datenreise
Goto Top

Bewusste Vertriebslügen im Gesundheitswesen?

Guten Abend, versammelte Administratorenschaft!

Dieses Thema richtet sich speziell an alle, die sich mit IT im deutschen Gesundheitssystem beschäftigen und in diesem Zuge mit der IT-Sicherheitsrichtlinie der KBV (§ 75B SGB V) befasst sind.

Immer häufiger erlebe ich, dass verschiedene Anbieter Aussagen mit Bezug auf die IT-Sicherheitsrichtlinie treffen, die aus meiner Sicht fragwürdig bis schlicht falsch sind. Aktuell scheint eine neue Goldgräberstimmung ausgebrochen zu sein, weil ja innerhalb der nächsten Monate viele zehntausend Praxen zwangsweise auf TIaaS migriert werden, was dann für die Anbieter neue Verträge mit neuen Kostenmodellen bedeutet. Nicht nur in diesem Zusammenhang wird Praxisinhabern z.B. erzählt, sie wären rechtlich zur Nutzung einer "Hardware-Firewall" verpflichtet. Selbstverständlich hat der jeweilige Anbieter dann auch stets das passende Angebot "jetzt exklusiv zum Einführungspreis" parat...

Ein konkreter Satz aus einem aktuellen Anschreiben:
"Gemäß IT-Sicherheitsrichtlinie der KBV bedarf es zum Betrieb eines TIaaS (Konnektor im Rechenzentrum) und des TI-Gateway in Ihrer Praxis zur Sicherung der Netzübergangspunkte einer Hardware-Firewall (z. B. UTM-Firewall)."

Da ich glaube, die Sicherheitsrichtlinie ziemlich genau zu kennen, bin ich sehr sicher, dass an keiner Stelle davon die Rede ist, Praxen hätten überhaupt "Hardware-Firewalls" einzusetzen. Geschweige denn, dass an irgendeiner Stelle Zugangsvoraussetzungen zur TIaaS genannt werden. Immerhin ist die aktuelle Version der Richtlinie auch bereits von Januar 2021, zu diesem Zeitpunkt gab es noch kein einziges TIaaS-Angebot.

Jetzt frage ich mich und somit Euch: Übersehe ich etwas? Kenne ich spezifische Bestimmungen einfach nicht? Oder wird hier tatsächlich von einigen Anbietern schamlos die eigene Kundschaft belogen?

Content-ID: 669819

Url: https://administrator.de/contentid/669819

Printed on: December 7, 2024 at 19:12 o'clock

Quacksalber
Quacksalber Nov 28, 2024 at 00:36:27 (UTC)
Goto Top
Hi,

ich arbeite als Außendiensttechniker eines KMU, welches Partner eines PVS-Hersteller ist.
Die IT-Sicherheitsrichtlinie sagt alles und gar nichts, sie ist leider nur schwammig geschrieben. Einen Punkt finde ich aber direkt auf Seite 7 (Punkt 32):
"Der Übergang zu anderen Netzen insbesondere das Internet muss durch eine Firewall geschützt werden"

Was ist jetzt eine Firewall? Muss Sie UTM haben oder wird UTM einfach nur genannt, weil es der aktuelle Stand der Technik ist?
Das man als Wirtschaftsunternehmen, wozu nun mal eine Praxis zugehört, keine Firewall einsetzen würde, finde ich schon fast grob fahrlässig. Es wird immerhin mit hochsensiblen Patientendaten gearbeitet. Für mich ist das eine grobe Sicherheitslücke und sollte daher zwingend geschlossen werden, von daher stellt sich die Frage für mich und mein Unternehmen überhaupt nicht. Die Praxis muss ja zudem nicht nur die IT-Sicherheitsrichtlinie umsetzen. Es gehört ja auch die allgemeine DSGVO und DVG dazu.


Selbstverständlich hat der jeweilige Anbieter dann auch stets das passende Angebot "jetzt exklusiv zum Einführungspreis" parat...

Na klar warum auch nicht? Eine Firewall ist ein zentraler Baustein, in der IT-Sicherheit. Jede Praxis sollte diese haben und bei jeder Praxis, welche wir das PVS umstellen und uns vorher die Praxisgegebenheiten anschauen, wird das rot angemarkert, wenn keine Firewall vorhanden ist.

Zugangsvoraussetzungen zur TIaaS genannt werden. Immerhin ist die aktuelle Version der Richtlinie auch bereits von Januar 2021, zu diesem Zeitpunkt gab es noch kein einziges TIaaS-Angebot.

Die Praxen sind mit der TIaaS grundsätzlich per VPN angebunden. Bucht man dies bei der CGM bspw. bekommt man unweigerlich eine Watchguard Firewall geliefert, welche für den Zugriff zur TI verpflichtend ist. Wie es bei RISE oder anderen Hersteller ist, kann ich gar nicht genau sagen. Die meisten Kunden wechseln von der CGM weg :D

Als Hinweis: Die IT-Sicherheitsrichtlinie der KBV wird momentan überarbeitet und fußt dann auf einen anderen Paragraphen im SGB V Hierzu stehen mir erste Entwürfe zur Verfügung.
Als Punkt zur Firewall wird dann unteranderem folgendes genannt:
"Der Übergang zu anderen Netzen insbesondere dem Internet muss durch eine Firewall geschützt werden. Primäres Ziel ist es, keine unerlaubten Verbindungen von außen in das geschützte Netz zuzulassen. Zusätzlich sollten nur erlaubte Verbindungen aus dem geschützten Netz nach außen aufgebaut werden können."

Quacki
Datenreise
Datenreise Nov 28, 2024 at 01:33:31 (UTC)
Goto Top
Danke für Deinen Beitrag und die Diskussion!

In einem Punkt hast Du mich glaube ich missverstanden: Ich plädiere natürlich nicht dafür, dass sich irgendjemand ohne Firewall mit dem Internet verbindet - schon gar nicht Arztpraxen.
Wie Du schon sagst, was genau als "Firewall" bezeichnet wird, ist potentiell ein weites Feld. Jeder aktuelle Kleinst-Router hat heute eine Firewall an Bord, ich kenne kein Gerät, welches nicht angefragten Traffic aus dem Internet nach innen weiterreichen würde.
Selbstverständlich sind die Firewalls in Speedports, Fritzboxen etc. nur wenig bis gar nicht konfigurierbar und demnach absolut nicht vergleichbar mit dedizierten Geräten.

Was mich tatsächlich wahnsinnig macht, ist die Unaufrichtigkeit: Ich habe schon mehrere Fälle gehabt, in denen einer Praxis für viel Geld eine Sophos-, Securepoint- oder sonstige Firewall verkauft worden ist. Die Einrichtung in allen Fällen: Eine einzige Regel "Any/Any-Allow". Da möchte mir jetzt bitte mal jemand erklären, wo der Sicherheitsgewinn gegenüber einer Fritzbox sein soll. Nicht einmal segmentiert waren diese Netze, sondern vollkommen flach.

Demnach: Rein die Existenz einer "professionellen" Firewall bedeutet doch rein gar nichts. Firewalls sind Werkzeuge, mit denen man ein Sicherheitskonzept durchsetzen kann. Setzt aber eben voraus, dass eine Praxis ein Sicherheitskonzept hat bzw. Willens ist, gemeinsam mit dem IT-Dienstleister eines zu entwickeln.
Wenn ich schon dadurch compliant bin, dass ich ein bestimmtes Gerät kaufe, dessen Konfiguration aber keine Rolle spielt, ist das IT-Security aus der Hölle und ein riesengroßer Selbstbetrug.


Zitat von @Quacksalber:
Die Praxen sind mit der TIaaS grundsätzlich per VPN angebunden. Bucht man dies bei der CGM bspw. bekommt man unweigerlich eine Watchguard Firewall geliefert, welche für den Zugriff zur TI verpflichtend ist.

Ja, ich weiß, aber aus meiner Sicht ist genau dies eben extrem fragwürdig, weil es auch bei CGM mit "Verpflichtung durch die IT-Sicherheitsrichtlinie" begründet wird.
Die von Dir zitierte Passage kenne ich natürlich und sie ist die einzige in der gesamte Richtlinie, wo überhaupt von Firewalls als Gerät vor Ort die Rede ist (die zweite Passage bezieht sich auf WebApps).
Wo steht hier nun aber etwas von "Hardware-Firewall"?

Danke auch für Deinen Einblick in den Entwurf. Hier wird es ja zumindest minimal konkreter, lässt aber auch sehr viel Interpretationsspielraum.

