knurrhahn

Geeignete Firewall für Telematik Infrastruktur in Kleinpraxen?

Moin ihr Lieben,


bei einigen meiner Kunden (therapeutische Ein-Personen-Praxen) soll in nächster Zeit der TI-Zugang vom Einzelkonnektor auf den Anschluss an ein TI-Terminal (gehostet von der Fa. RISE) umgestellt werden. Dazu wird z.B. vom PVS-Anbieter Psyprax eine "Black Dwarf" zur Miete (gegen hohe Gebühren) als VPN-Gateway ausschließlich für die Geräte der TI (PVS-PC, Kartenterminal etc.) angeboten. Die Administration dieses Geräts wird ausschließlich von Psyprax durchgeführt. Der Praxisinhaber bzw. dessen DVO hat keine Zugriffsberechtigung. Laut AGB soll der Praxisinhaber andere Geräte außerhalb der TI selbst gegenüber dem Inernet absichern (auf diesen Punkt wird in den Werbeschriften nicht hingewiesen).

Die Praxen haben jeweils eine Fritzbox, an deren Gastzugang Konnektor (serieller Anschluss) + PC + Drucker + Kartenterminal für PVS und TI sowie am Hauptanschluss einen Laptop (mit USB-Anschluss zum Drucker) für allgemeinen Internetzugang angeschlossen sind.

Ich bin auf der Suche nach einer kostengünstigen Gesamtlösung für diese Praxen, basierend auf einer Kombination aus Modem und UTM-Firewall (Anforderung des BSI), in die sich der TI-Zugang für das Praxisverwaltungssystem integrieren lässt. Leider begrenzt sich meine Erfahrung mit Firewalls auf die pfsense. Mit anderen Systemen bin ich noch nicht in Berührung gekommen. Als Modem hatte ich das ZYXEL VMG3006-D70A o.ä. ins Auge gefasst.

Von den Datenblättern her müssten Sophos XGS 87 oder Securepoint RC100 ausreichen. Bei Sophos finde ich aber das Lizenzangebot äußerst verwirrend.

Meine Frage:
gibt es von euch zu den Firewalls irgendwelche Empfehlungen bezüglich der geeigneten Lizenen, der "einfachen" Administrierbarkeit, der TCO etc. oder liege ich da vielleicht auch ganz falsch?

Für jeden Hinweis wäre ich dankbar.

Beste Grüße und ein schönes Pfingstwochenende

knurrhahn
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 673262

Url: https://administrator.de/forum/firewall-telematik-infrastruktur-praxis-673262.html

Ausgedruckt am: 16.06.2025 um 20:06 Uhr

radiogugu
Lösung radiogugu 08.06.2025 aktualisiert um 15:57:28 Uhr
Goto Top
Mahlzeit.

Der Artikel ist schon ein paar Tage älter, gibt aber ein Beispiel, wie man es kostengünstig realisieren kann:

Firewall in Arztpraxis mit Konnektor

Wie wird in diesen Praxen denn telefoniert? Festnetz oder mittels Mobiltelefon? Falls Letzteres und ein DSL Anschluss gegeben ist, könnte man sich der Fritzbox gänzlich entledigen und ein nur Modem (das angesprochene Zyxel oder ein Draytek 167) anschaffen.

Bei Kabelanschlüssen ist das etwas diffiziler. Man könnte dann mit Exposed Host in Richtung der eigenen Firewall arbeiten.

Es geht bei einer gewissen Anzahl an sich gleichender Kunden-Architekturen darum, eine flache, einfach zu wartende Infrastruktur aufzubauen. Diese muss wahrscheinlich zusätzlich noch effizient sein, was die Kosten betrifft.

Gibt es definierte Anforderungen an das Konstrukts? Muss es ein Konstrukt der größeren Player am Markt sein

Falls nicht...

- Würde ich zwei baugleiche Mini-PC anschaffen (z.B. IPU-System)
- PFSense / OPNSense installieren
- VLAN fähiges Switch z.B. von Mikrotik mit entsprechend vielen Ports (PoE einplanen?) anschaffen
- Subnetze mit VLAN erstellen (u.a. PC, WiFi, Telematik, Backup)
- Switch entsprechend konfigurieren
- Firewall-Regeln erstellen und nur das Nötigste in Richtung Internet erlauben
- Konfiguration regelmäßig sichern und auf den zweiten Mini-PC übertragen
- Regelmäßig den zweiten Mini-PC ans Netzwerk hängen und entsprechend testen, ob alles klappt
- NAS als Backup-Ziel und mehrere externe Festplatten anschaffen
- Regelmäßiger Wechsel der externen Festplatten am NAS und Lagerung beim Chef daheim

Optional:
- ggfs. WiFi Access Points anschaffen und entsprechend verkabeln und mittels Regelwerk abschotten


Das wäre für mich ein kleiner Baukasten, um mehrere sich gleichender Projekte schnell abzuwickeln.

Einmalige Investitionskosten würde ich knapp unter 1.900 € netto pro Infrastruktur beziffern.
Lizenzkosten für Office-Produkte oder andere Dinge kämen dann noch oben drauf.

