visucius
Goto Top

Mini-Praxis - Konnektor, Firewall usw. Optionen

Hallo in die Runde,

wenn ich das richtig verstehe, steht eine neue Runde im "Konnektoren-Gesundstoß-Business" an. Der Bestand wird wohl ausgetauscht – sollte sich nicht noch das SW-Update vom CCC durchsetzen.

In meinem Umfeld betrifft das eine 1-Personen-Therapie-Praxis. In der Vergangenheit wurde hier zusätzlich zum lokalen Konnektor auf nen Angebot für ne HW-Firewall mit 30 EUR/Monat "Adminstrationspauschale" zurückgegriffen. Wir hatten zu dem Thema Firewalling in Praxen hier ja schon einige Diskussionen.

Jetzt flatterte offenbar ein Angebot einer Firma "slis-service" rein, für das man ca. 80 EUR/Monat fürs outsouren von Firewall und Konnektor zahlen soll.

Ich will und kann das jetzt nicht bewerten, obs das Wert ist und ob man damit Haftung auslagert oder nicht wird. Aber ich weiß, dass hier einige IT-affine Ärzte, Praxen, ITler unterwegs sind.

Wie plant Ihr den Wechsel oder welchen Weg beschreitet Ihr dafür. Und ja, möglichst speziell im Rahmen so eines "Mini-Umfelds". Welche Option gibt es denn überhaupt? Mir scheint der (aktuelle) technische Aufwand für einen(!) Praxiscomputer über Gebühr hoch.

VG

Content-ID: 4315329745

Url: https://administrator.de/contentid/4315329745

Ausgedruckt am: 22.11.2024 um 02:11 Uhr

Vision2015
Vision2015 17.10.2022 um 19:02:35 Uhr
Goto Top
Moin....

sollte sich nicht noch das SW-Update vom CCC durchsetzen.
da wird sich nix durchsetzten, der Konnektor tausch ist schon voll im gang!

Jetzt flatterte offenbar ein Angebot einer Firma "slis-service" rein, für das man ca. 80 EUR/Monat fürs outsouren von Firewall und Konnektor zahlen soll.
nun, das ist so eine sache... Firewall, Datensicherung, Monitoring, Festplattenverschlüsselung. dazu braucht es keine externe Dienstleistung die eh vor ort läuft, und monatlich dafür bezahlen erst recht nicht!
der Konnektor wird per VPN angebunden.... mit Software von CGM wird das eh sehr schwierig!

Frank
Visucius
Visucius 19.10.2022 aktualisiert um 18:31:45 Uhr
Goto Top
Danke Dir Frank,

jetzt habe ich mir das Drama vor Ort mal fotografieren lassen. Aktuell wurschtelt da ein
a) LTE-Router "Telekom Speedbox"
b) secunet Einbox-Konnektor
c) Karten-Lesegerät
d) Terra 1100638 Firewall
e) Notebook
f) Drucker

Der Kram natürlich alles mit entsprechenden Netzteilen, fühlt man sich wie in nem Technikraum.

So wie ich das verstehe hängt das Kartenlesegerät am Konnektor und der stellt eine "sichere" Verbindung zur KK her. Ebenso greift auf diesen die Praxis-Software zu (übers Netzwerk)?! Die HW-Firewall arbeitet davon unabhängig und resultiert einzig und alleine aus dem Anforderungsprofil der kbv nach einer "Firewall":
https://www.kbv.de/media/sp/RiLi___75b_SGB_V_Anforderungen_Gewaehrleistu ...
(Anforderung an Praxen: 34)

Kann ich da nicht einfach nen Mikrotik LTE-Router (z.B. Chateau LTE12) nehmen, die FW und vLANs für den Praxis-HW konfigurieren, ggfs. noch mit MacAuth. und spare mir damit die monatliche Fee?

Oder gehe auf das Angebot ein:
(neue) HW-Firewall im Haus - Konnektor wandert dafür ins Rechenzentrum. Ich nehme mal an, dann wird der Traffic über nen VPN zum Rechenzentrum geroutet. Kostenpunkt irgendwas um 80 EUR/Monat (zzgl. 2300 EUR einmalig, die angebl. erstattet werden)
Vision2015
Vision2015 19.10.2022 um 18:44:18 Uhr
Goto Top
Moin...
Zitat von @Visucius:

Danke Dir Frank,

jetzt habe ich mir das Drama vor Ort mal fotografieren lassen. Aktuell wurschtelt da ein
a) LTE-Router "Telekom Speedbox"
uhhhh
b) secunet Einbox-Konnektor
jo...
c) Karten-Lesegerät
jo...
d) Terra 1100638 Firewall
wird wohl eine Securepoint sein!
e) Notebook
f) Drucker
soweit alles normal!

