Was ist nach Paragraph 75B SGB V eine Firewall?

Mitglied: StefanKittel

StefanKittel (Level 5) - Jetzt verbinden

10.03.2021, aktualisiert 23:58 Uhr, 2961 Aufrufe, 53 Kommentare, 7 Danke

Hallo,

im neuem IT Sicherheitsgesetzt für Ärzte und Zahnärzte § 75B SGB V, was ab 01.01.21 gilt und nach und nach aktiv wird, stehen 2 Punkte zum Thema Netzwerksicherheit.
Quelle: https://www.kbv.de/html/1150_50301.php
Quelle: https://www.kbv.de/media/sp/RiLi___75b_SGB_V_Anforderungen_Gewaehrleistu ...

Punkt 9
Ziel-Objekt: Internet-Anwendungen
Anforderung: Firewall benutzen
Erläuterung: Verwendung und regelmäßiges Update einer Web App Firewall.

Was soll das denn sein?
Ich vermute mal eine Software welche Webseiten prüfen die man aufruft.
Das könnte ein Antivirusprogramm sein oder eine UTM Firewall.

Punkt 32
Ziel-Objekt: Netzwerksicherheit
Anforderung: Absicherung der Netzübergangspunkte
Erläuterung: Der Übergang zu anderen Netzen insbesondere das Internet muss durch eine Firewall geschützt werden

Anmerkung 1: Ich schätze das deutlich mehr als 50% der Praxen keine VLANs und keine Firewall verwenden.


Frage: Was ist hier mit Firewall gemeint?

Konkret für eine kleine Praxis:
- Haupt-PC (Win10) als Server am Empfang
- 1 PC im Büro
- 2 PCs in den Zimmern
- TI-Konnektor und Lesegerät
- 1 LAN Drucker
- Telekom Router mit WLAN (für den Praxisinhaber)


Eine Fritz!Box hat ja nun auch eine Firewall. Zumindest auf dem "Papier".
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...

Ich habe keine definierte Aussage gefunden was in diesem Zusammenhang eine Firewall ist.
Fritz!Box, PFSense ohne Proxy, UTM-Firewall mit https-Proxy?

Hat Jemand etwas offizielles auf das man sich beziehen kann?
Sonst werden die Praxen einfach bei Ihrem 0815 Router bleiben und bei 9 und 32 mit Ja antworten.

Danke

Stefan


PS: In einer anderen Version des PDF ist bei Punkt 32 von einer Hardware-Firewall gesprochen.
https://hub.kbv.de/pages/viewpage.action?pageId=63537333
Es wird empfohlen eine Hardware-Firewall einzusetzen und diese nach den eigenen Anforderungen zu konfigurieren und zu warten. Mindestens sollte dabei Folgendes eingestellt werden:
- Nur erlaubte Kommunikationsziele (IP-Adressen und Ports) zulassen (eingehend und ausgehend).
- Nur erlaubte Kommunikationsprotokolle zulassen.

Erlaubt nach draußen müssen meist nur http, https, email und die gefühlten 7000 Ports für die IT-Konnektoren.
Aber die meisten Praxen nutzen Suchmaschienen und surfen durch das Internet auf der Suche nach anderen Ärzten, Informationen und neuen Lieferanten.
Da kann man keine White-List auf IP-Basis anlegen. Besonders mit den ganzen CDNs nicht.
Und ausgehende Ports ist eigentlich auch obsolet. Die bösen Jungs (und Mädels) telefonieren alle mit https nach Hause.
53 Antworten
Mitglied: Kai-aus-der-Kiste
11.03.2021 um 00:39 Uhr
Entschuldigung !

Ein Angriffspotenzial ist wohl der Server der am Empfang steht !

Solange dort ein Gast / Kunde, oder Patient etwas an einen USB Port stecken kann, ist das gesamte System Kompromittiert !

Da hilft keine Firewall mehr !

Objektplan machen ! ToDo Liste machen und dann denken ;)


KAI
Bitte warten ..
Mitglied: the-buccaneer
11.03.2021 um 01:33 Uhr
Moin Stefan!

Ja, was die wirklich meinen würden sie ja sagen, wenn sie sich geeinigt hätten, was sie wollen bzw. wie das umgesetzt gehört. ;-) face-wink

Frag nen Juristen. ;-) face-wink Und der wird dir sagen: "Kommt drauf an, wie das die Gerichte dann sehen"

Ich wäre aber so dreist mal direkt im Ministerium anzufragen. Am besten telefonisch. Manchmal hat man Glück und bekommt jemanden der in der Sache involviert ist und sich freut, dass jemand mit Hintergrundwissen konkret nachfragt. Schon erlebt in ner anderen Sache. Viel gelernt.
Per Mail kann man das dann ja immer noch hinterherschicken denn das werden sie wollen für was "konkretes".

Natürlich bleiben die Praxen bei "Ja, ich habe eine Firewall" und "Web-App's haben wir auch." ;-) face-wink
Wenn du die betreust: Man kann den "Server" so absichern, dass eine Whitelist den Internetzugang regelt. Problemlos. Habe ich vor Jahren mal gemacht. Waren nur wenige Adressen.
Zum surfen muss dann halt ein anderer Rechner da stehen.

Prinzipiell gibt es TI-Anbieter die für kleines Geld einen "abgesicherten" Zugang zum Internet anbieten. Wie die das realisieren konnte ich damals nicht in Erfahrung bringen. "Betriebsgeheimnis"
Rechtsicher sollte das jedenfalls sein dann. Denn zertifiziert sind die.

Was sagt der Doktor? @keine-ahnung

VG
Buc
Bitte warten ..
Mitglied: Vision2015
11.03.2021 um 06:07 Uhr
moin...
Zitat von @Kai-aus-der-Kiste:

Entschuldigung !
nö...

Ein Angriffspotenzial ist wohl der Server der am Empfang steht !
wiso?

Solange dort ein Gast / Kunde, oder Patient etwas an einen USB Port stecken kann, ist das gesamte System Kompromittiert !
wo steht das die schnittstellen nicht geschützt sind?
wo steht, das der Server nicht an der Anmeldung verschlossen ist?

Da hilft keine Firewall mehr !
gegen was soll den die "Firewall" helfen?

Objektplan machen ! ToDo Liste machen und dann denken ;)
natürlich... an besten den Serveraum einzeichnen, dafür fällt dann Raum 2 von 3 wech .. :-) face-smile sag das dem Doc, und du bist wech :-) face-smile



KAI
Frank
Bitte warten ..
Mitglied: lcer00
11.03.2021 um 06:17 Uhr
Hallo,

die IT Sicherheitsrichtlinien der KBV stellt einen Minimalkonsens dar. Die KBV musste das Ding aufsetzten (Herr Spahn). Die Hälfte der Ärzte wollen sich damit nicht beschäftigen. Die Krankenkassen wollen dafür kein Geld ausgeben. Und die meisten AIS Anbieter leben strukturell in den 90gern. Ach ja, nicht zu vergessen, die vielen kleinen IT-Dienstleister, die nur von Ärzten leben können, weil die keine Ahnung von der Materie haben (Alle Anwesenden sind hier nicht gemeint).

Also wurde alles so schwammig wie möglich aufgeschrieben. Das BSI hat die Richtlinie aber wohl durchgeschaut.

Wenn man das liest, kann man sich schon wundern. Gefühlte 20 Punkte beschäftigen sich mit Mobilen Endgeräten. Klar, kann man gut regeln, nutzt ja keiner als Praxisgerät.

