IT-Sicherheitsrichtline KBV ab 1.1.21
Moderator: Forum Moderatoren
Forumsregeln
TM-Startforum - "offen für alle Themen".
Beiträge, die in einen anderen Bereich passen, werden bei Bedarf verschoben.
TM-Startforum - "offen für alle Themen".
Beiträge, die in einen anderen Bereich passen, werden bei Bedarf verschoben.
-
- Beiträge: 400
- Registriert: Montag 6. Februar 2012, 21:54
- 12
- Bedankt: 3 times
IT-Sicherheitsrichtline KBV ab 1.1.21
In Anlage 5 "dezentrale Komponenten der TI" wird eine geschützte Kommunikation mit dem Konnektor verlangt. Es wird lauter wirres Zeug gefordert. Auf der Startseite der KVB Bayern kann man sich den Irrsinn anschauen. Meine Frage an die Kollegen: wie setzen Sie die Anforderungen um?? Ich bin froh, daß diese TI läuft und möchte nicht schon wieder was ändern! Ich habe die Kokobox.
- Lazarus
- Beiträge: 1153
- Registriert: Freitag 22. Dezember 2006, 17:04
- 17
- Hat sich bedankt: 13 times
- Bedankt: 25 times
Re: IT-Sicherheitsrichtline KBV ab 1.1.21
Von außen wäre das VPN
Wie das von TM zur Kokobox läuft und zurück, ist allerdings nirgends dokumentiert. Das ist Aufgabe von Turbomed, diese Bedingungen zu erfüllen
Wie das von TM zur Kokobox läuft und zurück, ist allerdings nirgends dokumentiert. Das ist Aufgabe von Turbomed, diese Bedingungen zu erfüllen
Re: IT-Sicherheitsrichtline KBV ab 1.1.21
Sichere Komunikation mit Konnektor meint hier TLS. Dazu gibt es auch schon hier im Forum einen längeren Beitrag wie man das aktiviert und ggf Hürden
- RAMöller
- Beiträge: 1313
- Registriert: Montag 4. Januar 2010, 20:42
- 14
- Hat sich bedankt: 4 times
- Bedankt: 14 times
Re: IT-Sicherheitsrichtline KBV ab 1.1.21
Unter der Hilfe in F1 unter "TLS verschlüsselte Kommunikation ohne Authentisierung" steht auch etwas. Die frage ist nur, was passiert wenn man das aktiviert? wir trauen uns nicht........
-
- Beiträge: 172
- Registriert: Donnerstag 23. August 2012, 11:01
- 11
- Hat sich bedankt: 1 time
- Bedankt: 1 time
Re: IT-Sicherheitsrichtline KBV ab 1.1.21
Anschaffung einer neuen Hardware Firewall eines deutschen Herstellers im Leasing mit regelmäßigen Updates. Dies wird n.m. K. zwar erst zum 1.1.22 gefordert. Ein Exchange Server Hack der benachbarten Hausverwaltung bei insuffizienter Netzwerkinfrastruktur zeigte uns aber: Besser nochmal was tun für die Sicherheit.
Das Gerät ermöglicht zudem eine VPN Verbindung per 2 Faktor Authentifizerung(via Google Authenticator). Finde ich persönlich sehr gut da zudem dieses Feature sehr gut selbst zu managen ist. Insbesondere wenn wie bei uns die mobilen Laptops unter den MA immer mal wieder weiter gereicht werden (müssen).
Das Gerät ermöglicht zudem eine VPN Verbindung per 2 Faktor Authentifizerung(via Google Authenticator). Finde ich persönlich sehr gut da zudem dieses Feature sehr gut selbst zu managen ist. Insbesondere wenn wie bei uns die mobilen Laptops unter den MA immer mal wieder weiter gereicht werden (müssen).
Re: IT-Sicherheitsrichtline KBV ab 1.1.21
Bei einer profesionellen Firewall hat man ohnehin i.d.Regel a) Anschaffungskosten (Kauf) und B) Wartung - d.h. jährliche Gebühren, um das System mit Updates etc zu versorgen oder auch für 24/7 service, Hardware-Tausch nach x Jahren etc.RAMöller hat geschrieben:interessant, Leasen hört sich irgendwie teuer an?
