2
Bewusste Vertriebslügen im Gesundheitswesen?
Guten Abend, versammelte Administratorenschaft!
Dieses Thema richtet sich speziell an alle, die sich mit IT im deutschen Gesundheitssystem beschäftigen und in diesem Zuge mit der IT-Sicherheitsrichtlinie der KBV (§ 75B SGB V) befasst sind.
Immer häufiger erlebe ich, dass verschiedene Anbieter Aussagen mit Bezug auf die IT-Sicherheitsrichtlinie treffen, die aus meiner Sicht fragwürdig bis schlicht falsch sind. Aktuell scheint eine neue Goldgräberstimmung ausgebrochen zu sein, weil ja innerhalb der nächsten Monate viele zehntausend Praxen zwangsweise auf TIaaS migriert werden, was dann für die Anbieter neue Verträge mit neuen Kostenmodellen bedeutet. Nicht nur in diesem Zusammenhang wird Praxisinhabern z.B. erzählt, sie wären rechtlich zur Nutzung einer "Hardware-Firewall" verpflichtet. Selbstverständlich hat der jeweilige Anbieter dann auch stets das passende Angebot "jetzt exklusiv zum Einführungspreis" parat...
Ein konkreter Satz aus einem aktuellen Anschreiben:
"Gemäß IT-Sicherheitsrichtlinie der KBV bedarf es zum Betrieb eines TIaaS (Konnektor im Rechenzentrum) und des TI-Gateway in Ihrer Praxis zur Sicherung der Netzübergangspunkte einer Hardware-Firewall (z. B. UTM-Firewall)."
Da ich glaube, die Sicherheitsrichtlinie ziemlich genau zu kennen, bin ich sehr sicher, dass an keiner Stelle davon die Rede ist, Praxen hätten überhaupt "Hardware-Firewalls" einzusetzen. Geschweige denn, dass an irgendeiner Stelle Zugangsvoraussetzungen zur TIaaS genannt werden. Immerhin ist die aktuelle Version der Richtlinie auch bereits von Januar 2021, zu diesem Zeitpunkt gab es noch kein einziges TIaaS-Angebot.
Jetzt frage ich mich und somit Euch: Übersehe ich etwas? Kenne ich spezifische Bestimmungen einfach nicht? Oder wird hier tatsächlich von einigen Anbietern schamlos die eigene Kundschaft belogen?
Dieses Thema richtet sich speziell an alle, die sich mit IT im deutschen Gesundheitssystem beschäftigen und in diesem Zuge mit der IT-Sicherheitsrichtlinie der KBV (§ 75B SGB V) befasst sind.
Immer häufiger erlebe ich, dass verschiedene Anbieter Aussagen mit Bezug auf die IT-Sicherheitsrichtlinie treffen, die aus meiner Sicht fragwürdig bis schlicht falsch sind. Aktuell scheint eine neue Goldgräberstimmung ausgebrochen zu sein, weil ja innerhalb der nächsten Monate viele zehntausend Praxen zwangsweise auf TIaaS migriert werden, was dann für die Anbieter neue Verträge mit neuen Kostenmodellen bedeutet. Nicht nur in diesem Zusammenhang wird Praxisinhabern z.B. erzählt, sie wären rechtlich zur Nutzung einer "Hardware-Firewall" verpflichtet. Selbstverständlich hat der jeweilige Anbieter dann auch stets das passende Angebot "jetzt exklusiv zum Einführungspreis" parat...
Ein konkreter Satz aus einem aktuellen Anschreiben:
"Gemäß IT-Sicherheitsrichtlinie der KBV bedarf es zum Betrieb eines TIaaS (Konnektor im Rechenzentrum) und des TI-Gateway in Ihrer Praxis zur Sicherung der Netzübergangspunkte einer Hardware-Firewall (z. B. UTM-Firewall)."
Da ich glaube, die Sicherheitsrichtlinie ziemlich genau zu kennen, bin ich sehr sicher, dass an keiner Stelle davon die Rede ist, Praxen hätten überhaupt "Hardware-Firewalls" einzusetzen. Geschweige denn, dass an irgendeiner Stelle Zugangsvoraussetzungen zur TIaaS genannt werden. Immerhin ist die aktuelle Version der Richtlinie auch bereits von Januar 2021, zu diesem Zeitpunkt gab es noch kein einziges TIaaS-Angebot.
