Mar 10, 2021, updated at 22:58:32 (UTC)

11664

101

Was ist nach Paragraph 75B SGB V eine Firewall?

Hallo,

im neuem IT Sicherheitsgesetzt für Ärzte und Zahnärzte § 75B SGB V, was ab 01.01.21 gilt und nach und nach aktiv wird, stehen 2 Punkte zum Thema Netzwerksicherheit.
Quelle: https://www.kbv.de/html/1150_50301.php
Quelle: https://www.kbv.de/media/sp/RiLi___75b_SGB_V_Anforderungen_Gewaehrleistu ...

Punkt 9
Ziel-Objekt: Internet-Anwendungen
Anforderung: Firewall benutzen
Erläuterung: Verwendung und regelmäßiges Update einer Web App Firewall.

Was soll das denn sein?
Ich vermute mal eine Software welche Webseiten prüfen die man aufruft.
Das könnte ein Antivirusprogramm sein oder eine UTM Firewall.

Punkt 32
Ziel-Objekt: Netzwerksicherheit
Anforderung: Absicherung der Netzübergangspunkte
Erläuterung: Der Übergang zu anderen Netzen insbesondere das Internet muss durch eine Firewall geschützt werden

Anmerkung 1: Ich schätze das deutlich mehr als 50% der Praxen keine VLANs und keine Firewall verwenden.

Frage: Was ist hier mit Firewall gemeint?

Konkret für eine kleine Praxis:
- Haupt-PC (Win10) als Server am Empfang
- 1 PC im Büro
- 2 PCs in den Zimmern
- TI-Konnektor und Lesegerät
- 1 LAN Drucker
- Telekom Router mit WLAN (für den Praxisinhaber)

Eine Fritz!Box hat ja nun auch eine Firewall. Zumindest auf dem "Papier".
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...

Ich habe keine definierte Aussage gefunden was in diesem Zusammenhang eine Firewall ist.
Fritz!Box, PFSense ohne Proxy, UTM-Firewall mit https-Proxy?

Hat Jemand etwas offizielles auf das man sich beziehen kann?
Sonst werden die Praxen einfach bei Ihrem 0815 Router bleiben und bei 9 und 32 mit Ja antworten.

Danke

Stefan

PS: In einer anderen Version des PDF ist bei Punkt 32 von einer Hardware-Firewall gesprochen.
https://hub.kbv.de/pages/viewpage.action?pageId=63537333
Es wird empfohlen eine Hardware-Firewall einzusetzen und diese nach den eigenen Anforderungen zu konfigurieren und zu warten. Mindestens sollte dabei Folgendes eingestellt werden:
- Nur erlaubte Kommunikationsziele (IP-Adressen und Ports) zulassen (eingehend und ausgehend).
- Nur erlaubte Kommunikationsprotokolle zulassen.

Erlaubt nach draußen müssen meist nur http, https, email und die gefühlten 7000 Ports für die IT-Konnektoren.
Aber die meisten Praxen nutzen Suchmaschienen und surfen durch das Internet auf der Suche nach anderen Ärzten, Informationen und neuen Lieferanten.
Da kann man keine White-List auf IP-Basis anlegen. Besonders mit den ganzen CDNs nicht.
Und ausgehende Ports ist eigentlich auch obsolet. Die bösen Jungs (und Mädels) telefonieren alle mit https nach Hause.

Please also mark the comments that contributed to the solution of the article

Content-Key: 661166

Url: https://administrator.de/contentid/661166

Printed on: April 24, 2024 at 17:04 o'clock

101 Comments

Latest comment

Entschuldigung !

Ein Angriffspotenzial ist wohl der Server der am Empfang steht !

Solange dort ein Gast / Kunde, oder Patient etwas an einen USB Port stecken kann, ist das gesamte System Kompromittiert !

Da hilft keine Firewall mehr !

Objektplan machen ! ToDo Liste machen und dann denken ;)

KAI

Moin Stefan!

Ja, was die wirklich meinen würden sie ja sagen, wenn sie sich geeinigt hätten, was sie wollen bzw. wie das umgesetzt gehört.

Frag nen Juristen.

Und der wird dir sagen: "Kommt drauf an, wie das die Gerichte dann sehen"

Ich wäre aber so dreist mal direkt im Ministerium anzufragen. Am besten telefonisch. Manchmal hat man Glück und bekommt jemanden der in der Sache involviert ist und sich freut, dass jemand mit Hintergrundwissen konkret nachfragt. Schon erlebt in ner anderen Sache. Viel gelernt.
Per Mail kann man das dann ja immer noch hinterherschicken denn das werden sie wollen für was "konkretes".

Natürlich bleiben die Praxen bei "Ja, ich habe eine Firewall" und "Web-App's haben wir auch."

Wenn du die betreust: Man kann den "Server" so absichern, dass eine Whitelist den Internetzugang regelt. Problemlos. Habe ich vor Jahren mal gemacht. Waren nur wenige Adressen.
Zum surfen muss dann halt ein anderer Rechner da stehen.

Prinzipiell gibt es TI-Anbieter die für kleines Geld einen "abgesicherten" Zugang zum Internet anbieten. Wie die das realisieren konnte ich damals nicht in Erfahrung bringen. "Betriebsgeheimnis"
Rechtsicher sollte das jedenfalls sein dann. Denn zertifiziert sind die.

Was sagt der Doktor? @keine-ahnung

VG
Buc

moin...

Zitat von @Kai-aus-der-Kiste:

Entschuldigung !

nö...

Ein Angriffspotenzial ist wohl der Server der am Empfang steht !

wiso?

Solange dort ein Gast / Kunde, oder Patient etwas an einen USB Port stecken kann, ist das gesamte System Kompromittiert !

wo steht das die schnittstellen nicht geschützt sind?
wo steht, das der Server nicht an der Anmeldung verschlossen ist?

Da hilft keine Firewall mehr !

gegen was soll den die "Firewall" helfen?

Objektplan machen ! ToDo Liste machen und dann denken ;)

natürlich... an besten den Serveraum einzeichnen, dafür fällt dann Raum 2 von 3 wech ..

sag das dem Doc, und du bist wech

KAI

Frank

Hallo,

die IT Sicherheitsrichtlinien der KBV stellt einen Minimalkonsens dar. Die KBV musste das Ding aufsetzten (Herr Spahn). Die Hälfte der Ärzte wollen sich damit nicht beschäftigen. Die Krankenkassen wollen dafür kein Geld ausgeben. Und die meisten AIS Anbieter leben strukturell in den 90gern. Ach ja, nicht zu vergessen, die vielen kleinen IT-Dienstleister, die nur von Ärzten leben können, weil die keine Ahnung von der Materie haben (Alle Anwesenden sind hier nicht gemeint).

Also wurde alles so schwammig wie möglich aufgeschrieben. Das BSI hat die Richtlinie aber wohl durchgeschaut.

Wenn man das liest, kann man sich schon wundern. Gefühlte 20 Punkte beschäftigen sich mit Mobilen Endgeräten. Klar, kann man gut regeln, nutzt ja keiner als Praxisgerät.

Es ist von niemandem gewollt, konkrete Anforderungen an eine Firewall zu definieren. Sonst stünden die drin.

Grüße

lcer

Moin,

Zitat von @the-buccaneer:
Prinzipiell gibt es TI-Anbieter die für kleines Geld einen "abgesicherten" Zugang zum Internet anbieten. Wie die das realisieren konnte ich damals nicht in Erfahrung bringen. "Betriebsgeheimnis"
Rechtsicher sollte das jedenfalls sein dann. Denn zertifiziert sind die.

Da hättest Du mal ein wenig weiter recherchieren sollen, was dieser "abgesicherte Zugang" genau bedeutet. Sehr lesenswert ist dieser Kommentar von Herrn Dr. Sommebrodt, der die technischen Hintergründe mal etwas vereinfacht darstellt (ist zwar bereits von 2019, aber eigentlich immer noch passend)
-> https://www.hausaerzte-hessen.de/down/230C5856-02C0-2FCA-9DCC0FA2A81E578 ...

Mit den halbwegs aktuellen Ereignissen im vergangenen Jahr (großflächiger Ausfall des KV-Safenets) hat das dann noch ein besonderes Geschmäckle

Gruß

cykes

... da fällt mir ein:

Die Minimalkonsensfirewall wäre:

IPv4: NAT aktiv
IPv6 ohne NAT: stateful, Eingehend blockieren.

Und im obligatorischen Netzwerkplan steht an der FRITZ!Box „Firewall“

Grüße

lcer

Zitat von @Kai-aus-der-Kiste:

Entschuldigung !

Ein Angriffspotenzial ist wohl der Server der am Empfang steht !

Solange dort ein Gast / Kunde, oder Patient etwas an einen USB Port stecken kann, ist das gesamte System Kompromittiert !

Da hilft keine Firewall mehr !

Objektplan machen ! ToDo Liste machen und dann denken ;)

KAI

Erstmal sind die wenigsten Empfangstresen die ich bisher bei Ärzten sehe längere Zeit völlig unbesetzt - und die meisten da werden wohl schon fragen warum der Patient denn dahin geht.

Aber: Ich würde das einfach so sehen das es wieder eine der lustigen Verordnungen ist. Wie du sagst - ne Firewall ist selbst nen simpler Plastik-Router (da er Pakete von aussen ja idR. verwirft). Solang du also kein Modem direkt am Rechner hast wäre das schon ziemlich erfüllt. Hier muss man einfach mal die Realität sehen und wird merken das ne "Whitelist" nicht geht. Nehmen wir an ich habe die üblichen 3 Wünsche frei und wünsche mir somit für die Praxis ne Firewall die sogar Listen hat (permanent aktuell) die alle medizinischen Seiten kenn. Was macht wohl der Empfang wenn nen Patient kommt (ggf. etwas älter und bestenfalls im Winter bei schlechtem Wetter) und fragt wann unten der Bus xyz kommt der 1x die Stunde in den Vorort fährt. Schon wird die Person am Empfang vermutlich eben im Internet nach dem Fahrplan gucken wollen. Völlig unmedizinisch, trotzdem in dem Fall sicherlich nicht ganz unsinnig (oder soll besagte Person dann ggf. in der Kälte unten 59 Min stehen weil der Bus grad weg is?). Damit ist also die Whitelist schon mal raus - ne Blacklist führt da eher zum Erfolg weil man eben DA die bekannt bösen Seiten recht einfach blocken kann. Klar - kann man (wie alles) umgehen ABER dort sitzen idR. keine Spielkinder (sonst würde ich den Arzt wechseln... Wer weiss was die denn erst im Fachbereich für lustige Ideen haben). Wenn die wirklich spielen (illegal runterladen, ...) -> Gespräch mit dem Inhaber, auf Wiedersehen, beim Rausgehen die Tür leise schließen.

Hier muss man - aus meiner Sicht - eben schauen was geht und da auch durchaus abwägen. Es gibt eben andere Anforderungen als bei ner Schule, nem Hotel, ... bei denen die Benutzer ggf. auf dumme Ideen kommen. Und es bringt auch wenig wenn man das da nur völlig dicht nagelt aber die Leute nich mehr wirklich arbeiten können. Dann kommen eben Workarounds die wieder schlechter sind (Mobiler Hotspot am Telefon,...). Mir persönlich is es da ab und an lieber "die Augen zuzumachen" und zu WISSEN das dort etwas läuft was ggf. nich optimal ist ABER noch vertretbar bleibt als permanent mit der Keule zu schwingen und dann die ganzen lustigen Versuche abzufangen.

Die Diskussion ist zu einfach gehalten.

Selbstverständlich ist die Fritzbox eine Firewall. Ist sie ja seit Jahrzehnten in jeder anderen Situation auch. Und wenn ich mir die verlffentlichten Lücken bei den angeblichen Profis ansehe (Telekom Business Router, sonic, Sophos, … von Cisco ganz zu schweigen) ist die Diskussion ziemlich frech. Mal davon abgesehen, dass bei denen noch Konfigurationsfehler hinzukommen.

Aber: Es gibt noch einen weiteren Treiber für die Praxen: Die Praxissoftware-Anbieter. Psyprax z.B. erklärte im Dezember ganz klar, dass ne Fritze nicht ausreicht und man da entweder aufrüstet oder diese Dienstleistung an einen eiligst gegründeten GmbH-Dienstleister auslagert: sicher-praxis-it.de

Moin Kai

Zitat von @Kai-aus-der-Kiste:
Ein Angriffspotenzial ist wohl der Server der am Empfang steht !
Solange dort ein Gast / Kunde, oder Patient etwas an einen USB Port stecken kann, ist das gesamte System Kompromittiert !
Da hilft keine Firewall mehr !

Ja, das stimmt.

Objektplan machen ! ToDo Liste machen und dann denken ;)

Ja, das stimmt.

Aber, die meisten Praxen die ich bisher betreut habe, und wir waren zwischendurch Servicepartner von CGM für 3 Bundesländer, laufen nach folgendem Prinzip
A) Kunde ruft an: Ich habe folgendes Problem, Problem lösen und nur das.
B) Wir sagen dem Kunden: Du musst nach Gesetzt Dies und Jenes machen, erstellen ein Angebot und die Praxis lehnt ab.
Genau B wird hier bei den Firewalls passieren. Keine Praxis wird eine Firewall kaufen.
Keine Praxis ändert, wie schon lange gesetzt, regelmäßig Ihre Kennwörter oder sperrt gar ihre USB Ports.

Solange die KVZ sagt es ist OK Patientendaten mit 7zip zu verschlüsseln.... was glaubst Du was passieren wird? nix.