Damit keine Missverständnisse aufkommen: Ich selbst würde Praxen auch nicht auf dem Niveau einer Fritzbox ausstatten. Aber in meinen Augen ist es höchst fragwürdig, eine psychotherapeutische Praxis mit einem einzigen Computer dazu zu "zwingen", sich für 700 € eine Firewall anzuschaffen, die zusätzlich jeden Monat noch Folgekosten verursacht.
Bei dem neuen Trend zu "managed" Geräten kommt dann noch dazu, dass diese aus Sicht der Praxis eine reine Blackbox sind...
StefanKittel
StefanKittel Nov 28, 2024 at 06:11:24 (UTC)
Goto Top
Moin,
den Punkt hatten wir schon vor Jahren in Zahnarztpraxen.
In den Dokumenten wird eine Hardware-Firewall gefordert.

Aber 1: AVM beschreibt seine Fritz!Box als ein Gerät (Hardware) mit Firewall-Funktion.
Aber 2: Die KVZ (hatten) ein PDF-Dokument wo eine Fritz!Box explizit als Hardware-Firewall genannt wurde.

Versteht mich nicht falsch: Ein gut eingerichtete UTM-Firewall mit Updates und Pflege erhöht die Sicherheit.

Aber eine Firewall mit Standard-Einstellungen einfach nur hingestellt ist eher schädlich. Ja, die macht auch ein bisschen. Aber sie bietete eine trügerische Sicherheit für den Nutzer den sie nicht erfüllt.

IT ist und bleibt aus meiner Sicht ein Thema was primär vom Budget und nicht den Anforderungen getrieben ist. 30% aller Zahnärzt in Deutschland stehen finanziell auf der Kippe. Besonders in Großstädten wo es einfach zu viele davon gibt. Da gibt es dann wirklich Entscheidungen zwischen: Neuer Server, Firewall, Behandlungseinheit reparieren und Fortbildung.

Stefan
StefanKittel
StefanKittel Nov 28, 2024 at 06:22:34 (UTC)
Goto Top
Nachtrag: Ich werfe mal den Begriff "Verantwortung" in den Raum.

Mein Beispiel: Eine Firma/Praxis hat eine gut funktionieren Open-Source-Firewall mit allen Schikanen von einer kleine 2-Mann-Firma die wirklich Ahnung davon hat und die kümmern sich auch für einen schmalen Euro für Updates.

Jetzt kommt der "böse" Vertriebler und biete die neueste UTM-Firewall von Schnubbel-Tech mit Cloud-Verwaltung und AI-Funktionen für einen nicht so schmalen Euro an.

Die Praxis lehnt das Angebot ab.
12 Monate später wird die Praxis gehackt. Ein Gutachter der Cyber-Versicherung kommt und sagt als erstes: Mit einer richtigen UTM-Firewall wäre das nicht passiert. Bevor überhaupt geklärt ist was die Ursache war. Die möglicherweise mit einer gehackten zentralen Verwaltung der Verwaltungssoftware zu tun hat.

Wenn die Praxis das Angebot angenommen hätte, wäre sie auch gehackt aber der Gutachter würde sagen sagen: Sie haben ja eine UTM-Firewall. Mehr hätte sie wirklich nicht machen können.

Die gleiche Argumentation höhre ich auch für O365 und andere Cloud-Produkte.

Früher gab es diese Argumentation nur bei "großen" Firmen. Im KMU-Bereich eher selten.
Heute gilt es fast überall.

Stefan
maretz
maretz Nov 28, 2024 at 08:07:49 (UTC)
Goto Top
Moin, auch ohne aus dem direkten Bereich zu kommen würde ich mal 2 Punkte reinwerfen:

Das eine ist die Überlegung das solche Formulierungen ja generell auch gerne genommen werden DAMIT eben im dümmsten Fall sich niemand rausreden kann. Damit eben nicht irgendwer (ob Arzt, Klemptner oder was auch immer) nicht den Rechner einfach so mitm Modem ans Internet hängt und sich danach darauf beruft das es ja nie anders gefordert war. Und DA reicht oft eben schon ne Fritzbox aus da auch die (wie jedes andere Plastikgerät vom Baumarkt-Wühltisch) erstmal alle Verbindungen von aussen nach innen abblockt. Das ist natürlich nur ein _minimum_, aber schon um Klassen besser als nen Rechner ohne irgendwas mitm Modem am Internet...

Das zweite ist eben die Firewall selbst - und hier macht es aus meiner Sicht eben auch keinen SINN da irgendwas vorzugeben. Denn eine Firewall macht erstmal nix sicherer, DAS passiert doch erst mit der Konfiguration UND dem Überwachen der Konfig/Logs/... Die oben erwähnte "Any-Any-Rule" ist ja leider nicht mal sooo unüblich, grade in kleinen Betrieben. Dabei sind die Lizenzkosten für die FW nicht das einzige - man müsste ja eben sonst auch ne Pauschale mind. für jemanden zahlen der da drauf guckt (und ich vermute auch "ihr" als Dienstleister für solche "kleingewerbe" werdet das entweder nach Zeit oder nach Leistungsumfang abrechnen). Dazu muss natürlich für das ganze geraffel auch noch nen Platz vorhanden sein - würde ich in nem Hotelbereich nämlich den Rezi-Bereich wie nen IT-Raum aussehen lassen würde man mir schon was erzählen, ich vermute Ärzte sind da jetzt nicht grossartig anders und auch eher wenig begeistert...

Was den Nachtrag angeht: Was soll ein Gutachter denn machen? WIE willst du sowas denn neutral bewerten? Guck mal hier ins Forum - da wären einige Fragen bei denen ich dem Fragesteller jegliche Qualifikation absprechen würde sein/ihr Wissen an Kunden zu verkaufen. Genauso weisst du bei der "2-Mann-Firma" ja nicht automatisch ob die das wirklich machen - oder ob die nicht in dem Moment irgendeinen Studenten für 20E/Tag holen der da irgendwas zusammenbläst. DAS kannst du erst rausfinden wenn du die entsprechende Zeit aufwendest um das alles wirklich nachzuverfolgen. Ich glaube dafür wird kaum einer Zeit haben - und auch nicht bekommen da der Gutachter selbst ja idR. von der Versicherung bezahlt wird (welche ja durchaus ein Interesse hat das der Gründe findet warum die nich zahlen müssen). Und sorry - wenn mir zB. von nem IT Dienstleister schon Leute geschickt wurden die angeblich "mit Server-Erfahrung" kommen -> wenn man die bittet nen Server neu zu starten die aber ganz hart übers iDrac gehen, power-off, power on (und NICHT shutdown) und sagen "machen wir immer so" - nun, als Gutachter würdest du ja erstmal aufm Papier sehen "kommen von nem prof. IT Dienstleister", mehr hast du da ja nicht mehr. Damit wären bei mir die Menschen auch raus aus der Gleichung -> und es bleibt nur die Hardware... bei $Hersteller könnte ich noch gucken ob die letzten Versionsstände passen, bei Open Source -> eher schwer. Bei $Hersteller könnte ich im Zweifel (wenns um höhere Beträge geht) das Gerät einschicken lassen um das prüfen zu lassen. Bei Open-Source -> eher schwer... Von daher kann ich solche Argumentationen schon nachvollziehen - im Einzelfall ist es natürlich blöd wenn du wirklich weisst was du tust, meine Erfahrung zeigt mir aber leider das "wissen was man tut" eher aussterbend ist und es mehr "Internet hilft schon" auch reicht.
Lochkartenstanzer
Lochkartenstanzer Nov 28, 2024 updated at 09:49:35 (UTC)
Goto Top
Moin,

Allgemein wird unter Firewall eine Struktur verstanden, die den Zugang von einem Netzwerk ins andere Reglementiert. So gesehen sind auch Fritzboxen oder Speedports "Hardware-Firewalls" die i.d.R. den praktischen Zweck einer Firewall erfüllen, keine Verbindungen von einem netz (Internet) ins andere netz (LAN) zu lassen, außer man definiert regeln (Portweiterleitungen o.ä.), die Ausnahmen zulassen. Die Kommunikatin von innen nach außen läßt sich zwar nicht so granular regeln, wie man sich das manchmal wünscht, aber man kann z.B. bestimmte Stationen davon ausschließen, nach außen verbindungen aufzubauen. So gesehen erfüllen die Plaste-Router durchaus Firewall-Funktionalität und man kann die mit Fug und Recht als Hardware-Firewall bezeichnen.

Nun sind wir in einem Admin-Forum und uns durchaus bewußt, daß wir von einer Hardware-Firewall durchaus mehr erwarten. Aber als jemand der seit den späten 80ern, als kaum jemand das Internet kannte, Firewalls aufbaut und konfiguriert kann ich sagen, daß man eine Firewall immer an den Anforderungen messen muß und nicht an dem wie lang der S_c_h_w_a_n_z die Featureliste ist. Von daher würde ich erstmal abklopfen, was da an funktionalität überhaupt benötigt wird. meiner erfahrung nach benötigen die meisten nämlich wirklich nicht viel mehr als die funktionalität einer Fritte, Insbesondere weil sie mit viel mehr meist auch nciht umgehen können und dann beim rumklicken Sachen einstellen können, die entweder den Betrieb lahmlegen oder große Löcher in die Firewall bohren.

istockphoto-1298238297-612x612

lks
Hubert.N
Hubert.N Nov 28, 2024 at 10:07:56 (UTC)
Goto Top
Moin

da ist so einiges an den Arzt oder die Ärztin verkauft worden, was die nicht wirklich zwingend benötigen.

