Netzwerk Arztpraxis

Mitglied: HaTaNu

HaTaNu (Level 1) - Jetzt verbinden

21.02.2021 um 22:17 Uhr, 2249 Aufrufe, 40 Kommentare, 4 Danke

Hallo,
Als neuangemeldeter user vorab vielen Dank an alle aktiven User. Konnte schon viel interessantes hier lesen.
Nun zu meiner Frage.
Meine Frau wird zum 3. Quartal eine Praxis übernehmen mit einer sehr dürftigen IT Ausstattung.
Fritzbox an diese Angeschlossen der TI konnektor, das Lesegerät und der Rechner an der Anmeldung.

Wir würden gerne eine komplett vernetzte Praxis planen wollen.
Planen würde ich es so wie unten.
unbenannt - Klicke auf das Bild, um es zu vergrößern

Ist soll eine Planung sinnvoll, bei geplanten 5 clients. LAN wird als Client-Server aufgebaut. TI konnektor und Lesegerät sollen in eine DMZ. Als TK Anlage plane ich eine Elmeg beip+ , da eine Warteschleifen Funktion gewünscht ist und über Capi direkt aus der praxisverwaltungssoftware telefoniert werden soll.
Welche Hardware für die pfsense würdet ihr empfehlen?
Welchen Switch?
Die Elmeg vor der pfsense oder nach der pfsense platzieren?
Gruß
40 Antworten
Mitglied: StefanKittel
21.02.2021, aktualisiert um 22:23 Uhr
Hallo,
welche Praxissoftware?
Was für eine Branche?
Digitales Röntgen oder andere Anbindungen an Geräte? Steri oder Thermodesinfektor?
Stefan
Bitte warten ..
Der Kommentar von 147448 wurde vom Moderator tomolpi am 24.02.21 ausgeblendet!
Mitglied: HaTaNu
21.02.2021, aktualisiert um 23:04 Uhr
Geplant ist Medical Office.
Einziges Gerät was in das LAN eingebunden werden soll ist ein Ultraschall Gerät. Evtl. auch ohne Anbindung mit usb Stick die pat Aufnahmen in die PVSübermitteln.


@andy74mt
AOK? Barmer? Womit sollen die kalrkommen?
Bitte warten ..
Mitglied: Visucius
22.02.2021, aktualisiert um 06:18 Uhr
Oder “auslagern":

https://sichere-praxis-it.de

Ist am Ende ja auch nen Haftungsthema.
Bitte warten ..
Mitglied: lcer00
22.02.2021 um 07:22 Uhr
Hallo,

was für ein Konnektor? Bei der Kocobox wird das DMZ-Szenario eventuell Probleme machen. Ich habe es derzeit hinter einem NAT-Interface: https://administrator.de/forum/tis-konnektor-kv-safenet-gateway-side-to- ...

Ich habe wegen der Telefonfunktionen und weil es so gewachsen war, die beip am VDSL und eine OPNSense dahinter.

Die Telefonanlage der Bintec be.ip hat viele tolle Funktionen, allerdings massiv schlecht dokumentiert. Wenn man Warteschleifen oder Auswahltasten nutzen will ist jedenfalls nichts mehr mit „mal schnell den AB neu besprechen“.

Was soll die pfsense machen? IDS/IPS? Je mehr, desto größer würde ich sagen.

Grüße

lcer
Bitte warten ..
Mitglied: lcer00
22.02.2021 um 07:27 Uhr
Hallo,
Zitat von @147448:

Geil ! Wen die AOK oder Barmer damit klarkommt
Halt Dich mal lieber aus dem Thema raus, ist offenbar nicht Dein Spezialgebiet.

lcer
Bitte warten ..
Der Kommentar von Anton2812 wurde vom Moderator tomolpi am 22.02.21 ausgeblendet!
Mitglied: Lochkartenstanzer
22.02.2021, aktualisiert um 09:37 Uhr
Moin,

Du solltest, um das ordentlich zu machen, einen Dienstleister Deines Vertrauens in Deiner Nähe suchen und beauftragen. Der kann dir dann auch die Fallstricke sagen.

Ansonsten zu Deiner Frage:

Die be.ip kann sowohl VDSL und VLAN als auch "Firewall". Von daher sehe ich da keine Notwendigkeit, extra Modem und pfsense hinzustellen und damit die Komplexität zu erhöhen, es sei denn, Du brauchst bestimme Firewallfunktionen der pfsense, die Du bei der be.ip nicht bekommen könntest.

lks
Bitte warten ..
Mitglied: lcer00
LÖSUNG 22.02.2021 um 10:04 Uhr
Hallo,
Zitat von @Lochkartenstanzer:

Moin,

Du solltest, um das ordentlich zu machen, einen Dienstleister Deines Vertrauens in Deiner Nähe suchen und beauftragen. Der kann dir dann auch die Fallstricke sagen.
nun, der TO hat sich hier gemeldet, weil er offenbar keinen "Dienstleister seines Vertrauens" hat. Kann ich nachvollziehen. Er stellt auch die richtigen Fragen und kennt so Abkürzungen wie CAPI. Das Dilemma einen IT-Partner mit hohen Standards zu finden, der diese Größenordnung betreut kann ich nachvollziehen.

