36
Firewall in Arztpraxis mit Konnektor
Tag,
hat jemand von euch Erfahrung mit der Absicherung einer Arztpraxis? Speziell geht es um die Frage, ob zwingend eine Firewall hinter dem Konnektor (bei Nutzung des sogenannten 'Sicherer Internetzugang' SIS) stehen muss.
Geplant ist, den Konnektor (auch wegen der VPN Verbindung zur TI) sowie die Kartenlesegeräte mit Hilfe von pfSense vom Praxis-LAN zu trennen.
Leider kann man ja die TI Komponente nicht vom IAG (in dem Fall SIS) trennen. Sprich beides läuft über einen LAN Port. Ansonsten hätte ich jetzt Konnektor + Kartenlesegerät in ein VLAN gepackt und nur den Zugriff vom Praxis-LAN (PVS) auf den Konnektor erlaubt.
Wir müssen also eine Lösung finden, die Sicherheitsfeatures der pfSense auf die Datenpakete anzuwenden, die in Richtung SIS laufen ohne gleichzeitig die Kommunikation der 'TI-Komponente' zur PVS zu stören.
Hintergrund SIS: es handelt sich dabei um ein Internetzugang speziell für Arztpraxen basierend auf Application-Level-Gateway-Paketfilter-Struktur über den VPN eines Anbieters.
Problem: man hat keine Ahnung was der Anbieter an Sicherheitsfeatures anwendet. Hier gibt es keine richtigen Vorgaben vom BSI, außer dass kein Zugriff von außen erlaubt werden darf. Zusätzlich hängt man über den VPN sowohl in der Telematik-Infrastruktur als auch über den VPN beim Zugangsanbieter.
Wie würdet ihr vorgehen? Konnektor als WAN Interface einrichten und hoffen dass keine Komponenten der TI gestört werden ?(ohne gleichzeitig die Absicherung des eigentlichen Internetzugangs abzuschwächen)
hat jemand von euch Erfahrung mit der Absicherung einer Arztpraxis? Speziell geht es um die Frage, ob zwingend eine Firewall hinter dem Konnektor (bei Nutzung des sogenannten 'Sicherer Internetzugang' SIS) stehen muss.
Geplant ist, den Konnektor (auch wegen der VPN Verbindung zur TI) sowie die Kartenlesegeräte mit Hilfe von pfSense vom Praxis-LAN zu trennen.
Leider kann man ja die TI Komponente nicht vom IAG (in dem Fall SIS) trennen. Sprich beides läuft über einen LAN Port. Ansonsten hätte ich jetzt Konnektor + Kartenlesegerät in ein VLAN gepackt und nur den Zugriff vom Praxis-LAN (PVS) auf den Konnektor erlaubt.
Wir müssen also eine Lösung finden, die Sicherheitsfeatures der pfSense auf die Datenpakete anzuwenden, die in Richtung SIS laufen ohne gleichzeitig die Kommunikation der 'TI-Komponente' zur PVS zu stören.
Hintergrund SIS: es handelt sich dabei um ein Internetzugang speziell für Arztpraxen basierend auf Application-Level-Gateway-Paketfilter-Struktur über den VPN eines Anbieters.
Problem: man hat keine Ahnung was der Anbieter an Sicherheitsfeatures anwendet. Hier gibt es keine richtigen Vorgaben vom BSI, außer dass kein Zugriff von außen erlaubt werden darf. Zusätzlich hängt man über den VPN sowohl in der Telematik-Infrastruktur als auch über den VPN beim Zugangsanbieter.
Wie würdet ihr vorgehen? Konnektor als WAN Interface einrichten und hoffen dass keine Komponenten der TI gestört werden ?(ohne gleichzeitig die Absicherung des eigentlichen Internetzugangs abzuschwächen)
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 556100
Url: https://administrator.de/contentid/556100
Printed on: April 27, 2024 at 17:04 o'clock
36 Comments
Latest comment
Dazu solltest du ganz dringend das hier lesen:
https://www.heise.de/select/ct/2020/3/1580498856872446
Das beantwortet alle deinen Fragen zu dem Komplex !
Eine kleine Firewall ist hier also absolutes Muß wenn man auf Nummer sicher gehen will !
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
https://www.heise.de/select/ct/2020/3/1580498856872446
Das beantwortet alle deinen Fragen zu dem Komplex !
Eine kleine Firewall ist hier also absolutes Muß wenn man auf Nummer sicher gehen will !
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Das es hier noch keine verpflichtende Richtlinien gibt ist lächerlich. Genauso wie immer suggeriert wurde dass ein SIS ausreichend sei.
Ich werde mir deine Anleitungen mal anschauen.
Ich werde mir deine Anleitungen mal anschauen.
Wenn man den Heise Artikel liest kann man sich so oder so nur gruseln und besser ganz schnell weglaufen und hoffen nie krank zu werden um einen Arzt zu besuchen...!!!
Foren Kollege @keine-ahnung bestätiugt das hier ja auch immer wieder mehr oder minder.
Foren Kollege @keine-ahnung bestätiugt das hier ja auch immer wieder mehr oder minder.
Zitat von @lostin:
Das es hier noch keine verpflichtende Richtlinien gibt ist lächerlich. Genauso wie immer suggeriert wurde dass ein SIS ausreichend sei.
Ich werde mir deine Anleitungen mal anschauen.
Das es hier noch keine verpflichtende Richtlinien gibt ist lächerlich. Genauso wie immer suggeriert wurde dass ein SIS ausreichend sei.
Ich werde mir deine Anleitungen mal anschauen.
