KoCoBox parallel an Fritz!Box

Fragen, Anregungen oder Tipps und Tricks? Hier ist der erste Anlaufpunkt.
Nicht sicher, wo ein Thema hingehört? Hier hinein - wir kümmern uns! :)

Moderator: Forum Moderatoren

Forumsregeln
TM-Startforum - "offen für alle Themen".
Beiträge, die in einen anderen Bereich passen, werden bei Bedarf verschoben.
danspie
PowerUser
Beiträge: 858
Registriert: Samstag 15. Juli 2006, 08:48
17
Wohnort: Murnau

Re: TI- Parallele oder serielle Installation?

Beitrag von danspie »

In der Praxis arbeiten Medizner/MFA/Azubis, die von EDV keine Ahnung haben. Im Endefffekt ist es so, dass bei bei der Verwendung der PCs durch EDV-Laien die Daten ausreichend geschützt sein müssen - was auch immer das heisst. Das muss die Installation gewährleisten. Wenn jemand - ohne Konnektor - sein Netzwerk ausreichend schützt nimmt er den Konnektor parallel. Nun ist die grundlegende Frage, ob ich als nicht EDVler mein Netzwerk mit ein paar Klicks in der Fritzbox schützen kann, ob Ein-oder Ausbruch ist mir dann letztendlich egal, wichtig ist ja nicht die Fritzbox sondern die Patientendaten. Vielleicht ist gesunder Menschenverstand nicht gefragt, aber ich sehe einen professionellen Router nun mal als sicherer an als die (toll gemachte!) eierlegende Wollmilchsau Fritzbox, die ständig neue Features integriert, die bei den allerwenigsten Installationen alle abgeschaltet sind.

Ein wes. Sicherheitsfeature ist natürlich die Kontrolle des Datenaustausch zwischen Internet und Heimnetz, da stimmen wir überein und dazu muss man sich mit dem Thema auseinadersetzen, was wohl fast alle Mediziner überfordert.
Ihrer Bemerkung mit dem abgetrennten Segment - wir haben diese Installation - ist nur richtig, wenn sie ihre Sciherheitseinrichtung für besser halten als die vom Konnektor (wir haben den Konnektor abgetrennt, weil wir die volle Kontrolle über unser innerstes Netz behalten wollen, aber eben keine volle Kontrolle über den Konnektor haben).

Aber vielleicht kann man die Diskussion auf einen anderen Punkt reduzieren: Wenn ich die Verantwortung für die äußere Sicherheit meines Praxisnetzes nicht selbst tragen will, schließe ich den Konnektor seriell (mit entsprechenden Nachteilen wie fehlende Flatrate - meines Wissens trägt der Praxisinhaber kiene Verantwortung, wenn das Heimnetz aufgrund einer Sichereitslücke des Konnektors kompromittiert wird), wenn ich die Verantwortung selber übernehme, parallel.

Bezüglich Sicherheit: evtl. sollte man sich darüber grundlegende Gedanken machen: ist ein Virus in einer Offlime-Praxis wirklich der Supergau? Was mir nicht passieren kann ist, dass Patientendaten ins Internet abgezogen werden, so dass ich sie nie mehr einsammeln kann. Damit sind die Daten unserer Patienten gegenüber unerlaubtem Zugriff durch digitalen Angriff sicher - für mich ein wesentlicher Aspekt.Habe ich nun ein funktionierendes Sicherungsmanagement, so kann mir eigentlich bzgl. meiner Patientendaten wenig passieren, alles andere kann prinzipiell repariert werden. Ganz anders sieht es bei Sicherheitslücken zwischen Praxisnetz und Internet aus.

Zu meiner letzten Frage: oben klang es so, dass im Falle des seriellen Anschlusses die Abhängigkeit vom Konnektor zu hoch sei. Dem wollte ich widersprechen. Man kann durchaus einen DHCP und DNS-Server zusätzlich zum Konnektor installieren. Dann bricht bei Ausfall des Konnektors nicht das gesamte Praxisnetz zusammen.
nmndoc
Beiträge: 1797
Registriert: Donnerstag 17. März 2011, 12:56
13
Bedankt: 24 times

Re: TI- Parallele oder serielle Installation?

Beitrag von nmndoc »

danspie hat geschrieben: Ihrer Bemerkung mit dem abgetrennten Segment - wir haben diese Installation - ist nur richtig, wenn sie ihre Sciherheitseinrichtung für besser halten als die vom Konnektor (wir haben den Konnektor abgetrennt, weil wir die volle Kontrolle über unser innerstes Netz behalten wollen, aber eben keine volle Kontrolle über den Konnektor haben).
genau, darum ging es. da man evtl. TI-RZ/Gematik etc auch nicht 100% vertraut und nicht will, dass Jemand durch den Tunnel ins Praxisnetz kommt. (Um die Sicherheit gegenüber Internet ging es mir da nicht, das wäre dann ja wie gehabt natürlich zu beachten. War evtl. zu verkürzt).
danspie hat geschrieben: Bezüglich Sicherheit: evtl. sollte man sich darüber grundlegende Gedanken machen: ist ein Virus in einer Offlime-Praxis wirklich der Supergau? Was mir nicht passieren kann ist, dass Patientendaten ins Internet abgezogen werden, so dass ich sie nie mehr einsammeln kann. Damit sind die Daten unserer Patienten gegenüber unerlaubtem Zugriff durch digitalen Angriff sicher - für mich ein wesentlicher Aspekt.Habe ich nun ein funktionierendes Sicherungsmanagement, so kann mir eigentlich bzgl. meiner Patientendaten wenig passieren, alles andere kann prinzipiell repariert werden. Ganz anders sieht es bei Sicherheitslücken zwischen Praxisnetz und Internet aus.
ja, natürlich: kommt eben immer darauf an, wie es konkret aussieht. WENN Ihre Sicherung funktioniert und aktuell ist (und außerhalb des Zugriffs von Schadsoftware) dann haben Sie ausser ggf. etwas Arbeiszeitausfall keine weiteren Schäden.
danspie hat geschrieben: Zu meiner letzten Frage: oben klang es so, dass im Falle des seriellen Anschlusses die Abhängigkeit vom Konnektor zu hoch sei. Dem wollte ich widersprechen. Man kann durchaus einen DHCP und DNS-Server zusätzlich zum Konnektor installieren. Dann bricht bei Ausfall des Konnektors nicht das gesamte Praxisnetz zusammen.
Entweder ich verstehe die Frage nicht, oder Sie haben nicht verstanden, was mit seriell gemeint ist. Seriell meint folgende Installation

