und gesagt wird, es müsste in dem Fall unbedingt eine Hardware-Firewall sein. Aber selbst dann muss man sich als Unternehmer bewusst sein, dass man da in erster Linie mit einem Vertriebler und nicht mit einem Fachspezialist redet.
tl;dr: Anschreiben = Werbung, also nicht zu viel reininterpretieren. Fachfragen beim Fachspezialist klären lassen.
Generell geht es bei Gesetzen darum, sie so zu formulieren, dass sie weitestgehend alles abdecken. Daher sind sie eher schwammig als spezifisch formuliert. Es gäbe sonst zu viele Lücken.
Daher gibt es (quasi für jede Branche) eine Handlungsempfehlung von den entsprechenden Verbänden. Da werden dann oftmals brauch- und auch gangbare Szenarien aufgezeigt, mit dem auch der Laie etwas anfangen kann.
Das Problem ist jetzt, wenn es um komplettes Neuland geht. Da greifen die Verbände auch oft nur auf Spezialisten zurück, da sie ja im Grunde eine andere Aufgabe haben. Keiner will sich da möglicherweise in die Nesseln setzen und eine Empfehlung rausgeben, die dann doch irgendwo einen Fehler hat, der anfangs nicht ersichtlich war.
Heißt also, in der Realität muss man sich von Spezialisten beraten lassen. Dass Vertrieb was verkaufen will, steht doch außer Frage.
In dem genannten Fall nehm ich jetzt einfach mal das von @Quacksalber als gegeben, also dass eine "Firewall" gefordert wird.
Ich vermute jetzt stark, dass der vom TO genannte Vertrieb eine Hardware verkaufen will. Daher schreibt er in seinem Werbetext von einer Hardware-Firewall. Ich würde weiterhin vermuten, dass ein Vertrieb, der Software an den Mann bringen will in seinem Werbetext von einer Software-Lösung reden würde.
Sind die beiden Texte dann richtig? Eher nein. Aber sind sie richtig falsch? (Nicht richtig: der Berg da drüben ist kein 5.000er sondern ein 4.000er. Falsch: Das da drüben ist kein 5.000er, es ist eine Kuh)
Ich sehe da jetzt keine bewusste Lüge. Es wird nur bewusst in eine Richtung gewiesen, die dem Vertrieb von Vorteil ist.
Auf der anderen Seit des Tisches sitzt dem Vertrieb doch auch ein Unternehmer gegenüber. Es gehört da auch einiges mehr dazu als nur ein Schreibtisch und eine Metallplakette an der Tür. Da hat man auch Risiken und Pflichten. Und da ist es auch nicht anders wie sonst auch: habe ich keine Ahnung, dann wende ich mich zur Beurteilung an Fachspezialisten, aber mit Sicherheit nicht an einen Vertriebler.
Irgendjemand hat weiter oben was von "Verantwortung" geschrieben. Ich setze da noch ein "Eigen-" vorne weg.
Und ja, auch wenn es da um eine kleine Ein-Mann-Praxis geht, der Vertrieb sucht sich da (zumindest zu 99%) eben genau so einen raus, um genau den zu übertölpeln. Die gehen ins Verzeichnis, suchen nach "Arztpraxen", legen Geld auf den Thresen und lassen ein Mailing los.
Schwieriger wirds in meinen Augen dann, wenn man schon nach der Bedarfsanalyse ist und gesagt wird, es müsste in dem Fall unbedingt eine Hardware-Firewall sein. Aber selbst dann muss man sich als Unternehmer bewusst sein, dass man da in erster Linie mit einem Vertriebler und nicht mit einem Fachspezialist redet.
tl;dr: Anschreiben = Werbung, also nicht zu viel reininterpretieren. Fachfragen beim Fachspezialist klären lassen.
Bitte beachten Sie, dass eine Fritzbox nicht den Anforderungen einer Hardware-Firewall entspricht."
Richtig müsste das vermutlich heißen: Bitte beachten Sie, dass eine Fritzbox nach unserer Erachten nicht den Anforderungen einer Hardware-Firewall entspricht".
Denn selbst wenn man statt dessen IT-Experten sagt, müsste man die bennen können.
Selbst diese Aussage sehe ich persönlich nicht zu kritisch. Der Begriff "Hardware-Firewall" ist ja jetzt nix wirklich eindeutig. In der Regel versteht man darunter eine physische Appliance auf einer dedizierten Hardware. Eine Fritzbox ist im Grunde ja nur ein Modem samt Router mit NAT-Funktion. Ist jetzt auch schon so firewall-artig und lässt auch nicht so alles von außen nach innen durch. Aber es gibt dann doch schon deutliche Unterschiede zu den genannten und als Hardware-Firewall bezeichneten Geräten von Lancom und Securepoint.
Im Kontext gelesen, ist die Abgrenzung da jetzt nicht wirklich falsch und mit Sicherheit keine Lüge. Würde die Aussage, dass eine Fritzbox keine Hardware-Firewall ist, für sich alleine stehen, wäre es wohl fragwürdiger.
Man darf halt immer nicht vergessen, dass wir uns noch immer im Werbeumfeld befinden, also § 5 UWG.
Da es in dem genannten Absatz um Kompatibilität geht, ist das eher ein semantisches Problem. Besser wäre es gewesen, bei dem Satz "Bitte beachten Sie, dass eine Fritzbox nicht den Anforderungen einer Hardware-Firewall entspricht"das "den" durch "unseren" zu ersetzen.