Ist wirklich bedauerlich, aber so kann man rückwirkend besser Ärzte und Admins in die Mangel nehmen. Gut, vielleicht ist das mittlerweile auch angebracht, wenn man sich anschaut, wie hier manche Fragen gestellt werden (nicht unbedingt auf dich gemünzt
)
Der Witz an der ganzen Geschichte ist auch, dass der IT Support es von Grund auf schlecht einrichtet.
Bei mir wurde aus Kompatibilitätsgrunden die Windows Firewall und Windows Updates deaktiviert und als Firewall hatte ich lediglich einen Zyxel Router mit http Blocklist.
So hat das System dann 6 Jahre vor sich hin vegetiert. Auf dem Installationsprotokoll wurde es auch noch so festgehalten.
So wird es bei vielen anderen Arztpraxen auch aussehen. Der Konnektor wird dann einfach im parallel Modus drangeklatscht und fertig.
Gleichzeitig muss die Firewalllösung aber auch im Verhältnis zum Nutzen stehen. Nur weil ich täglich 1x meine Labordaten abrufen möchte, kann (bzw will) ich mir keine teure Firewall mit jährlichen Kosten leisten. Insbesondere wenn genau dafür ja eig. der SIS mit Volumenbegrenzung gedacht war.
Zu meiner Frage noch einmal:
Ich würden den Konnektor weiterhin im seriellen Modus laufen lassen, nur dass ich jetzt meine pfSense Firewall zwischen Server und Konnektor einrichte. Ist es denn prinzipiell möglich den Konnektor als WAN Interface einzurichten? Ich würde aus Haftbarkeitsgründen ungerne diese Reihenschaltung aufgeben.
Bei mir wurde aus Kompatibilitätsgrunden die Windows Firewall und Windows Updates deaktiviert und als Firewall hatte ich lediglich einen Zyxel Router mit http Blocklist.
So hat das System dann 6 Jahre vor sich hin vegetiert. Auf dem Installationsprotokoll wurde es auch noch so festgehalten.
So wird es bei vielen anderen Arztpraxen auch aussehen. Der Konnektor wird dann einfach im parallel Modus drangeklatscht und fertig.
Gleichzeitig muss die Firewalllösung aber auch im Verhältnis zum Nutzen stehen. Nur weil ich täglich 1x meine Labordaten abrufen möchte, kann (bzw will) ich mir keine teure Firewall mit jährlichen Kosten leisten. Insbesondere wenn genau dafür ja eig. der SIS mit Volumenbegrenzung gedacht war.
Zu meiner Frage noch einmal:
Ich würden den Konnektor weiterhin im seriellen Modus laufen lassen, nur dass ich jetzt meine pfSense Firewall zwischen Server und Konnektor einrichte. Ist es denn prinzipiell möglich den Konnektor als WAN Interface einzurichten? Ich würde aus Haftbarkeitsgründen ungerne diese Reihenschaltung aufgeben.
Der Witz an der ganzen Geschichte ist auch, dass der IT Support es von Grund auf schlecht einrichtet.
Weil viele einfach I... sind
was meinst du, wie viele Kunden ich mit völlig falscher Konfiguration übernahm. Das ist dann der Typus, der hier für jeden Supportcase eine Frage aufmacht.
Gleichzeitig muss die Firewalllösung aber auch im Verhältnis zum Nutzen stehen. Nur weil ich täglich 1x meine Labordaten abrufen möchte,
kann (bzw will) ich mir keine teure Firewall mit jährlichen Kosten leisten. Insbesondere wenn genau dafür ja eig. der SIS mit
Volumenbegrenzung gedacht war.
kann (bzw will) ich mir keine teure Firewall mit jährlichen Kosten leisten. Insbesondere wenn genau dafür ja eig. der SIS mit
Volumenbegrenzung gedacht war.
und das ist eben falsch. Eine Firewall schützt !jeden! Netzwerktraffic und "teuer" ist immer eine Frage der Relation. Aber wenn man natürlich kein Geld ausgeben will, dann braucht man sich auch nicht über schlechte Konzepte und oder Umsetzung wundern. Hatte auch schonmal eine Umzugsfirma, die haben für ein paar k ein schlechtes Netz zusammen gespart, nichts funktionierte und als man es dann ordentlich machen wollte, war plötzlich wieder alles zu teuer, nun gut, dann...
Zitat von @falscher-sperrstatus:
und das ist eben falsch. Eine Firewall schützt !jeden! Netzwerktraffic und "teuer" ist immer eine Frage der Relation. Aber wenn man natürlich kein >Geld ausgeben will, dann braucht man sich auch nicht über schlechte Konzepte und oder Umsetzung wundern.
und das ist eben falsch. Eine Firewall schützt !jeden! Netzwerktraffic und "teuer" ist immer eine Frage der Relation. Aber wenn man natürlich kein >Geld ausgeben will, dann braucht man sich auch nicht über schlechte Konzepte und oder Umsetzung wundern.
Ich gebe ja bereits Geld für den SIS aus und habe eine Volumenbegrenzung von 2GB (?). Das ist ja der Grundgedanke an dem SIS, also einen preiswerten 'sicheren' Internetzugang für Arztpraxen sicherzustellen. Das Problem ist nur, dass dieser Zugang nicht ausreichend regelmentiert wird und der Zugangsanbieter bestimmt allein wie sicher es ist.
Und das Grundproblem bleibt ja weiterhin bestehen: ich bin mit 2 mir unbekannten Netzwerken verbunden, die theoretisch Zugriff auf meine Server haben.