Was mir noch sehr gut in Erinnerung ist, ist der Verkauf des Konnektors mitsamt des VPNs und der dringenden Empfehlung, den gesamten Internetverkehr duch den Tunnel zu routen. "Weil es sicherer ist". Oder sollte es doch eher so sein, weil es sich für den Anbieter rechnet, wenn man jedes GB Internettraffic dann teuer bezahlen muss?

Gruß
Datenreise
Datenreise Nov 28, 2024 at 10:51:59 (UTC)
Goto Top
Zitat von @Hubert.N:
Was mir noch sehr gut in Erinnerung ist, ist der Verkauf des Konnektors mitsamt des VPNs und der dringenden Empfehlung, den gesamten Internetverkehr duch den Tunnel zu routen. "Weil es sicherer ist".

Ja, die wundervolle Idee mit den "SIS"...
Die waren dermaßen weit an der Realität vorbei entwickelt, dass sich zumindest in meiner Umgebung kein Anbieter getraut hat, sich ernsthaft für deren Nutzung einzusetzen.

Danke Euch allen schon mal für die tollen Beiträge und die lebhafte Diskussion in so kurzer Zeit!

Der Aspekt der Haftung im Kontext von Versicherungen ist ein interessantes Thema. Sobald ich eine "Cyber-Versicherung" abschließe, sollte ich mich natürlich eng mit der Versicherungsgesellschaft abstimmen und alle Maßnahmen umsetzen, die man hier für erforderlich hält.
Allerdings hat dieses ja wiederum nichts mit Pflichten zu tun, die sich aus Gesetzen oder Verordnungen ableiten.

Ich werfe keinem Anbieter vor, wenn er sagt: "Um über meine Infrastruktur an die TI angebunden zu werden, ist folgendes Gerät / folgende Konfiguration obligatorisch". Was mich aber massiv stört ist, wenn so getan wird, als helfe man dem Kunden dabei, seine gesetzliche Pflicht zu erfüllen - auf Nachfrage aber überhaupt nicht benennen kann, was überhaupt die Rechtsgrundlage ist.

@Quacksalber: Mich würde sehr interessieren, wie das bei Euch abläuft. Wird über solche Dinge intern diskutiert (wie ist die rechtliche Lage, welches Angebot machen wir demnach unseren Kunden) oder gibt irgendjemand zentral im Unternehmen vor, was man den Kunden anbietet?
ukulele-7
ukulele-7 Nov 28, 2024 at 11:50:08 (UTC)
Goto Top
Erstmal finde ich den Thread hier gut, ich kann deine Einwende absolut des OP nachvollziehen. Es macht Sinn, sich mit dem Wortlaut solcher Regelungen zu befassen und aufzuzeigen, wo die Probleme bei solchen Angeboten liegen.

Ich kenne die konkrete Regelung nicht und habe zum Glück nichts mit der IT des Gesundheitswesens zu tun. Ich würde jetzt mal nur auf das hier Geschriebene und andere Vorgaben von z.B. Cyber-Versicherungen eingehen. Aus mehreren Annahmen würde ich das ganze für mich ableiten.

Annahme 1:

Erstmal nehme ich an, das so ziemlich jede gesetzliche Regelung den Begriff "Firewall" als Paketfilter auslegt.
(z. B. UTM-Firewall).
Eine UTM (oder eine "Next Generation Firewall xy") hat einen Paketfilter, nicht jeder Paketfilter ist eine UTM. Hat auch bisher keiner behauptet, will ich nur zur Verdeutlichung sagen. Ein Paketfilter filtert ausschließlich auf den Ebenen Herkunft, Ziel und Port. Er Bewertet Verbindungen nur auf Basis dieser Eigenschaften und erlaubt oder unterbindet sie.

Annahme 2:

Welche Pakete ein Paketfilter nicht raus in das Internet routen darf, das kann eigentlich nicht sinnvoll geregelt werden. Natürlich wäre es wünschenswert, ungewollte Datenabflüsse zu erkennen und zu unterbinden. Sowas ließe sich aber weder per Gesetz oder Richtline vorgeben, noch gibt es Lösungen, die überall und out of the box funktionieren. Also muss eine "Firewall" keine technische Lösung für Dataloss Prevention oder dergleichen bieten. Eine Regel "alles darf raus" wäre also auf keiner Firewall per se problematisch.

Annahme 3:

Welche Pakete eine Firewall rein lassen darf, lässt sich natürlich auch nicht pauschal sagen. I.d.R. sind es aber sowieso nur solche, die als Antwort auf ausgehende Verbindungen eintreffen. Niemand kann hier ernsthaft von einem Paketfilter erwarten, das er z.B. die AnyDesk-Verbindung aus Pakistan raus hält, die ein Arzthelfer für den Microsoft-Support aufgemacht hat.

Eine Regel "nichts darf rein, mit Ausnahme von Antworten" ist also auch kein Problem. Eine UTM mit Any-Any Regel dürfte das i.d.R. auch gewährleisten, wenn zeitglich NAT ohne Portforwarding statt findet. (Auch das würde ich erstmal als Regelfall vermuten.)

Zwischen-Fazit I:

Jeder Paketfilter, jedes Gerät mit NAT ohne Portforwarding, erfüllt die Vorgabe als Firewall zu fungieren. Jede Fritzbox, jeder Router vom ISP ist vermutlich eine Firewall.

Annahme 4:

Ob eine Firewall Hardware sein muss oder Software sein darf, darüber kann man sich sicherlich streiten. Da auch viele "Hardware-Firewalls", UTMs, etc. nicht nur Paketfilter sondern auch weitere Funktionen übernehmen (DHCP, E-Mail Gateway) ist die Diskussion ziemlich dämlich. Solange der Hersteller des Paketfilters auch die anderen Software Funktionen liefert, und solange die Hardware nichts macht als die Software dieses Herstellers zu betreiben, könnten wir uns, denke ich, darauf einigen, das es sich um eine Hardware Firewall handelt. Das würde auch wieder bedeuten das jede Fritzbox, jeder Router vom ISP ist vermutlich eine Hardware-Firewall darstellt.

Zwischen-Fazit II:

Ob die IT-Sicherheitsregelung eine Hardware- oder nur eine Firewall vorschreibt, ist in 99,9% der Fälle belanglos.

Annahme 5:

Durch Begriffe wie "Stand der Technik" und aus dem gesunden Menschenverstand würde ich einfach ableiten, das die Software einer Hardware-Firewall aktuell sein muss. Alles andere währe Fahrlässig. Also der Paketfilter, die Plattform, und alles was sonst noch neben dem Paketfilter läuft, muss aktuell sein. Das kann man auch mit einer Fritzbox leisten. Bei vielen Billo-Routern wäre ich da vorsichtig. Die sollten zumindest einen bekannten Support-Zyklus haben, mit dem man planen kann.

Fazit:

Also Paketfilter + dedizierte Hardware + aktuelle Software = Hardware-Firewall. Ich würde sagen jeder dieser Lösungen, auch eine Fritzbox die Updates zeitnah bekommt, ist Vorschriftsmäßig.

Ich hatte in der Vergangenheit auch mit solchen Fragen zu tun. Der TÜV-Auditor hatte schon sehr komische Vorstellungen in einigen Punkten, da ging es z.B. um Virenscanner auf Android-Geräten (Eine UTM habe ich ja, dazu hat er nichts gesagt face-smile ). Die Cyberversicherungen waren da unterschiedlich. Man hat sich in einigen Fällen zufrieden gegeben mit einer Angabe wie: "Wir haben ein Konzept und setzen sinnvolle Maßnahmen um. Dinge, die wir nicht für sinnvoll halten, können Sie uns gerne im Detail vorschreiben oder wir machen das nicht."
kpunkt
kpunkt Nov 28, 2024 at 13:00:50 (UTC)
Goto Top
Ambivalentes Thema.
Generell geht es bei Gesetzen darum, sie so zu formulieren, dass sie weitestgehend alles abdecken. Daher sind sie eher schwammig als spezifisch formuliert. Es gäbe sonst zu viele Lücken.
Daher gibt es (quasi für jede Branche) eine Handlungsempfehlung von den entsprechenden Verbänden. Da werden dann oftmals brauch- und auch gangbare Szenarien aufgezeigt, mit dem auch der Laie etwas anfangen kann.