Es gibt halt nicht die Definition einer Hardware-Firewall.
Ich denke, dass da auch Juristen nur mutmaßen können. Man müsste es wohl auf ein Urteil ankommen lassen. Und selbst das dürfte dann nicht allgemeine Lesart werden.
Es gilt da ja auch das gleiche, wie bei den Verbänden. Da wird sich auch keiner verbindlich dazu äußern.
Das wäre aber in der Tat ein interessantes Thema für eine Zivilrechtsvorlesung. Mal was anderes als die immer gleichen Kaufvertrag-Beispiele.
Im Kontext gelesen, ist die Abgrenzung da jetzt nicht wirklich falsch und mit Sicherheit keine Lüge. Würde die Aussage, dass eine Fritzbox keine Hardware-Firewall ist, für sich alleine stehen, wäre es wohl fragwürdiger.
Man darf halt immer nicht vergessen, dass wir uns noch immer im Werbeumfeld befinden, also § 5 UWG.
Da es in dem genannten Absatz um Kompatibilität geht, ist das eher ein semantisches Problem. Besser wäre es gewesen, bei dem Satz "Bitte beachten Sie, dass eine Fritzbox nicht den Anforderungen einer Hardware-Firewall entspricht"das "den" durch "unseren" zu ersetzen.
Es gibt halt nicht die Definition einer Hardware-Firewall.
Ich denke, dass da auch Juristen nur mutmaßen können. Man müsste es wohl auf ein Urteil ankommen lassen. Und selbst das dürfte dann nicht allgemeine Lesart werden.
Es gilt da ja auch das gleiche, wie bei den Verbänden. Da wird sich auch keiner verbindlich dazu äußern.
Das wäre aber in der Tat ein interessantes Thema für eine Zivilrechtsvorlesung. Mal was anderes als die immer gleichen Kaufvertrag-Beispiele.
"Kompatibel sind die getesteten Hardware-Firewalls von Lancom und Securepoint. Bei dem Einsatz dieser muss der Wireguard-Client gebucht werden. Sollten Sie aktuell bereits eine Hardware-Firewall einsetzen, geben Sie dieses bitte auf dem Bestellschein an. Bitte beachten Sie, dass eine Fritzbox nicht den Anforderungen einer Hardware-Firewall entspricht."
Dieses Zitat bezieht sich auf etwas davor. Das "Fritzbox nicht den Anforderungen einer Hardware-Firewall entspricht" sehe ich zwar als schlecht formuliert an, aber ich würde das auf das beziehen, was vor "Kompatibel" steht. Vor allem das mit Wireguard dürfte sich auf ein sehr konkretes Szenario beziehen, eine Hardware-Firewall braucht ja nicht zwingend Wireguard.
Für sich genommen wäre es aus meiner Sicht falsch, ich sage eine Fritzbox ist ein Hardware-Paketfilter und damit eine Hardware-Firewall.
Ich würde einfach mal vermuten das ein Produkt-Name ganz sicher nicht aussagefähig darüber ist ob ein Gerät "qualifiziert" ist oder nicht. Denn eine Firewall ist ja nunmal nicht an einen Hersteller gebunden, rein inhaltlich wäre das auch schon schwer und extrem schwammig. Denn was würde - rein gedanklich - passieren wenn ich auf nem Cisco-Switch nen paar ACLs definiere -> damit hat das Netz auch eine Firewall, es steht ja da nicht _wo_ die sein soll. Es wäre alles erfüllt: Es ist eine hardware-firewall (nen L3-Switch angenommen habe ich ja zumindest Port-Filter),... Nur blöd das wenn mein Gateway im selben Netz hängt das der Switch die Pakete selbst ja nie anfassen wird -> aber das ändert nichts daran das eine Firewall vorhanden ist...
Weiterhin würde ich eine solche Formulierung für nicht wirklich durchsetzbar halten -> denn sonst müsste ja zumindest nen grundregelwerk auch definiert sein. Ne Fritte ist nichts anderes als jede Firewall von $Hersteller -> gneauso gut, genauso schlecht WENN man eben definieren würde "von aussen nach innen nix, von innen nach aussen alles". Das einzige wo ich davon ausgehen würde das der Hersteller natürlich recht hat wäre beim Support -> das jeder Hersteller sagen kann "wir kennen das Produkt x, y, z -> DA können wir helfen... rufst du mit nem Problem an weil deine Fritte nen Problem macht geh nur nächsten Pommesbude aber lass mich in Ruhe". Das wäre ja auch nicht unüblich - wenn bei mir jemand (selbst privat) wiedermal mit irgendeinem billigst-plastik-geraffel ankommt bei dem der letzte Treiber von 2015 aus china kommt und meint "installier mal" leg ich den Kram ja auch nur ins Regal und verweigere das...
Weiterhin würde ich eine solche Formulierung für nicht wirklich durchsetzbar halten -> denn sonst müsste ja zumindest nen grundregelwerk auch definiert sein. Ne Fritte ist nichts anderes als jede Firewall von $Hersteller -> gneauso gut, genauso schlecht WENN man eben definieren würde "von aussen nach innen nix, von innen nach aussen alles". Das einzige wo ich davon ausgehen würde das der Hersteller natürlich recht hat wäre beim Support -> das jeder Hersteller sagen kann "wir kennen das Produkt x, y, z -> DA können wir helfen... rufst du mit nem Problem an weil deine Fritte nen Problem macht geh nur nächsten Pommesbude aber lass mich in Ruhe". Das wäre ja auch nicht unüblich - wenn bei mir jemand (selbst privat) wiedermal mit irgendeinem billigst-plastik-geraffel ankommt bei dem der letzte Treiber von 2015 aus china kommt und meint "installier mal" leg ich den Kram ja auch nur ins Regal und verweigere das...