Zitat von @StefanKittel:

Stephan, die oben gestellten Fragen sind genau meine

Und es sind nicht die einzigen zur "Sicherheitsrichtlinie". Ich hoffe, ich habe demnächst noch Zeit, das auszuarbeiten und werde dazu auch die offiziellen Kontakte nutzen. Und Ergebnisse hier posten.

Das, was oben dazu von einigen, zB @Visucius und @icer00 gesagt wurde, trifft es aber recht gut:

Vorgabe vom Ministerium, lustlos und ohne technische Kompetenz umgesetzt. Möglichst weich. Ändern muss sich nichts und soll sich nichts. Gut ist es trotzdem, denn es sensibilisiert und das ist ein Anfang.

Morgen macht die KV Berlin dazu eine Info-Veranstaltung.

Ich kann da leider nicht, kann also nicht konkret fragen. Die Erwartungen wären eh begrenzt, ich besorge mir aber den Stream. Wenn Du den haben willst, bitte PN.

Konkreter:
Mit Firewall ist offenbar alles gemeint, siehe de.wikipedia.org/wiki/Firewall
Die Vorgabe geht jedenfalls nicht weiter, denn Nr. 32 (V1) präzisiert sie nicht und (V2) gibt ja nur eine (praxisferne) Empfehlung. Auch der Konnektor wird ja gemeinhin als Firewall betrachtet und wäre doch wohl nicht mehr als ein Paketfilter (wenn er so eingesetzt werden würde).
Wer ernsthaft "richtige" Firewalls betreibt, wird auch überlegen, wie weit ihr Einsatz praktisch angemessen und sinnvoll ist. Wie weit soll das dann gehen? IPS? IDS? Wer soll das konfigurieren und warten? Wer bezahlt das im KMU-Umfeld... Nicht missverstehen: Ich bin dafür, aber bitte mit Augenmaß und nicht von 0 auf 100 und nicht solange das Masterpasswort doc123 ist.

Über "Web App Firewall" (WAF) bin ich auch gestolpert. Offenbar weiß der Verfasser des Papiers nicht, was das ist. Derartige Firewalls werden auf Webservern betrieben, die auf ihren Servern Web-Applikationen zur Verfügung stellen. Kann man z.B. bei Hostern dazu buchen. Das hat mit der Nutzung des Internets durch die Praxis mal gar nichts zu tun, steht aber in Anlage 1 an Position 9 (auch für kleine Praxen...). Ich betreue ja nur recht kleine Praxen, jedenfalls kenne ich keine, die einen eigenen Webserver betreibt. Bleibt die Frage, ob die gehostete WordPressblablablub-Seite zukünftig auch eine WAF benötigt. Wenn sie "Internet-Anwendungen" zur Verfügung stellt, die zugleich persönliche Daten verarbeiten wäre das dann wohl so. Ob ein Kontaktformular, Online-Terminvergabe o.ä. diese Kriterien erfüllen? Ich weiß es nicht. Jedenfalls dürfte es nichts mit dem unmittelbaren Praxisbetrieb zu tun haben.

Ich finde u.a. auch Anlage 1 Nr. 17 (V1) interessant.

Windows: Regeln Sie Berechtigungen und Zugriffe pro Personengruppe und pro Person.

Bedeutet das nicht die Einführung von ActiveDirectory? Da werden sich die Kleinpraxen aber freuen...

Zitat von @commodity:

Bedeutet das nicht die Einführung von ActiveDirectory? Da werden sich die Kleinpraxen aber freuen...

Zentrale Zugriffsverwaltung lässt sich ja auch unterhalb “ActiveDirectory” realisieren. Ein NAS managed sowas auf Linuxbasis auch mehr oder weniger problemlos. Und bezogen auch Dein Zitat, genügen doch schon die Anlage mehrer Zugriffskonten mit entsprechenden Rechten ... da machst Du doch bei jeder Windows-Freigabe.

Nur: Ein (Admin-)Konto inkl. PW für alle MAs ist halt Geschichte (sofern das noch jemand praktiziert hat).

Hallo,

Zitat von @Visucius:

Zitat von @commodity:

Bedeutet das nicht die Einführung von ActiveDirectory? Da werden sich die Kleinpraxen aber freuen...

Zentrale Zugriffsverwaltung lässt sich ja auch unterhalb “ActiveDirectory” realisieren. Ein NAS managed sowas auf Linuxbasis auch mehr oder weniger problemlos. Und bezogen auch Dein Zitat, genügen doch schon die Anlage mehrer Zugriffskonten mit entsprechenden Rechten ... da machst Du doch bei jeder Windows-Freigabe.

Nur: Ein Konto inkl. PW für alle MAs ist halt Geschichte (sofern das noch jemand praktiziert hat).

ich würde das so interpretieren, dass es mindestens getrennte Nutzerkonten für jede natürliche Person geben muss. Und dass diesen Personen nur notwendige Berechtigungen zugewiesen werden sollen. Also keine gemeinsam genutzten Konten und Passwörter mehr. Das hält sich kostenmäßig für Kleinpraxen im Rahmen, bedeutet aber ein Umdenken bezüglich der Kontonutzung.

Man muss bei alledem bedenken, dass es bei den Praxen ALLES gibt: Kleinstpraxen mit Schreibmaschine und einem einzigen PC für die Abrechnung genau so wie große MVZs mit eigenen IT-Mitarbeitern. Die Richtline soll einen realisierbaren Mindeststandart aufzeigen.

Bei der Bewertung der Richtlinie muss man sich die "Realität" vor Augen holen: Dazu kann man ja gerne mal stichprobenartig in AIS-Foren mitlesen: Da hier CGM als Stichwort fiel: https://www.vondoczudoc.de/viewforum.php?f=11

Spannende Themen sind:

Zugriff auf Server von Arbeitsgruppenrechnern aus
preiswerte Lizenzen von ebay
"Ich mach da nicht mit"-Threads

Und noch etwas: Vielleicht erinnern sich einige. Es gab schlimme Diskussionen um die Sicherheit der Konnektor-Installationen, die in dem Vorwurf gipfelten, alle Konnektoren wären unsicher installiert und die Installateure hätten die Firewall der Fritzboxen einfach abgeschaltet. Dies wurde auch durch einen ominösen Freie-Ärzte-Verein gepuscht. Zum Schluß wurde dann auf eine Datenschutzfolgeabschätzung bezüglich der zentralen Telematik durch die Gematik gedrängt und einiges an Druck aufgebaut. Die Sicherheitsrichtlinie war dann wohl die Retourkutsche.

Grüße

lcer

Danke @Visucius und auch @lcer00. Ja, an Linux habe ich auch schon gedacht, ich glaube aber nicht, dass die KBV das getan hat.

Die Realität in Kleinpraxen ist Windows10 (auch als Datei-"Server"). Wie konkret machst Du denn Berechtigungen pro Person und Gruppe unter Windows10? Lauter einzelne User und in der Freigabe dann "authentifizierte Benutzer" erlauben oder Gruppen anlegen?

Ein Admin-Konto für alle ist auch immer noch die Realität, die ich kenne. Verschiedene Praxissoftware(-Dienstleister) verlangen das immer noch. Und sei es nur für den ersten Start nach einem Update. Vielleicht zu Unrecht. Schön ist jedenfalls anders, das stimmt.

Und: Wenn bei der Datensicherung VSS benutzt wird, braucht man doch auch Admin-Rechte, oder liege ich da falsch?

Hallo,

das übliche Kuddelmuddel im medizinischen Bereich.

Es gibt es von der KBV schlicht 2 Dokumente.
https://www.kbv.de/html/1150_50301.php
https://hub.kbv.de/pages/viewpage.action?pageId=63537333

Bei einem steht nur Firewall und beim anderen Hardware-Firewall mit VLAN-Funktion.

Effekt: Jeder IT Dienstleister erstellt jetzt eigene Dokumente und Listen und "verkauft" diese, zusammen mit Dienstleistung, an seine Praxen.
Die Qualität ist unterschiedlich, der Aufwand "zu" groß und die Zeit viel zu knapp.

gna gna nga

Stefan

Hallo

Zitat von @StefanKittel:

Es gibt es von der KBV schlicht 2 Dokumente.
https://www.kbv.de/html/1150_50301.php
https://hub.kbv.de/pages/viewpage.action?pageId=63537333

Hier nichts verwechseln! Die in der Spalte "WEITERE HINWEISE ETC." aufgeführten Dinge sind nicht Bestanddteil der verabschiedeten und gültigen Richtline. Relevant ist folgende im Ärzteblatt bekanntgemachte Version: https://www.aerzteblatt.de/archiv/217429/Richtlinie-nach-75b-SGB-V-ueber ...

Grüße

lcer

Hallo,

Die Vorgaben der meisten Anbieter von Abrechnungssoftware sind ja immer noch:
- Lokale Admin-Rechte
- Keine AV-Software
- SMB1 only (SMB 2+3 deaktivieren)

Die gebräuchlichste Kommunikationsform zwischen Abrechnungs- und Röntgensoftware ist VDDS.
Dafür benötigt man Admin-Rechte und muss auch UAC abschalten.
(Die Kommunikation läuft über ini-Dateien im Windows-Verzeichnis)

Stefan

Zitat von @lcer00:
Relevant ist folgende im Ärzteblatt bekanntgemachte Version: https://www.aerzteblatt.de/archiv/217429/Richtlinie-nach-75b-SGB-V-ueber ...

Sagt wer?
Warum ist diese Version richtiger als die von kbv?

Stefan

Hallo,

Zitat von @StefanKittel:

Zitat von @lcer00:
Relevant ist folgende im Ärzteblatt bekanntgemachte Version: https://www.aerzteblatt.de/archiv/217429/Richtlinie-nach-75b-SGB-V-ueber ...

Sagt wer?
Warum ist diese Version richtiger als die von kbv?

Die KBV ist eine Körperschaft Öffentlichen Rechts. Alle Vorgaben, die KBV macht, müssen satzungsgemäß von ihrer Vertreterversammlung beschlossen und per Veröffentlichung bekannt gemacht werden. Das ist so wie Bundestag und Bundesanzeiger bei Bundesgesetzen. Da kann man nichts nachträglich hinzuschreiben. Die Seite mit den Zusätzen ist Teil einer Infowebsite der KBV die die Umsetzung durch die Praxen erleichtern will.

Grüße

lcer

Hallo Icer,

danke für die Info.

Also steht dort nur Firewall.
Eine Fritz!Box ist technisch und juristisch eine Firewall, also bleibt es bei der Fritz!Box in allen Praxen und Ende.
Kein UTM und kein VLAN, dazu den Konnektor im Parallelbetrieb im LAN.

"Die FRITZ!Box bietet Ihnen eine komplett geschlossene Firewall gegenüber unangeforderten Daten aus dem Internet. Bereits in den Werkseinstellungen sind alle mit der FRITZ!Box verbundenen Computer, Smartphones und anderen Geräte vollständig vor Angriffen aus dem Internet geschützt."
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...

Stefan

Zitat von @lcer00:

Die KBV ist eine Körperschaft Öffentlichen Rechts. Alle Vorgaben, die KBV macht, müssen satzungsgemäß von ihrer Vertreterversammlung beschlossen und per Veröffentlichung bekannt gemacht werden. Das ist so wie Bundestag und Bundesanzeiger bei Bundesgesetzen. Da kann man nichts nachträglich hinzuschreiben.

Zustimmung. Das Ärzteblatt ist das maßgebliche Organ für Veröffentlichungen. Aber was für ein Chaos (schon bevor alles losgeht): Das Dokument auf der "hub"-Seite wird ja auch als Fassung der Richtlinie mitgeteilt. Ich schreib die KBV mal an.

Zum Thema Firewall steht dort auch etwas:
Unter Anlage 5 Nr. 4 i.V.m Anlage 1 Nr. 32 wird gefordert, die Praxis bzw. das Praxisnetz auf Netzebene zu schützen. Die KBV empfiehlt dies mittels einer korrekt installierten, konfigurierten und gewarteten Hardwarefirewall oder den Konnektor im Reihenbetrieb umzusetzen.

Soso...

Unter Anlage 5 Nr. 4 i.V.m Anlage 1 Nr. 32 wird gefordert, die Praxis bzw. das Praxisnetz auf Netzebene zu schützen. Die KBV empfiehlt dies mittels einer korrekt installierten, konfigurierten und gewarteten Hardwarefirewall oder den Konnektor im Reihenbetrieb umzusetzen.//

Empfehlen kann ich meinen Kunden auch viel. Zum Beispiel mir viel mehr Geld zu überweisen. Machen die aber irgendwie nicht.
Eine Empfehlung kann aber nicht Bestandteilt einer Pflicht sein. Also bleibt es eine Empfehlung und wenn man sich nicht daran hält passiert nix solange nix passiert.

Das dürfte der Hauptpunkt sein.
Solange nichts passiert, passiert auch nichts.

Wenn irgendwo ein Fall eintritt, dann wird geprüft ob alle Maßnahmen verhältnismäßig waren.
Und wenn Jemand nachträglich zu dem Schluß kommt, dass sie es nicht waren, dann gibt es ärger.

Quizfrage: Wieviele Praxen fallen täglich Ransomware oder anderen Hackern zum Opfer? Wieviele melden dies als Datenschutzvorfall an die Behörden? Vieleicht Null?

Zitat von @Visucius:
Nur: Ein (Admin-)Konto inkl. PW für alle MAs ist halt Geschichte (sofern das noch jemand praktiziert hat).

Das ist in den meisten Praxis durchaus üblich.
Es gibt da keine Personenkonten sondern nur Funktionspostfächer wie z.B. Zimmer1.
Alle mit lokalen Adminrechten (siehe Unten warum) und ein einheitliches einfaches Kennwort wie z.B. "mond".
Wobei die PCs in der Regel nicht gesperrt werden...