Gruß
Marc
Avoton
Avoton 08.06.2025 um 19:38:13 Uhr
Goto Top
Moin,

Für eine 1 Personen Praxis halte ich die RC100 doch für übertrieben.

Da würde es auch der angesprochene Black Dwarf (Pro) tun.

Gruß,
Avoton
lordfire112
Lösung lordfire112 09.06.2025 um 14:29:37 Uhr
Goto Top
Ich kann hier nur die Securepoint Firewalls empfehlen, zum einen sind es wirklich gute Firewalls, zum anderen haben sie einen eingebauten TI Proxy, in den man die Einstellungen für das TK Gateway importieren kann.
Läuft super stabil, egal in welcher Praxisgröße.
Und ja bei einer kleinen Praxis reicht eine BlackDrwaf oder BlackDrwaf pro aus.
knurrhahn
knurrhahn 09.06.2025 um 16:34:06 Uhr
Goto Top
moin @radiogugu,

vielen Dank für deine schnelle ausführliche Antwort. Technisch gesehen folge ich dir in allen Punkten und behalte deine Anregungen für spätere Verwendung im Hinterkopf. Meine private IT ist - etwas weniger komplex - ähnlich aufgebaut (Modem-pfsense-Fritzbox für Telefonie). Kritisch sehe ich dabei den Einsatz der pfsense.

Die DSGVO fordert in Artikel 32, nur Geräte und Maßnahmen einzusetzen, die dem aktuellen Stand der Technik entsprechen. Das scheint mir bei den Securepoint- und Sophosprodukten(je nach Lizenzmodell) der Fall zu sein. Bei der pfsense wird die Vergleichbarkeit mit den o.g. Produkten, auch hier im Forum, sehr kontrovers diskutiert. Um mir hier eine Meinung aus eigener Erfahrung bilden zu können, fehlen mir gerade die zeitlichen und finanziellen Ressourcen.

Zugegeben, das ist zunächst einmal eine formelle Herangehensweise, die von der Haftung in einem evtl. Schadensfall ausgeht (nicht sehr befriedigend).

Von daher werde ich jetzt den Hinweisen von @Avoton und @lordfire112 - danke auch an euch für die schnelle Antwort - nachgehen, was bestimmt noch zu weiteren Fragen führen wird.

Beste Grüße
knurrhahn
commodity
Lösung commodity 10.06.2025 um 10:43:16 Uhr
Goto Top
Also jedem Tierchen sein Pläsierchen.

Ich habe vor einiger Zeit eine Securepoint Black Dwarf verwaltet und es war damals und bis heute für mich das mieseste Gerät, was ich als Firewall in der Hand hatte. Terra vertreibt sie halt und deshalb haben sie hohen Zuspruch von Händlern, aber ich habe im Netzwerk gern Geräte, mit denen man vernünftig arbeiten kann - nicht solche, die man nur reinhängt, um Verantwortung von sich weisen zu können.

Im Vergleich dazu fand ich eine Sophos vom Handling um ein Vielfaches angenehmer, obgleich ich diese auch nicht wirklich mag. Bei Sophos und Securepoint finde ich die Dokus und Forenunterstützung mehr als dürftig.

Ich betreue überwiegend (allerdings etwas größere) Arztpraxen und keine bekommt von mir eine UTM.
UTM-Firewall (Anforderung des BSI)
Diese vermeintliche Anforderung gibt es nicht und sie wäre auch kontraproduktiv.
Diskussion seinerzeit zur IT-Sicherheitsrichtlinie der KBV: Was ist nach Paragraph 75B SGB V eine Firewall?

UTMs verbessern IMO nicht die Sicherheit der Netzwerke von Arztpraxen, sondern gefährden sie. Die Problematik und Diskussion zum Thema "Schlangenöl" ist ja hinlänglich bekannt und wer fleißig heise security oder die CVE News verfolgt, sieht auch, dass die UTMs fast im Wochentakt mit Angriffsmöglichkeiten glänzen. So ein Gerät gehört nicht ans Perimeter bzw., wenn schon, wie ich es aus der Industrie kenne, dann kaskadiert mit der UTM eines anderen Herstellers.
Jede Firewall braucht Kenntnisse und regelmäßige Wartung/Einrichtung/Überprüfung/Monitoring. Für Kleinkunden wie Arztpraxen ist das kaum zu leisten, jedenfalls sind UTMs nicht die Tools, die das wirtschaftlich vertretbar gewährleisten. Ein Beispiel dafür, wie das dann in der realen Welt aussieht, findet sich hier.

Die Sicherheit des Netzwerkes (nicht nur) jeder Arztpraxis ist, gleich welches Gerät Verwendung findet, nur so gut wie die Networking-Kompetenzen ihres Dienstleisters. Daher meine Empfehlung: Setze Geräte ein, auf denen Du Dich wohl fühlst und dessen wesentlichen Funktionen Du beherrschen kannst.