Das Problem ist jetzt, wenn es um komplettes Neuland geht. Da greifen die Verbände auch oft nur auf Spezialisten zurück, da sie ja im Grunde eine andere Aufgabe haben. Keiner will sich da möglicherweise in die Nesseln setzen und eine Empfehlung rausgeben, die dann doch irgendwo einen Fehler hat, der anfangs nicht ersichtlich war.

Heißt also, in der Realität muss man sich von Spezialisten beraten lassen. Dass Vertrieb was verkaufen will, steht doch außer Frage.
In dem genannten Fall nehm ich jetzt einfach mal das von @Quacksalber als gegeben, also dass eine "Firewall" gefordert wird.
Ich vermute jetzt stark, dass der vom TO genannte Vertrieb eine Hardware verkaufen will. Daher schreibt er in seinem Werbetext von einer Hardware-Firewall. Ich würde weiterhin vermuten, dass ein Vertrieb, der Software an den Mann bringen will in seinem Werbetext von einer Software-Lösung reden würde.
Sind die beiden Texte dann richtig? Eher nein. Aber sind sie richtig falsch? (Nicht richtig: der Berg da drüben ist kein 5.000er sondern ein 4.000er. Falsch: Das da drüben ist kein 5.000er, es ist eine Kuh)

Ich sehe da jetzt keine bewusste Lüge. Es wird nur bewusst in eine Richtung gewiesen, die dem Vertrieb von Vorteil ist.
Auf der anderen Seit des Tisches sitzt dem Vertrieb doch auch ein Unternehmer gegenüber. Es gehört da auch einiges mehr dazu als nur ein Schreibtisch und eine Metallplakette an der Tür. Da hat man auch Risiken und Pflichten. Und da ist es auch nicht anders wie sonst auch: habe ich keine Ahnung, dann wende ich mich zur Beurteilung an Fachspezialisten, aber mit Sicherheit nicht an einen Vertriebler.
Irgendjemand hat weiter oben was von "Verantwortung" geschrieben. Ich setze da noch ein "Eigen-" vorne weg.
Und ja, auch wenn es da um eine kleine Ein-Mann-Praxis geht, der Vertrieb sucht sich da (zumindest zu 99%) eben genau so einen raus, um genau den zu übertölpeln. Die gehen ins Verzeichnis, suchen nach "Arztpraxen", legen Geld auf den Thresen und lassen ein Mailing los.

Schwieriger wirds in meinen Augen dann, wenn man schon nach der Bedarfsanalyse ist und gesagt wird, es müsste in dem Fall unbedingt eine Hardware-Firewall sein. Aber selbst dann muss man sich als Unternehmer bewusst sein, dass man da in erster Linie mit einem Vertriebler und nicht mit einem Fachspezialist redet.

tl;dr: Anschreiben = Werbung, also nicht zu viel reininterpretieren. Fachfragen beim Fachspezialist klären lassen.
Datenreise
Datenreise Nov 28, 2024 at 13:33:19 (UTC)
Goto Top
Danke auch für Deinen Input!

Um das Ganze noch etwas zu präzisieren: Es gibt diese Werbeanschreiben ohne aktive Geschäftsbeziehung. Ich beziehe mich hier aber vorwiegend auf die Vorgänge, in denen Praxen von ihren eigenen PVS-Herstellern angeschrieben werden, die für sie in der Regel auch gleichzeitig TI-Zugangsanbieter sind.


Sind die beiden Texte dann richtig? Eher nein. Aber sind sie richtig falsch? (Nicht richtig: der Berg da drüben ist kein 5.000er sondern ein 4.000er. Falsch: Das da drüben ist kein 5.000er, es ist eine Kuh)
Ich sehe da jetzt keine bewusste Lüge. Es wird nur bewusst in eine Richtung gewiesen, die dem Vertrieb von Vorteil ist.

Ich weiß, wie Du es meinst, aber sehe es in diesem Fall tatsächlich etwas anders. Im Verkaufsgespräch mit unscharfen Formulierungen "zu spielen" ist das Eine. Weder besonders fair, noch symphatisch, aber in der Tat keine Lüge und ganz sicher nicht illegal.
Hier reden wir aber nicht nur davon, dass ein Anbieter die rechtliche Regelung für seine Argumentation "überinterpretiert" und eine Pflicht zur Verwendung von Hardware-Firewalls konstruiert. Es wird z.B. auch ganz eindeutig geschrieben, dass Fritzboxen nicht zulässig seien:

"Kompatibel sind die getesteten Hardware-Firewalls von Lancom und Securepoint. Bei dem Einsatz dieser muss der Wireguard-Client gebucht werden. Sollten Sie aktuell bereits eine Hardware-Firewall einsetzen, geben Sie dieses bitte auf dem Bestellschein an. Bitte beachten Sie, dass eine Fritzbox nicht den Anforderungen einer Hardware-Firewall entspricht."

Ich selbst habe nur ein abgebrochenes Jurastudium vorzuweisen. Aber bei so etwas wüsste ich schon gerne, wie Volljuristen (mit IT-Hintergrund) die Situation bewerten.
StefanKittel
StefanKittel Nov 28, 2024 updated at 13:50:59 (UTC)
Goto Top
Bitte beachten Sie, dass eine Fritzbox nicht den Anforderungen einer Hardware-Firewall entspricht."

Richtig müsste das vermutlich heißen: Bitte beachten Sie, dass eine Fritzbox nach unserer Erachten nicht den Anforderungen einer Hardware-Firewall entspricht".

Denn selbst wenn man statt dessen IT-Experten sagt, müsste man die bennen können.
kpunkt
kpunkt Nov 28, 2024 at 14:06:04 (UTC)
Goto Top
Selbst diese Aussage sehe ich persönlich nicht zu kritisch. Der Begriff "Hardware-Firewall" ist ja jetzt nix wirklich eindeutig. In der Regel versteht man darunter eine physische Appliance auf einer dedizierten Hardware. Eine Fritzbox ist im Grunde ja nur ein Modem samt Router mit NAT-Funktion. Ist jetzt auch schon so firewall-artig und lässt auch nicht so alles von außen nach innen durch. Aber es gibt dann doch schon deutliche Unterschiede zu den genannten und als Hardware-Firewall bezeichneten Geräten von Lancom und Securepoint.
Im Kontext gelesen, ist die Abgrenzung da jetzt nicht wirklich falsch und mit Sicherheit keine Lüge. Würde die Aussage, dass eine Fritzbox keine Hardware-Firewall ist, für sich alleine stehen, wäre es wohl fragwürdiger.
Man darf halt immer nicht vergessen, dass wir uns noch immer im Werbeumfeld befinden, also § 5 UWG.
Da es in dem genannten Absatz um Kompatibilität geht, ist das eher ein semantisches Problem. Besser wäre es gewesen, bei dem Satz "Bitte beachten Sie, dass eine Fritzbox nicht den Anforderungen einer Hardware-Firewall entspricht"das "den" durch "unseren" zu ersetzen.
Es gibt halt nicht die Definition einer Hardware-Firewall.
Ich denke, dass da auch Juristen nur mutmaßen können. Man müsste es wohl auf ein Urteil ankommen lassen. Und selbst das dürfte dann nicht allgemeine Lesart werden.
Es gilt da ja auch das gleiche, wie bei den Verbänden. Da wird sich auch keiner verbindlich dazu äußern.

Das wäre aber in der Tat ein interessantes Thema für eine Zivilrechtsvorlesung. Mal was anderes als die immer gleichen Kaufvertrag-Beispiele.
ukulele-7
ukulele-7 Nov 28, 2024 at 14:34:27 (UTC)
Goto Top
"Kompatibel sind die getesteten Hardware-Firewalls von Lancom und Securepoint. Bei dem Einsatz dieser muss der Wireguard-Client gebucht werden. Sollten Sie aktuell bereits eine Hardware-Firewall einsetzen, geben Sie dieses bitte auf dem Bestellschein an. Bitte beachten Sie, dass eine Fritzbox nicht den Anforderungen einer Hardware-Firewall entspricht."

Dieses Zitat bezieht sich auf etwas davor. Das "Fritzbox nicht den Anforderungen einer Hardware-Firewall entspricht" sehe ich zwar als schlecht formuliert an, aber ich würde das auf das beziehen, was vor "Kompatibel" steht. Vor allem das mit Wireguard dürfte sich auf ein sehr konkretes Szenario beziehen, eine Hardware-Firewall braucht ja nicht zwingend Wireguard.

