the-buccaneer
Goto Top

KV-Safenet - WLAN

Hallo Zusammen!

Da ich einige Kunden habe, die mit WLAN arbeiten, versuche ich zu eruieren, ob es eine KV-Safenet Anbindung mit WLAN im Praxisnetz geben kann und ob diese "rechtens" und möglich ist.

Mein bisheriger (theoretischer) Wissensstand:

Die KV-Safenet Blackbox von allen(?) Providern wird mittels Routerkaskade hinter den bestehenden Router angeschlossen. Dabei muss ich ihre gewünschte IP Adresse teils bereits bei der Bestellung angeben, teils wird sie per DHCP bezogen (Also bei T-Com z.B. 192.168.2.254) (?) Eine Einwahl via (DSL-) Modem, wie ich das normalerweise in einer solchen Konstellation z.B. mit einer PfSense realisieren würde ist überwiegend nicht vorgesehen. (Wird aber auch angeboten)

Wichtig ist (natürlich) dass der bestehende Router IP-Sec Pass-Through beherrscht)

Dabei unterscheiden sich die Endgeräte auch hinsichtlich der vorhanden LAN Ports. (von 1 bis 4)
Habe ich nur 1 LAN Port, soll (eigentlich) nur 1 Praxisrechner KV-Safenet Anbindung erhalten. Andere vorhandene Clients können aber nachwievor über den allgegenwärtigen Speedport oder die FB etc. im Praxisnetz werkeln und auch ins WAN. Der KV-Safenet Router trennt aber die sichere Verbindung 1x im Quartal (!) von der unsicheren Verbindung ins böse I-Net. (Bzw. via Provider-Proxy auch sonst mit entsprechenden Security Features) - Was da wie gefiltert wird, konnte aber ein Provider heute tel. z.B. nicht sagen...

Die KV-Safenet-Boxen haben keinen WLAN-AP. (?!) Um also den Client mit der PVS für die Abrechnung via WLAN ins VPN zu bringen muss ich statt dem Rechner einen WLAN-AP mit z.B. 192.168.2.253 dranhängen und daran die Clients.. Solange ich sicherstelle, dass z.B. der Speedport DHCP macht und seine IP als Gateway und DNS verteilt, sollte dem doch nicht im Wege stehen? Bzw. wenn ich nen alten Router umfunktioniere als Switch / WLAN-AP sehe ich kein (technisches) Problem auch andere Rechner verkabelt im Internet und Praxisnetzwerk (bzw. "sogar" KV-Safenet") zu betreiben.

Natürlich kann ich nach meinem bisherigen Wissensstand auch WLAN über den 1. WLAN-Router nur im Praxisnetz (aber ohne Abrechnung) betreiben.

Nach dem Papier der KBV sollte das rechtens o.k. sein, wie ich es verstehe, die wollen aber gerne (auch irgendwie nachvollziehbar) alles hinter dem KV-Safenet Router.

Gibt es etwas an der Lösung WLAN-AP am LAN-Port der KV-Safenet-Box was ich übersehen habe?
Hat das wer realisiert?

Weiss jemand, wofür das ganze Gedöns überhaupt gut sein soll? face-wink

Um 4x jährlich ein paar KB verschlüsselt von A nach B zu übertragen?

ironie<: Besonders die Psychotherapeuten freuen sich, jetzt endlich die Patientendaten jederzeit mit gutem Gewissen an alle interessierten Kollegen senden zu können. \<ironie>

LG
Buc

Content-ID: 265934

Url: https://administrator.de/forum/kv-safenet-wlan-265934.html

Ausgedruckt am: 23.12.2024 um 00:12 Uhr

sk
sk 12.03.2015 aktualisiert um 11:37:47 Uhr
Goto Top
Hallo Buc,

bitte nimm die nachfolgenden Zeilen nicht allzu persönlich. Dein Beitrag ist für mich nur der "Aufhänger". Nachdem ich hier über die Jahre viele Threads passiv mitverfolgt habe, bei denen es um die Netze von Arztpraxen geht, bin ich ehrlich gesagt nur noch erschüttert darüber, wie dort anscheinend häufig verfahren wird. Vor allem aber schockt mich zuweilen der Wissensstand der Dienstleister. Da bekomme ich echt Angst um meine Patientendaten!

Zum konkreten Anwendungsfall:
Ich lass mir doch nicht in ein von mir betreutes und damit auch verantwortetes Netz ein Fremdgateway reinsetzen, ohne die Kontrolle darüber zu behalten, was dort rein- und rausgeht! Und ich käme auch nicht auf die Idee, die Funktion meines Netzes sowie mein Netzdesign von diesem Fremdgateway abhängig zu machen. Genau das passiert aber bei einer Routerkaskade.
Der bessere Weg wäre es, das Fremdgateway in die DMZ zu stellen. Hier eine kleine Beispiel-Zeichnung:
70dff6f2bfa5c556cdf208bd65c7b61a
Diese Topologie erlaubt es nicht nur, auch den Datenverkehr zwischen internem Netz und KVsafenet zu beregeln, sondern auch per NAT die IP-Adressen sowohl beim Übergang von 4 nach 3 als auch von 2 nach 1 beliebig zu manipulieren und sich damit in seinem IP-Adressierungskonzept von eventuellen Vorgaben des Dritten weitgehend unabhängig zu machen.

