Unsere Telematik-Installation

Fragen, Anregungen oder Tipps und Tricks? Hier ist der erste Anlaufpunkt.
Nicht sicher, wo ein Thema hingehört? Hier hinein - wir kümmern uns! :)

Moderator: Forum Moderatoren

Forumsregeln
TM-Startforum - "offen für alle Themen".
Beiträge, die in einen anderen Bereich passen, werden bei Bedarf verschoben.
Augendoc
Beiträge: 154
Registriert: Dienstag 11. Dezember 2007, 21:13
16
Hat sich bedankt: 9 times

Re: Unsere Telematik-Installation

Beitrag von Augendoc »

Auf die Idee mit dem Einlesen der Karten im "neuen" Kartenleser via Konnektor für TI und dann ein zweites Mal in dem "alten" Kartenleser für den Server-Inselbetrieb hatte ich auch schon. Leider waren die Inforamtionen so, dass die "alten" Kartenleser irgendwann die Karten nicht mehr lesen können.

Aber nun noch einmal zu meiner Frage: Welche Hardware-Firewall wird von Ihnen verwendet?

Einen schönen Tag wünscht
der Augendoc
moose
Beiträge: 559
Registriert: Sonntag 29. November 2009, 19:42
14
Bedankt: 1 time

Re: Unsere Telematik-Installation

Beitrag von moose »

Sollte der Konnektor, schon wegen der hohen Datenschutzrisiken, nicht als Firewall ausgebildet sein. Man kann doch dem Arzt nicht so ein Teil aufzwingen, und der soll dann selbst sehen, wie er sich schützt, vor Angriffen von Aussen. Das kann doch nicht zulässig sein. Das klingt nicht durchdacht.
moose
systech
Beiträge: 70
Registriert: Montag 24. Februar 2014, 16:26
10
Wohnort: Palingen
Kontaktdaten:

Re: Unsere Telematik-Installation

Beitrag von systech »

moose hat geschrieben:Sollte der Konnektor, schon wegen der hohen Datenschutzrisiken, nicht als Firewall ausgebildet sein. Man kann doch dem Arzt nicht so ein Teil aufzwingen, und der soll dann selbst sehen, wie er sich schützt, vor Angriffen von Aussen. Das kann doch nicht zulässig sein. Das klingt nicht durchdacht.
moose
Die Kommunikation welche über den Konnektor läuft, geht immer durch den VPN Tunnnel der TI. Also ein abgesicherte Verbindung...
nmndoc
Beiträge: 1797
Registriert: Donnerstag 17. März 2011, 12:56
13
Bedankt: 24 times

Re: Unsere Telematik-Installation

Beitrag von nmndoc »

moose hat geschrieben:Sollte der Konnektor, schon wegen der hohen Datenschutzrisiken, nicht als Firewall ausgebildet sein. Man kann doch dem Arzt nicht so ein Teil aufzwingen, und der soll dann selbst sehen, wie er sich schützt, vor Angriffen von Aussen. Das kann doch nicht zulässig sein. Das klingt nicht durchdacht.
moose
Ich glaube da werfen Sie zwei Dinge gedanklich in einen Topf.
Es ist für Sie als Kunde erstmal unerheblich, ob der Konnektor als Firewall arbeitet oder nicht. Es geht ja darum, dass Sie ein fremdes Gerät im Netz haben, das ferngewartet/verwaltet wird. Wo kommt da für Sie der Schutz her, ob oder ob nicht dieses Gerät auch eine Firewall ist?
Es geht darum, dass Sie mit Ihrer FW Ihr Netz von fremden Netzen und Geräten trennen und ggf. wo nötig die Kommunikation kontrolliert und restriktiv erlauben (also zB Kartenleser kann nur den Konnektor erreichen, umgekehrt nicht. Der Konnektor kann auch zB nicht Ihren Drucker, direktes Internet (nur Tunnel zum RZ) oder Ihre PCs erreichen).
dochallyday
Beiträge: 10
Registriert: Montag 31. Mai 2010, 15:33
13

Re: Unsere Telematik-Installation

Beitrag von dochallyday »

Augendoc hat geschrieben:Auf die Idee mit dem Einlesen der Karten im "neuen" Kartenleser via Konnektor für TI und dann ein zweites Mal in dem "alten" Kartenleser für den Server-Inselbetrieb hatte ich auch schon. Leider waren die Inforamtionen so, dass die "alten" Kartenleser irgendwann die Karten nicht mehr lesen können.

