23.06.2025

4532

116

Kann KI helfen, über "NET.3.2 Firewall" die Eigenschaften von Firewalls zu vergleichen?

Moin zusammen,

auf der Suche nach geeigneten Firewalls für Kleinstunternehmen (inzwischen für 1-10 Personen) im Gesundheitswesen erhielt ich hier in diesem Forum einige Hinweise auf sehr interssante Geräte, allerdings auch Warnungen vor eben denselben. Wenn es um mich persönlich ginge, wäre die Entscheidung schnell klar und läge auf der pfsense (habe ich privat - niedrigste Lernanforderung für mich). Jedoch meinen Kunden gegenüber reichte mir das Argument "ich kenne nichts anderes" oder "von führenden IT-lern empfohlen" als Kaufbegründung alleine nicht aus.
Daher kam mir das im Titel genannte BSI-Modul zu pass, das u.a. festlegt, welche Funktionen eine Firewall erfüllen muss bzw. soll, wenn sie den Anforderungen des IT-Grundschutz (BSI) entsprechen soll.

Die Idee ist nun, die Funktionseigenschaften der Geräte mit den Funktionsanforderungen in NET.3.2. Firewall (Edition_2023) zu vergleichen und zu schauen, ob dabei etwas sinnvolles/hilfreiches herauskommt.
Da es sich dabei überwiegend um Recherche in öffentlich zugänglichen Dokumenten handelt, sehe ich hier ein typisches Einsatzfeld für KI. Andererseits kann KI mit überzeugend klingenden Argumenten auch den größten Blödsinn erzählen (siehe hier). Daher müssen die Ergebnisse von Experten - also von euch - abschließend beurteilt werden.

In meiner Auswahl stehen aktuell OPNsense, BlackDwarf G5, MikroTik RB5009UG+S+IN - alle von ihren jeweiligen Liebhabern mit für mich plausiblen Argumenten empfohlen.

Meine kommunikation mit ChatGPT war sehr umfangreich. Ihre Wiedergabe würde bei weitem hier den Platz-Rahmen sprengen. Daher nur einige zusammenfassende Ergebnis-Tabellen:

Frage: Lassen sich eine OPNsense oder pfsense so konfigurieren, dass sie den Standard‑Anforderungen aus dem Baustein net-3.2 entsprechen?

Frage: Lässt sich NET.3.2 auch mit den Firewallfunktionen in einer Mikrotik RB5009 realisieren?

Frage: Wie sieht das aus bei BlackDwarf?

Frage: BlackDwarf vs. OPNsense?

Mein Fazit
Auf den ersten Blick stellen sich die Ergebnisse für mich so da:
1. Was die Fragestellung angeht, hat die OPNsense leichte Vorteile gegenüber der pfsense (

- hat @aqui ja schon immer gesagt ...).
2. Die Mikrotik scheint im Vergleich zu den anderen Kandidatinnen einige Funktionen nicht zur Verfügung zu stellen. Um selbst zu beurteilen, ob selbige wichtig sind, müsste ich mich weiter in die Materie einarbeiten.
3. Der interessanteste Vorteil des schwarzen Zwergs scheinen die vorgefertigten Templates zu sein. Leider gibt ChatGPT keine brauchbaren Auskünfte dazu.
4. Sollten sich sich in der offenen Sense so etwas wie die Templates nachbilden lassen (am besten noch hardware-unabhängig übertragbar), wäre sie an dieser Stelle meine klare Favoritin.

Meine Fragen an euch:
- Ist die Vorgehensweise geeignet, zumindest eine erste Orientierung zu geben bzw. die Fragestellung zu präzisieren / zuzuspitzen?
- Halten die Ergebnisse / Schlussfolgerungen euren Praxiserfahrungen Stand?

Ich bin sehr gespannt!

Viele Grüße
knurrhahn

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 673511

Url: https://administrator.de/forum/firewall-bsi-vergleich-it-sicherheit-673511.html

Ausgedruckt am: 18.07.2025 um 23:07 Uhr

116 Kommentare

Neuester Kommentar

Moin @knurrhahn,

Meine Fragen an euch:
- Ist die Vorgehensweise geeignet, zumindest eine erste Orientierung zu geben bzw. die Fragestellung zu präzisieren / zuzuspitzen?
- Halten die Ergebnisse / Schlussfolgerungen euren Praxiserfahrungen Stand?

ich bin gerade im Stress, daher kann ich zumindest jetzt, nur ganz kurz antworten.

Der FW Doku denn du erwähnt hast, ist nur einer von ganz vielen Baussteinen ...

bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-u ...

... die du bei diesem Thema berücksichtigen musst. 😉

Auch diese Doku ...

teletrust.de/fileadmin/user_upload/2025-06_TeleTrusT-Handreichun ...

... ist bei diesem Thema nicht unrelevant.

Und wenn du alle entsprechenden Dokus durch hast, was übrigens nicht ohne ist, müsstest du feststellen, dass deine bisherige Gerätewahl nicht wirklich ausreichend ist, um auch nur ansatzweise alle Anforderungen abzudecken.

Denn diese lassen sich erst mit einem SGW, sprich, einem Security-Gateway alla Sophos XGS oder vergleichbares auch nur halbwegs bewältigen, zumindest so wie es sich der BSI das vorstellt.

Heute Abend kann ich dir eventuell etwas mehr dazu schreiben. Denn das was du da vorhast, habe ich schon einige Male hinter mir. 🙃

Gruss Alex

OPNsense kannst du nehmen, kenne auch einen Fall im Gesundheitswesen, im dem der "Häkchenmensch" alles auf grün gestellt hat.
Es gibt Dienstleister welche das übernehmen, falls du etwas auslagern möchtest, ebenso mit Wartungsvertrag, die kümmern sich quasi um alles.
Während der Sophos Dienstleister noch mit mit kostenpflichtigen "Sizing" beschäftigt ist, war die OPNsense Truppe längst im Abschluss der Umsetzung. In deiner Größe max. 2-4h schätze ich, je nach Eigenleistung.

Um Sophos mach einen weiten Bogen, empfehle ich dir, als jahrelanger Sophos Kunde.
Sophos UTM EOL - Ersatz für Mailgateway (mandantenfähig)

Sophos und der gebrochene Schwur
heise.de/meinung/Analyse-und-Kommentar-Sophos-und-der-gebrochene ...

PS: Achtung, über mir sitzt ein Sophos Partner/Vertreter, der damit seine Brötchen verdient. Man beißt nicht die Hand die ein füttert

Moin @nachgefragt,

ich wusste doch, dass du wieder um die Ecke kommst, sobald du auch nur Sophos riechst. 🙃

Daher habe ich eigentlich auch ...

Denn diese lassen sich erst mit einem SGW, sprich, einem Security-Gateway alla Sophos XGS oder vergleichbares auch nur halbwegs bewältigen, zumindest so wie es sich der BSI das vorstellt.

... daher schiesse dich nicht schon wieder zu sehr auf die Sophos ein, sonst muss ich ach wieder etwas zurückbeissen. 😉

Und nein, nur mit einer OPNsense, kannst du die geforderten Anforderungen nicht wirklich erfüllen.

Gruss Alex

Zitat von @MysticFoxDE:
Sophos XGS oder vergleichbare

Ich kenn keinen vergleichbaren Firewallhersteller der seine Lizenzkosten nach 3 Jahren auf 200% verdoppelt bei 0% Mehrwert.

Und nein, nur mit einer OPNsense, kannst du die geforderten Anforderungen nicht wirklich erfüllen.

Neugierig bin ich dennoch, welche MUSS-Anforderung OPNsense nicht erfüllt. Wir sind auf Telematik-Infrastruktur (TI) vorbereitet, mit OPNsense.

Aber falls notwendig, ZenArmor, Wazuh,... sind deine Freunde, um Häkchenman zufriedenzustellen. Schön das OPNsense so viele (kostenlose) Plugins bietet. Hatte ich aber nicht gebraucht (SIEM).
docs.opnsense.org/manual/wazuh-agent.html

Es war beim Vertrieb immer erstaunlich, das Sophosvertriebsgeschwurbel neben die Wirklichkeit zu legen, schade, dass man das nicht zur Anzeige bringen kann.

OPNsense hat sich mittlerweile richtig gemausert. Wie mein Vorredner schon angemerkt hat: Zenarmor, Wazuh, Tailscale, mittlerweile auch Crowdsec komplett integriert.

Ich würde behaupten damit kann man schon sehr weit kommen und ich wage auch behaupten das die Anforderungen des BSI nichts mit der Realität zu tun haben. Vermutlich werden selbst die großen Firewall-Hersteller so ihre Probleme damit haben das zu bewerkstelligen.

Wir stellen demnächst unsere RZ-Firewall von Plain Debian mit nftables auf OPNsense mit CARP um. Ja, das hat manchmal noch so seine Schwächen im OpenSource-Bereich. Vorallem wenn vorherige funktionierende Lösungen mit Updates wieder beseitigt werden. Aber insgesamt sind wir damit sehr zufrieden. Wenn alle Stricke reißen, kann man immer noch bei Deciso den Support einkaufen.

Also ich habe schon oft Kontakt gehabt mit Sophos UTM, die XG was mir etwas suspekt aber sei mal dahin gestellt....
Ich war immer zufrieden mitdem Teil und es war die Eierlegende Wollmilchsau...

Was mich persönlich abschreckt und jedes grössere unternehme was OPNsense angeht usw...
wo kriegt man den Professionellen Support im Notfall her falls mal irgendwas abkackt.

Wir hatten immer ne redundante Sophos, und das ist bestimmt bei anderen Herstellern gleich, einmal nen Hardware Defekt und da wir Wartung hatten bekammen wir innerhalb von 24 Stunden ersatz geliefert, und support das ganze wieder ans laufen zu bringen.

Opensense ist ja betrieben auf eigner Hardware wie ich das verstehe... klar wenn Kohle Knapp ist dann ist das die Lösung. aber bei de Sophos UTM haben wir auch mal ne kleine geholt für 10 Mann Standort...
die 1000,- rum pro Jahr waren jetz auch nicht Hals und Beinbruch... und das gleiche als Jährliche Lizenzkosten so ungefähr.... selbst wenns nun doppelt so teuer ist.

Aktuell haben wir CheckPoint im Einsatz und ich bin mir sicher das ist nicht billiger wie Sophos....
Und demnächst wollen sie auf was noch teureres wechseln...
Administrativ ist CheckPoint einfach nur nerfig finde ich.

@nachgefragt
was genau lieferte den die Sophos nicht, was sie versprechen?

So aber jeder kann ja einsetzen was er will.... ich für meinen teil halte NULL von OpenSource, funktioniert zwar aber wenn die Welt untergeht stehste erstmal im Regen.... haben hier leder auch noch ettliche Linux Systeme im Betrieb.... fand auch mal jemand witzig es dort aufzusetzen...

Moin @ThePinky777:

Ich war immer zufrieden mitdem Teil und es war die Eierlegende Wollmilchsau...

ja, so kann man die Dinger auch bezeichnen.

Was mich persönlich abschreckt und jedes grössere unternehme was OPNsense angeht usw...
wo kriegt man den Professionellen Support im Notfall her falls mal irgendwas abkackt.

Wir hatten immer ne redundante Sophos, und das ist bestimmt bei anderen Herstellern gleich, einmal nen Hardware Defekt und da wir Wartung hatten bekammen wir innerhalb von 24 Stunden ersatz geliefert, und support das ganze wieder ans laufen zu bringen.

Die entsprechende Hardware kannst du auch direkt bei OPNsense ...

shop.opnsense.com/product-categorie/hardware-appliances/

... kaufen, auch den Support ...

shop.opnsense.com/product-categorie/support/

... dann kommst du aber nicht wirklich viel günstiger davon, wie bei einer Sophos XGS,
spättenstens wenn noch Dinge wie ZenArmor ...

zenarmor.com/plans

... mit dazukommen.

Und ohne ZenArmor oder Ähnliches, darf man eine OPNsense auch nicht wirklich mit einer Sophos XGS vergleichen. 🙃

Gruss Alex

Zitat von @ThePinky777:
wo kriegt man den Professionellen Support im Notfall her falls mal irgendwas abkackt.

google.com/search?q=opnsense+dienstleistung
thomas-krenn.com/de/produkte/einsatzzweck/opnsense-firewalls
Von Sophos zu OPNsense: youtube.com/watch?v=y9A00tM4H58

Da OPNsense nahzu unabhänig auf der Hardware ist, kann man sich zwischen Cold Standby oder Cluster, je nach Ausfallzeit, entscheiden.
OPNsense bietet auch eigene Lösungen an,
shop.opnsense.com/product-categorie/hardware-appliances/
jedoch finde ich die freie Skalierbarkeit interessanter, RAM erhöhen, Schnittstellen hinzufügen, und das alles günstiger als bei eine Hardware Appliance.

@nachgefragt
was genau lieferte den die Sophos nicht, was sie versprechen?

ist oben verlinkt

ich für meinen teil halte NULL von OpenSource

Ok, öffentlich zugängliche Quellcodes sind also nicht dein Ding.

Daneben, kostenlose Open-Source-Software (OSS), z.B. Zabbix 0€/Jahr vs. PRTG 6100€/Jahr, war bei mir ein Augenöffner.
Ok, wenn man als Admin 6100€/Jahr einspart, die GL dem Admin aber nichts vom Kuchen abgibt, dann ist's vielleicht die Falsche. Verhandlung ist nicht jedermanns Sache.

Naja, der eine mag "NULL von OpenSource" halten, der Zug ist vielleicht mit Volldampf vorbei gefahren.

Proxmox, Proxmox Backup, Open Source, kennt man vielleicht (Spoiler: VMware)
Linux, Open-Source-Betriebssystem, sicher nur eine Modeerscheinung, geht sicherlich bald vorbei...

"Dänisches Digitalministerium kehrt Microsoft den Rücken" heise.de/news/Von-Word-und-Excel-zu-LibreOffice-Daenisches-Minis ...
"Säulen des digital souveränen Open-Source-Arbeitsplatzes" schleswig-holstein.de/DE/landesregierung/themen/digitalisierung/ ...
... ... ...

Moin @Fenris14,

OPNsense hat sich mittlerweile richtig gemausert. Wie mein Vorredner schon angemerkt hat: Zenarmor, Wazuh, Tailscale, mittlerweile auch Crowdsec komplett integriert.

ja, aber die kosten alle extra ...

wazuh.com/cloud/
tailscale.com/pricing
crowdsec.net/pricing

... und das stellenweise auch nicht wenig.

Ich würde behaupten damit kann man schon sehr weit kommen und ich wage auch behaupten das die Anforderungen des BSI nichts mit der Realität zu tun haben.

Nicht immer, aber sie werden immer besser ... bei manchen Dingen zumindest. 🙃

Grus Alex

Das stimmt nicht. Du kannst es auf eigener Hardware betreiben. Es gibt aber genauso gut einen Direktvertrieb von zertifizierter Hardware inklusive Support von Deciso. Einzig was nicht abgedeckt wird, ist 24/7 Support.

Hardware:
deciso.com/hardware/

Support:
shop.opnsense.com/product-categorie/support/

Das ist das was man bei Deciso (Entwickler von OPNsense) direkt bekommt.

Des weiteren gibt es verschiedene Partner, die unter anderem eigenen Support anbieten:

deciso.com/where-to-buy-our-products/

Da sind unter anderem Systemhäuser aufgeführt, die sicherlich eigene Pakete schnüren.

Wenn man eigene Hardware betreibt, sollte man sich darüber im klaren sein, das man entweder was auf Halde (Cold Standby) liegen hat oder einen Hardware-Vertrieb der zuverlässig liefern kann. Unser Hardware-Vertrieb bietet die Garantie auf die Supermicro-System die wir verwenden so an, das man bis zum nächsten Werktag Ersatz bekommt oder bei Komponenten-Defekt mit Vorabtausch innerhalb von 24 Stunden.

Das sind natürlich alles Überlegungen die man vorher mal durchgehen muss für sich und sein eigenes Unternehmen. Da sind die Anforderungen zu unterschiedlich um das pauschal zu sagen. Dem einen reicht es mit dem gesparten Geld zu einer Sophos sich noch ein Hardware-Büchse hinzulegen, der andere will Carp-Cluster mit Austausch bis zum nächsten Werktag. Egal wie, es ist im Prinzip auch mit OPNsense machbar. Man muss nur wissen was man will.

Wazuh ist OpenSource und was man dort bezahlt ist der Enterprise-Support.

Tailscale das stimmt. Crowdsec ebenfalls weitestgehend Enterprise-Support mit paar wenigen Features die man eigentlich nicht braucht. Da reicht ansonsten die Community Edition auch im Enterprise Segment.

Das was man dort vielleicht für diese Pakete an zusätzlichen Kosten hat, wird man sicherlich bei Sophos schon bei der Anschaffung bezahlen und am Endeffekt wird es sich nicht viel nehmen.

Um Sophos mach einen weiten Bogen, empfehle ich dir, als jahrelanger Sophos Kunde.

ich wusste doch, dass du wieder um die Ecke kommst, sobald du auch nur Sophos riechst. 🙃

Da würde ich schon einen Bogen um die Sophos machen, weil der Sophos Vertriebler so unfreundlich ist.

Im Ernst: Wer will einen Firewallhersteller, der seine Kunden ausspäht und das als Teil seiner Sicherheitskultur sieht?
heise.de/meinung/Analyse-und-Kommentar-Sophos-und-der-gebrochene ...
(Aber das Marketing wird gleich mit Erklärungen kommen).

ich für meinen teil halte NULL von OpenSource, funktioniert zwar aber wenn die Welt untergeht stehste erstmal im Regen.... haben hier leder auch noch ettliche Linux Systeme im Betrieb.... fand auch mal jemand witzig es dort aufzusetzen...

Dieser Kommentar spricht ja sehr für sich. Eine begrenzte Weltsicht, die verkennt, dass von den Big 5 mindestens 4 (ich glaube 4,5) Linux als Basis ihrer Plattform einsetzen. Warum bloß? Davon mal abgesehen, dass alle in diesem Thread bislang genannten Firewall-Systeme auf OpenSource, genau genommen Linux, basieren.

Wenn es um Support für OPNsense geht, steht oben ja was dazu. Immer auch aussagekräftig, wenn der TO von Kleinstunternehmen spricht und jemand dann blabelt:

...und jedes grössere unternehme was OPNsense angeht usw...
wo kriegt man den Professionellen Support im Notfall her falls mal irgendwas abkackt.

Closed Source als Teil einer Sicherheitskultur hingegen ist fragwürdig, das sollte jedem bewusst sein.

In der Sache: Ich kenne die drei vorgestellten Systeme (in unterschiedlicher Tiefe). Und ich halte Bedienung und Transparenz eines Gerätes für einen wesentlichen Faktor für die Sicherheit des verwalteten Systems. Und die beurteilt die KI bislang nicht. Securepoint ist da für mich indiskutabler Masochismus (dann schon lieber Sophos

). OPNsense ist in Ordnung, RouterOS dagegen unerreicht. Zur Frage der Anforderungen haben wir ja im anderen Thread schon eine Diskussion. Wir erinnern: "Kleinstunternehmen"

Mein Vorschlag: Nimm die OPNsense. Guter Schutz, kaum Umgewöhung, stabiler Support (Foren, KI, prof. Anbieter), gut beleuchtetes und verbreitetes OpenSource und Du musst nicht RouterOS lernen (denn das wäre Voraussetzung für das 5009).

Viele Grüße, commodity

Moin @commodity,

Um Sophos mach einen weiten Bogen, empfehle ich dir, als jahrelanger Sophos Kunde.

ich wusste doch, dass du wieder um die Ecke kommst, sobald du auch nur Sophos riechst. 🙃

Da würde ich schon einen Bogen um die Sophos machen, weil der Sophos Vertriebler so unfreundlich ist.

da vermischt du jetzt aber etwas, was so nicht zusammen gehört. 🙃

Denn die untere Aussage, sprich ...

ich wusste doch, dass du wieder um die Ecke kommst, sobald du auch nur Sophos riechst. 🙃

... kommt von mir und ist nur an @nachgefragt gerichtet, der jedes Mal sobald er Sophos hört,
warum auch immer einen Herzkasper zu bekommen scheint.

Auch die Punkte die er als Kritik erwähnt, sind immer wieder dieselben und zwar schon über duzende Beiträge hinweg. Und trotz mehrfacher Bitte seine Probleme mal genauer zu erklären, hat er das bisher noch nie wirklich auf die Reihe bekommen.

Im Ernst: Wer will einen Firewallhersteller, der seine Kunden ausspäht und das als Teil seiner Sicherheitskultur sieht?
heise.de/meinung/Analyse-und-Kommentar-Sophos-und-der-gebrochene ...
(Aber das Marketing wird gleich mit Erklärungen kommen).

Mit solchen Aussagen währe ich etwas vorsichtiger, denn das ist lediglich die Meinung vom Herrn Jürgen Schmidt, der so wie es aussieht von Funktionalitäten wie NDR, XDR oder MDR, noch nicht so viel Ahnung hat, denn sonst würde er erst recht aus dem Fenster springen und Sophos und auch den anderen noch viel wüstere Dinge vorwerfen.

Das was Sophos das mit NDR, XDR oder MDR treibt, ist zudem alles andere als Marktunüblich, sondern ist in vielen Bereichen sogar gesetzlich gefordert.

Was jedoch als Kritik an dem Ganzen durchaus berechtigt ist, ist die Frage, ob das wirklich so eine kluge Idee ist, noch mehr an Security-Aufgaben/Kompetenzen, an ein US-Unternehmen auszulagern. 😔

Auf der anderen Seite, kenne ich nicht ein einziges EU-Unternehmen, was auch nur annähernd einen ähnlichen Funktionsumfang wie Sophos bietet.

Natürlich kann man durch zusammenschustern von diversen Produkten unterschiedlicher EU-Hersteller auch was ähnliches erreichen. Unter dem Strich ist das meiner bisherigen Erfahrung nach, jedoch nicht wirklich günstiger und meistens auch viel komplizierter zu managen.

Ich kenne ehrlich gesagt nicht einen einzige FW oder SGW Appliance, die nicht auf einem 🐧 basiert. 🙃

Closed Source als Teil einer Sicherheitskultur hingegen ist fragwürdig, das sollte jedem bewusst sein.

Na ja, so Closed Source ist der gar nicht, denn vieles was Sophos in seinen XGS verwendet, ist genaugenommen Open Source … abgesehen von der GUI.

Mein Vorschlag: Nimm die OPNsense. Guter Schutz, kaum Umgewöhung

Ich glaube nicht, das eine reine OSI Layer 3-4 Paketfilterschupse, für den Medizinischen Sektor, Stand heute wirklich eine gute Idee ist. Mit ZenArmor von mir aus, aber nur eine OPNsense, sehe ich nicht wirklich als ausreichend. Alleine schon deshalb, weil sie per Default überhaupt keine SSL-TLS-Inspection kann. Mit Plugin ja, aber dieses kostet dann auch extra und viele Funktionen, sind auch nur in der kostenpflichtigen Business Edition verfügbar. 😔

Siehe:
opnsense.org/files/OPNsense-Whitepaper-features.pdf

Gruss Alex

Mit solchen Aussagen währe ich etwas vorsichtiger, denn das ist lediglich die Meinung vom Herrn Jürgen Schmidt,

Mit solchen Aussagen muss man nicht so vorsichtg sein, denn es geht ja um Tatsachen

a) ist Jürgen Schmidt eine langjährige und rennomierte Größe in der deutschen IT-Sicherheitsberichterstattung und
b) hat Sophos das Ausspähen von Kundenfirewalls ja nun bekanntlich selbst öffentlich gemacht.
Klar, die gehackten Kunden waren wohl selbst Hacker. Aber die Büchse der Pandora ist geöffnet - wer reinspringen mag, bitte, seine Sache.
wired.com/story/sophos-chengdu-china-five-year-hacker-war/
stefan-wagenpfeil.de/en/latest-news/the-sophos-case-heroes-or-vi ...

Ich glaube nicht, das eine reine OSI Layer 3-4 Paketfilterschupse, für den Medizinischen Sektor, Stand heute wirklich eine gute Idee ist.

Der ganze Post von Dir überzeugt mich nicht - und dieser Satz am Wenigsten

Und das nicht wegen der Rechschreibung. Oder der spürbar marketingmäßigen Intention.

Wir sind ja hier ein Anwenderforum und mich interessiert brennend mal ein Beleg für eine erfolgreiche TLS-Interception einer UTM, die nicht auch auf andere Weise (z.B. Virenscanner auf dem Client) abgefangen worden wäre. Wir Admins sind ja nicht zur Betreuung von Durchlauferhitzern da.

Im KU ist eine UTM-Firewall schon deshalb eher eine Gefahr für die Sicherheit als ein Nutzen, weil es auf diesem Kundenniveau kaum Betreuer gibt, die das vernünftig einrichten könnten und noch weniger Kunden, die das bezahlen. Es ist ja, wie wir (zumindest wir beide) wissen, dass nicht einmal die (IMO überteuerte) Hardware der Firewall der wesentliche Kostenpunkt ist, sondern initiale Einrichtung, Pflege, Monitoring.
Hinzu kommt die deutlich vergrößerte Single-Point-Angriffsfläche, die ein so zentrales Gerät bietet - je mehr Eier die Wollmilchsau legt. Und natürlich der bürokratisch-juristische Teil, denn SSL-Interception muss rechtskonform sein. Ich sehe schon, wie eine kleine Praxis die Ausnahmen konfiguriert ...

Ich denke, es gibt hier ein paar Kollegen, die solche Szenarien kennen: Die Firewall wird mit bestem Vorsatz angeschafft und entweder gleich faktisch unkonfigurieriert als "Fritzbox" mit vielleicht ein paar Alibi-Regeln missbraucht oder sie wird aufwendig und teuer konfiguriert, bis nach spätestens einer Woche Chef/MA sich über die vielen "geht nicht"-Sachen beschweren und auf Zuruf wieder Löcher geschaffen werden - und schnell der Überblick verloren geht. Oder schon mal nen Arzt erlebt, der für die technische Dokumentation bezahlt?