Praxisnetz => Konnektor => Router/Internet

Wenn in der Kette der Konnektor ausfällt / etwas nicht macht bzw. nicht erlaubt etc. dann hilft Ihnen auch kein DNS oder DHCP. Es gibt ja keinen anderen Weg ins Internet.
Natürlich können Sie offline weiter arbeiten - vermutlich meinen Sie das (und ja, Sie benötigen ohnehin lokal DNS/DHCP, weil Ihnen das der Konnektor nicht zur Verfügung stellt - außer eben der externen Namensauflösung/Internet). Allerdings sind eben sämtliche anderen Dinge betroffen wie Telefon/VoIP, Labor, HzV, etc. etc.... ach ja - remote Support Ihres ITlers, TM etc ;-)
danspie
PowerUser
Beiträge: 858
Registriert: Samstag 15. Juli 2006, 08:48
17
Wohnort: Murnau

Re: TI- Parallele oder serielle Installation?

Beitrag von danspie »

Bzgl Konnektorausfall: mein Beitrag bezog sich auf
PsyyWim schrieb:
Zum Thema DHCP und serielle Anbindung: secunet liefert im Konnektor dafür einen "LAN-DHCP-Client" aus, ich kann mir vorstellen KoCo auch. Ein großer Knackpunkt: fällt die Box aus, ist auch das Netzwerk-basierte Arbeiten im PVS/AIS erstmal dahin."
Das muss bei seriell nicht sein, wenn ich DHCP und DNS unabhängig von dem Konnektor installiere, das wollte ich nur klarstellen - gleich ein Zitat von mir hätte die Unklarheit sofort beseitigt, Entschuldigung....
avd
Beiträge: 77
Registriert: Samstag 9. Februar 2019, 23:13
5
Hat sich bedankt: 1 time

Re: TI- Parallele oder serielle Installation?

Beitrag von avd »

danspie hat geschrieben: ...wir haben den Konnektor abgetrennt, weil wir die volle Kontrolle über unser innerstes Netz behalten wollen, aber eben keine volle Kontrolle über den Konnektor haben.
Darf ich fragen, wie das technisch zu bewerkstelligen ist z.B. beim Parallelanschluss am Switch und Fritz!Box als Router? Lässt sich die KoCoBox (bzw. deren VPN) nur bedarfsweise aktivieren für die Dauer des eGK-Einlesens? Sind andere zwischengeschaltete Vorrichtungen erforderlich bzw. handelt es sich um Software-Einstellungen?
bofh
Beiträge: 422
Registriert: Mittwoch 5. September 2018, 21:47
5
Wohnort: Land Brandenburg
Hat sich bedankt: 17 times
Bedankt: 28 times

Re: TI- Parallele oder serielle Installation?

Beitrag von bofh »

Man kann ein LAN auch ganz konventionell mit fest vergebenen IP-Adressen konfigurieren. Dann braucht man keinen so neumodischen Krams wie DHCP. Ging das ganze letzte Jahrtausend ohne. :-)
Benutzeravatar
EXEWERKER
Beiträge: 807
Registriert: Freitag 12. Februar 2010, 12:43
14
Wohnort: Leipzig
Hat sich bedankt: 1 time
Bedankt: 3 times

Re: TI- Parallele oder serielle Installation?

Beitrag von EXEWERKER »

bofh hat geschrieben:Man kann ein LAN auch ganz konventionell mit fest vergebenen IP-Adressen konfigurieren. Dann braucht man keinen so neumodischen Krams wie DHCP. Ging das ganze letzte Jahrtausend ohne. :-)
Aber damit muten sie dem Installatuer zu, dass er händisch alle IP Adressen ändert (oder DHCP einstellt), nur damit Sie Ihren Konnektor seriell betreiben wollen. Bei PCs mag das gehen, obwohl manchmal mehrere IP gesetzt sind und wilde Konstruktionen existieren (WLAN Bridges etc.) Spätestens wenn der Ergometrie- oder Sonografie-Experte gerufen werden muss, um die Netzwerkeinstellungen alle neu zusetzen, sämtliche Grundeinstellunge, ggf. Freigaben und FW-Regeln, dann hört für viele Praxen der Spaß auf. Änderung des Gateways? Dann haben Sie zunächst einmal "unbekanntes Netzwerk" und Freigaben und FW sind neu einzurichten. Viele nette Überraschungen, meistens einen Tag später. Denn dann kommen eine ganze Menge Rechnungen. Und gegen den TI Techniker ist auch kein Garantieanspruch durchsetzbar, er erbringt nur eine Dienstleistung (er schuldet ernsthaftes Bemühen) uns wird niemals für die neue IP Vergabe garantieren. Warum sollte er auch für die Altlasten haften.
Deshalb plädiere ich (bei vorhandener Mindestabsicherung Firewall+Virenschutz) für den simplen parallelen Anschluss.
EX EWERKER :-)
danspie
PowerUser
Beiträge: 858
Registriert: Samstag 15. Juli 2006, 08:48
17
Wohnort: Murnau

Re: KoCoBox parallel an Fritz!Box

Beitrag von danspie »

ewerker schrieb:
Deshalb plädiere ich (bei vorhandener Mindestabsicherung Firewall+Virenschutz) für den simplen parallelen Anschluss.
Das sind für mich die Anforderungen zu Hause (wo ich auch eine FritzBox verwende). Ich persönlich halte dies für gefährlich, weil wir Ärzten dann der Entwicklung, eine zentrale Patientenkartei aufzubauen massiven Vorschub leisten - dem Argument, dass die Daten dann dort besser geschützt sind haben wir dann wenig entgegen zu setzen. Und ich empfinde es schon einen Unterschied, wer für ein Datenleck zuständig ist. Bei serieller Installation habe ich einen erheblichen Teil der Verantwortung abgegeben, bei paralleler Installation trage ich die Verantwortung. Ich persönlich lasse mir daher die Sicherheit meines Netztes etwas kosten -ich brauche eine parallele Installation, weil ich mit mehreren Betriebsstätten ein VPN benötige......
Benutzeravatar
EXEWERKER
Beiträge: 807
Registriert: Freitag 12. Februar 2010, 12:43
14
Wohnort: Leipzig
Hat sich bedankt: 1 time
Bedankt: 3 times