Unsre Setup (ist allerdings etwas größer, mehrere Standorte, viel mehr Geräte und Bilddaten): Cisco SG350X, HPE Proliant Server, Bintec beip (wobei die bei nächster Gelegenheit rausfliegt), OPNSense, QNAP-NAS für Datensicherung, und noch etwas mehr, aber das braucht er erst mal nicht. Die Hardware beziehen vom Händler unseres Vertauens, bei der Installation und Administration vertraue ich keinem. Er offenbar auch nicht, da der Konnektor in die DMZ soll :) face-smile .

Apropos Datensicherung - das fehlt noch in der Auflistung.

Grüß

lcer
Bitte warten ..
Mitglied: commodity
LÖSUNG 22.02.2021, aktualisiert um 10:36 Uhr
Sollte im Prinzip so gehen und würde ich ähnlich machen. Für eine so kleine Praxis ist das aber eigentlich overkill - aber wenn Du Spaß am Administrieren hast, ist das ein feines Setup.
Mir ist nicht ganz klar, wo Du die Elmeg reinhängst. Eigene Zone/Vlan? Sie hängt da so lose an der pfsense ;-) face-wink Ah, hast ja gefragt. Antwort ist unten.

Ich teile auch die Bedenken von Kollege @Icer00, ob Konnektor/Kartenleser in der DMZ so klappen, denke aber, das ist zu lösen. Hierin den Kommentaren gibt es vielleicht ein paar Denkanstöße.

Stellt sich für mich aber die Frage, warum Separieren? Hältst Du den Konnektor für eine Gefahr? Die Praxen, die ich kenne (das sind aber nur wenige) betreiben den Konnektor an einer Fritzbox und damit in der selben Zone. Der Paketfilter der Fritzbox schützt den Konnektor von außen und dass er von innen eine reale Gefahr darstellt bezweifle ich. Immerhin, schon für die Netzwerkverwaltung und zukünftiges Wachstum ist eine pfsense ganz nett und ein Sicherheitsplus ist es in jedem Fall. Wenn Sicherheit in der Praxis gewünscht ist, sind regelmäßige Schulungen des Personals und strenge Regeln für Mail und Internet aber zielführender.

Zur Hardware: Wenn die Langzeitprofis das hier lesen bekomme ich bestimmt Haue. Ist eines meiner Lieblingsthemen, wie mein Nickname schon zum Ausdruck bringt. Für Serverhardware und Infrastruktur kommt man sehr schnell zu den Themen Qualität, Verfügbarkeit/Redundanz, Wartung uvm. Kann man im KMU-Umfeld auch machen, aber mir tut immer noch der Kinderarzt leid, der sich für wahrscheinlich 20.000 EUR nen Serverschrank mit Profiserver in die Praxis gestellt hat, leider neben den Anmeldetresen... Beratung und Kundenorientierung ist alles. War bestimmt gute Hardware, nur keiner hat mehr ein Wort verstanden, so dass sogleich umgebaut und schallgeschützt werden musste. Ist immer eine Frage des Vokabulars und des Budgets. Der Rechenzentrums-ITler versteht völlig anderes unter einem Server als der KMU-Supporter. Änhnlich bei Firewalls. Die KBV findet wohl, der Fritzbox-Paketfilter ist eine Firewall, der Netzwerker bekommt davon Pickel. Ich baue die Hardware selbst zusammen, da weiß ich was drin ist. Wenn Du (Commodity) kaufst, nimm die üblichen Verdächtigen: Lenovo, Lenovo, Lenovo ;-) face-wink (gibt auch andere, aber das wäre meine Präferenz). Wenn Du mit nem "richtigen" Server ankommen musst, ist Thomas Krenn eine gute Wahl, aber im Kleinserver-Bereich letztlich ein eher sinnloser Kompromiss.

Wenn man weiß, was in den meisten Praxen so steht (und funktioniert) kommt man wieder auf Normalmaß. Und wer in IT-Unternehmen arbeitet, weiß, dass ein noch so teurer Profi-Server ohne Wartungsvertrag nicht wirklich reale Sicherheit bringt und schon nach wenigen Jahren Redundanznachteile hat, denn der Servicevertrag läuft aus und die Lieferzeiten für ältere Ersatzteile können dann beträchtlich sein. Viel redundanter ist es meiner Meinung nach, den Server virtuell aufzusetzen und regelmäßig vernünftig zu sichern. Dann hast Du im Desaster-Fall in kurzer Zeit ein neues System aufgesetzt (vorausgesetzt Du bist greifbar). Und Teileredundanz brauchst Du nicht, weil die Teile normal jederzeit am Markt beschaffbar sind. Letztlich hängt aber alles daran, wer das am Ende supportet (auch wenn Du Urlaub machst). Ein noch so intelligentes System nützt nichts, wenn ein von außen geholter Supporter das System nicht mit kleinem Aufwand verstehen kann. Deshalb supportet sich die Fritzbox - Server - Client - Kombi eben am besten. Insgesamt gilt. Je mehr Standars (also gern auch etabliertes OpenSource) desto leichter ist das zu warten. Ohne Windows geht es im Alltag kaum, schon gar nicht mit dem Word-lastigen Medical-Office, aber wo irgend geht, z.B. bei der Virtualisierung, nehme ich OpenSource. Wenn Rechenzentren zuverlässig unter KVM laufen, so dachte ich vor Jahren, kann das auch eine Praxis. Und so ist es. Wenn auch der externe Support, noch dazu vielleicht vom AIS, das aber verstehen soll, musst Du mit denen sprechen. Die sind meist extrem eingleisig.

