knurrhahn

Geeignete Firewall für Telematik Infrastruktur in Kleinpraxen?

Moin ihr Lieben,


bei einigen meiner Kunden (therapeutische Ein-Personen-Praxen) soll in nächster Zeit der TI-Zugang vom Einzelkonnektor auf den Anschluss an ein TI-Terminal (gehostet von der Fa. RISE) umgestellt werden. Dazu wird z.B. vom PVS-Anbieter Psyprax eine "Black Dwarf" zur Miete (gegen hohe Gebühren) als VPN-Gateway ausschließlich für die Geräte der TI (PVS-PC, Kartenterminal etc.) angeboten. Die Administration dieses Geräts wird ausschließlich von Psyprax durchgeführt. Der Praxisinhaber bzw. dessen DVO hat keine Zugriffsberechtigung. Laut AGB soll der Praxisinhaber andere Geräte außerhalb der TI selbst gegenüber dem Inernet absichern (auf diesen Punkt wird in den Werbeschriften nicht hingewiesen).

Die Praxen haben jeweils eine Fritzbox, an deren Gastzugang Konnektor (serieller Anschluss) + PC + Drucker + Kartenterminal für PVS und TI sowie am Hauptanschluss einen Laptop (mit USB-Anschluss zum Drucker) für allgemeinen Internetzugang angeschlossen sind.

Ich bin auf der Suche nach einer kostengünstigen Gesamtlösung für diese Praxen, basierend auf einer Kombination aus Modem und UTM-Firewall (Anforderung des BSI), in die sich der TI-Zugang für das Praxisverwaltungssystem integrieren lässt. Leider begrenzt sich meine Erfahrung mit Firewalls auf die pfsense. Mit anderen Systemen bin ich noch nicht in Berührung gekommen. Als Modem hatte ich das ZYXEL VMG3006-D70A o.ä. ins Auge gefasst.

Von den Datenblättern her müssten Sophos XGS 87 oder Securepoint RC100 ausreichen. Bei Sophos finde ich aber das Lizenzangebot äußerst verwirrend.

Meine Frage:
gibt es von euch zu den Firewalls irgendwelche Empfehlungen bezüglich der geeigneten Lizenen, der "einfachen" Administrierbarkeit, der TCO etc. oder liege ich da vielleicht auch ganz falsch?

Für jeden Hinweis wäre ich dankbar.

Beste Grüße und ein schönes Pfingstwochenende

knurrhahn
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 673262

Url: https://administrator.de/forum/firewall-telematik-infrastruktur-praxis-673262.html

Ausgedruckt am: 10.06.2025 um 12:06 Uhr

radiogugu
radiogugu 08.06.2025 aktualisiert um 15:57:28 Uhr
Goto Top
Mahlzeit.

Der Artikel ist schon ein paar Tage älter, gibt aber ein Beispiel, wie man es kostengünstig realisieren kann:

Firewall in Arztpraxis mit Konnektor

Wie wird in diesen Praxen denn telefoniert? Festnetz oder mittels Mobiltelefon? Falls Letzteres und ein DSL Anschluss gegeben ist, könnte man sich der Fritzbox gänzlich entledigen und ein nur Modem (das angesprochene Zyxel oder ein Draytek 167) anschaffen.

Bei Kabelanschlüssen ist das etwas diffiziler. Man könnte dann mit Exposed Host in Richtung der eigenen Firewall arbeiten.

Es geht bei einer gewissen Anzahl an sich gleichender Kunden-Architekturen darum, eine flache, einfach zu wartende Infrastruktur aufzubauen. Diese muss wahrscheinlich zusätzlich noch effizient sein, was die Kosten betrifft.

Gibt es definierte Anforderungen an das Konstrukts? Muss es ein Konstrukt der größeren Player am Markt sein

Falls nicht...