Viele Grüße, commodity

Zum Thema SSL-Interception: pfSense als auch OPNsense können das. Das ist ein sehr heißes Eisen. Nicht nur moralisch, sondern auch rechtlich. Das gilt auch für die Sophos, die auch nichts anderes als einen Man-in-the-Middle ausführt.

Zufälligerweise bin ich im Healthcare unterwegs (ja, mag man kaum glauben) und man hat sich aus guten Gründen davon ferngehalten, solche dubiosen Lösungen zu implementieren.

Weil was wird am Ende gemacht?

Du entschlüsselst den Traffic auf der Firewall und verschlüsselst es mit einem eigenen Zertifikat das dann pauschal bei deinem eigenen Client akzeptiert wird. Das ist eigentlich schon Schwerverbrechen. Du kannst nicht garantieren, das Daten gelesen werden die dich absolut nichts angehen.

Also SSL Interception, wer das heutzutage nicht aktiviert hat, baucht sich am Ende auch über garnix wundern.
und zwar kannst du als Admin sowieso nicht den Detail Traffic sehen, lediglich Filterungen setzen, die nicht umgangen werden können. das bedeutet 100% Security was download von Ausführbaren Dateien und Scripts angeht.
Und Erkennung von Schadcode innerhalb Datenpackete (sprich download von Webseiten).
Weil der normale Virenscanner erkennt eh nur 60% was im Umlauf ist, und dann steht nur noch SSL Interception zwischen dir und den Bösen... und auch da stehen die Karten nur relativ für den Admin... aber besser wie nix.

Hab mal so ne Virenmail (link in der EMail) analysiert, die hat quasi Textblöcke downgeloaded https von am besten google/amazon/micorosft cloud (also "seriöse quellen") und die Blöcke zusammengesetzt und live im speicher kompiliert zu einer exe zum speichern und ausführen.... wenn du da kein SSL Interception drin hast bist du einfach geliefert, wenn ein user so einen Link anklickt.

Anderer punkt so als provokante frage OpenSense:
beherrscht die auch funktionen wie eben genau downloads erkennen, vor dem download in cloud hochladen beim Antivirenhersteller der es kurz in ner Sandbox startet und scannt, und erst wenn ok, das ganze dann beim client erlaubt zum speichern als Datei. Das Ganze auch für Email Gateway der in der Firewall intergriert ist, und ebenfalls Anhänge entsprechend in der sandbox testet? Falls nicht spielt die OpenSense eben doch nur ne Liga weiter unten mit.

Ist wie gesagt meine Meinung....

Moin Alex,

danke für dein schnelles Statement!

Der FW Doku denn du erwähnt hast, ist nur einer von ganz vielen Baussteinen ...
bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standar ...
... die du bei diesem Thema berücksichtigen musst. 😉

Das ist im Prinzip richtig. Ich habe natürlich deswegen ChatGPT mit dieser Frage gefüttert: "Sind in den IT-Grundschutz-Bausteinen-Edition 2023 ("ORP" bis "INF") über "NET.3.2 Firewall" hinaus noch weitere relevante Anforderungen, die bei einem Vergleich von Firewalls in TI-Praxen in Betracht kommen?" Die Bezüge die ChatGPT dort sieht, finde ich sehr "optimistisch".

Bei den Dokumenten, die ich mir stichprobenartig angeschaut habe, war der Begriff "Firewall" zwar erwähnt aber one jede funktionsanforderung über NET.3.2 hinaus.
"

Auch diese Doku ...
teletrust.de/fileadmin/user_upload/2025-06_TeleTrusT-Handrei ...
... ist bei diesem Thema nicht unrelevant.

Die ist in der Tat sehr spannend und für mich als Nachschlagewerk sehr interessant. (Wenn man sie durch hat, ist man für die nächste IT-SA in Nürnberg gewappnet

) Und sie wurde mir bei der Frage nach fundstellen zum Thema Stand der Technik von ChatGPT nicht genannt!

Und wenn du alle entsprechenden Dokus durch hast, was übrigens nicht ohne ist, müsstest du feststellen, dass deine bisherige Gerätewahl nicht wirklich ausreichend ist, um auch nur ansatzweise alle Anforderungen abzudecken.

Denn diese lassen sich erst mit einem SGW, sprich, einem Security-Gateway alla Sophos XGS oder vergleichbares auch nur halbwegs bewältigen, zumindest so wie es sich der BSI das vorstellt.

Das sehe ich aus meinen bisherigen Recherche-Ergebnissen nicht so. Das kann natürlich daran liegen, dass die KI kein eigenes Expertenwissen hat sondern nur auf semantischen Aalysen beruht. Umso wichtiger sind die gelebten beruflichen Erfahrungen. In diesem Sinne ist die folgende Frage nur eingeschränkt hilfreich. Ich habe sie aus Neugier aber trotzdem gestellt: "Werden denn die in NET.3.2 Firewall genannten Anforderungen in dem Tele-Trust dokument abgebildet?"

Wo liegt der Fehler, dass UTM in Bezug auf den Grundschutz nicht erwähnt wird?

Heute Abend kann ich dir eventuell etwas mehr dazu schreiben. Denn das was du da vorhast, habe ich schon einige Male hinter mir. 🙃

Super! Spannend fände ich auch deine Einschätzung zu meiner Ausgangsfragestellung, ob KI geeignet wäre ..."

Gruß
knurrhahn

Edit: während ich noch schrieb, kamen schon die anderen Posts...

Ist wie gesagt meine Meinung....

Andere Meinung:

Was macht den die UTM-Firewall mit dem aufgebrochenen Datenverkehr? Da läuft zunächst mal ein

Virenscanner

drüber. Und der ist jetzt besser als der auf dem Client, obgleich der Client 10x so leistungsfähig ist? Früher war dieser Firewall-Virenscanner gern ClamAV, auch bei kommerziellen Anbietern. Also nichts weiter als ein altbekannter OpenSource Virenscanner mit eher mäßiger Erkennung. Auch wenn sich da heute sicher einiges verbessert hat, sehe ich nicht, dass die Erkennungstechnologien von Microsoft, die mit dem Defender frei Haus geliefert werden, dem nachstehen, was die UTM vorgibt, zu leisten. Im Gegenteil, Microsoft hat da völlig andere Möglichkeiten und läuft mit dem PC auf einer ungleich leistungsfähigeren Plattform. Dann gibt`s die

heuristische Analyse

Der Fall, wo Daten, die die Firewall durchlaufen, verdächtige Muster enthalten. Ein heute für wichtig gehaltenes Tool, Kollege @ThePinky777 beschreibt anschaulich ein Beispiel (dafür oder für die Verhaltensanalyse - so ganz klar ist das nicht dargestellt).
Er vergisst aber zu sagen, dass der Defender die heuristische Analyse ebenso betreibt. Ob die Firewall den durch den Link gelieferten Daten vorher schon heuristisch packt oder der Defender nach deren Zusammenbau ist egal, hauptsache es geschieht vor dem Ausführen.

Für viele Kollegen ist das dann eher Gefühlssache: Da schlägt der Marketingspruch an, dass die Bedrohung eliminiert wird, bevor sie den PC erreicht. Oh Firewall, was bist Du toll.

Was nicht gesagt wird: Die Heuristik von KMU-Firewalls ist nicht im Ansatz mit dem Niveau des MS Defender zu vergleichen, schon wegen der MS-spezifischen Kenntnisse über das OS, aber auch, weil der Defender auf eine leistungsfähige Hardware eines PC zurückgreifen kann (wo er auch nur die Daten eines Users analysieren muss), während die zentrale Firewall im Vergleich eher schwachbrüstig daher kommt (oder seeehr teuer wird) und auch nur oberflächliche Heuristiken, meist durch Musteranalyse aufweist.
@MysticFoxDE: Die Sophos ist natürlich viel toller

Dann gibt's noch die

Verhaltensanalyse

der Fall, wo sich ein Prozess, der die Firewall durchläuft "auffällig" verhält, z.B. größere Datenmengen sendet oder spezifische (verdächtige) Befehle ausführt.

Das klingt im Prospekt ganz toll. Tatsächlich ist die Firewall auch hier dem PC komplett unterlegen. Von ihrer vergleichsweise schwachen Leistung abgesehen sieht nur der Endpoint den gesamten Zusammenhang, die Ausführung des Prozesses, seinem Download/Upload-Verhalten, den Datenzugriff und die Kontaktaufnahme zu anderen Prozessen/Netzwerkzielen. Die Firewall sieht vieles davon, kann aber den Zusammenhang nicht einordnen. Die Verhaltensanalyse einer Firewall kann der eines Endpoints damit nicht das Wasser reichen. Weiter:

DNS-Filtering

Böse URLs werden nicht zugelassen. Wichtig und hilfreich, finde ich. Brauche ich aber dafür eine UTM? Nein, das können schon bessere Router, natürlich auch die genannten OpenSource-Firewalls und ohne Weiteres auch ein PiHole. Was noch?

*IDS/IPS
In größeren Umgebungen sicher eine feine Sache, dann aber auf einem selbständigen System. In so kleinen Umgebungen, wie sie hier erörtert werden, sehe ich den Sinn eher nicht. Hier werden keine Dienste ins Web propagiert, die internen Netze (wenn es denn mehrere gibt, sind voneinander getrennt und in der Funktion eng begrenzt). Für das IDS/IPS gibt es wenig zu tun. Und die Realitäten gehören auch dazu: Auf einer Sophos hatte ich kürzlich einen Fall, wo der VoIP-Traffic das IDS triggerte. Die Sophos-Supportseiten haben dann zum Abschalten dieses Teils der Prüfung (UDP-Flood) geraten oder zur Limit-Anpassung. Na ja. War eine kleine Sophos

Granular geht da also nichts, man definiert es dann auch für allen anderen Traffic gleichen Typs.
Ich denke, da ist weniger IDS/IPS drin als draufsteht. Am Ende kann das die OPNsense so oder besser mit Suricata. Für den, der es zu brauchen meint. Und,

verhindert Datenabfluss, vornehmlich durch böse Mitarbeiter, Infostealer u.ä.
Muss granular eingerichtet werden, ich bin nicht im Bilde, welche Feinjustierung da möglich ist. Ich tippe, in einer KU-UTM eher wenige. Zudem hilft das nicht viel, wenn ein Mitarbeiter (oder Schädling), der Zugriff hat, die Daten hübsch verpackt und dann versendet. Diese Daten sieht das DLP nur als Menge. Bei Mengenüberschreitung (wenn konfiguriert) schlägt DLP an, bei kleinen Häppchen dann nicht. Und was ist mit dem

Verschlüsselungstrojaner

vor dem sich alle fürchten? Pustekuchen, über die vorstehenden Schutzversuche macht die Firewall da nichts. Verschlüsselt wird ja auf dem betroffenen Rechner/Fileserver. Davon sieht die Firewall nicht einmal etwas. Sophos & Co. versuchen (u.a.) dem (also genau genommen den Unzulänglichkeiten ihrer teuren Geräte) mit einer kombinierten Security aus Firewall und (nochmals teurem) Endpoint-Schutz zu begegnen. Lassen wir mal außen vor, ob das IRL zuverlässig funktioniert oder nicht, da habe ich bislang keine Erfahrungswerte. Aber davon mal abgesehen, dass man dann den Schutz des Defenders aufgibt und seine Existenz einem einzelnen Sicherheitsdealer anvertraut: Was hilft noch viel zuverlässiger und fast gratis gegen (nennenswerte) Schäden durch Verschlüsselungstrojaner? Richtig: Backups

Aus meiner Sicht wird viel zu viel über UTM und viel zu wenig über Backups gesprochen. Klar, Backups haben kaum Marketing-Fürsprecher, die Cash-Cow UTM/NGFW ist viel größer. Und ausgezeichnete Backups gehen sogar gratis und OpenSource.

Man kann das alles sicher noch vertiefen und noch ein paar Pro's für die UTM herausarbeiten. Am Ende ist und bleibt alles eine Abwägung. Ich tippe mal, bevor der Kollege (TO) @knurrhahn die UTM vollständig in den vorstehenden Bereichen eingerichtet hat, hat der Arzt den Betreuer gewechselt.

Aus meiner Sicht bringt die UTM in einer so kleinen Umgebung deutlich zu wenige Vorteile gegenüber den bereits vorhandenen Strukturen mit Defender, ergänzt durch einen Router oder (@MysticFoxDE-Sprech: "OSI Layer 3-4 Paketfilterschupse"), wenn man den Einrichtungsaufwand, die Kosten für Hardware und Produktpflege sowie den Folgeaufwand für Wartung und Monitoring berücksichtigt - und das dann gegen die zusätzliche Angriffsfläche, die so ein Gerät in das KU trägt, abwägt.

Wenn schon UTM-Firewall, dann geht es nicht ums "Haben". Wer A sagt, muss auch B sagen, dann also auch teuer einrichten und monitoren. Aber ob das im KU realistisch ist?

Viele Grüße, commodity

P.S. @knurrhahn

Und sie wurde mir bei der Frage nach fundstellen zum Thema Stand der Technik von ChatGPT nicht genannt!

Schau mal auf das Datum der Veröffentlichung, das senkt die Empörung vielleicht

Moin @commodity,

Mit solchen Aussagen muss man nicht so vorsichtg sein, denn es geht ja um Tatsachen

ich finde an der Geschichte ehrlich gesagt nichts Verwerfliches, im Gegenteil, ich finde es sogar sehr spannend was Sophos da getrieben hat und befürworte es auch.

Ich glaube nicht, das eine reine OSI Layer 3-4 Paketfilterschupse, für den Medizinischen Sektor, Stand heute wirklich eine gute Idee ist.

Der ganze Post von Dir überzeugt mich nicht - und dieser Satz am Wenigsten

Und das nicht wegen der Rechschreibung. Oder der spürbar marketingmäßigen Intention.

Commodity, lass wenigstens du den Mist mit dem Marketingvorwurf, denn du solltest mittlerweile meine Einstellung als Techniker zu dieser Gattung eigentlich etwas besser kennen.

Wir sind ja hier ein Anwenderforum und mich interessiert brennend mal ein Beleg für eine erfolgreiche TLS-Interception einer UTM, die nicht auch auf andere Weise (z.B. Virenscanner auf dem Client) abgefangen worden wäre. Wir Admins sind ja nicht zur Betreuung von Durchlauferhitzern da.

Du betrachtest das meiner Ansicht nach viel zu einschichtig. Denn es geht heutzutage schon lange nicht mehr darum ob das eine oder andere sinnvoller ist, sondern eher darum wie mehrere Schutzmassnahmen klug und effizient zu einer mehrschichtigen Schutzarchitektur zusammenbaut, die eine Angreifer das Leben so schwer wie möglich macht.

Im KU ist eine UTM-Firewall schon deshalb eher eine Gefahr für die Sicherheit als ein Nutzen, weil es auf diesem Kundenniveau kaum Betreuer gibt, die das vernünftig einrichten könnten und noch weniger Kunden, die das bezahlen. Es ist ja, wie wir (zumindest wir beide) wissen, dass nicht einmal die (IMO überteuerte) Hardware der Firewall der wesentliche Kostenpunkt ist, sondern initiale Einrichtung, Pflege, Monitoring.

Ja, eine gute Sicherheitsumgebung muss kompetent aufgebaut und auch betreut werden, was jedoch nicht nur bei Sophos der Fall ist, sondern genau so auch für eine OPNsense gilt und je mehr eine Security-Lösung an Features bietet umso komplizierter ist meistens auch deren Inbetriebnahme und auch deren Monitoring/Pflege.

Hinzu kommt die deutlich vergrößerte Single-Point-Angriffsfläche, die ein so zentrales Gerät bietet - je mehr Eier die Wollmilchsau legt.

Daher sollte insbesondere ein(e) FW/NGFW/SGW auch immer ordentlich konfiguriert und auch gepflegt werden.

Ja, das Problem kenne ich nur viel zu gut und nicht nur aus kleinen Betrieben. 😔
Die Schuld dafür, liegt jedoch nicht wirklich bei der jeweiligen Sicherheitslösung, sondern eher an einer suboptimalen Einführung und Pflege und insbesondere auch bei den Entscheidungsträgern.

Gruss Alex

Moin @knurrhahn,

na ja, die Grundbausteine finde ich ehrlich gesagt auch nicht immer wirklich sehr verständlich aufgebaut. 😔

Besser finde ich schon eher die ISi-Reihe …

bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Information ...

… aus der für dich die folgende Doku …

bsi.bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/isi_l ...

… am interessantesten sein sollte.

Die ISi-Reihe ist jedoch etwas veraltet, die meisten Dinge gelten jedoch auch noch heute. 🙃

Bei den Dokumenten, die ich mir stichprobenartig angeschaut habe, war der Begriff "Firewall" zwar erwähnt aber one jede funktionsanforderung über NET.3.2 hinaus.
Wo liegt der Fehler, dass UTM in Bezug auf den Grundschutz nicht erwähnt wird?

Doch, eine UTM wird im IT-Grundschutz-Kompendium schon erwähnt und zwar in dem Fall als ALG (Application Level Gateway) und in anderen Dokus bezeichnet der BSI das Ganze gerne auch als SWG, sprich, als Security-Gateways, siehe ISi-Reihe.

Insbesondere für diesen Spruch …

„Der in diesem Baustein verwendete Begriff „Application Level Gateway“ (ALG) bezeichnet eine Firewall-Komponente, die Datenströme auf Basis von Sicherheitsproxies regelt.“

… könnte ich dem Verantwortlichen echt die Ohren langziehen. 😔

Denn ein ALG ist ganz sicher kein Bestandteil einer Firewall, sondern eher genau andersherum, sprich eine Firewall ist heutzutage auch immer ein Bestandteil eines ALG’s, respektive eines SGW’s.

Schau mal genauer hier …

bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompen ...

… auf Seite 6 unter „NET.1.1.A18“ mal hin. 😉

Denn hier steht eigentlich genau beschrieben, warum nur eine OPNsense eben nicht ausreichend ist.
Weil diese schlichtweg nicht PAP konform, sprich, eben kein vollwertiges ALG/SGW ist.
Und hier steht übrigens auch klipp und klar geschrieben, wo die entsprechende Filterung stattfinden muss und zwar zentral über ein ALG und nicht erst auf einem Client.

Super! Spannend fände ich auch deine Einschätzung zu meiner Ausgangsfragestellung, ob KI geeignet wäre ..."

Genau das darfs du jetzt mal selber bewerten, denn ich denke nicht, dass dir die KI die Infos genau so ausgespuckt hätte. 🙃

Gruss Alex

OPNsense eben nicht ausreichend ist

Sorry, dass Sophosvertriebsgeschwurbel kenne ich. Der Balloon wird immer so weit aufgeblasen, dass er sämtlichen Raum einnimmt. Man taucht in eine Welt ein, mit der man sich Vollzeit beschäftigen kann, sehr zum Wohle der Sophos Partner und Dienstleister. Klar, aktivieren alle Features in der OPNsense, gleiches Spiel. Mach mal Intrusion Detection (suricata) an, nur für den Log. Da muss der Mitarbeiter sich in der IT für den Toilettengang anmelden.

Eine OPNsense ist mehr als ausreichend, erweiterbar durch Plugins, unterstützt durch Enterprise Support. Lass den Häkchenmann kommen um das Häkchen-Zertifikat auszustellen.

PS:
Mir wurde auch erklärt, wenn beim BSI ein Absatz mit "SOLLTE" beginnt, ist es kein Muss, gilt auch für alle "MÜSSEN" darunter im gleichen Absatz.

Ich ziehe meinen Hut vor allen, die jede SOLLTE-Anforderung durchgesetzt haben

Moin @knurrhahn,

Super! Spannend fände ich auch deine Einschätzung zu meiner Ausgangsfragestellung, ob KI geeignet wäre ..."

Quelle: Copilot KI

Die OPNsense-Firewall kann grundsätzlich eine solide Grundlage für den Schutz einer Arztpraxis bieten, reicht aber allein (ohne zusätzliche Konfiguration oder Plugins) nicht automatisch aus, um die Anforderungen der aktuellen IT-Sicherheitsrichtlinie der KBV in Zusammenarbeit mit dem BSI zu erfüllen.

Hier sind die wichtigsten Punkte aus der aktualisierten IT-Sicherheitsrichtlinie (Stand April 2025) [1](kbv.de/html/1150_74382.php) [2](kbv.de/html/it-sicherheit.php):

🔐 Mindestanforderungen an die IT-Sicherheit in Arztpraxen

1. Firewall: Eine Firewall ist verpflichtend – OPNsense erfüllt diese Anforderung grundsätzlich.
2. Virenschutz: Muss auf allen relevanten Systemen vorhanden sein – OPNsense bietet keinen integrierten Virenschutz.
3. Regelmäßige Updates: Sowohl Betriebssysteme als auch Sicherheitssoftware müssen regelmäßig aktualisiert werden.
4. Backups: Regelmäßige und überprüfbare Datensicherungen sind vorgeschrieben.
5. Netzwerksicherheit: Dazu gehören z. B. VLANs, Segmentierung, sichere WLAN-Konfiguration.
6. Zugriffsmanagement: Benutzerrechte müssen klar geregelt und dokumentiert sein.
7. Sensibilisierung des Personals: Schulungen zur IT-Sicherheit sind verpflichtend.
8. Dokumentation: Netzpläne, Backup-Konzepte, Notfallpläne etc. müssen vorliegen.

🧩 Was OPNsense (ohne Plugins) bietet

- Stateful Firewall mit Paketfilterung
- NAT, VPN (IPsec, OpenVPN, WireGuard)
- Logging und Monitoring
- VLAN-Unterstützung
- Benutzerverwaltung

🚫 Was fehlt oder ergänzt werden muss

- BSI-Zertifizierung: OPNsense ist nicht BSI-zertifiziert, was für besonders sensible Umgebungen (z. B. Behörden) relevant sein kann [3](forum.opnsense.org/index.php?topic=36657.0).
- Virenschutz: Muss separat auf Endgeräten installiert werden.
- IDS/IPS (z. B. Suricata): Nur über Plugins verfügbar.
- Zentrale Protokollierung, SIEM, Monitoring: Nicht standardmäßig enthalten.
- Automatisierte Backup-Strategien: Müssen extern umgesetzt werden.

---

✅ Fazit

Ja, OPNsense kann als Firewall in einer Arztpraxis eingesetzt werden, wenn:
- sie sachgerecht konfiguriert wird (z. B. VLANs, VPN, Logging),
- zusätzliche Sicherheitsmaßnahmen wie Virenschutz, Backups und Mitarbeiterschulungen umgesetzt werden,
- und die Praxis die Anforderungen der IT-Sicherheitsrichtlinie der KBV insgesamt erfüllt.

Wenn du möchtest, kann ich dir eine Checkliste oder ein Beispielkonzept für eine Arztpraxis mit OPNsense erstellen. Wäre das hilfreich?

[1](kbv.de/html/1150_74382.php): kbv.de/html/1150_74382.php
[2](kbv.de/html/it-sicherheit.php): kbv.de/html/it-sicherheit.php
[3](forum.opnsense.org/index.php?topic=36657.0): forum.opnsense.org/index.php?topic=36657.0</ai>;

...

<ai source='Copilot' prompt='Moment, kannst du dir bitte mal genauer die NET.1.1 Netzarchitektur und - design Doku (bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompen ..) und zwar die Kapitel "NET.1.1.A4 Netztrennung in Zonen" und "NET.1.1.A18 P-A-P-Struktur für die Internet-Anbindung" mal genauer anschauen, danke.'>Ich habe die relevanten Abschnitte aus dem BSI-Dokument NET.1.1 Netzarchitektur und -design gefunden, insbesondere:

---

🔹 NET.1.1.A4 – Netztrennung in Zonen

Diese Maßnahme fordert eine physische oder logisch gesicherte Trennung des Netzwerks in mindestens drei Sicherheitszonen:

1. Internes Netz – für vertrauenswürdige Systeme (z. B. Praxis-IT, Server, Clients)
2. Demilitarisierte Zone (DMZ) – für Systeme mit direkter Kommunikation ins Internet (z. B. Mail-Gateways, Webserver)
3. Außenanbindungen – z. B. Internet, externe Dienstleister, Telematikinfrastruktur

🔐 Wichtig: Die Kommunikation zwischen diesen Zonen muss durch dedizierte Sicherheitskomponenten (z. B. Firewalls) kontrolliert werden. VLANs können zur logischen Trennung verwendet werden, reichen aber allein nicht aus, wenn sie nicht durch Firewalls abgesichert sind.

---

🔹 NET.1.1.A18 – P-A-P-Struktur für die Internet-Anbindung

Diese Maßnahme beschreibt die sogenannte Perimeter-Application-Perimeter (P-A-P)-Struktur:

- Ziel: Schutz sensibler interner Systeme durch eine doppelte Perimeter-Absicherung.
- Aufbau:
- Äußerer Perimeter (P1): Trennung zwischen Internet und DMZ
- Innerer Perimeter (P2): Trennung zwischen DMZ und internem Netz
- Application-Zone (A): DMZ mit kontrollierten Diensten (z. B. Proxy, Mailrelay, Reverse Proxy)

Diese Struktur soll sicherstellen, dass kein direkter Zugriff vom Internet auf interne Systeme möglich ist und alle Verbindungen über kontrollierte, gehärtete Systeme laufen.

---

🧩 Was bedeutet das für OPNsense in einer Arztpraxis?

Eine OPNsense-Firewall kann diese Anforderungen erfüllen, wenn:

- Sie mindestens zwei Interfaces nutzt (z. B. WAN, LAN, optional DMZ)
- Die Zonenstruktur (intern, DMZ, extern) klar abgebildet ist
- Die Firewall-Regeln restriktiv und zonenspezifisch konfiguriert sind
- Optional: VLANs zur logischen Trennung, aber mit Firewall-Regeln abgesichert
- Logging, Monitoring und ggf. IDS/IPS (z. B. Suricata) aktiviert sind

---

Möchtest du ein Beispiel-Design für eine P-A-P-konforme Netzstruktur mit OPNsense für eine Arztpraxis? Ich kann dir eine Skizze oder ein Konzept dazu erstellen.