Naja, dann hat sich ja alles aufgeklärt.
Willst du zu denen, dann kauf dir eine Hardware-Firewall, die mit denen kompatibel ist.
Einziger kleiner Faux-Pas ist, dass die aus der KBV-Richtlinie rauslesen, die Firewall müsse eine Hardware-Firewall sein. Da lässt sich drüber vortrefflich streiten, ab wann eine Firewall eine Firewall ist. Da ist nix definiert und es gilt, was @maretz sagt. Auch da ist der Kontext wichtig. Vor allem, da es um besonders schützenswerte Daten geht.
Schlussendlich handelt es sich um Werbung.
Wenn du einen Vertrag mit denen eingehst, dann sind auch deren Vorgaben einzuhalten. Ansonsten schließen die gar keinen Vertrag mit dir. Kein Kontrahierungszwang.
Es ist Vertrieb. Keine Beratungsstelle.
Willst du zu denen, dann kauf dir eine Hardware-Firewall, die mit denen kompatibel ist.
Einziger kleiner Faux-Pas ist, dass die aus der KBV-Richtlinie rauslesen, die Firewall müsse eine Hardware-Firewall sein. Da lässt sich drüber vortrefflich streiten, ab wann eine Firewall eine Firewall ist. Da ist nix definiert und es gilt, was @maretz sagt. Auch da ist der Kontext wichtig. Vor allem, da es um besonders schützenswerte Daten geht.
Schlussendlich handelt es sich um Werbung.
Wenn du einen Vertrag mit denen eingehst, dann sind auch deren Vorgaben einzuhalten. Ansonsten schließen die gar keinen Vertrag mit dir. Kein Kontrahierungszwang.
Es ist Vertrieb. Keine Beratungsstelle.
Darüber hinaus denke ich, hat jeder Admin mit Herzblut ziemliche Störgefühle, wenn er ein Netzwerk verwalten soll, bei dem er auf die zentralste Komponente (Router/Firewall) keinen Zugriff hat. Der hier im Beispiel angeführte Anbieter ermöglicht beispielsweise überhaupt nicht erst, dass man ein Netzwerk segmentiert. Was ansonsten konkret auf deren Firewalls passiert: Blackbox und Schweigen im Walde.
ähm, nö? warum? was meinst du wenn dir irgendein Dienstleister seine Software installiert - meinst du da bekommst du immer gleich Zugriff auf die Server (so das du praktisch dessen Software kopieren kannst?). Meinst du wenn du nen Wartungsvertrag abschließt das jeder Dienstleister dir gleich Tür & Tor öffnen möchte damit du die Konfig auch einfach an den billigeren Konkurrenten geben kannst - geschweige denn Schreibzugriffe damit es am Ende die tollsten Streitigkeiten gibt warum etwas nicht mehr funktioniert?
Du kannst ja zB. in deinem Fall hier einfach nen Router vorschalten - nur der Traffic der zu denen gehen soll geht auch an deren Router, alles andere geht wohin auch immer. Aber was wäre denn DEINE Idee - der Dienstleister gibt dir erstmal fröhlich munter alle Zugangsdaten, du richtest die Fritte ein und wenn morgen alles offline ist möchtest du da anrufen und die helfen beim Debugging für Hardware die die auch nicht kennen? Und selbst bei der Firewall - stimmt, ggf. WILL der DL ja sogar das ausser _seinen_ Paketen nix zu ihm durchgeleitet wird (das wäre zB. MEIN Ansatz als DL) -> weil es mich nicht interessieren muss welche Virenverseuchten Endgeräte die in der Praxis so nutzen (eben weil die Fritte zum Einsatz kommt und sämtliche Arzthelfer/innen deren private Mobil-Telefone da mal eben mit ins WLAN hängen, passwort is ja auf der Rückseite...). Da wäre es mir also ganz recht wenn eben der Traffic aus den unbekannten Endstationen eben NUR auf mein Interface kommen kann - und der ganze Win-Müll gleich bei der Praxis-FW weggebratzt wird.
Also - wie willst DU als DL denn hier sonst deinen Service verkaufen - mit "freie Daten für freie Bürger" und entsprechend viel Manpower bei dir im Support (was auch wieder keiner Bezahlen will)? Zumal du im dümmsten Fall ja auch eben keine IT Leute am Telefon bei der Einrichtung hast - sondern eben Anwender denen du blind erklären sollst wo die hinklicken sollen. Wie oben erwähnt - ich komme nicht aus dem Umfeld, ich hab eher mit Hotelbereichen zu tun. Und wenn da eben jemand kommt und seine TV-Box anklemmen will -> wäre ja generell kein Problem, nur wenns dann die Plastik-Box vom Baumarkt ist (und der Baumarkt irgendwo in Ost-Europa steht bei dem ich nich mal die Buchstaben lesen kann!) ist eben nix mit helfen. Nur mach ich das in dem Fall eh freiwillig weils Kollegen sind -> und nicht noch mit irgendeinem Servicevertrag dahinter...
Wer sagt was von online server ? Auch wenn du InHouse-Server hast dann wirst du feststellen das du nicht immer darauf zugriff bekommst. Das mag dir passen oder nicht, nur nicht jeder Anbieter will immer gleich das der Kunde an alle Daten kommt.