[...]

Einen schönen Tag wünscht
der Augendoc
Dass die alten Kartenleser (Orga 6041L o.ä.) demnächst schon nicht mehr funktionieren, kann ich mir schlecht vorstellen - was sollen denn dann die ganzen "Verweigerer" machen?
Für uns wäre diese Lösung aus mehreren Gründen idealer - auch wenn es ein weiteres Kabel vom Keller in die Praxisräume erfordert. Zudem hat man die Verzögerung der Einlesezeit (laut mehreren Berichten sind es 2-4 ohne, bzw. 6-10 Sekunden mit Update) dann auch nur noch einmal pro Quartal pro Patient. Wenn man aber zuerst schon ins eigene System einliest (geht ja sowohl bei Turbomed, als auch nun bei T2Med recht fix) und hinterher die Karte umsteckt in das TI-Gerät, hält sich die permanente Verzögerung auch in Grenzen, die MFA kann ja derweil schon weiterarbeiten - oder hab ich hier nen Denkfehler?
nmndoc
Beiträge: 1797
Registriert: Donnerstag 17. März 2011, 12:56
13
Bedankt: 24 times

Re: Unsere Telematik-Installation

Beitrag von nmndoc »

gabs da nicht noch etwas mit mobilen Lesern? Die müssen ja wohl die Karten ohne Verbindung zum Konnektor lesen können... werde da auch neue benötigt oder sind das doch die alten? Und was geschieht dann mit den Kartendaten weiter? zB einlesen ins PVS -> von da zum Konnektor oder wie?
moose
Beiträge: 559
Registriert: Sonntag 29. November 2009, 19:42
14
Bedankt: 1 time

Re: Unsere Telematik-Installation

Beitrag von moose »

Es geht darum, dass Sie mit Ihrer FW Ihr Netz von fremden Netzen und Geräten trennen und ggf. wo nötig die Kommunikation kontrolliert und restriktiv erlauben (also zB Kartenleser kann nur den Konnektor erreichen, umgekehrt nicht. Der Konnektor kann auch zB nicht Ihren Drucker, direktes Internet (nur Tunnel zum RZ) oder Ihre PCs erreichen).
Jetzt verstehe ich.
Und wie sorge ich dafür, dass das genauso läuft. Bin Arzt. Sind diese Telematikgeräte gleich so eingestellt, dass die Fernwartung nur auf diese Geräte zugreift. Oder hat man wieder für individuellle, geldwerte Kollateralschäden vorgesorgt.
moose
McLeod
Beiträge: 412
Registriert: Samstag 25. Februar 2012, 15:04
12
Bedankt: 13 times

Re: Unsere Telematik-Installation

Beitrag von McLeod »

@moose
Aus Sicherheitssicht muß man den Konnektor als "feindliches Gerät" betrachten, daß ähnlich einer Wanze potenziell den ganzen Netzwerkverkehr abschnorcheln kann. (Und ja, auf die ganzen geduldigen Papierchen gebe ich persönlich einen Sch...)
Somit muß das Ding vom Rest isoliert werden.