Es ist von niemandem gewollt, konkrete Anforderungen an eine Firewall zu definieren. Sonst stünden die drin.

Grüße

lcer
Bitte warten ..
Mitglied: cykes
11.03.2021 um 06:26 Uhr
Moin,
Zitat von @the-buccaneer:
Prinzipiell gibt es TI-Anbieter die für kleines Geld einen "abgesicherten" Zugang zum Internet anbieten. Wie die das realisieren konnte ich damals nicht in Erfahrung bringen. "Betriebsgeheimnis"
Rechtsicher sollte das jedenfalls sein dann. Denn zertifiziert sind die.
Da hättest Du mal ein wenig weiter recherchieren sollen, was dieser "abgesicherte Zugang" genau bedeutet. Sehr lesenswert ist dieser Kommentar von Herrn Dr. Sommebrodt, der die technischen Hintergründe mal etwas vereinfacht darstellt (ist zwar bereits von 2019, aber eigentlich immer noch passend)
-> https://www.hausaerzte-hessen.de/down/230C5856-02C0-2FCA-9DCC0FA2A81E578 ...

Mit den halbwegs aktuellen Ereignissen im vergangenen Jahr (großflächiger Ausfall des KV-Safenets) hat das dann noch ein besonderes Geschmäckle ;-) face-wink

Gruß

cykes
Bitte warten ..
Mitglied: lcer00
11.03.2021 um 07:03 Uhr
... da fällt mir ein:

Die Minimalkonsensfirewall wäre:

IPv4: NAT aktiv
IPv6 ohne NAT: stateful, Eingehend blockieren.

Und im obligatorischen Netzwerkplan steht an der FRITZ!Box „Firewall“

:) face-smile

Grüße

lcer
Bitte warten ..
Mitglied: maretz
11.03.2021 um 07:13 Uhr
Zitat von @Kai-aus-der-Kiste:

Entschuldigung !

Ein Angriffspotenzial ist wohl der Server der am Empfang steht !

Solange dort ein Gast / Kunde, oder Patient etwas an einen USB Port stecken kann, ist das gesamte System Kompromittiert !

Da hilft keine Firewall mehr !

Objektplan machen ! ToDo Liste machen und dann denken ;)


KAI


Erstmal sind die wenigsten Empfangstresen die ich bisher bei Ärzten sehe längere Zeit völlig unbesetzt - und die meisten da werden wohl schon fragen warum der Patient denn dahin geht.

Aber: Ich würde das einfach so sehen das es wieder eine der lustigen Verordnungen ist. Wie du sagst - ne Firewall ist selbst nen simpler Plastik-Router (da er Pakete von aussen ja idR. verwirft). Solang du also kein Modem direkt am Rechner hast wäre das schon ziemlich erfüllt. Hier muss man einfach mal die Realität sehen und wird merken das ne "Whitelist" nicht geht. Nehmen wir an ich habe die üblichen 3 Wünsche frei und wünsche mir somit für die Praxis ne Firewall die sogar Listen hat (permanent aktuell) die alle medizinischen Seiten kenn. Was macht wohl der Empfang wenn nen Patient kommt (ggf. etwas älter und bestenfalls im Winter bei schlechtem Wetter) und fragt wann unten der Bus xyz kommt der 1x die Stunde in den Vorort fährt. Schon wird die Person am Empfang vermutlich eben im Internet nach dem Fahrplan gucken wollen. Völlig unmedizinisch, trotzdem in dem Fall sicherlich nicht ganz unsinnig (oder soll besagte Person dann ggf. in der Kälte unten 59 Min stehen weil der Bus grad weg is?). Damit ist also die Whitelist schon mal raus - ne Blacklist führt da eher zum Erfolg weil man eben DA die bekannt bösen Seiten recht einfach blocken kann. Klar - kann man (wie alles) umgehen ABER dort sitzen idR. keine Spielkinder (sonst würde ich den Arzt wechseln... Wer weiss was die denn erst im Fachbereich für lustige Ideen haben). Wenn die wirklich spielen (illegal runterladen, ...) -> Gespräch mit dem Inhaber, auf Wiedersehen, beim Rausgehen die Tür leise schließen.

Hier muss man - aus meiner Sicht - eben schauen was geht und da auch durchaus abwägen. Es gibt eben andere Anforderungen als bei ner Schule, nem Hotel, ... bei denen die Benutzer ggf. auf dumme Ideen kommen. Und es bringt auch wenig wenn man das da nur völlig dicht nagelt aber die Leute nich mehr wirklich arbeiten können. Dann kommen eben Workarounds die wieder schlechter sind (Mobiler Hotspot am Telefon,...). Mir persönlich is es da ab und an lieber "die Augen zuzumachen" und zu WISSEN das dort etwas läuft was ggf. nich optimal ist ABER noch vertretbar bleibt als permanent mit der Keule zu schwingen und dann die ganzen lustigen Versuche abzufangen.
Bitte warten ..
Mitglied: Visucius
11.03.2021 um 07:40 Uhr
Die Diskussion ist zu einfach gehalten.

Selbstverständlich ist die Fritzbox eine Firewall. Ist sie ja seit Jahrzehnten in jeder anderen Situation auch. Und wenn ich mir die verlffentlichten Lücken bei den angeblichen Profis ansehe (Telekom Business Router, sonic, Sophos, … von Cisco ganz zu schweigen) ist die Diskussion ziemlich frech. Mal davon abgesehen, dass bei denen noch Konfigurationsfehler hinzukommen.

Aber: Es gibt noch einen weiteren Treiber für die Praxen: Die Praxissoftware-Anbieter. Psyprax z.B. erklärte im Dezember ganz klar, dass ne Fritze nicht ausreicht und man da entweder aufrüstet oder diese Dienstleistung an einen eiligst gegründeten GmbH-Dienstleister auslagert: sicher-praxis-it.de
Bitte warten ..
Mitglied: StefanKittel
11.03.2021 um 09:24 Uhr
Moin Kai

Zitat von @Kai-aus-der-Kiste:
Ein Angriffspotenzial ist wohl der Server der am Empfang steht !
Solange dort ein Gast / Kunde, oder Patient etwas an einen USB Port stecken kann, ist das gesamte System Kompromittiert !
Da hilft keine Firewall mehr !
Ja, das stimmt.

Objektplan machen ! ToDo Liste machen und dann denken ;)
Ja, das stimmt.

Aber, die meisten Praxen die ich bisher betreut habe, und wir waren zwischendurch Servicepartner von CGM für 3 Bundesländer, laufen nach folgendem Prinzip
A) Kunde ruft an: Ich habe folgendes Problem, Problem lösen und nur das.
B) Wir sagen dem Kunden: Du musst nach Gesetzt Dies und Jenes machen, erstellen ein Angebot und die Praxis lehnt ab.
Genau B wird hier bei den Firewalls passieren. Keine Praxis wird eine Firewall kaufen.
Keine Praxis ändert, wie schon lange gesetzt, regelmäßig Ihre Kennwörter oder sperrt gar ihre USB Ports.

Solange die KVZ sagt es ist OK Patientendaten mit 7zip zu verschlüsseln.... was glaubst Du was passieren wird? nix.
Bitte warten ..
Mitglied: commodity
11.03.2021, aktualisiert um 11:15 Uhr
Zitat von @StefanKittel:

Stephan, die oben gestellten Fragen sind genau meine :-) face-smile Und es sind nicht die einzigen zur "Sicherheitsrichtlinie". Ich hoffe, ich habe demnächst noch Zeit, das auszuarbeiten und werde dazu auch die offiziellen Kontakte nutzen. Und Ergebnisse hier posten.