Die Telefonanlage habt Ihr Euch hoffentlich angesehen. Viele stehen hier auf Auerswald, die ich auch recht ordentlich finde. Ich fand es am Ende ansprechender einen Asterisk aufzusetzen, mit dem kann ich die Spezifika der Kunden besser abbilden. Läuft seit (längster Fall) 10 Jahren auf nem Raspberry Pi (Modell 1b :-) face-smile ) ohne Ausfälle und Serviceeinsätze. Vor drei Jahren hab ich eine 6000 EUR HiCom durch nen (damals schon alten) Raspberry Pi 2 ersetzt und die Praxis ist deutlich glücklicher (nicht einmal über das Design der GS-Voip-Telefone wurde geklagt). Für eine so kleine Praxis braucht es aber vielleicht gar keine Anlage, die Fritzbox hat VOIP (und kann ja auch hinter einer pfsense betrieben werden). Auch hier gilt aber: Abweichungen vom Standard sollten nur stattfinden, wenn der Support gesichert ist. Für Raspberries gilt natürlich totale Redundanz: Einfach für 50 EUR zweites Gerät kaufen, Speicherkarte klonen und als Reserve vorhalten.

Die Telefonanlage natürlich immer hinter die Firewall! Schon gar eine Fertiganlage, deren Innenleben Du nicht selbst kennst und steuerst. Wenn da was offen ist (oder sich öffnet) und direkt im Internet hängt, au weia! Davon abgesehen wird soll die Anlage sicher mit DNS und Praxisnetz kommunizieren (du willst ja auch mal auf das Frontend). Bei so einer kleinen Praxis kann sie ins Praxis-Netz. Die Profis machen ein eigenes Telefonie-Vlan.

Bei allem was Du tust: Mach Deine Ehe nicht zum Spielball der IT. Wenn Dir Erfahrung fehlt, mach es so einfach wie möglich, bringe alles zum Laufen und steigere Dich langsam (und immer in einem HomeLab). Ich bin letztlich in einer ähnlichen Konstellation zum Quereinsteiger geworden und meine oberste Regel - nur umsetzen, was langjährig am Markt etabliert ist, ich verstehe und lange erprobt habe, hat fraglos nicht geschadet. Good Luck!

P.S.: Wenn Ihr das Sono noch nicht habt, wir haben das letztes Jahr durch, kannst Du mir gern schreiben. Das ist ein bemerkenswerter Markt...
Bitte warten ..
Mitglied: keine-ahnung
22.02.2021 um 12:55 Uhr
Moin,

nochmal: welche Fachrichtung? Wieviele Telefone? Was soll der cardreader in der DMZ - war der böse?

und über Capi direkt aus der praxisverwaltungssoftware telefoniert werden soll

Unterstützt das die PVS? Und willst Du da extra in die Arbeitsplatzbüchsen ISDN-Karten einbauen?

LG, Thomas
Bitte warten ..
Mitglied: Lochkartenstanzer
22.02.2021 um 12:59 Uhr
Zitat von @keine-ahnung:

Unterstützt das die PVS? Und willst Du da extra in die Arbeitsplatzbüchsen ISDN-Karten einbauen?

Da baut man doch heutzutage "VOIP-Karten" ein. ISDN ist sowas von 80er. :-) face-smile

lks
Bitte warten ..
Mitglied: lcer00
22.02.2021 um 13:03 Uhr
Hallo,
Zitat von @commodity:
Ich teile auch die Bedenken von Kollege @Icer00, ob Konnektor/Kartenleser in der DMZ so klappen, denke aber, das ist zu lösen. Hierin den Kommentaren gibt es vielleicht ein paar Denkanstöße.

Stellt sich für mich aber die Frage, warum Separieren? Hältst Du den Konnektor für eine Gefahr? Die Praxen, die ich kenne (das sind aber nur wenige) betreiben den Konnektor an einer Fritzbox und damit in der selben Zone. Der Paketfilter der Fritzbox schützt den Konnektor von außen und dass er von innen eine reale Gefahr darstellt bezweifle ich.
Das sehe ich etwas anders. Der einzige Grund, warum er keine Gefahr ist, ist vermutlich das Unvermögen seiner Programmierer.
Warum soll man denn dem Konnektor vertrauen? Die meisten Praxen, MVZs und auch Kliniken sind private Unternehmen. Da sollte man schon gelernt haben, dass man dem Staat nicht vertraut. Sorry! Die Frage wäre eher, warum soll ich den Konnektor schützen (außer vor physischem Zugriff)? Das Ding ist von BSI und KBV freigegeben und muss daher per se sicher sein. Ich muss den jedenfalls nicht besser absichern, als die Firmware-Programmierer das konnten.

Wenn man bedenkt, dass sogar die Serielle Installation des Konnektors empfohlen wird - also das der gesamte Datenverkehr der Praxis durch ein VPN der zentralen Telematik oder eines Gesundheits-IT-Anbieters gehen soll ...... Und Herr Spahn hält per Verordnung die Anteilsmehrheit an der Gematik .....