Heißt vereinfacht:
Man steckt das Teil in ein eigenes Subnetz, in dem es nur die Firewall direkt ansprechen kann. Auf dieser legt man Regeln fest, wohin und über welche Ports die Kommunikation des Konnektors laufen darf.
Die Firewall hat aber auch noch eine IP im Hauptnetz und ist hier (normalerweise) das Standardgateway für die diversen Rechner und "kennt" die Route zum Konnektor, wodurch sichergestellt ist, daß die Daten, die über den Konnektor versendet werden sollen, auch dort ankommen. Muß eine Zwei-Wege-Kommunikation zwischen Konnektor und Kartenleser/Praxissoftware bestehen, braucht man auch die entsprechend entgegngesetzte Route und kontrolliert über o.g. Regeln, daß der Konnektor nur die Geräte "anfunken" kann, die man freigegeben hat. D.h. man verbietet beispielsweise die Kommunikation mit 192.168.1.0 (in diesem Beispiel das Hauptnetzwerk), lässt aber die Kommunkation mit 192.168.1.100 (Bsp-Adresse Kartenleser) zu.
Normalerweise setzt man auch beim Einsatz Firewall auch den Internetrouter in eigenes Subnetz, so daß sich also in diesem Szenario insgesamt 3 Subnetze ergeben:
a) Internetrouter
b) Hauptnetz
c) Konnektor (Spionagewanze :wink: )
moose
Beiträge: 559
Registriert: Sonntag 29. November 2009, 19:42
14
Bedankt: 1 time

Re: Unsere Telematik-Installation

Beitrag von moose »

könnte mit diesem Konnektor ein Zugriff auf meine Praxissoftware erfolgen, was ja nicht erwünscht wäre?
moose
FranzKonrad
Beiträge: 516
Registriert: Dienstag 7. Oktober 2008, 13:56
15
Wohnort: 91463 Dietersheim

Re: Unsere Telematik-Installation

Beitrag von FranzKonrad »

moose hat geschrieben:könnte mit diesem Konnektor ein Zugriff auf meine Praxissoftware erfolgen, ...?
Wenn Sie Ihre Praxissoftware nicht mittels einer Firewall abschotten, sicherlich. Sie haben ja keine Kontrolle darüber, was der Konnektor so macht, und die VPN zur TI (und was auf der anderen Seite dahintersteckt) ist ja prinzipiell in beide Richtungen offen.
Ich weiß aber nicht so recht, ob man TM überhaupt gegenüber der TI abschotten kann, ohne die Funktionen dieser zu verlieren.
Hab mal irgendwo gelesen, daß z.B. der erfolgte Stammdatenabgleich auch beim Patienten hinterlegt wird und in die Abrechnungsdatei kommt. Das wird ja sicherlich nicht das Lesegerät alleine bewerkstelligen.
Außerdem, wenn eine Verbindung Konnektor - Lesegerät ausreichen würde, warum müßte dann eine Softwareanpassung bei Turbomed mit einmaliger und laufenden Gebühren erfolgen?

Gruß
FranzKonrad
systech
Beiträge: 70
Registriert: Montag 24. Februar 2014, 16:26
10
Wohnort: Palingen
Kontaktdaten:

Re: Unsere Telematik-Installation

Beitrag von systech »

@moose

und

@FranzKonrad

Der Konnektor muß, wie sie schon richtig vermutet haben, mit ihrer Praxissoftware kommunizieren können. Eben damit der VSDM funktionieren kann...
Johnny
Beiträge: 1092
Registriert: Freitag 2. Februar 2007, 00:47
17
Wohnort: Kiel
Hat sich bedankt: 108 times
Bedankt: 10 times

Re: Unsere Telematik-Installation

Beitrag von Johnny »

Hallo systech,

besten Dank für Aufklärung zur Kommunikation Praxissoftware / Konnektor.

Und wie sie es aus mit 2 Konnektoren?

- Ein Konnektor ist online zum Datenstammabgleich der ecard via Kartenlesegerät

- Der zweite Konnnektor ist offline und damit die Praxisoftware, kommuniziert mit einem 2. Kartenlesegerät und liest die abgelichene ecard ein.

Danke für Ihre Antworten
Gruß aus Kiel

Johnny
FranzKonrad
Beiträge: 516
Registriert: Dienstag 7. Oktober 2008, 13:56
15
Wohnort: 91463 Dietersheim

Re: Unsere Telematik-Installation

Beitrag von FranzKonrad »

Johnny hat geschrieben:... Und wie sie es aus mit 2 Konnektoren?

