sarekhl
Goto Top

TI-Konnektor in Reihe schalten - was geht dann noch (über SIS)?

Hallo zusammen,

ich habe mal eine Frage an die Betreuer von Arztpraxen hier. Hat jemand von Euch den TI-Konnektor in Reihe geschaltet, also zwischen ISP-Gateway und Rest des Netzes? Der Zugriff auf das Internet ist dann ja nur noch über SIS möglich. Was geht dann noch, und was wird von SIS blockiert? Wie schaut es zum Beispiel mit TeamViewer aus? Oder Recherche im Internet? Banking? Videokonferenzen?

Danke im Voraus,
Sarek \\//_

Content-Key: 665355

Url: https://administrator.de/contentid/665355

Ausgedruckt am: 28.03.2024 um 09:03 Uhr

Mitglied: commodity
commodity 03.04.2021 um 00:03:33 Uhr
Goto Top
Also ich kenne niemanden, der das gemacht hat und würde auch nicht im Ansatz auf die Idee kommen, das zu machen. Ich erinnere die Anregung/Empfehlung, Praxen über SIS anzuschließen, wenn sie vorher noch über keinen Internet-Anschluss verfügt haben. Ich weiß aber auch nicht mehr, wo das her kam.

Hier ein paar - leider mangels Erfahrung mit SIS - nur unkonkrete Gedanken:

Was die SIS können, hängt vom Zugangsdienstanbieter ab. Letztlich ist das ein VPN-Dienst und was der durchlässt, kommt bei Dir an, der Rest nicht. Die Frage solltest Du also dem (ins Auge gefassten) Zugangsdienstanbieter stellen. Gehört habe ich mehrfach, dass VOIP nicht durchkommt. Ich denke, dann wird auch Videocalling kaum möglich sein.
Hier mal ein Link auf die Compugroup www.cgm.com/deu_de/plattformen/telemed/produkte-and-loesungen/telemed-connect-sis.html - Mail wird da zB als "Mehrwert-Dienst" behandelt.

Eine andere Frage ist dann natürlich die Bandbreite, die der Dienst leistet. Wenn die Daten da nur durch tröpfeln, macht das sicher keinen Spaß.

Insgesamt stellt sich natürlich die Frage, warum das überhaupt jemand machen sollte. Ob mit SIS ein echter Sicherheitsgewinn für das Netz herausspringt ist fraglich. Direkte Angriffe auf das Praxis-Netz blockt schon jede Fritzbox. Ob ein SIS hingegen vor gefährlichen Mailanhängen schützt, ist fraglich. Vielleicht schützt er vor dem Aufruf dubioser Websites. Wenn da zu stark gefiltert wird, wird aber auch normale Webnutzung eher schwierig.
Mitglied: SarekHL
SarekHL 03.04.2021 um 07:20:14 Uhr
Goto Top
Zitat von @commodity:

Was die SIS können, hängt vom Zugangsdienstanbieter ab. Letztlich ist das ein VPN-Dienst und was der durchlässt, kommt bei Dir an, der Rest nicht. Die Frage solltest Du also dem (ins Auge gefassten) Zugangsdienstanbieter stellen. Gehört habe ich mehrfach, dass VOIP nicht durchkommt.
Eine andere Frage ist dann natürlich die Bandbreite, die der Dienst leistet. Wenn die Daten da nur durch tröpfeln, macht das sicher keinen Spaß.

Stimmt, das ist natürlich zu bedenken. Meine Kundin hat einen Konnektor der Telekom (SecuNet) - ich muss mal schauen, was damit für ein SIS-Anbieter verbunden ist, und was der für Spezifikationen hat. Was Du von CompuGroup verlinkt hast, klingt aber nicht gut


Insgesamt stellt sich natürlich die Frage, warum das überhaupt jemand machen sollte. Ob mit SIS ein echter Sicherheitsgewinn für das Netz herausspringt ist fraglich. Direkte Angriffe auf das Praxis-Netz blockt schon jede Fritzbox.

Meine Kundin hat bei ihrer KZV ein Seminar über die Gewährleistung der IT-Sicherheit nach einer Richtline zu SGB V mitgemacht. Darin wurde eine Hardware-Firewall dringend empfohlen. Natürlich wehrt jedes NAT eine ganze Zahl von Netzwerkangriffen ab, aber als Hardware-Firewall würde ich eine FritzBox nun wirklich nicht bezeichnen face-smile

Laut der Empfehlung des Seminars sollte darüber hinaus die Firewall so konfiguriert werden, dass nur "erlaubte Kommunikationsziele" (definiert durch ihre IP-Adresse und Port) zugelassen werden. Ich habe keine Ahnung, wie man so etwas umsetzen soll - dann wäre ja jede Form der Recherche im Internet völlig unmöglich.
Mitglied: lcer00
lcer00 03.04.2021 um 09:33:10 Uhr
Goto Top
Hallo,
Zitat von @SarekHL:

Laut der Empfehlung des Seminars sollte darüber hinaus die Firewall so konfiguriert werden, dass nur "erlaubte Kommunikationsziele" (definiert durch ihre IP-Adresse und Port) zugelassen werden. Ich habe keine Ahnung, wie man so etwas umsetzen soll
dest 0.0.0.0 allow

Mal ehrlich, wir hatten hier im Forum schon ein paar Diskussionen zur IT Sicherheitsrichtlinie. Der Richtlinientext und dessen Interpretation sind zwei Paar Schuhe. siehe Was ist nach Paragraph 75B SGB V eine Firewall?