Der Kram natürlich alles mit entsprechenden Netzteilen, fühlt man sich wie in nem Technikraum.
nun... ist normal face-smile


So wie ich das verstehe hängt das Kartenlesegerät am Konnektor und der stellt eine "sichere" Verbindung zur KK her. Ebenso greift auf diesen die Praxis-Software zu (übers Netzwerk)?! Die HW-Firewall arbeitet davon unabhängig und resultiert einzig und alleine aus dem Anforderungsprofil der kbv nach einer "Firewall":
https://www.kbv.de/media/sp/RiLi___75b_SGB_V_Anforderungen_Gewaehrleistu ...
(Anforderung an Praxen: 34)

Kann ich da nicht einfach nen Mikrotik LTE-Router (z.B. Chateau LTE12) nehmen, die FW und vLANs für den Praxis-HW konfigurieren, ggfs. noch mit MacAuth. und spare mir damit die monatliche Fee?
nein... das mit LTE wird so nix! das geht wenn nur mit fester IPv4...
mit den latenzen auf der LTE seite, wird das lustig mit den einlesen der karten, und KIM!


Oder gehe auf das Angebot ein:
(neue) HW-Firewall im Haus - Konnektor wandert dafür ins Rechenzentrum. Ich nehme mal an, dann wird der Traffic über nen VPN zum Rechenzentrum geroutet. Kostenpunkt irgendwas um 80 EUR/Monat (zzgl. 2300 EUR einmalig, die angebl. erstattet werden)
kann den deine Praxis Software damit umgehen... wird das supportet?

Frank
E.T.imVOIPtelefonieren
E.T.imVOIPtelefonieren 20.10.2022 um 01:04:11 Uhr
Goto Top
Das FW-Angebot wird momentan von vielen PVS-Herstellern aufgegriffen. CGM schickt selbst aktiv Angebote an Praxen hinaus. Der Servicepartner darf dann die Firewall (Watchguard) in der Praxis aufbauen und entsprechende Templates für die Policies hinzufügen.
Das ist bei dir wohl nun das Selbe, jedoch ohne CGM als Anbieter.

Ich sehe keinen Bedarf in der neuen FW, es sei denn die derzeitige ist EOL und erhält keine Sicherheitsupdates mehr oder weißt keine UTM-Funktionen auf.
Mir wäre auch neu, dass Secunet TIaaS kann.
Visucius
Visucius 20.10.2022 aktualisiert um 11:23:34 Uhr
Goto Top
nein... das mit LTE wird so nix! das geht wenn nur mit fester IPv4... mit den latenzen auf der LTE seite, wird das lustig mit den einlesen der karten, und KIM!

Da stehe ich ein wenig auf dem Schlauch. Das ist ja das Setup, dass seit 1-2 Jahren läuft?! Das ist nicht immer stabil. Aktuell macht z.b. ein Update irgendwie Probleme. Aber grundsätzlich läuft das.Und so wie ich das verstehe wird ja jetzt erstmal der Konnektor entweder vor Ort ausgetauscht oder alternativ ins Rechenzentrum verbracht. Mein Mikrotik-LTE-Router-Vorschlag bezog sich aber erstmal nur auf einen lokalen Konnektor.

kann den deine Praxis Software damit umgehen... wird das supportet?
Naja, das ist so ne Frage: Das letzte Angebot (verwaltete FW) kam von "SicherePraxisIT" (kleinstes Paket)
Das Konnektor-Thema dagegen lief offenbar über den SW-Anbieter (Psyprax) oder deren Partner. Was eben aktuell auch dazu führt, dass die Praxis-Inhaberin von Pontius zu Pilatus geschickt wird, bei Problemen.

Das aktuelle Angebot von "slis-service", bezieht sich auf Konnektor&Firewall und erwähnt aber direkt die bisherigen Kosten (39 EUR/Monat) und die beiden Firmen scheinen ja verbunden.