Stefan

Zitat von @StefanKittel:

Eine Empfehlung kann aber nicht Bestandteilt einer Pflicht sein.
Das dürfte der Hauptpunkt sein.

Korrekt. Sind wir uns absolut einig. Auch in den Konsequenzen.

Zitat von @StefanKittel:

Quizfrage: Wieviele Praxen fallen täglich Ransomware oder anderen Hackern zum Opfer? Wieviele melden dies als Datenschutzvorfall an die Behörden? Vieleicht Null?

Also die DSGVO wirkt schon. Ich hatte letztens den Fall eines versehentlich falsch übermittelten Laborberichts (falscher Anhang an Email, Mitarbeiterfehler). Wurde artig gemeldet. Der DSB hat dann mitgeteilt, dass der Vorgang "veraktet" wurde. Die Meldung war Aufwand, würde ich aber immer empfehlen.

Zitat von @StefanKittel:
Alle mit lokalen Adminrechten (siehe Unten warum) und ein einheitliches einfaches Kennwort wie z.B. "mond".
Wobei die PCs in der Regel nicht gesperrt werden...

Das wird dann offenbar die Hauptbaustelle der Sicherheitsrichtlinie...

Zitat von @commodity:

Zitat von @StefanKittel:
Alle mit lokalen Adminrechten (siehe Unten warum) und ein einheitliches einfaches Kennwort wie z.B. "mond".
Wobei die PCs in der Regel nicht gesperrt werden...

Das wird dann offenbar die Hauptbaustelle der Sicherheitsrichtlinie...

Wobei diese Punkte dort nicht benannt werden...

Gibt es Anbieter die fertig, juristisch geprüfte, Unterlagen verkaufen?
Irgendwas an dass man sich halten kann?

Sonst braut jeder sein eigenes Süppchen und einige davon schmecken später vieleicht nicht allen.
Man macht es natürlich nach besten Wissen und Gewissen, aber wie man am Thema Firewall sieht, ist das nicht so einfach.

Sicherer für mich wäre wenn ich die Praxis informieren, dass ich sie da nicht beraten kann.
Also macht die Praxis entweder nix oder sucht sich Jemanden der sagt dass er es kann. Wobei das ja nix heissen muss.

Wenn ich das richtig gelesen habe gibt es Bundesweit 16 zertifizierte Personen.

Stefan

Zitat von @StefanKittel:

Zitat von @Visucius:
Nur: Ein (Admin-)Konto inkl. PW für alle MAs ist halt Geschichte (sofern das noch jemand praktiziert hat).

Nee, das ist meist nur praxis oder, wenn es 8-stellig sein muß, praxis123.

lks

PS: Das findet man so oder ähnlich in Praxen vor, wenn man zu denen als "Feuerwehr" hinkommt. Das sind "Vorgaben" der Anbieter der Praxissoftware, damit die das Zeug einfacher "warten" können (und es überhaupt funktioniert).

Zitat von @StefanKittel:

Gibt es Anbieter die fertig, juristisch geprüfte, Unterlagen verkaufen?
Irgendwas an dass man sich halten kann?

Also genau das soll ja mit der Richtlinie verhindert werden.

Vergleich mal die KBV-Richtlinie mit folgender älterer Veröffentlichung der Bundesärztekammer: https://www.bundesaerztekammer.de/fileadmin/user_upload/downloads/pdf-Or ...

Crashkurs Gesundheitspolitik:

Der brave Gesundheitspolitiker muss im Auge behalten, dass zu hohe Anforderungen zu einer Verschlechterung der Medizinischen Versorgung führen. Warum? https://www.aerzteblatt.de/nachrichten/70770/KBV-Bis-2030-fehlen-mehr-al ...

Wenn z.B. eine Hardwarefirewall wie Sophos & co gefordert würde, würden wieder ein paar ältere Ärzte mehr ihre Praxis (ohne Nachfolger) einige Monate/Jahre früher schließen. Das passierte so bei der Verpflichtung zur Online-Abrechnung, der Einführung der Telematik, bei der Androhung der elektronischen AU etc. Das wird noch dadurch verschärft, dass der Trend zu MVZs damit einher geht, dass immer mehr angestellte Ärzte nur innerhalb ihres vertraglich vereinbarten Arbeitsumfangs tätig werden - und damit weniger Patienten pro Arzt versorgen, als ihre Selbst-Ständigen Einzelpraxiskollegen. https://www.kbv.de/media/sp/2016_10_05_Projektion_2030_Arztzahlentwicklu ...

Daher werden gerne Minimalforderungen aufgestellt, die möglichst wenig Betroffene vergraulen. Deshalb auch die für den ITler "seltsame" IT-Sicherheitsrichtlinie. Und die wurde quasi "heimlich" im Corona-Lockdown vor Weihnachten beschlossen ... Soll heißen: macht nicht so viel Wind darum.

Grüße

lcer

Edit: falscher Link zu Schweigepflicht_Tech_Anlage_2008.pdf
Edit2: Statistik gefunden 2016_10_05_Projektion_2030_Arztzahlentwicklung.pdf

Zitat von @StefanKittel:

Wobei diese Punkte dort nicht benannt werden...

Doch, Anlage 1 Nr. 17 fordert das. Admin ist nicht Mitarbeiter. Also andere Gruppe.
Habe gerade mal einen AIS-Anbieter angefragt, ob und zu wann sie der Richtlinie entsprechen werden. Mal gucken, ob was kommt.

Zitat von @StefanKittel:

Gibt es Anbieter die fertig, juristisch geprüfte, Unterlagen verkaufen?

Das bleibt fraglos in den Händen der DVOs. Juristen machen da nichts besser. Wie auch. Die Richtlinie stammt vom Dezernat Recht. Im Übrigen betrauen uns die Ärzte mit der Umsetzung von konkreten Maßnahmen. Es ist nicht die Aufgabe des DVO, die Richtlinie auszuwerten und die Praxis richtlinienkonform auszubauen bzw. dahin gehend rechtlich abzusichern. Eine Meinung haben dürfen wir natürlich.
Wir haben das doch herausgearbeitet: Man muss eigentlich kaum was, kann aber ganz viel. Der Rest ist dann Teil der Abmachung mit der Praxis. Und da gilt für mich: An Sicherheit herausholen, was geht, bei vertretbarem Aufwand und konform zum AIS. Das ist schon schwierig genug. @Lochkartenstanzer bringt es schon auf den Punkt. @icer00 noch klarer. +1

Zitat von @commodity:

Zitat von @StefanKittel:
Wobei diese Punkte dort nicht benannt werden...

LOL

Zitat von @commodity:

Danke @Visucius und auch @lcer00. Ja, an Linux habe ich auch schon gedacht, ich glaube aber nicht, dass die KBV das getan hat.

Die Realität in Kleinpraxen ist Windows10 (auch als Datei-"Server"). Wie konkret machst Du denn Berechtigungen pro Person und Gruppe unter Windows10? Lauter einzelne User und in der Freigabe dann "authentifizierte Benutzer" erlauben oder Gruppen anlegen?

Jo, so hätte ich das gemacht. Ist natürlich ein bisschen hausbacken. Noch dazu, wo vermutlich alle MAs an allen Rechnern arbeiten sollen. Wenn Du dann Pech hast, gibts ein paar Tage später zwar mehrere Accounts aber alle mit dem gleichen Passwort ...

Vielleicht so ne RFID-Karte am Hosenbund, mit der Rechner automatisch auf den “richtigen” Nutzer inkl. Passwort wechselt?!

QR-Code auf die Stirn pinseln und eine kleine Kamera am PC... fertig

Ich gehe auch davon aus, dass man keine Appliance braucht, ein korrekt konfigurierter Router ist wahrscheinlich ausreichend.

Warum wird eigentlich nie darauf eingegangen, dass die Systemhäuser, die CGM Produkte wie Albis, Medistar, M1 etc. vertreiben und
installieren, riesige Scheunentore aufreißen - die Firewalls auf den Servern werden komplett deaktiviert, weil die keine Lust haben, eine Regel
für die von der Software genutzten Ports einzurichten. Alle Freigaben sind mit Vollzugriff/Jeder eingerichtet, die Backups laufen über Windows Server Backup und mit ein wenig Glück wird vorher per Script ein Dump der SQL Datenbanken gemacht.
Viele Server sind so eingerichtet, dass sie nach dem Backup einen Neustart machen, weil die Spezialisten nicht wissen, wie sie die Scripte schreiben müssen, um die Dienste nach dem Backup wieder zu starten. Und wenn ein sogenannter Techniker mal auftaucht, sind es meist Azubis ohne jeden Plan, die sich am Handy jeden Klick erklären lassen müssen und anschließend für 130€/Stunde abgerechnet werden.

Dazu die Passwort-Problematik in den Praxen: Mit "doc", "arzt", "q", "ä", "123" oder "qwertz" kann man sich wahrscheinlich in 75% aller Praxen Administrator Zugriff verschaffen.

Ob da nun eine Fritzbox steht oder eine korrekt eingerichtete und gewartete pfSense macht dann auch keinen Unterschied mehr.

Hallo,

Zitat von @Visucius:

Vielleicht so ne RFID-Karte am Hosenbund, mit der Rechner automatisch auf den “richtigen” Nutzer inkl. Passwort wechselt?!

Komplex (RFID + Lesegerät + ggf. Bluetooth + entfernungsabhängig) und Teuer - wenig genutzt aber viel beworben.

Zitat von @StefanKittel:
QR-Code auf die Stirn pinseln und eine kleine Kamera am PC... fertig

Das will ich haben! Wo gibts das?

Grüße

lcer

Zitat von @lcer00:

Zitat von @StefanKittel:
QR-Code auf die Stirn pinseln und eine kleine Kamera am PC... fertig

Das will ich haben! Wo gibts das?

Oder als Ausdruck auf ner Visitenkarten ... wegen der Bildrechte

@Visucius: Danke für die Bestätigung!

Zitat von @pasu69:
Warum wird eigentlich nie darauf eingegangen, dass die Systemhäuser, die CGM Produkte ...

Goldene Worte. Das Leben des Systembetreuers/DVO ist ein steter Kampf mit (manchmal sogar gegen) diese entweder notorisch überlasteten oder unterqualifizierten (oder beides) AIS-Servicemitarbeiter. Und es geht über CGM hinaus. Ich habe eine Linux-Praxis im Programm, da sind die Passwörter kaum besser (Argument: Linux ist ja so schon sicher...).

Ohne den AIS-Support geht aber auch nichts, denn die Programme sind ja alles andere als problemfrei. Am besten geht es, wenn man einen Draht zueinander findet. Es gibt ja eine gemeinsame Basis und eigentlich wissen die, dass man das umsetzt, was sie eigentlich vor Jahren, nämlich bei Einrichtung, hätten tun sollen und (warum auch immer) nicht konnten. Die Ärzte, die das nicht wirklich interessiert oder die gern am falschen Ende sparen sind da nicht ganz unschuldig.

Zitat von @StefanKittel:
QR-Code auf die Stirn pinseln und eine kleine Kamera am PC... fertig

Lol, Du hast Anlage 1 Nr. 12 der Sicherheitsrichtlinie vergessen

Zitat von @lcer00:

Zitat von @StefanKittel:
QR-Code auf die Stirn pinseln und eine kleine Kamera am PC... fertig

Das will ich haben! Wo gibts das?

Beug Dich mal kurz vor...

(Stempel mit Dokumentenechter Tinte)

Ich denke jetzt mal ein bisschen laut.

Ich rufe ein der Dienstleister von der Liste an
Der fährt zum Kunden und erstellt einen Mängelbericht (ich bin auch vor Ort für technische Fragen)
Ich arbeite den Mängelbericht ab und erstelle einen Bericht darüber
Der Dienstleister prüft meinen Bericht und ggf vor Ort oder per Remote Einzelpunkt
Der Dienstleister erstellt einen Abschlussbericht

Ich muss mir nicht tausende Dinge aus den Fingern saugen.
Wenn irgendwas später nicht so sein sollte, hat man den Bericht von einer Zertifizierten Stelle.
Besonders wo vieles so unklar ist.

Ich lasse den Thread mal offen falls Jemand die Firewall-Frage abschliessend klären kann aufgrund von neuen Informationen

@the-buccaneer

Was sagt der Doktor?

IMHO haben die Leutz, die das paper geschrieben haben, von IT soviel Ahnung wie ich, also eigentlich keine. Nur haben die noch dazu keine Ahnung, wie der Betrieb in Arztpraxen strukturiert ist ...

Lustig find ich auch Punkt 14:

Endgeräte / Regelmäßige Datensicherung / Sichern Sie regelmäßig Ihre Daten. / 01.01.2022

Da habe ich ja noch ein wenig Zeit ...

Ich denke, dass es sich jetzt bemerkbar macht, dass die meisten Kollegen ohne ein AD arbeiten ... damit kann man recht bequem viele der Anforderungen umsetzen. Ich habe bei mir auch nur die firewall des Lancom-Routers gegen das WAN arbeiten, endpoint-security ist 'ne schicke Geschichte und für das pöhse web habe ich über worryfree "black categories" vorgegeben, das funktioniert eigentlich ganz gut.

LG, Thomas

@commodity:

Hallo.

Ich finde u.a. auch Anlage 1 Nr. 17 (V1) interessant.

Windows: Regeln Sie Berechtigungen und Zugriffe pro Personengruppe und pro Person.

Bedeutet das nicht die Einführung von ActiveDirectory? Da werden sich die Kleinpraxen aber freuen...