Freilich geht das nicht mit einer Fritzbox. Das ist Spielzeug für Heimanwender und hat in einem gewerblich genutzten Netz bestenfalls als (Zwangs-)Modem und meinetwegen auch noch als Telefonanlage eine Daseinsberechtigung. Ich verstehe selbstverständlich, dass kleine Praxen evtl. unter einem enormen Kostendruck stehen und diesen Druck auch an Ihre Dienstleister weiterreichen. Mit etwas guten Willen kann man aber durchaus auch für seine Kunden eine kostengünstige und dennoch funktional wesentlich bessere Lösung finden (z.B. Mikrotik, pfSense, ZyWALLs, ...). Und das ist es, was ich von einem kompetenten Dienstleister erwarten würde: Fachkenntnis, Sicherheits- und Kostenbewusstsein, gute Beratung und angemessenes Reagieren auf die individuellen Anforderungen der Kundschaft.

Gruß
sk
keine-ahnung
keine-ahnung 12.03.2015 um 11:47:43 Uhr
Goto Top
Moin,
Vor allem aber schockt mich zuweilen der Wissensstand der Dienstleister.
hier muss ich die Dienstleister zum ersten Mal ein wenig in Schutz nehmen ... praxisnahe Informationen rund um dieses KV-gedrösel sind nicht oder nur höchst beschwerlich zu erhalten. So ist das halt mit Monopolen ...
Da bekomme ich echt Angst um meine Patientendaten!
Warum? Je breiter die weltweit verteilt liegen, um so leichter ist der restore, wenn in der Praxis mal der "Hauptrechner" abkackt face-wink - um Deine Daten musst Du keine Angst haben. Nur um Privatheit der darin enthaltenen Informationen ...face-smile

LG, Thomas
sk
sk 12.03.2015 aktualisiert um 12:39:54 Uhr
Goto Top
Zitat von @keine-ahnung:
hier muss ich die Dienstleister zum ersten Mal ein wenig in Schutz nehmen ... praxisnahe Informationen rund um dieses
KV-gedrösel sind nicht oder nur höchst beschwerlich zu erhalten. So ist das halt mit Monopolen ...

Das nimmt mich als Fachmann aber nicht aus der Pflicht, mir bewusst zu werden, welche Infos ich benötige, diese irgendwie zu ermitteln, sie unter Sicherheitsaspekten zu bewerten und ein Konzept für den Umgang damit zu entwickeln. Dafür werde ich bezahlt... face-wink


Zitat von @keine-ahnung:
um Deine Daten musst Du keine Angst haben. Nur um Privatheit der darin enthaltenen Informationen ...face-smile

Da ist was dran. face-big-smile Leider ist es genau das, was ich befürchte.

Ich schlage vor, wir führen den Thread hier weiter: IP Frage, KV-SaveNet Router
Sonst entwickelt sich eine Paralleldiskussion.


Gruß
sk
108012
108012 12.03.2015 um 12:49:48 Uhr
Goto Top
Hallo,

hier muss ich die Dienstleister zum ersten Mal ein wenig in Schutz nehmen ...
praxisnahe Informationen rund um dieses KV-gedrösel sind nicht oder nur höchst
beschwerlich zu erhalten. So ist das halt mit Monopolen
Sicherlich ist von einem Monopolisten nicht mehr zu erwarten, aber das entlässt
den Dienstleister nicht aus seiner Pflicht das ganze ordentlich zu machen!

Also sag schön Danke bei @..sk.. und stell Dir Deine Box auch in eine DMZ!

Gruß
Dobby
the-buccaneer
the-buccaneer 13.03.2015 um 10:07:44 Uhr
Goto Top
Zitat von @sk:

Hallo Buc,

bitte nimm die nachfolgenden Zeilen nicht allzu persönlich. Dein Beitrag ist für mich nur der
"Aufhänger".

Dein Beitrag ist sachlich und fundiert, da gibt es nichts persönlich zu nehmen. face-wink

Nachdem ich hier über die Jahre viele Threads passiv mitverfolgt habe, bei denen es um die Netze
von Arztpraxen geht, bin ich ehrlich gesagt nur noch erschüttert darüber, wie dort anscheinend häufig verfahren
wird. Vor allem aber schockt mich zuweilen der Wissensstand der Dienstleister. Da bekomme ich echt Angst um meine
Patientendaten!

Patientendaten werden durch einen Hack des KV-Safenet in die Öffentlichkeit gelangen, da das jetzt ein überaus interessantes Angriffsziel ist, nicht durch den Einsatz einer Fritzbox in der Praxis. (Stichwort: Fernwartungszugänge auf den Boxen z.B.) Das ist zumindest meine Prognose.... face-wink


Zum konkreten Anwendungsfall:
Ich lass mir doch nicht in ein von mir betreutes und damit auch verantwortetes Netz ein Fremdgateway reinsetzen, ohne die
Kontrolle darüber zu behalten, was dort rein- und rausgeht!

Genau das ist der Ansatz der KBV. face-wink Damit sich nicht jeder dahergelaufene Router per IPSec in deren Netz einwählen kann, wird einfach eine verschlossene Zwangsfirewall installiert und Ruhe ist.
Das hat ebenfalls zur Folge, dass die von Dir angemahnte "Unprofessionalität" bei der Router/ Firewallauswahl nun zwangsweise ein Ende hat und die Praxen nun ausschliesslich über das abgesicherte Netz des KV-Safenet-Providers im Internet unterwegs sind (sein sollen) , wenn der Provider denn über seinen Proxy filtert. Ob das für die Provider verpflichtend ist und wie das geschieht, konnte ich bisher nicht herausbekommen.

