IT-Security-Paket für Praxen

Question

Hallo, hat schon jemand Erfahrung mit dem von Tomedo angebotenen IT-Security-Paket gesammelt? Besonders interessiere ich mich für die lokale Firewall und deren Leistungsfähigkeit. Zurzeit benutze ich eine externe Firewall von Securepoint. Die Lizenz müßte erneuert werden und nun stellt sich die Frage - Securepoint oder Tomedo-Lösung?

Comments

Ich würde die Securepoint auf jeden Fall behalten.

Und das sozialgesetzbuch 75b sag das man eine Hardware Firewall braucht.

Wenn ich sehe war gerade an Angriffe gegen Deutschland läuft.

 

mfg

Rüdiger Ohm

Answer 1

Sehr geehrte Frau Dr. Bohne,

diese Frage stellt sich nicht, denn das sind zwei unterschiedliche Dinge:

- das Paket von Zollsoft schützt Ihre Rechner durch Software vor Viren und Maleware
- das Gerät von Securepoint schützt Ihr gesamtes Netzwerk vor Zugriffen von ausserhalb

Das Paket aus dem Hause Zollsoft wird von diesen wie folgt beschrieben:

-------------------

Management der digitalen Sicherheit des Praxis-Netzwerks durch softwareseitige Absicherung des Netzwerkverkehrs und der verwendeten Endgeräte (u.a. Antivirus, Firewall, Datei-Scans) sowie regelmäßige Anpassungen, Berichte zur Netzwerksicherheit, Meldungen im Alarmfall uvm.

------------------

Auf deutsch heißt dieses: Sie bekommen die Antivirussoftware des Herstellers ESET. Diese ist durch Zollsoft vorkonfiguriert und wird online auf jedem Mac/Apple und PC/Windows System installiert und mit Hilfe eines Agent Programmes (eines Steuerungsprogrammes) überwacht und weiter angepasst.

Sie selbst haben eine UTM des Herstellers Securepoint im Einsatz. UTM steht für Unified Threat Management und beschreibt das Konzept einer Hardware Schutzlösung für Ihre Praxis. Auf dieser UTM sind eine Vielzahl von Programmen und Diensten im Einsatz, die alle zusammen für den (technisch) größtmöglichen Schutz Ihres gesamnten Netzwerkes sorgen sollen. Solche Systeme müssen immer aktualisiert werden, darum werden UTM immer mit Softwarepakteten auf Zeit verkauft, die diese Leistung sicher stellen.

Die bekanntesten Herrsteller für UTM sind (Sophos, Securepoint und Lancom/Rohde und Schwarz) und alle diese Produkte sind nur so gut / sicher/ effektiv, wie die Menschen, die das für Sie einrichten und pflegen.

Mit bestem Gruß aus Hamburg

Axel Tubbesing
tubbeTEC GmbH - IT-Lösungen für Ärzte

 

Comments

Liebe Kollegen, hallo Axel,

auch ich plage mich mit dieser Frage. Aus Sicht des Laien der bezahlen muss kranken alle Lösungen an den selben Problemen:

• Als Laie versteht man schon die beworbenen Details des Angebots nicht, man hat null Ahnung was man da kauft. Denn 90% der verwendeten technischen Begriffe sind ohne Hintergrundwissen nicht verständlich.
• Die Frage der Haftung bei Versagen des eingekauften Schutzes´ist offen.
• Eine Cyberversicherung hat so viele Klauseln, dass man ohne den teuer eingekauften Schutz auch wieder nichts davon hat. Und es bleibt die Frage, ob die Versicherung der eingekauften Schutz für angemessen hält.

Wenn ich eine IT-Firma finde, die mit ihren Kram einbaut und hinterher die Haftung übernimmt wenn er nicht funktioniert, dann wäre ich bereit dafür zu bezahlen. Und mit Haftung meine ich alle Folgekosten bei erfolgreichemn Cyberangriff. Sonst kann ich mir teure Hard- und Software-Lösungen ja sparen, da ich nicht überblicke, ob die vielen Abkürzungen und Fachwörter auch Sinn machen. Ich hafte ja auch für den Murks den ich verursache.