Ich gehe schon davon aus, dass die das Angebot dann auch vor Ort umsetzbar wäre. Die haben den Kram ja mal "dokumentiert" (angeblich face-wink ) und waren mehrfach vor Ort.

Mir wäre auch neu, dass Secunet TIaaS kann.
Ist das denn schon "richtiges" TIaaS? So wie ich das verstehe, wird doch im ersten Schritt nur der Konnektor zentralisiert?!

PS: Jetzt lese ich gerade, dass es ja auch möglich wäre, den Konnektor im Reihenbetrieb als Firewall (mit) zu nutzen: https://www.psyprax.de/telematik-infrastruktur/praxis-it-datensicherheit ...

Ist das noch aktuell? Das wäre ja der sinnvollste Weg für das eine Endgerät. Wir reden hier von ca. 20 bis 30 GB Datenvolumen/Monat (inkl. Updates!)
E.T.imVOIPtelefonieren
E.T.imVOIPtelefonieren 20.10.2022 um 11:45:08 Uhr
Goto Top
Ist das denn schon "richtiges" TIaaS? So wie ich das verstehe, wird doch im ersten Schritt nur der Konnektor zentralisiert?!
Soweit ich weiß kann bis jetzt nur der Hersteller RISE TIaaS anbieten.


Zitat von @Visucius:

nein... das mit LTE wird so nix! das geht wenn nur mit fester IPv4... mit den latenzen auf der LTE seite, wird das lustig mit den einlesen der karten, und KIM!

Da stehe ich ein wenig auf dem Schlauch. Das ist ja das Setup, dass seit 1-2 Jahren läuft?! Das ist nicht immer stabil. Aktuell macht z.b. ein Update irgendwie Probleme. Aber grundsätzlich läuft das.Und so wie ich das verstehe wird ja jetzt erstmal der Konnektor entweder vor Ort ausgetauscht oder alternativ ins Rechenzentrum verbracht. Mein Mikrotik-LTE-Router-Vorschlag bezog sich aber erstmal nur auf einen lokalen Konnektor.

kann den deine Praxis Software damit umgehen... wird das supportet?
Naja, das ist so ne Frage: Das letzte Angebot (verwaltete FW) kam von "SicherePraxisIT" (kleinstes Paket)
Das Konnektor-Thema dagegen lief offenbar über den SW-Anbieter (Psyprax) oder deren Partner. Was eben aktuell auch dazu führt, dass die Praxis-Inhaberin von Pontius zu Pilatus geschickt wird, bei Problemen.

Das aktuelle Angebot von "slis-service", bezieht sich auf Konnektor&Firewall und erwähnt aber direkt die bisherigen Kosten (39 EUR/Monat) und die beiden Firmen scheinen ja verbunden.

Ich gehe schon davon aus, dass die das Angebot dann auch vor Ort umsetzbar wäre. Die haben den Kram ja mal "dokumentiert" (angeblich face-wink ) und waren mehrfach vor Ort.

Mir wäre auch neu, dass Secunet TIaaS kann.
Ist das denn schon "richtiges" TIaaS? So wie ich das verstehe, wird doch im ersten Schritt nur der Konnektor zentralisiert?!

PS: Jetzt lese ich gerade, dass es ja auch möglich wäre, den Konnektor im Reihenbetrieb als Firewall (mit) zu nutzen: https://www.psyprax.de/telematik-infrastruktur/praxis-it-datensicherheit ...

Ist das noch aktuell? Das wäre ja der sinnvollste Weg für das eine Endgerät. Wir reden hier von ca. 20 bis 30 GB Datenvolumen/Monat (inkl. Updates!)

Möglich, aber abzuklären in wie weit man dann die IT-Sicherheitsrichtlinien der KBV einhält. Hier wird eine UTM-Firewall gefordert und das ist die Secunet Kiste nicht. Zudem ist der Secunet Konnektor in dem Moment keine "richtige" Firewall in der du alles einstellen kannst. Wir haben zu 99% CGM KoCoBox Konnektoren, ich kann mich daher auch irren. Kennen tue ich aber keine einzige Praxis, die den Konnektor seriell betreibt (als Gateway), sondern immer nur parallel.