Teuer ist relativ. Würde mal sagen "noch" gerade 2-stellig oder vielleicht auch knapp drüber
-
- Beiträge: 6
- Registriert: Dienstag 5. Oktober 2010, 19:24
- 13
Re: IT-Sicherheitsrichtline KBV ab 1.1.21
Ich plane demnächst einen externen Hardware-Firewall der zwischen der Fritzbox (Internet) und dem Praxisnetzwerk installiert werden soll.
Habe dafür den LES v3 ins Auge gefasst:
https://www.thomas-krenn.com/de/produkt ... lesv3.html
Läuft unter Linux mit der kostenlosen Software OPNsense.
https://opnsense.org/
Was man darüber in unabhängigen Foren liest hört sich sehr gut an. Aber auch kompliziert
Die Systemhäuser der Praxis-EDV machen schon Werbung für eigene und teure Lösungen und machen einem Angst mit Hinblick auf die IT-Sicherheitsrichtline der KBV.
Ich hätte gerne eine eigene Lösung und möchte Wissen was die macht. Nicht wieder so eine Blackbox a la TI-Konnektor die irgendwer hinfrickelt.
Hat jemand Erfahrung mit OPNsense o.ä. und mag hier berichten.
Habe dafür den LES v3 ins Auge gefasst:
https://www.thomas-krenn.com/de/produkt ... lesv3.html
Läuft unter Linux mit der kostenlosen Software OPNsense.
https://opnsense.org/
Was man darüber in unabhängigen Foren liest hört sich sehr gut an. Aber auch kompliziert
Die Systemhäuser der Praxis-EDV machen schon Werbung für eigene und teure Lösungen und machen einem Angst mit Hinblick auf die IT-Sicherheitsrichtline der KBV.
Ich hätte gerne eine eigene Lösung und möchte Wissen was die macht. Nicht wieder so eine Blackbox a la TI-Konnektor die irgendwer hinfrickelt.
Hat jemand Erfahrung mit OPNsense o.ä. und mag hier berichten.
Sie haben keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
-
- Beiträge: 576
- Registriert: Sonntag 26. Oktober 2008, 09:15
- 15
- Hat sich bedankt: 6 times
- Bedankt: 22 times
Re: IT-Sicherheitsrichtline KBV ab 1.1.21
Hallo,
wir setzen die OPNSense an 4 Standorten ein. Charmant ist, dass es ein europäisches Produkt ist. Wir haben es auf der original Hardware von deciso laufen, einmal klein als Desktop-Variante und 2x groß im Serverschrank. Die LES sind immer günstig, wenn man den Konfigurator startet, am Ende der Konfiguration aber nicht unbedingt billiger. Um die Möglichkeiten zu nutzen, muss man sich aber mit Netzwerkprotokollen&co auskennen. Und damit gegenüber der FRITZ!Box ein wirklicher Sicherheitsgewinn entsteht, ist viel Arbeit an Firewall und IDS nötig. Dafür eben kostenlos. Wer das scheut, ist sicher mit einer Appliancelösung wie Sophos besser bedient. Die kostet aber.
Man sollte noch darauf hinweisen, dass im von der KBV beschlossene Fassung nirgendwo eine „Hardwarefirewall“ gefordert wird. Das steht erst in den Kommentaren und Hinweisen, die aber nicht bindend sind.
Grüße
lcer
wir setzen die OPNSense an 4 Standorten ein. Charmant ist, dass es ein europäisches Produkt ist. Wir haben es auf der original Hardware von deciso laufen, einmal klein als Desktop-Variante und 2x groß im Serverschrank. Die LES sind immer günstig, wenn man den Konfigurator startet, am Ende der Konfiguration aber nicht unbedingt billiger. Um die Möglichkeiten zu nutzen, muss man sich aber mit Netzwerkprotokollen&co auskennen. Und damit gegenüber der FRITZ!Box ein wirklicher Sicherheitsgewinn entsteht, ist viel Arbeit an Firewall und IDS nötig. Dafür eben kostenlos. Wer das scheut, ist sicher mit einer Appliancelösung wie Sophos besser bedient. Die kostet aber.