 

Man kann ja mal träumen...

Viele Grüße

Lutz Krüger-Ruda

 

---

Hallo Herr Tubbesing, gibt es im Forum jemanden der Securepoint beherrscht?

---

 Securepoint bietet an:

• Eingebettet in das Securepoint Unified Security-Konzept
• EU DS-GVO ready: Garantiert ohne Backdoors
• Vollständiger Support von IPv6
• Automatische Optimierung der Bandbreite
• Echtzeitschutz durch Cyber Defence Cloud
• Threat Intelligent Feed
• Sofortige und einfache Absicherung verschlüsselter Verbindungen (TLS)
• Zeitschloss für verdächtige E-Mails
• Sichere Voreinstellungen
• Zentrale Verwaltung aller Firewalls bei Kunden oder über Standorte hinweg (inkl. Cloud)
• Alerting-Center übersetzt Log-Informationen in einfach verständliche Meldungen und informiert aktiv per E-Mail
• Optimal für Managed-Service-Anbieter
• Überwachung mit SNMP: Volle Integration in MSP-Umgebungen dank umfassender Schnittstellen
• Integriertes Einmalpasswortsystem für VPN, Benutzerinterface und Administration (Mehrfaktor-Authentifizierung – OTP)
• Inkl. Mail-Connector zur Abholung von E-Mails beim Provider
• Einfach zu bedienende, App-orientierte Adminoberfläche
• Mit nur ca. 70 MB ein sehr kompaktes Firewall-Image
• Regelmäßige Penetrationtests

Ich habe mal kursiv gesetzt was ich nicht verstehe oder nicht weiß, ob ich es überhaupt brauche...

Bin wahrscheinlich nur zu doof dafür. 

---

Ich kann Ihnen gerne Helfen.

Ich bin UTM-Firewall Advanced Certified Engineer & Professional Partner.

Rüdiger Ohm

---

Also ich hab nichts davon verstanden.

Bleiben momentan wohl nur zwei Optionen übrig:  

1. Karteikarten wie im letzten Jahrhundert

2. Praxis und Internet komplett voneinander  trennen

3. Fachmann der alles versteht und einem garantiert das nix passiert. Meine KV kann mir momentan nicht sagen, wer wehn wann zertifiziert.

---

1. geht nicht als Kassenarzt ausser für "Rebellen mit Knebelvertrag"

2. geht nicht als Kassenarzt ausser für "Rebellen mit Knebelvertrag"

3. Verantwortung ist immer beim Betreiber, niemand wird unterschreiben, dass er die Verantwortung übernimmt. Niemand.

---

Guten Tag,

 

die Frage die sich beim Einsatz einer solche Lösung stellt ist nicht, ob der Dienstleister die Kosten trägt falls etwas passiert sonder

a) die Schäden für Ihre Praxis so gering wie möglich zu halten (z.B. durch Datenschutzbußgelder, Vertrauensverlust der Patienten)

b) falls eine Versicherung vorhanden ist diese im Falle eines Falles zum zahlen zu bringen (dies geht nur, wenn man die Wahrscheinlichkeit durch aktuelle Sicherheitstechnik stark verringert)

c) bei einem Audit nicht in Erklärungsnot zu geraten

und d) nicht als Aufmacher der nächsten c´t Publikation aufzutauchen weil die eingesetzte FritzBox, Digibox oder (sonstige günstige Heimrouter) durch eine Sicherheitslücke jemanden in mein Netz gelassen hat.

Die meisten Dienstleister lassen sich darauf ein, die Haftung zur Wiederherstellung der Betriebsbereitschaft zu übernehmen, wenn die Lösungen wie vorgeschlagen gekauft und installiert werden. Eine Haftung des Dienstleisters für Folgekosten (z.B: Datenschutzverstöße etc.) wird man in den seltensten Fällen erhalten.

