IT-Sicherheitsrichtline KBV ab 1.1.21

[Heilberger]

In Anlage 5 "dezentrale Komponenten der TI" wird eine geschützte Kommunikation mit dem Konnektor verlangt. Es wird lauter wirres Zeug gefordert. Auf der Startseite der KVB Bayern kann man sich den Irrsinn anschauen. Meine Frage an die Kollegen: wie setzen Sie die Anforderungen um?? Ich bin froh, daß diese TI läuft und möchte nicht schon wieder was ändern! Ich habe die Kokobox.

[Lazarus]

Von außen wäre das VPN
Wie das von TM zur Kokobox läuft und zurück, ist allerdings nirgends dokumentiert. Das ist Aufgabe von Turbomed, diese Bedingungen zu erfüllen

[nmndoc]

Sichere Komunikation mit Konnektor meint hier TLS. Dazu gibt es auch schon hier im Forum einen längeren Beitrag wie man das aktiviert und ggf Hürden

[RAMöller]

Unter der Hilfe in F1 unter "TLS verschlüsselte Kommunikation ohne Authentisierung" steht auch etwas. Die frage ist nur, was passiert wenn man das aktiviert? wir trauen uns nicht........

[mono22]

Anschaffung einer neuen Hardware Firewall eines deutschen Herstellers im Leasing mit regelmäßigen Updates. Dies wird n.m. K. zwar erst zum 1.1.22 gefordert. Ein Exchange Server Hack der benachbarten Hausverwaltung bei insuffizienter Netzwerkinfrastruktur zeigte uns aber: Besser nochmal was tun für die Sicherheit.
Das Gerät ermöglicht zudem eine VPN Verbindung per 2 Faktor Authentifizerung(via Google Authenticator). Finde ich persönlich sehr gut da zudem dieses Feature sehr gut selbst zu managen ist. Insbesondere wenn wie bei uns die mobilen Laptops unter den MA immer mal wieder weiter gereicht werden (müssen).

[RAMöller]

interessant, Leasen hört sich irgendwie teuer an?

[nmndoc]

interessant, Leasen hört sich irgendwie teuer an?

Bei einer profesionellen Firewall hat man ohnehin i.d.Regel a) Anschaffungskosten (Kauf) und B) Wartung - d.h. jährliche Gebühren, um das System mit Updates etc zu versorgen oder auch für 24/7 service, Hardware-Tausch nach x Jahren etc.
Teuer ist relativ. Würde mal sagen "noch" gerade 2-stellig oder vielleicht auch knapp drüber

[mondo79]

Ich plane demnächst einen externen Hardware-Firewall der zwischen der Fritzbox (Internet) und dem Praxisnetzwerk installiert werden soll.

Habe dafür den LES v3 ins Auge gefasst:

https://www.thomas-krenn.com/de/produkt ... lesv3.html

Läuft unter Linux mit der kostenlosen Software OPNsense.

https://opnsense.org/

Was man darüber in unabhängigen Foren liest hört sich sehr gut an. Aber auch kompliziert

Die Systemhäuser der Praxis-EDV machen schon Werbung für eigene und teure Lösungen und machen einem Angst mit Hinblick auf die IT-Sicherheitsrichtline der KBV.

Ich hätte gerne eine eigene Lösung und möchte Wissen was die macht. Nicht wieder so eine Blackbox a la TI-Konnektor die irgendwer hinfrickelt.

Hat jemand Erfahrung mit OPNsense o.ä. und mag hier berichten.

[lcer]

Hallo,

wir setzen die OPNSense an 4 Standorten ein. Charmant ist, dass es ein europäisches Produkt ist. Wir haben es auf der original Hardware von deciso laufen, einmal klein als Desktop-Variante und 2x groß im Serverschrank. Die LES sind immer günstig, wenn man den Konfigurator startet, am Ende der Konfiguration aber nicht unbedingt billiger. Um die Möglichkeiten zu nutzen, muss man sich aber mit Netzwerkprotokollen&co auskennen. Und damit gegenüber der FRITZ!Box ein wirklicher Sicherheitsgewinn entsteht, ist viel Arbeit an Firewall und IDS nötig. Dafür eben kostenlos. Wer das scheut, ist sicher mit einer Appliancelösung wie Sophos besser bedient. Die kostet aber.

Man sollte noch darauf hinweisen, dass im von der KBV beschlossene Fassung nirgendwo eine „Hardwarefirewall“ gefordert wird. Das steht erst in den Kommentaren und Hinweisen, die aber nicht bindend sind.

Grüße

lcer

[mondo79]

Hallo Icer,

vielen Dank für Ihren Bericht wie Sie OPNsense nutzen. Zeigt mir, dass es funktioniert.

Danke auch für die Erwähnung von Sophos als Alternative.