Grüße

lcer
Bitte warten ..
Mitglied: commodity
22.02.2021 um 17:49 Uhr
Man kann immer mehr absichern, als man es schon tut und ich habe auch gar nichts dagegen. Bin selbst ja ein Freund der Pfsense. Auch ist hinlänglich bekannt, dass die Konnektorfirmware unzählige Mängel hat (und man sich, ja @aqui, auch in den Cardreader hineinbohren kann). Wir wissen auch, dass der sinnlose TI-Hardware-Krempel ab 2025 ohnehin wieder sukzessive abgeschafft werden soll.

Insgesamt reden wir hier aber über eine Ein-Frau-Arztpraxis, bei der es viel wahrscheinlicher ist, dass sie erhebliche Ausfälle hat, weil die Pfsense zu streng oder unzulänglich konfiguriert ist als das ein Trojaner den Konnektor angreift. Was soll er da auch tun? Von außen rein kann keiner, da muss er mindestens an Fritzbox/Pfsense vorbei, ja und dann kann er sich auf dem Konnektor austoben. Konsequenz? Würde er das tun? Oder nimmt er sich doch lieber die Windows-Kiste vor, mit ihrer auch schon 20 Jahre alten Praxissoftware?

Ich finde, der TO hat sich gute Gedanken gemacht. Er braucht im Moment weder Verschwörungsansichten noch Maximalabsicherung, sondern ein paar Tipps mit gesunder Beziehung zum Projekt. Und eine überhaupt erst einmal laufende Anlage. Von da an kann man ja aufbauen ;-) face-wink
Bitte warten ..
Mitglied: keine-ahnung
22.02.2021 um 19:53 Uhr
@commodity

Auch ist hinlänglich bekannt, dass die Konnektorfirmware unzählige Mängel hat

Ist das so? Meiner tuckert ganz unaufgeregt vor sich her ...

Von außen rein kann keiner, da muss er mindestens an Fritzbox/Pfsense vorbei, ja und dann kann er sich auf dem Konnektor austoben

Der muss nicht an der Fritte oder der Pfsense vorbei, wenn der Angriff aus der Telematikinfrastruktur selbst erfolgt ... aber Neugier wollen wir den Jungens dort ja nicht unterstellen. Und ein sehr häufiges "Standardpasswort" in Praxen, munkelt man, lautet "doc123" :-) face-smile

Wir wissen auch, dass der sinnlose TI-Hardware-Krempel ab 2025 ohnehin wieder sukzessive abgeschafft werden soll

Das wird die TIS-Geschichte viel sicherer machen. Also vielleicht. Oder vielleicht doch nicht. Sind ja eh nur Daten ...

LG, Thomas
Bitte warten ..
Mitglied: Lochkartenstanzer
22.02.2021 um 20:19 Uhr
Zitat von @keine-ahnung:

Und ein sehr häufiges "Standardpasswort" in Praxen, munkelt man, lautet "doc123" :-) face-smile

Ich dachte das wäre praxis123 oder einfach nur praxis. :-) face-smile

lks
Bitte warten ..
Mitglied: commodity
23.02.2021 um 01:04 Uhr
Also ehe ein Angriff aus der Telematikinfrastruktur erfolgt geht eher ein Kamel durchs Nadelöhr, oder? So viel informationstechnisches "Engagement" traue ich unseren Ärzten dann doch nicht zu. Ist wohl eine Frage des Blickwinkels. Möglich vielleicht "ja", realistisch vielleicht "na ja". Zu den realen Mängeln des tuckernden Konnektors hier: Hinweise auf mögliche Verwundbarkeiten der Medizin-Telematik

Im übrigen bringt Ihr es auf den Punkt. Datensicherheit in Arztpraxen (in KMUs allgemein) braucht völlig andere Ansätze als rein technische. Die Liste einer Umfrage über die in Arztpraxen am häufigsten verwendeten Passwörtern wäre sehr kurz :-) face-smile. Voll fies, dass Ihr gerade die Passwörter von 50000 Praxen verraten habt! Die anderen 50000 starten dann gleich in den User ;-) face-wink
Bitte warten ..
Mitglied: aqui
23.02.2021, aktualisiert um 13:13 Uhr
geht eher ein Kamel durchs Nadelöhr, oder?
Dein zweifelndes "oder" sagt doch schon alles !! Wer bitte kann dir das denn garantieren ? Du hast doch keinerlei Information wer oder was da am anderen Ende des Tunnel agiert !! Siehe die dazu richtige Anmerkung des Kollegen @keine-ahnung unten !
Sowas dann ungeschützt in ein Praxisnetz zu lassen würde dir als Fahrlässigkeit ausgelegt gerade weil du besonders schützenswerte Daten vorhälst.
braucht völlig andere Ansätze als rein technische.
So ist es....und solange das nicht gegeben ist, ist eine strikte (technische) Kontrolle eben die beste Versicherung.
Der TO hat ja eh vermutlich das Interesse an einer zielführenden Lösung verloren was das mangelnde Feedback ja zeigt. Bleibt dann nur noch
https://administrator.de/faq/32
Bitte warten ..
Mitglied: keine-ahnung
23.02.2021 um 13:11 Uhr
@commodity

So viel informationstechnisches "Engagement" traue ich unseren Ärzten dann doch nicht zu

Wieso den Ärzten? Ein VPN hat zwei Enden, nur eines davon steht in der Arztpraxis ...

