KoCoBox parallel an Fritz!Box

Fragen, Anregungen oder Tipps und Tricks? Hier ist der erste Anlaufpunkt.
Nicht sicher, wo ein Thema hingehört? Hier hinein - wir kümmern uns! :)

Moderator: Forum Moderatoren

Forumsregeln
TM-Startforum - "offen für alle Themen".
Beiträge, die in einen anderen Bereich passen, werden bei Bedarf verschoben.
Macros
Beiträge: 284
Registriert: Mittwoch 22. Oktober 2014, 10:25
9
Bedankt: 1 time

Re: KoCoBox parallel an Fritz!Box

Beitrag von Macros »

danspie hat geschrieben:zu bauen, dass die TI funktioniert (dieKommunikation ist ja in beide Richtungen vorhanden) halte ich für sportlich :-) - aber nichts für ungut.
Für einen Netzwerker halte ich das tatsächlich für machbar, wenn der Rest denn schon sauber aufgebaut ist. :-)

Wir haben uns jetzt auch für eine Aufteilung der Netze entschieden und werden doch wieder etwas mehr Geld investieren, wenn ich meinen befreundeten Netzwerker richtig verstanden habe, werden wir die folgenden Komponenten kaufen und er wird es entsprechend konfigurieren

USG Gateway
https://www.amazon.de/Ubiquiti-USG-Netz ... r=8-3&th=1
Verwaltungskonsole (inkl. Videoüberwachung)
https://www.amazon.de/NEU-Ubiquiti-Netw ... 224&sr=8-1
Switch
https://www.amazon.de/Ubiquiti-US-16-15 ... 182&sr=8-3

Ist im Kostenpunkt etwas mehr als wir erwartet haben, wird uns dann aber einige neue Spielereien ermöglichen, auch wenn (und hier wurde ich "gewarnt") das in vielen Bereichen dann meint, wir setzen immer Hardware von den Kollegen ein.

Folgende Dinge kommen dann in den nächsten Monaten dazu:
  • Videoüberwachung in einigen Bereichen der Praxis (dort hat kein Patient etwas zu suchen)
  • WLAN für die neuen Tabletts (hier sollen MS Surfaces zum Einsatz kommen)
  • Site to Site VPN für den Rechner zu Hause und meinen Anschluss

Wenn gewünscht, werde ich gerne weiter berichten.
nmndoc
Beiträge: 1797
Registriert: Donnerstag 17. März 2011, 12:56
13
Bedankt: 24 times

Re: KoCoBox parallel an Fritz!Box

Beitrag von nmndoc »

Macros hat geschrieben:
danspie hat geschrieben:zu bauen, dass die TI funktioniert (dieKommunikation ist ja in beide Richtungen vorhanden) halte ich für sportlich :-) - aber nichts für ungut.
Für einen Netzwerker halte ich das tatsächlich für machbar, wenn der Rest denn schon sauber aufgebaut ist. :-)

Wir haben uns jetzt auch für eine Aufteilung der Netze entschieden und werden doch wieder etwas mehr Geld investieren, wenn ich meinen befreundeten Netzwerker richtig verstanden habe, werden wir die folgenden Komponenten kaufen und er wird es entsprechend konfigurieren

USG Gateway
https://www.amazon.de/Ubiquiti-USG-Netz ... r=8-3&th=1
Verwaltungskonsole (inkl. Videoüberwachung)
https://www.amazon.de/NEU-Ubiquiti-Netw ... 224&sr=8-1
Switch
https://www.amazon.de/Ubiquiti-US-16-15 ... 182&sr=8-3

Ist im Kostenpunkt etwas mehr als wir erwartet haben, wird uns dann aber einige neue Spielereien ermöglichen, auch wenn (und hier wurde ich "gewarnt") das in vielen Bereichen dann meint, wir setzen immer Hardware von den Kollegen ein.

Folgende Dinge kommen dann in den nächsten Monaten dazu:
  • Videoüberwachung in einigen Bereichen der Praxis (dort hat kein Patient etwas zu suchen)
  • WLAN für die neuen Tabletts (hier sollen MS Surfaces zum Einsatz kommen)
  • Site to Site VPN für den Rechner zu Hause und meinen Anschluss

Wenn gewünscht, werde ich gerne weiter berichten.

Verstehe zwar nicht so ganz, weshalb Sie sich diese Geräte ausgesucht haben (zB ganz günstiger Router teurer Switch) ... vielleicht hat es was mit der angestrebten Videoüberwachung zu tun?`
Aber hier mal so zwei Gedanken von mir ;-)

Hatte hier slebst schon Ubiquiti als Übergangslösung für VPN - allerdings glaube ich X-Serie/Edge-Router. Und was soll ich sagen ... oh je ... für Leute die gerne mit der Linux-Kommandozeile unterm Kopfkissen schlafen, vielleicht ganz ok. Für Normalos die eine vernüftige GUI oder gar Assistenten gewohnt sind, sicher keine gute Idee.