Und ich käme auch nicht auf die Idee, die Funktion meines
Netzes sowie mein Netzdesign von diesem Fremdgateway abhängig zu machen. Genau das passiert aber bei einer Routerkaskade.
Der bessere Weg wäre es, das Fremdgateway in die DMZ zu stellen. Hier eine kleine Beispiel-Zeichnung:
70dff6f2bfa5c556cdf208bd65c7b61a
Diese Topologie erlaubt es nicht nur, auch den Datenverkehr zwischen internem Netz und KVsafenet zu beregeln, sondern auch per NAT
die IP-Adressen sowohl beim Übergang von 4 nach 3 als auch von 2 nach 1 beliebig zu manipulieren und sich damit in seinem
IP-Adressierungskonzept von eventuellen Vorgaben des Dritten weitgehend unabhängig zu machen.

Das lässt sich bestimmt hervorragend so umsetzen, ist aber so von Seiten der KBV nicht so vorgesehen und für 1-2 Clients auch mit Kanonen auf Spatzen geschossen. In einem größeren Praxisnetz oder bei Anwendungen, die die Blackbox blockiert, wird es wohl darauf oder einen zweiten WAN Zugang hinauslaufen.

Freilich geht das nicht mit einer Fritzbox. Das ist Spielzeug für Heimanwender und hat in einem gewerblich genutzten Netz
bestenfalls als (Zwangs-)Modem und meinetwegen auch noch als Telefonanlage eine Daseinsberechtigung.

In den diversen FB-Threads wurden alle Meinungen zum Thema geäussert, müssen wir hier nicht wiederholen...

Ich verstehe selbstverständlich, dass kleine Praxen evtl. unter einem enormen Kostendruck stehen und diesen Druck auch an Ihre
Dienstleister weiterreichen. Mit etwas guten Willen kann man aber durchaus auch für seine Kunden eine kostengünstige und
dennoch funktional wesentlich bessere Lösung finden (z.B. Mikrotik, pfSense, ZyWALLs, ...). Und das ist es, was ich von einem
kompetenten Dienstleister erwarten würde: Fachkenntnis, Sicherheits- und Kostenbewusstsein, gute Beratung und angemessenes
Reagieren auf die individuellen Anforderungen der Kundschaft.

D'accord.

Eigentlich wollte ich ja nur wissen, ob jemand weiss, ob es da mit einem WLAN-AP am LAN Port der Blackbox zu technischen ("Achtung: Provider xy verlangt feste vorgegebene IP-Adresse des Endgerätes") oder rechtlichen ("Achtung: KBV verbietet Einsatz von WLAN im KV-Safenet") Problemen kommen kann...

Das mit dem DHCP vom Speedport für die Clients hinter der Blackbox war natürlich Blödsinn und lag wohl an der Uhrzeit. face-wink
Die "gesichterten" Clients erhalten ihre IP natürlich von der Blackbox . Allerdings besteht die Möglichkeit direkt am Speedport Clients in eine DMZ zu legen und diese damit auch von aussen erreichbar zu machen, wenn notwendig. Per Routung geht dann sicher (vielleicht) auch wieder Traffic ins Blackboxnetz, was ja aber das KV Sicherheitskonzept konterkariert.

Den Thread in einem als gelöst markierten anderen Thread, der eine andere Fragestellung hatte, weiterzuführen, finde ich nicht so glücklich. Evtl. sollte man aber mal in der Rubrik "Wissen" einen aufmachen, in dem wir unsere Erkenntnisse zum KV-Safenet zusammentragen.

Schönen Tag allerseits und danke für die Antworten, es wird nicht das letzte mal zum Thema gewesen sein, wage ich zu behaupten. face-wink

Buc
keine-ahnung
keine-ahnung 13.03.2015 um 10:33:38 Uhr
Goto Top
Achtung: KBV verbietet Einsatz von WLAN im KV-Safenet
Das ist technischer Schwachsinn - das safenet beginnt vor dem Router. Was ich dahinter treibe, geht meine KV nix an.
ob es da mit einem WLAN-AP am LAN Port der Blackbox zu technischen
Da z.B. LANCOM-Router als safenet-Zugang genutzt werden, sollte das technisch möglich sein und es lässt sich ja auch irgendwie nicht verhindern - man sollte nicht erwarten, dass das Regeln bezogen auf einzelen Adressen umgesetzt werden ... steht aber alles unter Vorbehalt meiner z.Z. keinen-ahnung. Ob das sinnvoll ist, steht auf einem anderen Blatt.

LG, Thomas
Smileychen
Smileychen 13.03.2015 um 12:32:23 Uhr
Goto Top
Guten Morgen zusammen,

also ich kann jetzt zwar nur etwas zu der KV-Hessen sagen aber ich vermute mal das des so ungefähr für alle gilt.
Es gibt mehrere Anbieter von zertifizierter Hardware die einen KV-Safenet Zugang ermöglichen.
Das fängt an das nur ein einzelner Rechner samt seperaten DSL-Anschluß benötigt wird bis hin zu einer UTM worüber dann dein ganzes Netz ins Internet darf.
Zitat von @the-buccaneer:


>
> Zum konkreten Anwendungsfall:
> Ich lass mir doch nicht in ein von mir betreutes und damit auch verantwortetes Netz ein Fremdgateway reinsetzen, ohne die
> Kontrolle darüber zu behalten, was dort rein- und rausgeht!