Und am Ende ist es nunmal einfach: Du kannst dich über so ein Verhalten beschweren oder es akzeptieren. Du wirst es nur nicht ändern... Ob du es gut findest oder nicht.
Und am Ende ist es nunmal einfach: Du kannst dich über so ein Verhalten beschweren oder es akzeptieren. Du wirst es nur nicht ändern... Ob du es gut findest oder nicht.
Ich würde mal noch ein paar Dinge in den Raum stellen:
- Einen Zugriff musst du nicht bekommen und selbst der Kunde theoretisch auch nicht (Blackbox). Wenn das vertraglich so geregelt wurde, das der Firewall-Anbieter eine Dienstleistung erbringt kann er das sicherlich so anbieten. Aktuelle VPN Anbieter sind ja häufig auch nicht transparent. Wenn der Kunde sich also in diese Network-as-a-Service Welt begibt, kann er machen...
- Ich weiß nicht, wann und in wie Fern der Anbieter dann Haftung übernimmt. Am liebsten vermutlich keine aber wissen wir ja erstmal nicht. Ich glaube aber nicht, das der Kunde in so einem Fall Haftung für Fehler des Service-Anbieters übernehmen kann.
- Wenn du eine Firewall-as-a-Service Lösung da stehen hast, musst du vermutlich nur den Teil auf deiner Seite dokumentieren. Und natürlich einen AV Vertrag abschließen, etc.
- Das bewerben dieser Leistung nach dem Motto: "Nur das ist zulässig" sehe ich auch kritisch. Du musst dir überlegen, wie du damit umgehen willst. Es gibt schon Dinge, die man unternehmen könnte:
1) Dem Kunden sagen "das ist Blödsinn, lass dich nicht verarschen."
2) Dich anwaltlich beraten lassen und ggf. den Anbieter abmahnen. Auch wenn du nicht in direkter Konkurrenz stehst könnte das möglich sein, nach Wettbewerbsrecht.
3) Dem Kunden sagen er soll sich juristisch wehren - macht er aber sicher nicht.
4) Die Verbraucherzentralen machen bei vielen Dingen einen guten Job. Ob die sich hier aber a) als zuständig betrachten und b) das auch als unlauteren Wettbewerb auffassen würden, kann ich aber nicht sagen. Wenn beides zutrifft, würde die Verbraucherzentrale dann eine Abmahnung aussprechen.
In jedem Fall würde das sicherlich nur über eine Art Abmahnung laufen. Dann würde dieser Anbieter seine Formulierung vermutlich unterlassen. Wenn du da anrufst und sagst "Leute, das ist doch Blödsinn", lachen die dich höchstens aus. Alternativ kann man seine Kritik beim Kunden lassen und der Ethik eine Flasche Wein spendieren
- Einen Zugriff musst du nicht bekommen und selbst der Kunde theoretisch auch nicht (Blackbox). Wenn das vertraglich so geregelt wurde, das der Firewall-Anbieter eine Dienstleistung erbringt kann er das sicherlich so anbieten. Aktuelle VPN Anbieter sind ja häufig auch nicht transparent. Wenn der Kunde sich also in diese Network-as-a-Service Welt begibt, kann er machen...
- Ich weiß nicht, wann und in wie Fern der Anbieter dann Haftung übernimmt. Am liebsten vermutlich keine aber wissen wir ja erstmal nicht. Ich glaube aber nicht, das der Kunde in so einem Fall Haftung für Fehler des Service-Anbieters übernehmen kann.
- Wenn du eine Firewall-as-a-Service Lösung da stehen hast, musst du vermutlich nur den Teil auf deiner Seite dokumentieren. Und natürlich einen AV Vertrag abschließen, etc.
- Das bewerben dieser Leistung nach dem Motto: "Nur das ist zulässig" sehe ich auch kritisch. Du musst dir überlegen, wie du damit umgehen willst. Es gibt schon Dinge, die man unternehmen könnte:
1) Dem Kunden sagen "das ist Blödsinn, lass dich nicht verarschen."
2) Dich anwaltlich beraten lassen und ggf. den Anbieter abmahnen. Auch wenn du nicht in direkter Konkurrenz stehst könnte das möglich sein, nach Wettbewerbsrecht.
3) Dem Kunden sagen er soll sich juristisch wehren - macht er aber sicher nicht.
4) Die Verbraucherzentralen machen bei vielen Dingen einen guten Job. Ob die sich hier aber a) als zuständig betrachten und b) das auch als unlauteren Wettbewerb auffassen würden, kann ich aber nicht sagen. Wenn beides zutrifft, würde die Verbraucherzentrale dann eine Abmahnung aussprechen.
In jedem Fall würde das sicherlich nur über eine Art Abmahnung laufen. Dann würde dieser Anbieter seine Formulierung vermutlich unterlassen. Wenn du da anrufst und sagst "Leute, das ist doch Blödsinn", lachen die dich höchstens aus. Alternativ kann man seine Kritik beim Kunden lassen und der Ethik eine Flasche Wein spendieren
Moin,
was hier ja auch dazukommt ist eine aktuelle Verbindung wenn nicht sogar Abhängigkeit.
Wenn Du Abrechnung-A von Firma XYZ hast, dann hast Du eine Vertrauensverbindung zu dennen und bist auch zu einem bestimmten Maße abhängig. Man kann nicht so einfach mal die Abrechnungs- oder Diagnostik-Software wechseln.