LG, Thomas
Bitte warten ..
Mitglied: aqui
23.02.2021 um 13:15 Uhr
...und je nachdem wie das VPN konfiguriert ist kann es auch 50.000 (Praxis) Enden haben. Worst Case dann mit einer möglichen Any zu Any IP Kommunikation !
Bitte warten ..
Mitglied: Snagless
23.02.2021 um 13:52 Uhr
Hallo,

"Voip-Karten" das ist jetzt sicher nen Scherz, oder?

Auerswald oder Bintec/Funktwerk kann man mögen doer nicht. Ich persönlich finde Agfeo da deutlich übersichtlciher. Wählen aus der Software raus ist via TAPI Schnittstelle kein Problem. GGf. wenn es alle können sollen muss man die TAPI-Lizenzen aufstocken. Imho kann man bei denen inzwischen sogar ganz auf Systemtelefone verzichten und benutzt das Dashboard orientierte VisoFon. Ist auch ne tolle Sache wenn man im Homeoffice sitzt. Ich kennen keinen Kunden der die Endgeräteprogrammierung bei Auerswald und Bintec toll findet.
Bitte warten ..
Mitglied: Lochkartenstanzer
23.02.2021 um 14:22 Uhr
Zitat von @Snagless:

Hallo,

"Voip-Karten" das ist jetzt sicher nen Scherz, oder?

Umschreibung für NICs :-) face-smile

lks
Bitte warten ..
Mitglied: aqui
23.02.2021 um 14:29 Uhr
"Voip-Karten" das ist jetzt sicher nen Scherz, oder?
Gibts die nicht am Kiosk mit einer Geheimzahl zum freirubbeln ??? 🤣
Bitte warten ..
Mitglied: commodity
23.02.2021, aktualisiert um 15:47 Uhr
Zitat von @keine-ahnung:

... Ein VPN hat zwei Enden, nur eines davon steht in der Arztpraxis ...

Zitat von @aqui:

...und je nachdem wie das VPN konfiguriert ist kann es auch 50.000 (Praxis) Enden haben. Worst Case dann mit einer möglichen Any zu Any IP Kommunikation !

Beides völlig richtig und aus technischer Sicht ein Grund das abzudichten. Dennoch eher Berufsparanoia ;-) face-wink

Die Ärzte sind nicht dazu da, sich und ihre Patienten vor der Gematik und den von ihr zertifizierten Angeboten zu schützen. Wenn der Gesetzgeber sagt, Ärzte müssen Zwangshardware aufstellen, die - immerhin - von der Gematik nach BSI-Vorgaben zertifiziert ist -, dann werden die meisten zu Recht nicht darin investieren, deren mögliche Defizite auszugleichen - jedenfalls solange nicht konkrete Betroffenheit wahrscheinlich ist. Und schon gar nicht, solange 1000 andere Sicherheitsbaustellen bestehen.

Ich finde Euren Ansatz, auch da am besten alles abzusichern definitiv unterstützenswert - sehe nur nicht die Vermittelbarkeit in der Praxis.

@aqui hat auch insofern Recht: Der TO ist schon in seinem Netzwerk verloren gegangen, schließen wir das hier ab. Er will im Übrigen ja separieren.
Bitte warten ..
Mitglied: commodity
23.02.2021 um 15:52 Uhr
Zitat von @aqui:

Dein zweifelndes "oder" ...

P.S.: Das "oder" war exakt als Trigger für Dich bestimmt! ;-) face-wink
Bitte warten ..
Mitglied: Lochkartenstanzer
23.02.2021 um 16:18 Uhr
Zitat von @aqui:

"Voip-Karten" das ist jetzt sicher nen Scherz, oder?
Gibts die nicht am Kiosk mit einer Geheimzahl zum freirubbeln ??? 🤣

Ich dachte in Arztpraxen werden andere Sachen gerubbelt, wenn man diversen Dokumentationsfilmen im Internet glauben darf. :-) face-smile
Bitte warten ..
Mitglied: Snagless
23.02.2021 um 16:21 Uhr
Hallo,

es gibt aber auch Ärzte die lassen sich da anbinden, auf die einfachste Art und Weise, und nur um dem Abrechnungsabzug zu entgehen, wenn man das nicht macht. Von Extra-Sicherheit ist da keine Rede und Geld darf es nur das absolute Minimum kosten.
Bitte warten ..
Mitglied: keine-ahnung
23.02.2021 um 19:37 Uhr
@Snagless

es gibt aber auch Ärzte die lassen sich da anbinden, auf die einfachste Art und Weise

Da möchte ich auch nicht den ersten Stein werfen, die ganze TIS-Geschichte ist ... sagen wir mal nicht wirklich optimal in die Ärzteschaft kommuniziert und umgesetzt wurden.

nur um dem Abrechnungsabzug zu entgehen

Sagen wir mal so, spätestens mit Beginn des 4. Quartals wird dann vermutlich der Zulassungsentzug drohen, weil dann die eAU verpflichtend wird und AU-Testierungen mit zu den Kernaufgaben der Vertragsärzteschaft gehören und es kein Ersatzverfahren geben wird. Da bin ich echt gespannt ...

Wenn man sich das neue whitepaper der GEMATIK zur "TIS 2.0" mal anschaut, wird einem auch nicht besser.