Re: KoCoBox parallel an Fritz!Box

Beitrag von EXEWERKER »

danspie hat geschrieben: Das sind für mich die Anforderungen zu Hause (wo ich auch eine FritzBox verwende). Ich persönlich halte dies für gefährlich, weil wir Ärzten dann der Entwicklung, eine zentrale Patientenkartei aufzubauen massiven Vorschub leisten - dem Argument, dass die Daten dann dort besser geschützt sind haben wir dann wenig entgegen zu setzen. Und ich empfinde es schon einen Unterschied, wer für ein Datenleck zuständig ist. Bei serieller Installation habe ich einen erheblichen Teil der Verantwortung abgegeben, bei paralleler Installation trage ich die Verantwortung. Ich persönlich lasse mir daher die Sicherheit meines Netztes etwas kosten -ich brauche eine parallele Installation, weil ich mit mehreren Betriebsstätten ein VPN benötige......
Ja von der Seite habe ich es nicht betrachtet. Mit dem Parallelanschluss wird die Sache (bei richtiger Handhabung) nicht unsicherer. Aber ideal ist es nicht. Ob man mit dem Argument des sicheren Konnektors eine Zentralakte abwendet, wage ich zu bezweifeln. Diese steht auch gar nicht auf der Tagesordnung. Wir werden aber so oder digitale Patientendaten austauschen müssen, wenn wir einigermaßen sinnvoll intersektoral zusammenarbeiten wollen. Wir forschen zur Zeit an einem Projekt relevante Daten zwischen Pflegeheimen und Praxen auszutauschen ohne Fax und ewiges Telefonieren. Allerdings dann durch Gematik-Netz ins KVSafenet .. Aber am Ende ist es nur eine politische Frage.
btw.: Einige Player außerhalb der Gematik oder CGM werden da bald ein ganz großes Wort mitsprechen. Apple nutzt für Gesundheitsdaten den gleichen Standard wie Microsoft und warum man es in Deutschland und in deutsch auf der Azure Cloud ausrollen kann.... das werden wir bald erfahren. https://azure.microsoft.com/de-de/servi ... -for-fhir/ . Von Gematik steht da nix. Vielleicht doch lieber parallel :mrgreen:
EX EWERKER :-)
bofh
Beiträge: 422
Registriert: Mittwoch 5. September 2018, 21:47
5
Wohnort: Land Brandenburg
Hat sich bedankt: 17 times
Bedankt: 28 times

Re: TI- Parallele oder serielle Installation?

Beitrag von bofh »

EWERKER hat geschrieben:Aber damit muten sie dem Installatuer zu, dass er händisch alle IP Adressen ändert (oder DHCP einstellt), nur damit Sie Ihren Konnektor seriell betreiben wollen. Bei PCs mag das gehen, obwohl manchmal mehrere IP gesetzt sind und wilde Konstruktionen existieren (WLAN Bridges etc.) Spätestens wenn ...
Ganz so wild war es bei mir nicht. Da ich der Installateur bin, schieße ich mir nur (ungern) selbst ins Knie.
Da die (ganz kleine) Praxis vorher komplett offline war musste ich nur dem Konnektor und dem Kartenleser neue feste IP Adressen zuweisen. Der Rest konnte bleiben. Warum sollte man alle IP Adressen ändern wollen? Alles auf DHCP umstellen - nein danke, das ist ja Aufwand.
danspie hat geschrieben:Und ich empfinde es schon einen Unterschied, wer für ein Datenleck zuständig ist. Bei serieller Installation habe ich einen erheblichen Teil der Verantwortung abgegeben, bei paralleler Installation trage ich die Verantwortung.
Volle Zustimmung!
EWERKER hat geschrieben:Wir forschen zur Zeit an einem Projekt relevante Daten zwischen Pflegeheimen und Praxen auszutauschen ohne Fax und ewiges Telefonieren. Allerdings dann durch Gematik-Netz ins KVSafenet
Hört sich interessant an. Das ISDN-Fax am Leben zu erhalten wird zunehmend schwieriger - ist aber derzeit die einfachste/universellste Methode zum Datenaustausch. Die Kommunikation mit dem Labor wäre auch ein Verbesserungskandidat (derzeit LVDT Übermittlung per Modem).
Macros
Beiträge: 284
Registriert: Mittwoch 22. Oktober 2014, 10:25
9
Bedankt: 1 time

Re: KoCoBox parallel an Fritz!Box

Beitrag von Macros »

@ewerker @danspie
Ich überlege gerade, wie man das ganze entschärfen kann (auch wenn ich momentan noch nicht das reale Szenario erkennen kann), allerdings keine KoCoBox sondern der Konnector der Telekom.

Eine erste Idee war, einfach den Konnector in ein anderes Netzsegment zu packen / evtl. kaskadierende Router (Fritz Boxen) nehmen und mit entsprechenden Freigaben das ganze isolieren, von der Telekom Box habe ich eine detailierte Liste an benötigen Ports bekommen.
Habt ihr euch dazu schon einmal Gedanken gemacht?

Siehe zum Beispiel hier
https://www.heise.de/ct/artikel/Router- ... 25801.html

@ewerker
Falls du / ihr das hier nicht öffentlicht kommentieren wollt, weil Wettbewerbsvorteil, kann ich das gut verstehen.
danspie
PowerUser
Beiträge: 858
Registriert: Samstag 15. Juli 2006, 08:48
17
Wohnort: Murnau

Re: KoCoBox parallel an Fritz!Box

Beitrag von danspie »