Man sollte noch darauf hinweisen, dass im von der KBV beschlossene Fassung nirgendwo eine „Hardwarefirewall“ gefordert wird. Das steht erst in den Kommentaren und Hinweisen, die aber nicht bindend sind.
Grüße
lcer
-
- Beiträge: 6
- Registriert: Dienstag 5. Oktober 2010, 19:24
- 13
Re: IT-Sicherheitsrichtline KBV ab 1.1.21
Hallo Icer,
vielen Dank für Ihren Bericht wie Sie OPNsense nutzen. Zeigt mir, dass es funktioniert.
Danke auch für die Erwähnung von Sophos als Alternative.
Das ein Hardware Firewall noch nicht zwingend von der KBV gefordert wird habe ich auch so verstanden. Aber ich denke es ist nur eine Frage der Zeit bis das so kommt. Unabhängig von der KBV macht in der heutigen Zeit eine Hardware-Firewall schon Sinn.
Grüße
Mondo
vielen Dank für Ihren Bericht wie Sie OPNsense nutzen. Zeigt mir, dass es funktioniert.
Danke auch für die Erwähnung von Sophos als Alternative.
Das ein Hardware Firewall noch nicht zwingend von der KBV gefordert wird habe ich auch so verstanden. Aber ich denke es ist nur eine Frage der Zeit bis das so kommt. Unabhängig von der KBV macht in der heutigen Zeit eine Hardware-Firewall schon Sinn.
Grüße
Mondo
- RAMöller
- Beiträge: 1313
- Registriert: Montag 4. Januar 2010, 20:42
- 14
- Hat sich bedankt: 4 times
- Bedankt: 14 times
Re: IT-Sicherheitsrichtline KBV ab 1.1.21
Kurze Rückfrage:
auf einer Hardware-Firewall läuft Software, die den Trafic filtert.....
Wo ist der Vorteil gegenüber einer Softwarelösung auf einen Rechner?
auf einer Hardware-Firewall läuft Software, die den Trafic filtert.....
Wo ist der Vorteil gegenüber einer Softwarelösung auf einen Rechner?
Re: IT-Sicherheitsrichtline KBV ab 1.1.21
Und ohne das jetzt zu negativ darstellen zu wollen...
A) ist in meinen Augen eine FritzBox auch eine Hardware Firewall, die lässt nur von Innen nach aussen immer alles zu
B) ist es aufwändig eine echte Firewall zu betreiben (und dabei ist es egal, was es ist)
Egal ob es nachher eine Opensource Lösung (PFSense, OPensene, DDWRT mit IpTaples...), oder eine entsprechende Appliance ist, die Wartung ist das aufwendige.
Ich persönlich werde jetzt wahrscheinlich in der Praxis auf Ubiquiti umstellen inkl. des entsprechenden Gateways.
A) ist in meinen Augen eine FritzBox auch eine Hardware Firewall, die lässt nur von Innen nach aussen immer alles zu
B) ist es aufwändig eine echte Firewall zu betreiben (und dabei ist es egal, was es ist)
Egal ob es nachher eine Opensource Lösung (PFSense, OPensene, DDWRT mit IpTaples...), oder eine entsprechende Appliance ist, die Wartung ist das aufwendige.
Ich persönlich werde jetzt wahrscheinlich in der Praxis auf Ubiquiti umstellen inkl. des entsprechenden Gateways.
