Netzwerk Arztpraxis

Oder “auslagern":

https://sichere-praxis-it.de

Ist am Ende ja auch nen Haftungsthema.

Hallo,

was für ein Konnektor? Bei der Kocobox wird das DMZ-Szenario eventuell Probleme machen. Ich habe es derzeit hinter einem NAT-Interface: TIS-Konnektor als KV-safenet-gateway aus side-to-side-VPN-LAN nutzen?

Ich habe wegen der Telefonfunktionen und weil es so gewachsen war, die beip am VDSL und eine OPNSense dahinter.

Die Telefonanlage der Bintec be.ip hat viele tolle Funktionen, allerdings massiv schlecht dokumentiert. Wenn man Warteschleifen oder Auswahltasten nutzen will ist jedenfalls nichts mehr mit „mal schnell den AB neu besprechen“.

Was soll die pfsense machen? IDS/IPS? Je mehr, desto größer würde ich sagen.

Grüße

lcer

Hallo,
Halt Dich mal lieber aus dem Thema raus, ist offenbar nicht Dein Spezialgebiet.

lcer

Moin,

Du solltest, um das ordentlich zu machen, einen Dienstleister Deines Vertrauens in Deiner Nähe suchen und beauftragen. Der kann dir dann auch die Fallstricke sagen.

Ansonsten zu Deiner Frage:

Die be.ip kann sowohl VDSL und VLAN als auch "Firewall". Von daher sehe ich da keine Notwendigkeit, extra Modem und pfsense hinzustellen und damit die Komplexität zu erhöhen, es sei denn, Du brauchst bestimme Firewallfunktionen der pfsense, die Du bei der be.ip nicht bekommen könntest.

lks

Hallo,
nun, der TO hat sich hier gemeldet, weil er offenbar keinen "Dienstleister seines Vertrauens" hat. Kann ich nachvollziehen. Er stellt auch die richtigen Fragen und kennt so Abkürzungen wie CAPI. Das Dilemma einen IT-Partner mit hohen Standards zu finden, der diese Größenordnung betreut kann ich nachvollziehen.

Unsre Setup (ist allerdings etwas größer, mehrere Standorte, viel mehr Geräte und Bilddaten): Cisco SG350X, HPE Proliant Server, Bintec beip (wobei die bei nächster Gelegenheit rausfliegt), OPNSense, QNAP-NAS für Datensicherung, und noch etwas mehr, aber das braucht er erst mal nicht. Die Hardware beziehen vom Händler unseres Vertauens, bei der Installation und Administration vertraue ich keinem. Er offenbar auch nicht, da der Konnektor in die DMZ soll .

Apropos Datensicherung - das fehlt noch in der Auflistung.

Grüß

lcer

Sollte im Prinzip so gehen und würde ich ähnlich machen. Für eine so kleine Praxis ist das aber eigentlich overkill - aber wenn Du Spaß am Administrieren hast, ist das ein feines Setup.
Mir ist nicht ganz klar, wo Du die Elmeg reinhängst. Eigene Zone/Vlan? Sie hängt da so lose an der pfsense Ah, hast ja gefragt. Antwort ist unten.

Ich teile auch die Bedenken von Kollege @icer00, ob Konnektor/Kartenleser in der DMZ so klappen, denke aber, das ist zu lösen. Hierin den Kommentaren gibt es vielleicht ein paar Denkanstöße.

Stellt sich für mich aber die Frage, warum Separieren? Hältst Du den Konnektor für eine Gefahr? Die Praxen, die ich kenne (das sind aber nur wenige) betreiben den Konnektor an einer Fritzbox und damit in der selben Zone. Der Paketfilter der Fritzbox schützt den Konnektor von außen und dass er von innen eine reale Gefahr darstellt bezweifle ich. Immerhin, schon für die Netzwerkverwaltung und zukünftiges Wachstum ist eine pfsense ganz nett und ein Sicherheitsplus ist es in jedem Fall. Wenn Sicherheit in der Praxis gewünscht ist, sind regelmäßige Schulungen des Personals und strenge Regeln für Mail und Internet aber zielführender.