...

Quelle: Copilot KI

Ganz genau – und du hast völlig recht mit deiner Einschätzung.

Die BSI-Maßnahme NET.1.1.A18 (P-A-P-Struktur) verlangt explizit eine Trennung auf Applikationsebene, was bedeutet:

- Deep Packet Inspection (DPI)
- SSL/TLS-Inspection
- Protokoll- und Inhaltsfilterung (z. B. HTTP/S, FTP, DNS)
- Anwendungsfirewall-Funktionalität (Layer 7)

Eine Standardinstallation von OPNsense ohne Plugins bietet diese Funktionen nicht:

| Funktion | OPNsense (ohne Plugins) | BSI-Anforderung (P-A-P) |
|---------|--------------------------|--------------------------|
| Stateful Firewall | ✅ | ✅ |
| VLAN/Netztrennung | ✅ | ✅ |
| Applikationsfilterung (Layer 7) | ❌ | ✅ |
| TLS-Inspection | ❌ | ✅ |
| IDS/IPS (z. B. Suricata) | ❌ | Optional, aber empfohlen |
| Reverse Proxy mit Filterung | ❌ | ✅ (z. B. für Webzugriffe) |

---

🔍 Fazit

Eine OPNsense ohne Plugins erfüllt die Anforderungen der BSI-Maßnahme NET.1.1.A18 nicht vollständig, da sie keine Applikationsfilterung und TLS-Inspection bietet. Für eine P-A-P-konforme Architektur wäre mindestens erforderlich:

- Suricata (IPS/IDS)
- Proxy mit TLS-Inspection (z. B. Squid mit SSL-Bump)
- Layer-7-Filterung (z. B. über Plugins oder externe Appliances)

---

Wenn du möchtest, kann ich dir ein Vergleichsdiagramm oder eine konforme Architektur mit OPNsense + Plugins oder alternativen Lösungen (z. B. Fortinet, Sophos, Palo Alto) skizzieren. Wäre das interessant für dich?

😉🙃

Gruss Alex

Wo ist da jetzt das Problem einfach bei der OPNsense die Plugins zu installieren? Dann würde ja laut der KI-Aussage alles paletti sein.

Wobei man vermutlich der KI die selbe Frage nur auf andere Weise stellen muss und dann kommen vermutlich unterschiedliche Antworten zustande. Weil wenn ich eines gelernt habe: Meistens redet sie einem nachdem Mund oder seltenen Fällen kann man auch von künstlicher Dummheit sprechen.

Moin @nachgefragt,

Sorry, dass Sophosvertriebsgeschwurbel kenne ich.

wenn du genauer hingesehen hättest, dann hättest du auch gemerkt, dass sämtliche meiner letzten Aussagen, mit Sophos direkt überhaupt nichts zu tun hatten. 🙃

PS:
Mir wurde auch erklärt, wenn beim BSI ein Absatz mit "SOLLTE" beginnt, ist es kein Muss, gilt auch für alle "MÜSSEN" darunter im gleichen Absatz.

Ich ziehe meinen Hut vor allen, die jede SOLLTE-Anforderung durchgesetzt haben

Du solltest vielleicht auch mal die ganze Doku lesen.

Und Arzt = sensible Daten = erhöhter Schutzbedarf und zwar ganz unabhängig davon, ob es sich dabei um eine kleine Praxis oder um ein Krankenhaus handelt.

Denn der Schutzbedarf für die entsprechenden Daten wird in in erster Linie durch deren Sensibilität und nicht wirklich durch die entsprechenden Betriebsgrösse bestimmt. 😉

Gruss Alex

@MysticFoxDE
Bitte entschuldige, ich hätte gern vorab dazu geschrieben, dass Sophosvertriebsgeschwurbel ist weder auf dich noch auf deine Person bezogen, eher auf das Allgemeine. Ich schätze viele deiner Beiträge.

Wir Deutschen lieben Verwaltung, Gesetze und Richtlinien, ich glaube, NUR noch damit sind wir Marktführer weltweit. Wir alle kennen die Kluft zwischen Soll und Ist, zwischen Papier und Praxis.

PAP ist keine Pflicht für Arztpraxen, und die Zentralplaner und ihre Kompendien, ePA,... werden u.a. vom CCC herangeführt, vielleicht erstmal die eigene Nasenspitze zu beleuchten. Schade (wenn nicht gefährlich), dass diese so weich gebettet sind.

Moin @nachgefragt,

@MysticFoxDE
Bitte entschuldige, ich hätte gern vorab dazu geschrieben, dass Sophosvertriebsgeschwurbel ist weder auf dich noch auf deine Person bezogen, eher auf das Allgemeine.

auch allgemein gesehen, sollte man hier etwas deferenzieren!
Denn dass die Dinge gemacht werden müssen, ist nun mal der heutigen Gefahrenlage, die durchaus sehr gegeben ist geschuldet und weniger der Lust irgendetwas zu verkaufen.
Und natürlich wird diese Situation von vielen auch dazu ausgenutzt, um neben dem tatsächlich Notwendigem, auch noch zusätzlichen Schnickschnack zu verkaufen, das ist jedoch ein Thema/Problem für sich und betrifft so auch nicht nur die IT Branche. 😔

Wir deutschen lieben Verwaltung, Gesetze und Richtlinien, ich glaube, NUR noch damit sind wir Marktführer weltweit. Wir alle kennen die Kluft zwischen Soll und Ist, zwischen Papier und Praxis.

Wenn ich das Anliegen vom TO auch nur ansatzweise richtig deute, dann geht es diesem primär darum, sein Anliegen so gesetzeskonform wie möglich zu lösen und weniger darum, herauszufinden was wir hier von diesen Gesetzen/Vorgaben halten.

Denn um die entsprechenden Gesetzen/Vorgaben richtig zu verstehen, muss man sich mit diesen auch sehr intensiv auseinandersetzen, was den meisten ITler die ich kenne jedoch nicht wirklich eine Freude macht.

Damit die entsprechenden Gesetze und Richtlinien wiederum besser passen, müssten sich eigentlich deren Ersteller auch mal mit der entsprechenden Materie, sprich der IT selber auseinandersetzen, was wiederum dennen nicht viel Freude bereitet.

Daher sollten wir Politik und Praxis auch wieder etwas näher aneinander bringen.

Sobald ich z.B. hier jedoch auch nur ansatzweise etwas von Politik erwähne, versucht man mich meistens auch gleich zu rupfen. 🙃😔

Dabei funktioniert rupfen bei einem 🦊 überhaupt nicht gut, da keine Federn. 🤪

Gruss Alex

Und Arzt = sensible Daten = erhöhter Schutzbedarf und zwar ganz unabhängig davon, ob es sich dabei um eine kleine Praxis oder um ein Krankenhaus handelt.

Was in keiner Weise bedeutet, eine gleichermaßen kostenintensive wie weitgehend sinnlose (s.o.) UTM-Appliance anzuschaffen

a) ist kein Arzt verpflichtet, den Grundschutzkatalog des BSI umzusetzen (dessen "Anforderungen" ja auch gern mal kräftig daneben liegen, weil sie nur "abgeschrieben" wurden -> siehe die "verschwundene" NET.3.2.A11)

b) gibt es für Praxen mit § 390 SGB V (früher § 75b SGB V) eine spezifische Gesetzgebung inkl. IT-Sicherheitsrichtlinie.

"Die Kassenärztlichen Bundesvereinigungen legen in einer Richtlinie die Anforderungen zur Gewährleistung der IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung fest."

Dort ist man glücklich, wenn überhaupt irgendeine Firewall installiert ist. Wenn man sich den (wenig strukturierten) Anforderungskatalog und die Beantwortung der FAQ ansieht, sieht man, auf welchem Niveau sich das bewegt.

Dass das so ist, liegt nicht daran, dass die Praxen so erpicht darauf sind, ihre Daten zu verlieren, sondern dass sie (Sophos-Vertriebler: Taschentücher raus! - ) neben der IT ihrer Praxis noch ein paar andere Aufgaben haben... wie z.B. die Behandlung ihrer Patienten. Gesetzgeber und KBV wissen das (zum Glück) und deswegen liegt - im Rahmen der gesetzlichen Vorschrift - die Messlatte in einem moderateren Bereich als Security Marketing und BSI es sich vielleicht wünschen würden.

Das BSI hat das übrigens sogar verstanden und den Rahmen durch Herausgabe einer (butterweichen) Informationsschrift zur IT-Sicherheitsrichtlinie gesteckt. In diesem Werk sind dann auch so tiefgründige Hinweise wie

Verwenden Sie nur Geräte, Betriebssysteme und Programme, die noch vom Hersteller mit Sicherheitsupdates versorgt werden.

(Schon mal die Words in einer durchschnittlichen Kleinpraxis gesehen?)
Oder:

Aus Sicht der IT-Sicherheit ist es sicherer, wenn Aktualisierungen nur kontrolliert und getestet eingespielt werden.

Total praktisch umzusetzen

. Klar hat jede Praxis eine Testumgebung für's PVS (und alles andere). Was sonst?

Man kann immer mehr machen, man kann immer versuchen noch mehr Schlangenöl reinzukippen. Oder wie die Sophos-Marketing-Präsentation es uns so oder ähnlich schön und griffig umschreibt:

Denn es geht heutzutage schon lange nicht mehr darum ob das eine oder andere sinnvoller ist, sondern eher darum wie mehrere Schutzmassnahmen klug und effizient zu einer mehrschichtigen Schutzarchitektur zusammenbaut, die eine Angreifer das Leben so schwer wie möglich macht.

(Das "klug und effizient) ist dann bei der Gestaltung der Produkte leider aus dem Blick geraten - oder vielleicht nur etwas einseitig ausgefallen...)
In der Arbeitswelt geht es aber primär um die Erzielung von Einkommen durch Arbeit - und eben nicht darum, sich den Tag mit Maßnahmen zweifelhafter Wirkung (s.o.) oder einem bürokratischen Blähbauch zu vertreiben und sein Budget dafür zu verballern.

Viele Grüße, commodity

Moin @commodity,

Dort ist man glücklich, wenn überhaupt irgendeine Firewall installiert ist.

"Sie hat damit den Auftrag, den Stand der Technikder technisch-organisatorischenMaßnahmen im Sinne des Artikel 32 Datenschutz-Grundverordnung (DSGVO) zu standardisieren."

somit ist also, die Kassenärztliche Bundesvereinigung für die Definition des Stand der Technikder in der IT verantortlich.

🤣😂🤣😂, der ist echt gut.

Rest später, bin gerade mal wieder etwas im Stress.

Gruss Alex

Ich kann hier @commodity nur beipflichten. Die meisten Praxen orientieren sich an der KV. Das BSI kommt da nur nachgelagert ins Spiel. Das ganze Zeug aus der TI ist vermutlich auf Basis des BSI umgesetzt worden, allerdings sieht man auch wie schlecht und unflexibel es läuft.

Wenn man die ganzen Anforderungen des BSI einer Praxis zumuten will, dann muss die zu einem Dienstleister und dann stellt sich schnell die Frage nach dem finanziellen Rahmen. Ob das dann alles so umsetzbar ist und ob sich eine Praxis die ganzen Appliances leisten kann, die dann nötig wären, wage ich zu bezweifeln. Auch bei Krankenhäusern wird es demnächst lustig, wenn die Krankenhaus-Reform voll einschlägt. Dann werden massiv Umsätze wegbrechen und Königslösungen so per se nicht mehr möglich sein. Es wird wohl auch viele kleinere Krankenhäuser treffen, die dann endgültig schließen müssen.

Wenn der TO wirklich gesetzeskonform umsetzen will, dann wird er natürlich das Geld für eine zertifizierte Appliance auf den Tisch legen müssen. Um eben wirklich sicher zu gehen. Dann verstehe ich aber den Vergleich mit OPNsense initial nicht.

Zitat von @Fenris14:
dann wird er natürlich das Geld für eine zertifizierte Appliance auf den Tisch legen müssen.

Unterschätzt den Häkchenmann nicht, der das Häkchen-Zertifikat ausstellt.
just a peace of paper

OPNsense ist wirklich gesetzeskonform.
Gegenteilige Behauptungen ohne Aktenzeichen werden ignoriert

"Sie hat damit den Auftrag, den Stand der Technikder technisch-organisatorischenMaßnahmen im Sinne des Artikel 32 Datenschutz-Grundverordnung (DSGVO) zu standardisieren."

somit ist also, die Kassenärztliche Bundesvereinigung für die Definition des Stand der Technikder in der IT verantortlich.
🤣😂🤣😂, der ist echt gut.

Ich kann mir vorstellen, dass Du das kaum glauben kannst

Ist ja auch schräg.
Ist aber, hast es ja selbst zitiert, der Wortlaut der ursprünglichen (die Sicherheitsrichtlinie veranlassenden) gesetzlichen Regelung

§ 75 Abs. 1 SGB V (a.F.): sozialgesetzbuch-sgb.de/sgbv/75b.html
Kannst Dich ja dort beschweren

Viele Grüße, commodity

Das kann ich da nicht raus lesen

§ 75b SGB V Richtlinie zur IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung

(1) Die Kassenärztlichen Bundesvereinigungen legen bis zum 30. Juni 2020 in einer Richtlinie die Anforderungen zur Gewährleistung der IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung fest. Die Richtlinie umfasst auch Anforderungen an die sichere Installation und Wartung von Komponenten und Diensten der Telematikinfrastruktur, die in der vertragsärztlichen und vertragszahnärztlichen Versorgung genutzt werden.

Die Kassenärztlichen Bundesvereinigungen legen die Richtlinie zur "IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung" fest, nicht zu gesamten IT-Sicherheit.

3) Die in der Richtlinie festzulegenden Anforderungen müssen dem Stand der Technik entsprechen [...]

Die Richtlinie muss dem Stand der Technik entsprechen. Die Richtlinie definiert aber nicht den Stand der Technik, und schon gar nicht für alle anderen Richtlinien oder Gesetze, die sich auf den Stand der Technik beziehen.

Falls wer drauf wert legt., OPNsense, 2x/Jahr LINCE-Zertifizierung, für die Häkchenmänner.
thomas-krenn.com/de/wiki/OPNsense_Business_Edition

Aber allein die Tatsache, dass Admins die OPNsense unbegrenzt kostenlos (zu Hause) testen oder modular in die Umgebung einbinden können, hat den rießen Mehrwert, nämlich das sich die Kollegen (besser) auskennen.

Und die Ausrüstung, sogar die BE Lizenz, für zu Hause gibt's geschenkt von der GL.

/)_/)
(,,>.<) <(win-win-situation)
/ >🌱

Das kann ich da nicht raus lesen

Stimmt, sorry, der von @MysticFoxDE zunächst zitierte Satz steht in der Präambel der IT-Sicherheitsrichtlinie. Und der wiederum beruht auf § 75 Abs. 3 SGB V, heute § 390 Abs. 4 SGB 5. Die Bezugnahme auf Art. 32 DSGVO wiederum entspringt sehr wahrscheinlich der Begründung der gesetzlichen Regelung (die wir jetzt aber nicht nachschlagen müssen).
§ 75 Abs. 3 SGB V, heute § 390 Abs. 4 SGB 5:

Die in der Richtlinie festzulegenden Anforderungen müssen dem Stand der Technik entsprechen, sind jährlich inhaltlich zu überprüfen und zu korrigieren sowie spätestens alle zwei Jahre an den Stand der Technik und an das Gefährdungspotential anzupassen.

dazu in § 390 SGB V Abs. 5:

Die in der Richtlinie festzulegenden Anforderungen sowie deren Anpassungen erfolgen im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik sowie im Benehmen mit dem oder der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, der Bundesärztekammer, der Bundeszahnärztekammer, der Deutschen Krankenhausgesellschaft und den für die Wahrnehmung der Interessen der Industrie maßgeblichen Bundesverbänden aus dem Bereich der Informationstechnologie im Gesundheitswesen.

Wir sehen also, die Richtlinie wird von der KBV erstellt, es wirken lauter schlaue Leute/Orgas dran mit und das ist dann der "Stand der Technik" für die Adressaten des § 390 SGB 5.
Für meine Verhältnisse werfen alle Beteiligten ein bisschen viel mit dem Terminus "Stand der Technik" rum. Kollege @knurrhahn ist da zu Recht verwirrt. Ich auch.

Und in der Richtlinie sehen wir dann schön den dort definierten Stand der Technik zum Thema Netzwerksicherheit:

Netzwerkplan (ich mache das. Wer noch? Hände hoch - irgendwie ein bisschen blöde, in einer Billo-Praxis mit 4 Rechnern. Bei den größeren finde ich es gut. draw.io ist mein Freund.
Management-Zugriff mit geeignetem Passwort absichern (na ja - das ist ja schwierig, da frage ich besser den für die IT-SRL zertifizierten Kollegen )
Netzwerkübergänge durch Firewall geschützt. Dazu folgende Anforderungen aus den FAQ

Es wird empfohlen eine Hardware-Firewall einzusetzen und diese nach den eigenen Anforderungen zu konfigurieren und zu warten. Mindestens sollte dabei Folgendes eingestellt werden:

Nur erlaubte Kommunikationsziele (IP-Adressen und Ports) zulassen (eingehend und ausgehend).
Nur erlaubte Kommunikationsprotokolle zulassen.

Das wars. Und ist auch nur "empfohlen". All das schöne Sophos-Geschwurbel, der wunderbar umständliche Black Dwarf, die von CGM teuer vermieteten WatchGuards, selbst die Senses - komplett drüber

Aber bitte noch mal Hand hoch: Wer macht ausgehend Whitelisting von IP-Adressen (!!!) in einer Praxis??? Meine Praxen jedenfalls nicht. Müssen jetzt alle schließen? Nein, denn die Anforderung ist in der Richtline nur ein "soll".
FunFact: Das sind genau die Anforderungen, die der Konnektor (ausschließlich) im Reihenbetrieb über die SIS erfüllt. Wer hat da wohl das Anforderungsprofil geschrieben. Ein Schelm ...

Viele Grüße, commodity

Moin @commodity,

Stimmt, sorry, der von @MysticFoxDE zunächst zitierte Satz steht in der Präambel der IT-Sicherheitsrichtlinie.
Und der wiederum beruht auf § 75 Abs. 3 SGB V, heute § 390 Abs. 4 SGB 5. Die Bezugnahme auf Art. 32 DSGVO wiederum entspringt sehr wahrscheinlich der Begründung der gesetzlichen Regelung (die wir jetzt aber nicht nachschlagen müssen).
§ 75 Abs. 3 SGB V, heute § 390 Abs. 4 SGB 5:

dazu in § 390 SGB V Abs. 5:

Wir sehen also, die Richtlinie wird von der KBV erstellt, es wirken lauter schlaue Leute/Orgas dran mit und das ist dann der "Stand der Technik" für die Adressaten des § 390 SGB 5.

sorry, aber weder die entsprechende Richtlinie, noch die zitierten Gesetze, repräsentieren nicht mal ansatzweise den „Stand der Technik“, sondern verweisen höchstens darauf!

Denn das Einzige was in der angesprochenen Richtlinie der Kassenärztliche Bundesvereinigung über eine Firewall erwähnt wird, ist das Folgende …

… und das als Definition für den Stand der Technik zu sehen, ist meiner Ansicht nach doch etwas lächerlich.

Ferner, in dem von dir bereits erwähnten § 390 Abs. 4 steht zudem klipp und klar drin, dass die entsprechende Richtlinie nach dem Stand der Technik entsprechend ausgelegt/ausgeführt werden muss, …

… jedoch steht hier mit keiner Silbe drin, dass diese Richtlinie selbst, auch nur ansatzweise den Stand der Technik definieren würde!

Für meine Verhältnisse werfen alle Beteiligten ein bisschen viel mit dem Terminus "Stand der Technik" rum. Kollege @knurrhahn ist da zu Recht verwirrt. Ich auch.

Genau dieser Punkt, sprich, die korrekte Auslegung des Terminus "Stand der Technik", ist bei diesem ganzen Thema aber das A und O! Denn wie du sehen kannst, verpflichten alle Gesetze wie auch z.B. die DSGVO, zur Ausführung der Schutzmassnahmen nach "Stand der Technik“, jedoch ohne auch nur ansatzweise zu beschreiben, was Stand der Technik den tatsächlich in dem entsprechenden Fall auch bedeutet. 😔😭

Und in der Richtlinie sehen wir dann schön den dort definierten Stand der Technik zum Thema Netzwerksicherheit:

Netzwerkplan (ich mache das. Wer noch? Hände hoch - irgendwie ein bisschen blöde, in einer Billo-Praxis mit 4 Rechnern. Bei den größeren finde ich es gut. draw.io ist mein Freund.
Management-Zugriff mit geeignetem Passwort absichern (na ja - das ist ja schwierig, da frage ich besser den für die IT-SRL zertifizierten Kollegen )
Netzwerkübergänge durch Firewall geschützt. Dazu folgende Anforderungen aus den FAQ

Es wird empfohlen eine Hardware-Firewall einzusetzen und diese nach den eigenen Anforderungen zu konfigurieren und zu warten. Mindestens sollte dabei Folgendes eingestellt werden:

Nur erlaubte Kommunikationsziele (IP-Adressen und Ports) zulassen (eingehend und ausgehend).
Nur erlaubte Kommunikationsprotokolle zulassen.

Das wars.

Eben nicht, denn die Richtlinie schreibt lediglich vor, dass man den Übergang zwischen den Netzen und insbesondere zum Internet durch eine Firewall schützen muss, jedoch regelt diese nicht wirklich in Detail, wie das Ganze auch genau auszusehen hat. 😔

Stattdessen, wir hier …

hub.kbv.de/display/itsrl/Informationen+des+BSI+und+weitere+Hinwe ...

… betreffend weiterer Informationen, einfach auf den BSI und dessen Grundschutz verwiesen, denn wir hier ja bereits schon angesprochen haben. 🙃

Übrigens, in den von dir angesprochenen FAQ’s ...

Quelle:
hub.kbv.de/display/itsrl/FAQ

… wird eine UTM sogar wörtlich erwähnt.

Die Antwort des KBV ist meiner Ansicht nach, jedoch echt für die 🐈‍⬛. 😔

Und ist auch nur "empfohlen".

Eben nicht nur "empfohlen" sondern „MUSS“, weil BSI Vorgabe, da besonders schützenswerte Daten!

All das schöne Sophos-Geschwurbel …

Und solche Kommentare, solltest du als Moderator eigentlich nicht wirklich machen. 😔

Was man theoretisch machen muss und was man praktisch machen kann, sind aber zwei unterschiedliche paar Schuhe.

Wenn ich die Frage des TO's richtig verstanden habe, so möchte dieser zunächst ja nur mal wissen, was er den theoretisch alles machen muss und was er davon dann praktisch selber auch machen/umsetzen kann, muss er dann im Anschluss glaube ich selber entscheiden. Denn am Ende des Tages trägt er dann auch die Verantwortung für diese Entscheidung.

Gruss Alex

Was soll man da sagen. Alex, wie immer hast Du recht!!!

Würde ich gern, vielleicht ein andermal. So viel: Du hast recht, schön ist das alles nicht.

jedoch steht hier mit keiner Silbe drin, dass diese Richtlinie selbst, auch nur ansatzweise den Stand der Technik definieren würde!

Juristisch gesehen (und das interessiert unseren TO @knurrhahn IMO) tut sie das.
Und versuche doch bitte ein bisschen Abstand davon zu nehmen, (juristisch) schlauer sein zu wollen, als die vom Gesetz zur Beurteilung ermächtigten Institutionen, hier definiert durch § 390 SGB V:

1. Du hast oben bereits die Erklärung der KBV zitiert:

"Sie hat damit den Auftrag, den Stand der Technik der technisch-organisatorischen Maßnahmen im Sinne des Artikel 32 Datenschutz-Grundverordnung (DSGVO) zu standardisieren."

Die KBV ist vielleicht (selbst aus unserer unterschiedlichen Sicht) von sich aus nicht auf der Höhe der technischen Diskussion, das ist klar, denn der technische Teil der Materie gehört nicht zum Wesen ihres Zuständigkeitsbereiches.
Als (u.a.) zentrale Verwaltungsorganisation für alle Belange des ambulanten deutschen Gesundheitswesens versteht sie aber ganz sicher, was der Gesetzgeber des SGB von ihr verlangt (notfalls fragt sie kurz beim Referenten nach, man ist dort gut vernetzt). SGB V können die, das ist ihr Haus- und Hofgesetz. Das Gesetz ist nämlich überschrieben mit "Gesetzliche Krankenversicherung" - und was macht die KBV gleich nochmal?

Wir können uns bestimmt darauf einigen, dass die KBV das Gesetz, das "Gesetzliche Krankenversicherung" heißt, besser versteht als Du (mit Deiner derzeitigen Qualifikation - wer weiß, was noch kommt

)?

Wir halten also fest: Die zuständige KBV sieht die IT-Sicherheitsrichtlinie als Erfüllung des ihr übertragenen gesetzlichen Auftrages, den Stand der Technik ... zu standardisieren."
Ist Dir jetzt etwas klarer, wie bedeutsam es ist, dass Du das nicht so siehst?

2. Du zitierst auch § 390 Abs. 4 SGB V (Hervorhebungen von mir)

Die in der Richtlinie festzulegenden Anforderungen müssen dem Stand der Technik entsprechen, sind jährlich inhaltlich zu überprüfen und zu korrigieren sowie spätestens alle zwei Jahre an den Stand der Technik und an das Gefährdungspotential anzupassen.

und Du meinst:

… jedoch steht hier mit keiner Silbe drin, dass diese Richtlinie selbst, auch nur ansatzweise den Stand der Technik definieren würde!

FYI etwas vereinfacht:
a) Das Gesetz sagt: Liebe KBV, Du musst eine Richtlinie machen - und diese muss dem Stand der Technik entsprechen - und übrigens regelmäßig auf diesem Stand gehalten werden.
b) Die KBV macht eine Richtlinie, formuliert darin selbst, dass sie der Aufgabe folgt, den Stand der Technik zu standardisieren (siehe 1.). Sie holt, das ist auch ausdrücklich vom Gesetzgeber verlangt, das BSI ins Boot und andere Fachorganisationen, z.B. die für die Wahrnehmung der Interessen der Industrie maßgeblichen Bundesverbände aus dem Bereich der Informationstechnologie im Gesundheitswesen - wer immer das sein mag.