-
- Beiträge: 149
- Registriert: Samstag 3. Januar 2009, 16:55
- 15
- PVS: T2Med
- Konnektortyp: TIaaS (RED)
- Bedankt: 7 times
Re: IT-Sicherheitsrichtline KBV ab 1.1.21
@macros
"A) ist in meinen Augen eine FritzBox auch eine Hardware Firewall, die lässt nur von Innen nach aussen immer alles zuläßt"
-> Läßt sich aber unter Internet->Filter->Listen durchaus bis auf NUL einschränken
"A) ist in meinen Augen eine FritzBox auch eine Hardware Firewall, die lässt nur von Innen nach aussen immer alles zuläßt"
-> Läßt sich aber unter Internet->Filter->Listen durchaus bis auf NUL einschränken
-
- Beiträge: 576
- Registriert: Sonntag 26. Oktober 2008, 09:15
- 15
- Hat sich bedankt: 6 times
- Bedankt: 22 times
Re: IT-Sicherheitsrichtline KBV ab 1.1.21
Hallo,
Es lohnt sich auch mal über Zero-Trust-Networks zu lesen:
https://www.nsa.gov/News-Features/Featu ... ity-model/
https://www.scip.ch/?labs.20191107
https://www.security-insider.de/was-ist ... -a-752389/
Die IT-Sicherheitsrichtlinie ist eigentlich dilettantisch zusammengeschustert. Da aber haufenweise Dilettanten bei 1) den Softwareanbietern und 2) den Arztpraxen unterwegs sind, ist sie ein eigentlich ganz guter Einstieg in das Thema - für diejenigen, die sich bisher noch nicht mit IT-Sicherheit beschäftigt haben. Allen anderen, also denen die bereits ein Sicherheitskonzept haben und umsetzen, ist die Sicherheitsrichtlinie mal wieder nur ein Klotz am Bein.
Grüße
lcer
Na da habe ich Zweifel. Dazu müßte die KV definieren, welche Regeln den durch die Firewall durchgesetzt werden sollen - sonst macht das keinen Sinn. Aber welche Regeln sollen das sein? Turbomed stellt beispielsweise keine Liste Bereit, welche Internetadressen (nicht Ports!) ausgehend erlaubt sein müssen, damit alles läuft. Andere Anbieter tun das auch nicht. Wie soll ich dann durch die Firewall nur erlaubte Ziele zulassen ....?mondo79 hat geschrieben:Hallo Icer,
Das ein Hardware Firewall noch nicht zwingend von der KBV gefordert wird habe ich auch so verstanden. Aber ich denke es ist nur eine Frage der Zeit bis das so kommt.
nicht unbedingt. Zum einen kann man Firewalls auch Virtuell betreiben (OPNSense, pfsense, sophos, etc... ). Zum anderen tobt hier der Glaubenskrieg zwischen Perimeterfirewall und Endpointfirewall. Die Perimeterfirewall (die vermutlich mit hardware-Firewall gemeint ist) nützt nur wenig gegen Spear-Fishing Angriffe. Wenn ich alle Hosts einzeln per Endpoint-Firewall abschirme, hat es ein Angreifer deutlich schwerer auf die relevanten Daten zu kommen. (Vermutlich wäre eine Kombination das Beste ...)Unabhängig von der KBV macht in der heutigen Zeit eine Hardware-Firewall schon Sinn.
Es lohnt sich auch mal über Zero-Trust-Networks zu lesen:
https://www.nsa.gov/News-Features/Featu ... ity-model/
https://www.scip.ch/?labs.20191107
https://www.security-insider.de/was-ist ... -a-752389/
Die IT-Sicherheitsrichtlinie ist eigentlich dilettantisch zusammengeschustert. Da aber haufenweise Dilettanten bei 1) den Softwareanbietern und 2) den Arztpraxen unterwegs sind, ist sie ein eigentlich ganz guter Einstieg in das Thema - für diejenigen, die sich bisher noch nicht mit IT-Sicherheit beschäftigt haben. Allen anderen, also denen die bereits ein Sicherheitskonzept haben und umsetzen, ist die Sicherheitsrichtlinie mal wieder nur ein Klotz am Bein.
Grüße
lcer
-
- Beiträge: 6
- Registriert: Dienstag 5. Oktober 2010, 19:24
- 13
Re: IT-Sicherheitsrichtline KBV ab 1.1.21
Ihr ganzes Konzept ist eine Blackbox - Sie haben keine Möglichkeit zu sehen, was die Ubiquiti-Geräte wirklich tun.Macros hat geschrieben:Und ohne das jetzt zu negativ darstellen zu wollen...
