Wichtiger Hinweis zum Betrieb der TI Konnektoren

Question

Das mal zu Info.

Lieber ,

wir erhalten regemäßig Meldungen der Gematik über Konnektoren die direkt über das Internet erreichbar sind. Im Regelfall sind dann die Internet Router nach der Konnektor Installation falsch umkonfiguriert worden. Eine Konfiguration "Exposed Host" bei AVM Routern führt häufig zu diesem Ergebnis. 
Um einen unbefugten Zugriff auf medizinische Informationen auszuschließen ist eine sichere Installation in den Leistungserbringerinstitutionen unerlässlich. Mit der Einführung der elektronischen Patientenakte wird dieses noch einmal wichtiger. Zwei Punkte sind dabei besonders hervorzuheben. 

• Die LAN-Schnittstellen des Konnektors dürfen aus dem Internet nicht erreichbar sein.
• Dies kann auch durch eine separate Firewall sichergestellt werden.
• Die LAN-Schnittstellen müssen vor unbefugten Zugriffen mit TLS und Client-        
• Authentisierung geschützt wer

Ohne eine vom Konnektor erzwungene Client-Authentisierung und bei einer „parallelen“ Installation des Konnektors ist ohne weitere Schutzmaßnahmen für einen Angreifer (auch über das Internet) mit geringem Aufwand bspw. ein Zugriff auf alle elektronischen Patientenakten möglich, die für die Leistungserbringerinstitution freigegeben sind.
Unsere Praxen hatten vor der TI-Installation im Regelfall einen Internet-Zugang und nach der TI-Installation denselben Internet-Zugang. Das zusätzliche Aufstellen des Konnektors im Parallelbetrieb ändert daran nichts. Neben der offensichtlichen Notwendigkeit, dem Konnektor den Zugang zu seinen Diensten im Internet zu erlauben, sind keine Veränderungen an den Firewall- und Filtereinstellungen, insbesondere keine eingehenden Verbindungen, notwendig. 
Wir würden Sie, im Sinne eines sicheren Betriebes der TI Komponenten, bitten diese Regeln bei den Leistungserbringern im Blick zu halten.

Comments

Sehr geehrter Herr Ohm!

Das klingt alles sehr wichtig und auch irgendwie plausibel, lässt mich jedoch völlig ratlos zurück. Gibt´s ein Kochrezept anhand dessen man überprüfen kann, ob bei einem selbst alles korrekt installiert ist?

---

Sie Brauchen keinen Router sondern eine Firewall.

Ich Installiere in den Praxen eine Securepoint UTM.

Was das Netzwerk gegen Angreifer absicher.

Ist ein Deutscher Hersteller und es wir alles in Deutschland gemacht.

Bei Fragen, können Sie mich gerne kontaktieren.

Lg

Rüdiger Ohm

---

Hallo Herr Ohm,

bin mit der securepoint UTM sehr zufrieden, bekomme ich sogar gewartet.

Danke

Gruß

Regina Beverungen

---

Auch die Securepoint sichert das Netzwerk nur so gut ab wie man Sie einstellt... und ist wie so viele deutsche Produkte (siehe Starface etc.) ausserdem wieder mal eine Abofalle. In Apple-Umgebungen ist mangels eines gescheiten Clients ist auch das UTM-Konzept völlig nutzlos. Und wenn man nicht weiss wie es geht lässt sich diese (genau wie der Konnektor) auch "parallell" betreiben - alles schon gesehen...

Wenn schon Firewall und dafür Geld ausgeben, dann würde ich zu einer PfSense raten... Securepoint will 60€ im Monat für die gleichen BSD-Pakete die es bei PfSense völlig kostenlos gibt...

VG

JM

---

Vielen Dank für Ihren Hinweis, Herr Müller!

Bekommt man das Ding auch vernünfitig installiert? Ich selber traue mir das nicht zu.

---

Es geht nicht über Hardware , und einen professionellen support.

und einen Produt was nicht aus Deustland kommt würde ich nicht nehmen.

Was man nicht wergesen sollte die dsgvo.

 

lg

Rüdiger Ohm

---

Da die Einstellung von Firewalls selbst für Profis eine Herausforderung darstellt würde ich allen die sich um die Cybersicherheit Gedanken machen dazu raten sich von tomedo-Support den Konnektor auf "seriell" einstellen zu lassen. Damit ist man was Sicherheit und Rechtssichereit angeht auf jeden Fall erst einmal gut aufgestellt.

Wenn man dann das volle Programm will kann man einen "SIS"-Dienst dazu buchen. Damit wird dann der gesamte Internetverkehr durch einen sicheren Anschluss geleitet.

Das ist auf jeden Fall schon einmal deutlich billiger als ein "Securepoint-Abo" und die meisten Sicherheitseinstellungen sind im Konnektor ja bereits vorprogrammiert.