Dann: Ich persönlich würde das Geld primär in ein vernüftiges Internet-Gateway(Firewall) mit mehreren Interfaces investieren. Dann kann man da schon ohne großen Aufwand die Netze trennen, den Zugang von außen regeln (VPN) etc.

aber wie gesagt, keine Kritik :-)
Macros
Beiträge: 284
Registriert: Mittwoch 22. Oktober 2014, 10:25
9
Bedankt: 1 time

Re: KoCoBox parallel an Fritz!Box

Beitrag von Macros »

nmndoc hat geschrieben: Verstehe zwar nicht so ganz, weshalb Sie sich diese Geräte ausgesucht haben (zB ganz günstiger Router teurer Switch) ... vielleicht hat es was mit der angestrebten Videoüberwachung zu tun?`
Aber hier mal so zwei Gedanken von mir ;-)
Habe ich mir ja gar nicht ausgesucht, sondern aussuchen und erklären lassen :-)

Wir hatten die Wahl zwischen dem kleinen USG (welches oben steht) und dem USG-PRO-4 (https://www.amazon.de/Ubiquiti-USG-PRO- ... ers&sr=1-1 ), laut meinem Netzwerker ist der einzige Unterschied welcher für uns relevant wird der, dass die große Variante mehr Durchsatz schafft, gerade wenn da viele User hinter arbeiten oder sich per VPN einwählen.
Da ich nicht davon ausgehe, dass die Praxis auf > 50 Mitarbeiter wächst und die Telekom eh nur DSL 50.000 liefern kann, haben wir uns für die kleine entschieden.

Der Switch ist etwas teurer, da er
  • manage bar ist
  • VLAN fähig
  • POE mit 150W kann
    • Wird für die Kameras benötigt
  • sich in die Verwaltung integriert
nmndoc hat geschrieben: Hatte hier slebst schon Ubiquiti als Übergangslösung für VPN - allerdings glaube ich X-Serie/Edge-Router. Und was soll ich sagen ... oh je ... für Leute die gerne mit der Linux-Kommandozeile unterm Kopfkissen schlafen, vielleicht ganz ok. Für Normalos die eine vernüftige GUI oder gar Assistenten gewohnt sind, sicher keine gute Idee.
Naja, ich will hier ja schon ein bischen mehr als der "normalo" , allerdings sind die neuen Geräte wirklich Einsteiger freundlich, nicht zu vergleichen mit den Edge Geräten, welche ja auch für Enterprise Umgebungen benannt werden
nmndoc hat geschrieben: Dann: Ich persönlich würde das Geld primär in ein vernüftiges Internet-Gateway(Firewall) mit mehreren Interfaces investieren. Dann kann man da schon ohne großen Aufwand die Netze trennen, den Zugang von außen regeln (VPN) etc.
aber wie gesagt, keine Kritik :-)
Die Software des kleinen Gateways ist identisch mit der des großen Gateways, die Netztrennung erfolgt auf VLAN Ebene, welche auf den Switch durchgereicht werden kann, hiermit bekommen wir denke ich die Anforderungen unter einen Hut.
  • Auftrennung des Praxis Netzes in mehrere Bereiche
  • Separierung der TI Infrastruktur
  • WLAN für das iPhone / iPad vom Doktor
  • Eigenes LAN / WLAN für die Kameras
Auch Kritik ist ausdrücklich erwünscht, Denkanstöße eh und wenn ich es nicht zur Diskussion stellen wollen würde, würde ich es hier ja nicht posten müssen.

Gruß
J
Forti
Beiträge: 479
Registriert: Sonntag 14. August 2011, 16:28
12
PVS: Allerlei
Konnektortyp: "alle"
Hat sich bedankt: 31 times
Bedankt: 9 times

Re: KoCoBox parallel an Fritz!Box

Beitrag von Forti »

Klingt ambitioniert und durchaus realisierbar.

Okay, ein paar Ideen hätte ich schon noch, z.B. auf PoE aus dem Switch zu verzichten und stattdessen PoE-Injektoren zu verwenden. Erfahrungsbedingt gibt es böse Blicke, wenn ein Switch auf den PoEs nicht (mehr) liefern kann.
Muss man den Switch (warum auch immer) mal spontan durch etwas vor Ort Verfügbares ersetzen, wird es eventuell eng: Einen VLAN-fähigen 24er-Switch kriegt man zur Not taggleich noch im E-Discounter oder beim Systemhaus am Ort. Mit PoE wird es schwierig, und man kauft dann schnellen Ersatz und später dann nochmal was Passendes. Also 2 x neu kabeln und konfigurieren....
Das fällt dann in den Bereich der TCO-Planung (Total Cost of Ownership).

Zur Fritzbox kann man unterschiedliche Ansichten haben, wenn es um den professionellen Einsatz geht. Persönlich denke ich aber, dass kaum ein Produkt derart intensiv abgesichert wird - allein durch die Nutzerbasis.