Ich persönlich werde jetzt wahrscheinlich in der Praxis auf Ubiquiti umstellen inkl. des entsprechenden Gateways.
Der Vorteil der vorgeschalteten Hardware-Firewall ist, dass die Schadsoftware gar nicht auf den Rechner kommt.RAMöller hat geschrieben:Kurze Rückfrage:
auf einer Hardware-Firewall läuft Software, die den Trafic filtert.....
Wo ist der Vorteil gegenüber einer Softwarelösung auf einen Rechner?
So sehe ich das jetzt auch nachdem ich mir diese "Richtlinie" genau durchgelesen habe. Viel heiße Luft. Hat aber jetzt zu einem Problembewusstsein bei mir geführt mich mehr mit IT-Sicherheit zu befassen.lcer hat geschrieben: Die IT-Sicherheitsrichtlinie ist eigentlich dilettantisch zusammengeschustert. Da aber haufenweise Dilettanten bei 1) den Softwareanbietern und 2) den Arztpraxen unterwegs sind, ist sie ein eigentlich ganz guter Einstieg in das Thema - für diejenigen, die sich bisher noch nicht mit IT-Sicherheit beschäftigt haben. Allen anderen, also denen die bereits ein Sicherheitskonzept haben und umsetzen, ist die Sicherheitsrichtlinie mal wieder nur ein Klotz am Bein.
Mal sehen ob ich die OPNsense Box zum laufen bringe. Wenn nicht, dann kommt da ein normales Ubuntu drauf und ich habe einen flotten Client für mein T2med Netzwerk. TurboMed war gestern
Ich werde berichten.
Mondo
Re: IT-Sicherheitsrichtline KBV ab 1.1.21
Moin,mondo79 hat geschrieben:Ihr ganzes Konzept ist eine Blackbox - Sie haben keine Möglichkeit zu sehen, was die Ubiquiti-Geräte wirklich tun.Macros hat geschrieben:Und ohne das jetzt zu negativ darstellen zu wollen...
Ich persönlich werde jetzt wahrscheinlich in der Praxis auf Ubiquiti umstellen inkl. des entsprechenden Gateways.
das verstehe ich nicht, wieso meinen Sie, das die Ubiquiti Geräte eine Blackbox sind? Sie meinen das OS? Dann ja, ...
Die Richtlinien nein, die defniere ich ja
Gruß
J
-
- Beiträge: 424
- Registriert: Mittwoch 5. September 2018, 21:47
- 5
- Wohnort: Land Brandenburg
- Hat sich bedankt: 17 times
- Bedankt: 30 times
Re: IT-Sicherheitsrichtline KBV ab 1.1.21
Ja schon,Macros hat geschrieben: Die Richtlinien [...], die defniere ich ja
Das ist auch genau meine Erfahrung mit der TM-Hotline. Nach der zweiten Nachfrage heißt es, der DVO soll helfen. Der weiß aber auch nichts (oder will nichts wissen ohne extra viele €€€).lcer hat geschrieben: Aber welche Regeln sollen das sein? Turbomed stellt beispielsweise keine Liste Bereit, welche Internetadressen (nicht Ports!) ausgehend erlaubt sein müssen, damit alles läuft. Andere Anbieter tun das auch nicht. Wie soll ich dann durch die Firewall nur erlaubte Ziele zulassen ....?
Die CGM TI-Hotline hat es nicht mal für notwendig befunden, zu antworten. Dabei sollten die doch genau wissen, wohin und womit der Konnektor nach Hause telefoniert und was er sonst noch so braucht.
