12
Ist es möglich, eine kleine Arztpraxis weitgehend offline zu betreiben?
Potenzieller Tatort: Eine kleine Arztpraxis mit 3 vernetzten Rechnern, auf denen ein Patientenverwaltungssystem (Medical Office) läuft.
Frage: Ist es eigentlich eine eher dumme oder eher sinnvolle Idee, den Schutz vor Penetration und Schadsoftware dadurch zu erhöhen, dass das gesamte Praxisnetzwerk (mit Ausnahme eines einzigen Rechners, der Emails abholt und mit dem man Downloads aus dem Internet zieht, auf dem sich aber keine Patientendaten befinden) zu 98 bis 99% der Zeit komplett offline ist?
Also dadurch, dass das Praxisnetzwerk nur für den Zeitraum online ist, in dem unbedingt die Arbeitsdaten (hauptsächlich Patientendaten) des Tages aktualisiert/synchronisiert werden müssen?
Gedanke dahinter: Wenn ich nur noch zu 1/50 der Zeit im Internet bin (und das auch nicht regelmäßig zum gleichen Tageszeitpunkt), reduziere ich die Gefährdung durch den sich zunehmend und exponentiell vermehrenden weltweiten privaten, kommerziellen und staatlichen Cyberabschaum ebenfalls auf etwa 1/50.
Und wie schaut's bei der Telematik-Anbindung aus? Springt die vielleicht im Dreieck, wenn sie nur einmal am Tag für kurze Zeit nach Hause telefonieren darf? Erwartet sie möglicherweise ohne Ausnahme eine ständige Onlineverbindung? Zutrauen würde ich dies den grandiosen IT-Experten im Gesundheitswesen durchaus.
Herzliche Grüße,
Euern FritzB
Frage: Ist es eigentlich eine eher dumme oder eher sinnvolle Idee, den Schutz vor Penetration und Schadsoftware dadurch zu erhöhen, dass das gesamte Praxisnetzwerk (mit Ausnahme eines einzigen Rechners, der Emails abholt und mit dem man Downloads aus dem Internet zieht, auf dem sich aber keine Patientendaten befinden) zu 98 bis 99% der Zeit komplett offline ist?
Also dadurch, dass das Praxisnetzwerk nur für den Zeitraum online ist, in dem unbedingt die Arbeitsdaten (hauptsächlich Patientendaten) des Tages aktualisiert/synchronisiert werden müssen?
Gedanke dahinter: Wenn ich nur noch zu 1/50 der Zeit im Internet bin (und das auch nicht regelmäßig zum gleichen Tageszeitpunkt), reduziere ich die Gefährdung durch den sich zunehmend und exponentiell vermehrenden weltweiten privaten, kommerziellen und staatlichen Cyberabschaum ebenfalls auf etwa 1/50.
Und wie schaut's bei der Telematik-Anbindung aus? Springt die vielleicht im Dreieck, wenn sie nur einmal am Tag für kurze Zeit nach Hause telefonieren darf? Erwartet sie möglicherweise ohne Ausnahme eine ständige Onlineverbindung? Zutrauen würde ich dies den grandiosen IT-Experten im Gesundheitswesen durchaus.
Herzliche Grüße,
Euern FritzB
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5256798820
Url: https://administrator.de/contentid/5256798820
Printed on: April 19, 2024 at 20:04 o'clock
12 Comments
Latest comment
Hallo,
du wirst immer mehr Daten über das Internet austauschen _müssen_. Aus dem Grund erübrigt sich die Frage, Wenn der Jumphost nicht entsprechend aufwändig geschützt wird kannst du besser die drei Geräte sauber mit einer gut konfigurierten Firewall trennen, der Aufwand dürfte günstiger und ergiebiger sein. Sonst schlüpft dir in deinem 1/50stel was durch und brennt dir von hinten alles nieder.
VG
du wirst immer mehr Daten über das Internet austauschen _müssen_. Aus dem Grund erübrigt sich die Frage, Wenn der Jumphost nicht entsprechend aufwändig geschützt wird kannst du besser die drei Geräte sauber mit einer gut konfigurierten Firewall trennen, der Aufwand dürfte günstiger und ergiebiger sein. Sonst schlüpft dir in deinem 1/50stel was durch und brennt dir von hinten alles nieder.
VG
moin...
frank
Und wie schaut's bei der Telematik-Anbindung aus? Springt die vielleicht im Dreieck, wenn sie nur einmal am > Tag für kurze Zeit nach Hause telefonieren darf? Erwartet sie möglicherweise ohne Ausnahme eine ständige Onlineverbindung? Zutrauen würde ich dies den grandiosen IT-Experten im Gesundheitswesen durchaus.
du kannst nur online arbeiten, also karten einlesen etc...frank
Und wann machst Du dann die Updates?