Das halte ich für keine sinnvolle Konstellation: Das Karten einlesen läuft prnzipiell folgender massen ab: MFA wählt am PC Karte einlesen -> der PC fragt beim Konnektor an, der die Anforderung an den entsprechenden Kartenleser weiter gibt -> Karte einlesen, Daten gibt Kartenleser an den Konnektor, der die Karte online prüft und im pos. Fall an den PC weiter gibt. Somit müssen sowohl due PCs (die "Karten lesen sollen") als auch die Kartenleser mit dem Konnektor verbunden sein. Ich sehe den Konnektor als absolut vernachlässigbares Sicherheitsrisiko, so dass er aus Sicherheitsbedenken heraus nicht separiert werden muss.
Wir in unserer Praxis reglementieren sowohl ein- als auch ausgehende Daten. Der Konnektor bräuchte wieder eigene Ports und Berechtigungen der Firewall. so dass wir vor der Entscheidung standen, diese Ports für unser innerstes Netzt nicht niur in der Hauptbetriebsstätte sondern auch für die Nebenbetriebsstätten frei zzu geben, oder ob wir den Konnektor in ein eigenes Subnetzt stecken, das keinerlei Sicherheitsfeatures von uns braucht und das nur über definierte Ports explizit mit den Kartenlesern und den entsprechneden PCs kommunizieren können (die technischen Einzelheiten macht mein EDV-Profi). Insgesamr waren beide Ansätze mit gleichem Aufwand verbunden und die zweite Lösung deutlich schöner und weniger Fehler-anfällig bzgl. des Konnektors, den wir ja auch erst bei der Installation kennen gelernt haben (wir haben den Secunet-Konnektor=DGN). Aber dafür braucht man schon einen echten Profi.....
nmndoc
Beiträge: 1797
Registriert: Donnerstag 17. März 2011, 12:56
13
Bedankt: 24 times

Re: KoCoBox parallel an Fritz!Box

Beitrag von nmndoc »

@Marcos:
ja, so kann man Netze trennen bzw. ist eigentlich nornmal, dass zw. unterschiedlichen Segmenten geroutet wird - entweder wirklich über einen extra Router oder über ein Gerät mit mehreren Interfaces zB Firewall (was dann aus Routing-Sicht auch nichts anderes ist).
Trennung mit zwei Routern + NAT ist zB eine günstige Möglichkeit für einen Gastzugang - wichtig ist, dass das Netz, mit den höheren Sicherheitsanforderungen weiter "innen"/hinten ist - also ind em Fall hinter dem zweiten Router während der Gast direkt am ersten/Internet ist.

Bezgl. TI wäre das zwar auch denkbar (Konnektor am 1. / äußeren Router) allerdings nicht so schön. Außerdem müsste man prüfen, ob wirklich in die umgekehrte Richtung (zB Update Kartenleser, ginge aber auch manuell - oder Kartenleser auch außen hin) niemals Daten fließen. Besser Trennung s.u.


@avd: das war im Prinzip auch Ihre Frage. Ist nur relevant, wenn Sie sich davor schützen wollen, dass Jemand aus dem Rechenzentrum auf Ihre Praxis zugreifen kann/könnte (s.u.)

danspie hat geschrieben:Somit müssen sowohl due PCs (die "Karten lesen sollen") als auch die Kartenleser mit dem Konnektor verbunden sein. Ich sehe den Konnektor als absolut vernachlässigbares Sicherheitsrisiko, so dass er aus Sicherheitsbedenken heraus nicht separiert werden muss.
Was denn nun? Ich dachte der Konnektor (bzw dessen Instalaltion) IST das große Problem für Praxis-Sicherheit?
Im übrigen irren Sie. Aus Compliance-Sicht mag man auf dem Standpunkt stehen - aber sobald mal Jemand auf der Gegenseite / Telematik-RZ eindringt, hindert ihn prinzipiell nichts durch den schönen VPN-Tunnel auch mal im Netz der Praxen vorbei zu sehen - unabhängig von parallel oder seriell.
danspie hat geschrieben: Wir in unserer Praxis reglementieren sowohl ein- als auch ausgehende Daten. Der Konnektor bräuchte wieder eigene Ports und Berechtigungen der Firewall. so dass wir vor der Entscheidung standen, diese Ports für unser innerstes Netzt nicht niur in der Hauptbetriebsstätte sondern auch für die Nebenbetriebsstätten frei zzu geben, oder ob wir den Konnektor in ein eigenes Subnetzt stecken, das keinerlei Sicherheitsfeatures von uns braucht und das nur über definierte Ports explizit mit den Kartenlesern und den entsprechneden PCs kommunizieren können (die technischen Einzelheiten macht mein EDV-Profi). Insgesamr waren beide Ansätze mit gleichem Aufwand verbunden und die zweite Lösung deutlich schöner und weniger Fehler-anfällig bzgl. des Konnektors, den wir ja auch erst bei der Installation kennen gelernt haben (wir haben den Secunet-Konnektor=DGN). Aber dafür braucht man schon einen echten Profi.....
Also: erstens ist das, was Sie beschreiben ebenfalls eine parallele Installation. Zweitens ja, ist es noch schöner (s.o.) man trennt den Konnektor (und ggf die Kartenleser) von Praxis-Netz und erlaubt nur definierte Kommunikation - ab besten ausschließlich solche, die VOM Praxisnetz IN das getrennte Netz erfolgt. Allerdings würde ich auch hier den Konnektor nach außen/Internet nur benötigte Kommunikation erlauben (bzw. so wie Sie es haben ist es vermutlich Konnektor > Internet > Any allow - das ist aber dann genau das "Konnektor hinter FritzBox mit NAT Szenario").
danspie
PowerUser
Beiträge: 858
Registriert: Samstag 15. Juli 2006, 08:48
17
Wohnort: Murnau

Re: KoCoBox parallel an Fritz!Box

Beitrag von danspie »