Auch wollen sich viele Ärzte mit diesem Thema nicht beschäftigen und sagen schneller mal OK als eigentlich gut wäre.
Es ist also eher ein Mißbrauchen eines Vertrauensverhältnisses. Quasi Mißbrauch von Schutzbefohlenen. Kombiniert mit einem latenten Desinteresse über die Rechnungsstellung hinnaus.
Grundlage ist hier vermutlich eine Überforderung des Arztes/der Ärztin und seiner/ihrer Budget-Vorstellungen/-Möglichkeiten.
Stefan
was hier ja auch dazukommt ist eine aktuelle Verbindung wenn nicht sogar Abhängigkeit.
Wenn Du Abrechnung-A von Firma XYZ hast, dann hast Du eine Vertrauensverbindung zu dennen und bist auch zu einem bestimmten Maße abhängig. Man kann nicht so einfach mal die Abrechnungs- oder Diagnostik-Software wechseln.
Auch wollen sich viele Ärzte mit diesem Thema nicht beschäftigen und sagen schneller mal OK als eigentlich gut wäre.
Es ist also eher ein Mißbrauchen eines Vertrauensverhältnisses. Quasi Mißbrauch von Schutzbefohlenen. Kombiniert mit einem latenten Desinteresse über die Rechnungsstellung hinnaus.
Grundlage ist hier vermutlich eine Überforderung des Arztes/der Ärztin und seiner/ihrer Budget-Vorstellungen/-Möglichkeiten.
Stefan
Nun ja...Das WAtch-/Wireguard-Thema kommt ja daher, dass ich innerhalb der Verbindung zwischen Rechenzentrum der medatixx, CGM oder anderen und der Arztpraxis eine gesicherte VPN-Leitung zu Konnektoren etablieren muss. Hierbei dürfen Pakete nicht analysiert, injektiert werden, was eine Fritzbox oder andere "Routerlösungen"machen würden. DAzu ds Thema des Nattens, was dei unweigerlich tun würden.
Die W-guard-Technologie sorgt ja dafür, dass meine 8 Bit komplett unverändert auf der anderen Seite ankommen und Konnektoren die Pakete nicht aufgrund einer "ManInTheMiddle" Vermutung verwerfen.
Alles in allem aber ein großes Thema, vor allem, da ja die Securepoints der PVS-Anbieter, um auf deren RZ-Konnektoren zu kommen nicht auf einer "normalen", vorhandenen Securepont abzubilden sind, die in den PRaxen schon seit Anbeginn der KV-IT-Sicherheitsrichtlinien in die PRaxen geschafft wurden.
Hier auch noch ein Thema: ja... ich kann eine FB als Firewall nutzen, die kann auch VPN und anders schönes Zeug... aber alles nur recht rudimentär. Wenn ich mir da sie Securepoint oder nen LANCOM anschauen, habe ich da schon gnaz andere Möglichkeiten. Und: Sicherheitslücken in der Firewall werden wesentlich schneller gefixt als bei einem AVM Produkt.
Thema Haftung: LAss Deinen Anwalt erklären Du nutzt Microsoft DEfender und Fritzbox Firewlal zum Schutz der Praxis.
Da bittet der Richter den Sicherheitsbeamten seine Dienstwaffe für die Selbsthinrichtung zur Verfügung zu stellen.
Da wäre ein DSGVO-Verstoß auf der einen Seite, Der Rausschmiss aus allen Ärztekammern der Welt und der Verlust der Aprobation wäre hier aber noch weitaus tragischer. Weil: Grob fahrlässiges Verhalten. Dem Arzt wird attestiert, dss er durch seine lange Studienzeit genug Grips hat, dass ihm das klar sein müsste, dass defender und FB nicht gleiczusetzen sind mit einem PANDA360 oder eine professionellen eset AV-Lösung.
Mit "kostenlos" ist man halt schnell viel Geld los...
Die W-guard-Technologie sorgt ja dafür, dass meine 8 Bit komplett unverändert auf der anderen Seite ankommen und Konnektoren die Pakete nicht aufgrund einer "ManInTheMiddle" Vermutung verwerfen.
Alles in allem aber ein großes Thema, vor allem, da ja die Securepoints der PVS-Anbieter, um auf deren RZ-Konnektoren zu kommen nicht auf einer "normalen", vorhandenen Securepont abzubilden sind, die in den PRaxen schon seit Anbeginn der KV-IT-Sicherheitsrichtlinien in die PRaxen geschafft wurden.
Hier auch noch ein Thema: ja... ich kann eine FB als Firewall nutzen, die kann auch VPN und anders schönes Zeug... aber alles nur recht rudimentär. Wenn ich mir da sie Securepoint oder nen LANCOM anschauen, habe ich da schon gnaz andere Möglichkeiten. Und: Sicherheitslücken in der Firewall werden wesentlich schneller gefixt als bei einem AVM Produkt.
Thema Haftung: LAss Deinen Anwalt erklären Du nutzt Microsoft DEfender und Fritzbox Firewlal zum Schutz der Praxis.
Da bittet der Richter den Sicherheitsbeamten seine Dienstwaffe für die Selbsthinrichtung zur Verfügung zu stellen.
Da wäre ein DSGVO-Verstoß auf der einen Seite, Der Rausschmiss aus allen Ärztekammern der Welt und der Verlust der Aprobation wäre hier aber noch weitaus tragischer. Weil: Grob fahrlässiges Verhalten. Dem Arzt wird attestiert, dss er durch seine lange Studienzeit genug Grips hat, dass ihm das klar sein müsste, dass defender und FB nicht gleiczusetzen sind mit einem PANDA360 oder eine professionellen eset AV-Lösung.
