Freifunk in Arztpraxen (IT-Sicherheit)

Verstehe ich nicht. Wenn Freifunk aus Datenschutzgründen nicht für eine Arzt Praxis taugt, taugt es auch nicht für mein Heimnetzwerk.

Es taugt aus rechtlichen Gründen nicht für die Arztpraxis.

Dieses Recht sieht für die kritische Infrastruktur einer Praxis eine 0-Risiko-Vorgehensweise vor.

Privat ist 0 Risiko nicht rechtlich gefordert. Die meisten Feifunker kennen das Restrisiko und schätzen es als tolerierbar ein, da es sehr gering ist.

Also keinen Internetzugang? Auch nicht um Abrechnungsdaten an die jeweiligen Kassenärztlichen Vereinigungen zu schicken? Was übrigens zwingend vorgeschrieben ist …

Ich glaube nicht das die IT-Sicherheit von Behörden und alles was ähnlich aufgebaut ist hier ein Thema für dieses Forum ist.

Verstehe. Besser wir konzentrieren uns auf die Sicherheit des Freifunks. Sehe ich auch so.

Die dahinterstehende Regel lautet: „Keine fremde Hardware in die IT des Praxen-Netzwerks“.

Wenn man das berücksichtigt, dann braucht man „für Freifunk in der Praxis“

1. entweder einen separaten DSL-Anschluss
2. Freifunk-Meshlink von einem Nachbarn (im Haus/gegenüber etc…)
3. als Praxis-Router einen mit einem hinreichend zertifizierten „Gast-Lan/DMZ“-Port. Also einen bei dem die KAV und andere das für hinreichend sicher halten, dort Dritte mit dranzulassen.
4. Vor dem „DSL-Router der Praxis“ einen weiteren Router, der eine DMZ (oder wie immer man das nennen möchte) ausleitet, wo dann der FF-Router hängt.

Wobei letzteres halt problematisch ist, wenn dieser weitere Router dann -aus welchen Gründen auch immer- streiken sollte und dann plötzlich der Praxisbetrieb beeinträchtigt ist.
Und bei beiden 3/4 ist problematisch: Immer wenn jemand in der Praxis meint „Das Internet geht nicht so richtig“ wird der Verdacht aufkommen, es liege am Freifunk.Und sei es „die Saugen zu viel“ oder „Der Bandbreiten-Begrenzer im FF-Router funktioniert nicht richtig“. Da ist es dann weder sinnvoll möglich und angeraten, irgendwie dagegen zu argumentieren, auf welcher Grundlage auch.

(Da nur um die Problematik mal aufzuzeigen, die grundsätzlich entstehen kann, wenn man als „Routeraufsteller“ die FF-Router bei Dritten, wie Kleingewerblern, aufstellt. Da braucht es viel Selbstvertrauen und sicheres Auftreten…)

Ich würde das nicht so streng interpretieren.

Vom FF-Router kann man nur Zugriff auf das Praxislan haben, wenn man einen SSH-Zugang zum FF-Router hat.
Der Arzt muss eben dafür sorgen, dass keine fremde Person diesen Zugang erhält. Ich sehe da folgende Möglichkeiten:

• Bei dem Router wird SSH deaktiviert
• Nur der Arzt oder seine Mitarbeiter haben SSH-Zugang
• Ein vom Arzt beauftragter Dienstleister erhält den SSH-Zugang.
  Letzterer ist ja auch keine fremde Person, denn das ganze Praxislan mit sämtlichen Computerkomponenten wird idR. von externen Dienstleistern betreut.

Nachtrag: ggfs. müsste man Autoupdate abschalten, denn es könnte sein, dass eine fremde Person eine Firmware verteilt, mit der eine andere fremde Person doch Zugriff auf das LAN erhält. Z.B. indem mit der Firmware ein SSH-Key verteilt würde.

Es könnte auch sein, dass es per remote exploit ein Einfallstor in gluon gibt. Dann wäre selbst ein Router ohne SSH, ohne Autoupdate immer noch gefährdet.
Ob der Router jetzt mit oder ohne Autoupdate sicherer ist… wer weiß?

Damit möchte ich nur auf ein imaginäres Restrisiko hinweisen, dass bei jeder Software immer besteht.