Wann zieht sich dein AV die aktuellen Signaturen?
Angreifer arbeiten fast immer über schadhafte E-Mail Anhänge und versuchen nach einer erfolgreichen Infektion via Command and Control Server die Umgebung aus der ferne zu steuern / auszulesen um dann zu einem späteren Zeitpunkt Schaden auszurichten.
Wenn ein Angreifer dich platt machen will und dich schon infiziert hat, dann wird das "temporäre" Internet kein Grund sein, davon abzusehen. Dann wartet er halt, bis die Endpunkte sich wieder melden, kann man sogar automatisieren.
Arbeite lieber mit einem guten Spamschutz, segmentierten Netzwerken und sauberen Domainberechtigungen.
Du könntest z.B. schon mal die Rechner an der Rezeption in ein eigenes Subnetz verfrachten und sämtliche interne Kommunukation (wo benötigt) über die Firewall steuern. Hier nur freigeben, was benötigt wird.
Selbiges Spiel mit allen anderen Rechnern / Servern.
Da hast du 100x mehr gekonnt, als einfach das Internet "auszumachen"
Wann zieht sich dein AV die aktuellen Signaturen?
Angreifer arbeiten fast immer über schadhafte E-Mail Anhänge und versuchen nach einer erfolgreichen Infektion via Command and Control Server die Umgebung aus der ferne zu steuern / auszulesen um dann zu einem späteren Zeitpunkt Schaden auszurichten.
Wenn ein Angreifer dich platt machen will und dich schon infiziert hat, dann wird das "temporäre" Internet kein Grund sein, davon abzusehen. Dann wartet er halt, bis die Endpunkte sich wieder melden, kann man sogar automatisieren.
Arbeite lieber mit einem guten Spamschutz, segmentierten Netzwerken und sauberen Domainberechtigungen.
Du könntest z.B. schon mal die Rechner an der Rezeption in ein eigenes Subnetz verfrachten und sämtliche interne Kommunukation (wo benötigt) über die Firewall steuern. Hier nur freigeben, was benötigt wird.
Selbiges Spiel mit allen anderen Rechnern / Servern.
Da hast du 100x mehr gekonnt, als einfach das Internet "auszumachen"
Naja, Router außerhalb der Arbeitszeiten abschalten wäre durchaus ne Option, die sich ziemlich einfach umsetzen ließe.
Moin...
na ja... die Telematik-Anbindung wird auch nachts gebraucht, Updates für die Card Reader und connector.
du willst nicht wirklich, das sowas tagsüber gemacht wird.
Frank
Zitat von @Visucius:
Naja, Router außerhalb der Arbeitszeiten abschalten wäre durchaus ne Option, die sich ziemlich einfach umsetzen ließe.
Naja, Router außerhalb der Arbeitszeiten abschalten wäre durchaus ne Option, die sich ziemlich einfach umsetzen ließe.
na ja... die Telematik-Anbindung wird auch nachts gebraucht, Updates für die Card Reader und connector.
du willst nicht wirklich, das sowas tagsüber gemacht wird.
Frank
Herzlichen Dank an Alle! Ich hab's schon befürchtet, dass meine Idee nicht das Gelbe vom Ei ist. Schade. Es wäre so einfach gewesen.
Aber Ihr habt mich davon überzeugt, dass ich als Selfmade-EDV-Betreuer endlich aus dem Geschäft aussteigen sollte - andernfalls müsste ich mir auf meine alten Tage noch viel neues Wissen und Skills aneignen wozu ich Ü70er gar keine Lust mehr habe. Bisher sind ja sogar segmentierte Netzwerke für mich ein Buch mit sieben Siegeln. Das geht sicher nicht nur mit einfachen Fritzboxen.
Sollen sich die Ärzte einfach nen neuen und jüngeren Betreuer suchen, der's draufhat. Der ist dann sicher deutlich teurer als ich (und nicht mehr ständig erreichbar), aber ich hab' meine Ruhe und kann wieder ohne Bauchschmerzen schlafen. Bis jetzt (gut 13 Jahre lang) ist ja alles gutgegangen. Aber ich lasse mich ja immer wieder von TV-Sendungen beeindrucken, die behaupten, es sei nicht die Frage OB die Praxis angegriffen wird, sondern nur WANN ...