Als Datenschutzberater werde ich da aber an anderer Stelle getriggert:
1) Videoüberwachung in Bereichen, zu denen Patienten nur "unbefugt Zutritt erlangen", ist noch recht gut zu rechtfertigen, insofern keine Patientendaten erfasst werden können. Bei akustischer Raumüberwachung wird es haarig. Oder bei zu hoher Auflösung, wenn auf einem Monitor im Blickfeld Patientennamen... und so weiter.
2) Und was ist mit dem Personal? Je nachdem, wie groß Ihre Betriebsstätte ist und wofür die Räume vorgesehen sind, wird es komplex.
Aufzeichnung? Wie lange? Wer wertet aus? Kann man die Überwachung insgesamt hinreichend rechtfertigen (Gefährdungsanalyse)?
Und WAS SOLL eigentlich überwacht werden und wofür DARF das Material ausdrücklich nicht verwendet werden (z. B. Verhaltenskontrolle / Zeiterfassung)?
Wie ist das komplette Überwachungssystem (inkl. der Vernetzung) abgesichert gegen jede Art der Manipulation, Datenabgriff, externen Zugriff und so weiter. Netztrennung?
QM und DSFA lassen grüßen.

Bitte nicht falsch verstehen. Ein konsultierter DSB sieht zunächst schwarz und wird erst durch Ihre Argumente überzeugt - wenn diese sich denn mit den Rechtsgrundlagen abbilden lassen. Danach kommt der Papierkram, und es bleibt die Hoffnung, dass eine Aufsichtsbehörde dem folgen mag (oder sie sich nie damit befassen muss, was den Idealfall darstellt).
Ich nehme durchaus an, dass sich das alles rechtssicher einrichten lässt. Unterschätzen Sie aber nicht die Auswirkungen hinsichtlich Prüfungs- und Dokumentationsaufwand sowie mögliche Vorbehalte auf Seiten des Personals. Im Regelfall stellen Hardware und Installation den Minderanteil am Gesamtaufwand. Dieser wiederum liegt mutmaßlich immer noch deutlich unter dem, was fällig werden kann, wenn sich jemand beschwert und Mängel aufgedeckt werden. Sie sind Verantwortlicher...

Aus Sicht eines ITlers finde ich das ganze spannend. Und der zonale Aufbau wirkt ganz vernünftig.

Have a nice weekend
Forti
--
Beste Grüße
Forti
Macros
Beiträge: 284
Registriert: Mittwoch 22. Oktober 2014, 10:25
9
Bedankt: 1 time

Re: KoCoBox parallel an Fritz!Box

Beitrag von Macros »

Forti hat geschrieben: Okay, ein paar Ideen hätte ich schon noch, z.B. auf PoE aus dem Switch zu verzichten und stattdessen PoE-Injektoren zu verwenden. Erfahrungsbedingt gibt es böse Blicke, wenn ein Switch auf den PoEs nicht (mehr) liefern kann.
Muss man den Switch (warum auch immer) mal spontan durch etwas vor Ort Verfügbares ersetzen, wird es eventuell eng: Einen VLAN-fähigen 24er-Switch kriegt man zur Not taggleich noch im E-Discounter oder beim Systemhaus am Ort. Mit PoE wird es schwierig, und man kauft dann schnellen Ersatz und später dann nochmal was Passendes. Also 2 x neu kabeln und konfigurieren....
Das fällt dann in den Bereich der TCO-Planung (Total Cost of Ownership).
Ist tatsächlich berücksichtigt, der vorhandene 16er Switch bleibt und wird im Rack nur vom Strom getrennt, im schlimmsten Fall ist dieser zwar nicht VLAN fähig, aber das VLAN1 in dem der Server und die Clients stehen, kann genutzt werden, Ersatz hat mein Netzwerker immer im Schrank, die Amazonlinks dienen hier nur dem Beispiel und um die darzustellen.
Forti hat geschrieben: Zur Fritzbox kann man unterschiedliche Ansichten haben, wenn es um den professionellen Einsatz geht. Persönlich denke ich aber, dass kaum ein Produkt derart intensiv abgesichert wird - allein durch die Nutzerbasis.
Ich habe auch nichts gegen die FritzBox, aber hier kommt Sie eindeutig an ihre Grenzen, und ich betreibe lieber eine entsprechende Lösung, als jetzt die FritzBox immer weiter zu verbiegen, wie gesagt, die TI ist eh nicht der Auslöser für die Gedanken, aber vielleicht der Grund, wieso wir es jetzt umsetzen und nicht weiter verschieben.