Letztendlich muss der jeweilige Arzt das (sehr kleine) Risiko tragen.

Ja. Dieses Risiko besteht auch bei dem vorhanden Router des Praxislans sowie vielen anderen Geräten.

Super Antwort auf die Frage:Darf man das? Antwort: eigentlich vielleicht, aber nur ein bischen

Ich hab die selbe Frage, und daran hängt eine Werbegemeinschaft mit 60 Geschäften, davon mehrere Ärzte, Anwälte, und Steuerberater.
Gibt es keinen Freifunker der sich mit IT Sicherheit auskennt, und sagen kann: So und so, dann alles rechtlich gut???
Irgendwer muss ja auch nach den IT Sicherheit Standards die Praxen einrichten! So einer muss hier mal konkrete rechtsverbindliche Antworten geben!

Wer eine rechtsverbindliche Antwort gibt, steht auch rechtsverbindlich dafür ein.
Hat der Hersteller des Netzwerkdruckers schon schriftlich die Sicherheit garantiert?

Mehr als ein „wir geben uns Mühe“ ist leider nie drin.

Ich hatte fest vor, meinem Zahnarzt (der auch zusätzlich noch ein guter Bekannter von mir ist) demnächst genau diesen Vorschlag mit dem Freifunk Router für seine Patienten vorzuschlagen.

Allerdings war mir bisher die rechtliche Situation unbekannt. Schade, wenn das so nicht klappen wird

@windoof hatte heute so etwas bei uns in Witten umgesetzt. Lars erzählte, dass dies durch vlans autark vom praxis netz ist. er kann dazu bestimmt mehr erzählen.

Ich habe das nicht mal im Praxis Netz. vor Ort steht ein Lancom Router der Netzvirtualisierung unterstützt. so Kann ein Router durch mehre Kunden Netzwerke genutzt werden. auf dem Router kommt ein Lanport getrennt raus wo der FF Router dran ist. Eigenes IP Netz, DHCP etc. (Keine Werbung) http://www.lancom-systems.de/publikationen/whitepaper/netzvirtualisierung/

andere Hersteller koennen das auch … eine eine Art „Luxus“ DMZ … die halt nur RAUS aber nicht rein kann.
So kann man sogar das KV Netz vom Praxisnetz trennen

PS:
Ach so und
A) Die LC Router sind BSI 4 zertifiziert
B) und ich bin der IT Dienstleister vor Ort
C) selbst wenn der Router RAW (als Bridge) im Netz haengen würde ginge nur Internet kein Zugang ins Lan.
Das selbe mache ich auch mit EC Cash, Pfandautomaten, Werbedisplays und anderen Elektronik Schrott der nicht unter unser Kontroller ist.

DANKE! Das war eine Klare aussage! Hab zwar nix verstanden ( jetzt weiss ich aber wie und wo ich suchen muss )

Das geht mir auch so. In meinem Fall ist es mein Onkel, der in der Praxis schon zwei Router hat. Einen für den Internetzugang und einen Abrechungsrouter für die VPN Verbindung zur Kassenärztlichen Vereinigung oder so, der an der Fritz Box hängt. Reicht es jetzt aus ein Gast LAN der Fritze aufzumachen, oder darf ich an den Anschluss gar nicht ran. Das was hier bezüglich Wartungszugang für Firmen geschrieben wurde ist vollkommener Blödsinn, ohne jemanden zu nahe treten zu wollen. Ein Arzt, oder auch Zahnarzt darf Servicefirmen keinerlei Remotezugang einrichten. Ausnahme ist ein Remotzugang unter Aufsicht. Das es oft glaube ich anders gehandhabt wird möchte ich nicht abstreiten. Zulässig ist es jedoch nicht. So eine Praxis ist ganbz verzwickt, ich hatte z.B. vor das Backup auszulagern, was rechtlich jedoch auch nicht möglich ist. Nach dem Gesetz ist in der Praxis Schweigepflicht, außerhalb nicht. Deswegen darf z.B. ein Backup nicht ausgelagert werden. Ähnlich ist es ggf. bei Netzübergängen. Da kenne ich mich leider nicht aus, würde mich aber über Infos freuen.