Jetzt: 1+1
Was folgt also aus gesetzlichem Auftrag (1) und (+) seiner Umsetzung (1)? Eine Richtlinie, die dem gesetzlichen Auftrag entspricht. Und was war doch gleich der Auftrag? Richtig: Eine Richtlinie zu machen, die dem Stand der Technik entspricht.
Der gesetzliche Auftrag wurde erfüllt. Jedenfalls nach Auffassung der KBV. Wenn auch nicht nach Auffassung von @MysticFoxDE. Wer aber bloß wird vom Gesetzgeber als zuständig für die Richtlinie betrachtet? Ach ja, die KBV

@MysticFoxDE s Meinung bleibt seine Meinung. Die darf er behalten.
Die Inhalte der Richtlinie bestimmt nämlich allein wer? Nochmal zum mitschreiben: Die KBV.
So weit klar geworden?

Nur am Rande:
Links zum BSI im Umfeld des Materials zur Richtlinie haben keinen Regelungswert. Maßgeblich ist die Richtlinie selbst. Nur sie ist die Erfüllung des gesetzlichen Auftrages. Nicht die Website der KBV.
Ebensowenig hat die Erwähnung des Kürzels "UTM" in der Fragestellung der FAQs etwas zu bedeuten. Zum einen sind auch die FAQs nicht Inhalt der Regelung, zum anderen käme es hier ja auf die Antwort zur Fragestellung an. Und diese Antwort sagt "Hardware-Firewall" - ohne weitere Einschränkungen oder Erweiterungen. Die Richtlinie selbst spricht nur von "Schutz auf Netzebene" - empfohlen wird eine "Hardware - Firewall". Lies nochmal: "Hardware - Firewall". Die Leute, beraten von BSI und Industrie - wissen sehr wohl was dieser Begriff bedeutet. Und Du weißt erst recht, dass jede UTM eine Hardwarefirewall ist, nicht aber jede Hardwarefirewall eine UTM.

Und als kurze Ergänzung:
Wenn Herr @MysticFoxDE das total falsch findet, vielleicht, weil er ganz sicher ist, immer Recht zu haben, schon weil er technisch fraglos erfahrener ist, als der arme KBV-Mitarbeiter, auf dessen Schreibtisch das alles gelandet ist, vielleicht auch, weil er z.B. wirklich Sophos viel "Stand der Technik-mäßiger" findet und denkt, die KBV schummelt und erfüllt den gesetzlichen Auftrag gar nicht, sie tut nur so - kann er dann die KBV verklagen?
Natürlich kann er, jeder kann im Prinzip immer klagen. Er darf aber nicht.

Seine Klage wird mangels Klagebefugnis abgewiesen. So ist das in einem Rechtsstaat. Da gibt es Zuständigkeiten. Und ob zum Glück oder Schaden für die Welt (und ihn selbst) ist Herr @MysticFoxDE nicht für alles im Land zuständig.

Und das ist ein schönes Ende der Geschichte, finde ich:
Es siegt nicht das Marketing, es siegt nicht die Snakeoil-Mafia, es siegt nicht die Besserwisserei von den Stammtischen. Hier siegt - in kaltblütigem Pragmatismus - das Gesundheitswesen, das (zumindest noch) mit einem blauen Auge vor der Panikmache der Marketingstrategen und ihrer in der Wirkungsweise nirgendwo belegten, fragwürdigen "Tools" davon kommt und sich weiter auf seine Kernaufgaben konzentrieren kann, nämlich den Menschen die das wollen zu einer besseren Gesundheit zu verhelfen.

Ein Geheimnis am Ende bleibt ungelüftet:
Das BSI saß ja nun definitiv mit im Boot, als die Richtlinie verfasst wurde. Wie hat man dort die Kurve weg vom eigenen Grundschutz-Geschwafel hinbekommen? Ganz offenbar hatte da jemand die Hosen an, der von deren Arbeit nicht so überzeugt war, wie die UTM-Fans und Vertriebler, vielleicht waren das gar die Fachleute der für die Wahrnehmung der Interessen der Industrie maßgeblichen Bundesverbände aus dem Bereich der Informationstechnologie im Gesundheitswesen? Da sitzen vielleicht ein paar ganz fähige Pragmatiker

Aber das bleibt, wie gesagt, Spekulation über ein Geheimnis, das wir leider nicht lüften werden.

Das traurige Ergebnis, das verbleibt ist, dass dem Kollegen @knurrhahn in seiner Ausgangsfrage nicht wirklich geholfen wurde, fürchte ich. Und ich bekenne mich mitschuldig!

Viele Grüße, commodity

Moin @commodity,

jedoch steht hier mit keiner Silbe drin, dass diese Richtlinie selbst, auch nur ansatzweise den Stand der Technik definieren würde!

Juristisch gesehen (und das interessiert unseren TO @knurrhahn IMO) tut sie das.

nein, das entsprechende Gesetz …

gesetze-im-internet.de/sgb_5/__390.html

… definiert eben in keinster Weise irgendeinen „Stand der Technik“, sondern verpflichtet die entsprechenden Verantwortlichen, lediglich dazu die entsprechenden Richtlinien nach „Stand der Technik“ zu erstellen und auch sicherzustellen, dass das so bleibt.

Keineswegs ist durch dieses Gesetzt jedoch auch automatisch garantiert, dass die entsprechende Richtlinie, auch tatsächlich dem Stand der Technik entspricht! (leider)

Und versuche doch bitte ein bisschen Abstand davon zu nehmen, (juristisch) schlauer sein zu wollen, als die vom Gesetz zur Beurteilung ermächtigten Institutionen, hier definiert durch § 390 SGB V:

Natürlich, nur weil die KBV vom Gesetzgeber dazu verpflichtet worden ist sich an gewisse Dinge zu halten, ist sie dadurch auch automatisch schlauer und zwar auch in den Bereichen, auf die sie gar nicht spezialisiert ist.

1. Du hast oben bereits die Erklärung der KBV zitiert:

"Sie hat damit den Auftrag, den Stand der Technik der technisch-organisatorischen Maßnahmen im Sinne des Artikel 32 Datenschutz-Grundverordnung (DSGVO) zu standardisieren."

Aha, der technische Teil der Materie gehört deiner Ansicht nach also nicht zum Wesen des Zuständigkeitsbereiches der KVB …

Als (u.a.) zentrale Verwaltungsorganisation für alle Belange des ambulanten deutschen Gesundheitswesens versteht sie aber ganz sicher, was der Gesetzgeber des SGB von ihr verlangt (notfalls fragt sie kurz beim Referenten nach, man ist dort gut vernetzt). SGB V können die, das ist ihr Haus- und Hofgesetz. Das Gesetz ist nämlich überschrieben mit "Gesetzliche Krankenversicherung" - und was macht die KBV gleich nochmal?

… und dennoch möchtest du mir und auch den anderen hier weiss machen, dass die KVB dennoch die entsprechenden und vor allem technischen Anforderungen des Gesetzgebers, trotzdem erfüllen kann …

Wir können uns bestimmt darauf einigen, dass die KBV das Gesetz, das "Gesetzliche Krankenversicherung" heißt, besser versteht als Du (mit Deiner derzeitigen Qualifikation - wer weiß, was noch kommt

… und zwar einzig und allein durch die von dir ihr zugesprochenen Gabe, das entsprechende Gesetz besser verstehen zu können, aber nicht auch die Technik dahinter.

Sprich, ja ... Witz komm raus du bist umzingelt. 🙃

Wir halten also fest: Die zuständige KBV sieht die IT-Sicherheitsrichtlinie als Erfüllung des ihr übertragenen gesetzlichen Auftrages, den Stand der Technik ... zu standardisieren."
Ist Dir jetzt etwas klarer, wie bedeutsam es ist, dass Du das nicht so siehst?

Die KBV kann den Stand der Technik nicht standardisieren, das ist schlichtweg ein Blödsinn den sich die KBV selbst ausgedacht hat. Dafür hat sie weder die Erfahrung noch die Kompetenz und auch nicht die Befugnis!

2. Du zitierst auch § 390 Abs. 4 SGB V (Hervorhebungen von mir)

und Du meinst:

… jedoch steht hier mit keiner Silbe drin, dass diese Richtlinie selbst, auch nur ansatzweise den Stand der Technik definieren würde!

Ja, so ist das auch, denn nur weil sich eine Richtlinie laut dem Gesetzgeber an den Stand der Technik halten muss, bedeutet das noch lange nicht, dass diese Richtlinie nun auch den Stand der Technik selbst mit definieren würde.

Denn Inhalt bestimmt schon die KBV, nur bestimmt die KBV damit jedoch keineswegs was auch wirklich Stand der Technik ist, weil sie eben die KBV ist. 🙃

Das traurige Ergebnis, das verbleibt ist, dass dem Kollegen @knurrhahn in seiner Ausgangsfrage nicht wirklich geholfen wurde, fürchte ich. Und ich bekenne mich mitschuldig!

Last ihn das mal selber beurteilen. Denn du bist hier höchstens für deine eigene Meinung zuständig und ganz sicher nicht für die der anderen.

Und was den Rest angeht …

…

… .

Quelle:
bsi.bund.de/SharedDocs/Downloads/DE/BSI/DigitaleGesellschaft/Cyb ...
😉

Gruss Alex

Moin @nachgefragt,

LINCE-Zertifizierung, für die Häkchenmänner.

ja natürlich, weil eine spanische LINCE-Zertifizierung ja auch so viel Bedeutung bei uns in Deutschland hat. 🙃

Gruss Alex

Zitat von @MysticFoxDE:
ja natürlich, weil eine spanische LINCE-Zertifizierung ja auch so viel Bedeutung bei uns in Deutschland hat. 🙃

Zertifizierung sind für'n ... , sehr viele zumindest. Die Lächerlichkeit von so mancher (jährlichen) Zertifizierung ist gar nicht in Worte zu fassen, Sinn und Zweck meist komplett verfehlt. Aber dafür sind deutsche Gesetzgeber berühmtberüchtigt.

Moin Zusammen,

noch ein kleiner allgemeiner Nachtrag zu der BSI Studie ...

bsi.bund.de/SharedDocs/Downloads/DE/BSI/DigitaleGesellschaft/Cyb ...

... die ich zuvor ja schon erwähnt habe.

Liebes BSI,

es ist ja schön, dass euch aufgefallen ist, das in vielen Praxen z.B. Dinge wie SSL-Inspection, DPI und IDS/IPS nicht wirklich so umgesetzt ist, wie Ihr euch das eigentlich wünscht.

Aber ... ist Euch schon mal in den Sinn gekommen, dass das vielleicht auch daran liegen könnte, weil genau diese Dinge, in der entsprechenden Verordnung der KBV, an der Ihr ja übrigens mitgearbeitet habt, nicht mal mit einer Silbe erwähnt werden? 🤨

Gruss 🦊

😔

Gruss Alex

Moin @nachgefragt,

ja ... leider. 😔😭

Gruss Alex

Ich teile in technischer Hinsicht grundsätzlich Deine Auffassung, @MysticFoxDE dass die IT-Sicherheitsrichtlinie kein großer Wurf ist.

Es war im Übrigen zu erwarten, dass Du meiner (klar juristischen) Erläuterung nicht zugänglich bist, denn

a) Dir fehlen die Werkzeuge, die juristischen Zusammenhänge selbst zu beurteilen. Deshalb rekurrierst Du, wie auch in vielen anderen Threads (immer wenn Du Deine Kompetenz vermeintlich in Frage gestellt siehst) in ermüdender Weise auf Deine persönlichen Werkzeuge.
Diese sind aber nicht der Maßstab zur Beurteilung eines gesetzlich determinierten Verwaltungsvorganges.

b) bist Du diesem Forum hinlänglich dafür bekannt, von Deiner einmal gefassten persönlichen Auffassung grenzenlos überzeugt zu sein. Sei sie auch noch so sachfremd hergeleitet - Du schreibst sie Dir schön. Wenn Du die Schwäche der Argumentation selbst fühlst, neigst Du dazu, sie mit Ausfällen à la

Sprich, ja ... Witz komm raus du bist umzingelt. 🙃

oder Überheblichkeiten à la

das ist schlichtweg ein Blödsinn den sich die KBV selbst ausgedacht hat.

anzureichern.

So kennt man Dich hier, deshalb ist es nicht verwunderlich, dass Du meine Erläuterung nicht verstehst. Ich habe sie auch nicht für Dich geschrieben

Dein (erwartetes) Hadern mit dem BSI

Liebes BSI, ...

hatte ich ja im Part

Ein Geheimnis am Ende bleibt ungelüftet:

schon angesprochen. Auch wenn ich das als ungeklärt beschrieben habe: Sei sicher, dass das BSI um die Inhalte der Richtlinie weiß, wenn der Gesetzgeber seine Zuarbeit anordnet

Der Punkt ist, dass Du, in Deiner herausragenden Selbstbezogenheit, Schwierigkeiten hast, anzuerkennen, dass dort ein Gremium, bestehend aus Fachleuten verschiedener Disziplinen und Vertretern unterschiedlicher Interessen, konsensuale Entscheidungen getroffen hat. Zum gesellschaftlichen Diskurs gehört es üblicher Weise, die Position anderer zu hören und bei der Entscheidungsfindung nicht ausschließlich auf den eigenen Belangen rumzutrampeln.
Mir ist klar, dass Du das nicht verstehen kannst.

Hier eine kleine Lektüre, die ich Dir ans Herz lege:
theguardian.com/lifeandstyle/2025/jun/26/i-was-one-of-those-men- ...
Da kann fast jeder Mann was zum Nachdenken finden. Mancher mehr.

Mein Part zu den juristischen Fragen ist beendet. In den technischen Fragen (um die es dem TO IMO nur am Rande ging) sind die Auffassungen hinreichend ausgetauscht. Der weitere Verlauf dieses Threads wird belegen, ob Du Dich mit dem Artikel beschäftigt hast.

Viele Grüße, commodity

Moin @commodity,

Ich teile in technischer Hinsicht grundsätzlich Deine Auffassung, @MysticFoxDE dass die IT-Sicherheitsrichtlinie kein großer Wurf ist.

aha, du teils also meine grundsätzliche Auffassung, dass die IT-Sicherheitsrichtlinie kein großer Wurf ist und dennoch bist du der Ansicht, dass diese so, …

> schon angesprochen. Auch wenn ich das als ungeklärt beschrieben habe: Sei sicher, dass das BSI um die Inhalte der Richtlinie weiß, wenn der Gesetzgeber seine Zuarbeit anordnet

… , zumindest juristisch gesehen trotzdem korrekt ist, weil sie ja von einem ach so kompetenten Gremium erstellt wurde. 🙃

By the way, der BVITG (Bundesverband Gesundheits-IT) hält von der jetzigen Fassung der KBV Richtlinie …

bvitg.de/wp-content/uploads/2024-12-10_Kommentierung-IT-Sicherhe ...

… auch nicht wirklich sehr viel.

Besonders witzig finde ich den folgenden Artikel …

handelsblatt.com/technik/medizin/inside-digital-health/it-sicher ...

„Industriekreise gehen nun auf die Barrikaden. Die Anforderungen entbehrten jeder Logik, heißt es. „Es macht mich sprachlos. Das muss von einem betrunkenen IT-Azubi im ersten Lehrjahr geschrieben worden sein“, sagt ein langjähriger Branchenvertreter.“

… und selbst ein betrunkener IT-Azubi, hätte das wahrscheinlich besser hinbekommen.

Und am interessantesten und auch informativsten, ist der folgende Podcast, bei dem der IT-Sicherheitsexperte Martin Tschirsich, der unter anderem für den Chaos Computer Club aktiv ist …

aerztezeitung.de/Podcasts/Greift-die-IT-Sicherheitsrichtlinie-zu ...

… auch zu Wort kommt und auch einige juristische Dinge diesbezüglich erwähnt. 😉

Es war im Übrigen zu erwarten, dass Du meiner (klar juristischen) Erläuterung nicht zugänglich bist, denn

Sorry, aber an deiner Erläuterung ist juristisch gesehen überhaupt nichts klar, ausser vielleicht für dich selber. 🙃

a) Dir fehlen die Werkzeuge, die juristischen Zusammenhänge selbst zu beurteilen. Deshalb rekurrierst Du, wie auch in vielen anderen Threads (immer wenn Du Deine Kompetenz vermeintlich in Frage gestellt siehst) in ermüdender Weise auf Deine persönlichen Werkzeuge.
Diese sind aber nicht der Maßstab zur Beurteilung eines gesetzlich determinierten Verwaltungsvorganges.

Natürlich, nun fehlen mir selbstverständlich die irgendwelche Werkzeuge um die juristischen Zusammenhänge besser beurteilen zu können, die du ja natürlich besitzt.

Ähm, was sind das den genau für Werkzeuge?

b) bist Du diesem Forum hinlänglich dafür bekannt, von Deiner einmal gefassten persönlichen Auffassung grenzenlos überzeugt zu sein.

Ich denke eher, dass jeder ausser dir bereits schon selbst gemerkt hat, wer hier tatsächlich zu sehr von sich selbst überzeugt ist.

Sei sie auch noch so sachfremd hergeleitet - Du schreibst sie Dir schön. Wenn Du die Schwäche der Argumentation selbst fühlst, neigst Du dazu, sie mit Ausfällen à la

Sprich, ja ... Witz komm raus du bist umzingelt. 🙃

Das mit dem Witz kam erst nach den Argumenten, kannst es ja oben selber nochmals nachlesen. 😉

oder Überheblichkeiten à la

das ist schlichtweg ein Blödsinn den sich die KBV selbst ausgedacht hat.

anzureichern.

Es ist auch ein Blödsinn, weil die KBV ganz sicher keinen Stand der Technik in der IT definiert, sondern nach den Stand der Technik lediglich eine Verordnung hätte erstellen sollen, was die jedoch nicht wirklich so wie gefordert auf die Reihe bekommen hat.

So kennt man Dich hier, deshalb ist es nicht verwunderlich, dass Du meine Erläuterung nicht verstehst. Ich habe sie auch nicht für Dich geschrieben

Für wie viele von dir spricht du eigentlich genau?

Dein (erwartetes) Hadern mit dem BSI

Liebes BSI, ...

hatte ich ja im Part

Ein Geheimnis am Ende bleibt ungelüftet:

schon angesprochen. Auch wenn ich das als ungeklärt beschrieben habe: Sei sicher, dass das BSI um die Inhalte der Richtlinie weiß, wenn der Gesetzgeber seine Zuarbeit anordnet

Wenn du den oben angesprochenen Podcast vom Martin Tschirsich dir mittlerweile angehört hast,
dann solltest du nun wissen wie es zu diesem Schlamassel gekommen ist.

Sei mir nicht böse, aber sämtlich deiner bisherigen Aussagen, haben mir bisher nur bewiesen, dass du von der bisher hier besprochenen Materie, nicht wirklich einen Plan hast, sondern höchstens vorgibst einen zu haben.

Hier eine kleine Lektüre, die ich Dir ans Herz lege:
theguardian.com/lifeandstyle/2025/jun/26/i-was-one-of-those-men- ...
Da kann fast jeder Mann was zum Nachdenken finden. Mancher mehr.

Na dann fang mal selber an zu suchen und auch endlich mal nachzudenken. 😉

Mein Part zu den juristischen Fragen ist beendet.

🙏

In den technischen Fragen (um die es dem TO IMO nur am Rande ging) sind die Auffassungen hinreichend ausgetauscht. Der weitere Verlauf dieses Threads wird belegen.

Und auch das, bestimmst hier ganz sicher nicht du und ich übrigens auch nicht.

Gruss Alex

Nimm einfach Securepoint. Deutsches Produkt, immer aktuell und einen exzellenten Support. Allein dieser rechtfertigt die paar Euronen im Jahr. Darüber bietet die UTM-Firewall weitaus mehr, als nur Firewallfunktionalität. Nicht a. der falschen Ecke sparen – es geht um Sicherheit.

Moin @temuco,

Nimm einfach Securepoint. Deutsches Produkt

ob Securepoint wirklich noch Deutsch ist, ist so aber nicht mehr wirklich ganz eindeutig.

Denn seit September 2018, gehört der Grossteil von der Securepoint GmbH, der Maxburg Capital Partners.

Die wiederum, ...

maxburg.com/portfolio/

... investieren in alles mögliche und sind wie die meisten anderen Investoren, wahrscheinlich auch nur an einer möglichst dicken Marge interessiert. 😔

Ferner gibt es über die wahren Kapitalgeber der Maxburg Capital Partners, stand heute überhaupt keine öffentlichen Infos. 😔

Bei Sophos sieht es diesbezüglich jedoch auch nicht viel besser aus, denn die gehören zu 100%, diesen ...

thomabravo.com/

... Wirtschaftsheinis. 😭

Und einen anderen grosser Teil der IT Software- oder Hardware-Hersteller, wie z.B. Broadcom, DELL, Cisco Systems, Hewlett Packard Enterprise oder auch die Software AG, gehört mittlerweile Silverlake, Blackrock, Vanguard Group & Co. 🤢🤮

Gruss Alex

Ein Großteil? Wo steht das? Kapitalbeteiligung ist was anderes als "Gehört der ..."

Moin @temuco,

Ein Großteil? Wo steht das?

Zum Beispiel hier ...

silverlake.com/portfolio/

... und der Rest lässt sich dank Google & Co auch recht einfach recherchieren.

Kapitalbeteiligung ist was anderes als "Gehört der ..."

Ja, das simmt, entscheidungstechnisch ist die Kapitalbeteiligung jedoch fast wesentlicher. 😔

Gruss Alex

Zitat von @MysticFoxDE:

Moin @temuco,

Ein Großteil? Wo steht das?

Zum Beispiel hier ...

silverlake.com/portfolio/

Wahrscheinlich habe ich Kartoffeln in den Augen. Wo genau steht was über Securepoint?

... und der Rest lässt sich dank Google & Co auch recht einfach recherchieren.

Kapitalbeteiligung ist was anderes als "Gehört der ..."

Ja, das simmt, entscheidungstechnisch ist die Kapitalbeteiligung jedoch fast wesentlicher. 😔

Nein, das ist nicht grundsätzlich so.

Nun habe ich wenig Lust, selbst im Internet danach zu suchen, so dass ich ChatGPT gefragt habe:

Quelle: KI

> Wem gehört Securepoint? Was hat Securepoint mit Maxburg und Silverlake zu tun?

Securepoint ist ein inhabergeführtes IT‑Security‑Unternehmen mit Sitz in Lüneburg (gegründet 1997 von Lutz Hausmann) und bietet Lösungen wie UTM-Firewalls, E‑Mail-Archivierung, Antivirus und Mobile-Security ([securepoint.de][1]).

---

🏢 Wer gehört Securepoint heute?

Seit September 2018 hält Maxburg Capital Partners (über den Fonds Maxburg Beteiligungen III) eine Mehrheitsbeteiligung an Securepoint. Dies geschah im Rahmen eines Bieterverfahrens – die Eigentümerfamilie Hausmann blieb aktiv in der Geschäftsführung (Claudia und Lutz Hausmann) ([rautenbergco.com][2]).

Der Einstieg erfolgte offiziell zum 10. September 2018 .
Maxburg war damit das neunte Investment seines Fonds für Mittelstandsunternehmen ([ehw-partners.com][3]).
Der Anteil der Gründer wurde reduziert, aber sie beteiligen sich weiterhin – Securepoint bleibt somit weiterhin “inhabergeführt” mit Unterstützung eines starken Finanzpartners ([ehw-partners.com][3]).

Maxburg Capital Partners wird von der RAG‑Stiftung als Ankerinvestor unterstützt ([ehw-partners.com][3]).

---

🔗 Was haben Maxburg und Securepoint gemeinsam?

Die Beteiligung von Maxburg zielte darauf ab, Securepoint finanziell und strategisch zu stärken:

Nachhaltiges Wachstum: Maxburg unterstützt den langfristigen Ausbau zur europäischen Größe bei stärkem Kunden-, Mitarbeiter- und Partnerfokus ([ehw-partners.com][4]).
Know‑how und Netzwerk: Mit ihrem Investmentmandat möchte Maxburg gezielt profitable Mittelstandsunternehmen wie Securepoint fördern ([ehw-partners.com][3]).
Begleitung durch Berater: Der Deal wurde von Corporate-Finance-Beratungen wie Carlsquare und Rautenberg & Co. begleitet, um Kaufprozess, Marktstudien und Closing optimal zu steuern .

---

❓ Und was ist mit Silverlake?

Es gibt keinen öffentlichen Zusammenhang zwischen Securepoint und dem US‑Investmentunternehmen Silver Lake. Bei der Übernahme 2018 war ausschließlich Maxburg Capital Partners beteiligt. Silver Lake taucht weder in Pressemitteilungen noch bei Beteiligungs- oder Finanzierungsrunden von Securepoint auf. Aktuell gibt es keine Anzeichen, dass Silver Lake in Securepoint investiert hätte.

---

🧾 Zusammenfassung tabellarisch

| Beteiligter      | Beziehung zu Securepoint              | Zeitpunkt                   |
| ---------------- | ------------------------------------- | --------------------------- |
| **Hausmanns**    | Gründer + aktive Geschäftsführung     | seit 1997                   |
| **Maxburg CP**   | Mehrheitseigentümer / Finanzpartner   | Einstieg 10. September 2018 |
| **RAG‑Stiftung** | Ankerinvestor im Maxburg‑Fonds        | seit Fondsauflegung         |
| **Silver Lake**  | Kein Bezug zu Securepoint nachweisbar | –                           |

---

Wenn du konkrete Details zu Unternehmensanteilen, aktuellen Gesellschafteranteilen oder Entwicklungen nach 2018 wissen möchtest, sag einfach Bescheid – ich suche gerne aktuelle Informationen dazu!