Am liebsten würde ich den Stecker ziehen, aber auch das DARF ich nicht, ansonsten kriege ich Honorarabzüge.
Die SIS ist auch nicht im Ansatz eine Firewall.
Kauf dir eine ordentliche Firewall und lass dich von jemand unabhängigen beraten.
Kauf dir eine ordentliche Firewall und lass dich von jemand unabhängigen beraten.
Die Entscheidung für pfSense ist für mich bereits getroffen. Solange es keine verbindlichen Richtlinien gibt, werde ich ausschließlich eine Netzwerksegmentierung mit Zugriffsbeschränkungen von Server -> Konnektor durchführen. Dazu noch alle DNS Server ins Leere laufen lassen.
Damit müsste ich schon deutlich besser aufgestellt sein als die meisten Praxen. Außerdem bin ich nicht dazu bereit, aus eigener Tasche mehr zu bezahlen, wenn wir zwangsweise mit der TI verbunden sein müssen.
Mich würden jetzt vor allem Erfahrungsberichte interessieren, falls jemand schon einmal einen Konnektor als WAN Interface definiert hat.
Damit müsste ich schon deutlich besser aufgestellt sein als die meisten Praxen. Außerdem bin ich nicht dazu bereit, aus eigener Tasche mehr zu bezahlen, wenn wir zwangsweise mit der TI verbunden sein müssen.
Mich würden jetzt vor allem Erfahrungsberichte interessieren, falls jemand schon einmal einen Konnektor als WAN Interface definiert hat.
@lostin
Die SIS-Anbieter müssen sich dafür vom BSI zertifizieren lassen, insofern bist Du zumindest aus der juristischen Verantwortlichkeit raus. Wenn Dein Anbieter Dir 2GB traffic anbietet, reicht das für die paar Millibit Labordaten auch dicke hin im Monat, aber wie willst Du dann die Telefonie realisieren? Wirst ja kein Telefonkupfer mehr liegen haben?
Pack den Konnektor in eine DMZ und jut is ....
LG, Thomas
Das Problem ist nur, dass dieser Zugang nicht ausreichend regelmentiert wird und der Zugangsanbieter bestimmt allein wie sicher es ist.
Die SIS-Anbieter müssen sich dafür vom BSI zertifizieren lassen, insofern bist Du zumindest aus der juristischen Verantwortlichkeit raus. Wenn Dein Anbieter Dir 2GB traffic anbietet, reicht das für die paar Millibit Labordaten auch dicke hin im Monat, aber wie willst Du dann die Telefonie realisieren? Wirst ja kein Telefonkupfer mehr liegen haben?
Pack den Konnektor in eine DMZ und jut is ....
LG, Thomas
Soweit ich weiß ist der SIS ausdrücklich nicht BSI zertifiziert und damit dürften wir eigentlich nicht aus der Haftung sein. Die einzige Vorgabe ist lediglich die Application-Level-Gateway Struktur.
Die Telefonie ist bei mir vorgeschaltet und hängt an der Fritzbox.
Ich frage mich aber warum der Konnektor nicht 2 unterschiedliche Interfaces für jeweils SIS und TI-Komponente besitzt. Warum konzipiert man ein Gerät so, dass man keine unterschiedlichen Filterregeln für die eig. sichere TI Komponente und die unsichere SIS Komponente anwenden kann?
Wie kann man sich z.B gegen Trojaner schützen, wenn man den Datenverkehr auf Grund der Verschlüsselung und daraus entstehenden Problemen von Sicherheitszertifikaten nicht durch eine Firewall filtern kann?
Für mich sieht es momentan so aus als wenn ich entweder bei Nutzung des SIS die Sicherheit in die Hände meines Anbieters gebe oder aber ich die Verantwortung selbst übernehme mit eigener Firewall im Parallelbetrieb zum Konnektor. Zuletzt genannte ist mir einfach zu teuer.
Die Telefonie ist bei mir vorgeschaltet und hängt an der Fritzbox.
Ich frage mich aber warum der Konnektor nicht 2 unterschiedliche Interfaces für jeweils SIS und TI-Komponente besitzt. Warum konzipiert man ein Gerät so, dass man keine unterschiedlichen Filterregeln für die eig. sichere TI Komponente und die unsichere SIS Komponente anwenden kann?
Wie kann man sich z.B gegen Trojaner schützen, wenn man den Datenverkehr auf Grund der Verschlüsselung und daraus entstehenden Problemen von Sicherheitszertifikaten nicht durch eine Firewall filtern kann?
Für mich sieht es momentan so aus als wenn ich entweder bei Nutzung des SIS die Sicherheit in die Hände meines Anbieters gebe oder aber ich die Verantwortung selbst übernehme mit eigener Firewall im Parallelbetrieb zum Konnektor. Zuletzt genannte ist mir einfach zu teuer.
@lostin
Du musst Dir mal die Verfahrensbeschreibungen für die Zulassung der GEMATIK für den VPN-Zugangsdienst anschauen, da hängt das BSI durchaus mit drin ...
Wenn das über ein VOIP-Amt geht, ist die Nutzung des SIS IMHO weitgehend sinnfrei ... der Dienst ist nach meinem Verständnis eigentlich dafür gedacht, sämtlichen Datenverkehr mit dem pöhsen WWW über den connector zu juchteln, wenn dieser quasi als"Router" direkt am WAN-Zugang hängt. Nur dass der traffic dann beim Zugangsdienstanbieter geroutet wird und der die firewall-Funktionalität stellt.
Dann bräuchtest Du allein für das Geraffel zwei getrennte Zugänge zum ISP ... wird dann allmählich teuer
. Und die TI-Funktionen laufen doch schon über den VPN-Zugangsdienst ...