nmndoc schrieb:
Was denn nun? Ich dachte der Konnektor (bzw dessen Instalaltion) IST das große Problem für Praxis-Sicherheit?
Im übrigen irren Sie. Aus Compliance-Sicht mag man auf dem Standpunkt stehen - aber sobald mal Jemand auf der Gegenseite / Telematik-RZ eindringt, hindert ihn prinzipiell nichts durch den schönen VPN-Tunnel auch mal im Netz der Praxen vorbei zu sehen - unabhängig von parallel oder seriell.
Offensichtlich diskutieren wir aneinander vorbei und das ist dann für die anderen Teilnehmer des Forums weniger interessant: ich dachte geschrieben zu haben, dass der Konnektor ziemlich sicher ist. Bei Einfall über Telematik trage ich einfach nicht die Verantwortung - ich brauche mich eigentlich für nichts versichern, für das ich nicht zuständig bin (meine Meinung). Wenn ich glaube, auf die von der Telematik angebotene Sicherheit verzichten zu können, dann trage ich die Verantwortung und muss mich darum intensiv kümmern - Datenschutzverordnung lässt grüßen - nichts anderes habe ich oben vertreten.
Also: erstens ist das, was Sie beschreiben ebenfalls eine parallele Installation. Zweitens ja, ist es noch schöner (s.o.) man trennt den Konnektor (und ggf die Kartenleser) von Praxis-Netz und erlaubt nur definierte Kommunikation - ab besten ausschließlich solche, die VOM Praxisnetz IN das getrennte Netz erfolgt. Allerdings würde ich auch hier den Konnektor nach außen/Internet nur benötigte Kommunikation erlauben (bzw. so wie Sie es haben ist es vermutlich Konnektor > Internet > Any allow - das ist aber dann genau das "Konnektor hinter FritzBox mit NAT Szenario").
Ja ich habe geschrieben, dass ich eine parallele Installation habe - benötige ich bei mehreren über VPN verbundenen Betriebsstätten. Aber ich betreibe auch einen gehörigen Aufwand für die Sicherheit meiner Patientendaten. Ich brauche aber auch eine Verbindung vom Praxisnetz in das Netz des Konnektors (PC nimmt Kontakt mit dem Konnektor auf). Bzgl Beschränkung der Kommunikation des Konnektors: die Telematik zwingt mir den Konnektor auf und sagt er sei sicher. Bei meiner Installation müsste der Konnektor gehackt werden und dann hätte er auch nur über die Ports sehr eingeschränkte Verbindung in mein Netz. Für die Sicherheit des Konnektors bin ich ganz klar nicht zuständig (wie ja auch bei serieller Installation) - warum soll ich die Kommunikation einschränken - kann nur Probleme ohne erkennbaren Nutzen geben. Nur wenige Menschen kämen auf die Idee bei serieller Installation den Konnektor nochmals zu sichern - denke ich.
Konnektor hinter FritzBox mit NAT Szenario: Naja, die Subnetze müssen kommunizieren - das sicher zu gestalten ist - wie oben schon geschrieben - was für Profis (übersteigt mein Können bei weitem) - darf ich sie als Spezialisten fragen, was sie größenordnungsmässig für so eine Konfiguration an Kosten veranschlagen würden - bei gut installiertem Praxisnetz?
nmndoc
Beiträge: 1797
Registriert: Donnerstag 17. März 2011, 12:56
13
Bedankt: 24 times

Re: KoCoBox parallel an Fritz!Box

Beitrag von nmndoc »

danspie hat geschrieben:Bei Einfall über Telematik trage ich einfach nicht die Verantwortung - ich brauche mich eigentlich für nichts versichern, für das ich nicht zuständig bin (meine Meinung). Wenn ich glaube, auf die von der Telematik angebotene Sicherheit verzichten zu können, dann trage ich die Verantwortung und muss mich darum intensiv kümmern - Datenschutzverordnung lässt grüßen - nichts anderes habe ich oben vertreten.
ok. Ich kann Ihrer Argumentation schon folgen. Mir ist aber u.a. der stabile Betrieb wichtiger, als die Verantwortung auf andere abschieben zu können (sofern das dann auch wirklich klappt - zB rechtlich vielleicht, aber die Patienten sind evtl dennoch verprellt). Sicherer Betrieb heißt hier u.a. möglichst wenig Störungen und diese ggf. selbst schnell behenen zu können. Bei serieller Installation sehe ich schon das Support-Ping-Pong zwischen Telekom, IT-ler, TI-ler, CGM, ...
danspie hat geschrieben:Ja ich habe geschrieben, dass ich eine parallele Installation habe[...] Für die Sicherheit des Konnektors bin ich ganz klar nicht zuständig (wie ja auch bei serieller Installation) - warum soll ich die Kommunikation einschränken - kann nur Probleme ohne erkennbaren Nutzen geben.
[...]
Konnektor hinter FritzBox mit NAT Szenario: Naja, die Subnetze müssen kommunizieren - das sicher zu gestalten ist - wie oben schon geschrieben - was für Profis (übersteigt mein Können bei weitem) - darf ich sie als Spezialisten fragen, was sie größenordnungsmässig für so eine Konfiguration an Kosten veranschlagen würden - bei gut installiertem Praxisnetz?
ok. Würde es auch so installieren, wie Sie es gemacht haben bzw Ihr IT-ler. Parallel und möglichst in ein eigenes getrenntes Segment. Insofern war das mit 2x Router nur ein prinzipiell mögliches Budget-Szenario, das ich aber aus anderen Gründen in der Praxis nicht bevorzugen würde - zB gerade wenn man via VPN von außen zugreifen will etc wird es mit mehreren Routern hinter einander nicht gerade einfacher. Solange "von innen nach außen" der Zugriff erfolgt, is es aber über NAT im Prinzip automatisch gegeben. Nur eben von außen nach innen ist dann (ohne explizite Freischaltung) kein Zugriff möglich. Aufbau wäre ja so:

Praxis-LAN => innerer Router (NAT) => äußeres Netz (hier steht auch der Konnektor) => äußerer Router/FritzBox (NAT) => Internet

Vom Aufwand her würde ich mal auf eine Stunde tippen. Man wird ja die LAN-Konfiguration/IP-Adressen beibehalten wollen. Der bisherige Router bleibt auch künftig der Internet-Router, bekommt aber eine andere LAN-IP. Der neue Router wird das neue Gatway (unter der bisherigen Adresse) für das Praxis Lan. Also an sich keine große Sache - aber s.o. - bevorzuge Ihre Methode, sofern der Kunde mitspielt.
danspie
PowerUser
Beiträge: 858
Registriert: Samstag 15. Juli 2006, 08:48
17
Wohnort: Murnau

Re: KoCoBox parallel an Fritz!Box

Beitrag von danspie »

Jetzt verstehe ich, warum sie alle so vehement die parallele Installation bevorzugen! Sie brauchen natürlich die paralelle Installation, um per VPN von aussen auf das Praxisnetz zu zu greifen! Ich denke, wenn man einen IT-Profi für die Praxis hat, dann kümmert er sich um die Sicherheit des Praxisnetzes und man ist im grünen Bereich. Ich dachte bei meiner Argumentation eher an kleinere Praxen, in denen nicht selten Hobby-EDVler aus dem familiären Bereich die Praxis-EDV betreuen. Diese bekommen mit der seriellen Installation eine sehr sichere Option der Internet-Anbindung ohne irgendeinen Aufwand (die Installation der TI wird ja erstattet), allerdings natürlich auch ohne die Goodies des normalen Internet-Zuganges wie externen VPN-Zugang - wie sagt man so schön: nichts ist kostenlos :-)
PS in einer Stunde die Kommunikation des äußeren Netzes (Konnektor) mit dem Praxisnetz so zu bauen, dass die TI funktioniert (dieKommunikation ist ja in beide Richtungen vorhanden) halte ich für sportlich :-) - aber nichts für ungut.
Macros
Beiträge: 284
Registriert: Mittwoch 22. Oktober 2014, 10:25
9
Bedankt: 1 time