[1]: securepoint.de/ueber-securepoint/referenzen?utm_source=chatgpt.c ... "Diese Kunden vertrauen auf unsere Erfahrung | Securepoint"
[2]: rautenbergco.com/our-track-record/transactions/software-it/raute ... "Rautenberg & Company GmbH - Rautenberg & Company advises Maxburg Capital Partners on the investment in Securepoint."
[3]: ehw-partners.com/aktuelles/125-ego-humrich-wyen-beraet-maxburg-z ... "EGO HUMRICH WYEN berät MAXBURG zum Einstieg bei Securepoint"
[4]: ehw-partners.com/en/news/125-ego-humrich-wyen-advises-maxburg-on ... "EGO HUMRICH WYEN advises MAXBURG on investment in Securepoint"

OK. Bestimmt der Investor, wohin die Produktentwicklung geht, oder bleibt Securepoint eine deutsche Firma? Die Frage zielt darauf ab, dass Securepoint damit Werbung treibt, ein deutsches Produkt ohne Hintertüren zu sein.

Sehr gute und berechtigte Frage – gerade im IT-Sicherheitsbereich, wo Vertrauen, Transparenz und Datensouveränität zentrale Themen sind. Schauen wir uns das Ganze nüchtern an.

---

🔐 Ist Securepoint trotz Investor „unabhängig“?

Securepoint wirbt mit:

„100 % Made in Germany. 100 % DSGVO-konform. 100 % ohne Backdoors.“

Und tatsächlich gibt es gute Gründe zu glauben, dass dieser Anspruch trotz (oder gerade wegen) des Investors Bestand hat:

---

✅ 1. Maxburg ist ein deutscher Investor

Maxburg Capital Partners ist eine deutsche Beteiligungsgesellschaft mit Sitz in München.
Unterstützt wird Maxburg ausschließlich von deutschen Kapitalgebern, allen voran der RAG-Stiftung (also kein US-Fonds, kein chinesisches Geld usw.).
Ziel von Maxburg ist es, langfristige Mehrwerte in etablierten Mittelständlern zu schaffen – kein kurzfristiges Exit-Modell, wie es bei angelsächsischen Private-Equity-Gesellschaften üblich ist.

➡️ Fazit: Die Kapitalquelle ist deutsch und an langfristiger Entwicklung interessiert, nicht an schneller Verwertung.

---

✅ 2. Inhabergeführte Struktur bleibt erhalten

Bei der Übernahme 2018 wurde explizit betont:

„Die Gründer und bisherigen Eigentümer bleiben mit einer substanziellen Beteiligung engagiert und führen das Unternehmen weiter.“

Das bedeutet:

Die strategische Führung – inklusive Produktentwicklung – liegt weiterhin bei den ursprünglichen Machern, nicht bei anonymen Fondsmanagern.
Securepoint entscheidet eigenständig, welche Technologien entwickelt, welche Features eingebaut und vor allem welche Daten verarbeitet oder eben nicht verarbeitet werden.

---

✅ 3. Sicherheitsversprechen ist zentraler Markenkern

Securepoint lebt von seinem Versprechen:

Keine Cloud-Zwang wie bei vielen US-Konkurrenten.
Keine Verlagerung ins Ausland – Server, Software und Entwicklung in Deutschland.
Offener Umgang mit Datenschutz und vollständige Kontrolle durch den Kunden.

Wenn dieses Vertrauen gebrochen würde – etwa durch eine Einflussnahme des Investors auf sicherheitsrelevante Entscheidungen –, wäre der größte Wettbewerbsvorteil von Securepoint dahin.

➡️ Daher ist es sogar im Interesse des Investors, diesen Markenkern nicht anzutasten.

---

❌ Was wäre ein Gegenargument?

Der einzige theoretische Schwachpunkt könnte sein:

Ein zukünftiger Weiterverkauf der Anteile durch Maxburg an einen anderen (nicht-deutschen) Investor.

→ Das wäre allerdings ein ganz anderes Szenario, das derzeit nicht erkennbar ist.

---

🧾 Fazit

| Aspekt                                 | Bewertung                                                              |
| -------------------------------------- | ---------------------------------------------------------------------- |
| Investor bestimmt Produktentwicklung?  | **Nein**, operative Führung bleibt beim deutschen Management           |
| Einfluss auf Sicherheit und Backdoors? | **Sehr unwahrscheinlich**, da dies das Geschäftsmodell zerstören würde |
| Securepoint bleibt „deutsch“?          | **Ja**, sowohl in Struktur als auch in Philosophie                     |

Also bitte, nicht immer mutmaßen und durch die Blume versuchen, andere madig zu reden. Keiner weiß, was morgen passiert, aber Stand heute ist, dass Securepoint die Anforderungen des Originalposters mit Mehrwert und für relativ kleines Geld erfüllt.

Moin @temuco,

ich traue generell einem solchen Konstrukt nicht wirklich, da ich selbst in einem Unternehmen gearbeitet habe, welches durch einen riesigen Investor mal kurz geschluckt wurde.
Kurz danach kam auch kurz ein kleiner "Hype", danach wurde es für die meisten Mitarbeiter jedoch sehr bitter. 😔

Und auch das was ich bei den grossen IT-Konzernen sehe, stimmt mich nicht wirklich sehr glücklich.
Denn das meiste davon hat meiner Ansicht nach nicht mehr wirklich viel mit sinnvollem Technologievorschritt zu tun, sondern eher etwas mit so viel Geld wie möglich aus der Tasche der Kunden zu ziehen.

Ob das bei Securepoint nun anders läuft, kann ich stand jetzt nicht wirklich beurteilen, ich würde es jedoch wünschen, dass es so ist.

Gruss Alex

Wir sind seit ca. 12 Jahren Professionell Partner und kennen deren Produkte bestens und auch die Leute, die dahinter stehen, persönlich.

Hier geht es primär darum, dem OP das herauszufinden, was für ihn am geeignetsten sten ist. Nach seinem Anforderungskatalog ist die BD genau das Richtige. Ein paar Euronen mehr und er könnte auch die RC100 nehmen.

Wir sind seit ca. 12 Jahren Professionell Partner

Helf mir mal:

Preise auf der Herstellerseite?
technische Specs der FW (CPU, RAM,...) detaillierte Angaben?
Transparenz

securepoint.de/fuer-unternehmen/utm-firewall/hardware-firewalls

Ohne Preise ist es für mich kein Produkt für Kunden, sondern für Partner. Ich ich befürchte Kunden bekommen die ganze Produktpalette aufgeschwurbelt.

Bei OPNsense stell ich mir die Hardware skalierbar zusammen, egal wo, und Hardware Appliance lass ich ab sofort hinter mir; alle zu teuer und ohne Lizenz kann man die Hardware in die Tonne schmeißen.

Nur 1Gb SFP (NAS Standard 2,5-10Gb) hat, nur Wifi5,... irgendwie alles von gestern bei Securepoint.

Also erstmal mit einer kostenlosen OPNsense CE Lizenz starten und dann schauen, wo was fehlt. Würde mich interessieren, aber bitte kein Vertriebsgeschwurbel, sondern aus Endkunden- und Administrationssicht.

Das Geschäftsmodell sieht vor, den Verkauf und Support ausschließlich über autorisierte Fachhändler abzuwickeln – Direktvertrieb an Endkunden ist bewusst nicht vorgesehen.

Die Geräte sind sowohl als Kauf- als auch Mietmodell erhältlich. Bei der Miete besteht während der gesamten Vertragslaufzeit ein vollumfänglicher Anspruch auf Ersatz im Fehlerfall. Diese Variante ist aus praktischer und wirtschaftlicher Sicht eindeutig zu bevorzugen.

Empfehlenswert ist insbesondere das Modell Black Dwarf Pro G5 – leistungsstärker, mit vier GBit-Anschlüssen und ausreichend Reserven für professionelle Anforderungen. Natürlich sind auch verschiedene VPN-Technologien, Reverse-Proxy, HTTP-Proxy, Webfilter, Antivirus und weitere Sicherheitsfunktionen integriert – also deutlich mehr als nur ein zusammengebasteltes Open-Source-Firewallchen.

Was die Kosten betrifft: Die exakten Endkundenpreise habe ich gerade nicht parat, aber man sollte für ein Jahr mit etwa 700 € netto rechnen. Hinzu kommen weitere Posten wie Einrichtung, Schulung und – je nach Anspruch – auch Überwachung und Wartung.

Kurzum: Eine Lösung für professionelle Anwender mit ernsthaftem Sicherheitsinteresse – weniger geeignet für jene, die lieber selbst frickeln, alles besser wissen und mit Stolz keinen Cent in die IT-Sicherheit investieren möchten.

Zitat von @temuco:
ausschließlich über autorisierte Fachhändler

Ein dickes Haar in der Suppe für mich, K.O. Kriterium.
Fehlende Preise auf der Herstellerseite sind ein fader Beigeschmack.

Bei der Miete besteht während der gesamten Vertragslaufzeit ein vollumfänglicher Anspruch auf Ersatz im Fehlerfall.

Klassischer Mietbestandteil eben, nichts außergewöhnliches, wie bei meiner Fritzbox. Mieten kann man u.a. bei Thomas Krenn auch.

Die Analyse des Fehlerfalls vom autorisierte Fachhändler ist sicherlich nicht kostenlos, wie wenn ich ein Problem mit meiner Fritzbox habe, richtig?

leistungsstärker, mit vier GBit-Anschlüssen

Oje - "leistungsstärker" nur 4 Gb Anschlüsse = 100% Vertriebsgeschwurbel

Weder 2,5 noch 10 Gb, Wifi 5,... alles von vorgestern. Ich kann also weder meinen 2,5Gb Fritbox Anschluss nutzen oder meine 10Gb NAS anstecken.

Das Fehlen der detaillierten Specs der Hardware ist für mich auch ein Zeichen, diese Geheimhaltung schreckt mich ab. Ich bin aber auch neugierig und will wissen was in der Büchse steckt, die ich kaufe.

Was die Kosten betrifft
Hinzu kommen weitere Posten wie

Ok, also mal pauschal 5.000€ inkl. 2 Tage Schulung?
'+ 700€/Jahr
Wahrscheinlich werden dann noch weitere SecurePoint-Bausteine aufgeschwurbelt, die dem "Kunden von Vorteil" sind.

weniger geeignet für jene, die lieber selbst frickeln, alles besser wissen

Wow, etwas herablassend den Kollegen gegenüber. Securepoint ist das non plus Ultra, richtig?

mit Stolz keinen Cent in die IT-Sicherheit investieren möchten.

Das ist leider frustriertes Vertriebsgeschwurbel. "Dies ist die kleinste Violine der Welt und sie spielt nur für dich."

Für 5000€ kann man sich eine moderne und sicherlich performantere Hardware kaufen, OPNsense einrichten lassen(!) und wer will, für 350€/Jahr die BE kaufen.

Und nur bei Bedarf mal aktiven Support anfordern. ABER egal wo, ich hole mich gern 2-3 kritische Zweit-Drittmeinungen ein und lasse auch andere auf meine OPNsense schauen (das war bei Sophos schon extrem hilfreich und aufschlussreich).

Ich kann OPNsense empfehlen, man bezahlt direkt für das was man braucht.
UND weil man OPNsense uneingeschränkt kostenlos, auf der letzte Möhre, nutzen kann, nicht nur in der Firma, sondern auch zu Hause. Die "Frickelenden" werden von dir vielleicht unterschätzt.

Moin @temuco,

Wir sind seit ca. 12 Jahren Professionell Partner und kennen deren Produkte bestens und auch die Leute, die dahinter stehen, persönlich.

beim ersten Punkt können wir locker mithalten, jedoch mit Sophos, bei dem zweiten seid ihr klar im Vorteil.
Denn stand jetzt habe ich nur noch eine Nummer von einem deutschsprachigen Sophos Mitarbeiter, der nicht nur aus dem Vertrieb kommt. 🙃

War aber die letzten Jahre nicht wirklich ein Problem, da ich selber halbwegs gut Englisch kann.

Für Menschen die nur deutsch sprechen, kann der Sophos Support jedoch durchaus eine Herausforderung sein. Seit einiger Zeit baut Sophos jedoch Support-Kapazitäten in der EU wieder auf. Es wird jedoch noch eine Weile dauern, bis diese auch nur ansatzweise den Grossteil der EU-Support-Tickets übernehmen können. Na ja, so ist das bei den Grossen Konzernen eben. Bei Microsoft habe ich bestimmt schon seit über 20 Jahren mit keinem deutschsprachigen Techniker mehr gesprochen.

Hier geht es primär darum, dem OP das herauszufinden, was für ihn am geeignetsten sten ist. Nach seinem Anforderungskatalog ist die BD genau das Richtige. Ein paar Euronen mehr und er könnte auch die RC100 nehmen.

Die SGW’s von Securepoint taugen für diesen Zweck bestimmt genau so gut wie auch die von Sophos oder anderen vergleichbaren Anbieten, da es sich bei diesen, im Vergleich zu einer „nackten“ und vor allem kostenlosen OPNsense, wirklich um vollwertige Layer 7 Security-Gateways handelt.
Insbesondere dann, wenn die entsprechenden SGW’s auch fachmännisch eingerichtet wurden, was jedoch seine Zeit und auch die entsprechende(n) Erfahrung/Kompetenzen erfordert.

Aber das muss ich dir glaube ich nicht wirklich erzählen.

@nachgefragt möchte jedoch eine Lösung haben, die am besten so gut wie nichts kostet, die jedoch alles notwendige kann und auch keinen Aufwand verursacht, sprich, eine Eierlegendewollmilchsau, die man auch nicht füttern oder pflegen muss.

Und genau das meint er alles in einer OPNsense zu sehen …

Also erstmal mit einer kostenlosen OPNsense CE Lizenz starten und dann schauen, wo was fehlt.

… was jedoch weder vorne noch hinten passt, weil es eben keine kostenlose und pflegeleichte Eierlegendewollmilchsau gibt, vor allem nicht in der IT-Security Branche und zwar ganz egal wie sehr man sich diese auch wünschen mag.

Gruss Alex

Zitat von @MysticFoxDE:
@nachgefragt möchte jedoch eine Lösung haben, die am besten so gut wie nichts kostet

Oje, und da kommt auch die Pauschalaussage vom Sophosvertriebler

Ich weiß, der Sophos Kozmos ist noch schlimmer geworden.

Endkunden wie ich möchte eine Lösung, die ihr Geld wert ist, wo Preis/Leistung stimmt, wo man keine unvorteilhaften Kombi Pakete lizenzieren muss, wo man aktiven Support bezahlt, keine passiven Lizenzkosten die im Nirvana verschwinden... Und Sophos gehört zu 100% nicht mehr dazu, sag ich, als langjähriger Sophos Kunde.

Moin @nachgefragt,

Oje, und da kommt auch die Pauschalaussage vom Sophosvertriebler

Ich weiß, der Sophos Kozmos ist noch schlimmer geworden.

diese substanzlose Aussage, kannst du dir zukünftig schenken, denn mit ...

Endkunden wie ich möchte eine Lösung

... hast du mir den entscheidenden Tipp gegeben, in welche „Schublade“ ich dich einsortieren kann. 😁

Sei mir nicht böse, aber als "normaler" Endkunde kannst du auch nicht so einfach bei Daimler oder BMW oder VM oder Ford oder was auch immer vorbeischlappen und dir auch noch für so gut wie umme, mal kurz ein Fahrzeug abholen. 🙃

Ich sehe als Systemdienstleister duzende Umgebungen pro Jahr und zwar in den unterschiedlichsten Branchen, habe in den letzten Jahren, nach zum Teil sehr gravierenden Incidents diverseste Karren wieder aus dem Dreck ziehen müssen und du möchtest mir als Endkunde nun erzählen wie die IT-Security Welt da draussen aussieht und wie sie vor allem zu funktionieren hat ... ähm ... nein, das funktioniert so ganz sicher nicht!

Erkläre mir mal bitte, was dir das folgende ...

... genau sagt und wie du diesen Problem, vor allem mit einer kostenlosen OPNsense kompetent lösen möchtest?

Und bitte nicht schon wieder ausweichend Antworten, denn das Spielchen funktioniert bei mir nicht wirklich.

Gruss Alex

"Wes Brot ich ess, des Lied ich sing"

Und bitte nicht schon wieder ausweichend Antworten, denn das Spielchen funktioniert bei mir nicht wirklich.

😉

@nachgefragt:

Danke für deine Rückmeldung – du sprichst viele Punkte an, die in der Tat für eine technische Zielgruppe nachvollziehbar sind.

Die Securepoint-Lösungen richten sich allerdings explizit nicht an Selbstbauer, sondern an kleine und mittelständische Unternehmen, die Wert auf verbindlichen Herstellersupport, zertifizierte Updates, rechtssichere Datenschutzlösungen (Stichwort GoBD, DSGVO, KRITIS), Versicherbarkeit im Schadensfall (z. B. Cyberversicherung) und vor allem Rundumverantwortung legen.

Technik ist hier nur ein Teilaspekt – entscheidend ist:

Herstellerhaftung (z. B. bei Sicherheitslücken),
IT-Compliance & Auditsicherheit,
Verlässlichkeit im Betriebsalltag,
sowie nachvollziehbare Zuständigkeiten bei Störungen (kein Fingerpointing zwischen Bastel-Hardware, Freeware und Dienstleistern).

Was Specs angeht: Ja, keine 10 GbE und kein WiFi 6 – aber auch kein Consumer-Feature-Wettrennen, sondern Business-Stabilität. Die meisten KMU setzen auf 1 GbE, redundante Internetleitungen und haben kein 10GbE-NAS im Lager stehen – weil sie damit ihr Geschäft nicht schneller machen.

Zur Mietlösung: Die Analyse und der Austausch sind bei einem Servicevertrag mit drin – es wird nicht jedes Mal einzeln abgerechnet. Das ist genau der Unterschied zum AVM-Case.

OPNsense ist eine großartige Lösung – keine Frage. Aber wer als Geschäftsführer nachts ruhig schlafen will, weil es verbindliche Zuständigkeiten, verifizierte Updates und zertifizierten Support gibt, wird bei OPNsense irgendwann an Grenzen stoßen – nicht technisch, sondern organisatorisch.

Und genau da setzt Securepoint an: Nicht für Bastler, sondern für Betriebe.

Ich habe ebenfalls Kunden im Gesundheitswesen, daher hatte kurz mal Securepoint angeschaut.

Zitat von @temuco:

Ich meine hier ist etwas KI im Spiel, bei so mancher Formulierung

Die Securepoint-Lösungen richten sich allerdings explizit nicht an Selbstbauer

GENAU wie OPNsense!
Wusstest du, dass er von OPNsense fertige Lösungen gibt, und nicht nur aus einer Quelle, man hat also noch mehr Auswahl?

Hardware Appliance hatte ich bisher auch, gern nie wieder.

Wir sind vielleicht nicht konform was den Vorteil in der Praxis betrifft, wenn man hardwareunabhängig und kostengünstig ein skalierbares System aufbauen darf, macht bei mir Hardware Appliance zur Red Flag. Man lernt nie aus

Ich muss dann mal 25Gb oder 100Gb nachrüsten, wenn die neuen Server kommen, oder oder oder.

Die meisten KMU setzen auf 1 GbE

Kennst du alle KMUs um diese Aussage treffen zu können?
2025 ohne 10Gb Anschluss? In meiner Welt jedenfalls nicht, im Mittelstand sicher 3x nicht.

verbindliche Zuständigkeiten, verifizierte Updates und zertifizierten Support gibt

Just a peace of paper, ich kenne die Praxis, sieht meist ganz anders aus. Da ich auch zertifiziert bin, kenn ich auch den Anspruch hinter dem Zertifikat.

OPNsense irgendwann an Grenzen stoßen – nicht technisch,

Sehr schön formuliert, denn die Hardwareauswahl von Securepoint ist derart von vorgestern, dass die in meinem Fall gar nicht in Frage käme.

sondern organisatorisch

Organisatorisch sehe ich mit OPNsense am wenigsten Probleme

modulare Erweiterbarkeit der Hardware nach Bedarf (Bandbreite, Schnittstellen,...)
modulare Erweiterbarkeit in punkto Software (kostenlos, kostenpflichtig)
mehr Dienstleistungsangebote (bis enterprise support)
tolle Entwicklung, auch kostenlos docs.opnsense.org/releases.html

Nicht für Bastler, sondern für Betriebe.

Nicht für Betriebe, sondern für Partner:

gesicherte Kundenbindung da kein Direktvertrieb
skalierbare gesicherte Marge
Lizenzerweiterung /-module für ein breiteres Absatzfeld und noch mehr Kundenbindung
Schulungsunterlagen nicht frei verfügbar

Was ist dein Problem? Mach OPNsense und sei glücklich damit. Ich hoffe, du hast eine GmbH, um im Schadensfall den Verlust zu begrenzen. Bist du ein Einzelunternehmer, haftest du mit Haus und Hof dafür.

Da steckt so viel Unwahrheit drin.
Das ist leider nicht unüblich, dass Vertriebsgeschwurbel Kunden extrem verunsichert, u.a. OPNsense sei nicht ausreichend,... .

Jooo stimmt! Ich vergaß – OPNsense ist nicht nur kostenlos, sondern auch gleich ein Audit-Wunderwerk, DSGVO-ready out-of-the-box und natürlich vollumfänglich haftungssicher, wenn mal was schiefgeht… ist klar!

Sei mal ehrlich: Technik ist doch nur ein kleiner Miniteil der Wahrheit. Aber wenn man glaubt, IT-Sicherheit endet beim erfolgreichen Bootvorgang und dem Ping nach heise.de, dann ist OPNsense natürlich absolut ausreichend. Passt! 😉

Die meisten Firmen da draußen wollen aber keinen Bastelbaukasten, sondern jemanden, der sich kümmert, wenn’s brennt – und nicht eine Community, die erst mal „Logs oder es ist nicht passiert“ ruft.

Haftung? Klar, du kannst als Einzelunternehmer natürlich OPNsense nutzen. Ist günstig, sieht supercool aus – und wenn der Datenschutzbeauftragte oder die Versicherung fragt, wie du’s abgesichert hast, sagst du einfach:

„Ich hab’s selbst gemacht. Mit ganz viel Liebe.“

Kommt sicher super an. (Ich brech zusammen.)

Natürlich kannst du alles selbst machen – Backup, IDS, IPS, Reverse Proxy, VPN, Richtlinien, Policy-Management, Zertifikatsverwaltung, Reporting, Pflege, Support, Patches und so weiter... Aber irgendwann stellst du fest: Du bist der Hersteller. Der Dienstleister. Der Krisenmanager. Und der Haftungsträger. Alles in Personalunion. Gratulation! Supertech.

Also mach OPNsense, wenn du magst – ich gönn’s dir wirklich. Vielleicht hört man von dir in den Nachrichten, wenn wieder ein Unternehmen gehackt wurde.

Aber tu bitte nicht so, als wär das automatisch die Lösung für alle anderen. Nicht jeder hat Lust, nachts um drei vorm Monitor zu hocken und Logfiles zu lesen, während die Geschäftsleitung fragt, warum der Laden stillsteht.

Kapito?

Zitat von @temuco:
Die meisten Firmen da draußen wollen aber keinen Bastelbaukasten, sondern jemanden, der sich kümmert, wenn’s brennt – und nicht eine Community, die erst mal „Logs oder es ist nicht passiert“ ruft.

Das ist kompletter Schwachsinn, man findet ausreichend Unterstüzung für OPNsense, Wartung, Enterprise Support,... wahrscheinlich mehr Dienstleister als bei Securepoint.

Da braucht man auch nicht als letzten Rettungsanker die betrohlichen Gewitterwolken auffahren:

Problem, Schadensfall, Verlust, haftest du

Für mich als neugieren Interessent wirkt SecurePoint für Partner gemacht, nicht für Endkunden, hinter einem schleierhaften Vorhang mit veralteter Hardware und saftigen Preisen, eben ein Gesamtkonzept für Partner.

Was du als SP Partner mit dem Feedback anfängt, die KI hat's für dich doch so schön formuliert.

Als wäre mit Securepoint, Palo Alto, Cisco, Watchguard, Fortinet, Sophos alles Out-of-the-Box... mit Nichten. Selten so einen Schwachsinn gelesen. Wenn du eine Firma bist, die nicht ihr Geld mit IT verdient, dann ist es egal ob OPNsense oder irgendeine andere Hardware-Appliance.... dann brauchst du Support.

pfSense und OPNsense gelten als die sichersten Appliances die es gibt. Noch sicherer geht es nur wenn du dein Linux/Unix selbst baust und jede Komponente selbst kompilierst. Allerdings ist pf/OPNsense auch nur so stark wie das schwächste Glied, heißt die anderen OpenSource-Projekte, auf denen diese Appliances aufbauen müssen in puncto Sicherheit nachziehen. Während große Hersteller mit ständigen Sicherheitslücken zu kämpfen haben, siehe erst vor kurzem mehrfach bei Palo Alto, habe ich noch nie gehört oder gelesen das im großen Stile OPNsense-Firewalls gehackt wurden.

Auch Sophos war schon öfters in den Medien. Securepoint war es in der Vergangenheit auch schon das ein oder andere Mal, weniger häufig. 2023 das letzte Mal und da konnte man sehen das die auch nur mit Wasser kochen, da war nämlich der selbe Bug im SSL-Client wie es auch im OpenSource vorgekommen ist. Welch Wunder.

Der einzige Unterschied den es gibt ist der: Persönlicher Geschmack des Dienstleisters/Vertrieb.

Nichts weiter. Ich behaupte mal, das 90% des Codes der Appliances von den großen Herstellern OpenSource ist, die nur geringfügig angepasst wurden. Closed Source sind dort jene Erweiterungen die es dann erst zu einem Service-Produkt machen, nämlich Viren-Erkennung, Anti-Spam, Mail-Gateway, Anti-DDoS, individuelle WebGUI, usw.

Niemand kann sich mit allem auskennen. Deshalb wird ein Systemhaus oder Dienstleister meist auf eine Sparte einschießen. Vielleicht noch eine zweite um ein größere Abdeckung zu erzielen. Aber das war es dann und das geschieht nach Gutdünken.