OpenSource-Firewalls wie OPNsense oder PfSense sind vom Handling IMO besser, haben (soweit Englisch kein Hindernis ist - OPNsense hat sogar auch ein gutes deutsches Forum) gute Dokus und Foren und auch eine größere Verbreitung. OPNsense ist die Hausempfehlung von Thomas Krenn - für mich eine anderes Niveau als Terra face-wink Außerdem haben OpenSource-Firewalls keine Hersteller, die ihren Code verstecken müssen.

Ich selbst setze am Perimeter von Arztpraxen ausschließlich Mikrotik-Router ein. Das Firewalling ist sowohl rechtlich wie praktisch weit mehr als ausreichend, die Netzwerkfeatures und damit die Möglichkeiten, sein Netzwerk abzusichern und/oder transparent zu überwachen mehr als vielfältig. Wenn ich dann mal wieder auf das träge Webinterface einer UTM muss, freue ich mich immer, dass das nur noch selten der Fall ist.

Alle UTM-Fans dürfen solche bleiben face-smile

Viele Grüße, commodity
nachgefragt
Lösung nachgefragt 10.06.2025 aktualisiert um 10:54:24 Uhr
Goto Top
'+1 OPNsense
TI ist bei mir auch Thema, ich kenne im Gesundheitsbereich jemanden, dessen IT Audit abgehakt wurde, mit aktiver OPNsense (sogar ohne ZenArmor). Dienstleister zu finden ist auch kein Problem.

Verrückt machten uns zuvor Aussagen, man bräuchte eine "speziell zertifizierte" Firewall, dürfte also gar keine OPNsense in dem Bereich nutzen.

Sophos kann ich nicht mehr empfehlen, hab es viele Jahre genutzt.
Sophos UTM EOL - Ersatz für Mailgateway (mandantenfähig)
commodity
commodity 10.06.2025 um 11:22:07 Uhr
Goto Top
Verrückt machten uns zuvor Aussagen, man bräuchte eine "speziell zertifizierte" Firewall, dürfte also gar keine OPNsense in dem Bereich nutzen.
Ja, da geistert einiges an Fehlinfos rum. Und nichts vom vermeintlichen UTM-Nutzen ist wissenschaftlich belegt. Die Gefahren jedoch immer wieder anschaulich veröffentlicht. Am Ende ist Sophos ja gar selbst in die Netze seiner Kunden eingedrungen. Bodenlos.

Hier kann man auch nochmals nachlesen, dass die KBV-Richtlinie keine UTM- oder NGFW-Firewall fordert - Nr. 12 (die Antwort dort lautet "Hardware-Firewall").

Viele Grüße, commodity
Visucius
Visucius 10.06.2025 um 11:47:06 Uhr
Goto Top
die dem aktuellen Stand der Technik entsprechen

Ist ja auch so nen Unsinn. Da projeziert jeder rein, was er will. Je nach Sichtweise genügt es schon, dass die HW noch mit Sicherheitsupdates versorgt wird. 😉
knurrhahn
knurrhahn 11.06.2025 um 22:52:38 Uhr
Goto Top
Moin commodity, vielen dank für den aufschlussreichen Kommentar! Und danke auch an euch, nachgefragt und Visucius.

Gestern habe ich meinen gesamten Bestand an noch verbliebenen Dokumenten zu dem Thema durchsucht, aber die BSI-Äußerung zu UTM-Firewalls nicht (mehr) gefunden. Vielleich hat mich auch meine Erinnerung getrogen. Wie auch immer.
Gefunden habe ich aber den IT-Grundsicherungs-Baustein "NET.3.2 Firewall (Edition 2023), Datum 01.02.2023". Hier beschreibt das BSI die "3.1 Basis-Anforderungen (MUSS)" und die "3.2 Standard-Anforderungen (SOLL)" für "jede im Informationsverbund eingesetzte Firewall". NET.3.2 Firewall (Edition 2023) Weiteres Zitat:
3.2. Standard-Anforderungen
Gemeinsam mit den Basis-Anforderungen entsprechen die folgenden Anforderungen dem Stand der Technik (Hervorhebung von mir) für diesen Baustein. Sie SOLLTEN grundsätzlich erfüllt werden.

Ich kann mir gut vorstellen, dass hier die oberste in der BRD dafür zuständige Stelle einen Maßstab gesetzt hat, für das, was man zukünftig unter Stand der Technik in Artikel 32 der DSGVO zu verstehen hat, von dem man nur mit guten Argumenten abweichen kann (z.B. Verhältnismäßigkeit?). Seht ihr das auch so?

Ich hab versucht, die technischen Spezifikationen z.B. von OPNsense und Mikrotik RouterOS mit diesen Anforderungen zu vergleichen, bin aber aus Mangel an Kenntnissen an dem Versuch gescheitert. Könnt ihr etwas dazu sagen, ob die beiden Produkte in ausreichender Weise den vom BSI genannten Anforderungen entsprechen?