Nein, nicht zwingend. Auch in Workgroups gibt es Freigaben. Und das Dateisystem wird - bei Windows-Rechnern - wohl auch NTFS sein. Alle Cacls möglich, die man auch aus größeren Domänen mit AD kennt.

Benutzer und Benutzergruppen anlegen geht auch an Workgroup-Rechnern.

Einziger (dafür aber riesiger!) Pferdefuß:

Alle Benutzer und Benutzergruppen müssen exakt namensgleich und mit gleichen Passworten auf allen beteiligten Computern angelegt werden. Manuell. Und jede Änderung erneut überall.

Da hat dann ein zentraler Verzeichnisdienst wie Active Directory erhebliche Vorteile, keine Frage. Aber nötig? Wie gesagt, zwingend nicht. Wobei ich persönlich ab einer Zahl von 5 Clientrechnern immer ein AD aufziehen würde, sonst wird's zur Quälerei.

Viele Grüße

von

departure69

Und die typische kleine Praxis hat eh Funktionspostfächer alle mit gleichen Kennwort mit Vollzugriff auf Laufwerk Z.
Es gibt nur eine Personengruppe und jeder ist Mitglied hier.... so what

Zitat von @departure69:

@commodity:

Hallo.

Ich finde u.a. auch Anlage 1 Nr. 17 (V1) interessant.

Windows: Regeln Sie Berechtigungen und Zugriffe pro Personengruppe und pro Person.

Bedeutet das nicht die Einführung von ActiveDirectory? Da werden sich die Kleinpraxen aber freuen...

Nicht ganz. Die Benutzer udn gruppen müssen nur auf den Kisten angelegt werden, auf denen sie auch gebraucht werden. Wenn auf Kiste A nur Benutzer B werkelt, müssen die anderen 20 Mitarbiter da nicht mit angelegt werden. Benutzer B muß dann nur noch auf den Kisten angelegt werden, deren Ressourcen er auch nutzt.

lks

@Lochkartenstanzer:

O.K., stimmt auch wieder.

Da macht dann die Doku noch mehr Spaß - was hab' ich auf welcher Kiste für wen angelegt und mit welchen Rechten

.

Ich hatte - für Mini-Umgebungen (Arztpraxis beim Landdoktor) - unterstellt, daß alle alles brauchen

.

Viele Grüße

von

departure69

Zitat von @Lochkartenstanzer:
Nicht ganz. Die Benutzer udn gruppen müssen nur auf den Kisten angelegt werden, auf denen sie auch gebraucht werden. Wenn auf Kiste A nur Benutzer B werkelt, müssen die anderen 20 Mitarbiter da nicht mit angelegt werden. Benutzer B muß dann nur noch auf den Kisten angelegt werden, deren Ressourcen er auch nutzt.

Was dann vermutlich dazu führt, dass man doch fast alle Benutzer auf allen PCs einrichten darf und dass solche Meldungen kommen: "Ich habe gestern auf einem anderen PC eine superwichtige Datei auf dem Desktop gespeichert. Die ist jetzt auf diesem PC nicht da. Warum nicht?"
Stefan

Zitat von @StefanKittel:

Genau deswegen gibt es oft nur 1- 5 "Funktions"-User und keine getrennten Benutzeracvounts.

lks

Hallo,

jetzt hat die KBV eine arzttaugliche Broschüre veröffentlicht, die alle offenen Fragen klären sollte: https://www.kbv.de/html/1150_51032.php

Grüße

lcer

Zitat von @lcer00:
jetzt hat die KBV eine arzttaugliche Broschüre veröffentlicht, die alle offenen Fragen klären sollte: https://www.kbv.de/html/1150_51032.php

Na, ich weiß nicht ob das weiterhilft.
Es ist eingetlich nur ein Hinweis, dass ein IP- und Port-Filter verwendet wird.

Btw.
Die letzten "bösen" die ich gesehen haben, haben ihre Daten per HTTPs an einen Azure-Server geschickt.
Wie soll man so etwas filtern?

Und Hinweise zu VLANs fehlen ganz...

Anlage 1 Nummer 32

Sie schützen den Übergang zu anderenNetzen, zum Beispiel das Internet, durch eine Firewall.

TIPP
• Stellen Sie die Firewall so ein, dass nur erlaubte IP-Adressen, Ports (ein- und ausgehend) und Kommunikationsprotokolle
zugelassen werden.

HINWEIS
Eine Firewall ist ein Programm, das Computer oder Netzwerke vor unerwünschten Zugriffen schützen soll. Eine IP-Adresse macht in einem Netzwerk die daran angeschlossenen Geräte erreichbar (adressierbar). Ports sind während einer Verbindung die jeweiligen Endstellen. Kommunikationsprotokolle bilden eine Grundlage für die Vernetzung. Die Datenübertragung zwischen mehreren Parteien wird hier definiert, also wie die Kommunikation erfolgt.

Ihr seid ja fix.

Also auf der Veranstaltung in Berlin vom 12.3. wurde dazu ein extra-Papier der KbV angekündigt:
Man erarbeitet ein Dokument, das Anforderungen an so eine Firewall aufführt, mit Angabe möglicher Anbieter (und sogar Preisen). Wichtig: Die Firewall ist nicht nur zu betreiben, sondern es ist ein aktives Management erforderlich.

Die Angaben in der Broschüre entsprechen weitgehend dem, was wir schon kennen:

"Stellen Sie die Firewall so ein, dass nur erlaubte IP-Adressen, Ports (ein- und aus-gehend) und Kommunikationsprotokolle zugelassen werden."

Immerhin - damit sind Fritzboxen wohl aus dem Rennen. Whitelisting von IPs ist natürlich Unsinn. Mal sehen, wann sie das merken. Ich werde gleich mal anregen, das in der KbV einzuführen

@departure69 und @Lochkartenstanzer, Danke für Eure Antworten zur Frage weiter oben.

@StefanKittel

arzttaugliche Broschüre

Ist das 'ne Fritte auf dem cover

??

LG, Thomas

Hallo,

Zitat von @keine-ahnung:

@StefanKittel

arzttaugliche Broschüre

Ist das 'ne Fritte auf dem cover

??

LG, Thomas

habe ehrlich nicht verstanden, warum der Stefan die Broschüre so ernst nimmt...

Na ja, der Sarkasmus kommt hier nicht so rüber.

Grüße

lcer

Da fehlten die Satire-Tags....
He, es kommt von einer Behörde... Das muss Ernst sein...

Wie war das?
Aus Spass wurde Ernst und Ernst ist heute 8 Jahre alt?

Das wäre so komisch wenn es nicht so tragisch wäre

moin...

Zitat von @StefanKittel:

Da fehlten die Satire-Tags....
He, es kommt von einer Behörde... Das muss Ernst sein...

Wie war das?
Aus Spass wurde Ernst und Ernst ist heute 8 Jahre alt?

Das wäre so komisch wenn es nicht so tragisch wäre

warum... zahlst du keine alimente für ernst?

Frank

Hallo

Zitat von @StefanKittel:

Da fehlten die Satire-Tags....

werde ich ab sofort dran denken.

He, es kommt von einer Behörde...

ne. Ist ne Körperschaft Öffentlichen Rechts. Bei Zuwiderhandlung gegen das „Öffentliche Interesse“ hat das BMG dann die Möglichkeit der Zwangsverwaltung.

Das wäre so komisch wenn es nicht so tragisch wäre

Genau.

Grüße

lcer

Vorweg:
1. Ich habe nichts mit Praxen zu tun! Außer das ich Patient dort bin.
2. Ich schreibe etwas zu einer "Aussage" und lese ggf. gemachte Anworten, welche später kommen, logischerweise dann auch erst viel später, als ich meinen Text schon verfasst habe.
Wer kann sich sonst merken auf was er was antworten will?!
Somit kommen bereits beantwortete Teile evtl. auch noch von mir - auch aus meienr Sicht (mein Senf) dazu.

Zitat von @StefanKittel:

Frage: Was ist hier mit Firewall gemeint?
...
Ich habe keine definierte Aussage gefunden was in diesem Zusammenhang eine Firewall ist.
Fritz!Box, PFSense ohne Proxy, UTM-Firewall mit https-Proxy?

Eine FB ist keine Firewall für eine Praxis da man damit nicht alle Anforderungen umsetzen kan.
Paketfilter, Protokollierung, Netzseparierung, integrierte Malwarescanner ...

Zitat von @StefanKittel:
Hat Jemand etwas offizielles auf das man sich beziehen kann?

Offiziell ist immer so 'ne Sache, aber IT'ler sind sich schon einig (https://youtu.be/IS4AYEN5RGE?t=1909) ab 31:59), dass eine FB nicht als Firewall in Praxen herhalten sollte (siehe oben).
Google nach "fritzbox Die IT-Sicherheitsrichtlinie der KBV für Praxen"
Erstes Ergebnis: https://www.netaachen.de/geschaeftskunden/blog/neue-it-richtlinie-fuer-p ...
Auch hier wird die FB als "keine professionelle Firewall" erwähnt.

Nur zur Info für Leute die nicht alles lesen: Im weiteren Verlauf der Diskussion wurde ja schon auf näheres - eine aktuelle Broschüre - hingewiesen.

Ich lese Teile, zitiere und schreibe dann immer dazu, so dass ich auch erst später bei dem Posting mit der Broschüre angelangt bin.

Zitat von @icer00

Gefühlte 20 Punkte beschäftigen sich mit Mobilen Endgeräten. Klar, kann man gut regeln, nutzt ja keiner als Praxisgerät.

Das mobile Endgeräte keiner in der Praxis (zweideutig) einsetzt, kann ich widerlegen!
Bei meinem Zahnarzt (kurz ZA) z.B. werden Tablets eingesetzt auf denen dann die Patientenakte geöffnet wird und sich der Patient bzw. vorwiegend der ZA sich die Röntgenbilder ansehen kann.

Jetzt könnte ich OffTopic werden:
Die Artzhelferin verlässst den Patienten auch mal kurzzeitig, dieser ist dann mit dem Tablet UND geöffneter Patientenkate allein.
Könnte da - als Patient - noch das ein oder andere schreiben, gehört aber nicht hierher.

Zitat von @StefanKittel:
B) Wir sagen dem Kunden: Du musst nach Gesetzt Dies und Jenes machen, erstellen ein Angebot und die Praxis lehnt ab.
Genau B wird hier bei den Firewalls passieren. Keine Praxis wird eine Firewall kaufen.

Tja, müsste nur einer der KBV kontrollieren und saftige Strafen vergeben.

Zitat von @commodity
Wer ernsthaft "richtige" Firewalls betreibt, wird auch überlegen, wie weit ihr Einsatz praktisch angemessen und sinnvoll ist. Wie weit soll das dann gehen? IPS? IDS? Wer soll das konfigurieren und warten? Wer bezahlt das im KMU-Umfeld...

Nur das einrichten was auch wirklich notwendig ist!
So wie ich das in YouTube-Videos gesehen habe ist IPS schnell eingerichtet.
Auch die Aktualisierung per Aufgabenverwaltung (Scheduler) ist möglich, so dass sich die Signaturen hierfür in der Nacht herunterladen ließen.
Wenn eine Praxis jetzt noch keine FW hat, ist es doch besser jetzt eine einrichten zu lassen (wenn auch mit kleinerer Konfiguration) als wenn man weiterhin keine hat.

Zitat von @commodity
Ich finde u.a. auch Anlage 1 Nr. 17 (V1) interessant.

Windows: Regeln Sie Berechtigungen und Zugriffe pro Personengruppe und pro Person.

Bedeutet das nicht die Einführung von ActiveDirectory?

In meinem Augen bedeutet es das nicht.
Ohne mir diese Anlage angesehen zu haben, könnte ich mir aber folgendes vorstellen:
Benutzer und Gruppen sind zwar auch beim OS wichtig, hier geht es aber wohl eher um Benutzer und Gruppen für Programme der digitalen Patientenakte.

Bsp. Einzelhandel:
Glaubt ihr wirklich, dass sich die Kassierer mit ihren eignen Zugangsdaten im Kassensystem einloggen, wenn sie abkassieren und sich die Kasse(n) "teilen"?
Ja, das machen sicherlich einige, z.B. im LEH, aber ich kenne es eben aus der Praxis ganz anders!
Da bleibt der Benutzer A der Kasse angemeldet, geht weg um einen Kunden C zu beraten und Benutzer B kassiert mit angemeldetem Benutzer A einen weiteren Kunden D ab.

Weiteres Bsp. gefällig? Gut:
Kunde kommt um eine Terminvereinbarung (für was auch immer) auszumachen oder ein Angebot einzuholen.
Es sind z.B. 3 Mitarbeiter, mit jeweils eigenem PC, anwesend, aber Mitarbeiter A ist auch mal - aus welchen Gründen auch immer - am PC von Mitarbeiter B und erstellt das Kundenangebot.
Es kann sich hier um jeden der Mitarbeiter (A, B, und C) sowie um jeden der drei PC's handeln!
Würde man jetzt genau nachschauen, würde man sehen, dass das Angebot nicht von Mitarbeiter A sondern von Mitarbeiter B getätigt wurde (da an der WaWi angemeldet) obwohl Mitarbeiter A es angelegt hat.
Gleiches gilt dann natürlich für den verkauf und somit die RG.
Verwäscht dann den Umsatz der einzelnen Mitarbeiter.

Zitat von @StefanKittel:
- SMB1 only (SMB 2+3 deaktivieren)

Ich weiche jetzt hier mal vom eigentlich Thema ab, aber es gibt (leider) immer noch Software - die ich jetzt nicht öffentlich nennen möchte - die nur SMB1 unterstützt.
Da müsste der Hersteller nachbessern.
Hier kenne ich mich aber zu wenig aus.