Bei OPNsense kannst du die selben Sachen erreichen wie in SecurePoint oder Sophos. Allerdings ist der Weg steiniger. Wenn der OP sogut wie nichts konfigurieren will und dies scheut, muss er eben mehr Geld auf den Tisch legen und eine Hardware-Appliance kaufen wo bestimmte Default-Paramter schon vom Hersteller gesetzt sind. Das ist der Service für den er zahlt. Aber ganz ohne Kenntnisse wird er auch diese Firewall nicht eingerichtet bekommen.

Kurzum: Eine Lösung für professionelle Anwender mit ernsthaftem Sicherheitsinteresse – weniger geeignet für jene, die lieber selbst frickeln, alles besser wissen und mit Stolz keinen Cent in die IT-Sicherheit investieren möchten.

Vertriebler-Gelaber aus der Kellerschublade. Au weia. Fehlt nur noch das (früher) häufige "Linux ist Frickelei" - Ach nein, das kann man heute nicht mehr - die tollen "Appliances", die man gern verkauft, laufen ja unter Linux... (allerdings oft einem recht alten).
Eine echte Hilfe für den TO wäre es, sich mit den Vor- und Nachteilen verschiedener Produkte im Praxisalltag auseinander zu setzen. Das kann man aber nicht, wenn man "professional" exlusiv für einen Hersteller am Markt steht und dieses Forum zum Marketinginstrument herabqualifiziert.

Ich kenne alle drei hier diskutierten Systeme aus der Praxis und kann für mich eine klare Reihenfolge in der Usability aufstellen: OPNSense -> Sophos ->Luft -> sehr viel Luft -> Securepoint. Letzeres System ist für mich aus administrativer Sicht, das was der Kollege vom Vertrieb als "Frickelei" bezeichnet. Der einzige Vorteil von Securepoint ist IMO, dass es so schwach verbreitet ist, dass es nicht im Fokus der Hacking-Branche steht. Wenn man sieht, wie mäßig das Interface programmiert ist (und mit was für "fortschrittlicher" Hardware da gearbeitet wird (s.o.), würde ich auf das Innenleben (sprich) die Sicherheit des Gerätes nicht wirklich wetten. Ich bin ja wirklich kein Freund vom UTM-Kram, aber Sophos und Securepoint gegeneinander zu vergleichen ist wie Audi gegen Tatra.

Wer meint, mit "deutscher" IT-Technologie werben zu müssen, bedient allein die Gefühle der im IT-Mittelalter lebenden Kunden. In einem Administrator-Forum finde ich das immer eher peinlich. So ähnlich labert auch der SAP-Vertreter. Wo sind denn Deutschlands IT-Technologiekompetenzen am Weltmarkt?

Für den TO ist das am Ende alles Wumpe. Er kann kaufen, was er will: Sein System wird dadurch nicht besser - sondern dadurch, dass er das, was er nimmt, beherrscht und vernünftig administriert.

Viele Grüße, commodity

Moin @nachgefragt,

Da ich auch zertifiziert bin, kenn ich auch den Anspruch hinter dem Zertifikat.

und für was genau hast du den ein Zertifikat?

By the way, du schuldest mir immer noch eine ...

Kann KI helfen, über "NET.3.2 Firewall" die Eigenschaften von Firewalls zu vergleichen?

... Antwort.

Oder ist dieser Punkt, der übrigens vom BSI kommt, deiner Ansicht nach nicht wirklich relevant? 🤨

Gruss Alex

Leute, ich liebe Open Source. Ehrlich. Ich verwende selbst Linux (in erste Linie Ubuntu-Server) – nicht nur zum Rumklicken (unter Ubuntu-Server gehts nichj), sondern für produktive, geschäftskritische Anwendungen, die Geld verdienen müssen. Und ja, auch die laufen stabil. Aber deswegen muss ich noch lange nicht jeden Hype blind abnicken.

Im Übrigen: Securepoint basiert auf Debian. Also… wo genau ist jetzt das Problem? Nur weil’s als Appliance daherkommt, ist’s plötzlich kein „echtes Linux“ mehr? Muss es zwingend hässlich sein, damit es glaubwürdig ist?

Die UI wurde übrigens vollständig überarbeitet – aber gut, manch einer kritisiert halt gern auf Basis von Screenshots aus 2018. CLI ist da. SSH ist auch da. Wer mag, geht runter auf Debian. Also was genau fehlt jetzt noch zum Glück?

Und ganz ehrlich: Dass man sowas nicht einfach über die Ladentheke neben der Fritzi stellt, ist doch logisch. Das Ding richtet sich nicht an Selbstverwirklicher mit Patchdrang, sondern an Firmen, die Verantwortung auslagern wollen, nicht delegieren müssen – riesiger Unterschied.

Aber gut, wer seine IT-Infrastruktur über Forenmeinungen, Bauchgefühl und Bastelspaß definiert, hat sicher auch eine Meinung zu allem. Ich bleib bei meinem Punkt: Es geht nicht um Technik allein. Es geht um Zuständigkeit. Um Haftung. Um Klarheit im Fehlerfall.

Und wem das alles zu viel ist – kein Thema. OPNsense bootet schnell, sieht schick aus und kostet nix. Kann man machen. Muss man aber nicht allen empfehlen, als wär’s die Lösung für alles zwischen Kita und Konzern.

Ich find’s spannend, wie sehr man hier an Securepoint rummäkelt – Debian-basiert, deutsche Entwicklung, kein Datenabfluss, revisionssicher, BSI-konform… aber klar, es fehlt halt das Label „OpenSource = automatisch gut“.

Ich bleib dabei: Wer nachts schlafen will statt loggen, braucht was anderes als ein ISO-Image und Hoffnung.

Macht ruhig weiter – ich lese mit Popcorn. 🍿

Moin Zusammen,

ähm, zu dem Thema Appliances und Performance und veraltete Hardware und so.

Die folgende OPNsense Appliance ...

shop.opnsense.com/product/dec2752-opnsense-rack-security-applian ...

... kann zwar theoretisch 10G, sobald man jedoch auch IDS/IPS aktiviert, bricht deren Durchsatz auf ~1000MBit/s herunter.

Die SECUREPOINT RC100 G5 hingegen ...

securepoint.de/fuer-unternehmen/utm-firewall/hardware-firewalls

... schafft selbst mit TLS-Interception noch 1800 MBit/s und ist auch noch ...

wortmann.de/de-de/product/6466320/securepoint-firewall-rc100-g5. ...

... etwas günstiger. 🙃

Gruss Alex

...um dann sich durch die DSL-Leitung zu quetschen...

Ohmannomann hey ehhhh!

Moin @temuco,

...um dann sich durch die DSL-Leitung zu quetschen...

Ohmannomann hey ehhhh!

du hast doch bestimmt selbst gelesen, dass man heutzutage unter 10G quasi "out of the date" ist, daher haben bestimmt auch alle ... ähm, ja stimmt, da war doch noch was, also hat er bestimmt bei sich auch einen XG-PON oder gar einen XGS-PON Anschluss am laufen. 🙃

Weiss nicht warum, aber irgendwie muss ich jetzt an bestimmte 318er oder gar 316er Fahrer mit ihren 255 Schlappen und am besten noch eine 4-Rohr Klappenauspuffanlage denken. 🤪

Gruss Alex

Gruss Alex

Ja, große Töne aber nur heiße Luft aus den vier Auspuffrohren!

Was ist mit VLAN-Uplinks 10Gbit und Inter-VLAN-Routing? Ist das für dich so ungewöhnlich? Vielleicht nicht in einer Arztpraxis. Aber RZ oder Dienstleister mit virtualisierter Umgebung wo auch zwischen den VLANs gefiltert werden soll, da wirst du kein 1GBit mehr finden. Oder SDN-Anbindungen vom Provider. Sind jetzt alles Szenarien die nicht so ungewöhnlich sind, wie ich finde, wenn man nicht nur im Enduser-Bereich unterwegs ist.

Aber ich versteh schon: "Das Internet ist für uns alle Neuland."

@Fenris14
Was schrieb der OP?

...auf der Suche nach geeigneten Firewalls für Kleinstunternehmen (inzwischen für 1-10 Personen) im Gesundheitswesen erhielt ich hier in diesem Forum einige Hinweise auf sehr interssante Geräte, ...

Darum geht es. Willst du mehr Leistung, dann kannst du gerne ein größeres Gerät kaufen. Mit dem kleinsten Gerät von SP kann der OP bereits seinen Anforderungskatalog abdecken.

@knurrhahn
Die SP-Firewalls bieten einen Root-Zugang. Darüber hinaus sind sie auch clusterfähig.

Ich verstehe ja, dass man sich als Verwaltungsdampfmaschine schnell in Regulatorien, Richtlinien usw. verliert und denn Tunnelblick nicht wegbekommt, immer mit dem Finger auf den Zettel pocht...

ABER die Praxis sieht leider ganz anders aus. Nicht selten ist es ein Kompromiss aus "muss", "sollte" und "okay, dann können wir machen", um überhaupt etwas zu bewegen, Kosten und Aufwand werden gegenübergestellt, den direkten Nutzen sieht der Kunde leider nicht. "Es muss aber alles laufen" heißt es nicht selten.

Wenn dabei aber das Vertriebsgeschwurbel der Partner/Reseller hochkommt, und man sogar noch die Gewitterwolken bedrohlich aufziehen lässt, dann ist man nicht mehr ganz auf meiner Seite, die des Endkunden und des Administrators.

Ich bin statt einer 80.000€ Sophos Umgebung zu OPNsense gewechselt.
TIP und TOP sind meine ständigen Begleiter.
Ich werde weiterhin, auch im Gesundheitswesen, die verbleibenden FW (Sophos,...) gegen OPNsense tauschen.

Vielleicht lassen wir die Next Generation IT Solution & Isential GmbH mit deren mittlerweile herablassenden belächeldnden Art hier mal allein.

Moin @Fenris14,

Was ist mit VLAN-Uplinks 10Gbit und Inter-VLAN-Routing?

theoretisch ist der Einwand schon berechtigt, aber sicher nicht bei einer Praxis mit 1-10 Personen.

Ist das für dich so ungewöhnlich?

Nö, aber dann schon eher so ab 100 User und auch nur dafür um mehrere V-LAN’s über eine Schnittstelle zu bedienen und weniger damit auch die User per 10G durchkommen. Denn keiner unserer Kunden, hat Stand heute Switche mit > 1G Richtung Endbenutzer, was auch nicht schlimm ist, da normalerweise keiner der User auch nur ansatzweise 1G auslastet.

Übrigens, nur weil man eine schnellere Schnittstelle benutzt, bedeutet das noch lange nicht, dass man dadurch auch einen Vorteil hat. Denn insbesondere bei Windows, aber auch bei den Pinguinen und vor allem in virtualisierten Umgebungen, musst du bei 10G schon einige Handstände machen, damit die Latenz auch nur halb so gut ist wie bei einer 1G NIC. 😔😭

Aber RZ oder Dienstleister mit virtualisierter Umgebung wo auch zwischen den VLANs gefiltert werden soll, da wirst du kein 1GBit mehr finden. Oder SDN-Anbindungen vom Provider. Sind jetzt alles Szenarien die nicht so ungewöhnlich sind, wie ich finde, wenn man nicht nur im Enduser-Bereich unterwegs ist.

Wir sprechen hier aber nicht von einem RZ oder Dienstleister mit virtualisierter Umgebung, sondern „nur“ über die Absicherung von Arztpraxen mit 1-10 Anwendern und für die, reicht ein anständiges 1G SGW mehr als dicke aus, insbesondere dann wenn es auch richtig konfiguriert wurde.

Gruss Alex

Ach komm, das altbekannte „Vertriebsgeschwurbel“ als Argument – typisch. Als hätte man das Recht, komplette Leistung und Kompetenz von Profipartnern mit ein paar billigen Phrasen abzutun.

Dass professionelle Securepoint-Partner jährlich mindestens 1.200 Euro pro Mitarbeiter investieren, sich permanent schulen lassen und dabei nicht nur auf Technik starren, sondern ein echtes, ganzheitliches Sicherheitskonzept leben, scheint bei dir komplett unterzugehen.

Sicherheit ist kein Stück Software oder Hardware, das man einfach kauft und einsteckt. Es ist ein laufender Prozess:

Mitarbeiterschulungen beim Kunden, die wirklich was bringen
Gefahrenanalyse und permanente Risikobewertung
Testfälle, Monitoring und Auswertung in Echtzeit
Zusätzliche Bausteine wie Mailfilter mit revisionssicherer Archivierung
Antivirus, Backup und ganz viel Erfahrung, die über simple Open-Source-Installationen hinausgeht

Wer das nicht kapieren will, soll seine „80.000-Euro-Sophos-Umgebung“ behalten und weiter im Sandkasten spielen.

„nachgefragt“, deine Beiträge kommen ziemlich überheblich rüber. Würdest du dich trauen, echten Leuten von Angesicht zu Angesicht in genau diesem Ton zu begegnen – oder würdest du dich gleich ins Höschen machen? Solche Statements kann man getrost dorthin befördern, wo normalerweise nur rauskommt, was niemand gerne sieht.

Lieber @nachgefragt,

ich verstehe ja irgendwie, dass du hier krampfhaft versuchst dein bisheriges Gebastelt zu verteidigen aber ...

Wenn dabei aber das Vertriebsgeschwurbel der Partner/Reseller hochkommt, und man sogar noch die Gewitterwolken bedrohlich aufziehen lässt, dann ist man nicht mehr ganz auf meiner Seite, die des Endkunden und des Administrators.

... falls es dir noch nicht aufgefallen ist, das Folgende ...

Quelle:
bsi.bund.de/SharedDocs/Downloads/DE/BSI/DigitaleGesellschaft/Cyb ...

... kommt nicht von mir, sondern ist eine Handlungsempfehlung des BSI und zwar ganz unabhängig jeglichen Herstellers.

Also, wie möchtest du nun mit deiner OPNsense dieser Bedrohung, deren mögliches Schadenspotenzial vom BSI als Kritisch und deren Ausnutzungsmöglichkeit als Einfach eingestuft wird, denn nun kompetent entgegen wirken?

Oder glaubst du im Ernst, dass in einem Schadensfall, dasselbe Gelabere was du hier bisher gebracht hast, auch nur eine Sau interessiert? 🤨

Ich bin statt einer 80.000€ Sophos Umgebung zu OPNsense gewechselt.

Wenn du von einem Sophos SGW ohne Probleme auf eine OPNsense wechseln konntest, dann bedeutet das lediglich, dass du zuvor bei dem Sophos SGW höchstens dessen Basics verwendet hast und wenn das so ist, dann bist du selber schuld, dass du 80.000€ für einen Sportwagen gezahlt hast, mit dem du jedoch höchstens in der Stadt rumgegurkt bist. 🙃

Gruss Alex

(Sophos Mitarbeiter)
Nachdem hier auf dieser Seite 95 mal Sophos erwähnt wurde, dachte ich - Vielleicht leiste ich mal meinen Beitrag zu dieser Diskussion.
Vorab: Ich werde nicht auf die "Meinung" von einer gewissen Person in diesem Thread mehr eingehen. Das hat kein zielführenden Sinn für die Diskussion. Jeder kann seine Meinung haben und diese auch öffentlich weitertragen. Ob das wirklich alles so wahr ist, kann jeder selbst entscheiden.

Was mir persönlich aber in der ganzen Diskussion ja zu kurz kommt: Es wird von (Arzt)Praxen gesprochen - bedeutet, 1-10 User. Diese gibt es wie Sand am Meer in Deutschland. Während eine Lösung wie Securepoint, OpnSense etc. gut passen, muss es auch skalierbar sein, denn in der Regel hat eine Praxis auch einen IT Dienstleister (bzw. sollte das haben, um die IT am laufen zu halten). Da gibt es am Markt viele Dienstleister, die sich auf diesen Bereich spezialisiert haben.
Diese Dienstleister arbeiten heutzutage häufig im MSP Gedanken, ein Paket für den Kunden - ein Preis (pro Monat) für alles (Firewall, Endpoint, Clients, Server, Anbindungen, Dienstleistung, etc.) - Ein Preis der sich am Ende auch für den Kunden lohnt.
Nun haben MSP Partner jedoch die Herausforderung, jeder Klick, den man tut, benötigt Ressourcen, die am Ende Geld kosten und die Marge schmälert. Wenn ich nun überlege, ich skaliere mein Umfeld auf 50 Praxen - 50 mal die Firewall aufzusetzen und zu pflegen könnte ggf. zu teuer werden, weil ich alle 50 manuell anfassen muss, installieren muss, pflegen muss, aktualisieren muss etc.

Aus Sophos Sicht bieten wir hier mittel und Tools an - Aus Betrieblicher Sicht (Updates, management etc) wie auch Lizenzierungssicht.

Ich denke, für eine einzelne Praxis ist es kein Problem, eine OpnSense einzusetzen, diese zu installieren und zu pflegen, wenn das jemand macht, der daran Spaß hat. Aber das auf viele Praxen zu skalieren, könnte ein Thema sein.

Alleine in meinem Regionalen Umfeld gibt es 3 große Health Care Partner, die IT komplett übernehmen, egal in welcher Praxis man ist (Zahnarzt, Hausarzt etc). man sieht überall deren Aufkleber.
Und dieser Kontext muss Berücksichtigt werden bei dieser Diskussion.

Nun meine persönliche Meinung: Ich finde es sehr gefährlich, IT (Security) auf die Schultern von jemand zu legen, dessen Job das nicht ist. Ich kann mir nicht vorstellen, eine Arzt Praxis hat einen IT Person. Da nun jemanden hinzusetzen, klingt für mich nach "Du machst doch zuhause was mit Computern, mach doch gerade noch die IT mit". So etwas gehört im Jahre 2025 in die Hände von IT Personal, wenn das nicht existiert (was auch ok ist), zu einem Dienstleister.
Ja - Die wollen Geld für die Dienstleistung, aber dafür erhält man auch den Service.
Ich als Privatperson möchte nicht, dass meine Gesundheitlichen Informationen einfach abgegriffen werden, weil jemand entschieden hat "Hersteller X wird schon ausreichend sein" und sich mit dem Produkt nicht auseinandergesetzt hat.

Bezüglich auch dem Post von Heise zu Pacific Rim: Die Timeline von Pacific Rim liest sich immer gut, um ein Verständnis dafür zu bekommen, was Sophos eigentlich "genau" gemacht hat: news.sophos.com/en-us/2024/10/31/pacific-rim-timeline/

Zitat von @LucarToni:

(Sophos Mitarbeiter)
Nachdem hier auf dieser Seite 95 mal Sophos erwähnt wurde, dachte ich - Vielleicht leiste ich mal meinen Beitrag zu dieser Diskussion.
Vorab: Ich werde nicht auf die "Meinung" von einer gewissen Person in diesem Thread mehr eingehen. Das hat kein zielführenden Sinn für die Diskussion. Jeder kann seine Meinung haben und diese auch öffentlich weitertragen. Ob das wirklich alles so wahr ist, kann jeder selbst entscheiden.

Was mir persönlich aber in der ganzen Diskussion ja zu kurz kommt: Es wird von (Arzt)Praxen gesprochen - bedeutet, 1-10 User. Diese gibt es wie Sand am Meer in Deutschland. Während eine Lösung wie Securepoint, OpnSense etc. gut passen, muss es auch skalierbar sein, denn in der Regel hat eine Praxis auch einen IT Dienstleister (bzw. sollte das haben, um die IT am laufen zu halten). Da gibt es am Markt viele Dienstleister, die sich auf diesen Bereich spezialisiert haben.
Diese Dienstleister arbeiten heutzutage häufig im MSP Gedanken, ein Paket für den Kunden - ein Preis (pro Monat) für alles (Firewall, Endpoint, Clients, Server, Anbindungen, Dienstleistung, etc.) - Ein Preis der sich am Ende auch für den Kunden lohnt.
Nun haben MSP Partner jedoch die Herausforderung, jeder Klick, den man tut, benötigt Ressourcen, die am Ende Geld kosten und die Marge schmälert. Wenn ich nun überlege, ich skaliere mein Umfeld auf 50 Praxen - 50 mal die Firewall aufzusetzen und zu pflegen könnte ggf. zu teuer werden, weil ich alle 50 manuell anfassen muss, installieren muss, pflegen muss, aktualisieren muss etc.

Aus Sophos Sicht bieten wir hier mittel und Tools an - Aus Betrieblicher Sicht (Updates, management etc) wie auch Lizenzierungssicht.

Ich denke, für eine einzelne Praxis ist es kein Problem, eine OpnSense einzusetzen, diese zu installieren und zu pflegen, wenn das jemand macht, der daran Spaß hat. Aber das auf viele Praxen zu skalieren, könnte ein Thema sein.

Alleine in meinem Regionalen Umfeld gibt es 3 große Health Care Partner, die IT komplett übernehmen, egal in welcher Praxis man ist (Zahnarzt, Hausarzt etc). man sieht überall deren Aufkleber.
Und dieser Kontext muss Berücksichtigt werden bei dieser Diskussion.

Nun meine persönliche Meinung: Ich finde es sehr gefährlich, IT (Security) auf die Schultern von jemand zu legen, dessen Job das nicht ist. Ich kann mir nicht vorstellen, eine Arzt Praxis hat einen IT Person. Da nun jemanden hinzusetzen, klingt für mich nach "Du machst doch zuhause was mit Computern, mach doch gerade noch die IT mit". So etwas gehört im Jahre 2025 in die Hände von IT Personal, wenn das nicht existiert (was auch ok ist), zu einem Dienstleister.
Ja - Die wollen Geld für die Dienstleistung, aber dafür erhält man auch den Service.
Ich als Privatperson möchte nicht, dass meine Gesundheitlichen Informationen einfach abgegriffen werden, weil jemand entschieden hat "Hersteller X wird schon ausreichend sein" und sich mit dem Produkt nicht auseinandergesetzt hat.

Bezüglich auch dem Post von Heise zu Pacific Rim: Die Timeline von Pacific Rim liest sich immer gut, um ein Verständnis dafür zu bekommen, was Sophos eigentlich "genau" gemacht hat: news.sophos.com/en-us/2024/10/31/pacific-rim-timeline/

Mit dieser Meinung gehe ich mit. Allerdings wurde hier ein anderer Tenor zwischenzeitlich eingestimmt, der vielleicht auch die Absichten des TO nicht voll aufgegriffen hat, aber mal disktutiert werden musste. Hier wurde in den Raum geworfen und so getan, als wäre es absolut nicht Konform ebenfalls eine OPNsense einzusetzen um diese Vorgaben des BSI zu erfüllen. Schlimmer noch, wurde so getan als wäre es schlicht fahrlässig unsicher so was einzusetzen, was einfach nicht stimmt.

Das man als Dienstleister, was unter anderem auch von mir bereits hier aufgegriffen wurde, keine andere Wahl hat als etwas skalierbares einzusetzen um es massenweise auszurollen, ist eigentlich Common Sense. Da gibt es diverse Lösungen am Markt und für eine (oder zwei) entscheidet sich der entsprechende Dienstleister, meist eben nach persönlicher Präferenz. Ob das Secure Point, Sophos, Cisco, Fortinet, etc ist, spielt erstmal per se keine Rolle.

Wenn ich persönlich für 50+ Arztpraxen zuständig wäre, würde ich dort spätestens auch nicht mehr mit OPNsense arbeiten. Einfach weil die schiere Masse einen erheblich Arbeitsaufwand bedeuten würde. Bei OPNsense gibt es zwar mittlerweile Bewegung auch in diese Richtung ein Portal zu gemeinsamen Verwaltung von mehreren Firewalls zu haben, allerdings ist das noch sehr rudimentär.

Zitat von @LucarToni:
Ob das wirklich alles so wahr ist, kann jeder selbst entscheiden.

Hallo Sophos Mitarbeiter lucartoni,
über Fakten kann man nicht entscheiden. Auf dieser Plattform werden echte Erfahrungen ausgetauscht, im Idealfall von Admistratoren, nicht Partner oder Hersteller. Das ist genau das, was ich hier so schätze.

Ich denke, für eine einzelne Praxis ist es kein Problem, eine OpnSense einzusetzen.

Es ist kein Problem,
optional kann man sich einen aktiven Dienstleistungsvertrag oder Ersthelfer beschaffen. Lizenzkosten sind bei OPNsense kein Thema, bei Sophos verschwinden diese mittlerweise im Nirvana, eine Konzernstruktur ist nunmal sehr teuer, trotz das der Herstellersupport überwiegend aus Indien kommt. Aber die Sophos Community ist besser, und kostet den Hersteller fast nichts: Admins helfen Admins, KI macht's noch schneller.

Ich finde es sehr gefährlich, IT (Security) auf die Schultern von jemand zu legen, dessen Job das nicht ist.

Absolut, allein ich 3 unabhängige sophoszertifizierte Experten, jeder hat's besser gewusst. Schön bei OPNsense ist also, dass man diese vollumfänglich kostenlos testen kann. Jeder der will, kann also auch, ohne Kosten. Da ich auch sophoszertifiziert bin weiß ich, wie unnütz diese Zertifikate sind. Praxis ist das A und O.

Ja - Die wollen Geld für die Dienstleistung, aber dafür erhält man auch den Service.

Hauptsache nicht für irgendwelche überteuerte Hardware (Appliance) oder Lizenzkosten, die im Nirvana versinken, wie bei Sophos. Es ist schon besser jemanden für aktive Tätigkeiten zu bezahlen, die man auch nachvollziehen kann.

Moin @Fenris14,

Allerdings wurde hier ein anderer Tenor zwischenzeitlich eingestimmt, der vielleicht auch die Absichten des TO nicht voll aufgegriffen hat, aber mal disktutiert werden musste.

die Absicht des TO war aber explizit die folgende ...

Daher kam mir das im Titel genannte BSI-Modul zu pass, das u.a. festlegt, welche Funktionen eine Firewall erfüllen muss bzw. soll, wenn sie den Anforderungen des IT-Grundschutz (BSI) entsprechen soll.

