Konnektor - Reihenschaltung versus Parallelschaltung - Umfrage

Question

Hallo zusammen,

bitte um Rat:

meines Wissens verlangt die KVB, dass der Konnektor in Reihenschaltung betrieben wird. - Nutzt ein Tomedianer den Konnektor in Reihenschaltung? Funktioniert dies zufriedenstellend?

Wer nutzt ihn im Parallelbetrieb? Und haben Sie dann eine Firewall? Oder wie lösen Sie das "Dilemma"?

Herzliche Grüße und einen schönen Abend,

Katrin Groß

Answer 1

Wir nutzen in Praxen ausschließlich den Parallelbetrieb in Kombination mit Hardware-Firewalls. Der Konnektor + Terminals werden dabei innerhalb eines eigenen Netzwerks (VLAN) vom Praxisnetz "isoliert". Die eigene Firewall kontrolliert dann den kompletten Zugriff auf die TI.

Sobald VoIP, Homeoffice VPN etc dazukommen ist die Reihenschaltung im Endeffekt unbrauchbar. Außerdem fällt die gesamte Praxis im Fehlerfall (Konnektor defekt) aus.

Comments

Welchen Sinn macht eigentlich die Isolierung des Konnektors und v.a. der Terminals? Hat man Angst, dass Malware aus dem Internet über den Konnektor ins interne Netzwerk gelangt? Sollte dies nicht durch die vorgeschaltete Firewall verhindert werden? Oder hat man Angst, dass netzinterne Malware über den Konnektor in die TI eindringt? Wenn das so wäre, hätte man das größere Problem wohl im eigenen Netzwerk, die TI-Server sollten doch eigentlich selber ausreichende Schutzmaßnahmen vorsehen, um eine Malwareausbreitung zu verhindern. Nicht falsch verstehen, dies soll keine Kritik sein, ich bin kein Security Experte und habe selber schon darüber nachgedacht den Konnektor in ein seperatens VLAN zu sperren, sehe nur nicht den Grund dafür. Sinnvoller wäre es doch, den Tomedoserver in ein eigens VLAN zu packen, um ein lateral movement der Malware von einem infizierten Client zu verhindern und die Patientendatenbank zu schützen.

Insgesamt halte ich eine Reihenschaltung nicht für einen Zugewinn an Sicherheit. Man ist dann auf Gedeih und Verderb auf die Firewall/Sicherheitsmaßnahmen des Konnektors angewiesen. Wie oft so etwas schief geht, hat nicht zuletzt der CCC unlängst bewiesen. Wenn es dann darauf ankommt und die Konnektorfirewall versagt, werden findige Juristen sicherlich eine zusätzliche Firewall hinter dem Konnektor verlangen oder  z.B. das Konnekotrpassowrt als Schwachstelle ausmachen, da man ja als Arzt eh für alles verantwortlich ist. Unabhängig davon sollen die Hardwarekonnektoren mittelfristig verschwinden, was dann möglicherweise wieder zusätzliche IT Kosten für die Praxis bedeuten würde, da man sein Sicherheitskonzept wieder umbauen müsste.

Gruß aus denm Süden!

---

Wieviel "Sinn" es für die einzelne Praxis macht kommt sehr auf den Einzelfall drauf an - für größere Praxen mehr als für kleine. Einzelne Gerätegruppen in eigene Netzwerke/VLANs zu isolieren und ggf. die Kommunikation der Geräte untereinander zu beschränken (Mac zu Mac; über die Switche) gehört bei uns zum Standard-Prozedere für Praxen/KMUs. Die kann sehe effizient eine Verbreitung von Malware/Viren innerhalb des Netzwerkes unterbinden.

Sicherheitstechnisch ist die gesamte TI Infrastruktur ein primäres und sehr lohnendes Angriffsziel - insbesondere wenn man bedenkt, dass die VPN Verbindung zur TI in beide Richtungen besteht und ein Angreifer hierdurch Vollzugriff in die Praxisnetze bekommen kann.
Und ja..hierzu muss die Software Firewall im Konnektor deaktiviert werden oder der Wartungszugang aktiviert. Allerdings ist dies nicht so aufwändig wie es klingt, da über die automatischen Updates o.ä. die Funktion einfach entsprechend angepasst werden können.
Zugegeben ist dieses Szenario zwar abstrakt aber dennoch existent.

Neben der Einschränkung der TI<>LAN Kommunikation bzgl. des Datenaustauschs hat eine Isolation der Komponenten den "Vorteil", dass es für normale Praxisarbeitsplätze nicht mehr möglich ist (außer explizit freigegeben) auf die Management Oberflächen der Terminals bzw. des Konnektors zu gelangen.
Hier hatten wir in Vergangenheit des Öfteren Probleme mit externen IT Dienstleistern oder auch übermotiviertem Praxispersonal, dass 1:1 irgendwelche Anleitungen zu Updates etc. befolgt hat ...mit Teils lustigen Effekten.

Unabhängig davon kann man selbstverständlich den Tomedo Server isolieren (wenn dieser virtualisiert ist geht es sogar relativ simpel über eine transparente Firewall im Hypervisor).
Letztendlich wird ein "Angriff" auf den Server eher auf HTTP Ebene (Tomedo Server<>Client Kommunikation) über eine Sicherheitslücke im Tomcat erfolgen...die Serverprozesse sind nicht wirklich isoliert...ggf. kann hier HTTPS mit eigenen Zertifikaten/PKI helfen (noch nicht für Tomedo ausprobiert).

Answer 2

Hallo Frau Groß,

laut KBV sind beide Arten zulässig.

https://www.kbv.de/html/ti-anschluss.php Auszug:

 Die gematik hat zwei Standard-Szenarien vorgesehen:

• Reihenbetrieb und
• Parallelbetrieb.

Welche Installationsvariante für eine Praxis am besten ist, hängt davon ab, wie die IT-Infrastruktur der Praxis insgesamt aussieht, welche Dienste wie IP-Telefonie oder Fernwartung des PVS genutzt werden und wie das gesamte IT-System am besten gesichert werden kann. Hier kann auch ein Gespräch mit dem IT-Dienstleister der Praxis unterstützen. 

Viele Grüße

Jens Seidel