Das ein Hardware Firewall noch nicht zwingend von der KBV gefordert wird habe ich auch so verstanden. Aber ich denke es ist nur eine Frage der Zeit bis das so kommt. Unabhängig von der KBV macht in der heutigen Zeit eine Hardware-Firewall schon Sinn.

Grüße

Mondo

[RAMöller]

Kurze Rückfrage:
auf einer Hardware-Firewall läuft Software, die den Trafic filtert.....
Wo ist der Vorteil gegenüber einer Softwarelösung auf einen Rechner?

[Macros]

Und ohne das jetzt zu negativ darstellen zu wollen...

A) ist in meinen Augen eine FritzBox auch eine Hardware Firewall, die lässt nur von Innen nach aussen immer alles zu
B) ist es aufwändig eine echte Firewall zu betreiben (und dabei ist es egal, was es ist)

Egal ob es nachher eine Opensource Lösung (PFSense, OPensene, DDWRT mit IpTaples...), oder eine entsprechende Appliance ist, die Wartung ist das aufwendige.

Ich persönlich werde jetzt wahrscheinlich in der Praxis auf Ubiquiti umstellen inkl. des entsprechenden Gateways.

[W. Steuber]

@macros
"A) ist in meinen Augen eine FritzBox auch eine Hardware Firewall, die lässt nur von Innen nach aussen immer alles zuläßt"
-> Läßt sich aber unter Internet->Filter->Listen durchaus bis auf NUL einschränken

[lcer]

Hallo,

Hallo Icer,
Das ein Hardware Firewall noch nicht zwingend von der KBV gefordert wird habe ich auch so verstanden. Aber ich denke es ist nur eine Frage der Zeit bis das so kommt.

Na da habe ich Zweifel. Dazu müßte die KV definieren, welche Regeln den durch die Firewall durchgesetzt werden sollen - sonst macht das keinen Sinn. Aber welche Regeln sollen das sein? Turbomed stellt beispielsweise keine Liste Bereit, welche Internetadressen (nicht Ports!) ausgehend erlaubt sein müssen, damit alles läuft. Andere Anbieter tun das auch nicht. Wie soll ich dann durch die Firewall nur erlaubte Ziele zulassen ....?

Unabhängig von der KBV macht in der heutigen Zeit eine Hardware-Firewall schon Sinn.

nicht unbedingt. Zum einen kann man Firewalls auch Virtuell betreiben (OPNSense, pfsense, sophos, etc... ). Zum anderen tobt hier der Glaubenskrieg zwischen Perimeterfirewall und Endpointfirewall. Die Perimeterfirewall (die vermutlich mit hardware-Firewall gemeint ist) nützt nur wenig gegen Spear-Fishing Angriffe. Wenn ich alle Hosts einzeln per Endpoint-Firewall abschirme, hat es ein Angreifer deutlich schwerer auf die relevanten Daten zu kommen. (Vermutlich wäre eine Kombination das Beste ...)

Es lohnt sich auch mal über Zero-Trust-Networks zu lesen:
https://www.nsa.gov/News-Features/Featu ... ity-model/
https://www.scip.ch/?labs.20191107
https://www.security-insider.de/was-ist ... -a-752389/

Die IT-Sicherheitsrichtlinie ist eigentlich dilettantisch zusammengeschustert. Da aber haufenweise Dilettanten bei 1) den Softwareanbietern und 2) den Arztpraxen unterwegs sind, ist sie ein eigentlich ganz guter Einstieg in das Thema - für diejenigen, die sich bisher noch nicht mit IT-Sicherheit beschäftigt haben. Allen anderen, also denen die bereits ein Sicherheitskonzept haben und umsetzen, ist die Sicherheitsrichtlinie mal wieder nur ein Klotz am Bein.

Grüße

lcer

[mondo79]

Und ohne das jetzt zu negativ darstellen zu wollen...

Ich persönlich werde jetzt wahrscheinlich in der Praxis auf Ubiquiti umstellen inkl. des entsprechenden Gateways.

Ihr ganzes Konzept ist eine Blackbox - Sie haben keine Möglichkeit zu sehen, was die Ubiquiti-Geräte wirklich tun.

Kurze Rückfrage:
auf einer Hardware-Firewall läuft Software, die den Trafic filtert.....
Wo ist der Vorteil gegenüber einer Softwarelösung auf einen Rechner?

Der Vorteil der vorgeschalteten Hardware-Firewall ist, dass die Schadsoftware gar nicht auf den Rechner kommt.

Die IT-Sicherheitsrichtlinie ist eigentlich dilettantisch zusammengeschustert. Da aber haufenweise Dilettanten bei 1) den Softwareanbietern und 2) den Arztpraxen unterwegs sind, ist sie ein eigentlich ganz guter Einstieg in das Thema - für diejenigen, die sich bisher noch nicht mit IT-Sicherheit beschäftigt haben. Allen anderen, also denen die bereits ein Sicherheitskonzept haben und umsetzen, ist die Sicherheitsrichtlinie mal wieder nur ein Klotz am Bein.