Zitat von @StefanKittel:
Eine Fritz!Box ist technisch und juristisch eine Firewall, also bleibt es bei der Fritz!Box in allen Praxen und Ende.
...

Siehe oben.
Wohl eher für den Privatanwender als für Firmen geeignet.
AVM hat ja nicht gänzlich unrecht.

Zitat von @StefanKittel:
Quizfrage: Wieviele Praxen fallen täglich Ransomware oder anderen Hackern zum Opfer? Wieviele melden dies als Datenschutzvorfall an die Behörden? Vieleicht Null?

Tja, auch hier müsste es (sorry) Strafen für die Praxen geben.
Die Dienstleister die beauftragt werden das zu "Bereinigen" stünden in der Pflicht das zu melden.

Zitat von @StefanKittel:
und ein einheitliches einfaches Kennwort wie z.B. "mond"

Nicht in Praxen, aber mir anderweitg bekannt:
Oder auch Benutzerkonto und Benutzerpasswort sind dasselbe.
Verlasse ich meinen Arbeitsplatz logge ich mich aus sämtlichen relevanten Programmen erst aus, versichere mich, dass keine Zugangsdaten (als Sternchen) zur erneuten Anmeldung drinstehen und melde mich dann zusätzlich vom OS ab.
Auch wenn Benutzer und PW bekannt sind, wird da nicht mal eben jemand rangehen und selbst wenn, viel kann er/sie nicht anstellen.

Zitat von @StefanKittel:
Beug Dich mal kurz vor...
(Stempel mit Dokumentenechter Tinte)

Zwar nicht für mich aber ähm wohin? Auf'n Popo?

PS: Sicherlich könnte ich noch den ein oder anderen Smiley nutzen...

Zitat von @Oli-nux:

Zitat von @StefanKittel:
Frage: Was ist hier mit Firewall gemeint?
...
Ich habe keine definierte Aussage gefunden was in diesem Zusammenhang eine Firewall ist.
Fritz!Box, PFSense ohne Proxy, UTM-Firewall mit https-Proxy?

Eine FB ist keine Firewall für eine Praxis da man damit nicht alle Anforderungen umsetzen kan.
Paketfilter, Protokollierung, Netzseparierung, integrierte Malwarescanner ...

Das ist ja das Problem. Es gibt keine definierten Anforderungen.
Es heist schlicht man muss eine "Firewall" verwenden. Punkt. Keine Details. Also kauft auch keine Praxis eine richtige Firewall.

Zitat von @StefanKittel:

Es heist schlicht man muss eine "Firewall" verwenden. Punkt. Keine Details. Also kauft auch keine Praxis eine richtige Firewall.

Moin,

Woran machst Du ein "richtig" fest? Das macht man eigentlich an den Anforderungen fest. Auch ein NAT-Router kann eine Firewall sein, solange die Anforderung nur "keine Verbindungen von außen nach innen" ist.

Die Problematik bei diesen Laiendokumenten ist, das die Leute Begriffe verwenden, die mehrdeutig sind und sich vorher nicht die Mühe gemacht haben, die Bedeutung richtig zu definieren.

Also: Auch eine Fritte ist eine "richtige" Firewall, die allerdings für Arztpraxen (und vieles andere) ungeeignet ist.

lks

Zusammenfassend kann man sagen:
Die Fritzbox ist keine hinreichende Firewall, wenn Funktionen umgesetzt werden (müssen), die sie nicht erfüllt.

Oben wurden genannt:

Paketfilter, Protokollierung, Netzseparierung, integrierte Malwarescanner ...

Jetzt stellt sich die Frage: Ist das ein Wünsch Dir was des Beitragserstellers oder eine Pflichtvorgabe, die irgendwo - schriftlich - vorgegeben wurde.

Ist doch ganz einfach!

Zitat von @Visucius:
Oben wurden genannt:

Paketfilter, Protokollierung, Netzseparierung, integrierte Malwarescanner ...

Ja, aber nicht von mir.
In den Vorgaben der Ärztebundes steht nur "Firewall".
Weder VLANs, Paketfilter oder ähnliches. nix, gar nix.

Zitat von @Lochkartenstanzer:
Woran machst Du ein "richtig" fest? Das macht man eigentlich an den Anforderungen fest. Auch ein NAT-Router kann eine Firewall sein, solange die Anforderung nur "keine Verbindungen von außen nach innen" ist.

Eine UTM-Firewall ist für mich eine richte Firewall.
Eine FB ist für mich ein Router.

Moin...

In den Vorgaben der Ärztebundes steht nur "Firewall".

eben... was das ist bleibt eben offen!

Frank

Zitat von @StefanKittel:
In den Vorgaben der Ärztebundes steht nur "Firewall".
Weder VLANs, Paketfilter oder ähnliches. nix, gar nix.

Wie immer haben alle Recht

Die IT-Sicherheitsrichtlinie als regelnde Vorschrift macht keinerlei konkrete Angaben.
Die KBV als zuständiges Organ hat aber Erläuterungen und "weitere Hinweise" herausgegeben:
https://hub.kbv.de/pages/viewpage.action?pageId=63537333

Hier heißt es zu Anlage 1 Nr. 32:
"Mindestens sollte dabei Folgendes eingestellt werden:
Nur erlaubte Kommunikationsziele (IP-Adressen und Ports) zulassen (eingehend und ausgehend).
Nur erlaubte Kommunikationsprotokolle zulassen."

Es ist also immerhin klar, was sich die KBV nun vorstellt. Maßgeblich dürfte das dennoch nicht sein, denn die Erläuterungen und Hinweise sind nicht Inhalt der Richtlinie:
https://hub.kbv.de/display/itsrl?preview=/63537214/66093803/2020-12-16_R ...

Gefordert ist und bleibt also nur eine "Firewall" und dieser Terminus ist so unbestimmt, dass ohne Weiteres auch eine Fritzbox darunter gefasst werden kann.

Am Ende ist es wahrscheinlich ohnehin egal, denn Sanktionen für Verstöße gegen die Richtlinie sind kaum zu erwarten. Theoretisch kann die Verletzung von Vertragsarztpflichten zwar zum Verlust der Kassenzulassung führen. Da dürfte die Messlatte allerdings sehr hoch liegen und eine gleichermaßen lustlos wie unsauber von erkennbar nicht technisch fachkundigen Juristen formulierte Richtlinie kaum die Grundlage sein. Zumal auch keinerlei Prüfungen durch die KVen erfolgen.

Die Richtlinie ist zumindest insoweit sinnvoll, dass die Ärzteschaft einmal mehr Motivation hat, sich mit IT-Sicherheit zu befassen. Leider rutscht das ganze aber sogleich strukturell bedingt auf eine kontraproduktive Ebene, da nun einige PVS-Anbieter die Welle reiten und den Ärzten überteuerte, zweifelhafte Sicherheitslösungen von der Stange überzuhelfen suchen. Das gerade geweckte Sicherheitsbewusstsein bekommt somit gleich wieder den negativen Beigeschmack von wenig Leistung für viel Geld.

Fazit: Es liegt weiterhin in der Hand der Praxisbetreiber/innen, zu entscheiden, ob Sicherheit gewünscht ist oder nicht. Sicherheit ist individuell und vielschichtig. Wer mag, holt sich Rat und/oder einen Systembetreuer. Wer nicht mag, gibt ein Mehrfaches an Geld ohne realen Gegenwert aus und nimmt die Lösung von der Stange aus den bunten Prospekten seines PVS-Anbieters.

Viele Grüße, commodity

Zitat von @Visucius
Jetzt stellt sich die Frage: Ist das ein Wünsch Dir was des Beitragserstellers oder eine Pflichtvorgabe, die irgendwo - schriftlich - vorgegeben wurde.

Weder noch!
Es ist kein Wunschkonzert meinerseits... ich konnte ja nicht ahnen, dass es Leute gibt die sich das (oben verlinkte) Video nicht ansehen.

Dort wird das Thema kurz besprochen/angeschnitten.

Zitat von @commodity
... zweifelhafte Sicherheitslösungen von der Stange überzuhelfen suchen.

Kannst du den Satz bitte sinngemäß überarbeiten?

*kapiert ihn nämlich so nicht*

Zitat von @commodity
Es liegt weiterhin in der Hand der Praxisbetreiber/innen, zu entscheiden, ob Sicherheit gewünscht ist oder nicht.

Ähm, wenn es diese IT-Sicherheitsrichlinie schon gibt, dann ist der Praxenbetreiber doch schon in der Pflicht für Sicherheit zu sorgen. Wie diese dann ausfällt ist wieder ein anderes Thema.
Zumindest müssen die Vorgaben ("irgendwie") erfüllt sein.

Wir sind uns alle einig, dass die KBV das Thema Firewall umgehend überarbeiten und für mehr Klarheit - ohne Zweifel und Auslegungssache ! - sorgen muss!

Am besten nimmt er sich ne „professionelle Businesslösung“ seines marktführenden ISPs und ist nach nem Firmware-Update offen wie ein Scheunentor.

… und dann guckt mal, wer wie, wofür und in welcher Höhe haftet 😂

moin...

Wir sind uns alle einig, dass die KBV das Thema Firewall umgehend überarbeiten und für mehr Klarheit - ohne Zweifel und Auslegungssache ! - sorgen muss!

dazu sollten bei der KBV IT Experten sitzen (und Arbeiten) die wissen was eine Firewall ist, und welche anforderung gestellt werden sollte!

aber wenn dort wirklich administratoren mit erfahrung arbeiten würden, hätte die Gematik mit ihrer Telematikinfrastruktur schon längst einpacken können....

Frank

Zitat von @Vision2015:

moin...

Wir sind uns alle einig, dass die KBV das Thema Firewall umgehend überarbeiten und für mehr Klarheit - ohne Zweifel und Auslegungssache ! - sorgen muss!

dazu sollten bei der KBV IT Experten sitzen (und Arbeiten) die wissen was eine Firewall ist, und welche anforderung gestellt werden sollte!

Du denkst eine Behörde zahlt genug, damit da Leute hingehen, die sich mit sowas auskennen?

lks

Seit 2 Jahren wird die Solidarität ja so überaus hoch gehängt.

Vielleicht sollten sich Sec-ITler auch mal darin engagieren ... für Gott/Alaaf und Vaterland und so.

Moin...

Zitat von @Visucius:

Seit 2 Jahren wird die Solidarität ja so überaus hoch gehängt.

Vielleicht sollten sich Sec-ITler auch mal darin engagieren ... für Gott/Alaaf und Vaterland und so.

nun ja... ich vermute aber, wenn du dort deinen job änfängst, und denen die warheit sagst und zeigst, wirst du mundtot
gemacht, und darfst im Keller allte 1,44 Zoll Disketten mit alten KBV Abrechnungen abstauben!

Frank

Zitat von @commodity:

Hier heißt es zu Anlage 1 Nr. 32:
//"Mindestens sollte dabei Folgendes eingestellt werden:
Nur erlaubte Kommunikationsziele (IP-Adressen und Ports) zulassen (eingehend und ausgehend).

Ja, darüber bin ich auch gestolpert. Ich halte das für völlig weltfremd. Dann kann niemand in der Praxis mal schnell etwas im Internet recherchieren - denn sie würden ja auf keine WebSites kommen, deren Server man nicht gezielt zugelassen hat.

Zitat von @SarekHL:

Zitat von @commodity:
Hier heißt es zu Anlage 1 Nr. 32:
//"Mindestens sollte dabei Folgendes eingestellt werden:
Nur erlaubte Kommunikationsziele (IP-Adressen und Ports) zulassen (eingehend und ausgehend).

Ja, das ist aber deren Idee laut KZBV daran.

Jemand in der Praxis darf nicht frei surfen, sondern nur auf bestimmte Seiten zugreifen.
Zahnlabor, KVZ, Abrechnungsgesellschaft, Dentallabor, etc.
Google schon gar nicht.

Für das freie Surfen und Email soll es einen seperaten PC ohne Anbindung an das Praxis-Netzwerk geben.

Wie Praxisnah das ist sei mal dahingestellt.

Stefan

Zitat von @StefanKittel:

Jemand in der Praxis darf nicht frei surfen, sondern nur auf bestimmte Seiten zugreifen.
Zahnlabor, KVZ, Abrechnungsgesellschaft, Dentallabor, etc.
Google schon gar nicht.

Und wie viele Praxen lassen das mit sich machen?

Hallo,

zum Thema „nur erlaubte Kommunikationsziele“ - unser Praxisverwaltungssystem stellt dazu leider keine vollständige Adressliste der Ziele bereit. Gefühlt ändert sich da auch etwas alle 4 Monate.

Wenn man versucht, eine solche Liste aus den Protokolldaten der Firewall selbst zu erstellen, stößt man gelegentlich auf seltsame IPs, die man erst mal nicht zuordnen kann - einmal war da ein Mietserver bei Strato dabei. Die eigene Infrastruktur des Praxisverwaltungssystem-Herstellers reichte offenbar nicht.

Vielleicht ist die KBV ja auch nur besonders fortschrittlich und will verhindern, dass im Zeitalter von IPv6 die ganze Praxis ohne NAT direkt rein und raus routet.

Grüße

lcer

Zitat von @lcer00:

Wenn man versucht, eine solche Liste aus den Protokolldaten der Firewall selbst zu erstellen, stößt man gelegentlich auf seltsame IPs, die man erst mal nicht zuordnen kann

Mir wäre ja schon mal mit einer Portliste aller Telematik-Dienste geholfen. Dass z.B. für KIM der Port 8995 vom Client zum PVS-Server frei sein muss, habe ich durch eine Fehlermeldung erfahren. Immerhin, endlich mal eine Fehlermeldung mit Aussagekraft. An anderen beiße ich mir gerade die Zähne aus, z.B. diese hier:

Einserseits wollen die K(Z)Ven eine Firewall, andererseits sind die Dokumentationen der PVS-Anbieter sehr lückenhaft. Man könnte auf die böse Idee kommen, dass die ihren kostspieligen eigenen Einrichtungsservice an den Mann oder die Frau bringen wollen.