Zur Hardware: Wenn die Langzeitprofis das hier lesen bekomme ich bestimmt Haue. Ist eines meiner Lieblingsthemen, wie mein Nickname schon zum Ausdruck bringt. Für Serverhardware und Infrastruktur kommt man sehr schnell zu den Themen Qualität, Verfügbarkeit/Redundanz, Wartung uvm. Kann man im KMU-Umfeld auch machen, aber mir tut immer noch der Kinderarzt leid, der sich für wahrscheinlich 20.000 EUR nen Serverschrank mit Profiserver in die Praxis gestellt hat, leider neben den Anmeldetresen... Beratung und Kundenorientierung ist alles. War bestimmt gute Hardware, nur keiner hat mehr ein Wort verstanden, so dass sogleich umgebaut und schallgeschützt werden musste. Ist immer eine Frage des Vokabulars und des Budgets. Der Rechenzentrums-ITler versteht völlig anderes unter einem Server als der KMU-Supporter. Änhnlich bei Firewalls. Die KBV findet wohl, der Fritzbox-Paketfilter ist eine Firewall, der Netzwerker bekommt davon Pickel. Ich baue die Hardware selbst zusammen, da weiß ich was drin ist. Wenn Du (Commodity) kaufst, nimm die üblichen Verdächtigen: Lenovo, Lenovo, Lenovo (gibt auch andere, aber das wäre meine Präferenz). Wenn Du mit nem "richtigen" Server ankommen musst, ist Thomas Krenn eine gute Wahl, aber im Kleinserver-Bereich letztlich ein eher sinnloser Kompromiss.

Wenn man weiß, was in den meisten Praxen so steht (und funktioniert) kommt man wieder auf Normalmaß. Und wer in IT-Unternehmen arbeitet, weiß, dass ein noch so teurer Profi-Server ohne Wartungsvertrag nicht wirklich reale Sicherheit bringt und schon nach wenigen Jahren Redundanznachteile hat, denn der Servicevertrag läuft aus und die Lieferzeiten für ältere Ersatzteile können dann beträchtlich sein. Viel redundanter ist es meiner Meinung nach, den Server virtuell aufzusetzen und regelmäßig vernünftig zu sichern. Dann hast Du im Desaster-Fall in kurzer Zeit ein neues System aufgesetzt (vorausgesetzt Du bist greifbar). Und Teileredundanz brauchst Du nicht, weil die Teile normal jederzeit am Markt beschaffbar sind. Letztlich hängt aber alles daran, wer das am Ende supportet (auch wenn Du Urlaub machst). Ein noch so intelligentes System nützt nichts, wenn ein von außen geholter Supporter das System nicht mit kleinem Aufwand verstehen kann. Deshalb supportet sich die Fritzbox - Server - Client - Kombi eben am besten. Insgesamt gilt. Je mehr Standars (also gern auch etabliertes OpenSource) desto leichter ist das zu warten. Ohne Windows geht es im Alltag kaum, schon gar nicht mit dem Word-lastigen Medical-Office, aber wo irgend geht, z.B. bei der Virtualisierung, nehme ich OpenSource. Wenn Rechenzentren zuverlässig unter KVM laufen, so dachte ich vor Jahren, kann das auch eine Praxis. Und so ist es. Wenn auch der externe Support, noch dazu vielleicht vom AIS, das aber verstehen soll, musst Du mit denen sprechen. Die sind meist extrem eingleisig.

Die Telefonanlage habt Ihr Euch hoffentlich angesehen. Viele stehen hier auf Auerswald, die ich auch recht ordentlich finde. Ich fand es am Ende ansprechender einen Asterisk aufzusetzen, mit dem kann ich die Spezifika der Kunden besser abbilden. Läuft seit (längster Fall) 10 Jahren auf nem Raspberry Pi (Modell 1b ) ohne Ausfälle und Serviceeinsätze. Vor drei Jahren hab ich eine 6000 EUR HiCom durch nen (damals schon alten) Raspberry Pi 2 ersetzt und die Praxis ist deutlich glücklicher (nicht einmal über das Design der GS-Voip-Telefone wurde geklagt). Für eine so kleine Praxis braucht es aber vielleicht gar keine Anlage, die Fritzbox hat VOIP (und kann ja auch hinter einer pfsense betrieben werden). Auch hier gilt aber: Abweichungen vom Standard sollten nur stattfinden, wenn der Support gesichert ist. Für Raspberries gilt natürlich totale Redundanz: Einfach für 50 EUR zweites Gerät kaufen, Speicherkarte klonen und als Reserve vorhalten.