... sprich, herauszufinden welche Funktionen eine Firewall erfüllen muss, damit sie BSI konform im Gesundheitswesen eingesetz werden kann. 😉

Hier wurde in den Raum geworfen und so getan, als wäre es absolut nicht Konform ebenfalls eine OPNsense einzusetzen um diese Vorgaben des BSI zu erfüllen. Schlimmer noch, wurde so getan als wäre es schlicht fahrlässig unsicher so was einzusetzen, was einfach nicht stimmt.

wenn es eine nackte OPNsense ist, dann stimmt das sehr wohl!
Siehe entsprechende BSI Unterlagen.

Oder möchtest du dieses Risiko ...

Quelle:
bsi.bund.de/SharedDocs/Downloads/DE/BSI/DigitaleGesellschaft/Cyb ...

... etwa anders als der BSI bewerten?

Gruss Alex

Zitat von @Fenris14:
Bei OPNsense gibt es zwar mittlerweile Bewegung auch in diese Richtung ein Portal zu gemeinsamen Verwaltung von mehreren Firewalls zu haben, allerdings ist das noch sehr rudimentär.

Habe mit dem Central Management noch keine Erfahrung, dafür bin ich zu klein

docs.opnsense.org/vendor/deciso/opncentral.html

Moin @nachgefragt,

über Fakten kann man nicht entscheiden.

😖 ... ja sicher.
Selbstverständlich kann uns sollte man nur über Fakten entscheiden!
Fakten bedürfen jedoch einer Grundlage und dein ständiges, aber absolut substanzloses Meckern, stellt ganz sicher keine Fakten dar.

Absolut, allein ich 3 unabhängige sophoszertifizierte Experten, jeder hat's besser gewusst.

Wenn es wirklich Experten waren, dann ist es auch kein Wunder, dass sie es besser gewusst haben, denn du bist ganz sicher kein Sophos Experte.

Gruss Alex

Zitat von @MysticFoxDE:
Fakten bedürfen jedoch einer Grundlage und dein ständiges, aber absolut substanzloses Meckern

Meine Erfahrungen und Fakten teile, dass es dir als Sophos Partner und Sophos Vertreter nicht passt, klar soweit. Das Sophos Geschwurbel kennen wir.

du bist ganz sicher kein Sophos Experte.

Nein, und ich habe auch nach so vielen Jahren keine getroffen, nicht mal im indischen Herstellersupport gefunden (L2 und L3). Am hilfreichsten war immer die Sophos Community, die Sophos selbst nichts kostet, außer die Plattform zu stellen.

Zitat von @MysticFoxDE:

Moin @Fenris14,

Allerdings wurde hier ein anderer Tenor zwischenzeitlich eingestimmt, der vielleicht auch die Absichten des TO nicht voll aufgegriffen hat, aber mal disktutiert werden musste.

die Absicht des TO war aber explizit die folgende ...

... sprich, herauszufinden welche Funktionen eine Firewall erfüllen muss, damit sie BSI konform im Gesundheitswesen eingesetz werden kann. 😉

wenn es eine nackte OPNsense ist, dann stimmt das sehr wohl!
Siehe entsprechende BSI Unterlagen.

Oder möchtest du dieses Risiko ...

Quelle:
bsi.bund.de/SharedDocs/Downloads/DE/BSI/DigitaleGesellschaft/Cyb ...

... etwa anders als der BSI bewerten?

Gruss Alex

Niemand redet von einer nackten OPNsense. Es ging die ganze Zeit darum das man die OPNsense auch aufbohren kann und das sogar weitestgehend kostenfrei. Zenarmor macht zum Beispiel einen riesigen Unterschied aus. Fast 80% der Features sind kostenlos von Zenarmor. Du kannst das Plugin installieren und hast alle NGFW-Features weitestgehend. Einzig SSL-Interception wird freigeschalten wenn man eine Subscription kauft. Selbst das kostet nicht die Welt (50€ pro Gateway und 16€ pro Nutzer). Wenn man das als Dienstleister einer Praxis anbietet mit Support, erfüllt das den selben Zweck wie eine Sophos, bis auf das Central Management.

Deine Behauptungen werde nicht wahrer, nur weil du 3-4 Mal die selbe Grafik postest.

Zitat von @Fenris14:

Zitat von @MysticFoxDE:

Moin @Fenris14,

Allerdings wurde hier ein anderer Tenor zwischenzeitlich eingestimmt, der vielleicht auch die Absichten des TO nicht voll aufgegriffen hat, aber mal disktutiert werden musste.

die Absicht des TO war aber explizit die folgende ...

... sprich, herauszufinden welche Funktionen eine Firewall erfüllen muss, damit sie BSI konform im Gesundheitswesen eingesetz werden kann. 😉

wenn es eine nackte OPNsense ist, dann stimmt das sehr wohl!
Siehe entsprechende BSI Unterlagen.

Oder möchtest du dieses Risiko ...

Quelle:
bsi.bund.de/SharedDocs/Downloads/DE/BSI/DigitaleGesellschaft/Cyb ...

... etwa anders als der BSI bewerten?

Gruss Alex

Übrigens: Wenn man eine MSP Lizenz von Sophos betrachtet, könnten wir Preis / Leistungstechnisch mit einem Standard Protection Bundle und einer kleinen Firewall bei ähnlichen Zahlen rauskommen - Denn MSP ist eine monatliche Abrechnungsform und wenn ich "pro Nutzer" bezahlen muss, kann ich bei Sophos mit einem pauschal Betrag arbeiten. Heißt, sehr kalkulierbar.

Einige MSP Partner arbeiten auch mit virtuellen Sophos Appliances - im MSP Charakter mit monatlichen Lizenzen. Das könnte man sich auch anschauen, ob das ggf. auch attraktiv ist.

Ich möchte hier nicht OPNsense irgendwie schlecht reden - Jeder kann das Produkt einsetzen, das er möchte und ich habe bereits schöne Installationen mit OPNsense gesehen.

Ich wollte nur nochmal den Kontext aus der anderen Seite geben, weil - und das ist normal in jedem "Sophos bezogen Post hier" - gibt es eine bestimmte Person, die sich persönlich von Sophos angriffen fühlt. Und es ist in Ordnung, seine Meinung zu Sophos zu haben und auch weitergezogen zu sein.
Aber bis heute sehe ich es immer noch legitim an, ich als Person auch meine Meinung teilen darf und gerne (Konstruktiv) darüber diskutiere. (Ich wurde schon als Bot bezeichnet).

Um das Thema hier etwas abzurunden: Security ist keine Gateway Diskussion. Das war es zur UTM Zeiten nicht, und ist es im Jahre 2025 besonders nicht. Ich kann ein sicheres Konzept ohne eine Firewall aufbauen, wenn ich das möchte (Thema Zero Trust). Eine Firewall ist ein Bestandteil dieser Diskussion, leider kommt das nur immer zu kurz. Jeder verteidigt seine (Wissens)domäne.
Ich hatte letztens erst das Erkenntnis mit mehreren Kunden als wir ein TableTop gemacht haben: sophos.com/en-us/trust/security-tabletop-guidelines
Das ist keine Produkt Werbung, sondern es geht darum, mit einem Kunden gemeinsam ein Szenario durchzuspielen - Heutzutage häufig "What if" genannt. Was passiert, wenn etwas passiert - Wer ist verantwortlich für was. Wann ziehe ich PR dazu, wann Anwalt, wann andere Abteilungen etc.

Das ist keine Firewall Diskussion. Und diese Diskussion führt bei einem kleinen Kunde eben der Partner (Dienstleister) mit dem Kunden. Weil am Ende übernimmt ein Partner / Dienstleister die volle Verantwortung für ein Unternehmen.

Zitat von @LucarToni:
Aber bis heute sehe ich es immer noch legitim an, ich als Person auch meine Meinung teilen darf

"Wes Brot ich ess, des Lied ich sing."

Wenn ich ein Sophos Mitarbeiter wäre, und meine Meinung mit etwas Rückrad poste, z.B.
Sophos und der gebrochene Schwur
heise.de/meinung/Analyse-und-Kommentar-Sophos-und-der-gebrochene ...
oder die Erfahrung mit Sophos zusammenfassend
Sophos UTM EOL - Ersatz für Mailgateway (mandantenfähig)
zum Besten gebe, wie länge wäre ich wohl noch ein Sophos Mitarbeiter?

Zitat von @nachgefragt:

Zitat von @LucarToni:
Aber bis heute sehe ich es immer noch legitim an, ich als Person auch meine Meinung teilen darf

"Wes Brot ich ess, des Lied ich sing."

Wo ist nun der Punkt von deinem Punkt?
Ich bin seit über einem Jahrzehnt Sophos Mitarbeiter und sehe deine Posts, verstehe aber immer noch nicht worauf du hinauswillst.

Möchtest du, dass ich auf deine ganzen Punkte "nochmal" vollständig reagieren? Ist das deine Erwartungshaltung? Soll ich diese Themen nochmal adressieren?

Auch über den Pacific Rim Artikel - Was genau ist dein Punkt hier?

"Wes Brot ich ess, des Lied ich sing."

Wie oft denn noch? Wie der Kollege bereits gesagt hat: Sicherheit ist mehr als nur eine Firewall. Sie ist ein ganzheitliches Konzept, in dem die Firewall zwar ein wichtiges Element ist – aber eben nicht das einzige. Genau das scheinen hier viele nicht begreifen zu wollen. Stattdessen wird alles, was in ihren Augen „nur Geld kostet“, mit dem üblichen „Vertriebsgeschwurbel“-Stempel abgetan. Sehr zielführend.

Wer nicht bereit ist, über den Tellerrand der Technik hinauszudenken, reduziert IT-Sicherheit auf Ports und Paketfilter und blendet den Rest einfach aus.

Ein funktionierendes Sicherheitskonzept besteht u. a. aus:

Firewall und Netzsegmentierung
Intrusion Detection/Prevention (IDS/IPS)
Zentralem Logging und Monitoring
E-Mail-Filterung (Spam, Phishing, Malware)
Revisionssicherer Archivierung (insb. bei Mails)
Endpoint-Schutz (Antivirus, EDR usw.)
Zugangskontrollen, 2FA, Rollenkonzepte
Sicherer Fernzugriff (VPN mit Policy Enforcement)
Patch- und Schwachstellenmanagement
Backup-Strategie mit Wiederherstellungskonzept
Awareness-Schulungen für Mitarbeitende
Verfahrensdokumentation und Notfallpläne
Regelmäßige Tests (Penetrationstests, Audits)
DSGVO-/ISO-konforme Prozesse

Und selbst das ist nur ein Auszug. Wer glaubt, eine OPNsense auf einem alten PC und ein bisschen pfBlocker seien ein vollwertiger Ersatz für eine strukturierte Lösung mit abgestimmten Komponenten und klaren Verantwortlichkeiten, macht sich was vor.

Wer dann auch noch stolz verkündet, seine Sicherheitsinfrastruktur bestehe aus selbstgestrickten Skripten, ein paar Foreneinträgen und einem Alias mit Root-Zugang, der mag damit vielleicht seine private Laborumgebung absichern – aber sicher keinen Geschäftsbetrieb.

Spätestens dann, wenn der Datenschutzbeauftragte oder die Versicherung konkrete Nachweise verlangt, reicht ein „läuft bei mir“ eben nicht mehr. Dann braucht es belastbare Konzepte, dokumentierte Prozesse – und jemanden, der im Zweifel den Kopf hinhält. Nicht irgendein Nickname mit Anime-Profilbild in einem Forum.

Sicherheit ist kein Zustand – sondern ein Prozess. Und dieser Prozess braucht Know-how, Erfahrung und ja: auch Budget.

Moin @Fenris14,

Niemand redet von einer nackten OPNsense.

Quelle:
Kann KI helfen, über "NET.3.2 Firewall" die Eigenschaften von Firewalls zu vergleichen?

Es ging die ganze Zeit darum das man die OPNsense auch aufbohren kann und das sogar weitestgehend kostenfrei. Zenarmor macht zum Beispiel einen riesigen Unterschied aus. Fast 80% der Features sind kostenlos von Zenarmor. Du kannst das Plugin installieren und hast alle NGFW-Features weitestgehend. Einzig SSL-Interception wird freigeschalten wenn man eine Subscription kauft. Selbst das kostet nicht die Welt (50€ pro Gateway und 16€ pro Nutzer).

Mit einer OPNsense + ZenAmor (incl. SSL-Interception), habe ich ja auch nicht wirklich ...

Quelle:
Kann KI helfen, über "NET.3.2 Firewall" die Eigenschaften von Firewalls zu vergleichen?

... ein Problem. 😉

Deine Behauptungen werde nicht wahrer, nur weil du 3-4 Mal die selbe Grafik postest.

Ja, aber falscher auch nicht. 🙃

So jetzt aber Spass beiseite.

Gehen wird doch mal von genau den 10 Usern aus, die der TO beschrieben hat und von einer Laufzeit von 3 Jahren und nur Hardware und Software.

Also, wenn man das Ganze BSI konform mit OPNsense aufziehen möchte, dann benötigt man dafür wenn ich das richtig sehe einmal das ...

... und auch noch ZenArmor mit dazu, was bei 10 User und einem Gateway (Ich hoffe das HA Gateway kostet nicht extra), je Monat mit 210,- $ zubuche schlägt, also, um die 180,- €.

Über drei Jahre gesehen, würde das Ganze dann in Summe ~ 1.497,- + (36 * 180,-) = 7.977,- € (NETTO) kosten und zwar ohne Support oder Einrichtung.

Jetzt rechnen wir mal dasselbe mit einer Sophos XGS 118, die für 10 User locker reichen sollte.

Dann müssen beide Lösungen auch noch richtig eingerichtet werden, was bei beiden auch nicht durch zwei mal in die Hände klatschen geschieht und natürlich überwacht und gepflegt werden, was eigentlich den Löwenanteil eines solchen Projekts ausmacht. Und schon, ist bei einer proffesionellen Umsetzung, auch kaum ein kaufmännischer Unterschied zu sehen und weitestgehend auch technisch, zumindest dann, wenn wir das Thema SGW's, issoliert für sich betrachten, sprich nicht auch noch Themen wie z.B. ...

sophos.com/de-de/products/endpoint-antivirus

...

sophos.com/de-de/content/synchronized-security

...

sophos.com/de-de/products/managed-detection-and-response

... mitberücksichtigen.

Gruss Alex

Auch wenn man sich alles gern aus dem Kontext passend zusammenschwurbelt, die BE Version reicht.
Behauptungen dagegen bitte mit entsprechendem Urteil verlinken.

Also das geht stark Richtung Cherry-Picking und Milch-Mädchen-Rechnung. Die zweite Appliance von Sophos hat dann quasi ein Feature nicht, was bei der anderen auf 3 Jahre lizensiert ist nur damit du deinen Kostenpunkt machen kannst? Wow.

Im selben Atemzug lässt du kurz mal durchschauen ob du nicht weißt das Zenarmor auch in einem HA-Cluster zertifiziert bleibt... ganz großes Kino. Dann darf man noch fragen was bei einer 10 Mann Bude ein HA-Cluster für ein Sinn hat. Kann man machen, aber dann macht es auch nur Sinn wenn alles andere im Netzwerk ebenfalls redundant ausgelegt ist. Das geht bei Switches los und hört bei Internetanbindung auf. Ob sich dann eine Praxis mit 10 MA sowas leistet, sei mal dahin gestellt.

Des weiteren zitierst du Aussagen von anderen. Ich hingegen spreche eigentlich nur davon das ein OPNsense mit entsprechenden Einstellungen und Erweiterungen auch die BSI-Richtlinien erfüllen kann.

@nachgefragt
Ach, jetzt also nur noch mit Gerichtsurteil – auch eine interessante Diskussionskultur. Was kommt als Nächstes? Verfassungsrang für pfBlocker?

Und zur BE-Version: Die „reicht“ – ja wofür denn eigentlich? Für das Heimnetz, die Arztpraxis oder die ISO-zertifizierte Infrastruktur? Immer diese Pauschalaussagen, wenn’s konkret wird...

Kontext wäre übrigens hilfreich – also richtiger Kontext, nicht der, den man sich passend zusammenschiebt oder um bei deiner Ausdrucksweise zu bleiben, zusammenschwurbelt!

Wieso erst jetzt?

25.06.2025 um 12:18:22 Uhr
Gegenteilige Behauptungen ohne Aktenzeichen werden ignoriert

Die vertrieblichen Gewitterwolken in Form von Panikmache lassen wir mal davon ziehen. Ich kennen keine Fall in den Szenario einer Praxis, der OPNsense ausschließt. Nur Vertriebsgeschwurbel welches Kunden verunsichert.

Es werden hier zwei Dinge miteinander vermischt und ich möchte auch Sophos dort mal kurz außen vorlassen:

Wir werden immer in der "Wo kein Kläger da kein Richter" Diskussion sein. Jeder kann jedes Produkt einsetzen, solange es kein Auditor gibt, der ein "Urteil" spricht, wird es auch kein Resultat darüber geben.

Jedoch würde ich nun mal davon ausgehen: Die Schnittstellen werden ein Auge darauf werfen, was die entsprechenden Praxen einsetzen: Bedeutet, wenn dort ein Hersteller X eingesetzt wird und die Schnittstelle zum Beispiel in die Telematik Infrastuktur "nein sagt", hat man auch seine Antwort.
Auf welcher Grundlage sie das tut, sei nun dahin gestellt.

Es wird am Ende immer erst hingeschaut, wenn etwas passiert ist. Und wenn die Praxis X alle Daten verloren hat und es rausgestellt hat, "jemand hat eine Firewall von OPNsense da hingestellt und nie gepflegt" - dann muss "jemand" auch die Verantwortung dafür beziehen.

Gerade aus dem Grund muss das Thema nicht hier diskutiert werden. Sondern bei einem Dienstleister.
Wenn ein Dienstleister mit seiner Haftung dafür einsteht, eine OPNsense Firewall zu installieren, dann ist das doch in Ordnung? Der Dienstleister wird schließlich seine Audits machen.

Aus Sophos Sicht: Wir nehmen viele Praxen in den MSP Gedanken mit auf: Bedeutet ein Partner von Sophos kauft die Hardware selbst und vermietet die Hardware + Software monatlich an die Praxis. Dabei wird zusätzlich auch Endpoint, Server (wenn notwendig) Protection mit verkauft (Monatlich). Und andere Tools wie Email Protection etc.

*edit* Und auch hier steht Sophos als Hersteller direkt dem Partner bezüglich Haftung zur Seite bei Fragen oder Dinge die unklar sein könnte. Ob man zum Beispiel Incident Response benötigt oder entsprechend einen Proaktiven Service (Wie ein MDR Service). Das ist auch was Kunden kleinerer Natur schätzen. Ein Service der auch für 10 User funktioniert.

Ok so einfach können wir es machen.
Eine Fritzbox ist keine Firewall, aus Sicht TI reicht das also mal nicht.

Natürlich wirbt der Sophos Mitarbeiter, einen Dienstleister (Partner) unter Vertrag zu nehmen, von nichts kommt nichts.

Aber einen Dienstleister in Haftung zu stellen, ist gar nicht so einfach wie dein Einzeiler, sonst könnte ich Sophos für den Unsinn mit meiner Erfahrung an die Wand stellen. Und wenn Sophos was kann, dass ist es rumdrucksen und mit dem Finger auf andere zeigen.

Ein OPNsense BE ist für eine Praxix mehr als ausreichend, und läuft auf einem Taschenrechner. Bitte kein überteuerte Hardware Appliance kaufen, egal von wo.

Zitat von @nachgefragt:

Ok so einfach können wir es machen.
Eine Fritzbox ist keine Firewall, aus Sicht TI reicht das also mal nicht.

Natürlich wirbt der Sophos Mitarbeiter, einen Dienstleister (Partner) unter Vertrag zu nehmen, von nichts kommt nichts.

Aber einen Dienstleister in Haftung zu stellen, ist gar nicht so einfach wie dein Einzeiler, sonst könnte ich Sophos für den Unsinn mit meiner Erfahrung an die Wand stellen. Und wenn Sophos was kann, dass ist es rumdrucksen und mit dem Finger auf andere zeigen.

Ein OPNsense BE ist für eine Praxix mehr als ausreichend, und läuft auf einem Taschenrechner. Bitte kein überteuerte Hardware Appliance kaufen, egal von wo.

Ich frage dich nochmal: Wer haftet dafür, wenn etwas schief geht mit der OPNsense? Wir sprechen hier von hoch sensiblen Daten.

Bitte sag mir nicht, du baust neben deinem IT Job bei irgendwelchen Praxen OPNsense Firewalls ein?

Oder ist die Antwort auf meine Frage: Das Arzt Personal googelt und installiert das nach Feierabend selbst?

Du sprichst von nicht relevanten Themen - Es geht darum, wer kümmert sich darum, dass der Betrieb läuft und wer haftet dafür, wenn etwas schief geht.

Bau mir bitte keinen Strohmann auf von deinen "Erfahrungen" - Ich möchte eine Antwort auf meine Frage oben.

Ohmannomann!

Jetzt reicht also ein OPNsense BE auf dem Taschenrechner für den TI-Betrieb? Interessant. Wahrscheinlich auch gleich mit DSGVO, B3S und Anlage 6 im Gepäck, oder? Jo, alles kloa!

Und was Sophos betrifft: Wenn du schlechte Erfahrungen gemacht hast, ist das bedauerlich – aber daraus ein Pauschalurteil abzuleiten, hilft niemandem. Zumal du gerade noch behauptet hast, man könne keinen Dienstleister haftbar machen – und im selben Atemzug willst du Sophos „an die Wand stellen“?

Mal ehrlich: So viel Widerspruch in drei Absätzen schafft sonst nur die Politik. 😁

Aber gut – du brauchst keine Appliance, keine Schulung, keine Prüfung, keine Verantwortung. Nur eine BE-Version auf dem Taschenrechner und ganz viel Meinung. Läuft.

Ich verstehe....

Zitat von @LucarToni:
Wer haftet dafür, wenn etwas schief geht mit der OPNsense?

Möchtest du die theoretische Antwort oder die aus der Praxis?
a) der Hersteller
b) der Administrator hat seine Sicherheitsvorkehrungen vernachlässigt
c) die Geschäftsleitung
d) Uncle Sam

Es ist eine Mamutaufgabe jemanden in die Haftung zu nehmen, weißt du? Also weißt du es wirklich? Natürlich

darum kann man auch ruhig schlafen.

Zitat von @nachgefragt:

Zitat von @LucarToni:
Wer haftet dafür, wenn etwas schief geht mit der OPNsense?

darum kann man auch ruhig schlafen.

Vor der Grundschule steht kein Blitzer, also knalle ich da immer mit 200 km/h durch. Gibt ja eh keiner, der Haftet.
Super Einstellung.

Ich habe das Gefühl, du hast dich noch nicht mit (Gesundheitsbezogener) Datenschutzbeauftragung beschäftigt.

Ich muss ehrlicherweise sagen: Dein Verhalten hier ist Grob Fahrlässig. Ich hoffe keine Praxis kommt auf die Idee, einfach "IT Security" mal in die eigene Hand zu nehmen und nebenbei mal irgendwas zu machen - Getreu nach dem Motto, es hat doch einer in einem Forum gesagt, eine OPNsense reicht.

Ich bekomme schon Bauchschmerzen, wenn ich die Email Domains von manchen Praxen sehe.

Da möchte mir jemand wieder die Worte im Mund verdrehen, ich glaube dir doch längst, dass du bei Sophos angestellt bist. Du schwurbelst dich aus dem Kontext raus, auf deinem community support desktop lag sicherlich noch keine Anklage.

Es reicht schon, sich dagegen versichern lassen zu wollen, wenn man mal das Kleingedruckte lesen möchte. Aus einer Anklage schwurbelt sich Sophos genauso schnell raus wie du gerade. IT Security ist ein Gesamtkonzept mit vielen Haaren in der Suppe, egal wie viele sophoszertifizierte Dienstleister du hast.

Zitat von @nachgefragt:

Da möchte mir jemand wieder die Worte im Mund verdrehen,
Ich glaube dir doch längst, dass du bei Sophos angestellt bist.

Wo habe ich das denn getan?
Ich habe dich nur darauf aufmerksam gemacht, dass eine Produkt alleine keine Lösung ist.
Du brauchst zwangsläufig einen Dienstleister in der Größe. Kein 1-10 User Kunde hat eine IT Person.
Wer soll die OPNsense also bei der Praxis installieren?

--> Ein Dienstleister.

Wer entscheidet, welches Produkt bei einem Kunde installiert werden soll?

--> Ein Dienstleister (mit dem Kunden gemeinsam).

Wie also kann man so einen Text wie hier in dem Forum schreiben?

Noch einmal: Niemand hier (auch nicht ich), möchte dir deine OPNsense wegnehmen. Das Produkt ist super und du kannst es einsetzen. Niemand hier bestreitet, dass eine OPNsense in dem Umfeld eingesetzt werden kann.

ABER: Wer administriert und haftet am Ende dafür, was damit angestellt wird.

Zitat von @nachgefragt:

Da möchte mir jemand wieder die Worte im Mund verdrehen, ich glaube dir doch längst, dass du bei Sophos angestellt bist. Du schwurbelst dich aus dem Kontext raus, auf deinem community support desktop lag sicherlich noch keine Anklage.

Es reicht schon, sich dagegen versichern lassen zu wollen, wenn man mal das Kleingedruckte lesen möchte. Aus einer Anklage schwurbelt sich Sophos genauso schnell raus wie du gerade. IT Security ist ein Gesamtkonzept mit vielen Haaren in der Suppe, egal wie viele sophoszertifizierte Dienstleister du hast.

Warum sprichst du andauernd von Sophos?
Was hat Sophos hier zu tun?
Ein Hersteller ist nicht in der (direkten)Verantwortung, wenn etwas schief geht.

Kannst du eine Antwort auf meine Punkte geben, die nichts mit Sophos zu tun hat?