Viele Grüße vom ollen FritzB
Aber Ihr habt mich davon überzeugt, dass ich als Selfmade-EDV-Betreuer endlich aus dem Geschäft aussteigen sollte - andernfalls müsste ich mir auf meine alten Tage noch viel neues Wissen und Skills aneignen wozu ich Ü70er gar keine Lust mehr habe. Bisher sind ja sogar segmentierte Netzwerke für mich ein Buch mit sieben Siegeln. Das geht sicher nicht nur mit einfachen Fritzboxen.
Sollen sich die Ärzte einfach nen neuen und jüngeren Betreuer suchen, der's draufhat. Der ist dann sicher deutlich teurer als ich (und nicht mehr ständig erreichbar), aber ich hab' meine Ruhe und kann wieder ohne Bauchschmerzen schlafen. Bis jetzt (gut 13 Jahre lang) ist ja alles gutgegangen. Aber ich lasse mich ja immer wieder von TV-Sendungen beeindrucken, die behaupten, es sei nicht die Frage OB die Praxis angegriffen wird, sondern nur WANN ...
Viele Grüße vom ollen FritzB
Windows Defender Application Control sollte sich in einer solchen Umgebung mit vertretbarem Aufwand konfigurieren und pflegen lassen.
Dann dem Email Programm Zugriff auf den Mailserver einrichten, also nur den Server
oder das mögliche Subnet und einen Browser zum Surfen etwas härten.
Eine kleine Interpretation von Zero Trust.
Ohne Internet ist schwer.
Dann dem Email Programm Zugriff auf den Mailserver einrichten, also nur den Server
oder das mögliche Subnet und einen Browser zum Surfen etwas härten.
Eine kleine Interpretation von Zero Trust.
Ohne Internet ist schwer.
Auch wenns schon gelöst ist eine kurze Anmerkung von mir. *
Das VSDM ( Versicherungsstammdatenmanagement ) geht nur ONLINE.
Heißt ohne Onlineanbindung der TI kein einlesen von Krankenkassenkarten oder ähnlichem.
Seit 01.01.2023 werden die Kranmeldungen ebenfalls digital an die Krankenkasse übermittelt
was eine Onlineverbindung benötigt. Die Kranmeldungen müssen, wenn ich das recht in Erinnerung habe,
direkt bzw. umgehend ( innerhalb des Sync Prozesses ) an die KK gemeldet werden da die Arbeitgeber
die Kranmeldungen gerne so schnell wie möglich hätten.
Also müsstest du das System regelmäßig "Online" nehmen damit alles passt.
Wenn mich nicht alles täuscht ist das Online / Offline / Online / Offline nicht vorgesehen.
Kenne eine Praxis die hat deswegen ärger mit der KK oder der Gematik bekommen mit Androhung einer
Strafe wenn keine Technischen Gründe für die Fehlfunktion vorliegen. Es war aber ein gestörter ADSLer welcher
sich immer wieder nach dem Tunnelaufbau der TI verabschiedet hat.
Ach ja das ganze sind meine Erlebnisse. Ich betreue genau 1 Arztpraxis.
Das mit der Strafandrohung habe ich nur von meinem Arzt ( Inhaber ) gehört. Er konnte es auch beweisen hat mich aber nicht gejuckt.
*
Ich betreue eher nebenher die IT meines Hausarztes inkl. der TI. Nebenbei hab ich noch nie so viel Sinnloses zeug
bezüglich der Sicherheit in der TI und deren Nutzen gelesen aber seis drum. Der Gedanke an sich ist nicht schlecht aber die Umsetzung ist eher na ja.
Das VSDM ( Versicherungsstammdatenmanagement ) geht nur ONLINE.
Heißt ohne Onlineanbindung der TI kein einlesen von Krankenkassenkarten oder ähnlichem.
Seit 01.01.2023 werden die Kranmeldungen ebenfalls digital an die Krankenkasse übermittelt
was eine Onlineverbindung benötigt. Die Kranmeldungen müssen, wenn ich das recht in Erinnerung habe,
direkt bzw. umgehend ( innerhalb des Sync Prozesses ) an die KK gemeldet werden da die Arbeitgeber
die Kranmeldungen gerne so schnell wie möglich hätten.
Also müsstest du das System regelmäßig "Online" nehmen damit alles passt.
Wenn mich nicht alles täuscht ist das Online / Offline / Online / Offline nicht vorgesehen.
Kenne eine Praxis die hat deswegen ärger mit der KK oder der Gematik bekommen mit Androhung einer
Strafe wenn keine Technischen Gründe für die Fehlfunktion vorliegen. Es war aber ein gestörter ADSLer welcher
sich immer wieder nach dem Tunnelaufbau der TI verabschiedet hat.