Das es hierfür jemanden braucht, der die Technik beherrscht versteht sich von allein. Ob dies nun der Praxisinhaber ist, der sich intensiv mit der Materie beschäftigt oder ein externer Dienstleister ist unerheblich. Der Vorteil eines externen Dienstleisters: Ich kann ihm so lange auf den Keks gehen, bis die Anforderungen meiner Versicherung oder der KBV erfüllt sind (Nachteil: es entstehen Kosten).

 

Wir sind als tomedo Partner bereits seit einigen Jahren aktiv und bieten unseren Kunden ausschließlich die oben genannte Securepoint Lösung an. Diese ist im Zusammenspiel mit dem IT Security Paket von tomedo (richtig konfiguriert) passend um die Anforderungen der KBV zu erfüllen. Zusätzlich hat das System ein paar nette Zusatzfeatures, welche gerade im Praxisalltag gut zu gebrauchen sind. Angefangen von gut steuerbaren Firewalleinstellungen, einfacher VPN Unterstützung sowie die Möglichkeit Internetseiten und Dienste für explizite Geräte zu white- oder blacklisten - alles was man benötigt und gefordert wird ist dabei. Dann nur noch das IT Paket auf die Macs und man braucht keine Angst mehr vor den Vorgaben zu haben. Wenn dann noch die Mitarbeiter eine Schulung zur IT Sicherheit erhalten (z.B. keine unbekannten Datenträger einlesen, dubiose Websites meiden, keine privaten Geräte im Praxisnetzwerk etc.) dann ist die Wahrscheinlichkeit extrem gering, dass man sich wirklich etwas einfängt. Falls dann doch einmal etwas passiert steht man aber weitaus besser da als wenn man nur das "bare minimum" zur IT Sicherheit getan hat.

 

Ehrlicherweise muss ich gestehen, dass ich in meinen über 16 Jahre im IT Bereich ernsthafte Vorfälle nur aus dem Windows Bereich kenne, jedoch werden auch im Mac Bereich immer mehr Angriffe sichtbar u.a. auch durch Betriebssystem unabhängige Angriffsvektoren wie NAT Slipstreaming 2.0 welches nicht das Gerät direkt sondern den Router angreift und somit Zugriff auf das gesamte interne Netzwerk erhält. Um hier sicher zu sein, sollte man schon die gegebenen Möglichkeiten nutzen. Zwar entstehen hier höhere Kosten als durch einfache Lösungen, jedoch ist jeder verwirktlichte Angriff oder jedes ungewollte Eindringen von Schädlingen für die Praxis teurer als 10 Jahre Kosten für adäquate IT Sicherheit.

---

Wir sind als tomedo Partner bereits seit einigen Jahren aktiv und bieten unseren Kunden ausschließlich die oben genannte Securepoint Lösung an. Diese ist im Zusammenspiel mit dem IT Security Paket von tomedo (richtig konfiguriert) passend um die Anforderungen der KBV zu erfüllen.

 

Wie hoch sind hierfür die Einrichtungskosten und laufenden Kosten. Das interessiert gaube ich alle hier und müsste für alle Praxen in etwa gleich hoch sein. Es steht die KBV im Hintergrund, da würde ich davon ausgehen, dass Zollsoft die Anforderungen tatsächlich einhält.

---

Hallo,

 

ich kann leider nicht für die Kosten von anderen Dienstleistern sprechen. Bei uns zahlen Sie z.B. für die kleinste Firewall von Securepoint im Paket mit der Konfiguration 1299€ (netto) inklusive des ersten Jahres der Firewalllizenz. Für alle folgenden Jahre fallen z.B. Lizenzkosten i.H.v. 332€ netto jährlich an (also knapp 32€ monatlich brutto). Vom Hersteller selbst gibt es auch 3 und 5 Jahreslizenzen, welche dann ca 30-40€ aufs Jahr gerechnet günstiger sind. Bei uns beinhaltet das Paket die KBV konforme Konfiguration der Firewall sowie Einrichtung von getrennten Netzen über VLAN (hierfür muss die Praxis aber kompatible Switche vorhalten) um z.B. Mitarbeiternetze bereit zu stellen oder, wie von der KBV gefordert, medizinsiche Großgeräte wie Röntgenanlagen etc. vom restlichen Netz abzusichern. Wichtig ist hierbei anzumerken, dass dieses Paket keine Installation vor Ort beinhaltet sondern die Firewall konfiguriert wird und dann versendet wird (oder gegen Aufpreis vor Ort durch einen Techniker installiert wird).