Genau das ist der Ansatz der KBV. face-wink Damit sich nicht jeder dahergelaufene Router per IPSec in deren Netz einwählen kann,
wird einfach eine verschlossene Zwangsfirewall installiert und Ruhe ist.
Das hat ebenfalls zur Folge, dass die von Dir angemahnte "Unprofessionalität" bei der Router/ Firewallauswahl nun
zwangsweise ein Ende hat und die Praxen nun ausschliesslich über das abgesicherte Netz des KV-Safenet-Providers im Internet
unterwegs sind (sein sollen) , wenn der Provider denn über seinen Proxy filtert. Ob das für die Provider verpflichtend
ist und wie das geschieht, konnte ich bisher nicht herausbekommen.


Um es auf diesen Fall umzumünzen. Dein Traffic wird niemals über die KV geroutet mit der Ausnahme deine Abbrechungen und später zumindest in Hessen Arztbriefe usw. damit die Ärzte diese direkt an den anderen Arzt schicken können und noch ein paar Features mehr.
Dein normaler Internettraffic läuft über deinen Router deiner Wahl.
Und das sind auch keine Blackboxen zumindest die von Securepoint nicht darauf kannste alles konfigurieren nur das IPSec zur KV solltest nicht anfassen aber das musst du ja wissen ob du weiterhin abrechnen können möchtest oder nicht.
Und was du hinter die Box klemmst ist dein Problem vorausgesetzt du verstößt nicht gegen Lizenzbedingungen. Also ja du kannst dahinter dein WLAN-AP betreiben.

Gruß Smiley
sk
sk 13.03.2015 aktualisiert um 13:26:47 Uhr
Goto Top
Zitat von @the-buccaneer:
Patientendaten werden durch einen Hack des KV-Safenet in die Öffentlichkeit gelangen, da das jetzt ein überaus
interessantes Angriffsziel ist, nicht durch den Einsatz einer Fritzbox in der Praxis. (Stichwort: Fernwartungszugänge auf den
Boxen z.B.) Das ist zumindest meine Prognose.... face-wink

Die Einschätzung teile ich nicht. Der Übertragungsweg ist state of the art abgesichert. Auch wenn wir seit den Snowden-Enthüllungen davon ausgehen müssen, dass IPSec zumindest für manche Geheimdienste aufgrund von erzwungenen Backdoors und bewusst eingebauten Schwachstellen nicht mehr unknackbar ist, kann man wohl dennoch annehmen, dass für nichtstaatlichen Angreifer der Aufwand in der Regel noch zu hoch ist, den Übertragungsweg als solchen anzugreifen. Schließlich gibt es einen viel einfacheren Weg an die Daten und ggf. in den Übertragungsweg hinein: das sind und waren schon immer die Kommunikationsendpunkte. Schlecht administrierte und schlampig programmierte Router und Firewalls sowie Endgeräte mit Benutzerzugriff. Diese zu übernehmen ist häufig ein Kinderspiel.


Zitat von @the-buccaneer:
Genau das ist der Ansatz der KBV. face-wink Damit sich nicht jeder dahergelaufene Router per IPSec in deren Netz einwählen kann,
wird einfach eine verschlossene Zwangsfirewall installiert und Ruhe ist.
Das hat ebenfalls zur Folge, dass die von Dir angemahnte "Unprofessionalität" bei der Router/ Firewallauswahl nun
zwangsweise ein Ende hat und die Praxen nun ausschliesslich über das abgesicherte Netz des KV-Safenet-Providers im Internet
unterwegs sind (sein sollen) , wenn der Provider denn über seinen Proxy filtert. Ob das für die Provider verpflichtend
ist und wie das geschieht, konnte ich bisher nicht herausbekommen.

Ich kenne ja leider als Aussenstehender nicht die technischen und organisatorischen Vorgaben, aber nach den Infos, die ich bisher ergoogeln konnte, sieht es eher nicht so aus, wie von Dir dargestellt. Das SafeNet-Gateway stellt demnach in seiner Grundkonzeption ausschließlich einen gesicherten Weg in ein spezielles Intranet ("Sicheres Netz der Krankenkassen" - SNK) bereit, in dem halt gewissen Dienste angeboten werden. Ein Internetzugang wird hierüber nicht gewährt. Selbstverständlich gibt es zertifizierte SafeNet-Partner, die als optionale Dienstleistung auch anbieten, eine vollwertige Firewall mit Netztrennung, VPN-Einwahl, Contentfiltering usw. bereitszustellen sowie dessen Betrieb und Service als Komplettersatz des bisherigen Routers zu übernehmen. Die damit ggf. einher gehende Professionalisierung der Ärztenetze mag in Hinblick auf einen besseren Schutz der SNK durchaus im Sinne der KBV sein, aber sicherlich ist es nicht ein definiertes Projektziel. Hier hinter stecken ausschließlich die wirtschaftlichen Interessen der zertifizierten Provider/Dienstleister. Oder um es klarer auszudrücken: Das ist der erste Schritt zur feindlichen Übernahme Deiner Kundschaft durch den zertifizierten Dienstleister!