Soweit ich weiß ist der SIS ausdrücklich nicht BSI zertifiziert
Du musst Dir mal die Verfahrensbeschreibungen für die Zulassung der GEMATIK für den VPN-Zugangsdienst anschauen, da hängt das BSI durchaus mit drin ...
Die Telefonie ist bei mir vorgeschaltet und hängt an der Fritzbox.
Wenn das über ein VOIP-Amt geht, ist die Nutzung des SIS IMHO weitgehend sinnfrei ... der Dienst ist nach meinem Verständnis eigentlich dafür gedacht, sämtlichen Datenverkehr mit dem pöhsen WWW über den connector zu juchteln, wenn dieser quasi als"Router" direkt am WAN-Zugang hängt. Nur dass der traffic dann beim Zugangsdienstanbieter geroutet wird und der die firewall-Funktionalität stellt.
Ich frage mich aber warum der Konnektor nicht 2 unterschiedliche Interfaces für jeweils SIS und TI-Komponente besitzt.
Dann bräuchtest Du allein für das Geraffel zwei getrennte Zugänge zum ISP ... wird dann allmählich teuer
. Und die TI-Funktionen laufen doch schon über den VPN-Zugangsdienst ...
Geehrter Kollege,
schön Sie als Leidensgenosse hier zu treffen. Die anderen Mitleser sein gewarnt! Die Geschichte hinter Konnektor, der Firma CGM und entsprechenden Ministerien ist "Alu-Hut" würdig. Hier passiert ein Klamauk wo selbst IT-fachfremdes Publikum die Hände über dem Kopf zusammenschlägt. #Neuland
Folgende Konfiguration hat sich meinerseits letztendlich als zielführend erwiesen:
- Konnektor ist am Ende ein Gerät in meinem LAN und hinter der Firewall, aktuell noch Sophos UTM, aber schon mit pfSense getestet (in Vorbereitung, ich werde die UTM im Sommer außer Dienst schicken). Die Verbindung ins Internet erfolgt über einen klassischen Telekom Anschluß. Bisher konnte ich nicht ermitteln wie das AIS intern mit dem Konnektor kommuniziert.
- Dem Konnektor ist per Firewall nur die Kommunikation zu den Netzen 185.188.0.64 / 26, 185.188.2.64 / 26 (SiS), sowie 185.188.0.0 / 26 und 185.188.2.0 / 26 (Ti) erlaubt.
- Zusätzlich dazu ist der Zugriff auf die Dienste / Ports:
-- HTTP (TCP/80),
-- IPsec - ESP,
-- IPsec - IKE (UDP/500),
-- IPsec - NAT-T (UDP/4500),
-- sowie für die Registrierung den Port TCP/8443
restriktiert.
So läuft es störungsfrei und ohne anderweitge Ausfälle, wenn jemand eine produktive Idee hat --> ich werde dieser Diskussion weiter folgen.
Dem bleibt noch zu sagen, dass sie meines Wissens das Unternehmen in Regress nehmen können, welches ihnen die Firewallkomponenten deaktiviert hat. Laut unserem Obmann sollte die Inbetriebnahme des Konnektors möglich sein, ohne die Vorhandene Infrastruktur zu beeinträchtigen. Jegliche außerbetriebnahme von vorhandenen Sicherheitsoptionen, Firewall, etc. erfolgt lediglich aus Bequemlichkeit und zu gunsten einer schnellen (da pauschal vergütetetn) Einrichtung.
Mit besten Grüßen,
schön Sie als Leidensgenosse hier zu treffen. Die anderen Mitleser sein gewarnt! Die Geschichte hinter Konnektor, der Firma CGM und entsprechenden Ministerien ist "Alu-Hut" würdig. Hier passiert ein Klamauk wo selbst IT-fachfremdes Publikum die Hände über dem Kopf zusammenschlägt. #Neuland
Folgende Konfiguration hat sich meinerseits letztendlich als zielführend erwiesen:
- Konnektor ist am Ende ein Gerät in meinem LAN und hinter der Firewall, aktuell noch Sophos UTM, aber schon mit pfSense getestet (in Vorbereitung, ich werde die UTM im Sommer außer Dienst schicken). Die Verbindung ins Internet erfolgt über einen klassischen Telekom Anschluß. Bisher konnte ich nicht ermitteln wie das AIS intern mit dem Konnektor kommuniziert.
- Dem Konnektor ist per Firewall nur die Kommunikation zu den Netzen 185.188.0.64 / 26, 185.188.2.64 / 26 (SiS), sowie 185.188.0.0 / 26 und 185.188.2.0 / 26 (Ti) erlaubt.
- Zusätzlich dazu ist der Zugriff auf die Dienste / Ports:
-- HTTP (TCP/80),
-- IPsec - ESP,
-- IPsec - IKE (UDP/500),
-- IPsec - NAT-T (UDP/4500),
-- sowie für die Registrierung den Port TCP/8443
restriktiert.
So läuft es störungsfrei und ohne anderweitge Ausfälle, wenn jemand eine produktive Idee hat --> ich werde dieser Diskussion weiter folgen.
Dem bleibt noch zu sagen, dass sie meines Wissens das Unternehmen in Regress nehmen können, welches ihnen die Firewallkomponenten deaktiviert hat. Laut unserem Obmann sollte die Inbetriebnahme des Konnektors möglich sein, ohne die Vorhandene Infrastruktur zu beeinträchtigen. Jegliche außerbetriebnahme von vorhandenen Sicherheitsoptionen, Firewall, etc. erfolgt lediglich aus Bequemlichkeit und zu gunsten einer schnellen (da pauschal vergütetetn) Einrichtung.