Je nach Praxisgröße und Anforderungen sind hier natürlich größere Pakete und stärkere Firewalls möglich. Wichtig hier ist, dass die Anforderungen jeder Praxis individuell sind und nach Wünschen etc. die Kosten differieren können. Zusätzlich sind hier natürlich die Kosten für das tomedo Sicherheitspaket noch nicht enthalten.

---

Danke Herr Hillebrandt, wozu braucht man dann noch das Tomedopaket wenn das Securepoint bereits die KBV Konformität erfüllt? Was macht das Tomedopaket?

---

Hallo,

Beide Pakete sind notwendig. Einfach erklärt sieht es so aus:

 

Securepoint Firewall: Diese übernimmt die Absicherung der Netze am Übergabepunkt (Zugang zum Internet, Routing innerhalb des Netzwerkes) und ist in der Regel 32 des Anhang 1 der KBV IT Sicherheitsrichtlinie hinterlegt. Hier wird zwar nicht explizit beschrieben, wie die Firewall ausgestaltet sein muss, jedoch reicht z.B. das NAT eines normalen Routers nicht aus (da keine Firewall und keine Steuerung des Datenverkehrs möglich).

 

tomedo Sicherheitspaket: Dieses ist als Antivirenprogramm für die Prüfung von Dateien und Anwendungen zuständig (Anhang 1, Regel 15 der KBV IT Sicherheitsrichtlinien). Zwar verfügt das Paket, je nach gewähltem Modul, auch über eine Firewall auf Clientbasis, dieses sichert aber nicht, wie gefordert, den Netzübergangspunkt und die Verbindungen mit anderen Netzen ab, sondern lediglich den Client selbst. Aus diese Grund ist das Paket alleine nicht konform - hier muss zwingend eine Firewall vor das Netz geschaltet werden.

 

In Kombination der beiden Systeme lassen sich viele der Regeln einhalten (u.a. wenn eingestellt wird, dass keine unverschlüsselter Verkehr ohne Prüfung durch die Firewall läuft mit Hilfe des integrierten AV und HTTP/S Proxys). Ganz abdecken lassen sich durch allein zwei Systeme natürlich nicht alle Vorgaben (u.a. Backup etc. muss separat durch andere Lösungen bereit gestellt werden) - genauso wie die Systeme keine Schulung von Mitarbeitern in Sachen IT Sicherheit ersetzen - sie helfen aber das geforderte Sicherheitslevel schnell und effektiv zu erreichen.

---

Einfach erklärt könnte ich eine Praxis ohne Internet führen. Kein Patient müsste darunter leiden.

Aber durch den von mir nicht gewünschten und nicht bestellten Zwang zur Telematik werden die Patientendaten unsicher verwaltet. Und nicht der Telematik-Betreiber sichert die Daten, sondern ich werde durch unverständliche Vorschriften in Haftung genommen. Aus Telematik-Betreiber-Sicht gut gelöstes Problem.

---

Zitat: ... (u.a. wenn eingestellt wird, dass keine unverschlüsselter Verkehr ohne Prüfung durch die Firewall läuft mit Hilfe des integrierten AV und HTTP/S Proxys). 

Wenn AV und HTTP/S Proxys ungeschützten Verkehr haben macht mir das Kopfweh.

---

Zum 1.4. ist erstmal nicht viel notwendig. klick auf anforderung an alle Praxen.

https://www.kbv.de/html/1150_50728.php

Einen Netzwerkplan erstellen wobei der eher lächerlich ausfällt, da dachte ich wollen die richtig ins Detail.

https://hub.kbv.de/display/itsrl/Musterdokumente

---

Hier ist mal ein Video.