Mit "kostenlos" ist man halt schnell viel Geld los...
Das mit dem "verändern" der Daten würde ich auch gerne belegt haben... Denn zumindest soweit ich das weiss sind VPNs eben dafür da DAMIT dazwischen keiner "mitlesen oder verändern kann". Dabei ist es erstmal völlig unerheblich ob der Endpunkt nun ne Fritte, ne "professionelle" Firewall oder der VPN-Client aufm Win-Rechner ist. Denn wenn die "pakete" einfach mal munter ändern wird die Gegenseite idR. die Verbindung nicht herstellen können. Denn ein verändertes Paket wird den Inhalt vermutlich zerstören (da ja eben der Inhalt selbst nicht gelesen werden kann).
Und ok, nehmen wir den Punkt sogar mal als gegeben an (Grenzwissenschaften Aktuell hat sicher nen Fachartikel dazu!). WO ist der Vorteil zu einer "professionellen" firewall - dann müsste der seriöse Dienstleister das Ding schon mindestens vorkonfiguriert haben ODER die Einrichtung darf nur durch Fachpersonal (mit entsprechendem Hersteller-Zertifikat o.ä.) durchgeführt werden. Wenn "onkel Doc" das ding nämlich einfach einrichtet und sagt "mir egal, managment-traffic auf der Firewall is auch aufm externen Interface erlaubt und als Passwort is auch Password1! sicher Ok dann würde ich behaupten das die Sicherheit jetzt nicht ganz sooo hoch ist.
Der Teil mit "verlust der Lizenz" usw. ist imO. völliger Schwachsinn. Wenn jeder Doc dessen Rechner nicht "vernünftig" gesichert ist seine Lizenz verliert - oh, ich glaube dann dürfte der nächste Arzttermin ab jetzt mit min. 3 - 5 Jahren vorlauf sein (und das nur bei absoluten Notfällen so schnell!). Wo fängt das denn an? Beim ungesperrten Rechner an der Rezi wenn die entsprechenden Mitarbeiter mal auf Toilette sind? Beim Datenschutz wenn die den Namen eines Menschen (zB. am Telefon) sagen wenn jemand grad reinkommt und das hören kann? Oder beim Gespräch mit dem ggf. etwas schwerhörigen wo dann jemand ggf. mitbekommt das der nächste Termin bitte in 3 Wochen ist? aber natürlich... soweit da irgendwas ist wird MINDESTENS die Welt untergehen...
Übrigens - dann dürfte nen Doc _eigentlich_ sogar NUR ne Client-Basierte Lösung verwenden bei dem der VPN Client direkt aufm Rechner läuft. Denn wie jeder halbwegs erfahrene Admin weiss kann man auch auf ner Firewall (und spätestens am Managed Switch davor) ja problemlos jedes Paket spiegeln und würde damit das VPN und jeden Schutz zwischen Firewall und Rechenzentrum locker aushebeln... Oder ist etwa ein Admin in ner Praxis automatisch absolut seriös? Und natürlich ist der Arztrechner (wie auch der Arzt selbst) von Natur aus "steril" und kann eben keinen Virus o.ä. enthalten? Aber vermutlich würde - wenn man die Polemik oben sieht - das ja mindestens das Auslöschen der ganzen Stadt bedeuten....
Und ok, nehmen wir den Punkt sogar mal als gegeben an (Grenzwissenschaften Aktuell hat sicher nen Fachartikel dazu!). WO ist der Vorteil zu einer "professionellen" firewall - dann müsste der seriöse Dienstleister das Ding schon mindestens vorkonfiguriert haben ODER die Einrichtung darf nur durch Fachpersonal (mit entsprechendem Hersteller-Zertifikat o.ä.) durchgeführt werden. Wenn "onkel Doc" das ding nämlich einfach einrichtet und sagt "mir egal, managment-traffic auf der Firewall is auch aufm externen Interface erlaubt und als Passwort is auch Password1! sicher Ok dann würde ich behaupten das die Sicherheit jetzt nicht ganz sooo hoch ist.
Der Teil mit "verlust der Lizenz" usw. ist imO. völliger Schwachsinn. Wenn jeder Doc dessen Rechner nicht "vernünftig" gesichert ist seine Lizenz verliert - oh, ich glaube dann dürfte der nächste Arzttermin ab jetzt mit min. 3 - 5 Jahren vorlauf sein (und das nur bei absoluten Notfällen so schnell!). Wo fängt das denn an? Beim ungesperrten Rechner an der Rezi wenn die entsprechenden Mitarbeiter mal auf Toilette sind? Beim Datenschutz wenn die den Namen eines Menschen (zB. am Telefon) sagen wenn jemand grad reinkommt und das hören kann? Oder beim Gespräch mit dem ggf. etwas schwerhörigen wo dann jemand ggf. mitbekommt das der nächste Termin bitte in 3 Wochen ist? aber natürlich... soweit da irgendwas ist wird MINDESTENS die Welt untergehen...