"Professioneller Support" ist leider das Hautpargument deutscher Anbieter um den Kunden das Geld aus der Tasche zu ziehen. Der Konnektor ist eine ziemlich gute Firewall und bietet in Verbindung mit einem Routing über SIS für eine normale Arztpraxis (mit Apple Hardware) alles was man für eine sichere Verbindung braucht.

@Herrn Ohm: https://www.pfsense.org/products/ hier gibts Hardware für jeden Einsatzzweck...

Answer 1

Hallo Herr Ohm, wichtiges Thema, Aktuell - heute - sind allein in Deutschland 401 Server mit dem Nutzernamen praxis/ Praxis erkennbar. Wenn man den Server sieht, ist man schon lange über den Router hinweg.

Die Crux beim Konnektor ist, dass die Arztpraxis gem. PDSG (Patientendatenschutzgesetz) für den Router mindestens mitverantwortlich ist, obwohl Sie keine Möglichkeiten hat, auf irgendeine Funktionalität Einfluß zu nehmen.

Ich empfehle regelmässige Kontrolle des Systems über den von Heise und dem Landesdatenschutzbeauftragten von Niedersachsen erarbeiteten Netzwerk-Test.

https://lfd.niedersachsen.de/startseite/themen/technik_und_organisation/selbstdatenschutz/testangebote/testangebote-zum-selbstdatenschutz-56032.html

Gruß aus Lippstadt vom Arztgatten (Rechtsanwalt)

Answer 2

Sehr geehrter Herr Ohm,

mit der verpflichtenden Einführung der elektronischen Patientenakte in der Stufe 1 ab Juli 2021 wird unseren Partner Secunet für seine Konnektoren ein neues Upgrade - PTV4/ePA - veröffentlichen. Dieses Update führt neben der Verbindung zwischen tomedo (PVS) über den Konnektor zum entsprechenden Aktenverzeichnis auch eine sichere Verbindung via TLS-Funktionalität ein.
Dies entspricht der sicherheitsrelevanten Anforderung der Gematik auf die flächendeckende Einführung der ePA ab Mitte 2021.
Dieses Update des Konnektors werden wir als PVS Anbieter frühzeitig mit der Secunet aufgreifen um notwendige Anpassungen im tomedo durchzuführen, damit diese ab dem 3. Quartal bereitstehen in Ihren Praxen etabliert sind.

Mit freundlichen Grüßen,
Marc Kansy

Comments

Das klingt für mich, als wäre mit dem Tomedo-Secunet-Uodate der Sicherheit genüge getan. 100% gibt es ja ohnehin nie.

Da Begriffe wie "Port-Forwarding Option" für mich unverständlich sind, ich auch nicht beabsichtige IT-Fachmann zu werden, scheiden alle Bastellösungen aus. Und teure Abo-Lösungen auch, da ich nicht verstehe, was mir das verkauft werden soll.

Gibt es hier im Forum auch ähnlich ratlose Mac-Nutzer, die keine Lust auf teure oder komplizierte Lösungen haben? Ich bin auch deshalb Mac-User, weil an den tieferliegenden Schichten eines Rechners kein Interesse habe.

Answer 3

Das Statement "Ohne eine vom Konnektor erzwungene Client-Authentisierung und bei einer „parallelen“ Installation des Konnektors ist ohne weitere Schutzmaßnahmen für einen Angreifer (auch über das Internet) mit geringem Aufwand bspw. ein Zugriff auf alle elektronischen Patientenakten möglich, die für die Leistungserbringerinstitution freigegeben sind. " ist völlig korrekt und beschreibt den Zustand, dass der TI-Konnektor der Praxis-IT-Sicherheit allenfalls abträglich, nie aber zuträglich ist. In der serielllen Konfiguration, die gelegentlich propagiert wird, zeigt der Konnektor seine gesamte Dysfunktionalität: er kann für den Benutzer keine Tunnel ins Praxissystem aufbauen und sichern, sodass kein externer Zugang per VPN möglich ist. Nein, danke.

 

 

×

 

 

 

Comments

Najaaa... im Prinzip ist die ganze TI ja nichts anderes als ein VPN. Wenn man sich etwas auf dem Konnektor umschaut, dann sieht man eigentlich sofort, dass er die volle Unterstützung für sämtliche gängige VPN-Protokolle und Verschlüsselungsverfahren bietet (IPSEC, IKEv2 etc.). Ausserdem bestehen Vorbereitungen in dem Gerät für Netzwerksegementierung und Routingmöglichkeiten über ein externes VPN etc...

Leider habe ich bisher noch nirgends eine Port-Forwarding Option für den "IGA-Modus" gefunden, wenn man das SIS bucht, kann dies aber über die Firewall machen - das werde ich bei Zeiten mal testen und dann berichten. Damit wäre es ein leichtes einen Wireguard-Server hinter dem Konnektor zu betreiben.

Ob man eigene VPN-Verbindungen über die Option "Bestandsnetze" hinzufügen kann müsste Zollsoft wissen. 