Ich sage es doch nun zum 5 mal: Es geht hier um die Dienstleistung und den Dienstleister?
IT Security ist ein Konzept, bei dem man Unterstützung benötigt. Und hier geht es nicht um einen Sophos Dienstleister.
Wer unterstützt die Praxis bei einer TI Schnittstelle?

@nachgefragt

Du redest von Verantwortung, wirfst aber ständig mit Nebelkerzen um dich. Sobald’s konkret wird, lenkst du ab, drehst anderen das Wort im Mund herum und bastelst den nächsten Strohmann.

Statt dich sachlich mit den Argumenten auseinanderzusetzen, kommt reflexartig der nächste Seitenhieb – gegen Hersteller, gegen Dienstleister, gegen alle, die nicht deiner Meinung sind. Man könnte fast meinen, da steckt noch eine alte Rechnung dahinter. Vielleicht hat dich mal jemand vor die Tür gesetzt, weil Bauchgefühl eben kein Ersatz für tragfähige Konzepte und belastbares Wissen ist?

Fachlich kommt da nicht viel – um es vorsichtig zu umschreiben – außer Lautstärke, Getöse und Trotz. Das reicht vielleicht fürs Forum, aber sicher nicht für echte Verantwortung in echten Umgebungen.

Mach ruhig weiter so. Irgendwann merkst du vielleicht selbst, dass Rechthaben und Rechtbekommen zwei verschiedene Dinge sind.

Das macht mir ja nix, wenn du das so empfindest. Konkret wird hier nix, nur Panikmache aus der Vertriebs- oder Herstellerseite.

Zitat von @nachgefragt:

Das macht mir ja nix, wenn du das so empfindest. Konkret wird hier nix, nur Panikmache aus der Vertriebs- oder Herstellerseite.

Wo ist diese Panikmache? Ich verstehe es wirklich nicht, in welcher Instanz hier eine Panik verursacht wird.
Ich habe lediglich darauf aufmerksam gemacht, dass wir hier von einem Sensitiven Thema sprechen und ein Konzept aufgebaut werden muss.
Ein Konzept sieht nicht wie folgt aus:
Wir installieren eine Firewall in einer Praxis und gehen wieder nach Hause.

Eine Praxis hat (IT)Bedarf. Es muss Software einsetzen, es muss "Standards" entsprechen.
Es wird Audits geben: Es wird Unterhaltungen mit Datacenters geben.

Nun sagen wir mal: Eine Praxis kann/will sich damit nicht beschäftigen. Wir haben X.000 Praxen in Deutschland. Ich wage zu bezweifeln, dort arbeiten IT Erfahrene Leute.

Wie nun soll eine Praxis mit X Personal auch die IT Stämmen. Ich halte es nicht für unrealistisch, dass IT Personal dazu gekauft wird. Dieses IT Personal hat auch Equipment.

Nun sagen wir mal folgendes: Die Praxis möchte sich neu aufstellen und sagt: Wir wollen OPNsense einsetzen. Dann kann man das auch "Ausschreiben" und sagen - Lieber IT Dienstleister, bitte installiere bei mir OPNsense. Wenn du das nicht kannst, suche ich mir einen anderen Dienstleister.
Bis man fündig wird. Nur die Frage, ob der Dienstleister auch den Rest kann.

In der "Praxis" (du möchtest ja gerne die Praxis haben) ist das jedoch unrealistisch. "Kunden" (aus Hersteller Sicht) beziehen eine Lösung mit Konzept. Effektiv: Ihnen ist egal, ob Sie eine Sophos Firewall, eine OPNsense oder irgendwas haben. Sie bezahlen einen Preis für einen Service, der alles abdeckt.

Nun ein weiterer Satz aus der Praxis: Als Dienstleister, wenn jemand mir sagt "ich administriere meine Firewall selbst" - würde ich sofort ein Red Flag heben - Es könnte nämlich sein, dass auf der Firewall ziemlich viel "Quatsch" gemacht wird und dann bin ich als Dienstleister "in der Verantwortung" das plötzlich was passiert. Daher ist in der Praxis hier oft ein offener Austausch wichtig. Viele Dienstleister (besonders bei kleinen Kunden) fordern entweder alles aus einer Hand oder möchten den Service nicht übernehmen. Das kann man kritisch sehen oder auch nachvollziehen können.

Noch einmal: Ein 1-10 User Kunde ist kein Home Kunde und auch kein "Mittelständisches Unternehmen".
Wir können nicht so tun, als wäre eine Arzt Praxis wie ein "Self-Hosted Home User".

Moin @ Fenris14,

dieser Kommentar beweist nur, dass du von der Lizenzierung eines XGS HA Clusters (active/pasive), leider überhaupt keine Ahnung hast.

Denn bei einem XGS HA Clusters (active/pasive), muss die Subscription nur einmal gekauft werden und der Support muss von Enhanced auf Enhanced Plus angehoben werden und das wars. 😉

Im selben Atemzug lässt du kurz mal durchschauen ob du nicht weißt das Zenarmor auch in einem HA-Cluster zertifiziert bleibt... ganz großes Kino.

ZenArmor selber …

… spricht bei seiner Preisangabe nur von einem Gateway und nicht von einem Cluster, daher ist meine Frage durchaus berechtigt. Denn noch zusätzlich 50,- $ mehr pro Monat, würden bei Zenarmor über eine Laufzeit von 36 Monaten noch zusätzliche ~ 1530,- € bedeuten.

Ich gehe jedoch mal davon aus, dass ZenArmor die Lizenzierung eines Clusters ähnlich händelt wie auch Sophos, sprich, dass quasi nur eine Gateway-Lizenz pro Cluster bezahlt werden muss.

Dann darf man noch fragen was bei einer 10 Mann Bude ein HA-Cluster für ein Sinn hat.

Du weisst aber schon, dass heutzutage auch in einer Arztpraxis ohne eine Internetverbindung nicht mehr viel läuft? 🤨

Ich sage nur E-Rezept. 😉

Ich hingegen spreche eigentlich nur davon das ein OPNsense mit entsprechenden Einstellungen und Erweiterungen auch die BSI-Richtlinien erfüllen kann.

Was anderes habe ich auch nicht behauptet!

Gruss Alex

Zitat von @LucarToni:
Nun ein weiterer Satz aus der Praxis: Als Dienstleister, wenn jemand mir sagt "ich administriere meine Firewall selbst" - würde ich sofort ein Red Flag heben - Es könnte nämlich sein, dass auf der Firewall ziemlich viel "Quatsch" gemacht wird und dann bin ich als Dienstleister "in der Verantwortung" das plötzlich was passiert.

Du bist sehr weit entfernt von der Realität.
Eigentlich solltest du in deinen eigenen Reihen jemanden finden der dir erklärt, dass du in solchen Fällen nicht haftbar gemacht werden könntest. Andernfalls - wo darf ich unterschreiben?

Es wäre aber mal ein schönes Thema: Wie kann ich einen Hersteller haftbar machen:
Sophos und der gebrochene Schwur

Zitat von @nachgefragt:

Ich bin echt langsam verunsichert, ob du nur die Hälfte liest und verstehst, was wir hier schreiben.

In deinem ersten Part: Wer ist "du". Wieso sollte ein Hersteller haftbar gemacht werden? Wer spricht hier vom Hersteller? Keiner sagt hier Hersteller. Wir/Ich spreche vom Dienstleister.
Und ja - Ein Dienstleister kann dafür Haftbar gemacht werden, wenn er eine Dienstleistung wie einen Service erbringt und es ein Thema / Vorfall mit dem Dienst gibt. Wieso sollte das nicht gehen?
Du beschließt schließlich eine Dienstleistung mit einer entsprechenden Leistung. Wenn die Leistung in Form von Pflichten nicht erbracht wird, kannst du ein Versäumnis dafür beantragen.

Zusätzlich bieten auch viele Dienstleister eine Vermittlung zu Cyber Versicherungen an, wenn man mit denen arbeiten möchte. Jedoch möchten Cyber Versicherer häufig ein Lastenheft und Audits, die dann ein kleiner Kunde häufig nicht erbringen kann - Dort springt dann der Dienstleister ein und kann aushelfen (mit Standardisierten Prozessen).

Und noch einmal: Du postest den selben Heise Post immer wieder. Ich kenne diesen. Worauf möchtest du hinaus? Warum soll ein Hersteller dafür Haftbar gemacht werden? Ich verstehe leider nicht, wo du hin willst.

Moin @nachgefragt,

Du bist sehr weit entfernt von der Realität.

ich fürchte, das gilt eher für dich.

Eigentlich solltest du in deinen eigenen Reihen jemanden finden der dir erklärt, dass du in solchen Fällen nicht haftbar gemacht werden könntest. Andernfalls - wo darf ich unterschreiben?

Du musst nirgends Unterschreiben, denn bei Vorsatz oder grober Fahrlässigkeit oder Verletzung von Leben, Körper oder Gesundheit oder bei Verletzung der Kardinalpflichten, gibt es auch für einen IT-Dienstleister, nicht wirklich eine Haftungsbeschränkung.

Und nein, in dem Fall kannst du dich dann auch nicht wirklich hinter irgendwelchen vernachlässigten Prüfplichten seitens deiner Kunden verstecken, was übrigens eh eine ganz miese Ecke ist.

Gruss Alex

Ich habe meinen Text durch die KI gejagt, da ich mich ansonsten verirren könnte – das Thema ist nicht meine Stärke:

Quelle: KI

Der aktuelle Rechtsrahmen in Deutschland sieht bei Softwarefehlern oder Fehlkonfigurationen keine Produkthaftung im klassischen Sinne vor. Als IT-Dienstleister haftet man nach dem BGB – entweder aus einem Dienst- oder Werkvertrag (§§ 280 ff. BGB) oder deliktisch (§ 823 BGB), wenn durch ein eigenes Verschulden ein Schaden entsteht. Das gilt auch dann, wenn man Open-Source-Software wie OPNsense installiert und falsch konfiguriert. Solange kein physisches Produkt im engeren Sinne betroffen ist, greift die EU-Produkthaftungsrichtlinie von 1985 nicht.

Quelle zur aktuellen Rechtslage:
🔗 Richtlinie 85/374/EWG – Produkthaftung (EUR-Lex)

Ab Mitte 2026 wird das anders. Dann gilt die neue Richtlinie (EU) 2024/1541 über die Haftung für fehlerhafte Produkte, die Software ausdrücklich einbezieht – auch dann, wenn sie „nicht körperlich“ vorliegt. Wenn durch ein Softwareelement oder eine Konfiguration (z. B. eine falsch gesetzte Firewall-Regel) ein Schaden entsteht, kann künftig nicht nur der Hersteller, sondern auch ein IT-Dienstleister haften, wenn seine Dienstleistung sicherheitsrelevant ist und als Teil des Produkts gewertet wird.

Quelle zur neuen Rechtslage ab 2026:
🔗 Richtlinie (EU) 2024/1541 vom 12. Juni 2024 (EUR-Lex)

---

Arztpraxis-Szenario

Nehmen wir an, Du betreust als Einzeldienstleister eine kleine Arztpraxis. Du installierst dort OPNsense als Firewalllösung, konfigurierst Portfreigaben, VPN-Zugänge, Filter usw. Durch einen Konfigurationsfehler bleibt ein sensibler Port offen, über den Patientendaten aus der Praxissoftware (z. B. MEDICAL OFFICE oder x.isynet) abgegriffen werden. Die Praxis bemerkt den Vorfall spät, der Datenschutzbeauftragte wird eingeschaltet, das LDA informiert – und am Ende liegt ein DSGVO-relevanter Vorfall mit wirtschaftlichem Schaden vor.

Heute: Du haftest aus dem Dienst- oder Werkvertrag. Je nach Vertragstyp ggf. nur für grobe Fahrlässigkeit, aber bei der IT-Sicherheit wird häufig auch leichte Fahrlässigkeit relevant sein, weil die Schutzinteressen besonders hoch sind. Es hängt also stark von Deiner Dokumentation und den vertraglichen Regelungen ab. Die Produkthaftung greift nicht, da Software und Dienstleistungen nicht erfasst sind.

Ab Mitte 2026: Neben der zivilrechtlichen Haftung tritt nun die Produkthaftung hinzu. Du hast das System geliefert, eingerichtet, konfiguriert – wenn die Konfiguration sicherheitsrelevant ist, bist Du in der Logik der neuen Richtlinie ggf. „Hersteller eines fehlerhaften Produkts“. Und der Clou: Die Beweislast kann sich umkehren – Du musst ggf. beweisen, dass Dein Produkt nicht fehlerhaft war oder dass der Schaden nicht durch Deine Konfiguration entstanden ist.

---

Die Achselfrage: Wer haftet wirklich?

Wenn Du allein tätig bist – also Einzelunternehmer ohne Rückgriff auf Hersteller, Subunternehmer oder Vorlieferanten – dann haftest Du mit Deinem gesamten Betriebs- und ggf. Privatvermögen. Die Produkthaftung kennt keine Haftungsobergrenzen für den Dienstleister. Du kannst auch nicht mit Verweis auf Open-Source argumentieren, wenn Du die Software in ein wirtschaftlich genutztes Gesamtpaket integrierst und konfigurativ prägst.

Mit anderen Worten: Du bist der Letzte in der Kette – und das neue Recht zielt genau auf diese Position.

---

Empfehlung

Wer als Einzelkämpfer IT-Sicherheitsleistungen anbietet, sollte:

1. klare Haftungsregelungen in Verträgen haben (auch mit Obergrenzen)

2. eine IT-Haftpflichtversicherung mit Produkthaftungskomponente abschließen

3. jede Konfiguration dokumentieren, automatisiert sichern und versionieren (z. B. über config.xml in OPNsense)

4. auf das Inkrafttreten der neuen Richtlinie ab 2026 aktiv hinarbeiten – auch in der Kundenkommunikation.

Zitat von @MysticFoxDE:

Moin @ Fenris14,

dieser Kommentar beweist nur, dass du von der Lizenzierung eines XGS HA Clusters (active/pasive), leider überhaupt keine Ahnung hast.

Kenne mich bei Sophos tatsächlich nicht mit der Lizensierung aus. Muss ich auch nicht. Weil es bisher keinen Grund gab. Wenn das so ist, dann ist ja gut.

Denn bei einem XGS HA Clusters (active/pasive), muss die Subscription nur einmal gekauft werden und der Support muss von Enhanced auf Enhanced Plus angehoben werden und das wars. 😉

Im selben Atemzug lässt du kurz mal durchschauen ob du nicht weißt das Zenarmor auch in einem HA-Cluster zertifiziert bleibt... ganz großes Kino.

ZenArmor selber …

Dann darf man noch fragen was bei einer 10 Mann Bude ein HA-Cluster für ein Sinn hat.

Du weisst aber schon, dass heutzutage auch in einer Arztpraxis ohne eine Internetverbindung nicht mehr viel läuft? 🤨

Ich sage nur E-Rezept. 😉

Das ist zwar richtig, aber nicht jede Praxis kann sich das leisten. Da ja seitens der KBV auch die Vergütungen allmählich für E-Rezepte und KIM-Nachrichten zurückgeschraubt werden und Firewall/Netzwerk nicht der einzige Posten auf der Rechnung einer Praxis sind. Trotz Förderungen reicht es bei vielen Ärzten auf dem Land gerade mal für das minimal Setup. Man muss auch die Häufigkeit von Ausfällen berücksichtigen auf lange Zeit. Des weiteren muss man nicht bei OPNsense die Hardware von Deciso kaufen um eine Business Edition zu aktivieren. Da gibt es noch kostengünstigere Setups die nicht weniger geeignet sind, teilweise sogar mehr Leistung und Anschlüsse bieten. Stichwort APU oder Supermicro Chassis.

Die Finanzierung und Subventionierung von Arztpraxen wird auf kurz oder lang weiter heruntergefahren. Dabei ist die jetzt schon prekär. Niedergelassene Ärzte werden immer weniger und Patienten immer mehr. Deshalb schließen die sich mittlerweile eher zu MVZ zusammen. Bedeutet eben weniger Stress. Ich kenne hier in der Umgebung quasi keine Praxis mit nur einem Arzt der so ein Setup hätte, mit HA-Cluster und redundanten Internetverbindungen (wenn es nur LTE ist). Niemand, wirklich niemand. Ich kann davon berichten, weil ich lustigerweise in einer anderen Funktion am Thema dran bin und da immer wieder Einblick habe. Das meiste Geld geht tatsächlich drauf für die Lizensierung der Praxis-Software und Anbindung TI.

Ich hingegen spreche eigentlich nur davon das ein OPNsense mit entsprechenden Einstellungen und Erweiterungen auch die BSI-Richtlinien erfüllen kann.

Was anderes habe ich auch nicht behauptet!

Gruss Alex

Im Endeffekt ist mir Wurst was die Leute einsetzen. Ich will hier nur die Behauptung entkräften das es nicht mit einer OPNsense möglich wäre den Anforderungen der BSI gerecht zu werden. Sophos & Co zahlen übrigens für die Zertifizierungen des BSI und deshalb werden die da öfters erwähnt. Übrigens auch Huawei, wo wir wissen das die ja eigentlich ganz böse sind, aber dennoch bis 2030 im Backbone des Mobilfunks unterwegs sein dürfen. Der Witz der ganzen Geschichte ist, das die teilweise höhere Zertifizierungen erlangt haben, wie kein anderer Hersteller. Teilweise auch für Netzwerksicherheit. Würdest du es deshalb einbauen?

Am Ende eine Frage die man für sich selbst entscheiden muss.

Zum Thema Verantwortung bei Vorfällen: Am Ende ist bei grobfährlässigen Entscheidungen natürlich der Dienstleister Mode. Das gilt aber genauso wenn der Dienstleister das Produkt von Sophos/Securepoint/whatever einsetzt. Wenn er Scheiße baut, ist er dran. So einfach ist das. Sophos oder sonst wer, würde auch nicht einspringen, wenn grobe fachliche Schnitzer gemacht würden und ich bezweifle das es eine Garantie seitens Sophos gibt, wenn tatsächlich in Ihren Produkten ein Fehler aufgetreten ist und das dann Schadensersatz ausgezahlt wird an tausende Kunden. Wenn dann maximal ein kleines Trostpflaster. Oder gibt es da Fallbeispiele?

Am Ende eine Frage die man für sich selbst entscheiden muss.

Zum Thema Verantwortung bei Vorfällen: Am Ende ist bei grobfährlässigen Entscheidungen natürlich der Dienstleister Mode. Das gilt aber genauso wenn der Dienstleister das Produkt von Sophos/Securepoint/whatever einsetzt. Wenn er Scheiße baut, ist er dran. So einfach ist das. Sophos oder sonst wer, würde auch nicht einspringen, wenn grobe fachliche Schnitzer gemacht würden und ich bezweifle das es eine Garantie seitens Sophos gibt, wenn tatsächlich in Ihren Produkten ein Fehler aufgetreten ist und das dann Schadensersatz ausgezahlt wird an tausende Kunden. Wenn dann maximal ein kleines Trostpflaster. Oder gibt es da Fallbeispiele?

Es gibt bei einigen Herstellern, die einen Service erbringen, auch eine Warranty - diese Bezieht sich jedoch auf den Service.
Zum Beispiel: assets.sophos.com/X24WTUEQ/at/q4tsfr9rg7b78356qxrrgmrn/sophos-md ...
Hier ist der Legal Part dazu: sophos.com/en-us/legal/mdr-complete-warranty

Da geht es um den MDR Part (Service für Detection von Sophos). Das ist für jeden MDR Kunden inkludiert und kein extra Produkt. Auch hier gilt: Wenn man grobe Schnitzer in der Konfig hat, kann die Warranty ausgeschlossen sein.

(Aus Sophos Sicht bezüglich HA): Bei Sophos ist HA im Grunde einfach der Hardware Preis x2. Bedeutet, wenn jemand HA machen möchte, bleiben die Lizenzkosten gleich, man benötigt nur die Hardware zwei mal. Das kann man machen, wenn man das möchte - Ist ja frei dem Kunden überlassen.
Die meisten Partner haben zwei Pakete, die sie schnüren: Kleines Büro und Großes Büro. Und da entscheiden Sie frei nach: Willst du 1 Tag offline sein oder mit Failover arbeiten. Failover kostet dich X mehr im initialen Installation bzw. X Euro mehr bei der Monatlichen Pauschale.

Moin @Fenris14,

das Problem kann ich durchaus nachvollziehen.
Aber, auch in einer kleinen Praxis müssen deren Patientendaten, genau so sicher sein wie auch in einem grossen Krankenhaus, alleine schon wegen der Schweigepflicht.

Man muss auch die Häufigkeit von Ausfällen berücksichtigen auf lange Zeit.

Ja ... jedoch kostet HA, vor allem auf das Gesamtprojekt gerechnet, meistens keine 5% Aufpreis, daher überlegen unsere Kunden an diesem Punkt auch nicht wirklich sehr lange.

Des weiteren muss man nicht bei OPNsense die Hardware von Deciso kaufen um eine Business Edition zu aktivieren. Da gibt es noch kostengünstigere Setups die nicht weniger geeignet sind, teilweise sogar mehr Leistung und Anschlüsse bieten. Stichwort APU oder Supermicro Chassis.

Ich habe mit den 550,- € für die kleine OPNsense Appliance auch nicht wirklich ein Problem.
Denn die Gerätle laufen sicherlich genau so wie die Sophos Appliances, locker 5 bis 6 Jahre oder sogar mehr.
Und auf 5 Jahre gerechnet, macht 550,- € * 2 / 60 Monate, gerade mal 18,33 € pro Monat für die FW-Hardware aus, was nun wirklich nicht die Welt ist, auch nicht für eine kleine Arztpraxis. Dafür hat die entsprechende Praxis jedoch auch die Garantie, dass sie auch zu 100% eine vom Hersteller unterstützte Hardware hat. Deren Sicherheit derselbe Hersteller im Auge behalten muss, wie auch der von der Softwarelösung. Sprich, bei einem Problem, hast du mit der Hardware die offiziell von OPNsense angeboten wird, schopn mal eine potentielle Problem-Ping-Pong-Schnittstelle weniger.

Die Finanzierung und Subventionierung von Arztpraxen wird auf kurz oder lang weiter heruntergefahren. Dabei ist die jetzt schon prekär. Niedergelassene Ärzte werden immer weniger und Patienten immer mehr. Deshalb schließen die sich mittlerweile eher zu MVZ zusammen. Bedeutet eben weniger Stress.

Ich kenne auch einige Ärzte von denen mittlerweile so gut wie alle absolut überlastet sind, jedoch nagt keiner von diesen an irgendeinem Hungertuch. Im Gegenteil, viele davon steigen nach Feierabend in einen > 100K Auto ein und wechseln dieses auch alle paar Jahre.

Ich kenne hier in der Umgebung quasi keine Praxis mit nur einem Arzt der so ein Setup hätte, mit HA-Cluster und redundanten Internetverbindungen (wenn es nur LTE ist). Niemand, wirklich niemand.

Na ja, ein mit LTE als Backup abgesicherter Bussiness Internetanschluss ...

geschaeftskunden.telekom.de/business/produkte/internet-festnetz/ ...

... oder ...

vodafone.de/business/festnetz-internet/professionelle-anschluess ...

... kosten heutzutage kaum viel mehr wie ein "normaler" Anschluss.

Ich kann davon berichten, weil ich lustigerweise in einer anderen Funktion am Thema dran bin und da immer wieder Einblick habe. Das meiste Geld geht tatsächlich drauf für die Lizensierung der Praxis-Software und Anbindung TI.

Ja, die gematik langt ordentlich zu und auch die Lizenzen für die Praxis-Software sind stellenweise nicht ohne.
Daher verstehe ich auch nicht wirklich, dass man dann ausgerechnet bei einer FW/SGW, über die/das am Ende des Tages auch bei einem Arzt sehr vieles Kritisches drüber läuft und was auch den wichtigsten Schutzwall gegenüber dem alles andere als friedlichem Internet darstellt, nun anfängt grossartig zu sparren. 😔

Ich will hier nur die Behauptung entkräften das es nicht mit einer OPNsense möglich wäre den Anforderungen der BSI gerecht zu werden.

Natürlich kann man auch mit einer OPNsense + ZenAmor (incl. SSL-Interception) und vor allem einer richtigen Konfiguration und auch Pflege, die Anforderungen des BSI erfüllen!

Aber eben nicht so, wie es @nachgefragt die ganze Zeit behauptet, sprich, so gut wie kostenlos und auch mit ohne Verantwortung und dann aber viel besser wie Sophos oder Securepoint und solche Scherze.

Zum Thema Verantwortung bei Vorfällen: Am Ende ist bei grobfährlässigen Entscheidungen natürlich der Dienstleister Mode. Das gilt aber genauso wenn der Dienstleister das Produkt von Sophos/Securepoint/whatever einsetzt. Wenn er Scheiße baut, ist er dran.

👏👏👏 so ist das auch.

Gruss Alex

Moin @LucarToni,

Ich bin echt langsam verunsichert, ob du nur die Hälfte liest und verstehst, was wir hier schreiben.

mit nur der Hälfte, bist du aber sehr optimistisch. 🙃

By the way.
Wenn @nachgefragt, ein Sophos XG(S) Gateway im Vorfeld genau so gewissenhaft getestet hat, wie er es hier selber die ganze Zeit bei einer OPNsense vorschlägt, wie kann es dann sein, dass er nach einer derart gründlichen und professionellen Vorprüfung, im Nachgang so viele Probleme hatte? 🤔

Weil im Vorfeld nix richtig geprüft und oder auch keinen Plan gehabt, wie man ein Gerät dieser Kategorie überhaupt anständig konfiguriert/betreut.
😔

Gruss Alex

Allgemein Firewall

Mehr von knurrhahn

Geeignete Firewall für Telematik Infrastruktur in Kleinpraxen?knurrhahn - 35 Kommentare

Erfahrungen mit Hardware-Testkarten für Mainboards und RAM-Module?knurrhahn - 2 Kommentare

Senden "an Mail Empfänger" per Batchfile individualisierenknurrhahn - 6 Kommentare

ChatGPT verweist jetzt auf Quellen, z.B. Fachliteraturknurrhahn - 2 Kommentare

Heiß diskutiert