Forti hat geschrieben: Als Datenschutzberater werde ich da aber an anderer Stelle getriggert:
1) Videoüberwachung in Bereichen, zu denen Patienten nur "unbefugt Zutritt erlangen", ist noch recht gut zu rechtfertigen, insofern keine Patientendaten erfasst werden können. Bei akustischer Raumüberwachung wird es haarig. Oder bei zu hoher Auflösung, wenn auf einem Monitor im Blickfeld Patientennamen... und so weiter.
Ich gehe mal auf die einzelnen Punkte ein:
  • Archiv = hier ist zwar ein Arbeitsplatz, allerdings wird die Kamera so positioniert, dass der Mitarbeiter zwar zu sehen ist, es aber eher darum geht, wer kommt durch die Tür rein, und wer sucht vielleicht etwas in archivierten Akten
  • Lager / Werkraum = hier haben nicht einmal die Angestellten etwas zu suchen, sondern nur der Inhaber des Gebäudes, wir haben leider die Vermutung, dass hier immer wieder jemand raucht, allerdings sind die Mitarbeiter alle Nichtraucher (entweder jemand von dem wir es nicht wissen hat einen Schlüssel oder es zieht von aussen rein
  • "privater" Empfangsbereich = dadurch dass es bereits 2 x Übergriffe gab, wollen wir (und die Angestellten) hier einen "Beweis" haben, wer wann etwas gemacht hat, hier wird gesondert darauf hingewiesen (Markierung auf dem Boden) ab wann die Videoüberwachung greift, Aufzeichnung startet erst bei Bewegung in dem Zugangsbereich
  • Private Räume vom Chef, hier hat das Personal nichts zu suchen, die Kamera kann durch meinen Chef per Schalter deaktiviert werden (und zwar so, dass es durch die Angestellten mit einem Blick zu sehen ist, ob diese an oder aus ist) Rote LED von aussen an der Tür = Kamera an
  • Auflösung wird mindestens FullHD, vielleicht auch 4K, inkl. Infrarot und der Möglichkeit Licht einzuschalten, wenn sich nachts etwas in dem Bereich bewegt
Forti hat geschrieben: Und was ist mit dem Personal? Je nachdem, wie groß Ihre Betriebsstätte ist und wofür die Räume vorgesehen sind, wird es komplex.
Aufzeichnung? Wie lange? Wer wertet aus? Kann man die Überwachung insgesamt hinreichend rechtfertigen (Gefährdungsanalyse)?
Der Wunsch der Aufzeichnung kommt vom Personal, da Sie es ja selber mitbekommen und sich Gedanken machen, das Orga Team ist einer der Treiber :-) Aufzeichnung soll auf 21 Tage begrenzt sein, das ganze auf einen Cloud Key Controller (der liegt dann um Netzwerkschrank, nix Cloud)
Forti hat geschrieben: Und WAS SOLL eigentlich überwacht werden und wofür DARF das Material ausdrücklich nicht verwendet werden (z. B. Verhaltenskontrolle / Zeiterfassung)?
Wie ist das komplette Überwachungssystem (inkl. der Vernetzung) abgesichert gegen jede Art der Manipulation, Datenabgriff, externen Zugriff und so weiter. Netztrennung?
Keine Überwachung der MA geplant, Absicherung durch Verbindung nur per Kabel im eigenen VLAN, Aufzeichnung im Haus, kein externer Zugriff geplant ... hier sind wir bereits mit dem DSB in Kontakt, er ist in der Planung involviert.
Forti hat geschrieben: Ich nehme durchaus an, dass sich das alles rechtssicher einrichten lässt. Unterschätzen Sie aber nicht die Auswirkungen hinsichtlich Prüfungs- und Dokumentationsaufwand sowie mögliche Vorbehalte auf Seiten des Personals. Im Regelfall stellen Hardware und Installation den Minderanteil am Gesamtaufwand. Dieser wiederum liegt mutmaßlich immer noch deutlich unter dem, was fällig werden kann, wenn sich jemand beschwert und Mängel aufgedeckt werden.
Wie immer wird hier erst mit den entsprechenden Stellen gesprochen, ich mache keine IT zum Selbstzweck ... Gerne nehmen wir Anregungen entgegen, wen wir noch fragen / informieren sollten
Forti hat geschrieben:Sie sind Verantwortlicher...
Ne, ich bin nur der ITler, der meinen Chef schon mehrmals darauf hingewiesen hat, dass ich zwar zum Thema Datenschutz etwas sagen kann, aber nicht der DSB sein kann usw.
Randolf
Beiträge: 416
Registriert: Samstag 13. August 2011, 09:25
12
Hat sich bedankt: 12 times
Bedankt: 13 times

Re: KoCoBox parallel an Fritz!Box

Beitrag von Randolf »

Hallo an Alle,
Danke fuer die interessanten Ausfuehrungen. Beide Installationsformen haben im sicher im jeweils speziellen Fall ihre Vorteile und Berechtigungen. Kann man die Varianten dann im Betrieb evtl. noch wechseln ? (wenn man Nachteile erkennt) oder ist der Aufwand zu groß ?
Danke vorab Randolf
nmndoc
Beiträge: 1797
Registriert: Donnerstag 17. März 2011, 12:56
13
Bedankt: 24 times