Das, was oben dazu von einigen, zB @Visucius und @Icer00 gesagt wurde, trifft es aber recht gut:

Vorgabe vom Ministerium, lustlos und ohne technische Kompetenz umgesetzt. Möglichst weich. Ändern muss sich nichts und soll sich nichts. Gut ist es trotzdem, denn es sensibilisiert und das ist ein Anfang.

Morgen macht die KV Berlin dazu eine Info-Veranstaltung.

kbv - Klicke auf das Bild, um es zu vergrößern

Ich kann da leider nicht, kann also nicht konkret fragen. Die Erwartungen wären eh begrenzt, ich besorge mir aber den Stream. Wenn Du den haben willst, bitte PN.

Konkreter:
Mit Firewall ist offenbar alles gemeint, siehe https://de.wikipedia.org/wiki/Firewall">https://de.wikipedia.org/wiki/Firewall
Die Vorgabe geht jedenfalls nicht weiter, denn Nr. 32 (V1) präzisiert sie nicht und (V2) gibt ja nur eine (praxisferne) Empfehlung. Auch der Konnektor wird ja gemeinhin als Firewall betrachtet und wäre doch wohl nicht mehr als ein Paketfilter (wenn er so eingesetzt werden würde).
Wer ernsthaft "richtige" Firewalls betreibt, wird auch überlegen, wie weit ihr Einsatz praktisch angemessen und sinnvoll ist. Wie weit soll das dann gehen? IPS? IDS? Wer soll das konfigurieren und warten? Wer bezahlt das im KMU-Umfeld... Nicht missverstehen: Ich bin dafür, aber bitte mit Augenmaß und nicht von 0 auf 100 und nicht solange das Masterpasswort doc123 ist.

Über "Web App Firewall" (WAF) bin ich auch gestolpert. Offenbar weiß der Verfasser des Papiers nicht, was das ist. Derartige Firewalls werden auf Webservern betrieben, die auf ihren Servern Web-Applikationen zur Verfügung stellen. Kann man z.B. bei Hostern dazu buchen. Das hat mit der Nutzung des Internets durch die Praxis mal gar nichts zu tun, steht aber in Anlage 1 an Position 9 (auch für kleine Praxen...). Ich betreue ja nur recht kleine Praxen, jedenfalls kenne ich keine, die einen eigenen Webserver betreibt. Bleibt die Frage, ob die gehostete WordPressblablablub-Seite zukünftig auch eine WAF benötigt. Wenn sie "Internet-Anwendungen" zur Verfügung stellt, die zugleich persönliche Daten verarbeiten wäre das dann wohl so. Ob ein Kontaktformular, Online-Terminvergabe o.ä. diese Kriterien erfüllen? Ich weiß es nicht. Jedenfalls dürfte es nichts mit dem unmittelbaren Praxisbetrieb zu tun haben.

Ich finde u.a. auch Anlage 1 Nr. 17 (V1) interessant.

Windows: Regeln Sie Berechtigungen und Zugriffe pro Personengruppe und pro Person.

Bedeutet das nicht die Einführung von ActiveDirectory? Da werden sich die Kleinpraxen aber freuen...
Bitte warten ..
Mitglied: Visucius
11.03.2021, aktualisiert um 11:13 Uhr
Zitat von @commodity:

Bedeutet das nicht die Einführung von ActiveDirectory? Da werden sich die Kleinpraxen aber freuen...
Zentrale Zugriffsverwaltung lässt sich ja auch unterhalb “ActiveDirectory” realisieren. Ein NAS managed sowas auf Linuxbasis auch mehr oder weniger problemlos. Und bezogen auch Dein Zitat, genügen doch schon die Anlage mehrer Zugriffskonten mit entsprechenden Rechten ... da machst Du doch bei jeder Windows-Freigabe.

Nur: Ein (Admin-)Konto inkl. PW für alle MAs ist halt Geschichte (sofern das noch jemand praktiziert hat).
Bitte warten ..
Mitglied: lcer00
11.03.2021 um 11:28 Uhr
Hallo,
Zitat von @Visucius:

Zitat von @commodity:

Bedeutet das nicht die Einführung von ActiveDirectory? Da werden sich die Kleinpraxen aber freuen...
Zentrale Zugriffsverwaltung lässt sich ja auch unterhalb “ActiveDirectory” realisieren. Ein NAS managed sowas auf Linuxbasis auch mehr oder weniger problemlos. Und bezogen auch Dein Zitat, genügen doch schon die Anlage mehrer Zugriffskonten mit entsprechenden Rechten ... da machst Du doch bei jeder Windows-Freigabe.

Nur: Ein Konto inkl. PW für alle MAs ist halt Geschichte (sofern das noch jemand praktiziert hat).
ich würde das so interpretieren, dass es mindestens getrennte Nutzerkonten für jede natürliche Person geben muss. Und dass diesen Personen nur notwendige Berechtigungen zugewiesen werden sollen. Also keine gemeinsam genutzten Konten und Passwörter mehr. Das hält sich kostenmäßig für Kleinpraxen im Rahmen, bedeutet aber ein Umdenken bezüglich der Kontonutzung.

Man muss bei alledem bedenken, dass es bei den Praxen ALLES gibt: Kleinstpraxen mit Schreibmaschine und einem einzigen PC für die Abrechnung genau so wie große MVZs mit eigenen IT-Mitarbeitern. Die Richtline soll einen realisierbaren Mindeststandart aufzeigen.

Bei der Bewertung der Richtlinie muss man sich die "Realität" vor Augen holen: Dazu kann man ja gerne mal stichprobenartig in AIS-Foren mitlesen: Da hier CGM als Stichwort fiel: https://www.vondoczudoc.de/viewforum.php?f=11

Spannende Themen sind:
  • Zugriff auf Server von Arbeitsgruppenrechnern aus
  • preiswerte Lizenzen von ebay
  • "Ich mach da nicht mit"-Threads

Und noch etwas: Vielleicht erinnern sich einige. Es gab schlimme Diskussionen um die Sicherheit der Konnektor-Installationen, die in dem Vorwurf gipfelten, alle Konnektoren wären unsicher installiert und die Installateure hätten die Firewall der Fritzboxen einfach abgeschaltet. Dies wurde auch durch einen ominösen Freie-Ärzte-Verein gepuscht. Zum Schluß wurde dann auf eine Datenschutzfolgeabschätzung bezüglich der zentralen Telematik durch die Gematik gedrängt und einiges an Druck aufgebaut. Die Sicherheitsrichtlinie war dann wohl die Retourkutsche.

Grüße

lcer
Bitte warten ..
Mitglied: commodity
11.03.2021, aktualisiert um 12:01 Uhr
Danke @Visucius und auch @lcer00. Ja, an Linux habe ich auch schon gedacht, ich glaube aber nicht, dass die KBV das getan hat.

Die Realität in Kleinpraxen ist Windows10 (auch als Datei-"Server"). Wie konkret machst Du denn Berechtigungen pro Person und Gruppe unter Windows10? Lauter einzelne User und in der Freigabe dann "authentifizierte Benutzer" erlauben oder Gruppen anlegen?