Wie weit bist du denn in dem Praxisthema drin? Hat die Praxis nur ich als Dienstleister?
Visucius
Visucius 20.10.2022 aktualisiert um 13:17:15 Uhr
Goto Top
Hat die Praxis nur ich als Dienstleister?
Jo, das ist ja das Problem face-wink

Das war ja auch der Grund, warum ich die Bekannte vor 1-2 Jahren bat, das Thema mit den entsprechenden Branchen-Dienstleistern für 39 EUR/Monat abzuwickeln. Und ich konzentriere mich auf den lokalen Support. Wenn ich mir aber ansehe, was dabei rauskam komme ich halt ins Grübeln.

keine einzige Praxis, die den Konnektor seriell betreibt (als Gateway)
Jo, das mag ja sein. Hängt aber doch auch von Deinem Blickwinkel und der Größe der Praxen ab?! Und spricht am Ende vor allem für ein gutes Marketing.

Deshalb ja - jetzt - bei anvisiertem Update der Infrastruktur die Frage ob es da evtl. auch pragmatischere Lösungen gäbe. Es geht mir eigentlich besonders darum - vor Ort - "Komplexität" rauszunehmen. Da wird einmal in der Woche ne Karte durchgezogen, die "Kundschaft" ist in dem Bereich ja eher homogen und langlebig face-wink

PS:
Wir haben zu 99% CGM KoCoBox Konnektoren
Sind das die hier? https://www.heise.de/hintergrund/Konnektortausch-CompuGroup-Medical-setz ...
E.T.imVOIPtelefonieren
E.T.imVOIPtelefonieren 20.10.2022 um 14:18:19 Uhr
Goto Top
Zitat von @Visucius:

Hat die Praxis nur ich als Dienstleister?
Jo, das ist ja das Problem face-wink

Das war ja auch der Grund, warum ich die Bekannte vor 1-2 Jahren bat, das Thema mit den entsprechenden Branchen-Dienstleistern für 39 EUR/Monat abzuwickeln. Und ich konzentriere mich auf den lokalen Support. Wenn ich mir aber ansehe, was dabei rauskam komme ich halt ins Grübeln.

keine einzige Praxis, die den Konnektor seriell betreibt (als Gateway)
Jo, das mag ja sein. Hängt aber doch auch von Deinem Blickwinkel und der Größe der Praxen ab?! Und spricht am Ende vor allem für ein gutes Marketing.

Deshalb ja - jetzt - bei anvisiertem Update der Infrastruktur die Frage ob es da evtl. auch pragmatischere Lösungen gäbe. Es geht mir eigentlich besonders darum - vor Ort - "Komplexität" rauszunehmen. Da wird einmal in der Woche ne Karte durchgezogen, die "Kundschaft" ist in dem Bereich ja eher homogen und langlebig face-wink

PS:
Wir haben zu 99% CGM KoCoBox Konnektoren
Sind das die hier? https://www.heise.de/hintergrund/Konnektortausch-CompuGroup-Medical-setz ...

Hängt aus meiner Sicht hauptsächlich an den gesetzlichen Vorgaben zusammen, welche eben eine dedizierte Hardware-Firewall vorsehen. Ob das rechtlich mit dem Secunet gedeckt ist, möchte ich nicht bewerten.


Zitat von @Visucius:

Hat die Praxis nur ich als Dienstleister?
Jo, das ist ja das Problem face-wink

Das war ja auch der Grund, warum ich die Bekannte vor 1-2 Jahren bat, das Thema mit den entsprechenden Branchen-Dienstleistern für 39 EUR/Monat abzuwickeln. Und ich konzentriere mich auf den lokalen Support. Wenn ich mir aber ansehe, was dabei rauskam komme ich halt ins Grübeln.

keine einzige Praxis, die den Konnektor seriell betreibt (als Gateway)
Jo, das mag ja sein. Hängt aber doch auch von Deinem Blickwinkel und der Größe der Praxen ab?! Und spricht am Ende vor allem für ein gutes Marketing.

Deshalb ja - jetzt - bei anvisiertem Update der Infrastruktur die Frage ob es da evtl. auch pragmatischere Lösungen gäbe. Es geht mir eigentlich besonders darum - vor Ort - "Komplexität" rauszunehmen. Da wird einmal in der Woche ne Karte durchgezogen, die "Kundschaft" ist in dem Bereich ja eher homogen und langlebig face-wink

PS:
Wir haben zu 99% CGM KoCoBox Konnektoren
Sind das die hier? https://www.heise.de/hintergrund/Konnektortausch-CompuGroup-Medical-setz ...