Das hilft ein beim Verstehn wo es drum geht.

KVB mal ganz Anschauen

Es reicht auch nicht nur das man ein Firewall hat, Sie muss auch richtig Konfiguriert sein.

Rüdiger Ohm

Securepoint
UTM-Firewall Advanced Certified Engineer
 

---

OK Werbeveranstalltung für Securepoint Firewalls aber Ok warum nicht. Frage an die Securepoint Anbieter Bestätigen sie denn schriftlich mit ihrer Securepoint Einrictung, dass die gesetzlichen Anforderungen der KBV eingehalten werden? Wie immer ist dieser Zettel bei einer Prüfung ausschlaggebend.

---

Hallo,

 

ich gehe davon aus, dass die meisten Dienstleister (insbesondere diese mit einer entsprechenden KBV Zertifizierung, sobald diese abgenommen wird) entsprechende Erklärungen ausstellen werden, welche bescheinigen, dass zu einem bestimmten Zeitpunk die zu diesem Zeitpunkt geltenden Vorgaben eingehalten und die Systeme entsprechend konfiguriert wurden.

Da die KBV Richtlinie auch vorschreibt, dass die Systeme mindestens einmal jährlich auf den Stand der Technik sowie an geänderte Anforderungen geprüft werden müssen, können Sie dies z.B. ebenfalls durch einen zertifizierten Dienstleister durchführen lassen, welcher Ihnen dann zum Prüfungstermin die ganze Sache wieder bescheinigt. Somit sollten Sie immer eine Bestätigung haben, welche nicht älter als ein Jahr ist und somit auf der sicheren Seite sein. Wichtig ist, dass jede Änderung an den Konfigurationen zwischen diesen Terminen entsprechend dokumentiert wird (z.B. durch Nutzung der Kommentarfunktion in den Regelassistenten der unterschiedlichen Firewalls oder durch ein Änderungsprotokoll).

---

Da die KBV Richtlinie auch vorschreibt, dass die Systeme mindestens einmal jährlich auf den Stand der Technik sowie an geänderte Anforderungen geprüft werden müssen

 

Wo steht das?

---

Ich habe noch mal in den KBV Richtilinien gelesen. Meiner Meinung nach ist man als kleine Praxis safe wenn man

- eine Hardwarefirewall mit Vertrag hat, muss nicht Securepoint sein

- den Mitarbeitern den Standard zur Kenntnisnahme vorlegen für mobile Datenträger und mobile Geräte

- Jährlich Schulung und dessen Dokumentation, erfolgt ja sowieso schon im Datenschutzzusammenhang.

- die verlagten Softwareeinstellungen durchführt Office, ungenutzte Apps löschen, cloud aus etc.

- die apple Softwarefirewall an den Clienten einschaften

- Filevault an allen Macs einschliesslich Backups, EU Backup verschlüsselt auch ausser Haus,

- Antivirus an allen Clienten installieren, meiner Meinung nach reicht Malwarebytes und Ransomewhere beim Mac.

- selber eine IT-Verfahrensbeschreibung ähnlich oder ertellen lassen. Ich denke das wäre der beste Nachweis, dass man alles einhält.

 

Kennt jemand eine Online Erstellung für eine IT-Verfahrensbeschreibung bei der alles abgefragt wird?

---

Hallo, 

 

die Zusammenfassung von Ihnen ist so weit korrekt, die Überprüfung und Evaluierung der Maßnahmen, welche järlich erfolgen soll ist festgeschrieben in KBV IT Sicherheitsrichtlinie Abschnitt A Punk IV:

Die in dieser Richtlinie formulierten Anforderungen unterliegen einem kontinuierlichen Verbesserungsprozess mit einer jährlichen Evaluationspflicht. Die erforderliche Evaluation richtet sich an der jeweiligen Informationssicherheitslage aus.

Dies impliziert, dass jede Praxis die jährliche Aktualisierung prüfen und ggf. geänderte oder aktualisierte Vorgaben umsetzen muss. Ob diese Prüfung nun durch die Praxis selbst oder durch externe Dienstleister erfolgt bleibt jedem selbst überlassen da (noch) keine Pflicht für den Einsatz eines zertifizierten Dienstleisters besteht.