Ein Admin-Konto für alle ist auch immer noch die Realität, die ich kenne. Verschiedene Praxissoftware(-Dienstleister) verlangen das immer noch. Und sei es nur für den ersten Start nach einem Update. Vielleicht zu Unrecht. Schön ist jedenfalls anders, das stimmt.

Und: Wenn bei der Datensicherung VSS benutzt wird, braucht man doch auch Admin-Rechte, oder liege ich da falsch?
Bitte warten ..
Mitglied: StefanKittel
11.03.2021 um 12:26 Uhr
Hallo,

das übliche Kuddelmuddel im medizinischen Bereich.

Es gibt es von der KBV schlicht 2 Dokumente.
https://www.kbv.de/html/1150_50301.php
https://hub.kbv.de/pages/viewpage.action?pageId=63537333

Bei einem steht nur Firewall und beim anderen Hardware-Firewall mit VLAN-Funktion.

Effekt: Jeder IT Dienstleister erstellt jetzt eigene Dokumente und Listen und "verkauft" diese, zusammen mit Dienstleistung, an seine Praxen.
Die Qualität ist unterschiedlich, der Aufwand "zu" groß und die Zeit viel zu knapp.

gna gna nga

Stefan
Bitte warten ..
Mitglied: lcer00
11.03.2021 um 12:32 Uhr
Hallo

Hier nichts verwechseln! Die in der Spalte "WEITERE HINWEISE ETC." aufgeführten Dinge sind nicht Bestanddteil der verabschiedeten und gültigen Richtline. Relevant ist folgende im Ärzteblatt bekanntgemachte Version: https://www.aerzteblatt.de/archiv/217429/Richtlinie-nach-75b-SGB-V-ueber ...

Grüße

lcer
Bitte warten ..
Mitglied: StefanKittel
11.03.2021 um 12:34 Uhr
Hallo,

Die Vorgaben der meisten Anbieter von Abrechnungssoftware sind ja immer noch:
- Lokale Admin-Rechte
- Keine AV-Software
- SMB1 only (SMB 2+3 deaktivieren)

Die gebräuchlichste Kommunikationsform zwischen Abrechnungs- und Röntgensoftware ist VDDS.
Dafür benötigt man Admin-Rechte und muss auch UAC abschalten.
(Die Kommunikation läuft über ini-Dateien im Windows-Verzeichnis)

Stefan
Bitte warten ..
Mitglied: StefanKittel
11.03.2021 um 12:37 Uhr
Zitat von @lcer00:
Relevant ist folgende im Ärzteblatt bekanntgemachte Version: https://www.aerzteblatt.de/archiv/217429/Richtlinie-nach-75b-SGB-V-ueber ...

Sagt wer?
Warum ist diese Version richtiger als die von kbv?

Stefan
Bitte warten ..
Mitglied: lcer00
11.03.2021 um 12:45 Uhr
Hallo,
Zitat von @StefanKittel:

Zitat von @lcer00:
Relevant ist folgende im Ärzteblatt bekanntgemachte Version: https://www.aerzteblatt.de/archiv/217429/Richtlinie-nach-75b-SGB-V-ueber ...

Sagt wer?
Warum ist diese Version richtiger als die von kbv?
Die KBV ist eine Körperschaft Öffentlichen Rechts. Alle Vorgaben, die KBV macht, müssen satzungsgemäß von ihrer Vertreterversammlung beschlossen und per Veröffentlichung bekannt gemacht werden. Das ist so wie Bundestag und Bundesanzeiger bei Bundesgesetzen. Da kann man nichts nachträglich hinzuschreiben. Die Seite mit den Zusätzen ist Teil einer Infowebsite der KBV die die Umsetzung durch die Praxen erleichtern will. :) face-smile

Grüße

lcer
Bitte warten ..
Mitglied: StefanKittel
11.03.2021, aktualisiert um 12:55 Uhr
Hallo Icer,

danke für die Info.

Also steht dort nur Firewall.
Eine Fritz!Box ist technisch und juristisch eine Firewall, also bleibt es bei der Fritz!Box in allen Praxen und Ende.
Kein UTM und kein VLAN, dazu den Konnektor im Parallelbetrieb im LAN.

"Die FRITZ!Box bietet Ihnen eine komplett geschlossene Firewall gegenüber unangeforderten Daten aus dem Internet. Bereits in den Werkseinstellungen sind alle mit der FRITZ!Box verbundenen Computer, Smartphones und anderen Geräte vollständig vor Angriffen aus dem Internet geschützt."
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...

Stefan
Bitte warten ..
Mitglied: commodity
11.03.2021 um 12:58 Uhr
Zitat von @lcer00:

Die KBV ist eine Körperschaft Öffentlichen Rechts. Alle Vorgaben, die KBV macht, müssen satzungsgemäß von ihrer Vertreterversammlung beschlossen und per Veröffentlichung bekannt gemacht werden. Das ist so wie Bundestag und Bundesanzeiger bei Bundesgesetzen. Da kann man nichts nachträglich hinzuschreiben.

Zustimmung. Das Ärzteblatt ist das maßgebliche Organ für Veröffentlichungen. Aber was für ein Chaos (schon bevor alles losgeht): Das Dokument auf der "hub"-Seite wird ja auch als Fassung der Richtlinie mitgeteilt. Ich schreib die KBV mal an.

Zum Thema Firewall steht dort auch etwas:
Unter Anlage 5 Nr. 4 i.V.m Anlage 1 Nr. 32 wird gefordert, die Praxis bzw. das Praxisnetz auf Netzebene zu schützen. Die KBV empfiehlt dies mittels einer korrekt installierten, konfigurierten und gewarteten Hardwarefirewall oder den Konnektor im Reihenbetrieb umzusetzen.


Soso...
Bitte warten ..
Mitglied: StefanKittel
11.03.2021 um 13:04 Uhr
Unter Anlage 5 Nr. 4 i.V.m Anlage 1 Nr. 32 wird gefordert, die Praxis bzw. das Praxisnetz auf Netzebene zu schützen. Die KBV empfiehlt dies mittels einer korrekt installierten, konfigurierten und gewarteten Hardwarefirewall oder den Konnektor im Reihenbetrieb umzusetzen.//
Empfehlen kann ich meinen Kunden auch viel. Zum Beispiel mir viel mehr Geld zu überweisen. Machen die aber irgendwie nicht.
Eine Empfehlung kann aber nicht Bestandteilt einer Pflicht sein. Also bleibt es eine Empfehlung und wenn man sich nicht daran hält passiert nix solange nix passiert.

Das dürfte der Hauptpunkt sein.
Solange nichts passiert, passiert auch nichts.

Wenn irgendwo ein Fall eintritt, dann wird geprüft ob alle Maßnahmen verhältnismäßig waren.
Und wenn Jemand nachträglich zu dem Schluß kommt, dass sie es nicht waren, dann gibt es ärger.

Quizfrage: Wieviele Praxen fallen täglich Ransomware oder anderen Hackern zum Opfer? Wieviele melden dies als Datenschutzvorfall an die Behörden? Vieleicht Null?
Bitte warten ..
Mitglied: StefanKittel
11.03.2021 um 13:10 Uhr
Zitat von @Visucius:
Nur: Ein (Admin-)Konto inkl. PW für alle MAs ist halt Geschichte (sofern das noch jemand praktiziert hat).
Das ist in den meisten Praxis durchaus üblich.
Es gibt da keine Personenkonten sondern nur Funktionspostfächer wie z.B. Zimmer1.
Alle mit lokalen Adminrechten (siehe Unten warum) und ein einheitliches einfaches Kennwort wie z.B. "mond".
Wobei die PCs in der Regel nicht gesperrt werden...