Re: KoCoBox parallel an Fritz!Box

Beitrag von nmndoc »

Randolf hat geschrieben:Hallo an Alle,
Danke fuer die interessanten Ausfuehrungen. Beide Installationsformen haben im sicher im jeweils speziellen Fall ihre Vorteile und Berechtigungen. Kann man die Varianten dann im Betrieb evtl. noch wechseln ? (wenn man Nachteile erkennt) oder ist der Aufwand zu groß ?
Danke vorab Randolf
Grundsätzlich ist eine Umstellung schon möglich. Der Aufwand richtet sich etwas nach Ihren Gegebenheiten - aber ich würde sagen etwas ebenso hoch wie für die Neuinstallation. Aber gerade bei einem Konnektor + 1-2 KTs eher nicht der Rede wert.
fbn
Beiträge: 2
Registriert: Sonntag 16. Februar 2020, 09:54
4

Re: KoCoBox parallel an Fritz!Box

Beitrag von fbn »

Hallo,

betreibt jemand seine Praxis mit serieller Anbindung an die TI oder kennt jemand eine Praxis die das tut?
lcer
Beiträge: 574
Registriert: Sonntag 26. Oktober 2008, 09:15
15
Hat sich bedankt: 4 times
Bedankt: 21 times

Re: KoCoBox parallel an Fritz!Box

Beitrag von lcer »

Hallo,
betreibt jemand seine Praxis mit serieller Anbindung an die TI
Warum soll ich meinen gesamten Datenverkehr durch die Box leiten? Damit der TI-Internet-Provider nachvollziehen kann, was ich so mache? Wer hat Interesse an unseren Daten? Anonyme Kriminelle oder große Healthcare-IT-Anbieter, die Kassen und das BMG?

Bei mir landet an der Box nur, was unbedingt sein muss und die Box selbst kommt darüber hinaus nicht in unsere Praxisnetz (Firewall mit NAT davor)

Grüße

lcer
danspie
PowerUser
Beiträge: 858
Registriert: Samstag 15. Juli 2006, 08:48
17
Wohnort: Murnau

Re: KoCoBox parallel an Fritz!Box

Beitrag von danspie »

Diese Logik kann ich nicht ganz nachvollziehen, anstatt zertifizierte Komponenten und Wege zu nutzen soll ein beliebiger Router (evtl. aus China) und ein beliebiger netzbetreiber sicherer sein??? Haben Sie dazu irgendwelche Daten oder Hinweise?
lcer
Beiträge: 574
Registriert: Sonntag 26. Oktober 2008, 09:15
15
Hat sich bedankt: 4 times
Bedankt: 21 times

Re: KoCoBox parallel an Fritz!Box

Beitrag von lcer »

1) mein Router ist nicht aus China.

2) was taugt ein Zertifikat der Gematik? Ich weiß dann, dass das Gerät genau so funktioniert wie die Gematik es will. Wer hat gleich nochmal 51% übernommen?

3) wir sind verantwortlich dafür, dass unsere Patientendaten weder Kriminellen, noch behördlichen Einrichtungen in die Hände fällt.

4) Haben Die denn Daten, dass Ihre Daten besser gesichert sind, wenn ein statt einer aktuellen Firewalllösung und sicherem Netzdesign die Gematikbox die Absicherung übernimmt?


Grüße

lcer
danspie
PowerUser
Beiträge: 858
Registriert: Samstag 15. Juli 2006, 08:48
17
Wohnort: Murnau

Re: KoCoBox parallel an Fritz!Box

Beitrag von danspie »

zu 3) wir sind gesetzlich verpflichtet die TI einzuführen - ob ich anderer Meinung bin, als der Gesetzgeber ist unerheblich. Dafür trägt dann der Gesetzgeber die Verantwortung, wenn auf diesem Wege Daten ausspioniert werden.
zu 4) nochmals Entschuldigung, aber sie behaupten doch, dass die Daten in der seriellen Installation schlechter geschützt sind als in der paralellen und fordern jetzt von mir Belege, dass dies nicht so ist - in meiner Welt ist es immer noch so, dass derjendige, der eine Behauptung aufstellt den Beweis oder zumindest Anhalt dafür schuldet - aber ich bin über 50 und damit wohl zu alt um die heutige Welt zu verstehen!
In der aktuellen Diskussion über unsicheren Schutz der Daten in Praxen geht es meines Wissens nur um parallele Installationen - klar kann man eine parallele Installation ausreichend sicher machen, aber in vielen Praxen wird halt geschlampt. Und in dieser Hinsicht sollte man nicht mit unbelegten Verschwörungstheorien (und für das halte ich die Behauptung, dass Gemantik-Zertifizierungen den Aktionären - sprich Staat - Daten zuschanzt - wobei die Daten die ins Internet gehen sowieso zugänglich sind) vom eigentlichen Problem ablenken -> wenn parallele Installation, dann ordentlcihe Installation von jemand mit Sachverstand und nicht den Standard für ein Netz zu Hause!
Nichts für ungut
A. Spiegl
lcer
Beiträge: 574
Registriert: Sonntag 26. Oktober 2008, 09:15
15
Hat sich bedankt: 4 times
Bedankt: 21 times