Die Telefonanlage natürlich immer hinter die Firewall! Schon gar eine Fertiganlage, deren Innenleben Du nicht selbst kennst und steuerst. Wenn da was offen ist (oder sich öffnet) und direkt im Internet hängt, au weia! Davon abgesehen wird soll die Anlage sicher mit DNS und Praxisnetz kommunizieren (du willst ja auch mal auf das Frontend). Bei so einer kleinen Praxis kann sie ins Praxis-Netz. Die Profis machen ein eigenes Telefonie-Vlan.

Bei allem was Du tust: Mach Deine Ehe nicht zum Spielball der IT. Wenn Dir Erfahrung fehlt, mach es so einfach wie möglich, bringe alles zum Laufen und steigere Dich langsam (und immer in einem HomeLab). Ich bin letztlich in einer ähnlichen Konstellation zum Quereinsteiger geworden und meine oberste Regel - nur umsetzen, was langjährig am Markt etabliert ist, ich verstehe und lange erprobt habe, hat fraglos nicht geschadet. Good Luck!

P.S.: Wenn Ihr das Sono noch nicht habt, wir haben das letztes Jahr durch, kannst Du mir gern schreiben. Das ist ein bemerkenswerter Markt...

Moin,

nochmal: welche Fachrichtung? Wieviele Telefone? Was soll der cardreader in der DMZ - war der böse?


Unterstützt das die PVS? Und willst Du da extra in die Arbeitsplatzbüchsen ISDN-Karten einbauen?

LG, Thomas

Da baut man doch heutzutage "VOIP-Karten" ein. ISDN ist sowas von 80er.

lks

Hallo,
Das sehe ich etwas anders. Der einzige Grund, warum er keine Gefahr ist, ist vermutlich das Unvermögen seiner Programmierer.
Warum soll man denn dem Konnektor vertrauen? Die meisten Praxen, MVZs und auch Kliniken sind private Unternehmen. Da sollte man schon gelernt haben, dass man dem Staat nicht vertraut. Sorry! Die Frage wäre eher, warum soll ich den Konnektor schützen (außer vor physischem Zugriff)? Das Ding ist von BSI und KBV freigegeben und muss daher per se sicher sein. Ich muss den jedenfalls nicht besser absichern, als die Firmware-Programmierer das konnten.

Wenn man bedenkt, dass sogar die Serielle Installation des Konnektors empfohlen wird - also das der gesamte Datenverkehr der Praxis durch ein VPN der zentralen Telematik oder eines Gesundheits-IT-Anbieters gehen soll ...... Und Herr Spahn hält per Verordnung die Anteilsmehrheit an der Gematik .....

Grüße

lcer

https://www.heise.de/news/Sicherheitsmaengel-in-Kartenterminals-und-Kran ...

Man kann immer mehr absichern, als man es schon tut und ich habe auch gar nichts dagegen. Bin selbst ja ein Freund der Pfsense. Auch ist hinlänglich bekannt, dass die Konnektorfirmware unzählige Mängel hat (und man sich, ja @aqui, auch in den Cardreader hineinbohren kann). Wir wissen auch, dass der sinnlose TI-Hardware-Krempel ab 2025 ohnehin wieder sukzessive abgeschafft werden soll.

Insgesamt reden wir hier aber über eine Ein-Frau-Arztpraxis, bei der es viel wahrscheinlicher ist, dass sie erhebliche Ausfälle hat, weil die Pfsense zu streng oder unzulänglich konfiguriert ist als das ein Trojaner den Konnektor angreift. Was soll er da auch tun? Von außen rein kann keiner, da muss er mindestens an Fritzbox/Pfsense vorbei, ja und dann kann er sich auf dem Konnektor austoben. Konsequenz? Würde er das tun? Oder nimmt er sich doch lieber die Windows-Kiste vor, mit ihrer auch schon 20 Jahre alten Praxissoftware?