- Würde ich zwei baugleiche Mini-PC anschaffen (z.B. IPU-System)
- PFSense / OPNSense installieren
- VLAN fähiges Switch z.B. von Mikrotik mit entsprechend vielen Ports (PoE einplanen?) anschaffen
- Subnetze mit VLAN erstellen (u.a. PC, WiFi, Telematik, Backup)
- Switch entsprechend konfigurieren
- Firewall-Regeln erstellen und nur das Nötigste in Richtung Internet erlauben
- Konfiguration regelmäßig sichern und auf den zweiten Mini-PC übertragen
- Regelmäßig den zweiten Mini-PC ans Netzwerk hängen und entsprechend testen, ob alles klappt
- NAS als Backup-Ziel und mehrere externe Festplatten anschaffen
- Regelmäßiger Wechsel der externen Festplatten am NAS und Lagerung beim Chef daheim

Optional:
- ggfs. WiFi Access Points anschaffen und entsprechend verkabeln und mittels Regelwerk abschotten


Das wäre für mich ein kleiner Baukasten, um mehrere sich gleichender Projekte schnell abzuwickeln.

Einmalige Investitionskosten würde ich knapp unter 1.900 € netto pro Infrastruktur beziffern.
Lizenzkosten für Office-Produkte oder andere Dinge kämen dann noch oben drauf.

Gruß
Marc
Avoton
Avoton 08.06.2025 um 19:38:13 Uhr
Goto Top
Moin,

Für eine 1 Personen Praxis halte ich die RC100 doch für übertrieben.

Da würde es auch der angesprochene Black Dwarf (Pro) tun.

Gruß,
Avoton
lordfire112
lordfire112 09.06.2025 um 14:29:37 Uhr
Goto Top
Ich kann hier nur die Securepoint Firewalls empfehlen, zum einen sind es wirklich gute Firewalls, zum anderen haben sie einen eingebauten TI Proxy, in den man die Einstellungen für das TK Gateway importieren kann.
Läuft super stabil, egal in welcher Praxisgröße.
Und ja bei einer kleinen Praxis reicht eine BlackDrwaf oder BlackDrwaf pro aus.
knurrhahn
knurrhahn 09.06.2025 um 16:34:06 Uhr
Goto Top
moin @radiogugu,

vielen Dank für deine schnelle ausführliche Antwort. Technisch gesehen folge ich dir in allen Punkten und behalte deine Anregungen für spätere Verwendung im Hinterkopf. Meine private IT ist - etwas weniger komplex - ähnlich aufgebaut (Modem-pfsense-Fritzbox für Telefonie). Kritisch sehe ich dabei den Einsatz der pfsense.

Die DSGVO fordert in Artikel 32, nur Geräte und Maßnahmen einzusetzen, die dem aktuellen Stand der Technik entsprechen. Das scheint mir bei den Securepoint- und Sophosprodukten(je nach Lizenzmodell) der Fall zu sein. Bei der pfsense wird die Vergleichbarkeit mit den o.g. Produkten, auch hier im Forum, sehr kontrovers diskutiert. Um mir hier eine Meinung aus eigener Erfahrung bilden zu können, fehlen mir gerade die zeitlichen und finanziellen Ressourcen.

Zugegeben, das ist zunächst einmal eine formelle Herangehensweise, die von der Haftung in einem evtl. Schadensfall ausgeht (nicht sehr befriedigend).

Von daher werde ich jetzt den Hinweisen von @Avoton und @lordfire112 - danke auch an euch für die schnelle Antwort - nachgehen, was bestimmt noch zu weiteren Fragen führen wird.

Beste Grüße
knurrhahn
commodity
commodity 10.06.2025 um 10:43:16 Uhr
Goto Top
Also jedem Tierchen sein Pläsierchen.

Ich habe vor einiger Zeit eine Securepoint Black Dwarf verwaltet und es war damals und bis heute für mich das mieseste Gerät, was ich als Firewall in der Hand hatte. Terra vertreibt sie halt und deshalb haben sie hohen Zuspruch von Händlern, aber ich habe im Netzwerk gern Geräte, mit denen man vernünftig arbeiten kann - nicht solche, die man nur reinhängt, um Verantwortung von sich weisen zu können.

Im Vergleich dazu fand ich eine Sophos vom Handling um ein Vielfaches angenehmer, obgleich ich diese auch nicht wirklich mag. Bei Sophos und Securepoint finde ich die Dokus und Forenunterstützung mehr als dürftig.

Ich betreue überwiegend (allerdings etwas größere) Arztpraxen und keine bekommt von mir eine UTM.
UTM-Firewall (Anforderung des BSI)
Diese vermeintliche Anforderung gibt es nicht und sie wäre auch kontraproduktiv.
Diskussion seinerzeit zur IT-Sicherheitsrichtlinie der KBV: Was ist nach Paragraph 75B SGB V eine Firewall?