Mit besten Grüßen,
- Konnektor ist am Ende ein Gerät in meinem LAN und hinter der Firewall, aktuell noch Sophos UTM, aber schon mit pfSense getestet (in
Vorbereitung, ich werde die UTM im Sommer außer Dienst schicken). Die Verbindung ins Internet erfolgt über einen klassischen Telekom Anschluß.
Bisher konnte ich nicht ermitteln wie das AIS intern mit dem Konnektor kommuniziert.
Vorbereitung, ich werde die UTM im Sommer außer Dienst schicken). Die Verbindung ins Internet erfolgt über einen klassischen Telekom Anschluß.
Bisher konnte ich nicht ermitteln wie das AIS intern mit dem Konnektor kommuniziert.
Darf ich fragen, warum? Bzw mit welchem Funktionsumfang die Sophos in Betrieb war?
Dem bleibt noch zu sagen, dass sie meines Wissens das Unternehmen in Regress nehmen können, welches ihnen die Firewallkomponenten deaktiviert hat.
Wäre doch mal ein Ansatz
@TheEPOCH
Wofür? Da muss man ja erst einmal einen bezifferbaren Schaden nachweisen können ....
Aber es scheinen sich da schon Strolche auf dem IT-Markt rumzutreiben - ist wohl seit meiner Niederlassung nicht besser geworden. Aber wir sollten uns aktuell ja eher mit anderen Viren herumschlagen müssen ...
LG, Thomas
dass sie meines Wissens das Unternehmen in Regress nehmen können
Wofür? Da muss man ja erst einmal einen bezifferbaren Schaden nachweisen können ...
.Aber es scheinen sich da schon Strolche auf dem IT-Markt rumzutreiben - ist wohl seit meiner Niederlassung nicht besser geworden. Aber wir sollten uns aktuell ja eher mit anderen Viren herumschlagen müssen ...
LG, Thomas
Bzw mit welchem Funktionsumfang die Sophos in Betrieb war?
Letztendlich wurden nur die Firewall- und die VPN-Funktion wirklich verwendet. Mittlerweile schätze ich persönlich für mich die Handhabung (GUI) bzw. meine eigene hinzugewonnene Erfahrung so ein, dass ich mit der pfSense klarkommen werde.
Wofür? Da muss man ja erst einmal einen bezifferbaren Schaden nachweisen können ...
Stimmt, aber so ein Feature reaktiviert sich ja auch nicht von alleine.
Nein man muss dazu wissen, dass bevor diese offizielle Information bekannt wurde, ist ja auch schon viel Schindluder passiert. Stichwort, Pflichttermin, Strafzahlungen Seitens der Ärzte bei Nichteinhaltung. Kurzum es war viel Platz für eine erhebliche Grauzone.
Wer Lust auf eine haarsträubende Geschichte hat sollte sich da mal einen Abend durchgoogeln. Gerade wer am Thema IT-Sicherheit interessiert ist wird den Kopf schütteln.
dass ich mit der pfSense klarkommen werde.
Ansonsten helfen dir die zahlreichen pfSense Tutorials hier:IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
usw.
Oder eben einfach hier fragen...
haarsträubende Geschichte hat sollte sich da mal einen Abend durchgoogeln
Muss man gar nicht !Da reicht die Heise_Geschichte oben von den Arztpraxen schon vollends aus. Mehr Gruseln geht eigentlich schon gar nicht mehr !!!
bei mir hängt der Konnektor hinter der Sophos (Proxy und Firewall), SIS ist deaktiviert
Ihr scheint den Konnektor ja HINTER der Firewall zu betreiben, ich will ihn dagegen VOR der Firewall haben. Zwischen PVS und Konnektor soll dann nur Kommunikation über Port 443 erlaubt sein. Die Kartenterminals kommen dann ins gleiche VLAN wie der Konnektor.
Das nächste Ärgernis: in meiner PVS ist die Konfiguration des Konnektors (IP, Port) Passwort geschützt. Falls ich mein Netzwerk segmentiere, muss ich noch Tage auf einen 'Techniker' warten, bis die IP umgestellt wird. Solange können dann natürlich auch keine Karten eingelesen werden.
Das muss man sich mal überlegen. Ich muss bezahlen und Tage warten, bis sich jemand meldet, um die im PVS eingestellte IP Adresse meines Konnektors zu ändern. Nicht weil ich nicht dazu in der Lage wäre, sondern weil die Funktion mit einem Passwort abgeriegelt wurde.
Das nächste Ärgernis: in meiner PVS ist die Konfiguration des Konnektors (IP, Port) Passwort geschützt. Falls ich mein Netzwerk segmentiere, muss ich noch Tage auf einen 'Techniker' warten, bis die IP umgestellt wird. Solange können dann natürlich auch keine Karten eingelesen werden.
Das muss man sich mal überlegen. Ich muss bezahlen und Tage warten, bis sich jemand meldet, um die im PVS eingestellte IP Adresse meines Konnektors zu ändern. Nicht weil ich nicht dazu in der Lage wäre, sondern weil die Funktion mit einem Passwort abgeriegelt wurde.
Das muss man sich mal überlegen. Ich muss bezahlen und Tage warten, bis sich jemand meldet, um die im PVS eingestellte IP Adresse meines Konnektors zu ändern. Nicht weil ich nicht dazu in der Lage wäre, sondern weil die Funktion mit einem Passwort abgeriegelt wurde.