Übrigens - dann dürfte nen Doc _eigentlich_ sogar NUR ne Client-Basierte Lösung verwenden bei dem der VPN Client direkt aufm Rechner läuft. Denn wie jeder halbwegs erfahrene Admin weiss kann man auch auf ner Firewall (und spätestens am Managed Switch davor) ja problemlos jedes Paket spiegeln und würde damit das VPN und jeden Schutz zwischen Firewall und Rechenzentrum locker aushebeln... Oder ist etwa ein Admin in ner Praxis automatisch absolut seriös? Und natürlich ist der Arztrechner (wie auch der Arzt selbst) von Natur aus "steril" und kann eben keinen Virus o.ä. enthalten? Aber vermutlich würde - wenn man die Polemik oben sieht - das ja mindestens das Auslöschen der ganzen Stadt bedeuten....
@ChristianRiske
Du bist entweder ein Troll oder man sollte dir "eine Dienstwaffe für die Selbsthinrichtung zur Verfügung stellen" - wirklich unglaubliche Wortwahl hier.
Aufgrund deiner gruseligen Rechtschreibung und deines offensichtlich nicht vorhandenen Medizinstudiums (denn sonst hättest du ja Ahnung von IT...) entziehe ich dir hiermit deine Foren-Approbation.
Du bist entweder ein Troll oder man sollte dir "eine Dienstwaffe für die Selbsthinrichtung zur Verfügung stellen" - wirklich unglaubliche Wortwahl hier.
Aufgrund deiner gruseligen Rechtschreibung und deines offensichtlich nicht vorhandenen Medizinstudiums (denn sonst hättest du ja Ahnung von IT...) entziehe ich dir hiermit deine Foren-Approbation.
Moin,
ich finde die Diskussion, auch mit dem Beitrag von CR, sehr gut.
Das ist ein sehr komplexes Thema was verschiende Ansichten und Bereiche beleuchtet. Wir werden dafür keine einfache Lösung finden. Sonst hätte die schon Jemand vor uns gefunden.
Aber ich will auf was Anderes hinaus.
Alle meckern über die Regulierungswut (Zahnärzte Zwangs-Thermodesinfektor) und tausend Vorschriften.
Wenn es die mal nicht gibt (Firewall, egal welches oder was) dann interpretiert das halt jeder nach seinen eigene Absichten und Vorstellungen. Dann komme ich hier und sage (Eine Zahnarztpraxis mit 3 PCs braucht keinen Server und eine Fritz!Box reicht).
Also was nun?
Alles genau festzimmern? Oder nur grobe Vorgaben und mit den Konsequenzen leben.
Was mich eher erstaunt, und ich habe 20 Jahre für Zahnärzte im Norden gearbeitet: Warum gibt es keinen IT-Beitrag wo eine kleine handvoll IT-Externe sitzen und Empfehlungen geben. So wie die Bauvorschläge in der CT.
Dann könnte eine Praxis da rein schauen und sagen: IT-Dienstleiter, wie hätte gerne Konzept-Zahnarzt-Bis5PCs-OhneDigRöntgen-V2024. Go. Daran kann der Arzt auch sehen ob sein Dienstleitster alles macht.
Das könnten die Kassen, Ärztevertretungen doch mal anleiern. Quasi Open-Source-Konzepte.
Stefan
ich finde die Diskussion, auch mit dem Beitrag von CR, sehr gut.
Das ist ein sehr komplexes Thema was verschiende Ansichten und Bereiche beleuchtet. Wir werden dafür keine einfache Lösung finden. Sonst hätte die schon Jemand vor uns gefunden.
Aber ich will auf was Anderes hinaus.
Alle meckern über die Regulierungswut (Zahnärzte Zwangs-Thermodesinfektor) und tausend Vorschriften.
Wenn es die mal nicht gibt (Firewall, egal welches oder was) dann interpretiert das halt jeder nach seinen eigene Absichten und Vorstellungen. Dann komme ich hier und sage (Eine Zahnarztpraxis mit 3 PCs braucht keinen Server und eine Fritz!Box reicht).
Also was nun?
Alles genau festzimmern? Oder nur grobe Vorgaben und mit den Konsequenzen leben.
Was mich eher erstaunt, und ich habe 20 Jahre für Zahnärzte im Norden gearbeitet: Warum gibt es keinen IT-Beitrag wo eine kleine handvoll IT-Externe sitzen und Empfehlungen geben. So wie die Bauvorschläge in der CT.
Dann könnte eine Praxis da rein schauen und sagen: IT-Dienstleiter, wie hätte gerne Konzept-Zahnarzt-Bis5PCs-OhneDigRöntgen-V2024. Go. Daran kann der Arzt auch sehen ob sein Dienstleitster alles macht.
Das könnten die Kassen, Ärztevertretungen doch mal anleiern. Quasi Open-Source-Konzepte.
Stefan
Warum gibt es keinen IT-Beitrag wo eine kleine handvoll IT-Externe sitzen und Empfehlungen geben.
Weil es dabei im Grunde um eine Rechtsberatung gehen würde. Es geht ja darum, eine Norm korrekt zu behandeln.
Das ganze müsste dann von einem Rechtsanwalt abgesegnet werden. Macht aber keiner, wird auch nie einer machen. Selbst Verbände machen das nicht.
Solche Sachen sind immer offen, bis es zumindest mal ein Gerichtsurteil gibt, oder es sich eine "gängige Praxis" (aka Lesart eines Gesetzestext) herausgebildet hat.
Gefragt sind hier Einrichtungen wie der CCC, der dann von sich aus Empfehlungen an die Legislative abgibt. Und zwar in der Art, dass die Judikative das mitbekommt und sich daraus dann die gängige Praxis bildet.