Aus Sicherheitssicht wäre es in jedem Fall wünschenswert, wenn sich hinter dem SafeNet-Gateway ausschließlich ein dediziertes Endgerät zur alleinigen Kommunikation mit dem SNK befinden würde - also ohne jeglichen Kontakt zum Internet oder zum sonstigen Praxisnetzwerk. Jedoch dürfte das in der Praxis kaum durchsetzbar sein: zum einen besteht ja offenkundig der Bedarf, aus der eigenen Praxisverwaltungssoftware heraus Daten mit dem SNK austauschen zu können und zum anderen ist dies kaum wirksam zu kontrollieren, solange nicht alle Netze ausschließlich von einer sehr begrenzten Anzahl zertifizierter Partner betreut werden. Wird denn soetwas in den technischen und organisatorischen Vorgaben der KBV zwingend gefordert (also nicht nur eine mehr oder minder dringende Empfehlung)? Ich glaube kaum. Davon hat hier im Forum meines Wissens jedenfalls noch niemand berichtet.


Gruß
sk
the-buccaneer
the-buccaneer 13.03.2015 aktualisiert um 20:21:42 Uhr
Goto Top
@ k-a: schulligung: "für mit dem kv-safenet verbundene endgeräte" face-wink

der anbieter mit den lancom geräten scheint sich benutzertechnisch am meisten gedanken gemacht zu haben. (1 Port als DMZ, WLAN integriert, komplette Internetfreigabe oder Definition von bis zu 5 URL's ...)
the-buccaneer
the-buccaneer 13.03.2015 um 21:19:49 Uhr
Goto Top
Zitat von @sk:


Ich kenne ja leider als Aussenstehender nicht die technischen und organisatorischen Vorgaben, aber nach den Infos, die ich bisher
ergoogeln konnte, sieht es eher nicht so aus, wie von Dir dargestellt. Das SafeNet-Gateway stellt demnach in seiner
Grundkonzeption ausschließlich einen gesicherten Weg in ein spezielles Intranet ("Sicheres Netz der Krankenkassen"
- SNK) bereit, in dem halt gewissen Dienste angeboten werden. Ein Internetzugang wird hierüber nicht gewährt.

Richtig. Bis man gemerkt hat, dass die Ärzte / Therapeuten auch einen Internetzugang brauchen und man festgestellt hat, dass diese nicht bereit sind, für 4x jährl. sichere Quartalsabrechnung einen zweiten Internetzugang zu beauftragen und zu bezahlen. face-wink

Selbstverständlich gibt es zertifizierte SafeNet-Partner, die als optionale Dienstleistung auch anbieten, eine vollwertige
Firewall mit Netztrennung, VPN-Einwahl, Contentfiltering usw. bereitszustellen sowie dessen Betrieb und Service als Komplettersatz
des bisherigen Routers zu übernehmen.

Das scheint mir (jetzt) bei den meisten Providern der Fall zu sein. Vor wenigen Jahren gab es Internet und KV-Safenet mit einem Internetanschluss nur von Securepoint.

Die damit ggf. einher gehende Professionalisierung der Ärztenetze mag in Hinblick
auf einen besseren Schutz der SNK durchaus im Sinne der KBV sein, aber sicherlich ist es nicht ein definiertes Projektziel.

Ja, leider.

Hier hinter stecken ausschließlich die wirtschaftlichen Interessen der zertifizierten Provider/Dienstleister. Oder um es klarer
auszudrücken: Das ist der erste Schritt zur feindlichen Übernahme Deiner Kundschaft durch den zertifizierten
Dienstleister!

Sehe ich nicht so. Ist erstmal nur ein sichererer Internetzugang für Kunden, die bisher nur 1 Consumerrouter stehen haben und die nie und nimmer eine prof. Firewall installiert hätten. Wer mehr braucht, kann auch jetzt noch mehr bekommen.

Aus Sicherheitssicht wäre es in jedem Fall wünschenswert, wenn sich hinter dem SafeNet-Gateway ausschließlich ein
dediziertes Endgerät zur alleinigen Kommunikation mit dem SNK befinden würde - also ohne jeglichen Kontakt zum Internet
oder zum sonstigen Praxisnetzwerk. Jedoch dürfte das in der Praxis kaum durchsetzbar sein: zum einen besteht ja offenkundig
der Bedarf, aus der eigenen Praxisverwaltungssoftware heraus Daten mit dem SNK austauschen zu können und zum anderen ist dies
kaum wirksam zu kontrollieren, solange nicht alle Netze ausschließlich von einer sehr begrenzten Anzahl zertifizierter
Partner betreut werden. Wird denn soetwas in den technischen und organisatorischen Vorgaben der KBV zwingend gefordert (also > nicht
nur eine mehr oder minder dringende Empfehlung)? Ich glaube kaum. Davon hat hier im Forum meines Wissens jedenfalls noch niemand berichtet.

Meines Wissens auch nicht, aber deshalb tragen wir hier Wissen und Meinungen zusammen. Die KBV "empfiehlt" und rät dringend z.B. von der direkten Anbindung eines Praxisrechners via Modem ab. face-wink
Am Ende wird k-a recht haben, mit seiner Meinung, dass es die KV'en schlicht nichts angeht, was sich ausserhalb ihres Netzes in der Praxis abspielt und ich habe mir da einfach zuviele Gedanken gemacht.

@Smileychen: Das ist interessant, denn nach meinem Wissenstand sind die Konfigurationsoberflächen der Router komplett gesperrt und nicht nur die IPSec Konfig. Kannst Du das mit der Securepoint-Büchse definitiv bestätigen?

Die entsprechende Richtlinie der KBV besagt jedenfalls etwas anderes:
"Der Zugang zum Sicheren Netz der KVen erfolgt über einen nicht manipulierbaren KV-SafeNet-Router, der zwischen Telefonanschluss und Praxisrechner, beziehungsweise Praxisnetzwerk geschaltet wird."

