Freifunk in Arztpraxen (IT-Sicherheit)

Hi,

hat hier schon jemand Erfahrungen damit Router in einer Arztpraxis aufzustellen?

Ich meine Arztpraxen müssen bestimmte IT-Standards erfüllen, kenne mich mit dem Thema aber nicht so gut aus.

An sich wäre so eine Praxis der perfekte Ort, man verbringt dort meist ungewollt lange Zeit im Wartezimmer.

Gruß

Flam

2 Likes

Es zuckt jetzt bei mir. Und es sind keine neurologischen Störungen. Nein, ich werde hier keine potentielle StandplatzspenderInnen vergrätzen wollen indem ich zu meinen Beobachtungen zu „IT-Sicherheit in Arztpraxen“ etwas schreibe.

Aber zum Thema: ggf sollte es reichen, an der vorhandenen Fritzbox (oder was es immer es ist) einen Lanport zum „Gastlan“ zu deklarieren. Und dort den FF-Router dranzuhängen.
Und falls nur „Gast-Wlan“ geht (weil keine RJ45 dafür vorhanden sind): Dann muss eben ein TP-Link-WA750 im Client-Mode dran und an dessen Ethernetport dann den FF-Router mit dem WAN.

Ist fühlt sich zwar an wie „durch die Brust ins Auge“, aber WIRKLICH auch die preiswerteste Lösung. Wirklich!!1einself

(P.s. Und um den Fragen vorzubeugen „Warum nicht das GastWLAN dann gleich direkt den wartenden PatientInnen geben?“: Störerhaftung!)

2 Likes

Ärzte und Anwälte und Verwandte Berufsgruppen dürfen soweit ich weiß keine fremden Geräte in ihrem Netzwerk haben, auch W-LAN dürfen die wohl nicht nutzen. Als Lösung:

An den ISP Router wird der Freifunkrouter und ein handelsüblicher Router mit deaktivierten W-LAN angeschlossen, alle Geräte die vorher am ISP-Router angeschlossen waren werden jetzt an den neuen Router angeschlossen.

man kann beliebige Routerkaskaden bauen… aber alles natürlich hinterher „single point of failure“.

Ich hatte einen WA750, um mein privates, verschlüsseltes WLAN zu erweitern. Das Teil hat regelmäßig das Netz verloren und musste resetet werden. Es war nicht zu gebrauchen. Dahinter einen FF-Router zu hängen, würde dann keinen Sinn machen.

Hmm, ich hatte einen WR850, der ist etwsa teurer „wegen 2xMIMO“, der hat aber gespielt mit der Stock-FW.

Heute bin ich von einem Bekannten angesprochen worden, der in seiner Praxis (Kieferchirurgie) einen Freifunk-Router haben möchte.
Ist das wirklich so, dass ich den FF-Router nur an einen WLAN-Router mit deaktiviertem WLAN anschließen darf? Gibt es da Quellen?
Der gute Doktor unterliegt sowieso schon ständigen Kontrollen und ich möchte ihm da nicht noch mehr zumuten. :wink:

Spontan würde ich sagen, dass er da selber bestimmt die besseren Kontakte zu Informationen hat. Also Hersteller und eben die Kontrolleure. Vielleicht einfach mal da nachfragen. Und wenn die nein sagen, hat man wenigstens Gewissheit.

Zumindest in den (zugegebenermaßen etwas angestaub klingenden) Richtlinien der Kassenärtzlichen Bundesvereinigung kann ich dazu nichts finden.
Im Gegenteil, das was da steht lässt mich eher schaudern an vielen Stellen.

Prinzipell wird aber gesagt:
„Arbeitsplatzrechner gehören nicht in ein offenes (W)Lan“
„Fremde Personen dürfen keinen Zugriff auf das Praxislan haben“

Und damit scheidet der FF-Router direkt im Praxislan schonmal aus. Eben weil ja durchaus vom FF-Router aus (wer immer da wie einen Zugriff erlangt) von Innen ins Netz schauen könnte.
Daher muss der FF-Router wahlweise an einen „Gast-Lan“ des Internetrouters. Oder man baut eine Router-Kaskade, um so eine DMZ zu schaffen.
Nur: Soetwas muss die jeweilige Praxis oder deren Dienstleister „richten“, das würde zumindest ich mir nicht ans Bein binden wollen. Denn „FF-Router aufstellen“ ist eines, aber plötzlich mit in der Haftung für die Internetanbindung eines Gewerbebetriebes -zumal mit mehreren Vollzeitkräften- zu sein: Problematisch. Selbst wenn etwas schief geht und man selbst sich nichts vorzuwerfen hat und es auch nicht an der durchgeführten Installation (oder deren späteren Ausfall) liegt: Wenn man nicht schnellstens (und dann richtig) reagiert ist die Chance groß, mindestens eine Mitschuld in die Schuhe geschoben zu bekommen.