Jetzt wird's OffTopic...

@SarekHL

Hast du das

erp.zentral.erp.splitdns.ti-dienste.de

mal gegooglet?

Zitat
4.2 Namensauflösung
Der E-Rezept-Fachdienst ist für Primärsysteme gemäß den Festlegungen in [gemSpec_FD_eRp] über die Adresse erp.zentral.erp.splitdns.ti-dienste.de lokalisierbar.
Das Redundanzkonzept sieht mehrere Instanzen vor, die über verschiedene IP-Adressen angesprochen werden. > Folglich liefert die DNS-Namensauflösung verschiedene IP-Adressen zum FQDN zurück. Diese Adressen werden vom DNS-Server in zufälliger Reihenfolge geschickt, sodass es legitim ist, immer den ersten Eintrag für den folgenden Operationsaufruf zu verwenden. Üblicherweise wird die DNS-Auflösung vom Betriebssystem gekapselt, eine Lastverteilung am E-Rezept-Fachdienst ergibt sich aus der zufälligen Reihenfolge der IP-Adressen der DNS-Abfrage.
Unspezifiziert ist das Verhalten, wenn die erste Zieladresse nicht erreichbar ist.
Empfehlenswert ist die Nutzung der anderen/weiteren IP-Adressen der DNS-Abfrage. Es muss aber angenommen werden, dass bestimmte Betriebssysteme bzw. Laufzeitumgebungen des Primärsystems diese mit der Nutzung der ersten Adresse bereits verworfen haben. Bei Nicht-Erreichbarkeit des Zielhosts der ersten IP-Adresse wird daher empfohlen, weitere Verbindungsversuche auf Basis einer neuen DNS-Abfrage zu tätigen, mit dem Ziel, eine andere IP-Adresse an erster Stelle der DNS-Antwort zu erhalten, als die des nicht erreichbaren Zielhosts.
Das Primärsystem erreicht den E-Rezept-Fachdienst und IDP über den Konnektor geroutet. Je nach Installationsumgebung des Primärsystems ist der Konnektor evtl. nicht das Default-Gateway. Um diese offenen Fachdienste zu erreichen, müssen ggfs. feste Routen und eine DNS-Konfiguration für das [Split-DNS] pro Arbeitsplatz-Computer im Rahmen der Installation festgelegt werden.

A_21468 - PS: Handbuch-Hinweis Konnektor Default-Gateway für offene Fachdienste

Falls dir das nicht hilft weiß ich leider auch keinen Rat. *hat mit sowas nix zu tun*
TCPView kann dir Verbindungen anzeigen.

Zitat von @Oli-nux:
Wir sind uns alle einig, dass die KBV das Thema Firewall umgehend überarbeiten und für mehr Klarheit - ohne Zweifel und Auslegungssache ! - sorgen muss!

Sehe ich nicht so. Die KBV möchte das auch gar nicht. Sie ist für das Thema überhaupt nicht zuständig, sie wurde rein politisch als Instrument zur Schaffung einer Vorschrift zur IT-Sicherheit missbraucht. Vom Ansatz her verfehlt und verfassungsrechtlich zweifelhaft, denn der Schutzbedarf der Patientendaten einer Privatpraxis ist ja nicht geringer. Das Ergebnis fiel dann erwartungsgemäß aus.

Viel besser wäre es, die Ärzteschaft unkommerziell an die Hand zu nehmen und ihr durch den Wirrwarr der Möglichkeiten zu helfen. Das kann oder will man aber nicht und traut man sich auch nicht - so gab es z.B. sehr schnell einen Rückzieher, nachdem man ursprünglich gar Firewallmodelle auf einer Liste mitteilen wollte.

Die (an sich zuständigen) Regierung/Gesetzgeber waren und sind da bislang gleichermaßen ahnungs- wie lustlos. Maß aller Dinge im IT-Sicherheitsbereich ist für die das BSI, dessen Strukturen meiner Meinung nach überhaupt nicht für KMUs angelegt sind und einen riesigen Verwaltungsoverhead schaffen, der für die Entwicklung von Sicherheit im Umfeld sich kontinuierlich entwickelnder Angriffsvektoren eher kontraproduktiv ist. Auch die seitens der Gematik kommunizierten Unterlagen zur Telematik tragen klar die Handschrift des BSI. Das Ergebnis hat Frank @Vision2015 oben treffend beurteilt:

aber wenn dort wirklich administratoren mit erfahrung arbeiten würden, hätte die Gematik mit ihrer Telematikinfrastruktur schon längst einpacken können....

Viele Grüße, commodity

moin...

Zitat von @SarekHL:

Zitat von @lcer00:

Wenn man versucht, eine solche Liste aus den Protokolldaten der Firewall selbst zu erstellen, stößt man gelegentlich auf seltsame IPs, die man erst mal nicht zuordnen kann

nix gegen dich persönlich, aber die Hersteller der Praxis Software und die Gematik bieten dazu extra Kurse an!
lass dich doch mal Zertifizieren und Schulen, dann bekommst du alle Infos die du brauchst, und zukünftige updates... es soll eben nicht mehr jeder Hans und Franz am Netzwerk und EDV in den Praxen rumschrauben dürfen!
so hat auch der Kunde mehr sicherheit, und es wird günstiger für den Kunden! du wirst momentan für das rumprobieren bezahlt, ohne richtiges fachwissen, weil du einfach keine Grundinfos zu dem System hast!
als kunde würde ich dich sofort von den arbeiten abziehen, du kannst mit deinem handeln (für den arzt) kostspielige Fehler machen!
dabei ist das so einfach... einfach mal sich ordentlich schulen lassen, und gut ist!
das ist sogar in Deutsch!

wie gesagt, nix gegen dich persönlich...

Frank

Hallo Frank,

so einfach ist das nicht. Die meisten Arzt-PC-Dienstleister setzen auf den Durchschnittskunden, dem sie ihr fertiges Standard-Komplettsystem aus PVS und Hardware anbieten. Sobald man abweichende Anforderungen hat, wird es schwierig. Wir benötigen zum Beispiel relativ leistungsstarke Serverhardware und haben einen recht hohen Sicherheitsanspruch. Insbesondere im Hardwarebereich habe ich leider nur noName-Hardware angeboten bekommen. Ich habe daher einen Dienstleister für Hardware und allgemeine Software (Datensicherung etc) und einen für mein PVS. Leider ist der PVS-Support angepisst (sorry) und schwer erreichbar. Anekdoten gefällig?
Vor einiger Zeit wurden tolle Supportverträge angeboten: so etwa 1 Stunde Support im Monat und dazu die Fernüberwachung der Druckerpatronen dazu! Nur Support gab es nicht.
Neuerdings verticken die lauter gebrandete Firewallhardware.
Die Ausrede Nr.1 bei den weinigen, oft erfolglosen Fernwartungen, war meist „mit ESET gibt es immer wieder Probleme“. Das ist nah dran an den deaktivieren Firewalls beim TI-Launch.

Und billiger wird nix, wenn hier nur noch Zertifizierte Admins an den Systemen herumschrauben dürfen. Viele Praxen lösen IT-Probleme derzeit durch den kostenlosen Einsatz des Inhabers oder Angehören. Wenn diese Arbeitsstunden plötzlich extern bezahlt werden müssen, kommt einiges zusammen. Das kann das BMG, die Kassen und die KBV auch berechnen. Die Beträge müssten durch die Krankenkassen ersetzt werden. In den aktuellen Gebührenordnungen (GOÄ und EBM) sind diese Kosten nicht einkalkuliert. Deshalb noch mal deutlich: Niemand der relevanten Beteiligten will derzeit eine Konkretisierung der Sicherheitsrichtlinien. Denn, wer bestellt muss bezahlen. Ärzte können ihre Preise nicht einfach selbst erhöhen.

Grüße

lcer

Hallo Icer,
ich denke du redest von einem PVS Systemhaus, mit 3 Buchstaben, und die fangen mit "P" an

natürlich du hast recht, alleine was die CGM Partner an Hardware verkaufen wollen taugt nix... und hat kaum leistung!
ja die neuen Preise von denen sind der Hammer... und die wartung taugt nix, hat mir aber viele Kunden gebracht!

da will ich nicht moppern!
zum Thema Preis... wenn es gleich ordentlich gemacht wird, ist es letztlich billiger, und der Kunde hat ein laufendes system! Ergo kaum noch Kosten!
gut, Eset würde ich in keiner Praxis nutzen wollen, aber auch nicht Panda, was bei CGM beliebt ist!
beides taugt nix...
Thema " Arzt-PC-Dienstleister"
ist ja alles gut und schön, aber an systemen rumschrauben ohne fachwissen, finde ich schon grenzwertig- besonders wenn aufgaben gemacht werden sollen, für die es schulungen gibt!

Mir wäre ja schon mal mit einer Portliste aller Telematik-Dienste geholfen.

sagt mir, da fehlt jegliches Hintergrundwisssen... was er aber haben könnte, und sollte!
für die TI gibbet schulungen... dann hat man auch das Hintergrundwissen, welches gebraucht wird!
wenn ich zu euch in die praxis komme, erwarte ich ja auch einen arzt, der eine Ausbildung hat!
du schreibst, ihr habt in eurer Praxis einen recht hohen Sicherheitsanspruch, den sollte jede praxis haben- aber würdest du jemanden an dein Netz lassen, die nicht mal die kommunikationswege für dei TI kennt?
ich hoffe nicht, den dann ist der recht hohe Sicherheitsanspruch dahin!

Frank

Moin...

Zitat von @lcer00:

Hallo,

zum Thema „nur erlaubte Kommunikationsziele“ - unser Praxisverwaltungssystem stellt dazu leider keine vollständige Adressliste der Ziele bereit. Gefühlt ändert sich da auch etwas alle 4 Monate.

wie den auch? alleine das Thema Recherche, macht das hinfällig!

Wenn man versucht, eine solche Liste aus den Protokolldaten der Firewall selbst zu erstellen, stößt man gelegentlich auf seltsame IPs, die man erst mal nicht zuordnen kann - einmal war da ein Mietserver bei Strato dabei. Die eigene Infrastruktur des Praxisverwaltungssystem-Herstellers reichte offenbar nicht.

das passiert leider öfter mal... und wenn wir jetzt noch den Fall doctolib dazunehmen.... gut das denen die Praxen momentan abwandern... Datenschutz ich hör dich trapsen!

Vielleicht ist die KBV ja auch nur besonders fortschrittlich und will verhindern, dass im Zeitalter von IPv6 die ganze Praxis ohne NAT direkt rein und raus routet.

nun ja.. da ist nicht nur fehlende IPv6 Hardware von nöten, sondern auch das wissen darüber

Grüße

lcer

Frank

Zitat von @Vision2015:

für die TI gibbet schulungen... dann hat man auch das Hintergrundwissen, welches gebraucht wird!

Ich betreue aus freundschaftlicher Verbundenheit durch einen gemeinsamen, inzwischen verstorbenen Freund eine einzelne Zahnärztin, die zum einen in einem knappen Jahr ihre Praxis ohnehin aufgeben will und zum anderen mit dem für sie seitens CGM zuständigen Systemhaus völlig über Kreuz liegt. Ich habe auch nicht vor, mir weitere ärztliche Kunden zu suchen, normalerweise betreue ich Kirchengemeinden, da hängt mein Herzblut dran. Und für die eine Zahnärztin mache ich keine teure Schulung (die sie dann letztlich bezahlen müsste). Gesagt habe ich ihr oft genug, dass das nötig wäre ... aber sie möchte halt trotzdem weiter mit mir zusammenarbeiten. Klar könnte ich mich verweigern und ihr eiskalt sagen, dass sie mit dem Systemhaus zurechtkommen muss - aber das möchte ich der alten Dame nicht antun.

Zitat von @icer00
Und billiger wird nix, wenn hier nur noch Zertifizierte Admins an den Systemen herumschrauben dürfen.

Das simmt schon, aber die IT'ler müssen sich eben auch mit diesen Systemen auskennen und nicht einfach nur allgemein.
Von daher macht es schon Sinn mehr zertifizierte ran zu lassen, auch wenn unzertifizierte wohl auch einen Großteil könnten.
Bei solchen Systemen wäre ich halt vorsichtig.

Ich kenne es von Hardware-Firewall-Systemen.
Da werden die Leute auf Schulung geschickt um sich damit auch auszukennen.

Zitat von @icer00
Die Beträge müssten durch die Krankenkassen ersetzt werden.

Warum?
Ein Arzt verdient doch (schon) genug!
Mein Zahnarzt hat ein großes Haus und einen Swimming Pool, dem geht's ausgezeichnet.

Zitat von @icer00
Niemand der relevanten Beteiligten will derzeit eine Konkretisierung der Sicherheitsrichtlinien. Denn, wer bestellt muss bezahlen.

Also ist Sicherheit hier auch nicht das A und O, was es aber sein sollte!

Wer hier bestellt sind die Praxen, und die können ja wohl bezahlen.
Man muss ihnen ja nichts überteuertes anbieten!

Wer wäre für die Konkretisierung der Sicherheitsrichtline denn dann zuständig?
Das BSI?

moin...

Zitat von @Oli-nux:

Zitat von @icer00
Und billiger wird nix, wenn hier nur noch Zertifizierte Admins an den Systemen herumschrauben dürfen.