Besonders schön und praxisnah finde ich hier die Formulierung "Telefonanschluss". Aber evtl. arbeiten die noch mit 56k Modems?

Ebenfalls interessant ist die Tatsache, dass die Kosten auf die ersten 3 Jahre gerechnet je nach Provider zwischen 770 und 1800 Euro variieren. (mit Internezugang) Nur KV-Safenet fängts bei 450 € an...

Schönes W-E zusammen!
El Buco
the-buccaneer
the-buccaneer 13.03.2015 um 21:26:37 Uhr
Goto Top
Zitat von @sk:

> Zitat von @the-buccaneer:
> Patientendaten werden durch einen Hack des KV-Safenet in die Öffentlichkeit gelangen, da das jetzt ein überaus
> interessantes Angriffsziel ist, nicht durch den Einsatz einer Fritzbox in der Praxis. (Stichwort: Fernwartungszugänge
auf den
> Boxen z.B.) Das ist zumindest meine Prognose.... face-wink

Die Einschätzung teile ich nicht. Der Übertragungsweg ist state of the art abgesichert. Auch wenn wir seit den
Snowden-Enthüllungen davon ausgehen müssen, dass IPSec zumindest für manche Geheimdienste aufgrund von erzwungenen
Backdoors und bewusst eingebauten Schwachstellen nicht mehr unknackbar ist, kann man wohl dennoch annehmen, dass für
nichtstaatlichen Angreifer der Aufwand in der Regel noch zu hoch ist, den Übertragungsweg als solchen anzugreifen.
Schließlich gibt es einen viel einfacheren Weg an die Daten und ggf. in den Übertragungsweg hinein: das sind und waren
schon immer die Kommunikationsendpunkte. Schlecht administrierte und schlampig programmierte Router und Firewalls sowie
Endgeräte mit Benutzerzugriff. Diese zu übernehmen ist häufig ein Kinderspiel.

Diese Einschätzung habe ich aus der Anleitung eines Providers abgeleitet, der folgendes fordert:
Freizuschaltende Ports Eingehend: (Fernwartung/Fehleranalyse)
- TCP 443 (HTTPS)
- TCP 22 (SSH)

Wenn dann die Passworte noch direkt aus der MAC-Adresse abgeleitet werden können, wird die Luft schon dünner. face-wink
keine-ahnung
keine-ahnung 13.03.2015 um 21:34:11 Uhr
Goto Top
Moin,

wusste gar nicht, das meine Probleme so allgemeinverbindlich sind face-wink.
Kannst Du das mit der Securepoint-Büchse definitiv bestätigen?
Glaube ich eher auch nicht ... aber wer weiss? Ich habe mit einem Anbieter in SH telefoniert, der hat mir angeboten, meinen Lancom als safenet-Router zu nutzen --> dann wäre das Teil für mich nicht mehr zu konfigurieren. Alternativ einen anderen Lancom als Routerkaskade ...
Aber evtl. arbeiten die noch mit 56k Modems?
Ist momentan Wurscht für die paar bytes face-wink

LG, Thomas
Smileychen
Smileychen 14.03.2015 um 01:18:51 Uhr
Goto Top
Okay ich kann nur als Partner von securepoint sprechen aber wir haben vollen administrativen Zugang mit Ausnahme des kv-safnet ipsec, auf Seiten der kv, ich kann alle Einstellungen des ipsec verändern nur bringt das ja nix wenn die Einstellungen der Gegenseite nicht stimmen.
the-buccaneer
the-buccaneer 14.03.2015 aktualisiert um 02:36:32 Uhr
Goto Top
Schau an, das ist wirklich interessant. Leider hat mich Securepoint noch nicht zurückgerufen, die sind wohl mit der Cebit beschäftigt...
Allerdings gehört Securepoint auch zu den Anbietern, die doppelt so teuer sind, wie die günstigeren...

Nichtsdestoweniger wäre das mit voller Konfigurierbarkeit des Routers die technisch optimalste Lösung für Netzwerke, denn das Securepoint OS habe ich als GUI für irgendeine OpenSource Lösung in Erinnerung, die sie mir damals (vor 3-4 Jahren) nicht nennen wollten. face-wink Jedenfalls vergleichbar mit PfSense etc.

(Mir gefiel damals das Geschäftsmodell nicht, eine Open Source Anwendung zu erweitern um eine eigene GUI und ein paar Features und damit aufzutreten, als hätte man eine eigenständige Firewall am Start. Auch nach den OpenSource Lizenzen ist das grenzwertig, es gibt wohl aber immer den Code oder sogar das komplette kompilierte OS mit kleinen Einschränkungen zum Download)

Jetzt wäre noch spannend, ob nur der "Partner" nach Unterzeichnung eines Vertrages oder auch der nervige "Kunde" Zugriff auf die Box hätte. face-wink
k-a wäre da evtl. ein dankbarer Abnehmer. @keine-ahnung: schulligung. )
lg
buc
keine-ahnung
keine-ahnung 14.03.2015 um 11:04:16 Uhr
Goto Top
Okay ich kann nur als Partner von securepoint sprechen aber wir haben vollen administrativen Zugang mit Ausnahme des kv-safnet ipsec
Hmmh, so habe ich mir das vorgestellt ... da holt man sich nicht nur den Trojaner aktiv in die Praxis - man bezahlt auch noch dafür face-wink! Insofern kann man den Safenetrouter tatsächlich nur in einer DMZ betreiben ...