Aber es gibt auch good news: seit 23.01.2020 ist die neue IT-Sicherheitsrichtlinie der KBV rechtswirksam. Darin werden die Arztpraxen verpflichtet, regelmässige Datensicherungen durchzuführen. Also, ab 01.01.2022 (sic!) :-) face-smile
Bitte warten ..
Mitglied: pasu69
23.02.2021 um 20:15 Uhr
Man würde bei 90% der Praxen mit "doc" oder "praxis" auf den Server kommen.
Die meisten Email Adressen lauschen wahrscheinlich auf "qwertzui" oder "yxcvbnm"
Bitte warten ..
Mitglied: HaTaNu
23.02.2021 um 21:55 Uhr
Sorry für das so späte Feedback, leider ist zur Zeit der Tag mit 24 std zu kurz für mich :( face-sad
Danke für die zahlreichen Antworten und Lösungsvorschläge.
Bei der Arztpraxis handelt es sich um eine Kinderarztpraxis.

Warum pfsense und konnektor in der DMZ?
Da in verschieden threads schon mehrmals die Problematik mit dem TI konnektor Angesprochen wurde und auf den Artikel bei Heise.de hingewiesen wurde, habe mich mir überlegt wie ich den konnektor von Praxisnetz trenne kann.
Auf wird immer wieder über die nicht ausreichende Wirkung der NAT Firewall von der Fritzbox under gleichen berichtet. Daher die Überlegung mit der pfsense bevor es eine Cisco oder Lancom Firewall wird.

Eigentlich wäre für mich am einfachsten, ich nehme die Elmeg beip als Router stöpsel den Konnektor an die elemg und das LAN an den Konnektor.
Wie schon unten berichtet einige User schon geschrieben haben ist es ja ein sehr kleines Netzwerk mit wenig Anspruch.
Falls die Profis sagen solch eine minimal Konfiguration reicht aus und ist sicher, wäre ich nicht abgeneigt es so zu lösen.

Zur Frage mit der Datensicherung zuerst eine Sicherung auf einer Qual mit raid1, dann auf eine externe Festplatte welche abends mit nachhause genommen wird.
Bitte warten ..
Mitglied: lcer00
24.02.2021 um 07:27 Uhr
Hallo,
Zitat von @HaTaNu:

Eigentlich wäre für mich am einfachsten, ich nehme die Elmeg beip als Router stöpsel den Konnektor an die elemg und das LAN an den Konnektor.
Für den Anfang ist nichts daran auszusetzen.
Falls die Profis sagen solch eine minimal Konfiguration reicht aus und ist sicher, wäre ich nicht abgeneigt es so zu lösen.
So minimal ist das auch nicht, die be.ip bietet deutlich mehr Funktionen als andere „Internetboxen“.
Zur Frage mit der Datensicherung zuerst eine Sicherung auf einer Qual mit raid1, dann auf eine externe Festplatte welche abends mit nachhause genommen wird.
Qual?

Bei der Datensicherung vor Ort musst Du überlegen, wie schnell Du einen kaputten Server wieder in Betrieb nehmen willst. Es ist von Datenvolumen her ein riesiger Unterschied ob du nur die Praxisdatenbank sicherst, oder das gesamte System. Hier würde ich „mit Luft nach oben“ planen. Also ein NAS mit freien Plattenslots.

Wie willst Du eigentlich sichern?

Noch ein Tip: fange auch bei einem kleinen Team gleich mit personalisierten Benutzeraccounts und individuellen Passwörtern an. Lieber gleich am Anfang durchsetzen, als sich später damit rumärgern.

Grüße

lcer
Bitte warten ..
Mitglied: Lochkartenstanzer
24.02.2021, aktualisiert um 08:55 Uhr
Zitat von @lcer00:

Hallo,
Zitat von @HaTaNu:
.
Falls die Profis sagen solch eine minimal Konfiguration reicht aus und ist sicher, wäre ich nicht abgeneigt es so zu lösen.
So minimal ist das auch nicht, die be.ip bietet deutlich mehr Funktionen als andere „Internetboxen“.

Die be.ip hat ein vollwertige Firewallfunktionalität und auch ein VDSL-Modem eingebaut. Man kann damit also das Gleiche wie mit der pfsense oder mehr machen.

Wie ich schon oben sagte, kann man die pfsense und das extra Modem weglassen, ohne Funktionseinschränkungen hinnehmen zu müssen - so man die be.ip richtig konfiguriert.

lks
Bitte warten ..
Mitglied: commodity
24.02.2021 um 10:28 Uhr
Zitat von @keine-ahnung:

23.01.2020 ist die neue IT-Sicherheitsrichtlinie der KBV rechtswirksam. Darin werden die Arztpraxen verpflichtet, regelmässige Datensicherungen durchzuführen. Also, ab 01.01.2022 (sic!) :-) face-smile

Hast Du die mal durchgesehen? Selten ein so geradezu wirres Paper gesehen. Der gedankliche Ansatz ist gut. Die Ausführung sehr daneben. Der ITler weiß nicht, ob er weinen oder lachen soll, der Arzt versteht nichts mehr.