Für sich genommen wäre es aus meiner Sicht falsch, ich sage eine Fritzbox ist ein Hardware-Paketfilter und damit eine Hardware-Firewall.
maretz
maretz Nov 28, 2024 at 14:58:37 (UTC)
Goto Top
Ich würde einfach mal vermuten das ein Produkt-Name ganz sicher nicht aussagefähig darüber ist ob ein Gerät "qualifiziert" ist oder nicht. Denn eine Firewall ist ja nunmal nicht an einen Hersteller gebunden, rein inhaltlich wäre das auch schon schwer und extrem schwammig. Denn was würde - rein gedanklich - passieren wenn ich auf nem Cisco-Switch nen paar ACLs definiere -> damit hat das Netz auch eine Firewall, es steht ja da nicht _wo_ die sein soll. Es wäre alles erfüllt: Es ist eine hardware-firewall (nen L3-Switch angenommen habe ich ja zumindest Port-Filter),... Nur blöd das wenn mein Gateway im selben Netz hängt das der Switch die Pakete selbst ja nie anfassen wird -> aber das ändert nichts daran das eine Firewall vorhanden ist...

Weiterhin würde ich eine solche Formulierung für nicht wirklich durchsetzbar halten -> denn sonst müsste ja zumindest nen grundregelwerk auch definiert sein. Ne Fritte ist nichts anderes als jede Firewall von $Hersteller -> gneauso gut, genauso schlecht WENN man eben definieren würde "von aussen nach innen nix, von innen nach aussen alles". Das einzige wo ich davon ausgehen würde das der Hersteller natürlich recht hat wäre beim Support -> das jeder Hersteller sagen kann "wir kennen das Produkt x, y, z -> DA können wir helfen... rufst du mit nem Problem an weil deine Fritte nen Problem macht geh nur nächsten Pommesbude aber lass mich in Ruhe". Das wäre ja auch nicht unüblich - wenn bei mir jemand (selbst privat) wiedermal mit irgendeinem billigst-plastik-geraffel ankommt bei dem der letzte Treiber von 2015 aus china kommt und meint "installier mal" leg ich den Kram ja auch nur ins Regal und verweigere das...
Datenreise
Datenreise Nov 28, 2024 updated at 15:52:54 (UTC)
Goto Top
Ok, es ist vermutlich am sinnvollsten einfach mal die gesamte Passage hier einzustellen, damit alles im Gesamtzusammenhang gelesen werden kann:

Zitat von PVS-Anbieter:
Der Wechsel ins Rechenzentrum bedeutet, dass Sie keinen Konnektor mehr in der Praxis haben und sich somit auch nicht mehr um die Wartung des Gerätes kümmern müssen. Gemäß IT-Sicherheitsrichtlinie der KBV bedarf es zum Betrieb eines TIaaS (Konnektor im Rechenzentrum) und des TI-Gateway in Ihrer Praxis zur Sicherung der Netzübergangspunkte einer Hardware-Firewall (z. B. UTM-Firewall). Zusätzlich zu Ihrer TIaaS-Bestellung (inkl. TIGW) ist dementsprechend die Bestellung einer Hardware-Firewall bei der [...] GmbH verpflichtend. Ohne die damit verbundene und notwendige Hardware-Firewall-Bestellung kann Ihre TIaaS-Bestellung nicht ausgeführt werden. Sollten Sie bereits über eine Hardware-Firewall in Ihrer Praxis verfügen und diese einsetzen, ist eine Bestellung bei der [...] nicht zwingend notwendig. Hier gilt vorab aber zu klären, ob Ihre Hardware-Firewall kompatibel ist. Kompatibel sind die getesteten Hardware-Firewalls von Lancom und Securepoint. Bei dem Einsatz dieser muss der Wireguard-Client gebucht werden. Sollten Sie aktuell bereits eine Hardware-Firewall einsetzen, geben Sie dieses bitte auf dem Bestellschein an. Bitte beachten Sie, dass eine Fritzbox nicht den Anforderungen einer Hardware-Firewall entspricht.


Diese Mail ist aber auch, wie erwähnt, nur ein Beispiel und kein Einzelfall. Die Hotline dieses Anbieters kommuniziert im selben Wortlaut und andere Anbieter versuchen sich mit derselben Methode.

FunFact am Rande: Als ich schon vor einiger Zeit mal angefragt hatte, woran man die angesprochene Kompatibilität von Fremdhersteller-Firewalls denn festmachen könne, konnte man mir keine einzige technische Eigenschaft nennen.
Als ich nach Zugangsdaten und Angaben zur Konfiguration einer vom Anbieter für eine Praxis bereit gestellten Firewall gefragt habe, bekam ich lediglich zu hören, dass man diese Daten nicht heraus gäbe.

Ganz interessant, oder? Dass eine Praxis eine (vollständige) Dokumentation ihres Netzes anzufertigen hat, steht im Vergleich zur Hardware-Firewall-Pflicht nämlich tatsächlich in der KBV-IT-Sicherheitsrichtlinie...
kpunkt
kpunkt Nov 29, 2024 at 05:50:38 (UTC)
Goto Top
Naja, dann hat sich ja alles aufgeklärt.
Willst du zu denen, dann kauf dir eine Hardware-Firewall, die mit denen kompatibel ist.
Einziger kleiner Faux-Pas ist, dass die aus der KBV-Richtlinie rauslesen, die Firewall müsse eine Hardware-Firewall sein. Da lässt sich drüber vortrefflich streiten, ab wann eine Firewall eine Firewall ist. Da ist nix definiert und es gilt, was @maretz sagt. Auch da ist der Kontext wichtig. Vor allem, da es um besonders schützenswerte Daten geht.
Schlussendlich handelt es sich um Werbung.
Wenn du einen Vertrag mit denen eingehst, dann sind auch deren Vorgaben einzuhalten. Ansonsten schließen die gar keinen Vertrag mit dir. Kein Kontrahierungszwang.

Es ist Vertrieb. Keine Beratungsstelle.
Datenreise
Datenreise Nov 29, 2024 at 11:22:30 (UTC)
Goto Top
Kann man schon so sehen, ja. Mein Blick ist trotzdem ein anderer und ich denke, dass nicht nur ich hier unlauterte Wettbewerbspraktiken sehen.

Ich selbst stehe dabei gar nicht wirklich in Konkurrenz zu diesen Unternehmen, mir geht es u.a. um den moralischen Aspekt. Jeder mit Verstand weiß, dass Werbung nicht im Kern ehrlich ist. Aber besteht tatsächlich kein Unterschied zwischen: "Unser Waschmittel wäscht weißer als die anderen" und "Sie sind rechtlich sowieso verpflichtet, ein Produkt der Kategorie XY zu benutzen, also nehmen Sie am besten gleich dieses hier von uns"?
Ich finde: doch!

Darüber hinaus denke ich, hat jeder Admin mit Herzblut ziemliche Störgefühle, wenn er ein Netzwerk verwalten soll, bei dem er auf die zentralste Komponente (Router/Firewall) keinen Zugriff hat. Der hier im Beispiel angeführte Anbieter ermöglicht beispielsweise überhaupt nicht erst, dass man ein Netzwerk segmentiert. Was ansonsten konkret auf deren Firewalls passiert: Blackbox und Schweigen im Walde.

Und weil oben ja, u.a. von @StefanKittel , sehr richtig das Thema der Verantwortung in Spiel gebracht wurde: Die Verträge und Leistungsbeschreibungen zu diesen Angeboten schließen selbstverständlich jede Haftung für Schäden aus, die nicht auf Vorsatz oder Fahrlässigkeit basieren.
Eine Entlastung in Sachen Verantwortung ist es für die Praxen demnach auch weiterhin nicht (wenig verwunderlich).
maretz
maretz Nov 29, 2024 at 13:30:14 (UTC)
Goto Top
Darüber hinaus denke ich, hat jeder Admin mit Herzblut ziemliche Störgefühle, wenn er ein Netzwerk verwalten soll, bei dem er auf die zentralste Komponente (Router/Firewall) keinen Zugriff hat. Der hier im Beispiel angeführte Anbieter ermöglicht beispielsweise überhaupt nicht erst, dass man ein Netzwerk segmentiert. Was ansonsten konkret auf deren Firewalls passiert: Blackbox und Schweigen im Walde.

ähm, nö? warum? was meinst du wenn dir irgendein Dienstleister seine Software installiert - meinst du da bekommst du immer gleich Zugriff auf die Server (so das du praktisch dessen Software kopieren kannst?). Meinst du wenn du nen Wartungsvertrag abschließt das jeder Dienstleister dir gleich Tür & Tor öffnen möchte damit du die Konfig auch einfach an den billigeren Konkurrenten geben kannst - geschweige denn Schreibzugriffe damit es am Ende die tollsten Streitigkeiten gibt warum etwas nicht mehr funktioniert?