Grüße

lcer
Mitglied: SarekHL
SarekHL 03.04.2021 um 09:43:47 Uhr
Goto Top
Zitat von @lcer00:

dest 0.0.0.0 allow

Dafür brauche ich dann aber keine Hardware-Firewall face-smile
Mitglied: lcer00
lcer00 03.04.2021 um 10:03:55 Uhr
Goto Top
Zitat von @SarekHL:

Zitat von @lcer00:

dest 0.0.0.0 allow

Dafür brauche ich dann aber keine Hardware-Firewall face-smile
Brauchst Du ja auch nicht - „Hardware Firewall“ steht nämlich nicht im gültigen Text.

Grüße

lcer
Mitglied: commodity
commodity 03.04.2021 aktualisiert um 12:08:03 Uhr
Goto Top
Zitat von @SarekHL:
Meine Kundin hat bei ihrer KZV ein Seminar über die Gewährleistung der IT-Sicherheit nach einer Richtline zu SGB V mitgemacht. Darin wurde eine Hardware-Firewall dringend empfohlen. Natürlich wehrt jedes NAT eine ganze Zahl von Netzwerkangriffen ab, aber als Hardware-Firewall würde ich eine FritzBox nun wirklich nicht bezeichnen face-smile

Die ganze Diskussion ist überflüssig. Du vermengst hier Firewall mit SIS. Das hat nicht wirklich etwas miteinander zu tun und war auch nicht das Thema. Deine Frage bezog sich auf Dienste, die hinter dem SIS laufen können.

Ich habe auch weder die Fritzbox als Firewall bezeichnet, noch den Einsatz einer Fritzbox empfohlen. Ich habe sie lediglich in den Kontext des fraglichen Sicherheitsgewinns durch SIS im Bereich "Angriffe von außen" gestellt. Das SIS macht "firewalltechnisch" da nicht mehr als eine Fritzbox. Ob man in einer Arztpraxis eine Firewall einsetzt oder nicht, ist eine völlig andere Frage (die Kollege @icer00 zutreffend mit den Augen des Praktikers sieht). Gern gehe ich auch kurz auf diesen Aspekt ein:

Ich gehe mal davon aus, dass das "Seminar", das Deine Kundin mitgemacht hat, die Online-Veranstaltung der KBV vor ca. 2 Wochen gewesen ist. Das war ein halbgarer Vortrag, in dem immerhin klar gestellt wurde, dass eine Firewall erwartet wird, die über die Fähigkeiten der Fritzbox hinaus geht. Man hat dort aber auch noch während des laufenden Vortrages kräftig zurück gerudert, als man eingangs vollmundig behauptet hat, ein Papier mit Herstellerempfehlungen herausgeben zu wollen, am Ende des Vortrages dann aber erklärt hat, das noch prüfen zu wollen, weil spezifische Empfehlungen "rechtlich schwierig" seien. Guck/Hör Dir den Vortrag einfach mal an. Deine (Zahn-)ärztin kann Dir den Link geben. Geht 1,5 h, dann ist auch die Bügelwäsche durch face-wink Dann kannst Du auf Augenhöhe beraten und verstehst auch viel besser, was @icer00 meint.

Die Anforderungen der KBV-Sicherheitsrichtlinie basieren auf ein paar schlecht zusammen geschusterten Vorstellungen des BSI, die in Teilen durchaus Sinn machen und praktikabel sind, in anderen Teilen jedoch völlig an der Ausgangssituation, Bedürfnisstruktur und Arbeitsrealität von Arztpraxen vorbei gehen. Auch wenn echte Firewalls durchaus wünschenswert sind: Mit unzulänglich konfigurierten, nicht oder nachlässig gewarteten Firewalls entsteht mehr Schaden als Nutzen, von den dann gewiss periodisch auftretenden Einschränkungen im Arbeitsalltag mal abgesehen. Und bitte nicht wieder falsch verstehen: Die BSI-Empfehlungen sind durchdacht. Was nicht durchdacht ist, ist deren Adaption auf die Strukturen von Arztpraxen, insbesondere auf die bestehenden Support-Strukturen face-wink

Ich habe aus dem gegebenen Anlass eine Anfrage an CGM für ein großes AIS gerichtet, dahingehend, wann ihre Software der Sicherheitsrichtlinie denn insoweit entsprechen wird, dass nicht mehr Admin-Rechte für jeden Arbeitsplatz benötigt werden. "Leider leider...", so teilte man mir mit, werde das bis auf weiteres zwingend benötigt. Man hat mir versichert, das Thema mit der Programmierung erörtern zu wollen... Dieses "bis auf weiteres" höre ich jetzt allerdings seit mehr als 10 Jahren.
Mitglied: commodity
commodity 03.04.2021 um 12:14:16 Uhr
Goto Top
Nachtrag:

Zum eigentlichen Thema SIS noch ein Verweis auf diesen bekannten Artikel zur Konnektorsicherheit. Es gibt (u.a. deshalb) Leute, die den Konnektor in ein eigenes Netzsegment packen, weil sie das ganze System für eine einzige Sicherheitslücke halten. Was die wohl vom SIS als Sicherheitsfaktor halten? face-smile

www.heise.de/ct/artikel/Hinweise-auf-moegliche-Verwundbarkeiten-der-Medizin-Telematik-4635791.html