Jetzt frage ich mich und somit Euch: Übersehe ich etwas? Kenne ich spezifische Bestimmungen einfach nicht? Oder wird hier tatsächlich von einigen Anbietern schamlos die eigene Kundschaft belogen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669819
Url: https://administrator.de/contentid/669819
Ausgedruckt am: 28.11.2024 um 02:11 Uhr
2 Kommentare
Neuester Kommentar
Hi,
ich arbeite als Außendiensttechniker eines KMU, welches Partner eines PVS-Hersteller ist.
Die IT-Sicherheitsrichtlinie sagt alles und gar nichts, sie ist leider nur schwammig geschrieben. Einen Punkt finde ich aber direkt auf Seite 7 (Punkt 32):
"Der Übergang zu anderen Netzen insbesondere das Internet muss durch eine Firewall geschützt werden"
Was ist jetzt eine Firewall? Muss Sie UTM haben oder wird UTM einfach nur genannt, weil es der aktuelle Stand der Technik ist?
Das man als Wirtschaftsunternehmen, wozu nun mal eine Praxis zugehört, keine Firewall einsetzen würde, finde ich schon fast grob fahrlässig. Es wird immerhin mit hochsensiblen Patientendaten gearbeitet. Für mich ist das eine grobe Sicherheitslücke und sollte daher zwingend geschlossen werden, von daher stellt sich die Frage für mich und mein Unternehmen überhaupt nicht. Die Praxis muss ja zudem nicht nur die IT-Sicherheitsrichtlinie umsetzen. Es gehört ja auch die allgemeine DSGVO und DVG dazu.
Na klar warum auch nicht? Eine Firewall ist ein zentraler Baustein, in der IT-Sicherheit. Jede Praxis sollte diese haben und bei jeder Praxis, welche wir das PVS umstellen und uns vorher die Praxisgegebenheiten anschauen, wird das rot angemarkert, wenn keine Firewall vorhanden ist.
Die Praxen sind mit der TIaaS grundsätzlich per VPN angebunden. Bucht man dies bei der CGM bspw. bekommt man unweigerlich eine Watchguard Firewall geliefert, welche für den Zugriff zur TI verpflichtend ist. Wie es bei RISE oder anderen Hersteller ist, kann ich gar nicht genau sagen. Die meisten Kunden wechseln von der CGM weg :D
Als Hinweis: Die IT-Sicherheitsrichtlinie der KBV wird momentan überarbeitet und fußt dann auf einen anderen Paragraphen im SGB V Hierzu stehen mir erste Entwürfe zur Verfügung.
Als Punkt zur Firewall wird dann unteranderem folgendes genannt:
"Der Übergang zu anderen Netzen insbesondere dem Internet muss durch eine Firewall geschützt werden. Primäres Ziel ist es, keine unerlaubten Verbindungen von außen in das geschützte Netz zuzulassen. Zusätzlich sollten nur erlaubte Verbindungen aus dem geschützten Netz nach außen aufgebaut werden können."
Quacki
ich arbeite als Außendiensttechniker eines KMU, welches Partner eines PVS-Hersteller ist.
Die IT-Sicherheitsrichtlinie sagt alles und gar nichts, sie ist leider nur schwammig geschrieben. Einen Punkt finde ich aber direkt auf Seite 7 (Punkt 32):
"Der Übergang zu anderen Netzen insbesondere das Internet muss durch eine Firewall geschützt werden"
Was ist jetzt eine Firewall? Muss Sie UTM haben oder wird UTM einfach nur genannt, weil es der aktuelle Stand der Technik ist?
Das man als Wirtschaftsunternehmen, wozu nun mal eine Praxis zugehört, keine Firewall einsetzen würde, finde ich schon fast grob fahrlässig. Es wird immerhin mit hochsensiblen Patientendaten gearbeitet. Für mich ist das eine grobe Sicherheitslücke und sollte daher zwingend geschlossen werden, von daher stellt sich die Frage für mich und mein Unternehmen überhaupt nicht. Die Praxis muss ja zudem nicht nur die IT-Sicherheitsrichtlinie umsetzen. Es gehört ja auch die allgemeine DSGVO und DVG dazu.
Selbstverständlich hat der jeweilige Anbieter dann auch stets das passende Angebot "jetzt exklusiv zum Einführungspreis" parat...