Du kannst ja zB. in deinem Fall hier einfach nen Router vorschalten - nur der Traffic der zu denen gehen soll geht auch an deren Router, alles andere geht wohin auch immer. Aber was wäre denn DEINE Idee - der Dienstleister gibt dir erstmal fröhlich munter alle Zugangsdaten, du richtest die Fritte ein und wenn morgen alles offline ist möchtest du da anrufen und die helfen beim Debugging für Hardware die die auch nicht kennen? Und selbst bei der Firewall - stimmt, ggf. WILL der DL ja sogar das ausser _seinen_ Paketen nix zu ihm durchgeleitet wird (das wäre zB. MEIN Ansatz als DL) -> weil es mich nicht interessieren muss welche Virenverseuchten Endgeräte die in der Praxis so nutzen (eben weil die Fritte zum Einsatz kommt und sämtliche Arzthelfer/innen deren private Mobil-Telefone da mal eben mit ins WLAN hängen, passwort is ja auf der Rückseite...). Da wäre es mir also ganz recht wenn eben der Traffic aus den unbekannten Endstationen eben NUR auf mein Interface kommen kann - und der ganze Win-Müll gleich bei der Praxis-FW weggebratzt wird.

Also - wie willst DU als DL denn hier sonst deinen Service verkaufen - mit "freie Daten für freie Bürger" und entsprechend viel Manpower bei dir im Support (was auch wieder keiner Bezahlen will)? Zumal du im dümmsten Fall ja auch eben keine IT Leute am Telefon bei der Einrichtung hast - sondern eben Anwender denen du blind erklären sollst wo die hinklicken sollen. Wie oben erwähnt - ich komme nicht aus dem Umfeld, ich hab eher mit Hotelbereichen zu tun. Und wenn da eben jemand kommt und seine TV-Box anklemmen will -> wäre ja generell kein Problem, nur wenns dann die Plastik-Box vom Baumarkt ist (und der Baumarkt irgendwo in Ost-Europa steht bei dem ich nich mal die Buchstaben lesen kann!) ist eben nix mit helfen. Nur mach ich das in dem Fall eh freiwillig weils Kollegen sind -> und nicht noch mit irgendeinem Servicevertrag dahinter...
Datenreise
Datenreise Nov 29, 2024 at 14:08:40 (UTC)
Goto Top
Das geht jetzt doch ein bisschen sehr durcheinander und hat mit dem konstruktiven und sachlichen Meinungsaustausch, den ich mir für diesen Thread gewünscht habe, leider nicht mehr so viel zu tun.

Wie kann man denn den Zugriff auf Online-Datenbank-Server irgendeiner Anwendung mit dem Zugriff auf eine zentrale Netzwerk-Komponente lokal bei mir im Unternehmen vergleichen?
Das ergibt nun wirklich überhaupt keinen Sinn.

Du kannst ja zB. in deinem Fall hier einfach nen Router vorschalten - nur der Traffic der zu denen gehen soll geht auch an deren Router, alles andere geht wohin auch immer.
Hier gibt es offenbar ein Verständnisproblem: Es wird Praxen eine Firewall als managed Service verkauft, die sich pauschal um jeglichen Internet-Verkehr kümmern soll. Nicht um einen Anbieter, der seine Dienste hinter so einer Firewall erreichbar machen will.
Ich denke (hoffe), alle weiteren etwas seltsamen Aussagen aus Deinem Posting lassen sich auf dieses Missverständnis zurückführen und müssen daher nicht weiter diskutiert werden.
maretz
maretz Nov 29, 2024 at 17:25:31 (UTC)
Goto Top
Wer sagt was von online server ? Auch wenn du InHouse-Server hast dann wirst du feststellen das du nicht immer darauf zugriff bekommst. Das mag dir passen oder nicht, nur nicht jeder Anbieter will immer gleich das der Kunde an alle Daten kommt.

Und am Ende ist es nunmal einfach: Du kannst dich über so ein Verhalten beschweren oder es akzeptieren. Du wirst es nur nicht ändern... Ob du es gut findest oder nicht.
ukulele-7
ukulele-7 Dec 02, 2024 at 14:03:21 (UTC)
Goto Top
Ich würde mal noch ein paar Dinge in den Raum stellen:

- Einen Zugriff musst du nicht bekommen und selbst der Kunde theoretisch auch nicht (Blackbox). Wenn das vertraglich so geregelt wurde, das der Firewall-Anbieter eine Dienstleistung erbringt kann er das sicherlich so anbieten. Aktuelle VPN Anbieter sind ja häufig auch nicht transparent. Wenn der Kunde sich also in diese Network-as-a-Service Welt begibt, kann er machen...

- Ich weiß nicht, wann und in wie Fern der Anbieter dann Haftung übernimmt. Am liebsten vermutlich keine aber wissen wir ja erstmal nicht. Ich glaube aber nicht, das der Kunde in so einem Fall Haftung für Fehler des Service-Anbieters übernehmen kann.

- Wenn du eine Firewall-as-a-Service Lösung da stehen hast, musst du vermutlich nur den Teil auf deiner Seite dokumentieren. Und natürlich einen AV Vertrag abschließen, etc.

- Das bewerben dieser Leistung nach dem Motto: "Nur das ist zulässig" sehe ich auch kritisch. Du musst dir überlegen, wie du damit umgehen willst. Es gibt schon Dinge, die man unternehmen könnte:

1) Dem Kunden sagen "das ist Blödsinn, lass dich nicht verarschen."
2) Dich anwaltlich beraten lassen und ggf. den Anbieter abmahnen. Auch wenn du nicht in direkter Konkurrenz stehst könnte das möglich sein, nach Wettbewerbsrecht.
3) Dem Kunden sagen er soll sich juristisch wehren - macht er aber sicher nicht.
4) Die Verbraucherzentralen machen bei vielen Dingen einen guten Job. Ob die sich hier aber a) als zuständig betrachten und b) das auch als unlauteren Wettbewerb auffassen würden, kann ich aber nicht sagen. Wenn beides zutrifft, würde die Verbraucherzentrale dann eine Abmahnung aussprechen.

In jedem Fall würde das sicherlich nur über eine Art Abmahnung laufen. Dann würde dieser Anbieter seine Formulierung vermutlich unterlassen. Wenn du da anrufst und sagst "Leute, das ist doch Blödsinn", lachen die dich höchstens aus. Alternativ kann man seine Kritik beim Kunden lassen und der Ethik eine Flasche Wein spendieren face-wink
StefanKittel
StefanKittel Dec 02, 2024 updated at 14:12:37 (UTC)
Goto Top
Moin,

was hier ja auch dazukommt ist eine aktuelle Verbindung wenn nicht sogar Abhängigkeit.

Wenn Du Abrechnung-A von Firma XYZ hast, dann hast Du eine Vertrauensverbindung zu dennen und bist auch zu einem bestimmten Maße abhängig. Man kann nicht so einfach mal die Abrechnungs- oder Diagnostik-Software wechseln.

Auch wollen sich viele Ärzte mit diesem Thema nicht beschäftigen und sagen schneller mal OK als eigentlich gut wäre.

Es ist also eher ein Mißbrauchen eines Vertrauensverhältnisses. Quasi Mißbrauch von Schutzbefohlenen. Kombiniert mit einem latenten Desinteresse über die Rechnungsstellung hinnaus.

Grundlage ist hier vermutlich eine Überforderung des Arztes/der Ärztin und seiner/ihrer Budget-Vorstellungen/-Möglichkeiten.

Stefan
Datenreise
Datenreise Dec 03, 2024 updated at 12:27:22 (UTC)
Goto Top
Danke @ukulele-7 und @StefanKittel für Eure themenorientierten Beiträge!

Ich denke auch, dass man am ehesten über wettbewerbsrechtliche Abmahnungen etwas unternehmen könnte, wobei dies gar nicht unbedingt mein Ziel ist.
Ich persönlich leide ja wie gesagt nicht direkt unter diesen Praktiken, jedenfalls nicht monetär. Intellektuell verursacht es mir durchaus Schmerzen und es ärgert mich, wie Firmen einerseits im Brustton der Überzeugung etwas behaupten, obwohl sie wissen müssen, dass es gelogen ist und andererseits die angesprochene Kundschaft in aller Regel auch oft sehr unkritisch über's Stöckchen springt.

Es ist schon vollkommen richtig, dass seitens der Praxen ein Vertrauensverhältnis zu ihren PVS-Anbietern besteht, schließlich laufen diese Geschäftsbeziehungen über Jahre, oftmals Jahrzehnte.
Auf der anderen Seite sind Praxen gleichzeitig häufig unzufrieden mit ihren Anbietern, die Umfragen und Statistiken hierzu zeichnen teilweise ein verheerendes Bild.
Aber wie Ihr schon richtig sagt, vor einem Wechsel scheuen die meisten zurück, was ich prinzipiell auch verstehen kann, da man im Prinzip die Praxis für ein paar Wochen schließen und neben dem technischen Umbau auch erstmal die eigene Mannschaft komplett neu schulen muss. Dazu kommt noch, dass es wohl auch nicht den einen Anbieter gibt, zu dem man bedenkenlos und ohne jede Einschränkung wechseln könnte.