Mal guggen ...

LG, Thomas
Smileychen
Smileychen 15.03.2015 aktualisiert um 07:21:19 Uhr
Goto Top
Okay das wir kommt vielleicht falsch rüber. Ich wollte damit ausdrücken das die Kiste nicht wie weiter oben beschrieben eine Blackbox ist. Und da du die Kiste kaufen/mieten musst würde ich mal behaupten das du das Recht hast auf vollen Zugriff drauf zu bekommen.

Gruß smiley
keine-ahnung
keine-ahnung 15.03.2015 um 07:56:51 Uhr
Goto Top
Moin,
würde ich mal behaupten das du das Recht hast auf vollen Zugriff drauf zu bekommen
ich behaupte da mal das Gegenteil face-wink

LG, Thomas
the-buccaneer
the-buccaneer 17.03.2015 um 00:56:00 Uhr
Goto Top
und ich behaupte mal, dass mir die securepoint-lösung von der technischen umsetzung bisher von allen providern am besten gefällt. habe heute mit denen telefoniert und kann smileychens aussage bestätigen. voller zugriff auf den schwarzen zwerg mit securepoint os bei buchung des internet-pakets. die safenet-zertifizierung ist also sehr wohl möglich, wenn man "nur" das safenet-vpn abkapselt. auch ein wlan ist für die nächste version angedacht. ein anderer provider wollte mir heute erklären, dass die wlan anbindung eines kv-safenet-clients verboten sei, da das nicht den "richtlinien für kv-safenet arbeitsplätze" der kbv entsprechen würde, die der kunde sich verpflichten müsse, einzuhalten. das gespräch war dann ziemlich schnell zu ende. face-wink

nur der preis, aber dafür verdient der "erfüllungsgehilfe" wenigstens auch was. face-wink

technisch soll das übrigens kein problem sein, den kv-safenet traffic in deren subnetz einfach dorthin zu routen (warum auch) so dass der ambitionierte netzwerker einfach die blackbox als vpn-gateway ins bestehende netz hängt und gut ists. (mit allen boxen und providern, wenn sich denn eine feste ip-adresse zuweisen lässt.) ... nur jetzt nochmal von "offizieller seite" bestätigt, was die ohne ahnung eh wissen. face-wink

@ keine-ahnung: warum hole ich mir da den trojaner ins boot? (abgesehen davon, dass der trojaner ein grieche ist und die gängige verkürzung des namens eine beleidigung der trojer, die sich seit den griechen nicht mehr wehren können?)

das konzept, den safenet-router in eine dmz zu stecken, ist mir nicht ganz schlüssig. dann müsste ich ja den kv-safenet arbeitsplatz dahinter ebenfalls in der dmz und getrennt vom praxisnetz betreiben, was soll das bringen?

sinnvoll wäre doch z.B.:

modem - router (192.168.2.1)
.....|........................|.................................
kvsafenet blackbox (192.168.2.254)...........praxisnetz (192.168.2.x)
|.....................................................|................................
kv-safenet (192.168.180.x)..................................kv-safenet-clients..............

mit einem speedport (wg. 192.168.2.1) face-wink werde ich das routing wohl kaum konfigurieren können, mit einem router doch sehr wohl.

so plane ich das jedenfalls gerade...

lg
buc
keine-ahnung
keine-ahnung 17.03.2015 um 08:11:52 Uhr
Goto Top
Moin,
@ keine-ahnung: warum hole ich mir da den trojaner ins boot?
Das kann ich Dir beantworten:
- ich habe definitiv die Aussage von einem zertifizierten safenetanbieter, dass der meinen Router auch als KV-Safenetrouter hernehmen kann, dann sperrt er mir den Zugriff darauf. Sämtliche Konfiguration kann dann nur noch vom Anbieter selbst realisiert werden
- mag es so sein, dass das bei Deinem Anbieter nur für einen Teil der Konfiguration - ergo das VPN ins safenet - so ist, dann ist da immer noch ein bestehendes VPN, welches von Dritten unkontrolliert genutzt werden kann --> ist der Anbieter via VPN auf meinem Router, ist er per default auch erstmal in meinem Netzwerk, gelle?

Und auch in Deinem Schema ist das nicht anders, die Verbindung zwischen dem safenet und dem Praxisnetz muss ja durchgängig offen sein ... da ist die Idee mit der DMZ schon etwas beruhigender.

LG, Thomas
Smileychen
Smileychen 18.03.2015 aktualisiert um 09:19:45 Uhr
Goto Top
Moin,

da weiß man gar nicht was man drauf antworten soll.
Eine Alternative falls möglich wäre es auch noch den IPSec-Dienst nur dann zu aktivieren wenn benötigt wird.

@buc
Meinst du mit den Internetpaket das Premium-Mehrwert-Paket? Falls ja, wäre es ja schon fast Geldverbrennung wenn du das Teil dann nicht als Internetrouter nutzt.

Gruß Smiley
keine-ahnung
keine-ahnung 18.03.2015 um 10:24:42 Uhr
Goto Top
da weiß man gar nicht was man drauf antworten soll.
Danke für's Gespräch? So oder so ähnlich war meine zugegebenermassen etwas spontane Reaktion face-wink.
Eine Alternative falls möglich wäre es auch noch den IPSec-Dienst nur dann zu aktivieren wenn benötigt wird.
Bestenfalls, wenn Du nur die online-Abrechnung mit der KV darüber schiebst, aber sich nur dafür einen Zugang zuzulegen, wäre ja Schwachsinn. Für S3C-Anwendungen, elektronische Arztbriefe etc.pp. kommunizierst Du kontinuierlich im safenet, da kannst Du dann nicht einfach einen Schalter umlegen face-wink.