Stefan
Bitte warten ..
Mitglied: commodity
11.03.2021 um 13:20 Uhr
Zitat von @StefanKittel:
Eine Empfehlung kann aber nicht Bestandteilt einer Pflicht sein.
Das dürfte der Hauptpunkt sein.

Korrekt. Sind wir uns absolut einig. Auch in den Konsequenzen.

Zitat von @StefanKittel:
Quizfrage: Wieviele Praxen fallen täglich Ransomware oder anderen Hackern zum Opfer? Wieviele melden dies als Datenschutzvorfall an die Behörden? Vieleicht Null?

Also die DSGVO wirkt schon. Ich hatte letztens den Fall eines versehentlich falsch übermittelten Laborberichts (falscher Anhang an Email, Mitarbeiterfehler). Wurde artig gemeldet. Der DSB hat dann mitgeteilt, dass der Vorgang "veraktet" wurde. Die Meldung war Aufwand, würde ich aber immer empfehlen.

Zitat von @StefanKittel:
Alle mit lokalen Adminrechten (siehe Unten warum) und ein einheitliches einfaches Kennwort wie z.B. "mond".
Wobei die PCs in der Regel nicht gesperrt werden...

Das wird dann offenbar die Hauptbaustelle der Sicherheitsrichtlinie...
Bitte warten ..
Mitglied: StefanKittel
11.03.2021 um 13:27 Uhr
Zitat von @commodity:
Zitat von @StefanKittel:
Alle mit lokalen Adminrechten (siehe Unten warum) und ein einheitliches einfaches Kennwort wie z.B. "mond".
Wobei die PCs in der Regel nicht gesperrt werden...
Das wird dann offenbar die Hauptbaustelle der Sicherheitsrichtlinie...
Wobei diese Punkte dort nicht benannt werden...
Bitte warten ..
Mitglied: StefanKittel
11.03.2021 um 13:31 Uhr
Gibt es Anbieter die fertig, juristisch geprüfte, Unterlagen verkaufen?
Irgendwas an dass man sich halten kann?

Sonst braut jeder sein eigenes Süppchen und einige davon schmecken später vieleicht nicht allen.
Man macht es natürlich nach besten Wissen und Gewissen, aber wie man am Thema Firewall sieht, ist das nicht so einfach.

Sicherer für mich wäre wenn ich die Praxis informieren, dass ich sie da nicht beraten kann.
Also macht die Praxis entweder nix oder sucht sich Jemanden der sagt dass er es kann. Wobei das ja nix heissen muss.

Wenn ich das richtig gelesen habe gibt es Bundesweit 16 zertifizierte Personen.

Stefan
Bitte warten ..
Mitglied: Lochkartenstanzer
11.03.2021, aktualisiert um 13:45 Uhr
Zitat von @StefanKittel:

Zitat von @Visucius:
Nur: Ein (Admin-)Konto inkl. PW für alle MAs ist halt Geschichte (sofern das noch jemand praktiziert hat).
Das ist in den meisten Praxis durchaus üblich.
Es gibt da keine Personenkonten sondern nur Funktionspostfächer wie z.B. Zimmer1.
Alle mit lokalen Adminrechten (siehe Unten warum) und ein einheitliches einfaches Kennwort wie z.B. "mond".

Nee, das ist meist nur praxis oder, wenn es 8-stellig sein muß, praxis123. :-) face-smile

lks

PS: Das findet man so oder ähnlich in Praxen vor, wenn man zu denen als "Feuerwehr" hinkommt. Das sind "Vorgaben" der Anbieter der Praxissoftware, damit die das Zeug einfacher "warten" können (und es überhaupt funktioniert). :-( face-sad
Bitte warten ..
Mitglied: lcer00
11.03.2021, aktualisiert um 14:22 Uhr
Zitat von @StefanKittel:

Gibt es Anbieter die fertig, juristisch geprüfte, Unterlagen verkaufen?
Irgendwas an dass man sich halten kann?
Also genau das soll ja mit der Richtlinie verhindert werden.

Vergleich mal die KBV-Richtlinie mit folgender älterer Veröffentlichung der Bundesärztekammer: https://www.bundesaerztekammer.de/fileadmin/user_upload/downloads/pdf-Or ...

Crashkurs Gesundheitspolitik:

Der brave Gesundheitspolitiker muss im Auge behalten, dass zu hohe Anforderungen zu einer Verschlechterung der Medizinischen Versorgung führen. Warum? https://www.aerzteblatt.de/nachrichten/70770/KBV-Bis-2030-fehlen-mehr-al ...

Wenn z.B. eine Hardwarefirewall wie Sophos & co gefordert würde, würden wieder ein paar ältere Ärzte mehr ihre Praxis (ohne Nachfolger) einige Monate/Jahre früher schließen. Das passierte so bei der Verpflichtung zur Online-Abrechnung, der Einführung der Telematik, bei der Androhung der elektronischen AU etc. Das wird noch dadurch verschärft, dass der Trend zu MVZs damit einher geht, dass immer mehr angestellte Ärzte nur innerhalb ihres vertraglich vereinbarten Arbeitsumfangs tätig werden - und damit weniger Patienten pro Arzt versorgen, als ihre Selbst-Ständigen Einzelpraxiskollegen. https://www.kbv.de/media/sp/2016_10_05_Projektion_2030_Arztzahlentwicklu ...

Daher werden gerne Minimalforderungen aufgestellt, die möglichst wenig Betroffene vergraulen. Deshalb auch die für den ITler "seltsame" IT-Sicherheitsrichtlinie. Und die wurde quasi "heimlich" im Corona-Lockdown vor Weihnachten beschlossen ... Soll heißen: macht nicht so viel Wind darum. :) face-smile

Grüße

lcer

Edit: falscher Link zu Schweigepflicht_Tech_Anlage_2008.pdf
Edit2: Statistik gefunden 2016_10_05_Projektion_2030_Arztzahlentwicklung.pdf
Bitte warten ..
Mitglied: commodity
11.03.2021, aktualisiert um 13:59 Uhr
Zitat von @StefanKittel:

Wobei diese Punkte dort nicht benannt werden...

Doch, Anlage 1 Nr. 17 fordert das. Admin ist nicht Mitarbeiter. Also andere Gruppe.
Habe gerade mal einen AIS-Anbieter angefragt, ob und zu wann sie der Richtlinie entsprechen werden. Mal gucken, ob was kommt.

Zitat von @StefanKittel:

Gibt es Anbieter die fertig, juristisch geprüfte, Unterlagen verkaufen?