Re: KoCoBox parallel an Fritz!Box

Beitrag von lcer »

Hallo,
zu 3) wir sind gesetzlich verpflichtet die TI einzuführen - ob ich anderer Meinung bin, als der Gesetzgeber ist unerheblich.
Ich habe ja auch nicht gegen die TI, wir haben sie relativ schnell nach Verfügbarkeit eingeführt.
Dafür trägt dann der Gesetzgeber die Verantwortung, wenn auf diesem Wege Daten ausspioniert werden.
Würde ich mich auf den Staat verlassen wollen, wäre ich angestellter Arzt. Ich bin aber Freiberufler.
zu 4) nochmals Entschuldigung, aber sie behaupten doch, dass die Daten in der seriellen Installation schlechter geschützt sind als in der paralellen und fordern jetzt von mir Belege, dass dies nicht so ist - in meiner Welt ist es immer noch so, dass derjendige, der eine Behauptung aufstellt den Beweis oder zumindest Anhalt dafür schuldet - aber ich bin über 50 und damit wohl zu alt um die heutige Welt zu verstehen!
Nein, die Reihenfolge der vorgetragenen Ansichten spielt keine Rolle für den Auseinandersetzung mit den Tatsachen.
In der aktuellen Diskussion über unsicheren Schutz der Daten in Praxen geht es meines Wissens nur um parallele Installationen - klar kann man eine parallele Installation ausreichend sicher machen, aber in vielen Praxen wird halt geschlampt.
Nun, bei uns nicht. Man kann das vielleicht wie folgt erklären:

Serielle Installation:
Der gesamte Datenverkehr ins Internet geht über den Konnektor. Der Konnektor und die dahinterliegende Telematikinfrastruktur sind technisch in der Lage, Telemetrieprofile des Datenverkehrs zu erstellen und Verbindungen zu analysieren. Da ich dem Staat und der Gematik grundsätzlich nicht vertraue (siehe oben, bin ja nicht angestellt) habe ich hier bedenken. Wenn Sie das mit Ihren 50 Jahren nicht nachvollziehen können, sind sie vermutlich in einem anderen Gesellschaftssystem sozialisiert worden, als ich.

Parallele Installation - rumgebastelt und unsicher installiert:
Hier besteht kein Schutz vor gar nichts. Darum dreht sich die aktuelle Sicherheitsdiskussion bezüglich der Telematik.

Parallele Installation mit "richtiger" Sicherheitsstruktur (so haben wir das gelöst) bedeutet:
- "richtige" Firewall (nicht nur NAT auf dem Router)
- Absicherung auch der Clients im lokalen Netz durch entsprechende ggf. Endpoint-Firewall, mindestens Antivirus-Software
- Sauber Rechtevergabe, Verschlüsselung etc. im internen Netz z.B. korrekt eingerichtete Windows Domäne
- kann man alles schön beim BSI - Stichwort Grundschutzkatalog nachlesen.

Ein wichtiger Punkt dabei ist die Netzsegmentierung: nachzulesen hier: https://www.bsi.bund.de/DE/Themen/ITGru ... esign.html Soll heißen, dass für Computersysteme mit unterschiedlichen Sicherheitsanforderungen unterschiedliche Netzwerke genutzt werden sollen: Beispiele für solche System wären:
- Identitätsserver (Domäncontroller)
- Produktive Server (Turbomedserver)
- Verwaltung von Infrasturkturgeräten (Router, Firewall, switches …)
- Fremdsysteme!

Der Konnektor ist ein Fremdsystem, dass nicht vollständig von mir verwaltet werden kann. Nach der Logik des BSI ist ein solches System hinter einer Firewall zu platzieren und vom restlichen Netz zu trennen. Das ist bei uns passiert. Nur explizit von meiner Firewall erlaubte Kommunikation zum Konnektor bzw. Lesegerät ist zugelassen. Alles was da nicht hin muss, gelangt da auch nicht hin. Auch kein Datenverkehr ans Internet.