Zitat von @icer00
Die Beträge müssten durch die Krankenkassen ersetzt werden.

Warum?
Ein Arzt verdient doch (schon) genug!
Mein Zahnarzt hat ein großes Haus und einen Swimming Pool, dem geht's ausgezeichnet.

Zitat von @icer00
Niemand der relevanten Beteiligten will derzeit eine Konkretisierung der Sicherheitsrichtlinien. Denn, wer bestellt muss bezahlen.

Besser nicht... das würde es noch schlimmer machen!

Frank

Hallo,

Zitat von @Oli-nux:

Zitat von @icer00
Die Beträge müssten durch die Krankenkassen ersetzt werden.

Warum?
Ein Arzt verdient doch (schon) genug!
Mein Zahnarzt hat ein großes Haus und einen Swimming Pool, dem geht's ausgezeichnet.

Gegenvorschlag. Die Systemhäuser könnten ja damit beginnen, die Hardware zum Einkaufspreis an die Praxen abzugeben. Und im Sinne der allgemeinen IT-Sicherheit alles kostenlos installieren und warten. Einmal geschult ist das doch kein Ding!

Grüße

lcer

Moin...

Zitat von @lcer00:

Hallo,

Zitat von @Oli-nux:

Zitat von @icer00
Die Beträge müssten durch die Krankenkassen ersetzt werden.

Warum?
Ein Arzt verdient doch (schon) genug!
Mein Zahnarzt hat ein großes Haus und einen Swimming Pool, dem geht's ausgezeichnet.

nun, eine Zahnarzt kannst du nicht mit einem Mediziner vergleichen.

Gegenvorschlag. Die Systemhäuser könnten ja damit beginnen, die Hardware zum Einkaufspreis an die Praxen abzugeben.

tun wir ja auch fast...

Und im Sinne der allgemeinen IT-Sicherheit alles kostenlos installieren und warten. Einmal geschult ist das doch kein Ding!

na ja.. nicht übertreiben!
ich sehe jetzt auch nicht, das wir übertrieben viel geld verdienen, in der regel ist das fast alles mit dem wartungsvertrag gedeckelt, inclusive der Updates von CGM!
wenn da regelmäßig rumgedoktert werden muss, ist schon was im busch! dann sollte besser der Dienstleister getauscht werden! unsere Arzte und viel schlimmer die das Personal würde ausflippen, wenn ewig irgendwas nicht laufen würde!

Klar könnte ich mich verweigern und ihr eiskalt sagen, dass sie mit dem Systemhaus zurechtkommen muss - aber das möchte ich der alten Dame nicht antun.

nettes Argument... und deswegen trödelst du du ewigkeiten rum, für einen Job, der keine 15 Minuten dauert!
klar... die nette alte Dame zahlt ja!
und wenn du einen Kardinalfehler machst, mit konsequenzen- streichelt die nette alte Dame dein Köpfchen, und sagt, ist ja nicht so schlimm, mache ich eben die Praxis zu! Hauptsache mir wurde geholfen!!!
und alles nur, weil du arbeiten machen möchtest, ohne diese gelernt zu haben...
Amen....

Frank

Grüße

lcer

Zitat von @Vision2015:
lass dich doch mal Zertifizieren und Schulen, dann bekommst du alle Infos die du brauchst, und zukünftige updates... es soll es soll eben nicht mehr jeder Hans und Franz am Netzwerk und EDV in den Praxen rumschrauben dürfen!
so hat auch der Kunde mehr sicherheit, und es wird günstiger für den Kunden! du wirst momentan für das rumprobieren bezahlt, ohne richtiges fachwissen, weil du einfach keine Grundinfos zu dem System hast!

Ich finde es immer schön, dass Du an das Gute glaubst, Frank, aber die Aussage geht an der Praxis vorbei.

1. Zertifizierung ist nicht die Lösung: Die Systempartner der PVS-Anbieter verweisen im Regelfall auf ihre erfolgte Zertifizierung - Weder habe ich da jemals wachsende Sicherheit noch Kostenersparnis gesehen. Statt dessen viel abenteuerliche Probiererei und Frickelei. Man kann eben eine solche Zertifizierung offenbar machen und trotzdem keine Ahnung haben. Oder nur einer im Haus hat die Zertifizierung, alle andern frickeln weiter.
Wie Kollege @lcer00 ja sinngemäß darlegt: Wenn irgendwas hakt, kommen von der Betreuung des PVS-Softwareanbieters die Ausreden. Faktisch immer ist es am Ende aber ein Kompetenzdefizit.

2. Die Gematik hat ausdrücklich festgelegt, dass der DVO keine Zertifizierung benötigt. Für einen durchschnittlich mit Netzwerken vertrauten Kollegen ist sind Konnektor, Kartenleser und Clientmodule kein Hexenwerk. Es fehlt hier weniger am Know How der Kollegen, sondern an hinreichenden Dokumentationsunterlagen der Anbieter.

3. Zertifizierung der DVOs geht an den praktischen Möglichkeiten vorbei. Der oft kleine Dienstleister müsste sich ja nicht nur auf einem System zertifizieren lassen, sondern auf mehreren. Es gibt aktuell zwei stationäre Konnektormodelle und eine Vielzahl von PVS-Anbietern. Ich betreue 5 verschiedene PVS-Systeme und beide Konnektormodelle, soll also 7 Zertifizierungen machen? Und regelmäßig nachschulen? Ein großes Systemhaus könnte das vielleicht leisten, aber eben auch nur jeweils für einzelne Mitarbeiter und zu entsprechenden Kosten für den Kunden. Am Ende wird also fast immer ein nicht zertifizierter Kollege die konkrete Betreuung machen.

Zudem wäre eine Zentralisierung - weg von den kleinen (qualifizierten) Admins auch Augenwischerei: Systembetreuung ist, wie alle hier wissen, eine ziemlich individuelle Angelegenheit. Support und konkrete Kompetenz hinsichtlich der betreuten Systeme werden oft alles andere als besser (und sicherer), wenn sich die "Großen" kümmern. Eines wird es aber immer: Deutlich teurer - für den versicherten Patienten.

4. Am Ende bleibt die Zertifizierung nur der Goldesel für die PVS-Anbieter. Um auf einen solchen Zug aufzuspringen, mache ich den Job nicht.

es soll eben nicht mehr jeder Hans und Franz am Netzwerk und EDV in den Praxen rumschrauben

Das hingegen unterschreibe ich gern!
Das ist aber genau das, was PVS-Hersteller mit ihren Systempartnern vielen Ärzten aktuell zumuten.

Viele Grüße, commodity

Moin...

Zitat von @commodity:

Ich finde es immer schön, dass Du an das Gute glaubst, Frank, aber die Aussage geht an der Praxis vorbei.

nee, ich ich glaube nicht an das gute, sondern ich sehe immer, was wir im Betrieb machen!
und meine Jungs sind nun einmal geschult!

1. Zertifizierung ist nicht die Lösung: Die Systempartner der PVS-Anbieter verweisen im Regelfall auf ihre erfolgte Zertifizierung - Weder habe ich da jemals wachsende Sicherheit noch Kostenersparnis gesehen. Statt dessen viel abenteuerliche Probiererei und Frickelei. Man kann eben eine solche Zertifizierung offenbar machen und trotzdem keine Ahnung haben. Oder nur einer im Haus hat die Zertifizierung, alle andern frickeln weiter.
Wie Kollege @lcer00 ja sinngemäß darlegt: Wenn irgendwas hakt, kommen von der Betreuung des PVS-Softwareanbieters die Ausreden. Faktisch immer ist es am Ende aber ein Kompetenzdefizit.

natürlich ist nicht jeder, der Zertifiziert ist- auch gleich nen Fachmann... und ja... viele können sich das gelernte nicht bis zur Tür merken

so ist es eben nun mal... nur bei uns läuft sowas nicht! das möchte ich auchkeinen Kunden zumuten!

2. Die Gematik hat ausdrücklich festgelegt, dass der DVO keine Zertifizierung benötigt. Für einen durchschnittlich mit Netzwerken vertrauten Kollegen ist sind Konnektor, Kartenleser und Clientmodule kein Hexenwerk. Es fehlt hier weniger am Know How der Kollegen, sondern an hinreichenden Dokumentationsunterlagen der Anbieter.

nö... also Dokumentationsunterlagen gibbet ohne ende, und ja, ich bleibe dabei- mit einer Schulung wäre das nicht passiert!

Für einen durchschnittlich mit Netzwerken vertrauten Kollegen....

schreibst du... Fein... ich glaube und behaupte das @SarekHL allerdings unter dem durchschnitt liegt!
und nein, ich möchte @SarekHL keinesfalls schlecht machen, oder seine leistung irgendwie schlecht machen!
ich rede nur von dem, was ich hier Lese...
nur er braucht ganz sicher eine schulung und die richtigen unterlagen!
von nix, kommt nix!

3. Zertifizierung der DVOs geht an den praktischen Möglichkeiten vorbei. Der oft kleine Dienstleister müsste sich ja nicht nur auf einem System zertifizieren lassen, sondern auf mehreren.

richtig!

Es gibt aktuell zwei stationäre Konnektormodelle und eine Vielzahl von PVS-Anbietern. Ich betreue 5 verschiedene PVS-Systeme und beide Konnektormodelle, soll also 7 Zertifizierungen machen? Und regelmäßig nachschulen? Ein großes Systemhaus könnte das vielleicht leisten, aber eben auch nur jeweils für einzelne Mitarbeiter und zu entsprechenden Kosten für den Kunden. Am Ende wird also fast immer ein nicht zertifizierter Kollege die konkrete Betreuung machen.

hm... ich verstehe deinen Hintergrund, allerdings sind bei uns eben, in alles wichtigen bereichen, die Mitarbeiter geschult... und es finden nachschulungen statt! das finde ich nicht zu viel!

Zudem wäre eine Zentralisierung - weg von den kleinen (qualifizierten) Admins auch Augenwischerei:

gegen eine Zentralisierung bin ich auch, und meiner meinung nach, machen viele kleine Admins, ihren Job besser, als viel große Firmen! wenn sie wissen, was sie tun!

Systembetreuung ist, wie alle hier wissen, eine ziemlich individuelle Angelegenheit. Support und konkrete Kompetenz hinsichtlich der betreuten Systeme werden oft alles andere als besser (und sicherer), wenn sich die "Großen" kümmern. Eines wird es aber immer: Deutlich teurer - für den versicherten Patienten.

da stimme ich dir zu!

4. Am Ende bleibt die Zertifizierung nur der Goldesel für die PVS-Anbieter. Um auf einen solchen Zug aufzuspringen, mache ich den Job nicht.

aber ganz ohne wissen, geht es auch nicht!

es soll eben nicht mehr jeder Hans und Franz am Netzwerk und EDV in den Praxen rumschrauben

Das hingegen unterschreibe ich gern!
Das ist aber genau das, was PVS-Hersteller mit ihren Systempartnern vielen Ärzten aktuell zumuten.

Viele Grüße, commodity

Frank

Wenn ein Kollege keine durchschnittlichen Netzwerkkenntnisse hat und an die Telematikinfrastruktur will, braucht er ein Upgrade, klar. Ich denke aber, dass die Schulungen der PVS-Anbieter da ein sehr ineffizienter Weg wären. Als Upgrade für Basiswissen wäre mir das zu teuer (für meine Kunden) und zu langweilig (für mich). Da kommen dann die Techniker raus, auf die @lcer00 anspielte, die Copy/Paste-Admins der PVS-Anbieter, die wir alle kennen.

Wir sprechen hier über IT-Sicherheit in Arztpraxen und die wird nicht mit teuren Zertifizierungen für (Pseudo-)Spezialkonfigurationen des jeweiligen PVS erreicht, sondern mit standardkonformer Spezifikation und Konfiguration. Was die Gematik auch im Grunde vorgibt - und einige PVS-Anbieter mehr oder weniger auf technisch eher billige, für Arzt und Patient aber im Ergebnis teure Weise zu unterlaufen versuchen.

Viele Grüße, commodity

P.S.: Und Du musst nicht immer wieder so betonen, wie toll das bei Euch ist. Ich stelle das nicht infrage, aber Du weißt selbst, dass dieser Anspruch der Realität am Markt nicht entspricht. Auch vieler ach so toller Systemhäuser.

Moin...

Zitat von @commodity:

Wenn ein Kollege keine durchschnittlichen Netzwerkkenntnisse hat und an die Telematikinfrastruktur will, braucht er ein Upgrade, klar. Ich denke aber, dass die Schulungen der PVS-Anbieter da ein sehr ineffizienter Weg wären. Als Upgrade für Basiswissen wäre mir das zu teuer (für meine Kunden) und zu langweilig (für mich). Da kommen dann die Techniker raus, auf die @lcer00 anspielte, die Copy/Paste-Admins der PVS-Anbieter, die wir alle kennen.

da hast du nicht ganz unrecht!

Wir sprechen hier über IT-Sicherheit in Arztpraxen und die wird nicht mit teuren Zertifizierungen für (Pseudo-)Spezialkonfigurationen des jeweiligen PVS erreicht, sondern mit standardkonformer Spezifikation und Konfiguration. Was die Gematik auch im Grunde vorgibt - und einige PVS-Anbieter mehr oder weniger auf technisch eher billige, für Arzt und Patient aber im Ergebnis teure Weise zu unterlaufen versuchen.

ja..