Der andere Weg ist dann der, dass genaue Szenarien vorgeschrieben werden. Ist sofort für alle rechtssicher und es gibt da keine schwarzen Schafe. Nachteil ist halt, dass es eben keine Ausnahmen gibt. Da werden alle über den gleichen Kamm geschoren.
Es wird sich bei beiden Wegen immer welche finden, die dadurch "schlechter fahren" (aka mehr Geld ausgeben müssen, als geplant).
Zitat von @StefanKittel:
Aber ich will auf was Anderes hinaus.
Alle meckern über die Regulierungswut (Zahnärzte Zwangs-Thermodesinfektor) und tausend Vorschriften.
Wenn es die mal nicht gibt (Firewall, egal welches oder was) dann interpretiert das halt jeder nach seinen eigene Absichten und Vorstellungen. Dann komme ich hier und sage (Eine Zahnarztpraxis mit 3 PCs braucht keinen Server und eine Fritz!Box reicht).
Also was nun?
Alles genau festzimmern? Oder nur grobe Vorgaben und mit den Konsequenzen leben.
Das kannst du nicht genauer regulieren und ich behaupte mal, das willst du auch nicht. Ersteres hat mit der Regulierung selbst zu tun, das geht einfach nicht schnell genug. Demokratische Prozesse sind ja gewollt aber sie dauern halt. Letzteres würde der Wirtschaft jegliche Freiheit nehmen, selbst innovativ zu werden.Aber ich will auf was Anderes hinaus.
Alle meckern über die Regulierungswut (Zahnärzte Zwangs-Thermodesinfektor) und tausend Vorschriften.
Wenn es die mal nicht gibt (Firewall, egal welches oder was) dann interpretiert das halt jeder nach seinen eigene Absichten und Vorstellungen. Dann komme ich hier und sage (Eine Zahnarztpraxis mit 3 PCs braucht keinen Server und eine Fritz!Box reicht).
Also was nun?
Alles genau festzimmern? Oder nur grobe Vorgaben und mit den Konsequenzen leben.
Warum gibt es keinen IT-Beitrag wo eine kleine handvoll IT-Externe sitzen und Empfehlungen geben. Doch das gibt es, dafür ist im Wesentlichen das BSI zuständig. Das BSI Berät die Regierung und das BSI gibt Empfehlungen und Leitfäden raus. Die sind auch nicht so schlecht, aber eben besonders allgemein gehalten. Auch der CCC gibt in einigen Fällen mal konkrete Ratschläge, wenn auch nicht mit irgendeiner Regelmäßigkeit. Die Datenschutzkonferenz der Länder hat auch so eine Gremium-Funktion.
Das was dir vorschwebt ist im Prinzip eine vereinheitlichte IT-Sicherheitsarchitektur die von einem zentralen Gremium bestimmt wird. Das läuft aber der freien Marktwirtschaft sehr zu wieder und bietet auch viele potenzielle Nachteile. Mal als Beispiel: Alle Ärzte setzen auf Firewall Appliance X, Y oder Z. Die wurden "zertifiziert". Jetzt steigen die Kosten erstmal weil die Zertifizierung natürlich Geld kostet, wir kennen das sehr gut aus dem Bereich Medizin / Hilfsmittel. Neue Hersteller kommen seltener in den Markt, neue Zertifizierungen dauern lange. Dafür wird die eingesetzte Technology ein Single-Point-of-Failure, weil alle die Komponente K auf die gleiche Weise implementiert haben. Gibt es jetzt einen 0-Day-Exploit oder einen Koordinierten Angriff, ist der Schaden viel Größer und viel akuter. Und warum sollen eigentlich nur Ärzte diese Vorschriften haben?
Ich sage nicht, das Standards eine schlechte Idee wären. Standards, an die man sich halten sollte. Aber je enger du die Grenzen setzt desto weniger Innovation hast du im Markt. Ich hatte mal einen guten Artikel zu SaaS-Lösungen, den ich leider nicht mehr finde. Es ging um die Idee, das alle die selbe Plattform nutzen und dadurch die selben Werkzeuge zur Verfügung hatten. So entstand nicht nur ein Daten-Silo, sondern auch ein Funktions-Silo. Je mehr sich die Nutzung der Anwender an die 100% des Feature-Angebots des Anbieters angenähert hat, desto weniger Unterschiede gibt es im Leistungsangebot und desto weniger Innovation gibt es im Markt. Bei M365 erscheint das erstmal abwegig, weil das keiner voll "beherrscht". Aber was wäre denn wenn plötzlich alle die selbe AI einsetzen?
Dann kommt dazu das Experten-Gremien so gar nicht frei von externen Einflüssen sind. Ein Elektriker, der bei uns die Geräte geprüft und gelabelt hat, hat mir das mal erzählt. Es gibt so kleine Adapter, ein Schuko-Stecker für die Dose, zwei Buchsen für den Anschluss von Geräten, kein Kabel dazwischen. Ist nicht erlaubt. Warum? Weil ein Gremium Interessen verfolgt und das einfach nicht erlaubt ist. Sicher sind die Dinger, du darfst sie nur nicht im Büro hängen haben.
Ich bin für offene Standards und auch für so Dinge wie einen Ethik-Kodex (grade erst war ja in den News das Sophos seine vermeintlich bösen Kunden hackt und damit die Guten beschützt). Ich bin für Regulierung, ich mag die DSGVO weil sie kurz und auf den Punkt formuliert ist und Ausnahmen bringen halt Probleme mit sich. Aber man sollte Regulierung auch abbauen, wo es eben nur geht und Sparsam damit sein.