Willkommen in Deutschland. Aber was glaubst du, warum das so ist? Selbes Spiel wie bei 50 innerorts, irgendjemand hat es mal übertrieben und nun müssen eben alle leiden.
@lostin
Dann stellst Du ihn entweder mit dem Nackten ins WAN oder Du nutzt zwingend den SIS für den kompletten traffic Deiner Praxis, das würde auch die Telefonie betreffen. Ob da 2GB im Monat reichen?
Funktioniert nicht - Du musst sämtliche Ports durchreichen, die von Deinem Praxis-LAN nach aussen genutzt werden, sonst wirst Du nicht telefonieren können, kein Labor über sftp abholen etc.pp.
Wenn man sich schon auf solche Barrieren einlässt ... wozu muss da ein Techniker ins Haus kommen? Bspw. die medatixx nutzt für solche Anlässe die Fernwartung via teamviewer - nicht schön, aber mitunter unvermeidbar.
LG, Thomas
ich will ihn dagegen VOR der Firewall haben
Dann stellst Du ihn entweder mit dem Nackten ins WAN oder Du nutzt zwingend den SIS für den kompletten traffic Deiner Praxis, das würde auch die Telefonie betreffen. Ob da 2GB im Monat reichen?
Zwischen PVS und Konnektor soll dann nur Kommunikation über Port 443 erlaubt sein.
Funktioniert nicht - Du musst sämtliche Ports durchreichen, die von Deinem Praxis-LAN nach aussen genutzt werden, sonst wirst Du nicht telefonieren können, kein Labor über sftp abholen etc.pp.
Falls ich mein Netzwerk segmentiere, muss ich noch Tage auf einen 'Techniker' warten
Wenn man sich schon auf solche Barrieren einlässt ... wozu muss da ein Techniker ins Haus kommen? Bspw. die medatixx nutzt für solche Anlässe die Fernwartung via teamviewer - nicht schön, aber mitunter unvermeidbar.
LG, Thomas
Dann stellst Du ihn entweder mit dem Nackten ins WAN oder Du nutzt zwingend den SIS für den kompletten traffic Deiner Praxis, das würde auch
die Telefonie betreffen. Ob da 2GB im Monat reichen?
die Telefonie betreffen. Ob da 2GB im Monat reichen?
Ja genau so ist es geplant. Haftung komplett an Gematik abgeben in dem ich mich ausschließlich hinter den Konnektor hänge. Dazu dann noch die Firewall+VLAN um mich vom SIS zu trennen.
Telefonie wie gesagt spielt bei uns keine große Rolle. Telefonanlage hängt an einer Fritzbox und Daten werden nicht gespeichert.
Im schlimmsten Fall legt bei uns jemand die Telefonanlage flach - das wäre für mich aber im Vergleich zu Datenverlusten ein geringes Übel.
Funktioniert nicht - Du musst sämtliche Ports durchreichen, die von Deinem Praxis-LAN nach aussen genutzt werden, sonst wirst Du nicht
telefonieren können, kein Labor über sftp abholen etc.pp.
telefonieren können, kein Labor über sftp abholen etc.pp.
Tatsächlich brauchen wir nur Port 443 für Labor, Abrechnung etc. Dadurch dass ich Konnektor mit Kartenlesegeräte in ein VLAN packe kann ich mir die restlichen Ports auch sparen.
Welchen Vorteil bringt es dir die Telefonie mit in dein Netzwerk zu integrieren (bezogen auf Arztpraxis) ?
Welchen Vorteil bringt es dir die Telefonie mit in dein Netzwerk zu integrieren (bezogen auf Arztpraxis)
Prinzipiell erst einmal gar Keinen. Ich habe hier ein Mischumgebung aus ISDN- und VOIP-Systemtelefonen, CTI und UC spielt problemlos mit beiden Standards.
Das meinte ich aber gar nicht - Du wirst ja an einem VOIP-Amt hängen oder hast Du noch einen echten ISDN-Amtsanschluss?? Bei VOIP kommen schon einige Millibit im Monat zusammen, zumindest bei mir. Ich kommuniziere auch ziemlich heftig via mail mit den Patienten - macht auch traffic. Windows- und Officeupdates. Von den Quartalsupdates meines PVS nebst den monatlichen updates der Arzneimittel-DB will ich mal gar nicht reden, das sind bei mir im Quartal round about 5 Gbyte. Willst Du das alles von dohoam aus machen und auf Flashspeicher durch die Gegend tragen?
Warum baust Du Dir nicht eine DMZ für die Schnüffelkiste von der GEMATIK?
LG, Thomas
Zitat von @keine-ahnung:
Warum baust Du Dir nicht eine DMZ für die Schnüffelkiste von der GEMATIK?
LG, Thomas
Warum baust Du Dir nicht eine DMZ für die Schnüffelkiste von der GEMATIK?
LG, Thomas
Weil ich dann ja immer noch den Internetzugang durch eine Firewall in Eigenverantwortung absichern müsste. Das Risiko ist mir dann einfach zu groß.
Ich habe noch einmal nachgeschaut und komme auf 5GB Datenvolumen. Wenn ich die Updates günstig time müsste es klappen.
Willkommen zurück im Steinzeitalter ;)
Das meinte ich aber gar nicht - Du wirst ja an einem VOIP-Amt hängen oder hast Du noch einen echten ISDN-Amtsanschluss??
Nein wir nutzen schon VOIP.
Ich hab das Gefühl, dass du um jeden Preis die sophos raus haben willst. Selbst, wenn der Preis unter dem Strich höher ist, als mit. Aber vielleicht ist es auch einfach fehl Konzeptioniert
Ja genau so ist es geplant. Haftung komplett an Gematik abgeben in dem ich mich ausschließlich hinter den Konnektor hänge.