---

Das dachte ich mir, ich habe das gefragt weil wir Praxen hier einfach kosten sparen müssen und die Praxen die sich einigermassen mit IT auskennen, können die Evaluation selber machen und einen IT-ler günstiger drüberschauen lassen. Das mache ich mit der GoBD Verfahrensanweisung auch so und lasse es von Herrn RA Frotschern abgsegnen.

Was ich bräuchte wäre ein Tool um so eine Verfahrensbeschreibung zu erstellen und versioniert festzuschreiben. Damit wäre die jährliche Evaluation erledigt. Ich habe mal den Dokutar Programmierer angeschrieben ob er dsowas anbieten will. Er müsste nur in seiner Maske das GoBD Zeug mit dem IT Zeug ersetzen und das Produkt getrennt verkaufen.

Eine Versicherung kann man noch abschliessen, werde ich zähneknirschend bei der Ergo abschliessen.

---

Ein weiteres Thema sind die Zollsoft Onlitermine, wie sieht da die Absicherung seitens Zollsoft aus? Wird ja auch erwähnt Gaptcha etc wobei wir nicht einen einzige Robotertermin erstellt bekommen haben seit 2015 :)

---

Wir haben 16 Tomedo clients, Rö, DVT, Sono,.. und kommen auf über 20 Lizenzen. Damit reicht eine kleine Lösung nicht.
Wir haben ein Angebot (securepoint) über 2200 Euro jährlich (Lizenzen so zwischen 20 und 30).
was haben denn andere Praxen ähnlicher Größe als Hardwarefirewall? (außer Johannes Müller :-))

---

Hallo Herr Müller,

ob Sie jetzt Securepoint, Sophos oder Lancom nehmen, bleibt eigentlich egal.

Die Angebote setzen sich immer aus 4 Dingen zusammen:

- Hardware
- Lizenzen
- Installation
- Pflege

Wir machen gern die Kombination aus UF-60 als Hardware Firewall und ESET also Antivirus am Platz oder in grösseren Einheiten die UF-160 mit ESET.

Die Kosten muss man zum Vergleichen immer auf 3 Jahre oder 5 Jahre rechnen, denn das sind die Laufzeiten der Lizenzen.
Ich kann Ihre Preise nicht werten, weil die Details hierfür fehlen (Welche Hardware Firewall, welcher Typ Lizenz, Aufzeit, zusätzliche Dienstleistung, usw.)

Mit bestem Gruß

Axel Tubbesing
tubbeTEC GmbH

---

Sehr geehrte Sicherheitsprofis im Forum,

wir haben ein UniFi Security Gateway im Einsatz. Ist das aus Ihrer Sicht ein adäquates UTM für eine Gemeinschaftspraxis?

Danke für Ihre Bemühungen!

---

Hallo Herr Schaider,

wenn Sie das Gerät schon haben, dass würde ich es nutzen. Es ist nicht der Hit, aber es tut seinen Dienst.
Vor allem in Kombination mit der WLAN Technik ist UniFi schon sehr gut gemacht und einfach zu bedienen.

Wenn Sie jetzt erst über die Anschaffung einer Hardware Firewall nachdenken, dann würde ich Ihnen zu den besseren Produkten raten (Lancom, Sophos, Securepoint). Da kann man den Schutz einfach besser / genauer konfigurieren.

Beste Grüße aus Blaubeuren

Axel Tubbesing
tubbeTEC GmbH / tubbeTEC Süd GmbH

---

Hallo Herr Schaider,

Es ist Wichtig, das man ein gute und Richtig Konfirurierte Firewall hat.

Es mach keinen sind, man kauf eine Firewall und Sie können immer noch alle Web Seiten Ansurfen.

Eine gute Konfiguration hat ein Portfilter & Webfilter.

 

Lg

Rüdiger Ohm

UTM-Firewall Advanced Certified Engineer

Securepoint Professional Partner 2022