Hallo,
zu 3) wir sind gesetzlich verpflichtet die TI einzuführen - ob ich anderer Meinung bin, als der Gesetzgeber ist unerheblich.
Ich habe ja auch nicht gegen die TI, wir haben sie relativ schnell nach Verfügbarkeit eingeführt.
Dafür trägt dann der Gesetzgeber die Verantwortung, wenn auf diesem Wege Daten ausspioniert werden.
Würde ich mich auf den Staat verlassen wollen, wäre ich angestellter Arzt. Ich bin aber Freiberufler.
zu 4) nochmals Entschuldigung, aber sie behaupten doch, dass die Daten in der seriellen Installation schlechter geschützt sind als in der paralellen und fordern jetzt von mir Belege, dass dies nicht so ist - in meiner Welt ist es immer noch so, dass derjendige, der eine Behauptung aufstellt den Beweis oder zumindest Anhalt dafür schuldet - aber ich bin über 50 und damit wohl zu alt um die heutige Welt zu verstehen!
Nein, die Reihenfolge der vorgetragenen Ansichten spielt keine Rolle für den Auseinandersetzung mit den Tatsachen.
In der aktuellen Diskussion über unsicheren Schutz der Daten in Praxen geht es meines Wissens nur um parallele Installationen - klar kann man eine parallele Installation ausreichend sicher machen, aber in vielen Praxen wird halt geschlampt.
Nun, bei uns nicht. Man kann das vielleicht wie folgt erklären:
Serielle Installation:
Der gesamte Datenverkehr ins Internet geht über den Konnektor. Der Konnektor und die dahinterliegende Telematikinfrastruktur sind technisch in der Lage, Telemetrieprofile des Datenverkehrs zu erstellen und Verbindungen zu analysieren. Da ich dem Staat und der Gematik grundsätzlich nicht vertraue (siehe oben, bin ja nicht angestellt) habe ich hier bedenken. Wenn Sie das mit Ihren 50 Jahren nicht nachvollziehen können, sind sie vermutlich in einem anderen Gesellschaftssystem sozialisiert worden, als ich.
Parallele Installation - rumgebastelt und unsicher installiert:
Hier besteht kein Schutz vor gar nichts. Darum dreht sich die aktuelle Sicherheitsdiskussion bezüglich der Telematik.
Parallele Installation mit "richtiger" Sicherheitsstruktur (so haben wir das gelöst) bedeutet:
- "richtige" Firewall (nicht nur NAT auf dem Router)
- Absicherung auch der Clients im lokalen Netz durch entsprechende ggf. Endpoint-Firewall, mindestens Antivirus-Software
- Sauber Rechtevergabe, Verschlüsselung etc. im internen Netz z.B. korrekt eingerichtete Windows Domäne
- kann man alles schön beim BSI - Stichwort Grundschutzkatalog nachlesen.
Ein wichtiger Punkt dabei ist die Netzsegmentierung: nachzulesen hier:
https://www.bsi.bund.de/DE/Themen/ITGru ... esign.html Soll heißen, dass für Computersysteme mit unterschiedlichen Sicherheitsanforderungen unterschiedliche Netzwerke genutzt werden sollen: Beispiele für solche System wären:
- Identitätsserver (Domäncontroller)
- Produktive Server (Turbomedserver)
- Verwaltung von Infrasturkturgeräten (Router, Firewall, switches …)
- Fremdsysteme!
Der Konnektor ist ein Fremdsystem, dass nicht vollständig von mir verwaltet werden kann. Nach der Logik des BSI ist ein solches System hinter einer Firewall zu platzieren und vom restlichen Netz zu trennen. Das ist bei uns passiert. Nur explizit von meiner Firewall erlaubte Kommunikation zum Konnektor bzw. Lesegerät ist zugelassen. Alles was da nicht hin muss, gelangt da auch nicht hin. Auch kein Datenverkehr ans Internet.
Es tut mir leid, ich traue weder der Gematik, den Telematik-Betreibern, dem Internet-Provider und auch nicht CGM. Die Absicherung unserer Daten bleibt unsere Verantwortung.
Und in dieser Hinsicht sollte man nicht mit unbelegten Verschwörungstheorien (und für das halte ich die Behauptung, dass Gemantik-Zertifizierungen den Aktionären - sprich Staat - Daten zuschanzt - wobei die Daten die ins Internet gehen sowieso zugänglich sind) vom eigentlichen Problem ablenken -> wenn parallele Installation, dann ordentlcihe Installation von jemand mit Sachverstand und nicht den Standard für ein Netz zu
Da gebe ich Ihnen recht. Sachverstand ich hier gefragt. Aber bitte eine saubere Risikoanalyse nicht gleich mit Verschwörungstheorien abtun. Das hier ist eine technische Diskussion, keine Mainstream-Anti-Trump oder ich-meine-es-gut Diskussion.
Nichts für ungut.
Falls es jemanden interssiert, die Konfiguration zum separieren der Telematikgeräte ist gar nicht so kompliziert wenn man geeignete Hardware benutzt (mit der Fritzbox geht es nicht!). Ich kann das bei Gelegenheit mal posten.
Grüße
lcer