Verstehe ich das gerade richtig das du Deinen kompletten Traffic (inkl. Softwareupdates, Email Traffic, etc.) über den Konnektor laufen lassen willst und das in der Hoffnung das für alles Schindluder die Gematik aufkommt? Wenn ja wo steht das? Meines Wissens und meiner Lesart übernhmen die lediglich die Telematik und evt. mal irgendwann die Telemedizin. Aber bitte kläre mich auf!
Weil ich dann ja immer noch den Internetzugang durch eine Firewall in Eigenverantwortung absichern müsste. Das Risiko ist mir dann einfach zu groß.
Ich bin zwar auch nicht begeistert aber so ist es gedacht. Die Gesetzte schreiben andere und Du bezahlst dafür. Willkommen am unteren Ende der Nahrungskette.
Zitat von @TheEPOCH:
Verstehe ich das gerade richtig das du Deinen kompletten Traffic (inkl. Softwareupdates, Email Traffic, etc.) über den Konnektor laufen lassen willst und das in der Hoffnung das für alles Schindluder die Gematik aufkommt? Wenn ja wo steht das? Meines Wissens und meiner Lesart übernhmen die lediglich die Telematik und evt. mal irgendwann die Telemedizin. Aber bitte kläre mich auf!
Verstehe ich das gerade richtig das du Deinen kompletten Traffic (inkl. Softwareupdates, Email Traffic, etc.) über den Konnektor laufen lassen willst und das in der Hoffnung das für alles Schindluder die Gematik aufkommt? Wenn ja wo steht das? Meines Wissens und meiner Lesart übernhmen die lediglich die Telematik und evt. mal irgendwann die Telemedizin. Aber bitte kläre mich auf!
Ja.
Die gematik stellt in ihrem Informationsblatt "Datenschutz und Haftung in der
Telematikinfrastruktur" klar, dass die Haftung des Arztes/Psychotherapeuten nach der
Datenschutzgrundverordnung in jedem Fall ausscheidet, wenn die zugelassenen
Komponenten (insbesondere der Konnektor) der TI bestimmungsgemäß verwendet werden
und gemäß den im Betriebshandbuch der Komponenten beschriebenen Anforderungen
aufgestellt und betrieben werden.
Seite 21 von 55
Eine Haftung scheidet nach Auffassung der gematik in diesem Fall aber auch nach jeder
anderen vergleichbaren Norm (Vertrags- oder Deliktsrecht) aus, da nach allen
haftungsrechtlichen Tatbeständen den Datenverarbeiter ein Verschulden treffen müsse. Ein
solches Verschulden liegt bei sachgemäßem Anschluss jedoch nicht vor. Die gematik weist
außerdem darauf hin, dass dies auch für jegliche strafrechtliche Haftung des Arztes bei der
Nutzung eines Konnektors gelte.
Ab dem Konnektor liegt die Verantwortung für den sicheren Betrieb der TI bei der gematik
und weiteren Netzanbietern.
Telematikinfrastruktur" klar, dass die Haftung des Arztes/Psychotherapeuten nach der
Datenschutzgrundverordnung in jedem Fall ausscheidet, wenn die zugelassenen
Komponenten (insbesondere der Konnektor) der TI bestimmungsgemäß verwendet werden
und gemäß den im Betriebshandbuch der Komponenten beschriebenen Anforderungen
aufgestellt und betrieben werden.
Seite 21 von 55
Eine Haftung scheidet nach Auffassung der gematik in diesem Fall aber auch nach jeder
anderen vergleichbaren Norm (Vertrags- oder Deliktsrecht) aus, da nach allen
haftungsrechtlichen Tatbeständen den Datenverarbeiter ein Verschulden treffen müsse. Ein
solches Verschulden liegt bei sachgemäßem Anschluss jedoch nicht vor. Die gematik weist
außerdem darauf hin, dass dies auch für jegliche strafrechtliche Haftung des Arztes bei der
Nutzung eines Konnektors gelte.
Ab dem Konnektor liegt die Verantwortung für den sicheren Betrieb der TI bei der gematik
und weiteren Netzanbietern.
Die Gematik wird sich beim SIS evtl herausreden können. Im Zweifel stehst du aber aber sicherlich besser da als ohne SIS. Insbesondere wenn ich hier an Bußgelder durch DSGVO denke.
Blödsinn, wenn deine Prozesse bzw IT-Sicherheit schlecht ist, dann hilft dir keine Gematik, keine SIS und auch sonst nichts.
Zitat von @falscher-sperrstatus:
Blödsinn, wenn deine Prozesse bzw IT-Sicherheit schlecht ist, dann hilft dir keine Gematik, keine SIS und auch sonst nichts.
Blödsinn, wenn deine Prozesse bzw IT-Sicherheit schlecht ist, dann hilft dir keine Gematik, keine SIS und auch sonst nichts.
Was haust du da für ein Halbwissen raus? Die Gematik übernimmt die Haftung der TI bei serieller Installation vollständig.
Achso, und vollständige Haftung heisst alles? 
Na dann weiss ich auch nicht, warum nicht alle Ärzte einfach alles über die Gematik machen *Sarkasmus off*
Ich hab eher das Gefühl, dass du die einzelnen Punkte, die das -alles- betrifft zusammenwirfst.