Es tut mir leid, ich traue weder der Gematik, den Telematik-Betreibern, dem Internet-Provider und auch nicht CGM. Die Absicherung unserer Daten bleibt unsere Verantwortung.
Und in dieser Hinsicht sollte man nicht mit unbelegten Verschwörungstheorien (und für das halte ich die Behauptung, dass Gemantik-Zertifizierungen den Aktionären - sprich Staat - Daten zuschanzt - wobei die Daten die ins Internet gehen sowieso zugänglich sind) vom eigentlichen Problem ablenken -> wenn parallele Installation, dann ordentlcihe Installation von jemand mit Sachverstand und nicht den Standard für ein Netz zu
Da gebe ich Ihnen recht. Sachverstand ich hier gefragt. Aber bitte eine saubere Risikoanalyse nicht gleich mit Verschwörungstheorien abtun. Das hier ist eine technische Diskussion, keine Mainstream-Anti-Trump oder ich-meine-es-gut Diskussion.

Nichts für ungut.

Falls es jemanden interssiert, die Konfiguration zum separieren der Telematikgeräte ist gar nicht so kompliziert wenn man geeignete Hardware benutzt (mit der Fritzbox geht es nicht!). Ich kann das bei Gelegenheit mal posten.

Grüße

lcer
lcer
Beiträge: 574
Registriert: Sonntag 26. Oktober 2008, 09:15
15
Hat sich bedankt: 4 times
Bedankt: 21 times

Re: KoCoBox parallel an Fritz!Box

Beitrag von lcer »

Nachtrag - ein Problem das ich mit der zertifizierten Gematik Firmware des Konnektors habe:

https://www.heise.de/ct/artikel/Hinweis ... 35791.html
https://www.ingenico.de/binaries/conten ... v8.6.1.pdf

Der Konnektor ist ein letztlich ein VPN-Router. Die Firmware, das Betriebssystem des Konnektors enthält diverse Komponenten (Softwarebibliotheken), die Fehler (Bugs) haben können. Für die KocoBox habe ich keine Aufstellung der verwendeten Open Source Komponenten gefunden. Möglicherweise werden hier kommerziell verfügbare Softwarebibliotheken genutzt.

Als Beispiel sei die OpenSSL-Bibliothek aufgeführt. Diese ist eine weit verbreitetet Grundlage vieler wichtiger Kryptographie-Umsetzungen im Internet, zum Beispiel im Bereich VPN. (in der Telematikinfrastruktur erfolgt die Absicherung ebenfalls über SSL - die berühmten Zertifikate auf den diversen Chipkarten zählen dazu - allerdings werden je nach Hersteller unterschiedliche Softwarebibliotheken eingesetzt.)

Eine Übersicht für die Sicherheitspatches der Open Source SSL-Bibliothek findet man hier: https://www.openssl.org/news/vulnerabilities.html.
Infos zu den Updates der Kokobox hier: https://www.kocobox.de/support.de.jsp

Was fällt auf?
In der gleichen Zeit gab es deutlich mehr Sicherheitspatches für die Open Source SSL-Bibliothek als für den Konnektor. Kann man daraus schließen, dass der Konnektor besser programmiert ist? Nun, dass kann jeder für sich entscheiden. Einen Einstieg zum Thema findet man in einem aktuellen Artikel bei Heise https://www.heise.de/security/meldung/D ... 79682.html

Nach meiner Meinung werden sicherheitsrelevante Softwareupdates durch die zentrale Organisation der Telematik eher ein verzögert als konsequent durchgezogen. Jedes Update muss ja neu zertifiziert werden, das kostet Zeit und Geld.

Ausserdem dürfte der zentrale Fokus der Gematik auf dem Schutz der eigenen Telematikinfrastukturnetze liegen. Der Schutz unseres Praxisnetzes ist da sicher nachrangig.

Daher - Telematik da, wo wir müssen. Das muss aber jeder für sich entscheiden.


Grüße

lcer
danspie
PowerUser
Beiträge: 858
Registriert: Samstag 15. Juli 2006, 08:48
17
Wohnort: Murnau

Re: KoCoBox parallel an Fritz!Box

Beitrag von danspie »

... auch wir haben den Konnektor in einem eigenen Netz, da wir ihm nicht trauen. Aber mir ist es letztendlich vond er Sicherheit her egal, ob die Daten ins Internet über den Konnektor oder unseren Router gehen, da sehe ich weiterhin keine wesentliche Unterschiede......
Schönen Abend
A. Spiegl
Benutzeravatar
torsten2
Beiträge: 434
Registriert: Sonntag 25. Oktober 2015, 22:07
8
Wohnort: Gera (KV Thüringen)
Hat sich bedankt: 20 times
Bedankt: 14 times

Re: KoCoBox parallel an Fritz!Box

Beitrag von torsten2 »

Um das Thema nochmal aufzuwärmen: Icer hatte ja angeboten, Details zu posten, wie man den Konnektor in ein eigenes Subnetz bekommt. Ich wäre da sehr interessiert. Insbesondere die Kommunikation zu den Lesegeräten und dem Server bzw. den Arbeitsstationen.
lcer
Beiträge: 574
Registriert: Sonntag 26. Oktober 2008, 09:15
15
Hat sich bedankt: 4 times
Bedankt: 21 times