Ich finde, der TO hat sich gute Gedanken gemacht. Er braucht im Moment weder Verschwörungsansichten noch Maximalabsicherung, sondern ein paar Tipps mit gesunder Beziehung zum Projekt. Und eine überhaupt erst einmal laufende Anlage. Von da an kann man ja aufbauen

@commodity


Ist das so? Meiner tuckert ganz unaufgeregt vor sich her ...


Der muss nicht an der Fritte oder der Pfsense vorbei, wenn der Angriff aus der Telematikinfrastruktur selbst erfolgt ... aber Neugier wollen wir den Jungens dort ja nicht unterstellen. Und ein sehr häufiges "Standardpasswort" in Praxen, munkelt man, lautet "doc123"


Das wird die TIS-Geschichte viel sicherer machen. Also vielleicht. Oder vielleicht doch nicht. Sind ja eh nur Daten ...

LG, Thomas

Ich dachte das wäre praxis123 oder einfach nur praxis.

lks

Also ehe ein Angriff aus der Telematikinfrastruktur erfolgt geht eher ein Kamel durchs Nadelöhr, oder? So viel informationstechnisches "Engagement" traue ich unseren Ärzten dann doch nicht zu. Ist wohl eine Frage des Blickwinkels. Möglich vielleicht "ja", realistisch vielleicht "na ja". Zu den realen Mängeln des tuckernden Konnektors hier: Hinweise auf mögliche Verwundbarkeiten der Medizin-Telematik

Im übrigen bringt Ihr es auf den Punkt. Datensicherheit in Arztpraxen (in KMUs allgemein) braucht völlig andere Ansätze als rein technische. Die Liste einer Umfrage über die in Arztpraxen am häufigsten verwendeten Passwörtern wäre sehr kurz . Voll fies, dass Ihr gerade die Passwörter von 50000 Praxen verraten habt! Die anderen 50000 starten dann gleich in den User

Dein zweifelndes "oder" sagt doch schon alles !! Wer bitte kann dir das denn garantieren ? Du hast doch keinerlei Information wer oder was da am anderen Ende des Tunnel agiert !! Siehe die dazu richtige Anmerkung des Kollegen @keine-ahnung unten !
Sowas dann ungeschützt in ein Praxisnetz zu lassen würde dir als Fahrlässigkeit ausgelegt gerade weil du besonders schützenswerte Daten vorhälst.
So ist es....und solange das nicht gegeben ist, ist eine strikte (technische) Kontrolle eben die beste Versicherung.
Der TO hat ja eh vermutlich das Interesse an einer zielführenden Lösung verloren was das mangelnde Feedback ja zeigt. Bleibt dann nur noch
Wie kann ich einen Beitrag als gelöst markieren?

@commodity


Wieso den Ärzten? Ein VPN hat zwei Enden, nur eines davon steht in der Arztpraxis ...

LG, Thomas

...und je nachdem wie das VPN konfiguriert ist kann es auch 50.000 (Praxis) Enden haben. Worst Case dann mit einer möglichen Any zu Any IP Kommunikation !

Hallo,

"Voip-Karten" das ist jetzt sicher nen Scherz, oder?

Auerswald oder Bintec/Funktwerk kann man mögen doer nicht. Ich persönlich finde Agfeo da deutlich übersichtlciher. Wählen aus der Software raus ist via TAPI Schnittstelle kein Problem. GGf. wenn es alle können sollen muss man die TAPI-Lizenzen aufstocken. Imho kann man bei denen inzwischen sogar ganz auf Systemtelefone verzichten und benutzt das Dashboard orientierte VisoFon. Ist auch ne tolle Sache wenn man im Homeoffice sitzt. Ich kennen keinen Kunden der die Endgeräteprogrammierung bei Auerswald und Bintec toll findet.

Umschreibung für NICs

lks

Gibts die nicht am Kiosk mit einer Geheimzahl zum freirubbeln ??? 🤣

Beides völlig richtig und aus technischer Sicht ein Grund das abzudichten. Dennoch eher Berufsparanoia

Die Ärzte sind nicht dazu da, sich und ihre Patienten vor der Gematik und den von ihr zertifizierten Angeboten zu schützen. Wenn der Gesetzgeber sagt, Ärzte müssen Zwangshardware aufstellen, die - immerhin - von der Gematik nach BSI-Vorgaben zertifiziert ist -, dann werden die meisten zu Recht nicht darin investieren, deren mögliche Defizite auszugleichen - jedenfalls solange nicht konkrete Betroffenheit wahrscheinlich ist. Und schon gar nicht, solange 1000 andere Sicherheitsbaustellen bestehen.