- Ein Konnektor ist online zum Datenstammabgleich der ecard via Kartenlesegerät

- Der zweite Konnnektor ist offline und damit die Praxisoftware, kommuniziert mit einem 2. Kartenlesegerät und liest die abgelichene ecard ein. ...
Man möge mich korrigieren, wenn ich falsch liege.
Also der Konnektor macht eigentlich gar nichts, er ist nur nötig für die abgesicherte Verbindung zur TI (ähnlich, wie der KV-Safenet-Router oder die HZV-Box).
Durchgeführt wird das Versichertenstammdatenmanagement von Turbomed, dieses braucht dazu sowohl den Konnektor, als auch das neue Lesegerät.
Einlesen können Sie die eGK's weiterhin auch ohne Konnektor mit Ihrem alten Lesegerät.
Wenn Sie also Ihr Produktivsystem vom Internet fernhalten wollen, brauchen Sie nicht 2 Konnektoren, sondern 2 getrennte Turbomed-Systeme:
das eine TM-System ist über den Konnektor mit der TI verbunden und wird nur zum ersten Einlesen der eGK im Quartal und zum Stammdatenabgleich benutzt, sie könnten die Patienten theoretisch nach dem Einlesen und ggf. Stammdatenabgleich wieder löschen.
So ähnlich war ja ursprünglich auch die vom Gesetzgeber eigentlich vorgesehene "Standalone-Lösung" gedacht.
das zweite TM-System ist nicht mit dem Internet verbunden und wird weiterhin für alles andere benützt incl. Abrechnung. Sie müssen natürlich da die eGK ein zweites Mal einlesen.
Die alten Kartenleser werden zunächst zum Einlesen weiterfunktionieren, solange keine neue eGK-Generation kommt. Wenn das der Fall ist, könnte man immer noch ein mobiles Gerät als stationär nutzen (z.B. ORGA 930m "online"), dieses soll sich nur durch die Firmware vom alten ORGA 930m unterscheiden, wird weiter über USB angeschlossen und ist im Gegensatz zum Namen nicht wirklich online, wie auch ohne Internetverbindung.

Gruß
FranzKonrad
Augendoc
Beiträge: 154
Registriert: Dienstag 11. Dezember 2007, 21:13
16
Hat sich bedankt: 9 times

Re: Unsere Telematik-Installation

Beitrag von Augendoc »

@FranzKonrad

Diese Lösung der Standalone-Variante finde ich sehr entspannt.

Ich frage mich nur, wie dann die KV sehen kann, dass ich den Stammdatenabgleich durchgeführt habe, was ja die Voraussetzung für die Erstattung der Kosten ist (Installation und laufende Kosten). In meinem offline-Produktiv-System, das ich bei der KV abrechne, habe ich ja nur das normale Einlesen der Karte.
Kann die KV sehen, dass ich über einen VPN-Zugang zu TI den Stammdatenabgleich vorgenommen habe, auch wenn ich diese Daten gar nicht abrechne?

Viele Dank schon mal für aufschlussreiche Antworten vom Augendoc
FranzKonrad
Beiträge: 516
Registriert: Dienstag 7. Oktober 2008, 13:56
15
Wohnort: 91463 Dietersheim

Re: Unsere Telematik-Installation

Beitrag von FranzKonrad »

Hallo,

es gibt ein Informationsblatt der Gematik vom Oktober 2017:
https://www.gematik.de/fileadmin/user_u ... online.pdf
Außerdem ein Informationsblatt der KZVB vom Dez. 2017:
http://www.kzbv.de/faq-ors1-bundesweit- ... 504bf8.pdf

Also ich lag wohl falsch, was den 2. Konnektor betrifft, laut Gematik und KZVB braucht man bei diesem "Standalone-Szenario" auch für das nicht am Internet angeschlossene Produktivsystem einen Konnektor (warum auch immer, wenn kein Internet-Anschluß besteht), eine SMC-B und ein ehealth-Lesegerät. Die erfolgte Online-Prüfung wird in den Abrechnungsdaten hinterlegt (woher weiß das Offline-PVS, daß diese Prüfung am anderen Rechner erfolgt ist? Wird dies vielleicht auf der eGK gespeichert und über die SMC-B der Praxis zugeordnet?