Na klar warum auch nicht? Eine Firewall ist ein zentraler Baustein, in der IT-Sicherheit. Jede Praxis sollte diese haben und bei jeder Praxis, welche wir das PVS umstellen und uns vorher die Praxisgegebenheiten anschauen, wird das rot angemarkert, wenn keine Firewall vorhanden ist.
Zugangsvoraussetzungen zur TIaaS genannt werden. Immerhin ist die aktuelle Version der Richtlinie auch bereits von Januar 2021, zu diesem Zeitpunkt gab es noch kein einziges TIaaS-Angebot.
Die Praxen sind mit der TIaaS grundsätzlich per VPN angebunden. Bucht man dies bei der CGM bspw. bekommt man unweigerlich eine Watchguard Firewall geliefert, welche für den Zugriff zur TI verpflichtend ist. Wie es bei RISE oder anderen Hersteller ist, kann ich gar nicht genau sagen. Die meisten Kunden wechseln von der CGM weg :D
Als Hinweis: Die IT-Sicherheitsrichtlinie der KBV wird momentan überarbeitet und fußt dann auf einen anderen Paragraphen im SGB V Hierzu stehen mir erste Entwürfe zur Verfügung.
Als Punkt zur Firewall wird dann unteranderem folgendes genannt:
"Der Übergang zu anderen Netzen insbesondere dem Internet muss durch eine Firewall geschützt werden. Primäres Ziel ist es, keine unerlaubten Verbindungen von außen in das geschützte Netz zuzulassen. Zusätzlich sollten nur erlaubte Verbindungen aus dem geschützten Netz nach außen aufgebaut werden können."
Quacki
Danke für Deinen Beitrag und die Diskussion!
In einem Punkt hast Du mich glaube ich missverstanden: Ich plädiere natürlich nicht dafür, dass sich irgendjemand ohne Firewall mit dem Internet verbindet - schon gar nicht Arztpraxen.
Wie Du schon sagst, was genau als "Firewall" bezeichnet wird, ist potentiell ein weites Feld. Jeder aktuelle Kleinst-Router hat heute eine Firewall an Bord, ich kenne kein Gerät, welches nicht angefragten Traffic aus dem Internet nach innen weiterreichen würde.
Selbstverständlich sind die Firewalls in Speedports, Fritzboxen etc. nur wenig bis gar nicht konfigurierbar und demnach absolut nicht vergleichbar mit dedizierten Geräten.
Was mich tatsächlich wahnsinnig macht, ist die Unaufrichtigkeit: Ich habe schon mehrere Fälle gehabt, in denen einer Praxis für viel Geld eine Sophos-, Securepoint- oder sonstige Firewall verkauft worden ist. Die Einrichtung in allen Fällen: Eine einzige Regel "Any/Any-Allow". Da möchte mir jetzt bitte mal jemand erklären, wo der Sicherheitsgewinn gegenüber einer Fritzbox sein soll. Nicht einmal segmentiert waren diese Netze, sondern vollkommen flach.
Demnach: Rein die Existenz einer "professionellen" Firewall bedeutet doch rein gar nichts. Firewalls sind Werkzeuge, mit denen man ein Sicherheitskonzept durchsetzen kann. Setzt aber eben voraus, dass eine Praxis ein Sicherheitskonzept hat bzw. Willens ist, gemeinsam mit dem IT-Dienstleister eines zu entwickeln.
Wenn ich schon dadurch compliant bin, dass ich ein bestimmtes Gerät kaufe, dessen Konfiguration aber keine Rolle spielt, ist das IT-Security aus der Hölle und ein riesengroßer Selbstbetrug.
Ja, ich weiß, aber aus meiner Sicht ist genau dies eben extrem fragwürdig, weil es auch bei CGM mit "Verpflichtung durch die IT-Sicherheitsrichtlinie" begründet wird.
Die von Dir zitierte Passage kenne ich natürlich und sie ist die einzige in der gesamte Richtlinie, wo überhaupt von Firewalls als Gerät vor Ort die Rede ist (die zweite Passage bezieht sich auf WebApps).
Wo steht hier nun aber etwas von "Hardware-Firewall"?
Danke auch für Deinen Einblick in den Entwurf. Hier wird es ja zumindest minimal konkreter, lässt aber auch sehr viel Interpretationsspielraum.