"Der Ethik eine Flasche Wein spendieren" finde ich übrigens schön, auch wenn ich mich sonst weitestgehend von Alkohol fernhalte. face-wink
ChristianRiske
ChristianRiske Dec 04, 2024 at 16:46:10 (UTC)
Goto Top
Nun ja...Das WAtch-/Wireguard-Thema kommt ja daher, dass ich innerhalb der Verbindung zwischen Rechenzentrum der medatixx, CGM oder anderen und der Arztpraxis eine gesicherte VPN-Leitung zu Konnektoren etablieren muss. Hierbei dürfen Pakete nicht analysiert, injektiert werden, was eine Fritzbox oder andere "Routerlösungen"machen würden. DAzu ds Thema des Nattens, was dei unweigerlich tun würden.
Die W-guard-Technologie sorgt ja dafür, dass meine 8 Bit komplett unverändert auf der anderen Seite ankommen und Konnektoren die Pakete nicht aufgrund einer "ManInTheMiddle" Vermutung verwerfen.

Alles in allem aber ein großes Thema, vor allem, da ja die Securepoints der PVS-Anbieter, um auf deren RZ-Konnektoren zu kommen nicht auf einer "normalen", vorhandenen Securepont abzubilden sind, die in den PRaxen schon seit Anbeginn der KV-IT-Sicherheitsrichtlinien in die PRaxen geschafft wurden.
Hier auch noch ein Thema: ja... ich kann eine FB als Firewall nutzen, die kann auch VPN und anders schönes Zeug... aber alles nur recht rudimentär. Wenn ich mir da sie Securepoint oder nen LANCOM anschauen, habe ich da schon gnaz andere Möglichkeiten. Und: Sicherheitslücken in der Firewall werden wesentlich schneller gefixt als bei einem AVM Produkt.
Thema Haftung: LAss Deinen Anwalt erklären Du nutzt Microsoft DEfender und Fritzbox Firewlal zum Schutz der Praxis.
Da bittet der Richter den Sicherheitsbeamten seine Dienstwaffe für die Selbsthinrichtung zur Verfügung zu stellen.
Da wäre ein DSGVO-Verstoß auf der einen Seite, Der Rausschmiss aus allen Ärztekammern der Welt und der Verlust der Aprobation wäre hier aber noch weitaus tragischer. Weil: Grob fahrlässiges Verhalten. Dem Arzt wird attestiert, dss er durch seine lange Studienzeit genug Grips hat, dass ihm das klar sein müsste, dass defender und FB nicht gleiczusetzen sind mit einem PANDA360 oder eine professionellen eset AV-Lösung.
Mit "kostenlos" ist man halt schnell viel Geld los...
Datenreise
Datenreise Dec 04, 2024 at 19:19:23 (UTC)
Goto Top
Hmm, DeinenBeitrag verstehe ich ehrlich gesagt an vielen Stellen nicht und bin mir auch nicht sicher, woher manche Behauptungen rühren.


Hierbei dürfen Pakete nicht analysiert, injektiert werden, was eine Fritzbox oder andere "Routerlösungen"machen würden.

Ich habe einen Wireguard-Client auf meinem Praxisrechner, darüber wird eine Verbindung zum Konnektor im Rechenzentrum aufgebaut. Du bist jetzt der Meinung, Fritzboxen würden diesen Traffic "analysieren und injektieren", demnach also verändern, wärend eine "professionelle" Firewall dies nicht tut?
Kannst Du das mit irgendeiner seriösen Quelle belegen?


Hier auch noch ein Thema: ja... ich kann eine FB als Firewall nutzen, die kann auch VPN und anders schönes Zeug... aber alles nur recht rudimentär. Wenn ich mir da sie Securepoint oder nen LANCOM anschauen, habe ich da schon gnaz andere Möglichkeiten.

Das mehr an Möglichkeiten bestreitet ja auch keiner und daher sind solche Geräte ja auch grundsätzlich ihren Preis wert. Lies oben gerne nochmal nach, da habe ich geschrieben, dass ich eine Praxis auch nicht auf Basis einer Fritzbox einrichten würde. Es geht aber darum, dass weder Securepoint, noch Lancom oder sonstwer einen Sicherheitsgewinn gegenüber Fritzboxen bietet, wenn so ein Gerät nicht entsprechend konfiguriert wird.


Und: Sicherheitslücken in der Firewall werden wesentlich schneller gefixt als bei einem AVM Produkt.

Das halte ich so pauschal für falsch und ich nehme an, Du kannst dafür keinen Beleg liefern, oder? Welche Sicherheitslücke hat AVM in den letzten 10 Jahren nicht schnell beseitigt?
Demgegenüber stehen Hersteller "professioneller" Firewalls wie Cisco und Zyxel, die nicht nur Sicherheitslücken in ihrer Produkten hatten, sondern sogar aktiv Backdoors einbauten. Vertraust Du lieber einem Gerät, das nicht viel leistet und von außen dicht ist oder einem, das sehr viel leistet und von jedem übernommen werden kann, der den Zweitschlüssel hat?


Thema Haftung: LAss Deinen Anwalt erklären Du nutzt Microsoft DEfender und Fritzbox Firewlal zum Schutz der Praxis.
Da bittet der Richter den Sicherheitsbeamten seine Dienstwaffe für die Selbsthinrichtung zur Verfügung zu stellen.
Da wäre ein DSGVO-Verstoß auf der einen Seite, Der Rausschmiss aus allen Ärztekammern der Welt und der Verlust der Aprobation wäre hier aber noch weitaus tragischer. Weil: Grob fahrlässiges Verhalten

Reine Polemik.
Du kannst aber gerne Fachartikel verlinken, aus denen hervorgeht, dass Drittanbieter-AV-Produkte höhere Schutzwirkung entfalten als der Windows Defender und trotz der benötigten tiefgreifenden Rechte das System am Ende sicherer wäre. Dann nehme ich das mit der Polemik gerne zurück und entschuldige mich.
Aber nur als Verweis auf frühere Fälle: Es gab Computer, die wurden nicht trotz ihres AV-Produktes übernommen, sondern genau wegen ihres AV-Produktes.


Mit "kostenlos" ist man halt schnell viel Geld los...
Weder rede ich von "kostenlos", noch ist das eine Zielstellung. Es geht um eine ehrliche Betrachtung und Diskussion von IT-Sicherheit, frei von Werbe-BlaBla und gefühlten Fakten.
maretz
maretz Dec 04, 2024 updated at 21:36:26 (UTC)
Goto Top
Das mit dem "verändern" der Daten würde ich auch gerne belegt haben... Denn zumindest soweit ich das weiss sind VPNs eben dafür da DAMIT dazwischen keiner "mitlesen oder verändern kann". Dabei ist es erstmal völlig unerheblich ob der Endpunkt nun ne Fritte, ne "professionelle" Firewall oder der VPN-Client aufm Win-Rechner ist. Denn wenn die "pakete" einfach mal munter ändern wird die Gegenseite idR. die Verbindung nicht herstellen können. Denn ein verändertes Paket wird den Inhalt vermutlich zerstören (da ja eben der Inhalt selbst nicht gelesen werden kann).

Und ok, nehmen wir den Punkt sogar mal als gegeben an (Grenzwissenschaften Aktuell hat sicher nen Fachartikel dazu!). WO ist der Vorteil zu einer "professionellen" firewall - dann müsste der seriöse Dienstleister das Ding schon mindestens vorkonfiguriert haben ODER die Einrichtung darf nur durch Fachpersonal (mit entsprechendem Hersteller-Zertifikat o.ä.) durchgeführt werden. Wenn "onkel Doc" das ding nämlich einfach einrichtet und sagt "mir egal, managment-traffic auf der Firewall is auch aufm externen Interface erlaubt und als Passwort is auch Password1! sicher Ok dann würde ich behaupten das die Sicherheit jetzt nicht ganz sooo hoch ist.

Der Teil mit "verlust der Lizenz" usw. ist imO. völliger Schwachsinn. Wenn jeder Doc dessen Rechner nicht "vernünftig" gesichert ist seine Lizenz verliert - oh, ich glaube dann dürfte der nächste Arzttermin ab jetzt mit min. 3 - 5 Jahren vorlauf sein (und das nur bei absoluten Notfällen so schnell!). Wo fängt das denn an? Beim ungesperrten Rechner an der Rezi wenn die entsprechenden Mitarbeiter mal auf Toilette sind? Beim Datenschutz wenn die den Namen eines Menschen (zB. am Telefon) sagen wenn jemand grad reinkommt und das hören kann? Oder beim Gespräch mit dem ggf. etwas schwerhörigen wo dann jemand ggf. mitbekommt das der nächste Termin bitte in 3 Wochen ist? aber natürlich... soweit da irgendwas ist wird MINDESTENS die Welt untergehen...