Beste Grüße
knurrhahn
knurrhahn
knurrhahn 11.06.2025 um 22:56:15 Uhr
Goto Top
@commodity: Welche Mikrotik-Modelle setzt du ein?
Visucius
Lösung Visucius 12.06.2025 aktualisiert um 00:10:39 Uhr
Goto Top
Keine Ahnung, wie das die Kollegen sehen. Aber bei einigen Punkten der BSI-Liste sag ich: Das bringt jede Fritzbox mit. Bei anderen, „gehört zum guten Ton, wenn ich schon ne OPNsense konfiguriere, und bei manchem „ist halt Kanonen auf Spatzen“.

Es bleibt halt eine 1-Personen-Praxis. Klar kannste da ne dicke Kladde anlegen und hinter jede Admin-Ebene und Aufgabe Deinen Namen „dokumentieren“ und Dir ein beweissicheres Dokumentationstool für alle Änderungen anschaffen. Und Du kannst auch mehrere unterschiedliche Firewalls in Reihe&Serie schalten. Du kannst auch ausgehend mit allow-Lists arbeiten. Ich vermute nur, Dein Kunde wird Dir da irgendwann aufs Dach steigen.

Du kannst die Firewall übrigens auch einfach als DL einkaufen – speziell für diese Kundengruppe. Da kommt dann am Ende übrigens so nen „Terra-Döschen“ raus und wird als 100% Aufwand verbucht.
commodity
Lösung commodity 12.06.2025 aktualisiert um 22:36:07 Uhr
Goto Top
Seht ihr das auch so?
nein. Zumal der "Stand der Technik" so gar nicht bestimmt werden kann. Das ist ja von hunderten Parametern abhängig. Wäre ja auch noch schöner, wenn die Marketingheinis von Sophos & Co. jetzt schon den "Stand der Technik" definieren. Das ist sicher ihr feuchter Traum.
Darf ich dann nur noch MS365 einsetzen? Oder Amazon S3? Welche KI? Windows, Microsoft überhaupt? Ist das Stand der Technik? Von den Russen gehackt, ein - von der CISA belegtes - Chaos an Defiziten in Organisation und Sicherheit? Und Linux geht ja gar nicht. Das benutzt ja keiner (?), das kann ja nicht Stand der Technik sein - oder? Na, dann fang mal an auf Apple umzurüsten. face-big-smile

"Stand der Technik" braucht schon einen gewissen fachwissenschaftlichen Unterbau, um Bestand vor den (allerdings technisch nicht ganz auf dem Stand befindlichen) Augen der Justiz zu haben. Germany ist ohnehin so rückständig in Sachen IT - da ist sowieso kaum etwas "Stand der Technik". Selbst LANCOM wird ja hier auch immer noch als Edelmarke gepriesen. Und oben las ich von Securepoint. Ein Witz, wie ich finde. Aber das ist nur meine unbescheidene Meinung.

Hier sind die Admins im Land versammelt, die sich über technische Fragen austauschen - auch wenn wenige schreiben, lesen einige mehr mit. Und die, die sich äußern, diskutieren hier immer wieder über die OPNsense, PfSense, Mikrotik und meinetwegen, es kommt mir schwer über die Tasten, auch Unifi u.a. face-wink. Wenn das so wider den Stand der Technik wäre, würde das schon durchscheinen, meinst Du nicht?

Würde der immer gern zitierte und fraglos höchst kompetente Kollege @aqui Netgear-Switche z.B. als "Stand der Technik" durchgehen lassen? Wo ist die Grenze? TP-Link? Oder ist alles unter Cisco-Niveau nicht DSGVO-Konform? Ist ein heute noch heißes Teil morgen nicht mehr "Stand der Technik", weil jemand ein noch heißeres neues Feature am Markt anpreist? Real setzt sich ein "Stand der Technik" eben erst nach Jahren als solcher durch, weil er erst dann eine Akzeptanz und Verbreitung gefunden hat, dass es als "Stand" angesehen werden kann. Zu diesem Zeitpunkt gibt es aber schon wieder viel moderneres Zeugs. Ob das besser ist und vielleicht mal zum "Stand der Technik" wird - oder es ein Rohrkrepierer war, zeigt sich dann erst deutlich später.

In vielen Teilen der Welt wird Mikrotik auch in Rechenzentren eingesetzt, sogar im Mutterland von Cisco face-big-smile. Der großartige Network Berg hat nach seinem Umzug von Südafrika nach GB beschrieben, dass er als RZ-Admin für Mikrotik erstmal Schwierigkeiten hatte, weil das in Europa so wenige Businesses nutzen. Ja, die alten Giganten haben eben ein gutes Marketing, dort wo Geld keine Rolle spielt. Woanders zählen andere Werte. Vielleicht sogar mehr technische? Wer weiß das schon.

Du siehst, mit dem Stand der Technik ist es nicht so einfach. Und jetzt brechen wir das mal auf die Branche "Niedergelassene ÄrztIn" runter. Die technisch ja unterste Anforderungen hat und wo die Fritzbox regiert. Wie schon zuvor beschrieben: Die KBV-Sicherheitsrichtlinie verlangt nicht einmal zwingend eine HW-Firewall.
Ich wage zu behaupten: Mehr als 90 % der Praxisbetreuer - inkl. der PVS-Betreuer sind nicht auf dem Stand der Technik. Und viele würden es zugeben. Ein DSGVO-Verstoß? Schon, dass Du Dir Gedanken machst, hebt Dich zugunsten der Sicherheit Deiner Kunden aus der Masse der Betreuer heraus.