Falls der Doktor bereit ist, in die Tasche zu greifen, könnte er einen zweiten DSL-Vertrag abschliessen und diesen dann ausschliesslich für Freifunk nutzen.

1 Like

Eine möglikeit sehe ich noch.

Wenn sich im gleichen Haus noch jemand findet der sich ein Freifunk Router hin stellt dann könnte der Doc sich einfach „nur“ einen Freifunk Router dort hin stellen ohne das es an das Netzwerk von der Praxis geht.

Kommt natürlich auch aufs Gebäude an.

Verstehe ich nicht. Wenn Freifunk aus Datenschutzgründen nicht für eine Arzt Praxis taugt, taugt es auch nicht für mein Heimnetzwerk.

2 Likes

Es taugt aus rechtlichen Gründen nicht für die Arztpraxis.

Dieses Recht sieht für die kritische Infrastruktur einer Praxis eine 0-Risiko-Vorgehensweise vor.

Privat ist 0 Risiko nicht rechtlich gefordert. Die meisten Feifunker kennen das Restrisiko und schätzen es als tolerierbar ein, da es sehr gering ist.

1 Like

Also keinen Internetzugang? Auch nicht um Abrechnungsdaten an die jeweiligen Kassenärztlichen Vereinigungen zu schicken? Was übrigens zwingend vorgeschrieben ist …

Ich glaube nicht das die IT-Sicherheit von Behörden und alles was ähnlich aufgebaut ist hier ein Thema für dieses Forum ist.

2 Likes

Verstehe. Besser wir konzentrieren uns auf die Sicherheit des Freifunks. Sehe ich auch so.

Die dahinterstehende Regel lautet: „Keine fremde Hardware in die IT des Praxen-Netzwerks“.

Wenn man das berücksichtigt, dann braucht man „für Freifunk in der Praxis“

  1. entweder einen separaten DSL-Anschluss
  2. Freifunk-Meshlink von einem Nachbarn (im Haus/gegenüber etc…)
  3. als Praxis-Router einen mit einem hinreichend zertifizierten „Gast-Lan/DMZ“-Port. Also einen bei dem die KAV und andere das für hinreichend sicher halten, dort Dritte mit dranzulassen.
  4. Vor dem „DSL-Router der Praxis“ einen weiteren Router, der eine DMZ (oder wie immer man das nennen möchte) ausleitet, wo dann der FF-Router hängt.

Wobei letzteres halt problematisch ist, wenn dieser weitere Router dann -aus welchen Gründen auch immer- streiken sollte und dann plötzlich der Praxisbetrieb beeinträchtigt ist.
Und bei beiden 3/4 ist problematisch: Immer wenn jemand in der Praxis meint „Das Internet geht nicht so richtig“ wird der Verdacht aufkommen, es liege am Freifunk.Und sei es „die Saugen zu viel“ oder „Der Bandbreiten-Begrenzer im FF-Router funktioniert nicht richtig“. Da ist es dann weder sinnvoll möglich und angeraten, irgendwie dagegen zu argumentieren, auf welcher Grundlage auch.

(Da nur um die Problematik mal aufzuzeigen, die grundsätzlich entstehen kann, wenn man als „Routeraufsteller“ die FF-Router bei Dritten, wie Kleingewerblern, aufstellt. Da braucht es viel Selbstvertrauen und sicheres Auftreten…)

1 Like

Ich würde das nicht so streng interpretieren. :wink:

Vom FF-Router kann man nur Zugriff auf das Praxislan haben, wenn man einen SSH-Zugang zum FF-Router hat.
Der Arzt muss eben dafür sorgen, dass keine fremde Person diesen Zugang erhält. Ich sehe da folgende Möglichkeiten:

  • Bei dem Router wird SSH deaktiviert
  • Nur der Arzt oder seine Mitarbeiter haben SSH-Zugang
  • Ein vom Arzt beauftragter Dienstleister erhält den SSH-Zugang.
    Letzterer ist ja auch keine fremde Person, denn das ganze Praxislan mit sämtlichen Computerkomponenten wird idR. von externen Dienstleistern betreut.

Nachtrag: ggfs. müsste man Autoupdate abschalten, denn es könnte sein, dass eine fremde Person eine Firmware verteilt, mit der eine andere fremde Person doch Zugriff auf das LAN erhält. Z.B. indem mit der Firmware ein SSH-Key verteilt würde.

2 Likes

Es könnte auch sein, dass es per remote exploit ein Einfallstor in gluon gibt. Dann wäre selbst ein Router ohne SSH, ohne Autoupdate immer noch gefährdet.
Ob der Router jetzt mit oder ohne Autoupdate sicherer ist… wer weiß?

Damit möchte ich nur auf ein imaginäres Restrisiko hinweisen, dass bei jeder Software immer besteht.

Letztendlich muss der jeweilige Arzt das (sehr kleine) Risiko tragen.

Ja. Dieses Risiko besteht auch bei dem vorhanden Router des Praxislans sowie vielen anderen Geräten.

1 Like