Das bleibt fraglos in den Händen der DVOs. Juristen machen da nichts besser. Wie auch. Die Richtlinie stammt vom Dezernat Recht. Im Übrigen betrauen uns die Ärzte mit der Umsetzung von konkreten Maßnahmen. Es ist nicht die Aufgabe des DVO, die Richtlinie auszuwerten und die Praxis richtlinienkonform auszubauen bzw. dahin gehend rechtlich abzusichern. Eine Meinung haben dürfen wir natürlich.
Wir haben das doch herausgearbeitet: Man muss eigentlich kaum was, kann aber ganz viel. Der Rest ist dann Teil der Abmachung mit der Praxis. Und da gilt für mich: An Sicherheit herausholen, was geht, bei vertretbarem Aufwand und konform zum AIS. Das ist schon schwierig genug. @Lochkartenstanzer bringt es schon auf den Punkt. @Icer00 noch klarer. +1
Bitte warten ..
Mitglied: StefanKittel
11.03.2021 um 14:10 Uhr
Zitat von @commodity:
Zitat von @StefanKittel:
Wobei diese Punkte dort nicht benannt werden...
Doch, Anlage 1 Nr. 17 fordert das. Admin ist nicht Mitarbeiter. Also andere Gruppe.
Habe gerade mal einen AIS-Anbieter angefragt, ob und zu wann sie der Richtlinie entsprechen werden. Mal gucken, ob was kommt.
LOL
Bitte warten ..
Mitglied: Visucius
11.03.2021, aktualisiert um 14:22 Uhr
Zitat von @commodity:

Danke @Visucius und auch @lcer00. Ja, an Linux habe ich auch schon gedacht, ich glaube aber nicht, dass die KBV das getan hat.

Die Realität in Kleinpraxen ist Windows10 (auch als Datei-"Server"). Wie konkret machst Du denn Berechtigungen pro Person und Gruppe unter Windows10? Lauter einzelne User und in der Freigabe dann "authentifizierte Benutzer" erlauben oder Gruppen anlegen?

Jo, so hätte ich das gemacht. Ist natürlich ein bisschen hausbacken. Noch dazu, wo vermutlich alle MAs an allen Rechnern arbeiten sollen. Wenn Du dann Pech hast, gibts ein paar Tage später zwar mehrere Accounts aber alle mit dem gleichen Passwort ... ;-) face-wink

Vielleicht so ne RFID-Karte am Hosenbund, mit der Rechner automatisch auf den “richtigen” Nutzer inkl. Passwort wechselt?!
Bitte warten ..
Mitglied: StefanKittel
11.03.2021 um 14:25 Uhr
Vielleicht so ne RFID-Karte am Hosenbund, mit der Rechner automatisch auf den “richtigen” Nutzer inkl. Passwort wechselt?!
QR-Code auf die Stirn pinseln und eine kleine Kamera am PC... fertig
Bitte warten ..
Mitglied: pasu69
11.03.2021 um 14:29 Uhr
Ich gehe auch davon aus, dass man keine Appliance braucht, ein korrekt konfigurierter Router ist wahrscheinlich ausreichend.

Warum wird eigentlich nie darauf eingegangen, dass die Systemhäuser, die CGM Produkte wie Albis, Medistar, M1 etc. vertreiben und
installieren, riesige Scheunentore aufreißen - die Firewalls auf den Servern werden komplett deaktiviert, weil die keine Lust haben, eine Regel
für die von der Software genutzten Ports einzurichten. Alle Freigaben sind mit Vollzugriff/Jeder eingerichtet, die Backups laufen über Windows Server Backup und mit ein wenig Glück wird vorher per Script ein Dump der SQL Datenbanken gemacht.
Viele Server sind so eingerichtet, dass sie nach dem Backup einen Neustart machen, weil die Spezialisten nicht wissen, wie sie die Scripte schreiben müssen, um die Dienste nach dem Backup wieder zu starten. Und wenn ein sogenannter Techniker mal auftaucht, sind es meist Azubis ohne jeden Plan, die sich am Handy jeden Klick erklären lassen müssen und anschließend für 130€/Stunde abgerechnet werden.

Dazu die Passwort-Problematik in den Praxen: Mit "doc", "arzt", "q", "ä", "123" oder "qwertz" kann man sich wahrscheinlich in 75% aller Praxen Administrator Zugriff verschaffen.

Ob da nun eine Fritzbox steht oder eine korrekt eingerichtete und gewartete pfSense macht dann auch keinen Unterschied mehr.
Bitte warten ..
Mitglied: lcer00
11.03.2021 um 14:32 Uhr
Hallo,
Zitat von @Visucius:

Vielleicht so ne RFID-Karte am Hosenbund, mit der Rechner automatisch auf den “richtigen” Nutzer inkl. Passwort wechselt?!
Komplex (RFID + Lesegerät + ggf. Bluetooth + entfernungsabhängig) und Teuer - wenig genutzt aber viel beworben.


Zitat von @StefanKittel:
QR-Code auf die Stirn pinseln und eine kleine Kamera am PC... fertig
Das will ich haben! Wo gibts das?

Grüße

lcer
Bitte warten ..
Mitglied: Visucius
11.03.2021, aktualisiert um 14:38 Uhr
Zitat von @lcer00:

Zitat von @StefanKittel:
QR-Code auf die Stirn pinseln und eine kleine Kamera am PC... fertig
Das will ich haben! Wo gibts das?

Oder als Ausdruck auf ner Visitenkarten ... wegen der Bildrechte ;-) face-wink
Bitte warten ..
Mitglied: commodity
11.03.2021 um 15:50 Uhr
@Visucius: Danke für die Bestätigung!

Zitat von @pasu69:
Warum wird eigentlich nie darauf eingegangen, dass die Systemhäuser, die CGM Produkte ...

Goldene Worte. Das Leben des Systembetreuers/DVO ist ein steter Kampf mit (manchmal sogar gegen) diese entweder notorisch überlasteten oder unterqualifizierten (oder beides) AIS-Servicemitarbeiter. Und es geht über CGM hinaus. Ich habe eine Linux-Praxis im Programm, da sind die Passwörter kaum besser (Argument: Linux ist ja so schon sicher...).

Ohne den AIS-Support geht aber auch nichts, denn die Programme sind ja alles andere als problemfrei. Am besten geht es, wenn man einen Draht zueinander findet. Es gibt ja eine gemeinsame Basis und eigentlich wissen die, dass man das umsetzt, was sie eigentlich vor Jahren, nämlich bei Einrichtung, hätten tun sollen und (warum auch immer) nicht konnten. Die Ärzte, die das nicht wirklich interessiert oder die gern am falschen Ende sparen sind da nicht ganz unschuldig.
Bitte warten ..
Mitglied: commodity
11.03.2021, aktualisiert um 15:57 Uhr
Zitat von @StefanKittel:
QR-Code auf die Stirn pinseln und eine kleine Kamera am PC... fertig

Lol, Du hast Anlage 1 Nr. 12 der Sicherheitsrichtlinie vergessen ;-) face-wink !
Bitte warten ..
Mitglied: StefanKittel
11.03.2021 um 15:59 Uhr
Zitat von @lcer00:
Zitat von @StefanKittel:
QR-Code auf die Stirn pinseln und eine kleine Kamera am PC... fertig
Das will ich haben! Wo gibts das?
Beug Dich mal kurz vor... :-) face-smile
(Stempel mit Dokumentenechter Tinte)
Bitte warten ..
Mitglied: StefanKittel
11.03.2021, aktualisiert um 16:08 Uhr
Ich denke jetzt mal ein bisschen laut.

Ich rufe ein der Dienstleister von der Liste an
Der fährt zum Kunden und erstellt einen Mängelbericht (ich bin auch vor Ort für technische Fragen)
Ich arbeite den Mängelbericht ab und erstelle einen Bericht darüber
Der Dienstleister prüft meinen Bericht und ggf vor Ort oder per Remote Einzelpunkt
Der Dienstleister erstellt einen Abschlussbericht

Ich muss mir nicht tausende Dinge aus den Fingern saugen.
Wenn irgendwas später nicht so sein sollte, hat man den Bericht von einer Zertifizierten Stelle.
Besonders wo vieles so unklar ist.