Genau die sind das. Heise zerpflückt die CGM echt heftig, aber auch berechtigt
Visucius
Visucius 20.10.2022 aktualisiert um 14:33:52 Uhr
Goto Top
Hängt aus meiner Sicht hauptsächlich an den gesetzlichen Vorgaben zusammen,
Ich finde da halt eher sehr wenig?! Zum einen oben die Richtlinie, die bei einer - so kleinen Praxis(!) - nur von einer Firewall spricht und dann noch die STANDARDs FÜR FIREWALLS IN PRAXEN von der "Kassenärztlichen Bundesvereinigung" die vor allem mit viel "Empfehlung" und "sollte" arbeitet.

PS: "Fullquotes" sind hier nicht gerne gesehen.
Vision2015
Vision2015 20.10.2022 um 14:46:59 Uhr
Goto Top
Moin...
Zitat von @Visucius:

Hängt aus meiner Sicht hauptsächlich an den gesetzlichen Vorgaben zusammen,
Ich finde da halt eher sehr wenig?! Zum einen oben die Richtlinie, die bei einer - so kleinen Praxis(!) - nur von einer Firewall spricht und dann noch die STANDARDs FÜR FIREWALLS IN PRAXEN von der "Kassenärztlichen Bundesvereinigung" die vor allem mit viel "Empfehlung" und "sollte" arbeitet.
ja..da will sich keiner festlegen! ob es jetzt ein NAT Router ist.. oder eine Firepower 1010... oder was auch immer!

PS: "Fullquotes" sind hier nicht gerne gesehen.

Frank
E.T.imVOIPtelefonieren
E.T.imVOIPtelefonieren 20.10.2022 um 14:50:35 Uhr
Goto Top
Bitte auch das DVG bedenken. Hier wird unter DVG Stufe 1, Absatz: 7-11, 32-34 und DVG Stufe 2: 2,3,11 klar, dass eine Hardware-Firewall für die Praxen gesetzlich verpflichtend sind.

Wie gesagt, wir nutzen de "Firewall-Funktionen" der Konnektoren nicht. Ich kann dir daher nicht sagen, wie gut diese sich konfigurieren lassen und ob diese überhaupt den Ansprüchen genügen.
Grundsätzlich gesagt, verkaufen wir auch Praxen mit 1-2 Arbeitsplätze eine dedizierte Hardware-Firewall mit UTM-Funktionen.
Vision2015
Lösung Vision2015 20.10.2022 um 16:24:57 Uhr
Goto Top
Moin..
Zitat von @E.T.imVOIPtelefonieren:

Bitte auch das DVG bedenken. Hier wird unter DVG Stufe 1, Absatz: 7-11, 32-34 und DVG Stufe 2: 2,3,11 klar, dass eine Hardware-Firewall für die Praxen gesetzlich verpflichtend sind.
ja ja... das kann aber auch ein Normaler Router sein! so genau hat sich nämlich da keiner festgelegt!
Der Begriff Hardware-Firewall, kann ein Router mit mit paketfilter sein.... oder oder alles darüber!
also ist das auslegungssache....

Wie gesagt, wir nutzen de "Firewall-Funktionen" der Konnektoren nicht. Ich kann dir daher nicht sagen, wie gut diese sich konfigurieren lassen und ob diese überhaupt den Ansprüchen genügen.
Grundsätzlich gesagt, verkaufen wir auch Praxen mit 1-2 Arbeitsplätze eine dedizierte Hardware-Firewall mit UTM-Funktionen.

Frank
Visucius
Lösung Visucius 02.11.2022 um 10:15:15 Uhr
Goto Top
Jetzt will ich den Thread doch nochmal kurz "abbinden" face-wink

Habe den Kontakt zum SW-Support gesucht und damit hat sich das Thema erstmal weit in die Zukunft geschoben. Der vorhandene Konnektor, geht problemlos bis 2025.
Das auf dem Tisch liegende aktuelle Angebot ist sozusagen nur ein Köder um den bestehenden Firewall-Vertrag "zu verteuern" ... und nicht auf die Idee zu kommen diesen Mitte nächsten Jahres komplett zu kündigen.

So ein Geschäftsgebaren ist genau mein Humor face-wink