Re: KoCoBox parallel an Fritz!Box

Beitrag von Macros »

danspie hat geschrieben:zu bauen, dass die TI funktioniert (dieKommunikation ist ja in beide Richtungen vorhanden) halte ich für sportlich :-) - aber nichts für ungut.
Für einen Netzwerker halte ich das tatsächlich für machbar, wenn der Rest denn schon sauber aufgebaut ist. :-)

Wir haben uns jetzt auch für eine Aufteilung der Netze entschieden und werden doch wieder etwas mehr Geld investieren, wenn ich meinen befreundeten Netzwerker richtig verstanden habe, werden wir die folgenden Komponenten kaufen und er wird es entsprechend konfigurieren

USG Gateway
https://www.amazon.de/Ubiquiti-USG-Netz ... r=8-3&th=1
Verwaltungskonsole (inkl. Videoüberwachung)
https://www.amazon.de/NEU-Ubiquiti-Netw ... 224&sr=8-1
Switch
https://www.amazon.de/Ubiquiti-US-16-15 ... 182&sr=8-3

Ist im Kostenpunkt etwas mehr als wir erwartet haben, wird uns dann aber einige neue Spielereien ermöglichen, auch wenn (und hier wurde ich "gewarnt") das in vielen Bereichen dann meint, wir setzen immer Hardware von den Kollegen ein.

Folgende Dinge kommen dann in den nächsten Monaten dazu:
  • Videoüberwachung in einigen Bereichen der Praxis (dort hat kein Patient etwas zu suchen)
  • WLAN für die neuen Tabletts (hier sollen MS Surfaces zum Einsatz kommen)
  • Site to Site VPN für den Rechner zu Hause und meinen Anschluss

Wenn gewünscht, werde ich gerne weiter berichten.
nmndoc
Beiträge: 1797
Registriert: Donnerstag 17. März 2011, 12:56
13
Bedankt: 24 times

Re: KoCoBox parallel an Fritz!Box

Beitrag von nmndoc »

Macros hat geschrieben:
danspie hat geschrieben:zu bauen, dass die TI funktioniert (dieKommunikation ist ja in beide Richtungen vorhanden) halte ich für sportlich :-) - aber nichts für ungut.
Für einen Netzwerker halte ich das tatsächlich für machbar, wenn der Rest denn schon sauber aufgebaut ist. :-)

Wir haben uns jetzt auch für eine Aufteilung der Netze entschieden und werden doch wieder etwas mehr Geld investieren, wenn ich meinen befreundeten Netzwerker richtig verstanden habe, werden wir die folgenden Komponenten kaufen und er wird es entsprechend konfigurieren

USG Gateway
https://www.amazon.de/Ubiquiti-USG-Netz ... r=8-3&th=1
Verwaltungskonsole (inkl. Videoüberwachung)
https://www.amazon.de/NEU-Ubiquiti-Netw ... 224&sr=8-1
Switch
https://www.amazon.de/Ubiquiti-US-16-15 ... 182&sr=8-3

Ist im Kostenpunkt etwas mehr als wir erwartet haben, wird uns dann aber einige neue Spielereien ermöglichen, auch wenn (und hier wurde ich "gewarnt") das in vielen Bereichen dann meint, wir setzen immer Hardware von den Kollegen ein.

Folgende Dinge kommen dann in den nächsten Monaten dazu:
  • Videoüberwachung in einigen Bereichen der Praxis (dort hat kein Patient etwas zu suchen)
  • WLAN für die neuen Tabletts (hier sollen MS Surfaces zum Einsatz kommen)
  • Site to Site VPN für den Rechner zu Hause und meinen Anschluss

Wenn gewünscht, werde ich gerne weiter berichten.

Verstehe zwar nicht so ganz, weshalb Sie sich diese Geräte ausgesucht haben (zB ganz günstiger Router teurer Switch) ... vielleicht hat es was mit der angestrebten Videoüberwachung zu tun?`
Aber hier mal so zwei Gedanken von mir ;-)

Hatte hier slebst schon Ubiquiti als Übergangslösung für VPN - allerdings glaube ich X-Serie/Edge-Router. Und was soll ich sagen ... oh je ... für Leute die gerne mit der Linux-Kommandozeile unterm Kopfkissen schlafen, vielleicht ganz ok. Für Normalos die eine vernüftige GUI oder gar Assistenten gewohnt sind, sicher keine gute Idee.

Dann: Ich persönlich würde das Geld primär in ein vernüftiges Internet-Gateway(Firewall) mit mehreren Interfaces investieren. Dann kann man da schon ohne großen Aufwand die Netze trennen, den Zugang von außen regeln (VPN) etc.

aber wie gesagt, keine Kritik :-)
Macros
Beiträge: 284
Registriert: Mittwoch 22. Oktober 2014, 10:25
9
Bedankt: 1 time

Re: KoCoBox parallel an Fritz!Box

Beitrag von Macros »

nmndoc hat geschrieben: Verstehe zwar nicht so ganz, weshalb Sie sich diese Geräte ausgesucht haben (zB ganz günstiger Router teurer Switch) ... vielleicht hat es was mit der angestrebten Videoüberwachung zu tun?`
Aber hier mal so zwei Gedanken von mir ;-)
Habe ich mir ja gar nicht ausgesucht, sondern aussuchen und erklären lassen :-)

Wir hatten die Wahl zwischen dem kleinen USG (welches oben steht) und dem USG-PRO-4 (https://www.amazon.de/Ubiquiti-USG-PRO- ... ers&sr=1-1 ), laut meinem Netzwerker ist der einzige Unterschied welcher für uns relevant wird der, dass die große Variante mehr Durchsatz schafft, gerade wenn da viele User hinter arbeiten oder sich per VPN einwählen.
Da ich nicht davon ausgehe, dass die Praxis auf > 50 Mitarbeiter wächst und die Telekom eh nur DSL 50.000 liefern kann, haben wir uns für die kleine entschieden.