Ich finde Euren Ansatz, auch da am besten alles abzusichern definitiv unterstützenswert - sehe nur nicht die Vermittelbarkeit in der Praxis.

@aqui hat auch insofern Recht: Der TO ist schon in seinem Netzwerk verloren gegangen, schließen wir das hier ab. Er will im Übrigen ja separieren.

P.S.: Das "oder" war exakt als Trigger für Dich bestimmt!

Ich dachte in Arztpraxen werden andere Sachen gerubbelt, wenn man diversen Dokumentationsfilmen im Internet glauben darf.

Hallo,

es gibt aber auch Ärzte die lassen sich da anbinden, auf die einfachste Art und Weise, und nur um dem Abrechnungsabzug zu entgehen, wenn man das nicht macht. Von Extra-Sicherheit ist da keine Rede und Geld darf es nur das absolute Minimum kosten.

@Snagless


Da möchte ich auch nicht den ersten Stein werfen, die ganze TIS-Geschichte ist ... sagen wir mal nicht wirklich optimal in die Ärzteschaft kommuniziert und umgesetzt wurden.


Sagen wir mal so, spätestens mit Beginn des 4. Quartals wird dann vermutlich der Zulassungsentzug drohen, weil dann die eAU verpflichtend wird und AU-Testierungen mit zu den Kernaufgaben der Vertragsärzteschaft gehören und es kein Ersatzverfahren geben wird. Da bin ich echt gespannt ...

Wenn man sich das neue whitepaper der GEMATIK zur "TIS 2.0" mal anschaut, wird einem auch nicht besser.

Aber es gibt auch good news: seit 23.01.2020 ist die neue IT-Sicherheitsrichtlinie der KBV rechtswirksam. Darin werden die Arztpraxen verpflichtet, regelmässige Datensicherungen durchzuführen. Also, ab 01.01.2022 (sic!)

Man würde bei 90% der Praxen mit "doc" oder "praxis" auf den Server kommen.
Die meisten Email Adressen lauschen wahrscheinlich auf "qwertzui" oder "yxcvbnm"

Hallo,
Für den Anfang ist nichts daran auszusetzen.
So minimal ist das auch nicht, die be.ip bietet deutlich mehr Funktionen als andere „Internetboxen“.
Qual?

Bei der Datensicherung vor Ort musst Du überlegen, wie schnell Du einen kaputten Server wieder in Betrieb nehmen willst. Es ist von Datenvolumen her ein riesiger Unterschied ob du nur die Praxisdatenbank sicherst, oder das gesamte System. Hier würde ich „mit Luft nach oben“ planen. Also ein NAS mit freien Plattenslots.

Wie willst Du eigentlich sichern?

Noch ein Tip: fange auch bei einem kleinen Team gleich mit personalisierten Benutzeraccounts und individuellen Passwörtern an. Lieber gleich am Anfang durchsetzen, als sich später damit rumärgern.

Grüße

lcer

Die be.ip hat ein vollwertige Firewallfunktionalität und auch ein VDSL-Modem eingebaut. Man kann damit also das Gleiche wie mit der pfsense oder mehr machen.

Wie ich schon oben sagte, kann man die pfsense und das extra Modem weglassen, ohne Funktionseinschränkungen hinnehmen zu müssen - so man die be.ip richtig konfiguriert.

lks

Hast Du die mal durchgesehen? Selten ein so geradezu wirres Paper gesehen. Der gedankliche Ansatz ist gut. Die Ausführung sehr daneben. Der ITler weiß nicht, ob er weinen oder lachen soll, der Arzt versteht nichts mehr.