Welche Mikrotik-Modelle setzt du ein?
In kleinen Praxen (bis 3 Ärzte) tut es ein hAP ac2 (ist leistungsfähiger als der alte hEX und kann WLAN) oder (heute) ax2, wenn es günstig sein soll, sonst würde ich ein RB5009 einsetzen - den wollte aber bislang keiner explizit und die hAPs tun es seit Jahren. In größeren Praxen kam es dann auf die 200 EUR auch nicht mehr an und es gab einen CCR2004-12G - was IMO eine gute Wahl ist, wenn auch für den Usecase völlig overpowered. Aber kostet eben auch nicht nennenswert mehr als eine neue Fritzbox - bei völlig anderem Niveau.
Aber Vorsicht: Steile Lernkurve. Mikrotik muss man wollen. Danach aber fühlt man bei allem anderen das Korsett face-big-smile

Viele Grüße, commodity
knurrhahn
knurrhahn 15.06.2025 um 17:47:04 Uhr
Goto Top
Moin Visucius und commodity, danke für eure Antworten!

@Visucius:
Du kannst die Firewall übrigens auch einfach als DL einkaufen – speziell für diese Kundengruppe. Da kommt dann am Ende übrigens so nen „Terra-Döschen“ raus und wird als 100% Aufwand verbucht.

Stimmt. Genau das war ja auch der Ausgangspunkt in meiner zu Anfang gestellten Frage.

@commodity: Danke für die konkreten Gerätehinweise!

Was den Begriff "Stand der Technik" in diesem Zusammenhang betrifft, seid ihr beiden leider nicht auf dem "Stand des Wissens" (wie viele andere auch - mich eingeschlossen bis vor ca 30 Min. face-wink )

Zitat: "Art. 32 DSGVO: Sicherheit der Verarbeitung
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten..." (Zitatende)

Zitat: "§ 64 BDSG: Anforderungen an die Sicherheit der Datenverarbeitung
(1) Der Verantwortliche und der Auftragsverarbeiter haben unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten. Der Verantwortliche hat hierbei die einschlägigen Technischen Richtlinien und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik zu berücksichtigen..." (Zitatende)
(Hervorhebungen von mir)

Von daher finde ich meine Frage immer noch naheliegend, verstehe aber, dass der Zeitaufwand recht groß wäre, sie zu beantworten:
Ich hab versucht, die technischen Spezifikationen z.B. von OPNsense und Mikrotik RouterOS mit diesen Anforderungen zu vergleichen, bin aber aus Mangel an Kenntnissen an dem Versuch gescheitert. Könnt ihr etwas dazu sagen, ob die beiden Produkte in ausreichender Weise den vom BSI genannten Anforderungen entsprechen?

Mal sehen, ob ChatGPT da weiterhelfen kann. Ich mache dazu vllt. einen neuen Thread.

Ein ganz anderes Thema bleibt noch, ob sich meine Kundinnen auf einen Vorschlag einlassen, der von dem Angebot des PVS-Anbieters abweicht (Motto: alles aus einer Hand) und ob die PVS-Anbieter ein anderes Modell als das von ihnen vorgeschlagene und ausschließlich von ihnen administrierte Firewallmodell akzeptieren. Hier sehe ich starke Tendenzen seitens der PVS-Anbieter, die DVOs aus dem Geschäft zu drängen.


Beste Grüße
knurrhahn
knurrhahn
knurrhahn 16.06.2025 um 00:29:17 Uhr
Goto Top
Hallo ihr Lieben,

die Diskussion mit euch hat mir geholfen, die Gedanken in meinem Kopf zu sortieren und die beiden Alternativen für mich genauer zu sehen. Danke dafür!
Auch wenn letzlich die Wahl zwischen BlackDwarf+Mikrotik-Switch und OPNsense noch nicht entschieden ist, bezeichne ich die Frage hier im Rahmen der Möglichkeiten als gelöst. Ich werde das Thema in einem anderen Thread noch einmal zuspitzen.

Beste Grüße
knurrhahn
jmueller
jmueller 16.06.2025 um 10:08:02 Uhr
Goto Top
Moin,

wieso nimmst nicht gleich einen Mikrotik Router (z.B. den RB5009UG+S+IN) und je nach Anschluss ein passendes Modem davor, der kann doch alles was du benötigst und seitens des BSI gefordert wird.
Und wenn du nicht ganz parat kommst mit der einstellung, einmalig was hilfe buchen und wenn alles fertig ist die config exportieren als skript und du brauchst es dann nur noch für andere Praxen anpassen.