LG, Thomas
Smileychen
Smileychen 18.03.2015 um 17:41:53 Uhr
Goto Top
Bestenfalls, wenn Du nur die online-Abrechnung mit der KV darüber schiebst, aber sich nur dafür einen Zugang zuzulegen,
wäre ja Schwachsinn. Für S3C-Anwendungen, elektronische Arztbriefe etc.pp. kommunizierst Du kontinuierlich im safenet,
da kannst Du dann nicht einfach einen Schalter umlegen face-wink.
Ja klar aber in Hessen haben sie bald keine andere Wahl mehr der e-Token wird deaktiviert über kurz oder lang.
Und was sie dann noch weiteres nutzen wollen oder können hängt ja sowieso von den Paketen aber die die Ärzte abschließen.

Aber ich glaube wir reden schon lange am Thema vorbei ;)

Gruß
the-buccaneer
the-buccaneer 20.03.2015 um 00:58:34 Uhr
Goto Top
@keine-ahnung: aber das sind doch die guten. face-wink ernsthaft: berechtigter einwand. hast du deine kv dazu schonmal befragt? haben die eine antwort, ausser: "wir sind per se ungefährlich, weil wir das so bestimmen!" ? ich war ehrlich so naiv, die frage nicht zu stellen. face-wink und du hast schon recht: ohne zu wissen, wie die kommunikation in diesem vpn geregelt ist, muss man erstmal annehmen, dass mindestens der provider vollzugriff hat. face-wink die praxen müssen sie ja irgendwie über subnetze oder ? trennen.

Bestenfalls, wenn Du nur die online-Abrechnung mit der KV darüber schiebst, aber sich nur dafür einen Zugang zuzulegen, wäre ja Schwachsinn.

In hessen bald real existiernder schwachsinn. ist das bei dir noch anders?

@Smileychen: ja, das paket meinte ich. das ist gut, aber m.e zu teuer. wie securepoint eben ist. face-wink das ist das internetpaket, denn sonst hängen alle anderen clients in einem anderen subnetz, wenn sie inernet benötigen. die 2. netzwerkkarte bleibt eine option.

Aber ich glaube wir reden schon lange am Thema vorbei ;)

naja, an der ursprünglichen fragestellung evtl. da die ja aber die ganze diskussion als rattenschwanz quasi zwangsläufig nach sich zieht, auch wieder nicht. face-wink

provider: "wenn sie ein wlan hinter dem kv-safenet-router betreiben, verstossen sie gegen die vertragsbedingungen" face-wink face-wink face-wink

da sind noch mehr verpflichtende doc2doc kommunikationsgeschichten geplant, wenn ich das richtig verstanden habe und das kv-safenet ist nur der anfang. mal sehen.

was ich nur nicht verstehe, ist, warum man das nicht irgendwie zertifikatsbasiert über den elektronischen arztausweis realisiert hat...

lg
buc
the-buccaneer
the-buccaneer 20.03.2015 aktualisiert um 01:04:33 Uhr
Goto Top
ups, was ist denn hier los? der rattenschwan_z wird zensiert? aber fuck the eu darf man wahrscheinlich edit: offenkundig sagen?

tststs liebe admins, das ist mir etwas zu amerikanisch. face-wink

buc
Smileychen
Smileychen 20.03.2015 aktualisiert um 06:13:55 Uhr
Goto Top
was ich nur nicht verstehe, ist, warum man das nicht irgendwie zertifikatsbasiert über den elektronischen arztausweis
realisiert hat...
Damit man später noch mehr Geld aus den Ärzten pressen kann.Ist doch klar oder ;)
keine-ahnung
keine-ahnung 20.03.2015 um 09:42:50 Uhr
Goto Top
Moin,
In hessen bald real existiernder schwachsinn. ist das bei dir noch anders?
bei uns (SN) gibt es noch keinen Zwang, man kann bei uns auch die Abrechnungs-CD noch direkt zur KV tragen. Zumal ja nach wie vor Papier dort hingebracht werden muss face-wink. Wir haben einen Dienstleister mit safenet-Zugang, über diesen schieben wir remote die Abrechnung hoch und der nimmt auch für ein Bündel Kollegen den Papierkrams dann mit zur KV. Kostet mich ungefähr soviel wie der Safenetzugang, ist aber deutlich bequemer ...
warum man das nicht irgendwie zertifikatsbasiert über den elektronischen arztausweis realisiert hat...
Weil der auch nur im Experimentalstadium ist und mit der KV nix zu tun hat, der gehört zu den Kammern .... Und wie lange das KV-Safenet überhaupt noch existiert? Die GEMATIK mag das Teil überhaupt nicht face-wink

Es ist wie überall, wo es Kuchen zu verteilen gibt - auch die regulierte Marktwirtschaft hat Schattenseiten.

LG, Thomas
Smileychen
Smileychen 20.03.2015 um 12:39:04 Uhr
Goto Top
Wie heißt es so schön der Trog aus den die Schweine fressen bleibt immer der gleiche. Nur die Schweine wechseln regelmäßig.

Ohje das geht in Hessen nicht mehr ich glaub die KV weiß nicht mal mehr was Papier ist. ^^