Der Switch ist etwas teurer, da er
  • manage bar ist
  • VLAN fähig
  • POE mit 150W kann
    • Wird für die Kameras benötigt
  • sich in die Verwaltung integriert
nmndoc hat geschrieben: Hatte hier slebst schon Ubiquiti als Übergangslösung für VPN - allerdings glaube ich X-Serie/Edge-Router. Und was soll ich sagen ... oh je ... für Leute die gerne mit der Linux-Kommandozeile unterm Kopfkissen schlafen, vielleicht ganz ok. Für Normalos die eine vernüftige GUI oder gar Assistenten gewohnt sind, sicher keine gute Idee.
Naja, ich will hier ja schon ein bischen mehr als der "normalo" , allerdings sind die neuen Geräte wirklich Einsteiger freundlich, nicht zu vergleichen mit den Edge Geräten, welche ja auch für Enterprise Umgebungen benannt werden
nmndoc hat geschrieben: Dann: Ich persönlich würde das Geld primär in ein vernüftiges Internet-Gateway(Firewall) mit mehreren Interfaces investieren. Dann kann man da schon ohne großen Aufwand die Netze trennen, den Zugang von außen regeln (VPN) etc.
aber wie gesagt, keine Kritik :-)
Die Software des kleinen Gateways ist identisch mit der des großen Gateways, die Netztrennung erfolgt auf VLAN Ebene, welche auf den Switch durchgereicht werden kann, hiermit bekommen wir denke ich die Anforderungen unter einen Hut.
  • Auftrennung des Praxis Netzes in mehrere Bereiche
  • Separierung der TI Infrastruktur
  • WLAN für das iPhone / iPad vom Doktor
  • Eigenes LAN / WLAN für die Kameras
Auch Kritik ist ausdrücklich erwünscht, Denkanstöße eh und wenn ich es nicht zur Diskussion stellen wollen würde, würde ich es hier ja nicht posten müssen.

Gruß
J
Forti
Beiträge: 479
Registriert: Sonntag 14. August 2011, 16:28
12
PVS: Allerlei
Konnektortyp: "alle"
Hat sich bedankt: 31 times
Bedankt: 9 times

Re: KoCoBox parallel an Fritz!Box

Beitrag von Forti »

Klingt ambitioniert und durchaus realisierbar.

Okay, ein paar Ideen hätte ich schon noch, z.B. auf PoE aus dem Switch zu verzichten und stattdessen PoE-Injektoren zu verwenden. Erfahrungsbedingt gibt es böse Blicke, wenn ein Switch auf den PoEs nicht (mehr) liefern kann.
Muss man den Switch (warum auch immer) mal spontan durch etwas vor Ort Verfügbares ersetzen, wird es eventuell eng: Einen VLAN-fähigen 24er-Switch kriegt man zur Not taggleich noch im E-Discounter oder beim Systemhaus am Ort. Mit PoE wird es schwierig, und man kauft dann schnellen Ersatz und später dann nochmal was Passendes. Also 2 x neu kabeln und konfigurieren....
Das fällt dann in den Bereich der TCO-Planung (Total Cost of Ownership).

Zur Fritzbox kann man unterschiedliche Ansichten haben, wenn es um den professionellen Einsatz geht. Persönlich denke ich aber, dass kaum ein Produkt derart intensiv abgesichert wird - allein durch die Nutzerbasis.


Als Datenschutzberater werde ich da aber an anderer Stelle getriggert:
1) Videoüberwachung in Bereichen, zu denen Patienten nur "unbefugt Zutritt erlangen", ist noch recht gut zu rechtfertigen, insofern keine Patientendaten erfasst werden können. Bei akustischer Raumüberwachung wird es haarig. Oder bei zu hoher Auflösung, wenn auf einem Monitor im Blickfeld Patientennamen... und so weiter.
2) Und was ist mit dem Personal? Je nachdem, wie groß Ihre Betriebsstätte ist und wofür die Räume vorgesehen sind, wird es komplex.
Aufzeichnung? Wie lange? Wer wertet aus? Kann man die Überwachung insgesamt hinreichend rechtfertigen (Gefährdungsanalyse)?
Und WAS SOLL eigentlich überwacht werden und wofür DARF das Material ausdrücklich nicht verwendet werden (z. B. Verhaltenskontrolle / Zeiterfassung)?
Wie ist das komplette Überwachungssystem (inkl. der Vernetzung) abgesichert gegen jede Art der Manipulation, Datenabgriff, externen Zugriff und so weiter. Netztrennung?
QM und DSFA lassen grüßen.

Bitte nicht falsch verstehen. Ein konsultierter DSB sieht zunächst schwarz und wird erst durch Ihre Argumente überzeugt - wenn diese sich denn mit den Rechtsgrundlagen abbilden lassen. Danach kommt der Papierkram, und es bleibt die Hoffnung, dass eine Aufsichtsbehörde dem folgen mag (oder sie sich nie damit befassen muss, was den Idealfall darstellt).
Ich nehme durchaus an, dass sich das alles rechtssicher einrichten lässt. Unterschätzen Sie aber nicht die Auswirkungen hinsichtlich Prüfungs- und Dokumentationsaufwand sowie mögliche Vorbehalte auf Seiten des Personals. Im Regelfall stellen Hardware und Installation den Minderanteil am Gesamtaufwand. Dieser wiederum liegt mutmaßlich immer noch deutlich unter dem, was fällig werden kann, wenn sich jemand beschwert und Mängel aufgedeckt werden. Sie sind Verantwortlicher...

Aus Sicht eines ITlers finde ich das ganze spannend. Und der zonale Aufbau wirkt ganz vernünftig.