So sehe ich das jetzt auch nachdem ich mir diese "Richtlinie" genau durchgelesen habe. Viel heiße Luft. Hat aber jetzt zu einem Problembewusstsein bei mir geführt mich mehr mit IT-Sicherheit zu befassen.

Mal sehen ob ich die OPNsense Box zum laufen bringe. Wenn nicht, dann kommt da ein normales Ubuntu drauf und ich habe einen flotten Client für mein T2med Netzwerk. TurboMed war gestern

Ich werde berichten.

Mondo

[Macros]

Und ohne das jetzt zu negativ darstellen zu wollen...

Ich persönlich werde jetzt wahrscheinlich in der Praxis auf Ubiquiti umstellen inkl. des entsprechenden Gateways.

Ihr ganzes Konzept ist eine Blackbox - Sie haben keine Möglichkeit zu sehen, was die Ubiquiti-Geräte wirklich tun.

Moin,

das verstehe ich nicht, wieso meinen Sie, das die Ubiquiti Geräte eine Blackbox sind? Sie meinen das OS? Dann ja, ...
Die Richtlinien nein, die defniere ich ja

Gruß
J

[bofh]

Die Richtlinien [...], die defniere ich ja

Ja schon,

Aber welche Regeln sollen das sein? Turbomed stellt beispielsweise keine Liste Bereit, welche Internetadressen (nicht Ports!) ausgehend erlaubt sein müssen, damit alles läuft. Andere Anbieter tun das auch nicht. Wie soll ich dann durch die Firewall nur erlaubte Ziele zulassen ....?

Das ist auch genau meine Erfahrung mit der TM-Hotline. Nach der zweiten Nachfrage heißt es, der DVO soll helfen. Der weiß aber auch nichts (oder will nichts wissen ohne extra viele €€€).

Die CGM TI-Hotline hat es nicht mal für notwendig befunden, zu antworten. Dabei sollten die doch genau wissen, wohin und womit der Konnektor nach Hause telefoniert und was er sonst noch so braucht.

[pysker]

Hallo Zusammen,

selbst die KBV geht in Ihrer Handreichung "lediglich" von einer Endpointfirewall und keiner Appliance aus - wir fühlen uns hinter einer Firewall Hardware irgendwie sicherer: https://www.kbv.de/media/sp/PraxisWisse ... erheit.pdf
Anlage 1 Nummer 32
HINWEIS: Eine Firewall ist ein Programm, das
Computer oder Netzwerke vor unerwünschten
Zugriffen schützen soll. Eine IP-Adresse macht in
einem Netzwerk die daran angeschlossenen Geräte
erreichbar (adressierbar). Ports sind während einer
Verbindung die jeweiligen Endstellen. Kommu
nikationsprotokolle bilden eine Grundlage für
die Vernetzung. Die Datenübertragung zwischen
mehreren Parteien wird hier definiert, also wie die
Kommunikation erfolgt.

[W. Steuber]

Eine "Appliance" ist nix Anderes als Software (Firewall) auf Hardware aufgesetzt und so verkauft.
Ein Beispiel: der Intranator von Intra2net wird als Appliance angeboten, aber auch als reine Software.
Einen Unterschied, ob ich nun das ganze Paket ("Appliance") nehme, oder alleinig die Software auf einem eigenen Gerät bereitstelle (insb. VM), gibt es nicht.
Entscheidend sind die Einstellungen der Firewall.

[nmndoc]

Eine "Appliance" ist nix Anderes als Software (Firewall) auf Hardware aufgesetzt und so verkauft.
Ein Beispiel: der Intranator von Intra2net wird als Appliance angeboten, aber auch als reine Software.
Einen Unterschied, ob ich nun das ganze Paket ("Appliance") nehme, oder alleinig die Software auf einem eigenen Gerät bereitstelle (insb. VM), gibt es nicht.
Entscheidend sind die Einstellungen der Firewall.

Nicht ganz.
HW-Appliace - üblicher Weise eine Box - also Hardware, Betriebssystem + Anwendung alles aus einer Hand
Soft-Appliace: zB als .ISO - auch inkl. Betriebssystem zur Installation auf eigener HW oder VM
Dann gibt es doch - ich weiß nicht ob zB bei Intranator - die eigentliche Software/Anwendung - also zB Proxy, Server, evtl. auch Firewall o.ä. zur Installation auf einem eigenen System - großer Unterschied - für das eigentliche Betriebssystem inkl. Updates, Sicherheit etc ist man selbst verantwortlich.