Einige Vorgaben gelten schon ab 1.4.2021 - also Tempo ;-) face-wink
Bitte warten ..
Mitglied: lcer00
24.02.2021 um 10:46 Uhr
Hallo,
Zitat von @commodity:

Zitat von @keine-ahnung:

23.01.2020 ist die neue IT-Sicherheitsrichtlinie der KBV rechtswirksam. Darin werden die Arztpraxen verpflichtet, regelmässige Datensicherungen durchzuführen. Also, ab 01.01.2022 (sic!) :-) face-smile

Hast Du die mal durchgesehen? Selten ein so geradezu wirres Paper gesehen. Der gedankliche Ansatz ist gut. Die Ausführung sehr daneben. Der ITler weiß nicht, ob er weinen oder lachen soll, der Arzt versteht nichts mehr.

Einige Vorgaben gelten schon ab 1.4.2021 - also Tempo ;-) face-wink
Ja, das ist witzig. Vor allem betrifft das bei den meisten Praxen eigentlich nur die Verwendung von TLS für die Anbindung des Konnektors und der Lesegeräte. Ich gehe davon aus, dass > 95% der Konnektoren im internen Netz ohne TLS arbeiten (War wohl damals für die TI-Spezial-Installateure zu schwierig ...). Und so problemlos aktivieren lässt sich das nicht, da die Zertifikate ins PVS eingebunden werden sollen und hier offenbar Probleme bestehen ( man liest Schauergeschichten bis hin zum kompletten Restore des PVS-Servers nach fehlerhafter? Aktivierung der Funktion. Anleitungen liegen nicht vor oder sind "geheim" )

Schön ist auch der Raum, der Mobilen Endgeräten gegeben wird. Wirkt so, als ob 30% der Praxis-IT aus Mobiltelefonen bestehen. Vermutlich präsentiert die Gematik (mit freundlicher Empfehlung des BMG) demnächst eine eigene MDM-Lösung.

Grüße

lcer
Bitte warten ..
Mitglied: commodity
24.02.2021, aktualisiert um 12:40 Uhr
Schön ist auch dieser Satz:

Bei der Umsetzung können Risiken auch an Dritte, wie IT-
Dienstleister oder Versicherungen, übertragen oder durch den Verantwortlichen akzeptiert werden


Besonders die letzte Option erscheint mir sehr zielführend :-0 face-surprise

Zitat von @lcer00:

Vor allem betrifft das bei den meisten Praxen eigentlich nur die Verwendung von TLS für die Anbindung des Konnektors und der Lesegeräte.

Welcher Punkt ist das? TLS ist bei Anlage 2 Nr. 3 erwähnt, jedoch nur für Webseiten. Fällt das uner Anlage 5 Nr. 3 oder 4? Ist ja sehr offen formuliert :-) face-smile

@HaTaNu: Sorry für das Kapern des Threads ;-) face-wink Dauert nicht lang ;-) face-wink
Bitte warten ..
Mitglied: lcer00
24.02.2021 um 13:15 Uhr
Zitat von @commodity:

Schön ist auch dieser Satz:

Bei der Umsetzung können Risiken auch an Dritte, wie IT-
Dienstleister oder Versicherungen, übertragen oder durch den Verantwortlichen akzeptiert werden


Besonders die letzte Option erscheint mir sehr zielführend :-0 face-surprise

Zitat von @lcer00:

Vor allem betrifft das bei den meisten Praxen eigentlich nur die Verwendung von TLS für die Anbindung des Konnektors und der Lesegeräte.

Welcher Punkt ist das? TLS ist bei Anlage 2 Nr. 3 erwähnt, jedoch nur für Webseiten. Fällt das uner Anlage 5 Nr. 3 oder 4? Ist ja sehr offen formuliert :-) face-smile
Anlage 5 Punkt 5

Grüße

lcer
Bitte warten ..
Mitglied: commodity
24.02.2021 um 14:10 Uhr
Zitat von @lcer00:

Anlage 5 Punkt 5

Danke. Ich weiß gar nicht, wie die Anbindung der Arbeitsplätze konkret abläuft. Wüsste auch nicht, wer beim örtlichen AIS-Support das wissen könnte. CGM sagt da ja nichts zu. Da im Infomodell die Anbindung aller Arbeitsplätze immer mit einem jeweiligen KT verknüpft wird, hätte ich angenommen, es wird nur über dies und auf Basis von deren Zertifikaten mit dem Konnektor kommuniziert.
Bitte warten ..
Mitglied: keine-ahnung
24.02.2021 um 18:04 Uhr
@commodity

Ich weiß gar nicht, wie die Anbindung der Arbeitsplätze konkret abläuft

Hängt sicher vom Konnektormodell und der genutzten PVS ab - bei secunet kannst Du Arbeitsplätze in dessen GUI einrichten (da kann man auch das Zertifikat für die clients runterladen). Wenn in der Praxis die TIS nur für das VSDM tuckert, reicht es, nur den Arbeitsplatz, der dem Cardreader am nächsten steht, einzurichten.
Für erweiterte Dienste, bspw. KIM, wird man dann sämtliche dafür benutzten Büchsen fit zu machen ... aber da lasse ich mir mal noch gemütlich Zeit bis zum September.