-
- Beiträge: 9
- Registriert: Mittwoch 11. Januar 2017, 17:50
- 7
Re: IT-Sicherheitsrichtline KBV ab 1.1.21
Hallo Zusammen,
selbst die KBV geht in Ihrer Handreichung "lediglich" von einer Endpointfirewall und keiner Appliance aus - wir fühlen uns hinter einer Firewall Hardware irgendwie sicherer: https://www.kbv.de/media/sp/PraxisWisse ... erheit.pdf
Anlage 1 Nummer 32
HINWEIS: Eine Firewall ist ein Programm, das
Computer oder Netzwerke vor unerwünschten
Zugriffen schützen soll. Eine IP-Adresse macht in
einem Netzwerk die daran angeschlossenen Geräte
erreichbar (adressierbar). Ports sind während einer
Verbindung die jeweiligen Endstellen. Kommu
nikationsprotokolle bilden eine Grundlage für
die Vernetzung. Die Datenübertragung zwischen
mehreren Parteien wird hier definiert, also wie die
Kommunikation erfolgt.
selbst die KBV geht in Ihrer Handreichung "lediglich" von einer Endpointfirewall und keiner Appliance aus - wir fühlen uns hinter einer Firewall Hardware irgendwie sicherer: https://www.kbv.de/media/sp/PraxisWisse ... erheit.pdf
Anlage 1 Nummer 32
HINWEIS: Eine Firewall ist ein Programm, das
Computer oder Netzwerke vor unerwünschten
Zugriffen schützen soll. Eine IP-Adresse macht in
einem Netzwerk die daran angeschlossenen Geräte
erreichbar (adressierbar). Ports sind während einer
Verbindung die jeweiligen Endstellen. Kommu
nikationsprotokolle bilden eine Grundlage für
die Vernetzung. Die Datenübertragung zwischen
mehreren Parteien wird hier definiert, also wie die
Kommunikation erfolgt.
-
- Beiträge: 149
- Registriert: Samstag 3. Januar 2009, 16:55
- 15
- PVS: T2Med
- Konnektortyp: TIaaS (RED)
- Bedankt: 7 times
Re: IT-Sicherheitsrichtline KBV ab 1.1.21
Eine "Appliance" ist nix Anderes als Software (Firewall) auf Hardware aufgesetzt und so verkauft.
Ein Beispiel: der Intranator von Intra2net wird als Appliance angeboten, aber auch als reine Software.
Einen Unterschied, ob ich nun das ganze Paket ("Appliance") nehme, oder alleinig die Software auf einem eigenen Gerät bereitstelle (insb. VM), gibt es nicht.
Entscheidend sind die Einstellungen der Firewall.
Ein Beispiel: der Intranator von Intra2net wird als Appliance angeboten, aber auch als reine Software.
Einen Unterschied, ob ich nun das ganze Paket ("Appliance") nehme, oder alleinig die Software auf einem eigenen Gerät bereitstelle (insb. VM), gibt es nicht.
Entscheidend sind die Einstellungen der Firewall.
Re: IT-Sicherheitsrichtline KBV ab 1.1.21
Nicht ganz.W. Steuber hat geschrieben:Eine "Appliance" ist nix Anderes als Software (Firewall) auf Hardware aufgesetzt und so verkauft.
Ein Beispiel: der Intranator von Intra2net wird als Appliance angeboten, aber auch als reine Software.
Einen Unterschied, ob ich nun das ganze Paket ("Appliance") nehme, oder alleinig die Software auf einem eigenen Gerät bereitstelle (insb. VM), gibt es nicht.
Entscheidend sind die Einstellungen der Firewall.
HW-Appliace - üblicher Weise eine Box - also Hardware, Betriebssystem + Anwendung alles aus einer Hand
Soft-Appliace: zB als .ISO - auch inkl. Betriebssystem zur Installation auf eigener HW oder VM
Dann gibt es doch - ich weiß nicht ob zB bei Intranator - die eigentliche Software/Anwendung - also zB Proxy, Server, evtl. auch Firewall o.ä. zur Installation auf einem eigenen System - großer Unterschied - für das eigentliche Betriebssystem inkl. Updates, Sicherheit etc ist man selbst verantwortlich.
Wer ist online?
Mitglieder in diesem Forum: Google [Bot], Semrush [Bot] und 41 Gäste