Viele Grüße, commodity

P.S.: Und Du musst nicht immer wieder so betonen, wie toll das bei Euch ist. Ich stelle das nicht infrage,

ich wundere mich echt nur, warum das die Kunden so mitmachen! es geht nicht darum wie toll wir sind, sondern was bei uns standard geworden ist.. das war auch nicht immer so!

aber Du weißt selbst, dass dieser Anspruch der Realität am Markt nicht entspricht. Auch vieler ach so toller Systemhäuser.

da stimme ich dir zu, und deswegen staune ich ja, was die Kunden so alles mitmachen...

Frank

und deswegen staune ich ja, was die Kunden so alles mitmachen...

Das nun glaube ich einem alten Hasen wie Dir nicht. Da gibt es nichts zu staunen.

Wer die Verhältnisse im KMU-Bereich nur ein bisschen kennt, weiß, dass das Angebot qualifizierter und motivierter Dienstleister nur einen Bruchteil der Nachfrage befriedigt. Hinzu kommt, dass die Kunden oft auch kein Interesse daran haben und mit einem Alibi-Service zufrieden sind. Darunter viele Ärzte. Für diesen Typus sind wir alle der Computerfuzzi, ganz egal was wir können.
Und da 50 % der Probleme und mehr (zumindest temporär) mit einem Neustart behoben werden und alles andere auf Microsoft oder auf HW-Defekt "geschoben" werden kann, kommen selbst die unmotiviertesten Kollegen oft noch zu recht. Der Kunde kann und will es nicht beurteilen.
Und wenn gar nichts mehr geht, lässt man sich bei einem PVS-Dienstleister anstellen. Dafür reicht es offenbar immer.

Ich finde es schön, dass wir uns hier meist helfen (gerade auch Du) - und das trotz ganz unterschiedlicher Kenntnislevel. So lange es keinen funktionierenden für eine qualifzierte KMU-IT-Dienstleistung Markt gibt, ist jede hier direkt (also ohne Pauschalverweis auf Schulungsbedarf) geklärte Frage ein Gewinn für alle.

Viele Grüße, commodity

Moin...

Zitat von @commodity:

und deswegen staune ich ja, was die Kunden so alles mitmachen...

Das nun glaube ich einem alten Hasen wie Dir nicht. Da gibt es nichts zu staunen.

doch doch... ich staune teilweise echt Bauklötze, was die lieben kollegen so alles verbasteln...

Wer die Verhältnisse im KMU-Bereich nur ein bisschen kennt, weiß, dass das Angebot qualifizierter und motivierter Dienstleister nur einen Bruchteil der Nachfrage befriedigt.

nun, das viele Glücksritter untwegs sind, die nur das schnelle geld machen wollen, ist ja grad in mode

Hinzu kommt, dass die Kunden oft auch kein Interesse daran haben und mit einem Alibi-Service zufrieden sind. Darunter viele Ärzte. Für diesen Typus sind wir alle der Computerfuzzi, ganz egal was wir können.

ja, der kistenschieber an der ecke, macht es für 35 euro.... wir für 95 bis 129,- netto!
da kommen schon fragen auf. aber das einfachste aufgaben dann 2 Tage dauern, die wir in 2 Stunden erledigen, wird nicht bedacht!
erst neulich, habe ich einem Jungen Kollegen sagen müssen, das die PS Console als Administrator ausgeführt werden muss, mit seine scripte laufen... zu erwähnen wäre da noch, das er, wegen genau diesem Fehler - den Server neu Installiert hat...

Und da 50 % der Probleme und mehr (zumindest temporär) mit einem Neustart behoben werden und alles andere auf Microsoft oder auf HW-Defekt "geschoben" werden kann, kommen selbst die unmotiviertesten Kollegen oft noch zu recht. Der Kunde kann und will es nicht beurteilen.

das will der kunde auch nicht!

Und wenn gar nichts mehr geht, lässt man sich bei einem PVS-Dienstleister anstellen. Dafür reicht es offenbar immer.

jo... das stimmt wohl.

Ich finde es schön, dass wir uns hier meist helfen (gerade auch Du) - und das trotz ganz unterschiedlicher Kenntnislevel. So lange es keinen funktionierenden für eine qualifzierte KMU-IT-Dienstleistung Markt gibt, ist jede hier direkt (also ohne Pauschalverweis auf Schulungsbedarf) geklärte Frage ein Gewinn für alle.

du hast recht, und ich helfe echt wo ich kann, allerdings gibbet auch grenzen! und die TI gehört bei mir dazu!
mit einer schulung, oder einer ordentlichen recherche, würden solche fragen nicht aufkommen!
der Kunde zahlt nur für Versuche!
@SarekHL ist sicher kein schlechter Typ, und seine Arbeit im Kirchlichen bereich finde ich gut, obwohl ich Atheist bin

auch ist er im netzwerk bereich nicht sicher genug! deswegen hatte ich meinen senf dazu gegeben!
@SarekHL bekommt von mir gleich eine PN, ich werde ihm anbieten, bei der alten Dame mit der TI zur Seite zu stehen und mit ihm die Probleme zu lösen, und ihm die benötigten Infos zu geben, und ihm Remote zu helfen!

Viele Grüße, commodity

von mir auch...

Frank

Hallo,

dennoch spricht nichts dagegen, FirewallEndpunkte und Ports öffentlich verfügbar zu machen. Machen doch die meisten Softwarehersteller auch.

Und dann könnten die für die Firewall geschulten Admins diese auch sauber einstellen.

Grüße

lcer

Zitat von @Vision2015:

nö... also Dokumentationsunterlagen gibbet ohne ende,

Benutzerdokumentation ... ja!

technische Dokumentation der Standards ... findet man vermutlich auch noch

technische Einrichtungsdokumentation des konkreten PVS .... rückt zumindest CGM (keine Ahnung wie es mit anderen Anbietern aussieht) nur ungern an IT'ler raus, die nicht CGM-Partner sind.

Zitat von @Vision2015:
@SarekHL bekommt von mir gleich eine PN, ...

Du hast - neben großem KnowHow - einfach ein großes Herz. Immer wieder toll

Schätze ich sehr!

Das bringt es auf den Punkt:

Zitat von @lcer00:
dennoch spricht nichts dagegen, FirewallEndpunkte und Ports öffentlich verfügbar zu machen.

Zitat von @SarekHL:
technische Einrichtungsdokumentation des konkreten PVS .... rückt zumindest CGM (keine Ahnung wie es mit anderen Anbietern aussieht) nur ungern an IT'ler raus, die nicht CGM-Partner sind.

"nur ungern"? Die hüten die Feinheiten wie den heiligen Gral (falls du das Bild gestattest). Herrschaftswissen eben.
Ein CGM-Kollege hat in einer von mir betreuten Praxis mal seinen USB-Stick stecken lassen. Es ist mir nicht ganz leicht gefallen, diesen nicht als kleinen Ausgleich für einige Jahre des "Rumprobierens", wie es Frank nennen würde, mal eben zu kopieren. Aber wir sind ja liebe und korrekte Kollegen, also habe ich ihn nur angerufen.

Manchmal findet man ein bissl Spreu im Netz. Sarek, die Albis Systemanforderungen (Direktdownload PDF) enthalten auch eine Portliste (S. 15).
Ebenso zu KIM diese Anleitung - damit arbeitet auch der hiesige Albis-Systempartner - am Ende die Tabelle für die Ports: https://meine-ti.de/assets/CGM-KIM-Assist/CGMCOM-7026_c1134_TI_KIMInstal ...
Für Turbomed hilft häufig ein Blick in das Turbomed-Forum. Und bei der TI ist auch das TI-Forum nicht übel. Albis hat auch ein Forum, aber das ist faktisch leblos, ebenso wie das Medistar-Forum. Letztere sind wohl eher als Anwenderforen gedacht.

Viele Grüße, commodity

Zitat von @commodity:

einfach ein großes Herz. Immer wieder toll

Schätze ich sehr!

Ich auch - bei euch beiden. Sher wohltuend im Vergleich zu einigen anderen Foristen ...

"nur ungern"? Die hüten die Feinheiten wie den heiligen Gral (falls du das Bild gestattest).

Oder so

Manchmal findet man ein bissl Spreu im Netz.

Der Weizen wäre mir lieber

Danke für Deine Links, vor allem die KIM-Ports sind interessant - ich kannte bisher nur die 8995/8465, weil die in einer Fehlermeldung vorkamen.

Ansonsten nützt Albis mir noicht so viel, da es hier um Z1.pro geht - ich vermute, die Ports sind nicht identisch. Interessant aber, dass dort für eRezept keine eigenen Ports gelistet sind. Das läuft also offenbar über die Standard-Ports. Der Versand soll ja wohl eh über KIM laufen. Da die (auch 443) frei sind, wundert mich aber umso mehr die Fehlermeldung, die ich da bekommen habe:

Den Weizen kriegst Du vielleicht in der Schulung

Für Z1 habe ich nichts, aber die TI-Module sind bei Albis, TM, Medistar faktisch gleich. CGM hat da sicher eine zentrale Programmierung drauf angesetzt. Es ist also durchaus wahrscheinlich, dass das in Z1 nicht anders ist.

E-Rezept? Musst Du das schon (Bay, SH)? Ansonsten würde ich aktuell noch die Finger davon lassen. Wir hatten bis kurz vor Finale viel Spaß mit der eAU und Kontakt direkt zu einem Entwickler bei CGM. Man war gleichermaßen hilfsbereit (!) wie (ad hoc) hilflos, was die aufgezeigten Bugs anging. Der zugeschaltete Servicepartner bekam zudem Schnappatmung, weil er ganz viele Kniffe/Ansätze überhaupt nicht kannte. Die Bugs sind dann Schritt für Schritt mit den Updates beseitigt worden. Selbst die Kommunikation bei CGM intern scheint also eher fragwürdig. Es ist unwahrscheinlich, dass Du das allein löst. Ohne Systempartner würde ich das nicht angehen wollen.

Das Prinzip von SOAP ist hier ganz gut erläutert. Obgleich es eine offene Spezifikation ist, hat man aber hier natürlich sein eigenes Süppchen gekocht. Der ErrorCode 9828 ist jedenfalls nicht google-öffentlich. Auch in den Dokumenten der Gematik sehe ich überschlägig dazu nichts. Wohl aber bekannt ist der Fehler 28, vielleicht findest Du da was.

Viele Grüße, commodity

Zitat von @commodity:

E-Rezept? Musst Du das schon (Bay, SH)?

Das HL in SarekHL steht für Hansestadt Lübeck

Das Prinzip von SOAP ist hier ganz gut erläutert.

Das werde ich mir mal zu Gemüte führen.

Wohl aber bekannt ist der Fehler 28, vielleicht findest Du da was.

So rein vom Überfliegen her (zum genaueren Lesen finde ich erst heute abend Zeit) scheint das aber nichts zur sein, was von einer Firewall oder so verursacht wird. Und wenn es ein Fehler im Modul von CGM ist, dann kann ich eh nichts tun ...

Moin...

Zitat von @SarekHL:

Zitat von @commodity:

E-Rezept? Musst Du das schon (Bay, SH)?

Das HL in SarekHL steht für Hansestadt Lübeck

Das Prinzip von SOAP ist hier ganz gut erläutert.

Das werde ich mir mal zu Gemüte führen.

Wohl aber bekannt ist der Fehler 28, vielleicht findest Du da was.

hast du der CocoBox mal nen Update gegönnt? momentan (gestern)ist die xx24 aktuell, mit der xx12 oder xx16 gibbet probleme! und die lese geräte bitte auch aktualiseren (aber erst die CocoBox) und nicht im Betrieb!
Frank

Zitat von @Vision2015:

hast du der CocoBox mal nen Update gegönnt?

Der Konnektor ist von der Telekom. Alles etwas kompliziert, die Dame ist noch nicht so lange bei CGM und auch nur weil der Anbieter ihrer früheren PVS das Produkt aufgegeben und den Kunden den Wechsel zu CGM mit einem Umsteigerpaket schmackhaft gemacht hat.

Der Konnektor ist von der Telekom

Das wird bitter. In der Gematik-Theorie muss alles zwar mit jedem Konnektor funktionieren, aber CGM tut sich da sehr schwer und niemand weiß dann was.
Vor allem: Ich dachte, die Telekom-Konnektoren mussten längst raus? Habe noch nie einen gesehen.
Das scheint dann ja auch eine spezielle Zahnärztin zu sein...

eine einzelne Zahnärztin, die zum einen in einem knappen Jahr ihre Praxis ohnehin aufgeben will und zum anderen mit dem für sie seitens CGM zuständigen Systemhaus völlig über Kreuz liegt.

Keine Ahnung von nichts, noch kurz vor der Rente das PVS tauschen müssen und sich gleich mit dem Servicepartner quer legen. Alter. Mag alles Gründe haben, aber manche Leute haben mehr Pech als andere. Mein Beileid für Dich.

Vielleicht kann sie noch gegen Secunet tauschen - aber dann gilt mein erster Satz... Ansonsten: Nochmal 3000 für ne neue Kocobox. Oder den Honorarabzug hinnehmen.
Grundsätzlich sollte es aber auch mit einem Secunet gehen. Hatte letztens Kontakt zu einem Kollegen, der das andersrum machen musste, der also statt eines Secunet (für sein PVS der Standard) eine KocoBox geerbt hat. War nicht einfach und ich kenne keine Details, aber es hat geklappt.

Viele Grüße, commodity

Zitat von @commodity:

Vor allem: Ich dachte, die Telekom-Konnektoren mussten längst raus?

Jaaaa, ok ... ich habe es etwas vereinfacht ausgedrückt. Natürlich hat sie den Secunet-Konnektor. Aber sie hat ihn halt von der Telekom, als Austausch für den alten.

na dann, have fun!

Viele Grüße, commodity

German Question Firewall Security

Hotly discussed

Check of ZFW Firewallgleixnerd - 5 Comments

Wireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 Comments