LG, Thomas
Bitte warten ..
Mitglied: commodity
25.02.2021, aktualisiert um 00:12 Uhr
Dankeschön! Hab mich nicht richtig ausgedrückt. Das Anbinden der Arbeitsplätze klappt bislang. Ich meinte, ich weiß nicht, wie die Verbindung konkret abläuft. Dies weil Kollege @Icer00 meinte, das müsse zukünftig dann über TLS laufen, was es wohl zumeist noch nicht tue. Habe gerade mehrere Ärzte ans NFDM (Kocobox) angeschlossen. Jeder Kartenleser hat da ein eigenes Zertifikat (SMC-KT) und ist vollständig im Konnektor angelegt. Wer da konkret wie und mit wem kommuniziert, ist mir nicht klar. Es gibt ja den Master-Kartenleser, ohne den gar nichts geht, aber die anderen Leser haben ja auch alle Zertifikate - sollten also auch verschlüsselt kommunizieren können, hätte ich gedacht.

Den Secunet-Konnektor finde ich im Übrigen weitaus aufgeräumter und umgänglicher. Die Kocobox wirkt dagegen grob zusammen gezimmert. Aber das muss der Funktion ja nicht schaden.
Bitte warten ..
Mitglied: StefanKittel
25.02.2021 um 00:25 Uhr
Zitat von @commodity:
Ich meinte, ich weiß nicht, wie die Verbindung konkret abläuft.
Nach der Installation des Konnektors muss dieser ja an die Praxissoftware angebunden werden.
Dazu muss man dort die IP-Adresse eintragen und dabei auch die Verbindungsmethode.
Standard ist bei den meisten Programmen "unverschlüsselt". Also http.
Wenn man Verschlüsselt auswählt muss man noch die Zertifikate in die Praxissoftware einbinden.

Du müsstest es also schon gesehen haben.

So sieht es z.B. in Dampsoft aus.
1 - Klicke auf das Bild, um es zu vergrößern
Das Bild stammt aus deren Anleitung.

Stefan
Bitte warten ..
Mitglied: commodity
25.02.2021 um 00:37 Uhr
Ok, das habe ich mir noch nie angesehen. Ich habe nur Konnektoren geerbt, die vom AIS-Hersteller ins AIS eingebunden wurden und mich damit noch nicht beschäftigt. Das hole ich gleich die Tage mal nach. Habe bislang Albis und Turbomed unter Windows und Apris unter Windows und Linux im Zugriff. Vielen Dank!

Jetzt hab ich aber ein schlechtes Gewissen, weil doch den Thread gekapert. Danke Euch auf jeden Fall, ich bleib dran.
Bitte warten ..
Heiß diskutierte Inhalte
Windows 10
Windows 7 pro Lizenz nutzen für Windows 10
lukas0209Vor 1 TagFrageWindows 1016 Kommentare

Hallo Community, ich versuche seit einigen Wochen unser Netzwerk von Windows Server 2008 R2 Standard auf Windows Server 2016 Essentials um, welches eine städtische ...

Microsoft
Staatsanwaltschaften verschicken Vorladungen in Sachen Windows 10 Lizenzkeys
kgbornVor 1 TagInformationMicrosoft5 Kommentare

Nur zu Info für die Käufer der eBay-Schnäppchen - neuer Fall Staatsanwaltschaften verschicken Vorladungen in Sachen Windows 10 Lizenzkeys

Router & Routing
Vodafone Kabel: Eigenen Router an den Kabelanschluss oder einen WLAN-Router ohne Modem hinter die Vodafone Station?
gelöst DyingWordsVor 1 TagFrageRouter & Routing8 Kommentare

Hallo zusammen, da wir demnächst in eine Wohnung mit Kabelanschluss von Vodafone einziehen werden, frage ich mich, ob es sinnvoller ist einen eigenen Router ...

Netzwerke
Netzwerklaufwerk - Nur Lesen (Streamen)
CryexXVor 1 TagFrageNetzwerke8 Kommentare

Hallo, ich hab mal ne Frage und hoffe auf Lösung. Mir schießt aktuell keine in den Kopf :( Ich möchte ein Netzlaufwerk freigeben. Auf ...

Linux
Knoppix 9.1 verfügbar
sabinesVor 1 TagInformationLinux6 Kommentare

Klaus Knopper hat eine neue Version zum Download bereitgestellt. Achtung in der Übersicht ist noch die Version 8.6.1 aus 2019 genannt, im Downloadverzeichnis ist ...

Netzwerke
Multi WAN Router
JoergDittVor 1 TagFrageNetzwerke9 Kommentare

Hallo zusammen, folgende Situation wir versorgen ca 150 Refugess in einer Gemeinschaftsunterkunft mit freiem WLAN Aktuell haben wir einen Fritzrouter mit Richtantenne an einer ...

Netzwerke
Wieviel parallel TCP Verbindung zum Datenserver erlauben
gelöst decehakanVor 1 TagFrageNetzwerke4 Kommentare

Hallo Zusammen, ich spiele gerade mit meinem Ubuntu Server mit der Firewall iptables rum und würde gern wissen wieviel man parallele Verbindung zum Datenserver ...

Windows Systemdateien
Windows CE 6.0 Problem
gelöst PepsiDoseVor 1 TagFrageWindows Systemdateien10 Kommentare

Servus, Ich habe letztens ein alten mini. Netbook mobile Computer gefunden (Oder wie die heißen) welches Windows CE 6.0 betreibt. Mein Problem ist, es ...