Übrigens - dann dürfte nen Doc _eigentlich_ sogar NUR ne Client-Basierte Lösung verwenden bei dem der VPN Client direkt aufm Rechner läuft. Denn wie jeder halbwegs erfahrene Admin weiss kann man auch auf ner Firewall (und spätestens am Managed Switch davor) ja problemlos jedes Paket spiegeln und würde damit das VPN und jeden Schutz zwischen Firewall und Rechenzentrum locker aushebeln... Oder ist etwa ein Admin in ner Praxis automatisch absolut seriös? Und natürlich ist der Arztrechner (wie auch der Arzt selbst) von Natur aus "steril" und kann eben keinen Virus o.ä. enthalten? Aber vermutlich würde - wenn man die Polemik oben sieht - das ja mindestens das Auslöschen der ganzen Stadt bedeuten....
ukulele-7
ukulele-7 Dec 05, 2024 at 07:52:42 (UTC)
Goto Top
@ChristianRiske
Du bist entweder ein Troll oder man sollte dir "eine Dienstwaffe für die Selbsthinrichtung zur Verfügung stellen" - wirklich unglaubliche Wortwahl hier.

Aufgrund deiner gruseligen Rechtschreibung und deines offensichtlich nicht vorhandenen Medizinstudiums (denn sonst hättest du ja Ahnung von IT...) entziehe ich dir hiermit deine Foren-Approbation.
StefanKittel
StefanKittel Dec 05, 2024 at 08:11:50 (UTC)
Goto Top
Moin,

ich finde die Diskussion, auch mit dem Beitrag von CR, sehr gut.
Das ist ein sehr komplexes Thema was verschiende Ansichten und Bereiche beleuchtet. Wir werden dafür keine einfache Lösung finden. Sonst hätte die schon Jemand vor uns gefunden.

Aber ich will auf was Anderes hinaus.
Alle meckern über die Regulierungswut (Zahnärzte Zwangs-Thermodesinfektor) und tausend Vorschriften.
Wenn es die mal nicht gibt (Firewall, egal welches oder was) dann interpretiert das halt jeder nach seinen eigene Absichten und Vorstellungen. Dann komme ich hier und sage (Eine Zahnarztpraxis mit 3 PCs braucht keinen Server und eine Fritz!Box reicht).

Also was nun?
Alles genau festzimmern? Oder nur grobe Vorgaben und mit den Konsequenzen leben.

Was mich eher erstaunt, und ich habe 20 Jahre für Zahnärzte im Norden gearbeitet: Warum gibt es keinen IT-Beitrag wo eine kleine handvoll IT-Externe sitzen und Empfehlungen geben. So wie die Bauvorschläge in der CT.

Dann könnte eine Praxis da rein schauen und sagen: IT-Dienstleiter, wie hätte gerne Konzept-Zahnarzt-Bis5PCs-OhneDigRöntgen-V2024. Go. Daran kann der Arzt auch sehen ob sein Dienstleitster alles macht.

Das könnten die Kassen, Ärztevertretungen doch mal anleiern. Quasi Open-Source-Konzepte.

Stefan
kpunkt
kpunkt Dec 05, 2024 at 09:51:45 (UTC)
Goto Top
Warum gibt es keinen IT-Beitrag wo eine kleine handvoll IT-Externe sitzen und Empfehlungen geben.

Weil es dabei im Grunde um eine Rechtsberatung gehen würde. Es geht ja darum, eine Norm korrekt zu behandeln.
Das ganze müsste dann von einem Rechtsanwalt abgesegnet werden. Macht aber keiner, wird auch nie einer machen. Selbst Verbände machen das nicht.
Solche Sachen sind immer offen, bis es zumindest mal ein Gerichtsurteil gibt, oder es sich eine "gängige Praxis" (aka Lesart eines Gesetzestext) herausgebildet hat.

Gefragt sind hier Einrichtungen wie der CCC, der dann von sich aus Empfehlungen an die Legislative abgibt. Und zwar in der Art, dass die Judikative das mitbekommt und sich daraus dann die gängige Praxis bildet.

Der andere Weg ist dann der, dass genaue Szenarien vorgeschrieben werden. Ist sofort für alle rechtssicher und es gibt da keine schwarzen Schafe. Nachteil ist halt, dass es eben keine Ausnahmen gibt. Da werden alle über den gleichen Kamm geschoren.

Es wird sich bei beiden Wegen immer welche finden, die dadurch "schlechter fahren" (aka mehr Geld ausgeben müssen, als geplant).
ukulele-7
ukulele-7 Dec 05, 2024 updated at 11:05:47 (UTC)
Goto Top
Zitat von @StefanKittel:

Aber ich will auf was Anderes hinaus.
Alle meckern über die Regulierungswut (Zahnärzte Zwangs-Thermodesinfektor) und tausend Vorschriften.
Wenn es die mal nicht gibt (Firewall, egal welches oder was) dann interpretiert das halt jeder nach seinen eigene Absichten und Vorstellungen. Dann komme ich hier und sage (Eine Zahnarztpraxis mit 3 PCs braucht keinen Server und eine Fritz!Box reicht).

Also was nun?
Alles genau festzimmern? Oder nur grobe Vorgaben und mit den Konsequenzen leben.
Das kannst du nicht genauer regulieren und ich behaupte mal, das willst du auch nicht. Ersteres hat mit der Regulierung selbst zu tun, das geht einfach nicht schnell genug. Demokratische Prozesse sind ja gewollt aber sie dauern halt. Letzteres würde der Wirtschaft jegliche Freiheit nehmen, selbst innovativ zu werden.
Warum gibt es keinen IT-Beitrag wo eine kleine handvoll IT-Externe sitzen und Empfehlungen geben. Doch das gibt es, dafür ist im Wesentlichen das BSI zuständig. Das BSI Berät die Regierung und das BSI gibt Empfehlungen und Leitfäden raus. Die sind auch nicht so schlecht, aber eben besonders allgemein gehalten. Auch der CCC gibt in einigen Fällen mal konkrete Ratschläge, wenn auch nicht mit irgendeiner Regelmäßigkeit. Die Datenschutzkonferenz der Länder hat auch so eine Gremium-Funktion.

Das was dir vorschwebt ist im Prinzip eine vereinheitlichte IT-Sicherheitsarchitektur die von einem zentralen Gremium bestimmt wird. Das läuft aber der freien Marktwirtschaft sehr zu wieder und bietet auch viele potenzielle Nachteile. Mal als Beispiel: Alle Ärzte setzen auf Firewall Appliance X, Y oder Z. Die wurden "zertifiziert". Jetzt steigen die Kosten erstmal weil die Zertifizierung natürlich Geld kostet, wir kennen das sehr gut aus dem Bereich Medizin / Hilfsmittel. Neue Hersteller kommen seltener in den Markt, neue Zertifizierungen dauern lange. Dafür wird die eingesetzte Technology ein Single-Point-of-Failure, weil alle die Komponente K auf die gleiche Weise implementiert haben. Gibt es jetzt einen 0-Day-Exploit oder einen Koordinierten Angriff, ist der Schaden viel Größer und viel akuter. Und warum sollen eigentlich nur Ärzte diese Vorschriften haben?

Ich sage nicht, das Standards eine schlechte Idee wären. Standards, an die man sich halten sollte. Aber je enger du die Grenzen setzt desto weniger Innovation hast du im Markt. Ich hatte mal einen guten Artikel zu SaaS-Lösungen, den ich leider nicht mehr finde. Es ging um die Idee, das alle die selbe Plattform nutzen und dadurch die selben Werkzeuge zur Verfügung hatten. So entstand nicht nur ein Daten-Silo, sondern auch ein Funktions-Silo. Je mehr sich die Nutzung der Anwender an die 100% des Feature-Angebots des Anbieters angenähert hat, desto weniger Unterschiede gibt es im Leistungsangebot und desto weniger Innovation gibt es im Markt. Bei M365 erscheint das erstmal abwegig, weil das keiner voll "beherrscht". Aber was wäre denn wenn plötzlich alle die selbe AI einsetzen?

Dann kommt dazu das Experten-Gremien so gar nicht frei von externen Einflüssen sind. Ein Elektriker, der bei uns die Geräte geprüft und gelabelt hat, hat mir das mal erzählt. Es gibt so kleine Adapter, ein Schuko-Stecker für die Dose, zwei Buchsen für den Anschluss von Geräten, kein Kabel dazwischen. Ist nicht erlaubt. Warum? Weil ein Gremium Interessen verfolgt und das einfach nicht erlaubt ist. Sicher sind die Dinger, du darfst sie nur nicht im Büro hängen haben.

Ich bin für offene Standards und auch für so Dinge wie einen Ethik-Kodex (grade erst war ja in den News das Sophos seine vermeintlich bösen Kunden hackt und damit die Guten beschützt). Ich bin für Regulierung, ich mag die DSGVO weil sie kurz und auf den Punkt formuliert ist und Ausnahmen bringen halt Probleme mit sich. Aber man sollte Regulierung auch abbauen, wo es eben nur geht und Sparsam damit sein.