Have a nice weekend
Forti
--
Beste Grüße
Forti
Macros
Beiträge: 284
Registriert: Mittwoch 22. Oktober 2014, 10:25
9
Bedankt: 1 time

Re: KoCoBox parallel an Fritz!Box

Beitrag von Macros »

Forti hat geschrieben: Okay, ein paar Ideen hätte ich schon noch, z.B. auf PoE aus dem Switch zu verzichten und stattdessen PoE-Injektoren zu verwenden. Erfahrungsbedingt gibt es böse Blicke, wenn ein Switch auf den PoEs nicht (mehr) liefern kann.
Muss man den Switch (warum auch immer) mal spontan durch etwas vor Ort Verfügbares ersetzen, wird es eventuell eng: Einen VLAN-fähigen 24er-Switch kriegt man zur Not taggleich noch im E-Discounter oder beim Systemhaus am Ort. Mit PoE wird es schwierig, und man kauft dann schnellen Ersatz und später dann nochmal was Passendes. Also 2 x neu kabeln und konfigurieren....
Das fällt dann in den Bereich der TCO-Planung (Total Cost of Ownership).
Ist tatsächlich berücksichtigt, der vorhandene 16er Switch bleibt und wird im Rack nur vom Strom getrennt, im schlimmsten Fall ist dieser zwar nicht VLAN fähig, aber das VLAN1 in dem der Server und die Clients stehen, kann genutzt werden, Ersatz hat mein Netzwerker immer im Schrank, die Amazonlinks dienen hier nur dem Beispiel und um die darzustellen.
Forti hat geschrieben: Zur Fritzbox kann man unterschiedliche Ansichten haben, wenn es um den professionellen Einsatz geht. Persönlich denke ich aber, dass kaum ein Produkt derart intensiv abgesichert wird - allein durch die Nutzerbasis.
Ich habe auch nichts gegen die FritzBox, aber hier kommt Sie eindeutig an ihre Grenzen, und ich betreibe lieber eine entsprechende Lösung, als jetzt die FritzBox immer weiter zu verbiegen, wie gesagt, die TI ist eh nicht der Auslöser für die Gedanken, aber vielleicht der Grund, wieso wir es jetzt umsetzen und nicht weiter verschieben.

Forti hat geschrieben: Als Datenschutzberater werde ich da aber an anderer Stelle getriggert:
1) Videoüberwachung in Bereichen, zu denen Patienten nur "unbefugt Zutritt erlangen", ist noch recht gut zu rechtfertigen, insofern keine Patientendaten erfasst werden können. Bei akustischer Raumüberwachung wird es haarig. Oder bei zu hoher Auflösung, wenn auf einem Monitor im Blickfeld Patientennamen... und so weiter.
Ich gehe mal auf die einzelnen Punkte ein:
  • Archiv = hier ist zwar ein Arbeitsplatz, allerdings wird die Kamera so positioniert, dass der Mitarbeiter zwar zu sehen ist, es aber eher darum geht, wer kommt durch die Tür rein, und wer sucht vielleicht etwas in archivierten Akten
  • Lager / Werkraum = hier haben nicht einmal die Angestellten etwas zu suchen, sondern nur der Inhaber des Gebäudes, wir haben leider die Vermutung, dass hier immer wieder jemand raucht, allerdings sind die Mitarbeiter alle Nichtraucher (entweder jemand von dem wir es nicht wissen hat einen Schlüssel oder es zieht von aussen rein
  • "privater" Empfangsbereich = dadurch dass es bereits 2 x Übergriffe gab, wollen wir (und die Angestellten) hier einen "Beweis" haben, wer wann etwas gemacht hat, hier wird gesondert darauf hingewiesen (Markierung auf dem Boden) ab wann die Videoüberwachung greift, Aufzeichnung startet erst bei Bewegung in dem Zugangsbereich
  • Private Räume vom Chef, hier hat das Personal nichts zu suchen, die Kamera kann durch meinen Chef per Schalter deaktiviert werden (und zwar so, dass es durch die Angestellten mit einem Blick zu sehen ist, ob diese an oder aus ist) Rote LED von aussen an der Tür = Kamera an
  • Auflösung wird mindestens FullHD, vielleicht auch 4K, inkl. Infrarot und der Möglichkeit Licht einzuschalten, wenn sich nachts etwas in dem Bereich bewegt
Forti hat geschrieben: Und was ist mit dem Personal? Je nachdem, wie groß Ihre Betriebsstätte ist und wofür die Räume vorgesehen sind, wird es komplex.
Aufzeichnung? Wie lange? Wer wertet aus? Kann man die Überwachung insgesamt hinreichend rechtfertigen (Gefährdungsanalyse)?
Der Wunsch der Aufzeichnung kommt vom Personal, da Sie es ja selber mitbekommen und sich Gedanken machen, das Orga Team ist einer der Treiber :-) Aufzeichnung soll auf 21 Tage begrenzt sein, das ganze auf einen Cloud Key Controller (der liegt dann um Netzwerkschrank, nix Cloud)
Forti hat geschrieben: Und WAS SOLL eigentlich überwacht werden und wofür DARF das Material ausdrücklich nicht verwendet werden (z. B. Verhaltenskontrolle / Zeiterfassung)?
Wie ist das komplette Überwachungssystem (inkl. der Vernetzung) abgesichert gegen jede Art der Manipulation, Datenabgriff, externen Zugriff und so weiter. Netztrennung?
Keine Überwachung der MA geplant, Absicherung durch Verbindung nur per Kabel im eigenen VLAN, Aufzeichnung im Haus, kein externer Zugriff geplant ... hier sind wir bereits mit dem DSB in Kontakt, er ist in der Planung involviert.
Forti hat geschrieben: Ich nehme durchaus an, dass sich das alles rechtssicher einrichten lässt. Unterschätzen Sie aber nicht die Auswirkungen hinsichtlich Prüfungs- und Dokumentationsaufwand sowie mögliche Vorbehalte auf Seiten des Personals. Im Regelfall stellen Hardware und Installation den Minderanteil am Gesamtaufwand. Dieser wiederum liegt mutmaßlich immer noch deutlich unter dem, was fällig werden kann, wenn sich jemand beschwert und Mängel aufgedeckt werden.
Wie immer wird hier erst mit den entsprechenden Stellen gesprochen, ich mache keine IT zum Selbstzweck ... Gerne nehmen wir Anregungen entgegen, wen wir noch fragen / informieren sollten
Forti hat geschrieben:Sie sind Verantwortlicher...
Ne, ich bin nur der ITler, der meinen Chef schon mehrmals darauf hingewiesen hat, dass ich zwar zum Thema Datenschutz etwas sagen kann, aber nicht der DSB sein kann usw.
Antworten

Wer ist online?

Mitglieder in diesem Forum: Ahrefs [Bot] und 44 Gäste