TI-Sicherheit(slücke?): KIM

Fragen, Anregungen oder Tipps und Tricks? Hier ist der erste Anlaufpunkt.
Nicht sicher, wo ein Thema hingehört? Hier hinein - wir kümmern uns! :)

Moderator: Forum Moderatoren

Forumsregeln
TM-Startforum - "offen für alle Themen".
Beiträge, die in einen anderen Bereich passen, werden bei Bedarf verschoben.
Antworten
bofh
Beiträge: 422
Registriert: Mittwoch 5. September 2018, 21:47
5
Wohnort: Land Brandenburg
Hat sich bedankt: 17 times
Bedankt: 28 times

Re: TI-Sicherheit(slücke?): KIM

Beitrag von bofh »

Forti hat geschrieben:Fax sicher? Nicht wirklich :)
Ausnahmen bestätigen die Regel. Das Fax ist (von sehr wenigen Ausnahmen abgesehen, wo der Hersteller geschlampt hatte) virensicher.
Forti hat geschrieben:Chance auf eigenverantwortlichen Virenscan = bei KIM durchaus gegeben. Wie bei E-Mails, wenn man lokal POP3/SMTP nutzt.
Bei eMail kann ich mir aussuchen, ob ich sie nutzen will, oder eben nicht. Und wo und wie ich sie nutze.

An KIM muss ich demnächst verpflichtend teilnehmen. Ein Virenscan kann nur finden, was er kennt. Da hat definitiv jemand seine Hausaufgaben nicht gemacht. Ist ja auch egal, wenn es ein anderer ausbaden muss.

Ein funktionierendes Gesundheitssystem scheint nicht wirklich wichtig zu sein, sonst würde man so etwas nicht zulassen. Ich bin gespannt, wie lange es dauert, bis die Gesundheitsdaten von einem Trojaner deutschlandweit "fremdverschlüsselt" werden.
Forti
Beiträge: 479
Registriert: Sonntag 14. August 2011, 16:28
12
PVS: Allerlei
Konnektortyp: "alle"
Hat sich bedankt: 31 times
Bedankt: 9 times

Re: TI-Sicherheit(slücke?): KIM

Beitrag von Forti »

Sorry, eine (berechtigte) grundsätzliche Ablehnung des Datenempfangs habe ich nicht berücksichtigt.
Da sind Sie völlig im Recht, denn jeder Dateiempfang ist ein Risiko.

Da gibt es nicht einmal die Abhilfe, einen isolierten PC nur für KIM zu nutzen -> Spätestens beim Übergang zum Konnektor ist Feierabend mit Sicherheit.
Einzige Chance wäre dann, ergänzend eine vergleichsweise simple Filterbox zwischen Konnektor und Praxisnetz zu setzen, die jeglichen Verkehr zwischen dem isolierten PC und dem Praxisnetz unterbindet (IP, MAC-Adresse usw.).
Dann könnte man an sich einen Drucker dort anschließen Eingangspost drucken (und im Praxisnetz einscannen).
Oder Sie setzen eine Fritte o.ä. ein, um die Kommunikation zwischen dem ISO-PC und dem Praxis-Netz beidseitig papierlos zu halten...

Für den Versand spricht ja erst einmal nichts gegen SMTP-an-KIM :)

Das wäre mein Lösungsvorschlag.

Ist denn ansonsten alles sicher? Mal eine fundamentalistische Sicht auf die Sicherheit:
Absicherung inklusive manuell geprüfter Updates, versiegelter USB-Steckplätze etc. oder weggeschlossener PC (Tastatur- und Maus-Anschlüsse), namensscharfer Logins, Zeitsteuerung der Anmeldemöglichkeit bzw. Zwangsabmeldung, MAC-Filterung an jedem Switch, zugängliche Netzwerkdosen abklemmen oder blockieren, eingeschränkte Benutzerrechte, Protokollierung aller Logins und Dateizugriffe, DNS- und Webprotokollfilter mit Whitelist, WLAN nur mit WPA3, Absolutes Smartphoneverbot für alle (Siri, Google-Assistant, Bixby und andere Lauschbomben), händische Freigabe der notwendigen Ports am Server, Backupstrategie auf verschlüsselten Medien, generell Vollverschlüsselung aller Geräte mit Speichermöglichkeit.. brrr, Gänsehaut :)
--
Beste Grüße
Forti
Forti
Beiträge: 479
Registriert: Sonntag 14. August 2011, 16:28
12
PVS: Allerlei
Konnektortyp: "alle"
Hat sich bedankt: 31 times
Bedankt: 9 times

Re: TI-Sicherheit(slücke?): KIM

Beitrag von Forti »