Grüße
commodity
commodity 16.06.2025 aktualisiert um 11:09:51 Uhr
Goto Top
Was den Begriff "Stand der Technik" in diesem Zusammenhang betrifft, ...
Du kannst das ja für Dich interpretieren, wie Du magst. face-smile

Tatsächlich wird in beiden Normen der "Stand der Technik" zwar in Bezug genommen, aber in keiner Weise definiert. Kurz gesagt, der Aussagewert ist Null. An dieser Stelle geht der Interessierte z.B. in die Bibliothek seines örtlichen Jura-Fachbereiches und liest den Kommentar zu DSGVO bzw. BDSG dazu oder, wenn er Geld anfassen möchte, befragt er vier Anwälte und bekommt fünf Meinungen face-wink

Die Anforderung "dem Risiko angemessenes Schutzniveau" ist doch gleichermaßen selbstverständlich wie wachsweich wie selbstverständlich, jedenfalls sagt sie nichts über den "Stand der Technik" aus. Und dass war ja die Frage.

Die Anforderung des § 64 BDSG: "Der Verantwortliche hat hierbei die einschlägigen Technischen Richtlinien und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik zu berücksichtigen..." wäre zwar ebenfalls unproblematisch, weil das BSI ja jedenfalls nicht mehr als eine "Firewall" (= kein UTM, kein NGFW) fordert, sie ist aber vor allem nicht maßgeblich, denn Du hast wahrscheinlich überlesen, dass Teil 3 (§§ 45-84) des BDSG gem. § 45 BDSG nur für "die Verarbeitung personenbezogener Daten durch die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten zuständigen öffentlichen Stellen" gilt. Das hat mit Artzpraxen nichts zu tun.

ob sich meine Kundinnen auf einen Vorschlag einlassen, der von dem Angebot des PVS-Anbieters abweicht (Motto: alles aus einer Hand) und ob die PVS-Anbieter ein anderes Modell als das von ihnen vorgeschlagene und ausschließlich von ihnen administrierte Firewallmodell akzeptieren.

Die Sorge ist IMO unbegründet, obgleich natürlich die Tendenz besteht, den Kunden ausschließlich an sich zu binden. Dennoch kenne ich nicht einen PVS-Anbieter, der dem Kunden netzwerkbezogene Vorgaben machen würde. Die Anbieter sind im Allgemeinen netzwerktechnisch äußerst schlecht aufgestellt und wissen das auch. Natürlich besteht immer das Problem, dass der PVS-Anbieter bei einem Problem behauptet, es liege außerhalb seiner Sphäre - dann musst Du natürlich nachvollziehbar darlegen, warum es nicht an Dir liegt - oder besser: wo es liegt. Auch deshalb liebe ich die Mikrotiks, weil man nämlich jedes Paket sehr einfach verfolgen und loggen kann. Aber die Senses können das auch (wenn auch nicht so komfortabel) und ein Wireshark tut es am Ende auch.

Aber klar, man muss selbst natürlich einigermaßen fit sein, wenn man gegen etwaige Zuständigkeitskonflikte bestehen möchte. Ich habe dass aber noch nie als problematisch erlebt. Es gab vielmehr früher öfter problematische Situationen, weil der PVS-Supporter am Netzwerk rumfummelte und dabei mal eben z.B. Eingangs- und Ausgangsports verwechselte. Die Kollegen beim PVS sind ja keine Unmenschen, die erkennen auch, dass sie da nicht so viel Ahnung haben - und wenn Du ihnen dann erklären kannst, warum dass Problem nicht bei Deinem Netzwerk liegt, wird natürlich weiter supportet.

Was die Praxisinhaber angeht, war das bei mir nie eine Frage. Neben dem Kompetenzthema, mach mal einen Preisvergleich: Eine von z.B. CGM gestellte Firewall kostet m.E. nach ca. 80 EUR netto monatlich. Ein hAP ax2 kostet einmalig ungefähr das gleiche.
Hinzu aber kommt (und dass wiegt viel mehr): Eine Firewall, wenn sie streng konfiguriert ist, braucht (zumindest Gelegentlich) Wartung/Support, Updates, Feinschliff. Wenn nicht sowieso gemonitort, sollte man auch von Zeit zu Zeit mal die Logs untersuchen. Jedes Mal muss dann der PVS-Support für viel Geld ran, das ist im Allgemeinen teurer und viel unflexibler, als wenn das der DVO macht. Hinzu kommt, dass eine individuelle Konfiguration von denen nicht gemacht wird. Die PVS-Anbieter spielen Template ein und das war es dann. Ab dann wird kassiert.

Wenn Dir bei alledem aber Dein Bauchgefühl sagt, das ist nichts für Dich, dann ist es doch auch völlig ok, wenn Du das dem PVS überlässt und die All-in-one-Lösung kaufst. Wie ich oben schon schrieb, Du musst Dich (mit dem, was Du einsetzt) wohl fühlen.

Viele Grüße, commodity
Visucius
Visucius 16.06.2025 aktualisiert um 12:39:57 Uhr
Goto Top
@knurrhahn

Von mir auch noch ein paar Gedanken, die mir zu Deinem Beitrag durch den Kopf schossen:

Grundsätzlich:
Bzgl. einer Firewall reden wir immer von einer stateful firewall. D.h. konkret, von außen sind alle Ports "grundsätzlich" geschlossen. Nur wenn vom lokalen Netz ein Anfrage nach außen durchgereicht wird, darf die Antwort von außen durch den jeweiligen Port auch zurück. Insofern sind auch alle "stateful" Firewall erstmal "gleich sicher" – auch ne Fritze.