Eine funktionierende Lösung sieht aktuell so aus: 

• VPN-Zugang wie bisher: entweder auf den Router (OpenVpn etc.) oder auf z.B. einen Wireguard-Server. 
• Konnektor "seriell" an den Router im "IGA-Modus" - am Router keine "DMZ" konfigurieren!
• Praxisnetzwerk an den Konnektor.
• Incoming Traffic aus dem VPN ins "Konnektor-Netz" durchrouten.

Damit hat man beide Welten verbunden, muss seine Telefonanlage nicht großartig ummodeln und hat der Rechts- und Cybersicherheit genüge getan.

VG

JM

---

Ich habe erst heute wieder eine Securepoint UTM eingerichtet mit sslvpn.

Und dem TI Konrektor dahinter. Man gibt nur das frei was gebraucht wir.

Der Kunde ist glücklich.

Ich weiße nicht was der Kollege meint mit teuren Service.

Der securepoint ist der erst Service den man anrufen kann, ohne die erste Frage, wie bezahlen sie.

---

Ich möchte nicht, dass Sie mich falsch verstehen. Die Produkte von Securepoint sind hervorragend - für eine Windows-Umgebung. Die Stärken des UTM-Konzepts lassen sich mangels eines ausgereiften Clients für MacOs nicht ausspielen. Daher kann man eine PfSense einsetzen die GENAU die gleichen Pakete (die bei Securepoint Geld kosten) bietet, wenn man eine fortgeschritte Firewall einsetzen muss.

Für eine typische tomedo-Arztpraxis ist solch eine Installation ohnehin overkill....

---

Ich Installire die Securepoint UTM auf in Praxen wo nur Mac OS ist.

Der VPN läuft super, ohne Probleme.

Und das Produkt ist DS-GVO Ready, somit ist alles dirn was man braucht.

---

Niemand hat gesagt, dass es nicht läuft. Ich habe nur gesagt, dass ein Produkt mit Abo für Lizenzen pro Jahr nicht gerechtfertigt ist wenn die Funktionalität (UTM) nicht gegeben ist. Ausserdem ist auch die Hardware ziemlich teuer... so ein Black-Dwarf schlägt dann schonmal mit 850€ zu Buche. und nach 3 Jahren dann Pro Jahr auch wieder sowas um die 350€...

Im Prinzip ist das sowas wie einen Lastwagen als Betriebsfahrzeug zu kaufen wenn auch ein Kleinwagen reichen würde.

Der Konnektor ist übrigens auch DSGVO-Konform...

Answer 4

Guten Morgen Herr Ohm,

von wem stammt dieses Schreiben?

Lg aus Hamburg

Axel Tubbesing
tubbeTEC GmbH - IT-Services für Ärzte

Comments

Guten Morgen,

Das wär ein E-Mail an die DVO`s

 

lg

Rüdiger Ohm

Answer 5

Ich hab das Ganze hier nochmal aufgemalt...This is the way

Der Kostenfaktor für einen Wireguard-Server (da reicht ein RaspberryPi 3) beläuft sich so auf ca. 50€ + Einrichtung (2 Stunden z.B. mit dietpi)...Im Prinzip richtet man einen Alias für die Netzwerkkarte ein (vLANs) und trennt die Netze (Kein Routing, drop Packets). Die clientX.conf wird so eingestellt, dass bei Verbindung der gesamte Traffic des Inbound-Clients durchs Praxisnetz geroutet wird (Sicherheitsaspekt). Fertig... Kein Abo. Kein Securepoint. DSGVO-Konform....

Den Wireguard-Server kann man natürlich auch durch eine Securepoint, einen Lancom-Router, eine PfSense o.ä. mit der Möglichkeit die Firewall einzustellen, vLans zu konfigurieren und einen VPN-Zugang bereit zu stellen ersetzen. Die Lösung oben ist nur die günstigste und die mit dem geringsten Aufwand .... ausserdem kann man seine Fritzbox etc. behalten.

VG

JM

Comments

Hallo Herr Müller,

 

das Konzept klingt vernünftig. Funktioniert das auch wenn man mehrer Praxen per VPN miteinander verbundenhat und so nur einen Server und einen Konnektor hat ? Können wir mal telefonieren ? AUgenärzte im Basteicenter: 0731-22252

---

Hi,

ja das funktioniert wunderbar. Ich habe so Coronabedingt mehrere Mitarbeiter im Homeoffice angebunden. Das geht komplett mit Starfaceanbindung (Telefon) etc.

Und alles wirklich ohne großen Aufwand.

VG

JM

---

Ich kapiere das mit dem Wireguard-Server nicht so ganz und auch icht das Schema.. Vielleicht könnne SIe das Prinzip nochmla einfacher erklären oder mir per emal cspraul@web.de Unterlagen zukommen lassen.

---

Was kostet der "SIS" Service eigentlich und wer verkauft den Dinst ?