Übrigens lautet die Aussage: Gematik stellt klar: Praxen haften nicht für TI aber das ist eben auch nur ein Punkt und zu dem muss das "ordnungsgemäßer Nutzung" unterliegen, zu dem Einrichtung und bei dem Frickelwerk, was ich bisher bei Ärzten gesehen hab, haben selbst die Ärztesystemhäuser davon oft keine Ahnung - ggf. auch, weil die Gematik selbst da nicht den besten Weg kennt, das lässt Spielraum. Hier aber zu sagen, dass die Gematik die komplette Haftung für IT-Sec, DSGVO etc pp übernimmt (oder dies in die Richtung lenkt) ist höchstgefährlich.
Sorry, aber vielleicht solltest du nochmals einen Nachhilfekurs bei Thomas nehmen.
Na dann weiss ich auch nicht, warum nicht alle Ärzte einfach alles über die Gematik machen *Sarkasmus off*Ich hab eher das Gefühl, dass du die einzelnen Punkte, die das -alles- betrifft zusammenwirfst.
Übrigens lautet die Aussage: Gematik stellt klar: Praxen haften nicht für TI aber das ist eben auch nur ein Punkt und zu dem muss das "ordnungsgemäßer Nutzung" unterliegen, zu dem Einrichtung und bei dem Frickelwerk, was ich bisher bei Ärzten gesehen hab, haben selbst die Ärztesystemhäuser davon oft keine Ahnung - ggf. auch, weil die Gematik selbst da nicht den besten Weg kennt, das lässt Spielraum. Hier aber zu sagen, dass die Gematik die komplette Haftung für IT-Sec, DSGVO etc pp übernimmt (oder dies in die Richtung lenkt) ist höchstgefährlich.
Sorry, aber vielleicht solltest du nochmals einen Nachhilfekurs bei Thomas nehmen.
Lies dir lieber noch einmal meine letzten Beiträge durch, bevor du mir vorwirfst Sachverhalte zu vermischen.
Es scheint mir eher so als wenn du von dem Sachverhalt wenig verstehen würdest. Ich hoffe wirklich dass du keine Praxen betreust.
Es scheint mir eher so als wenn du von dem Sachverhalt wenig verstehen würdest. Ich hoffe wirklich dass du keine Praxen betreust.
Zitat von @lostin:
Ja.
Zitat von @TheEPOCH:
Verstehe ich das gerade richtig das du Deinen kompletten Traffic (inkl. Softwareupdates, Email Traffic, etc.) über den Konnektor laufen lassen willst und das in der Hoffnung das für alles Schindluder die Gematik aufkommt? Wenn ja wo steht das? Meines Wissens und meiner Lesart übernhmen die lediglich die Telematik und evt. mal irgendwann die Telemedizin. Aber bitte kläre mich auf!
Verstehe ich das gerade richtig das du Deinen kompletten Traffic (inkl. Softwareupdates, Email Traffic, etc.) über den Konnektor laufen lassen willst und das in der Hoffnung das für alles Schindluder die Gematik aufkommt? Wenn ja wo steht das? Meines Wissens und meiner Lesart übernhmen die lediglich die Telematik und evt. mal irgendwann die Telemedizin. Aber bitte kläre mich auf!
Ja.
Sagt alles. Ansonsten, Quellen.
Das Ja bezog sich darauf allein den im Konnektor eingebauten SIS zu verwenden.
Ansonsten:
SIS Anbieter sind BSI zertifiziert.
Ansonsten:
Die Gematik wird sich beim SIS evtl herausreden können. Im Zweifel stehst du aber aber sicherlich besser da als ohne SIS. Insbesondere wenn ich >hier an Bußgelder durch DSGVO denke.
SIS Anbieter sind BSI zertifiziert.
Eben und das ist ein wahnsinnig gefährlicher Trugschluss.
Im Infoblatt "Datenschutz und Haftung in der Telematikinfrastruktur" schreibt die gematik ganz klar, sie ist raus bei:
- DSGVO
- alles zivilrechtliche
- "Ausnutzung von Sicherheitslücken des zertifizierten Konnektors durch Dritte kommen,"
"Anderslautende Informationen und Behauptungen entbehren jeglicher rechtlichen Grundlage."
Wenn man sich aber jetzt allerdings mal aus der juristischen Sichtweise herausbewegt und sich bewusst macht, dass man eine Verantwortung für seine Patienten hat, sollte man sich klar machen, dass der Konnektor Baujahr 2009 ist und aufgrund von verschiedener Zertifizierungsverfahren & Co. IT-technisch altes Eisen ist.
Letzendlich bin ich auch nur interessierter Laie, aber meiner persönlichen Meinung nach gehört vor mein Netzwerk einfach ne Firewall.
- DSGVO
- alles zivilrechtliche
- "Ausnutzung von Sicherheitslücken des zertifizierten Konnektors durch Dritte kommen,"
"Anderslautende Informationen und Behauptungen entbehren jeglicher rechtlichen Grundlage."
Wenn man sich aber jetzt allerdings mal aus der juristischen Sichtweise herausbewegt und sich bewusst macht, dass man eine Verantwortung für seine Patienten hat, sollte man sich klar machen, dass der Konnektor Baujahr 2009 ist und aufgrund von verschiedener Zertifizierungsverfahren & Co. IT-technisch altes Eisen ist.
Letzendlich bin ich auch nur interessierter Laie, aber meiner persönlichen Meinung nach gehört vor mein Netzwerk einfach ne Firewall.
Letzendlich bin ich auch nur interessierter Laie, aber meiner persönlichen Meinung nach gehört vor mein Netzwerk einfach ne Firewall.
Interesse - perfekt
davor bzw dahinter gehört eine FW, dito.