Ach ja das ganze sind meine Erlebnisse. Ich betreue genau 1 Arztpraxis.
Das mit der Strafandrohung habe ich nur von meinem Arzt ( Inhaber ) gehört. Er konnte es auch beweisen hat mich aber nicht gejuckt.
*
Ich betreue eher nebenher die IT meines Hausarztes inkl. der TI. Nebenbei hab ich noch nie so viel Sinnloses zeug
bezüglich der Sicherheit in der TI und deren Nutzen gelesen aber seis drum. Der Gedanke an sich ist nicht schlecht aber die Umsetzung ist eher na ja.
3
Auch teilen mittlerweise Patienten ihre Diabetes Messdaten mit den Praxen. Wenn der Patient zum durchchecken kommt, muss die Empfangsdame (sofort ohne Verzögerung) die Daten abholen können.
Eine Sicherheit in so kleinen Betrieben ist eigentlich leicht herzustellen. Man muss halt die Sicherheitsrelevanten Sachen an ein Unternehmen abgeben, die mehr Power haben sich darum zu kümmern z.B. Emails nur über ein NoSpam Proxy, Hornet Security oder ähnliches abholen. Firewall von einem Anbieter, der ständig nach neuen Gefahren scannt und ihre Firewalls online updaten, z.B. Sophos, Fortinet usw. als weg mit der Fritzbox bzw kann sie als reiner DSL Router bleiben. Auf jeden Client ein ordentlich bezahlter Antivirus, dessen Anbieter selbst nach neuen Zero-Day-Gefahren sucht (keine billigen oder sogar kostenlosen Antiviren, die ihre Virendefinitionen nur von den anderen einkaufen). Der Rest ist dann nicht mehr so tragisch.
Eine Sicherheit in so kleinen Betrieben ist eigentlich leicht herzustellen. Man muss halt die Sicherheitsrelevanten Sachen an ein Unternehmen abgeben, die mehr Power haben sich darum zu kümmern z.B. Emails nur über ein NoSpam Proxy, Hornet Security oder ähnliches abholen. Firewall von einem Anbieter, der ständig nach neuen Gefahren scannt und ihre Firewalls online updaten, z.B. Sophos, Fortinet usw. als weg mit der Fritzbox bzw kann sie als reiner DSL Router bleiben. Auf jeden Client ein ordentlich bezahlter Antivirus, dessen Anbieter selbst nach neuen Zero-Day-Gefahren sucht (keine billigen oder sogar kostenlosen Antiviren, die ihre Virendefinitionen nur von den anderen einkaufen). Der Rest ist dann nicht mehr so tragisch.
1
Kennt jemand einen wirklich günstigen NoSpam Proxy für Privatanbieter?
Lange Zeit habe ich Bitdefender FRAMS verwendet, bis es leider eingestellt wurde. Dann lange Zeit Spamfence von Cyren, das auch bestens funktionierte. Nun benutze ich keinen eigenen Mailserver mehr und suche nach einer sinnvollen und bezahlbaren Lösung.
Lange Zeit habe ich Bitdefender FRAMS verwendet, bis es leider eingestellt wurde. Dann lange Zeit Spamfence von Cyren, das auch bestens funktionierte. Nun benutze ich keinen eigenen Mailserver mehr und suche nach einer sinnvollen und bezahlbaren Lösung.
einen wirklich günstigen NoSpam Proxy
Falscher Ansatz. Es gibt Sachen, an denen man nicht sparen sollte. Die legen nicht nur einen Schalter um und Du bist sicher, sondern:Je mehr sie nach Viren suchen, desto sicherer bist du.
Je mehr sie nach Viren suchen, desto mehr kostet es auch.
Vergleiche deren Leistung und Ergebnisse und, wenn Du den Liebling Deines Vertrauens gefunden hast, schau, was er kostet
Zitat von @NordicMike:
einen wirklich günstigen NoSpam Proxy
Falscher Ansatz. Es gibt Sachen, an denen man nicht sparen sollte. Die legen nicht nur einen Schalter um und Du bist sicher, ...Danke, ich stimme dir prinzipiell zu. In meinem Fall ist es etwas anders: Ich kümmere mich schon recht intensiv um Viren, Phishing etc. Mir geht es letztendlich nur noch um Spam. Mir als Privatanwender mit Minirente fehlt einfach das Geld für soloche Profilösungen, deren Sinn ich für das professionelle Umfeld gar nicht abstreite.