Router: Soll routen. D.h. im "plain-mode", default, usw. ist da keine Firewall aktiv und zwischen den verschiedenen Netzwerken wird erstmal transparent hin/her-geroutet. Du musst hier also eine (ggfs. stateful) Firewall erstmal aktivieren/konfigurieren.

Firewall (PF-, OPNsense, Sophos, ...): Hier ist im default erstmal überhaupt kein Verkehr zwischen unterschiedlichen Netzwerken/IP-Adressbereichen möglich – außer Du erlaubst es. Das Konzept ist sozusagen spiegelverkehrt zum Router und entspricht eher dem BSI-Ansatz des "whitelistings".

Beides kannst Du sicher konfigurieren, beides kannst Du unsicher konfigurieren, mit beidem könntest Du "whitelisting" betreiben. Nur bei der Firewall hast Du üblicher Weise mehr Einflussmöglichkeiten (geoblocking, autom. blocken von Angreifern, Proxis, Virenscanner, Pishingfilter, DNS-Filter, ... ). Dafür hast Du beim Router häufig eine - für Kleinstunternehmen - praxisgerechtere HW (mehr Ports, ggfs. PoE, Wifi, ...) die Dir weitere Zusatzgeräte (Switche, Kabel, Netzteile, ...) einspart. Im Fall von Mikrotik gibt es über Docker evtl. auch Möglichkeiten weitere Zusatzfunktionen hinzuzufügen – wenn man das ausgerechnet auf ner Firewall denn wollte.

BSI: Das von Dir oben verlinkte Papier richtet sich an alle Firmen(-größen). Klar kann man jetzt sagen, dass sensible Arztdokumente den höchsten Schutz genießen sollten. Aber seien wir ehrlich: Die Angriffsvektoren eines Mittelständlers, Behörde, internationalen Consultingunternehmens, sind andere, als die Beziehungsprobleme Lieschen Müllers.

Zudem skaliert die Firewall-Lösung für nen Mittelständler (mit eigener, geschulter IT) einfach anders, als für nen 1-Mann-Klitsche wo die mickrigste Sophos inkl. LIzenz 1.000 EUR +x kostet – ohne Konfiguration! Und Du bist dann ja immer noch nicht auf der gewählten Firewall geschult bzw. erfahren ... oder?

Und das alles nur um nen Windows-PC mit Psyprax und nen Drucker zu sichern – wobei Psyprax für die Abrechnung doch sowieso ne VPN aufbaut, so ich das recht entsinne.

Habe ich das BSI-Papier richtig in Erinnerung, gibt es Forderungen a la
a) Mehrstufigkeit: dafür könntest Du den lokalen PC "nachrüsten" bzw. -härten.
b) Getrennte Userkonten – macht ja nur Sinn, wenn es mehrere Bediener gibt.
c) getrennte vLANs: kannste im Prinzip auch mit dem GästeLAN der Fritze aufbauen. Praxisgerecht macht das aber natürlich jeder Business-Router und jede Business-Firewall
d) "Härten" in dem man Funktionen deaktiviert, die einfache Geräte gar nicht haben
e) ...

Häufig Dinge, die nach innen wirken und den Zugriff unbefugter Akteure aus dem lokalen Netzwerk limitieren sollen. Wenn bei Dir nur ein PC und ein Nutzer arbeitet, ist Potenzial hier aber überschaubarer als bei nem Mittelständler.

Vieles der BSI-Liste habe ich hier (unwissentlich) schon realisiert. Aber das ist hier eher "Hobby" – das rechne ich nicht "richtig" ab. Willst Du das als Kundendienstleistung abrechnen wird Dir Deine 1-Mann-Klitsche aufs Dach steigen. Und Du würdest (und könntest auch nicht) ja immer noch keine Haftung dafür übernehmen - oder?

Deswegen ja die Unternehmen (übrigens GmbHs 😉 ) die das als Template-DL zentral einmal anlegen und dann an alle Kunden ausrollen für - gerade geschaut - aktuell 50 EUR/Monat. Ich dachte eigentlich meine Kundin hatte dafür sogar nur um die 20 EUR/Monat gezahlt. Und wenns Probleme mit Psyprax gibt – klärt das Psyprax und der Anbieter unter sich.
improver
improver 16.06.2025 um 14:35:29 Uhr
Goto Top
Hallo zusammen,

@knurrhahn
du schreibst:

Die Praxen haben jeweils eine Fritzbox, an deren
Gastzugang Konnektor (serieller Anschluss) + PC + Drucker + Kartenterminal für PVS und TI sowie am
Hauptanschluss einen Laptop (mit USB-Anschluss zum Drucker) für allgemeinen Internetzugang angeschlossen sind.

Ich gehe davon aus, dass der Sinn hier die Trennung des "Internet-Alltags" vom "Praxis-Alltag" ist, korrekt?
Wie realisieren diese Praxen dann Anfragen von Patienten via Email mit ggf. Anhängen?
Wird dies dann über nen USB Stick übertragen?