Hallo,
ich bin beruflich in diesem Umfeld auch tätig.
Zunächst einmal halte ich es für ausgeschlossen, ohne ein Konzept sowie ein beschriebenes und auch überprüftes Verfahren überhaupt bei Berufsgeheimnisträgern QM-gerecht (Qualitätsmanagement) bzw Datensicherheitsgerecht (nicht Datenschutz! das ist eh notwendige Voraussetzung!) IT zu betrieben. Davon ist nicht nur der Freifunk betroffen.

Während es bei Steuerberatern dank Softwarefirmen wie Datev bereits datensicherheitszeritfizierte Prozesse gibt (ISO/IEC 27000er Reihe) und diese dann entsprechend einfach umsetzbar sind, fehlen diese Dinge bei Arztsoftware meist gänzlich.
Im Grunde ist diese Arztsoftwarebranche nur froh, dass ihre Software überhaupt „geht“ - „funktionieren“ nenne ich in einigen Fällen bereits etwas anderes. Datenschutz ist weitgehend unbekannt in der Realität oder zumindestens nachrranging in diesem Bereich meiner Beobachtung nach (CTs via Email, keine ordentliche Zuordnung der erhobenen Daten - immer der gleiche Benutzer im gesamten Team etc).
In so einer Umgebung Freifunk einzuführen kann zu entsprechend ablehnenden Reaktanzen führen.

Es muss also jemanden geben, der das neue IT Verfahren - in dem Fall Freifunkanbindung - prüft und dessen Implementierung versteht und dokumentiert.

Oben fielen bereits Begriffe wie KVsafeNet und anderes - wer die Standardlösungen als Arzt hierzu eingesetzt hat, wird Aufwand haben, eine Freifunk Lösung „sauber“ zu implementieren. Eine 2. Internetleitung ist nur ein möglicher Weg. Oft haben Ärzte im Rahmen der elektronischen Gesundheitskarte auch sog. zertifizierte Provider und entsprechende Verträge, die es auch zu berücksichtigen gilt.

Es wäre auch ein Weg, wenn ihr den betroffenen Ärzten statt dieser imo unsäglichen Fritzbox Lösung einfach einen PFsense oder vergleichbares mit einem dokumentierten Regelwerk mit anbietet. Hierbei erfolgt die Trennung der Netze meiner Ansicht nach auch bitte explizit via zusätzlicher eth Karte und entsprechender Regeln.Geprüfte Regeln bitte - es gibt dazu dann eine anzufertigende Dokumentation auch.

Der Arzt muss meiner Meinung nach immer ein Stück Papier aus dem Schrank ziehen können, aus dem hervorgeht, dass es keinen Zugriff von Freifunk Netz auf das LAN geben kann bzw die Regeln dieses Risiko berücksichtigen. Er haftet schliesslich.

Ich bin in dem Fall Freifunker und kein kostenloser IT Dienstleister.
Ich denke das kann man am besten mit dem vorhandenen Dienstleister absprechen. Der sollte die Rahmenbedingungen schaffen und ich/wir/Du steuern den Freifunkrouter bei (wenn es der IT Dienstleister nicht gleich mit macht).

hab mal bei meine 3 Ärzte gefragt, die Antworten waren unterschiedlich (teils: „getrennte Rechner, Praxissystem ist von Internet völlig abgekoppelt“, teils: „weis ich nicht, aber WLAN ist abgeschaltet“, zeigen aber u.U. einen einfachen Lösungsweg auf, wie von @DSchmidtberg beschrieben: WLAN an Provider-Router, z.B. Fritzbox) gänzlich deaktivieren (was alle von mir befragten Ärzte sowieso gemacht haben) und an Port 4 als GAST mit LAN den Wifi-Router dranhängen, auf Fritzbox bei Preferenzen den Arztrecher mit Priorität versehen, und dann ist er eigentlich auf der sicheren Seite, technisch und bzgl. Badbreite und Störerhaftung.
.
Edit
weiterer Lösungsweg wäre, bei Nachbar (Geschäft oder sonstwas) den ersten Router aufstellen und dann beim Arzt nur einen Funk-Router, d.h., er hat selbst gar ncihts, ausser irgendwo in der Ecke an einer Steckdose eine Router mit Funkverbindng nach nebenan.