Damit keine Missverständnisse aufkommen: Ich selbst würde Praxen auch nicht auf dem Niveau einer Fritzbox ausstatten. Aber in meinen Augen ist es höchst fragwürdig, eine psychotherapeutische Praxis mit einem einzigen Computer dazu zu "zwingen", sich für 700 € eine Firewall anzuschaffen, die zusätzlich jeden Monat noch Folgekosten verursacht.
Bei dem neuen Trend zu "managed" Geräten kommt dann noch dazu, dass diese aus Sicht der Praxis eine reine Blackbox sind...
In einem Punkt hast Du mich glaube ich missverstanden: Ich plädiere natürlich nicht dafür, dass sich irgendjemand ohne Firewall mit dem Internet verbindet - schon gar nicht Arztpraxen.
Wie Du schon sagst, was genau als "Firewall" bezeichnet wird, ist potentiell ein weites Feld. Jeder aktuelle Kleinst-Router hat heute eine Firewall an Bord, ich kenne kein Gerät, welches nicht angefragten Traffic aus dem Internet nach innen weiterreichen würde.
Selbstverständlich sind die Firewalls in Speedports, Fritzboxen etc. nur wenig bis gar nicht konfigurierbar und demnach absolut nicht vergleichbar mit dedizierten Geräten.
Was mich tatsächlich wahnsinnig macht, ist die Unaufrichtigkeit: Ich habe schon mehrere Fälle gehabt, in denen einer Praxis für viel Geld eine Sophos-, Securepoint- oder sonstige Firewall verkauft worden ist. Die Einrichtung in allen Fällen: Eine einzige Regel "Any/Any-Allow". Da möchte mir jetzt bitte mal jemand erklären, wo der Sicherheitsgewinn gegenüber einer Fritzbox sein soll. Nicht einmal segmentiert waren diese Netze, sondern vollkommen flach.
Demnach: Rein die Existenz einer "professionellen" Firewall bedeutet doch rein gar nichts. Firewalls sind Werkzeuge, mit denen man ein Sicherheitskonzept durchsetzen kann. Setzt aber eben voraus, dass eine Praxis ein Sicherheitskonzept hat bzw. Willens ist, gemeinsam mit dem IT-Dienstleister eines zu entwickeln.
Wenn ich schon dadurch compliant bin, dass ich ein bestimmtes Gerät kaufe, dessen Konfiguration aber keine Rolle spielt, ist das IT-Security aus der Hölle und ein riesengroßer Selbstbetrug.
Zitat von @Quacksalber:
Die Praxen sind mit der TIaaS grundsätzlich per VPN angebunden. Bucht man dies bei der CGM bspw. bekommt man unweigerlich eine Watchguard Firewall geliefert, welche für den Zugriff zur TI verpflichtend ist.
Die Praxen sind mit der TIaaS grundsätzlich per VPN angebunden. Bucht man dies bei der CGM bspw. bekommt man unweigerlich eine Watchguard Firewall geliefert, welche für den Zugriff zur TI verpflichtend ist.
Ja, ich weiß, aber aus meiner Sicht ist genau dies eben extrem fragwürdig, weil es auch bei CGM mit "Verpflichtung durch die IT-Sicherheitsrichtlinie" begründet wird.
Die von Dir zitierte Passage kenne ich natürlich und sie ist die einzige in der gesamte Richtlinie, wo überhaupt von Firewalls als Gerät vor Ort die Rede ist (die zweite Passage bezieht sich auf WebApps).
Wo steht hier nun aber etwas von "Hardware-Firewall"?
Danke auch für Deinen Einblick in den Entwurf. Hier wird es ja zumindest minimal konkreter, lässt aber auch sehr viel Interpretationsspielraum.
Damit keine Missverständnisse aufkommen: Ich selbst würde Praxen auch nicht auf dem Niveau einer Fritzbox ausstatten. Aber in meinen Augen ist es höchst fragwürdig, eine psychotherapeutische Praxis mit einem einzigen Computer dazu zu "zwingen", sich für 700 € eine Firewall anzuschaffen, die zusätzlich jeden Monat noch Folgekosten verursacht.
Bei dem neuen Trend zu "managed" Geräten kommt dann noch dazu, dass diese aus Sicht der Praxis eine reine Blackbox sind...