Ich lasse den Thread mal offen falls Jemand die Firewall-Frage abschliessend klären kann aufgrund von neuen Informationen
Bitte warten ..
Mitglied: keine-ahnung
12.03.2021 um 10:10 Uhr
@the-buccaneer

Was sagt der Doktor?

IMHO haben die Leutz, die das paper geschrieben haben, von IT soviel Ahnung wie ich, also eigentlich keine. Nur haben die noch dazu keine Ahnung, wie der Betrieb in Arztpraxen strukturiert ist ... :-) face-smile

Lustig find ich auch Punkt 14:

Endgeräte / Regelmäßige Datensicherung / Sichern Sie regelmäßig Ihre Daten. / 01.01.2022

Da habe ich ja noch ein wenig Zeit ... :-) face-smile

Ich denke, dass es sich jetzt bemerkbar macht, dass die meisten Kollegen ohne ein AD arbeiten ... damit kann man recht bequem viele der Anforderungen umsetzen. Ich habe bei mir auch nur die firewall des Lancom-Routers gegen das WAN arbeiten, endpoint-security ist 'ne schicke Geschichte und für das pöhse web habe ich über worryfree "black categories" vorgegeben, das funktioniert eigentlich ganz gut.

LG, Thomas
Bitte warten ..
Mitglied: departure69
12.03.2021, aktualisiert um 14:47 Uhr
@commodity:

Hallo.

Ich finde u.a. auch Anlage 1 Nr. 17 (V1) interessant.

Windows: Regeln Sie Berechtigungen und Zugriffe pro Personengruppe und pro Person.

Bedeutet das nicht die Einführung von ActiveDirectory? Da werden sich die Kleinpraxen aber freuen...

Nein, nicht zwingend. Auch in Workgroups gibt es Freigaben. Und das Dateisystem wird - bei Windows-Rechnern - wohl auch NTFS sein. Alle Cacls möglich, die man auch aus größeren Domänen mit AD kennt.

Benutzer und Benutzergruppen anlegen geht auch an Workgroup-Rechnern.

Einziger (dafür aber riesiger!) Pferdefuß:

Alle Benutzer und Benutzergruppen müssen exakt namensgleich und mit gleichen Passworten auf allen beteiligten Computern angelegt werden. Manuell. Und jede Änderung erneut überall.

Da hat dann ein zentraler Verzeichnisdienst wie Active Directory erhebliche Vorteile, keine Frage. Aber nötig? Wie gesagt, zwingend nicht. Wobei ich persönlich ab einer Zahl von 5 Clientrechnern immer ein AD aufziehen würde, sonst wird's zur Quälerei.

Viele Grüße

von

departure69
Bitte warten ..
Mitglied: StefanKittel
12.03.2021 um 15:05 Uhr
Und die typische kleine Praxis hat eh Funktionspostfächer alle mit gleichen Kennwort mit Vollzugriff auf Laufwerk Z.
Es gibt nur eine Personengruppe und jeder ist Mitglied hier.... so what
Bitte warten ..
Mitglied: Lochkartenstanzer
12.03.2021 um 15:05 Uhr
Zitat von @departure69:

@commodity:

Hallo.

Ich finde u.a. auch Anlage 1 Nr. 17 (V1) interessant.

Windows: Regeln Sie Berechtigungen und Zugriffe pro Personengruppe und pro Person.

Bedeutet das nicht die Einführung von ActiveDirectory? Da werden sich die Kleinpraxen aber freuen...

Nein, nicht zwingend. Auch in Workgroups gibt es Freigaben. Und das Dateisystem wird - bei Windows-Rechnern - wohl auch NTFS sein. Alle Cacls möglich, die man auch aus größeren Domänen mit AD kennt.

Benutzer und Benutzergruppen anlegen geht auch an Workgroup-Rechnern.

Einziger (dafür aber riesiger!) Pferdefuß:

Alle Benutzer und Benutzergruppen müssen exakt namensgleich und mit gleichen Passworten auf allen beteiligten Computern angelegt werden. Manuell. Und jede Änderung erneut überall.

Nicht ganz. Die Benutzer udn gruppen müssen nur auf den Kisten angelegt werden, auf denen sie auch gebraucht werden. Wenn auf Kiste A nur Benutzer B werkelt, müssen die anderen 20 Mitarbiter da nicht mit angelegt werden. Benutzer B muß dann nur noch auf den Kisten angelegt werden, deren Ressourcen er auch nutzt.

lks
Bitte warten ..
Mitglied: departure69
15.03.2021, aktualisiert um 17:10 Uhr
@Lochkartenstanzer:

O.K., stimmt auch wieder.

Da macht dann die Doku noch mehr Spaß - was hab' ich auf welcher Kiste für wen angelegt und mit welchen Rechten ;-) face-wink.

Ich hatte - für Mini-Umgebungen (Arztpraxis beim Landdoktor) - unterstellt, daß alle alles brauchen ;-) face-wink.

Viele Grüße

von

departure69
Bitte warten ..
Mitglied: StefanKittel
15.03.2021 um 17:10 Uhr
Zitat von @Lochkartenstanzer:
Nicht ganz. Die Benutzer udn gruppen müssen nur auf den Kisten angelegt werden, auf denen sie auch gebraucht werden. Wenn auf Kiste A nur Benutzer B werkelt, müssen die anderen 20 Mitarbiter da nicht mit angelegt werden. Benutzer B muß dann nur noch auf den Kisten angelegt werden, deren Ressourcen er auch nutzt.
Was dann vermutlich dazu führt, dass man doch fast alle Benutzer auf allen PCs einrichten darf und dass solche Meldungen kommen: "Ich habe gestern auf einem anderen PC eine superwichtige Datei auf dem Desktop gespeichert. Die ist jetzt auf diesem PC nicht da. Warum nicht?"
Stefan
Bitte warten ..
Mitglied: Lochkartenstanzer
15.03.2021 um 18:40 Uhr
Zitat von @StefanKittel:

Zitat von @Lochkartenstanzer:
Nicht ganz. Die Benutzer udn gruppen müssen nur auf den Kisten angelegt werden, auf denen sie auch gebraucht werden. Wenn auf Kiste A nur Benutzer B werkelt, müssen die anderen 20 Mitarbiter da nicht mit angelegt werden. Benutzer B muß dann nur noch auf den Kisten angelegt werden, deren Ressourcen er auch nutzt.
Was dann vermutlich dazu führt, dass man doch fast alle Benutzer auf allen PCs einrichten darf und dass solche Meldungen kommen: "Ich habe gestern auf einem anderen PC eine superwichtige Datei auf dem Desktop gespeichert. Die ist jetzt auf diesem PC nicht da. Warum nicht?"
Stefan


Genau deswegen gibt es oft nur 1- 5 "Funktions"-User und keine getrennten Benutzeracvounts.

lks
Bitte warten ..
Mitglied: lcer00
18.03.2021 um 17:35 Uhr
Hallo,

jetzt hat die KBV eine arzttaugliche Broschüre veröffentlicht, die alle offenen Fragen klären sollte: https://www.kbv.de/html/1150_51032.php

:) face-smile

Grüße

lcer
Bitte warten ..
Mitglied: StefanKittel
18.03.2021, aktualisiert um 18:03 Uhr
Zitat von @lcer00:
jetzt hat die KBV eine arzttaugliche Broschüre veröffentlicht, die alle offenen Fragen klären sollte: https://www.kbv.de/html/1150_51032.php

Na, ich weiß nicht ob das weiterhilft.
Es ist eingetlich nur ein Hinweis, dass ein IP- und Port-Filter verwendet wird.