Re: KoCoBox parallel an Fritz!Box

Beitrag von lcer »

nmndoc
Beiträge: 1797
Registriert: Donnerstag 17. März 2011, 12:56
13
Bedankt: 24 times

Re: KoCoBox parallel an Fritz!Box

Beitrag von nmndoc »

habe das o.g. nur überflogen, aber letztlich ist das Vorgehen ja immer gleich: Sie trennen die Netze über ein Gerät Router/Firewall, dass mehrere Netze unterstützt - am besten über wirklich unterschiedliche Ports, sonst via VLan.
Die FritzBox könnte die Netze über die Gastnetzfunktion trennen - man kann da ja Port 4 oder 5 m.E. als Gastnetz einrichten - allerdings weiß ich nicht, ob die FB den Zugriff vom LAN in das Gastnetz erlaubt und man hat hier im Zweifelsfall keine großeb Einflußmöglichkeiten (IP-Bereich zB fest vorgegeben).
Daher vielleicht am besten in der Art, wie Icer beschrieben hat - zwei Router hintereinander, dh das externe Interface/Port des "inneren" Routers hängt dann an einem LAN-Port der FB (dann aber keine Gastnetz-Funktion verwenden).
Das Telematik-Zeug gehört dann direkt andie FB, die Praxisrechner an/hinter den inneren Router.

dh dann auch:

Default gateway für Konnektor etc: FB
Default gw innerer Router: FB
default GW LAN/Praxisnetz: innerer Router.

via NAT sollte das ganze so eigentlich funktionieren. Insbesondere sollte es nicht nötig sein, auf der FB Routen in die internen Netze einzutragen - wohl aber die zu KV-Safenet. UND auf dem Konnektor muss man unter interne Netze evtl. das Praxis-Netz hinterlegen - vielleicht geht es dan NAT aber auch ohne.
Benutzeravatar
torsten2
Beiträge: 434
Registriert: Sonntag 25. Oktober 2015, 22:07
8
Wohnort: Gera (KV Thüringen)
Hat sich bedankt: 20 times
Bedankt: 14 times

Re: KoCoBox parallel an Fritz!Box

Beitrag von torsten2 »

Ich habe bisher einen Rechner mit einer Quad-Netzwerkkarte mit CentOS und die Firewall mit fwbuilder konfiguriert. Leider wird die Software nicht mehr weiterentwickelt. Da ich was Ordentliches will und auf die Kosten achte möchte ich mir nun das "Blech" von HUNSN kaufen (4-8 Ports, auch SFP wenn gewünscht) und darauf die Endian Community Version installieren.

Die Fritzbox Kabel wird nur als Transfernetz genutzt. Hier sind nur nicht vertrauenswürdige Geräte (EC-Cash, Wartezimmer-TV) angeschlossen. Man könnte auch noch das Gastnetz aktivieren und die CoKoBox exklusiv an LAN-4 anschließen. Das hier das Netz festgelegt ist, stört ja nicht. Man müßte dann nur im Filter der Fritzbox noch bissel was freischalten.

Was mich schon die ganze Zeit bei IAG gestört hat ist, daß man den WAN Port nicht verwenden kann. Wenn mit der Variante KEINER der Wan-Port geht, wär das ein großer Fortschritt. Aussperren kann man sich ja da auch nicht.

Ich habe sowieso schon eine Route hinzugefügt, funktioniert gut. Wenn man Die Weiterleitung von BLOCK auf REDIRECT stellt, akzeptiert die Box auch die Subnetze. Das sollte es auch einfaches Routing tun, NAT brauchts dann eingentlich nicht.

Laut TM Techniker bei der Installation müssen die Geräte und Arbeitsstationen im gleichen Subnetz sein, sonst funktioniert es nicht. Hat es denn jemand so in Betrieb?
Unbenannt-1.jpg

Sry, Freihand mit dem Grafiktablett gezeichnet...

Was mich jetzt interessiert ist, was passiert, wenn ich die IP des Konnektors ändere? Wo muß ich die Änderung (Server, Arbeitsstationen) überall eintragen?
Sie haben keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
lcer
Beiträge: 574
Registriert: Sonntag 26. Oktober 2008, 09:15
15
Hat sich bedankt: 4 times
Bedankt: 21 times

Re: KoCoBox parallel an Fritz!Box

Beitrag von lcer »

torsten2 hat geschrieben: Laut TM Techniker bei der Installation müssen die Geräte und Arbeitsstationen im gleichen Subnetz sein, sonst funktioniert es nicht. Hat es denn jemand so in Betrieb?
Deswegen das NAT. Dann glaubt der Konnektor, er wäre im selben Subnetz. Das einzige was nicht geht ist das kocobox Tool von CGM, das starte ich dann auf einer VM im Konnektor Subnetz, falls überhaupt erforderlich.

Grüße

lcer
Antworten

Wer ist online?

Mitglieder in diesem Forum: Ahrefs [Bot], Bing [Bot] und 42 Gäste