UTMs verbessern IMO nicht die Sicherheit der Netzwerke von Arztpraxen, sondern gefährden sie. Die Problematik und Diskussion zum Thema "Schlangenöl" ist ja hinlänglich bekannt und wer fleißig heise security oder die CVE News verfolgt, sieht auch, dass die UTMs fast im Wochentakt mit Angriffsmöglichkeiten glänzen. So ein Gerät gehört nicht ans Perimeter bzw., wenn schon, wie ich es aus der Industrie kenne, dann kaskadiert mit der UTM eines anderen Herstellers.
Jede Firewall braucht Kenntnisse und regelmäßige Wartung/Einrichtung/Überprüfung/Monitoring. Für Kleinkunden wie Arztpraxen ist das kaum zu leisten, jedenfalls sind UTMs nicht die Tools, die das wirtschaftlich vertretbar gewährleisten. Ein Beispiel dafür, wie das dann in der realen Welt aussieht, findet sich hier.

Die Sicherheit des Netzwerkes (nicht nur) jeder Arztpraxis ist, gleich welches Gerät Verwendung findet, nur so gut wie die Networking-Kompetenzen ihres Dienstleisters. Daher meine Empfehlung: Setze Geräte ein, auf denen Du Dich wohl fühlst und dessen wesentlichen Funktionen Du beherrschen kannst.

OpenSource-Firewalls wie OPNsense oder PfSense sind vom Handling IMO besser, haben (soweit Englisch kein Hindernis ist - OPNsense hat sogar auch ein gutes deutsches Forum) gute Dokus und Foren und auch eine größere Verbreitung. OPNsense ist die Hausempfehlung von Thomas Krenn - für mich eine anderes Niveau als Terra face-wink Außerdem haben OpenSource-Firewalls keine Hersteller, die ihren Code verstecken müssen.

Ich selbst setze am Perimeter von Arztpraxen ausschließlich Mikrotik-Router ein. Das Firewalling ist sowohl rechtlich wie praktisch weit mehr als ausreichend, die Netzwerkfeatures und damit die Möglichkeiten, sein Netzwerk abzusichern und/oder transparent zu überwachen mehr als vielfältig. Wenn ich dann mal wieder auf das träge Webinterface einer UTM muss, freue ich mich immer, dass das nur noch selten der Fall ist.

Alle UTM-Fans dürfen solche bleiben face-smile

Viele Grüße, commodity
nachgefragt
nachgefragt 10.06.2025 aktualisiert um 10:54:24 Uhr
Goto Top
'+1 OPNsense
TI ist bei mir auch Thema, ich kenne im Gesundheitsbereich jemanden, dessen IT Audit abgehakt wurde, mit aktiver OPNsense (sogar ohne ZenArmor). Dienstleister zu finden ist auch kein Problem.

Verrückt machten uns zuvor Aussagen, man bräuchte eine "speziell zertifizierte" Firewall, dürfte also gar keine OPNsense in dem Bereich nutzen.

Sophos kann ich nicht mehr empfehlen, hab es viele Jahre genutzt.
Sophos UTM EOL - Ersatz für Mailgateway (mandantenfähig)
commodity
commodity 10.06.2025 um 11:22:07 Uhr
Goto Top
Verrückt machten uns zuvor Aussagen, man bräuchte eine "speziell zertifizierte" Firewall, dürfte also gar keine OPNsense in dem Bereich nutzen.
Ja, da geistert einiges an Fehlinfos rum. Und nichts vom vermeintlichen UTM-Nutzen ist wissenschaftlich belegt. Die Gefahren jedoch immer wieder anschaulich veröffentlicht. Am Ende ist Sophos ja gar selbst in die Netze seiner Kunden eingedrungen. Bodenlos.

Hier kann man auch nochmals nachlesen, dass die KBV-Richtlinie keine UTM- oder NGFW-Firewall fordert - Nr. 12 (die Antwort dort lautet "Hardware-Firewall").

Viele Grüße, commodity
Visucius
Visucius 10.06.2025 um 11:47:06 Uhr
Goto Top
die dem aktuellen Stand der Technik entsprechen

Ist ja auch so nen Unsinn. Da projeziert jeder rein, was er will. Je nach Sichtweise genügt es schon, dass die HW noch mit Sicherheitsupdates versorgt wird. 😉