Btw.
Die letzten "bösen" die ich gesehen haben, haben ihre Daten per HTTPs an einen Azure-Server geschickt.
Wie soll man so etwas filtern?

Und Hinweise zu VLANs fehlen ganz...


Anlage 1 Nummer 32

Sie schützen den Übergang zu anderenNetzen, zum Beispiel das Internet, durch eine Firewall.

TIPP
• Stellen Sie die Firewall so ein, dass nur erlaubte IP-Adressen, Ports (ein- und ausgehend) und Kommunikationsprotokolle
zugelassen werden.

HINWEIS
Eine Firewall ist ein Programm, das Computer oder Netzwerke vor unerwünschten Zugriffen schützen soll. Eine IP-Adresse macht in einem Netzwerk die daran angeschlossenen Geräte erreichbar (adressierbar). Ports sind während einer Verbindung die jeweiligen Endstellen. Kommunikationsprotokolle bilden eine Grundlage für die Vernetzung. Die Datenübertragung zwischen mehreren Parteien wird hier definiert, also wie die Kommunikation erfolgt.
Bitte warten ..
Mitglied: commodity
18.03.2021, aktualisiert um 18:51 Uhr
Ihr seid ja fix. :-) face-smile

Also auf der Veranstaltung in Berlin vom 12.3. wurde dazu ein extra-Papier der KbV angekündigt:
Man erarbeitet ein Dokument, das Anforderungen an so eine Firewall aufführt, mit Angabe möglicher Anbieter (und sogar Preisen). Wichtig: Die Firewall ist nicht nur zu betreiben, sondern es ist ein aktives Management erforderlich.

Die Angaben in der Broschüre entsprechen weitgehend dem, was wir schon kennen:

"Stellen Sie die Firewall so ein, dass nur erlaubte IP-Adressen, Ports (ein- und aus-gehend) und Kommunikationsprotokolle zugelassen werden."

Immerhin - damit sind Fritzboxen wohl aus dem Rennen. Whitelisting von IPs ist natürlich Unsinn. Mal sehen, wann sie das merken. Ich werde gleich mal anregen, das in der KbV einzuführen ;-) face-wink

@departure69 und @Lochkartenstanzer, Danke für Eure Antworten zur Frage weiter oben.
Bitte warten ..
Mitglied: keine-ahnung
18.03.2021 um 19:52 Uhr
@StefanKittel

arzttaugliche Broschüre

Ist das 'ne Fritte auf dem cover :-) face-smile ??

LG, Thomas
Bitte warten ..
Mitglied: lcer00
18.03.2021 um 20:03 Uhr
Hallo,
Zitat von @keine-ahnung:

@StefanKittel

arzttaugliche Broschüre

Ist das 'ne Fritte auf dem cover :-) face-smile ??

LG, Thomas
habe ehrlich nicht verstanden, warum der Stefan die Broschüre so ernst nimmt...

Na ja, der Sarkasmus kommt hier nicht so rüber.

:) face-smile


Grüße

lcer
Bitte warten ..
Mitglied: StefanKittel
18.03.2021 um 20:30 Uhr
Da fehlten die Satire-Tags....
He, es kommt von einer Behörde... Das muss Ernst sein...

Wie war das?
Aus Spass wurde Ernst und Ernst ist heute 8 Jahre alt?

Das wäre so komisch wenn es nicht so tragisch wäre
Bitte warten ..
Mitglied: Vision2015
18.03.2021 um 20:35 Uhr
moin...
Zitat von @StefanKittel:

Da fehlten die Satire-Tags....
He, es kommt von einer Behörde... Das muss Ernst sein...

Wie war das?
Aus Spass wurde Ernst und Ernst ist heute 8 Jahre alt?

Das wäre so komisch wenn es nicht so tragisch wäre
warum... zahlst du keine alimente für ernst?

Frank
Bitte warten ..
Mitglied: lcer00
18.03.2021 um 20:37 Uhr
Hallo
Zitat von @StefanKittel:

Da fehlten die Satire-Tags....
werde ich ab sofort dran denken.
He, es kommt von einer Behörde...
ne. Ist ne Körperschaft Öffentlichen Rechts. Bei Zuwiderhandlung gegen das „Öffentliche Interesse“ hat das BMG dann die Möglichkeit der Zwangsverwaltung.
Das wäre so komisch wenn es nicht so tragisch wäre
Genau.

Grüße

lcer
Bitte warten ..
Heiß diskutierte Inhalte
Netzwerkgrundlagen
Frage der anderen Art
NeuerleVor 1 TagFrageNetzwerkgrundlagen16 Kommentare

Hi an alle, Ich bin InformatikStudi. Habe Ende des Monats Klausur im Fach Netzwerke zu schreiben und komme gar nicht klar. Entweder ich bin ...

Ubuntu
Cups-Server mit SMB lehnt Verbindungen ab (smb.conf)?
ErikHeinemannVor 1 TagFrageUbuntu17 Kommentare

Guten Morgen, ich habe einen Ubuntu 20.04 Server mit Cups als Printspooler. Nun Soll noch Samba hinzugefügt werden für eine einfache Verwendung unter Windows. ...

Exchange Server
Kaspersky for Exchange Meldungen
gelöst wieoderwasVor 1 TagFrageExchange Server11 Kommentare

Guten Morgen, wir haben bei uns einen Exchange 2013 mit Kaspersky for Exchange und Sophos auf Dateiebene. Heute Morgen habe ich einige von diesen ...

Groupware
Lokale Mini-Groupware für Mail, Adressbuch und Kalender gesucht
AndreasKasselVor 1 TagFrageGroupware10 Kommentare

Hallo zusammen, ich habe insgesamt 2 PCs, 1 Notebook, 1 Android-Tablet und ein Android-Smartphone. Weiterhin habe ich 2 Mail-Adressen bei 1&1 mit einer eigenen ...

Grafikkarten & Monitore
Unerklärliche Aussetzer Bildschirm und Maus
nixwissenderVor 1 TagFrageGrafikkarten & Monitore10 Kommentare

hallo! wir haben aktuell das unerklärliche phänomen, dass sich am arbeitsplatz vom mitarbeiter eines der beiden bildschirme kurzzeitig ausschaltet (und zwar der, der per ...

CPU, RAM, Mainboards
CPU Lüfter ausbauen
gelöst ben1300Vor 1 TagFrageCPU, RAM, Mainboards9 Kommentare

Hallo zusammen, ich habe mir damals einen Fertig PC gekauft. Ich würde gerne den Arbeitsspeichern austauschen, allerdings muss ich dafür - so wie es ...

Backup
Backup Datei
gelöst KanrishaVor 1 TagFrageBackup5 Kommentare

Hallo Zusammen, ich habe eine Frage ich will eine Backup bat Datei schreiben habe jedoch ein kleines Problem. Ich möchte ein Laufwerk in das ...

DNS
Android 10 und mein DNS Server
gelöst CyborgWeaselVor 1 TagFrageDNS7 Kommentare

Hallo allesamt, ich spiele gerade etwas mit einer Synology herum, habe unter Anderem einen eigenen DNS jetzt aufgesetzt. Die lokale Domäne ist HomeDomain.local und ...