Einige Vorgaben gelten schon ab 1.4.2021 - also Tempo

Hallo,
Ja, das ist witzig. Vor allem betrifft das bei den meisten Praxen eigentlich nur die Verwendung von TLS für die Anbindung des Konnektors und der Lesegeräte. Ich gehe davon aus, dass > 95% der Konnektoren im internen Netz ohne TLS arbeiten (War wohl damals für die TI-Spezial-Installateure zu schwierig ...). Und so problemlos aktivieren lässt sich das nicht, da die Zertifikate ins PVS eingebunden werden sollen und hier offenbar Probleme bestehen ( man liest Schauergeschichten bis hin zum kompletten Restore des PVS-Servers nach fehlerhafter? Aktivierung der Funktion. Anleitungen liegen nicht vor oder sind "geheim" )

Schön ist auch der Raum, der Mobilen Endgeräten gegeben wird. Wirkt so, als ob 30% der Praxis-IT aus Mobiltelefonen bestehen. Vermutlich präsentiert die Gematik (mit freundlicher Empfehlung des BMG) demnächst eine eigene MDM-Lösung.

Grüße

lcer

Schön ist auch dieser Satz:

Bei der Umsetzung können Risiken auch an Dritte, wie IT-
Dienstleister oder Versicherungen, übertragen oder durch den Verantwortlichen akzeptiert werden

Besonders die letzte Option erscheint mir sehr zielführend


Welcher Punkt ist das? TLS ist bei Anlage 2 Nr. 3 erwähnt, jedoch nur für Webseiten. Fällt das uner Anlage 5 Nr. 3 oder 4? Ist ja sehr offen formuliert

@HaTaNu: Sorry für das Kapern des Threads Dauert nicht lang

Anlage 5 Punkt 5

Grüße

lcer

Danke. Ich weiß gar nicht, wie die Anbindung der Arbeitsplätze konkret abläuft. Wüsste auch nicht, wer beim örtlichen AIS-Support das wissen könnte. CGM sagt da ja nichts zu. Da im Infomodell die Anbindung aller Arbeitsplätze immer mit einem jeweiligen KT verknüpft wird, hätte ich angenommen, es wird nur über dies und auf Basis von deren Zertifikaten mit dem Konnektor kommuniziert.

@commodity


Hängt sicher vom Konnektormodell und der genutzten PVS ab - bei secunet kannst Du Arbeitsplätze in dessen GUI einrichten (da kann man auch das Zertifikat für die clients runterladen). Wenn in der Praxis die TIS nur für das VSDM tuckert, reicht es, nur den Arbeitsplatz, der dem Cardreader am nächsten steht, einzurichten.
Für erweiterte Dienste, bspw. KIM, wird man dann sämtliche dafür benutzten Büchsen fit zu machen ... aber da lasse ich mir mal noch gemütlich Zeit bis zum September.

LG, Thomas

Dankeschön! Hab mich nicht richtig ausgedrückt. Das Anbinden der Arbeitsplätze klappt bislang. Ich meinte, ich weiß nicht, wie die Verbindungkonkret abläuft. Dies weil Kollege @icer00 meinte, das müsse zukünftig dann über TLS laufen, was es wohl zumeist noch nicht tue. Habe gerade mehrere Ärzte ans NFDM (Kocobox) angeschlossen. Jeder Kartenleser hat da ein eigenes Zertifikat (SMC-KT) und ist vollständig im Konnektor angelegt. Wer da konkret wie und mit wem kommuniziert, ist mir nicht klar. Es gibt ja den Master-Kartenleser, ohne den gar nichts geht, aber die anderen Leser haben ja auch alle Zertifikate - sollten also auch verschlüsselt kommunizieren können, hätte ich gedacht.

Den Secunet-Konnektor finde ich im Übrigen weitaus aufgeräumter und umgänglicher. Die Kocobox wirkt dagegen grob zusammen gezimmert. Aber das muss der Funktion ja nicht schaden.

Nach der Installation des Konnektors muss dieser ja an die Praxissoftware angebunden werden.
Dazu muss man dort die IP-Adresse eintragen und dabei auch die Verbindungsmethode.
Standard ist bei den meisten Programmen "unverschlüsselt". Also http.
Wenn man Verschlüsselt auswählt muss man noch die Zertifikate in die Praxissoftware einbinden.

Du müsstest es also schon gesehen haben.

So sieht es z.B. in Dampsoft aus.
Das Bild stammt aus deren Anleitung.

Stefan