Grundsätzlich sitze ich im gleichen Boot und möchte schon längst von der "Fritte" weg und OPNSense im Einsatz sehen, doch habe Bedenken bezüglich:
.Verbindungsproblemen, auf die sofort reagiert werden muss und
.dem Zusammenspiel mit dem Support des PVS-Anbieters und Laboren.

@commodity
wie handhabst du Verbindungsprobleme? ich kenne die eingesetzte Konfiguration nicht, kann mir jedoch vorstellen, dass du Ports, Protokolle und Adressen einschränkst.
Wie oft wirst du mit Problemen nach einem PVS Update konfrontiert, aktuell z.B. bezüglich ePA,
bei denen du dann sofort
1. rausfinden musst, welche ports/Protokolle gebraucht werden
2. diese entsprechend im Regelwerk anlegen musst
je nach Absprache mit dem Auftraggeber, bist du nach einer bestimmten Reaktionszeit im Einsatz, im besten Fall exklusiv, sprich niemand außer dir darf die Konfig anfassen.

@all Praxis-EDV-Admins
wie handhabt ihr den Zugriff auf kritische Komponenten wie z.B. Router?

Gern öffne ich hierzu auch einen separaten Thread, da es hier ja eigentlich um Hardware-Empfehlungen gehen soll und nicht
wie die Hardware und der Zugriff auf diese im Zusammenspiel mit weiteren Dienstleistern gehandhabt wird.

Cheers
commodity
commodity 16.06.2025 aktualisiert um 20:52:24 Uhr
Goto Top
@improver
gute Gedanken, finde ich. Deine Sorge ist IMO unbegründet.
wie handhabst du Verbindungsprobleme?
Das ist bislang gar kein Problem. Ich schränke Ports und Protokolle ein, dies aber nicht für das TI-VPN. Das VPN wird vom Konnektor aufgebaut. Der Konnektor routet dann ins VPN. Ich sehe bislang nicht, warum ich da etwas filtern sollte.

Für das SNK-Routing (ehem. KV-SafeNet) brauchst Du IMO nur 443. Es gibt aber erstaunlich wirre Infos zu freizugebenden Ports. Ganz gut ist dieser Link: https://www.ti-community.de/wiki:benoetigte-offene-ports-zur-ti

Der Rest des WWW nach Bedarf. Für Adressen gibt's (nicht überall) ein DNS-Filtering mit allgemein verfügbaren Listen.

Alles, was in der TI abläuft, kann sich also verändern, hauptsache das TI-VPN steht. Für die ePA habe ich nichts umgestellt (bislang nur bei CGM-Software am Laufen). Nach Updates gab es noch nie ein Verbindungsproblem, die Konfigs laufen seit mehreren Jahren.

Vereinzelt waren im Übrigen in den vergangenen Jahren dennoch Portanpassungen nötig, z.B. wenn ein medizinisches Gerät angeschlossen wurde, was Ports zum Anbieter brauchte oder ein Labor. Meist ist das aber alles 443, zumindest, soweit es mir begegnet ist.
Viel häufiger habe ich das Thema zuhause face-big-smile weil auch das Kindernetz beschränkt ist und die Games immer mal wieder neue Freigaben brauchen.

Wie auch immer, im Mikrotik (wie sonst auch) siehst Du im Log sofort, wenn ein Port geblockt wird (wenn Du es einstellst natürlich nur - ist ja Mikrotik face-big-smile). Also wenn eine Praxis anruft und sagt es geht was nicht, guckst Du nach, gibst nach Prüfung den Port frei und dann geht es. Das sind 30 Sekunden (wie gesagt, RouterOS ist im Handling hervorragend).
Bei neuen med. Geräten erwarte ich prinzipiell, dass ich vorher eingebunden werde und nehme Rücksprache mit dem Anbieter. Da muss ich ja ohnehin wissen, was die installieren und wo sie ihre Datenbanken lagern (und ob sie Sonderbehandlung brauchen). Wenn ich dann etwas von Freigaben erfahre, setze ich die natürlich gleich.

Ich halte mich für sehr offen und flexibel in der interkollegialen Kommunikation, aber an den Router darf dennoch niemand außer mir. Ich programmiere ja auch nicht das PVS um face-wink Auch hier sind die Mikrotiks ein Vorteil, die können so wenige Bedienen, dass Konflikte praktisch ausgeschlossen sind. Die PVS-Kollegen klicken ohnehin immer weg, wenn sie sehen, dass da keine Fritzbox werkelt und sonst will da eh keiner ran.

Viele Grüße, commodity
aqui
aqui 16.06.2025 um 20:16:29 Uhr
Goto Top
Der URL oben ist leider falsch und führt zu einem Fehler! Korrekt ist:
https://www.ti-community.de/wiki:benoetigte-offene-ports-zur-ti
commodity
commodity 16.06.2025 um 20:53:21 Uhr
Goto Top
Danke face-smile Ist korrigiert. War das c von community verloren gegangen.

Viele Grüße, commodity