Nachtrag zur Fritte: Fax zwischen Iso-Box und Praxis, also intern. :)
--
Beste Grüße
Forti
W. Steuber
Beiträge: 143
Registriert: Samstag 3. Januar 2009, 16:55
15
Wohnort: Rinteln
Bedankt: 7 times

Re: TI-Sicherheit(slücke?): KIM

Beitrag von W. Steuber »

Forti hat geschrieben: Absicherung inklusive manuell geprüfter Updates, versiegelter USB-Steckplätze etc. oder weggeschlossener PC (Tastatur- und Maus-Anschlüsse), namensscharfer Logins, Zeitsteuerung der Anmeldemöglichkeit bzw. Zwangsabmeldung, MAC-Filterung an jedem Switch, zugängliche Netzwerkdosen abklemmen oder blockieren, eingeschränkte Benutzerrechte, Protokollierung aller Logins und Dateizugriffe, DNS- und Webprotokollfilter mit Whitelist, WLAN nur mit WPA3, Absolutes Smartphoneverbot für alle (Siri, Google-Assistant, Bixby und andere Lauschbomben), händische Freigabe der notwendigen Ports am Server, Backupstrategie auf verschlüsselten Medien, generell Vollverschlüsselung aller Geräte mit Speichermöglichkeit.. brrr, Gänsehaut :)
- Kann man machen?: Ja!
- Muss man machen?: eigentlich schon!
- Bringt's was?: Nein, bei dem Riesenangebot an teuer verkaufbaren Daten wird schnell viel Manpower aufgebracht, um die Goldader abzuschürfen. Datensicherheit ist eine Illusion.
Forti
Beiträge: 479
Registriert: Sonntag 14. August 2011, 16:28
12
PVS: Allerlei
Konnektortyp: "alle"
Hat sich bedankt: 31 times
Bedankt: 9 times

Re: TI-Sicherheit(slücke?): KIM

Beitrag von Forti »

W. Steuber hat geschrieben:
Forti hat geschrieben: Absicherung inklusive manuell geprüfter Updates, versiegelter USB-Steckplätze etc. oder weggeschlossener PC (Tastatur- und Maus-Anschlüsse), namensscharfer Logins, Zeitsteuerung der Anmeldemöglichkeit bzw. Zwangsabmeldung, MAC-Filterung an jedem Switch, zugängliche Netzwerkdosen abklemmen oder blockieren, eingeschränkte Benutzerrechte, Protokollierung aller Logins und Dateizugriffe, DNS- und Webprotokollfilter mit Whitelist, WLAN nur mit WPA3, Absolutes Smartphoneverbot für alle (Siri, Google-Assistant, Bixby und andere Lauschbomben), händische Freigabe der notwendigen Ports am Server, Backupstrategie auf verschlüsselten Medien, generell Vollverschlüsselung aller Geräte mit Speichermöglichkeit.. brrr, Gänsehaut :)
- Kann man machen?: Ja!
- Muss man machen?: eigentlich schon!
- Bringt's was?: Nein, bei dem Riesenangebot an teuer verkaufbaren Daten wird schnell viel Manpower aufgebracht, um die Goldader abzuschürfen. Datensicherheit ist eine Illusion.
Schön zusammengefasst :)


Wenn ich mir die Datenpannen der letzten zwei Jahre grob überschlage, die meinen Mandanten so passiert sind, spielte die "IT-Sicherheit im engeren Sinne" eine Nebenrolle.
Sicher gab es hier und da mal eine vergessene Verschlüsselung der Übermittlung bei E-Mails und auch den einen oder anderen Malware-Befall durch heruntergeladene "PC-Optimierer" seitens IT-Betreuer.

Der vom Schadenumfang und Bearbeitungsaufwand größte Teil der Vorgänge beruhte auf menschlichen Versehen und gelegentlich auch Social Engineering.
Das sind dann falsch rausgegebene Rezepte, liegengelassene Unterlagen, Auskünfte am Telefon an (Ex-)Lebensgefährten, arglistige Auskunftserschleichung, Tricks mit der Rufnummernübermittlung (CNS), korrumpierte MFA und all sowas.
Vor solchen Vorfällen schützen Schulungen nicht zu 100%. Aber diese helfen bei der frühzeitigen Erkennung und der aktiven und angstfreien Aufklärung. Schadenbegrenzung first! :)


Also - wie groß ist die zusätzliche Bedrohung durch KIM?
Jedenfalls nicht so groß wie der berechtigte Frust, solche Zugänge ins Praxisnetz samt Finanzierung derselben aufgezwungen zu bekommen.
--
Beste Grüße
Forti
Antworten

Wer ist online?

Mitglieder in diesem Forum: Bing [Bot], SBFG und 52 Gäste