Interessant ist noch die Frage: wer darf installieren:
hier heißt es im Schrieb der KZVB:

"Kann ich die Installation selbst vornehmen?
Grundsätzlich ist es möglich, die Installation selbst vorzunehmen. Da die Anbindung
der Praxis an die Telematikinfrastruktur jedoch umfangreiche Kenntnisse
über die neuen Komponenten und Dienste sowie der Netzwerktechnik erfordert
(etwa für die Konfiguration des Konnektors), ist dieses Vorgehen nicht zu empfehlen.
Eine Installation sollte vielmehr durch einen geeigneten Dienstleister fachgerecht
umgesetzt werden."


Gruß
FranzKonrad
dochallyday
Beiträge: 10
Registriert: Montag 31. Mai 2010, 15:33
13

Re: Unsere Telematik-Installation

Beitrag von dochallyday »

FranzKonrad hat geschrieben: Also ich lag wohl falsch, was den 2. Konnektor betrifft, laut Gematik und KZVB braucht man bei diesem "Standalone-Szenario" auch für das nicht am Internet angeschlossene Produktivsystem einen Konnektor (warum auch immer, wenn kein Internet-Anschluß besteht), eine SMC-B und ein ehealth-Lesegerät.
Das liegt vermutlich daran, dass die neuen eGK Leser nur noch zusammen mit dem Konnektor funktionieren. Wenn die alten/aktuellen eGK Leser aber weiterhin erlaubt bleiben (und z.B. von den Verweigerern weiter genutzt werden dürfen), müsste die Standalone Lösung auch mit nur einem Konnektor weiterhin auskommen. Meine Vermutung.
Frankolas
Beiträge: 242
Registriert: Sonntag 18. Januar 2009, 11:07
15
Wohnort: Stralsund
Hat sich bedankt: 28 times
Bedankt: 23 times

Re: Unsere Telematik-Installation

Beitrag von Frankolas »

Ich denke, so langsam kommt der Markt in Bewegung.

http://www.kbv.de/html/1150_33122.php
VOSUE
Beiträge: 147
Registriert: Sonntag 14. Juni 2009, 11:18
14
Wohnort: Berlin
Kontaktdaten:

Re: Unsere Telematik-Installation

Beitrag von VOSUE »

Hallo liebe Kollegen, eine Frage habe ich dazu noch. Ich greife regelmäßig über VPN von zu Hause oder unterwegs auf meinen Server zu - ist dies weiterhin uneingeschränkt mit der Telematik machbar. Vielen Dank für eine Antwort
Benutzeravatar
Lazarus
Beiträge: 1151
Registriert: Freitag 22. Dezember 2006, 17:04
17
Hat sich bedankt: 13 times
Bedankt: 24 times

Re: Unsere Telematik-Installation

Beitrag von Lazarus »

Im Prinzip: Ja
Es hängt natürlich vom Protokoll ab
Unsere Fritzbox benutzt auch IPsec, bisher kam es nicht zu irgenwelchen Störungen. Teamviewer und OpenVPN gehen auf jeden Fall. Letzteres haben wir als Reserve-Lösung
baerdoc
Beiträge: 387
Registriert: Montag 19. August 2013, 10:34
10
Hat sich bedankt: 1 time
Bedankt: 6 times

Re: Unsere Telematik-Installation

Beitrag von baerdoc »

Das ist ja super! Einmal einen Virus auf einen Rechner über eine private Verbindung hochgeladen, kann man über das ganze "sichere Netz" alle an die TI angeschlossenen Systeme lahmlegen. Da macht hacken doch wieder Spass! :evil:
Antworten

Wer ist online?

Mitglieder in diesem Forum: Ahrefs [Bot], Bing [Bot], cwang und 52 Gäste