Das ist klar. Dennoch wäre es besser, wenn ein Kleber an der Wand prangen würde, oder? Auch würde ich ungern nur eine Betonwand/Decke funken wollen, wenn nicht nötig. Auch kann ich aufgrund meiner Zweitrolle als Vermieter nicht einfach machen was ich will. Ich will es also als kostenfreies Angebot rüberbringen. Wäre gut wenn jemand der sich mit der Thematik auskennt etwas dazu sagen könnte.
Es ist z.B. datenschutzrechtlich als Privatperson problematisch Kameras aufzustellen die den Eingangsbereich auch abdecken (alles Privatgrundstück). Ähnliches dürfte zutreffen, wenn ggf. ein Dritter (Freifunk) Kenntnis über die dort verkehrenden Personen bekommt was anhand von Mac-Adressen sich teils automatisch einwählender Smartphones wohl eindeutig der Fall wäre.
An dem ganzen Thema hängt viel Sprengstoff, ohne Fachmann für Medizin IT zu sein würde ich mir daher nicht anmaßen wollen da irgendwelche Einschätzungen zu treffen.
Du wirst hier leider keine rechtliche Einschätzung erhalten. Die wenigsten von uns sind Anwalt und selbst dann dürfte hier in einem öffentlichen Forum keine Rechtsberatung durchgeführt werden.
Technisch wäre das speichern von MAC Adressen, ich nenne es einfach mal Verkehrsdaren zwar möglich, die dafür nötige Technik steckt aber nicht grundsätzlich in einem Freifunk Router.
Wenn du Freifunk dort anbieten möchtest, hast du nur zwei Möglichkeiten. Du machst es einfach frei nach dem Motto wer macht hat recht, oder du suchst das Gespräch mit deinem Mieter.
Vielleicht findet er FF toll und stellt es selbst auf. Dann könnt ihr noch meshen und die kleine Wolke ist perfekt.
Ich glaube mehr Ratschläge wirst du inhaltlich nicht bekommen.
2,4 GHz ist ein ISM-Band: ISM-Band – Wikipedia
Das kannst Du ohne Anmeldung o.ä. nutzen und meines Wissens auch keinen Nachbarn dessen Nutzung ohne weiteres verbieten. Dennoch gibt es diverse Arztpraxen mit Handyverbotsschildern, welche ständig ignoriert werden, (Frequenzbänder liegen dazwischen 0,8 GHz und 2,6 GHz), möglicherweise um die anderenden Wartenden nicht mit Gesprächen zu nerven, möglicherweise weil dort empfindliche Geräte stehen, deren Messungen durch Funkquellen in der Nähe gestört werden könnten (wobei auf Mobilfunkfrequenzen mit höheren Leistungen gesendet werden darf als bei WLAN, Anmerkung: Ich weiß nicht, inwiefern solche Sorgen jemals berechtigt waren, bei Flugzeugen gab es ja einige Zeit ähnliche Verbote).
Zur der IT deines Mieters sollte der Router auf keinen Fall eine Verbindung bekommen, da würde ich mit Klebenband o,ä. nachhelfen, falls dort ein Router aufgestellt wird. Nicht das irgendwer mal sachen auseinanderbaut (Handwerker, IT-Dienstleister etc.) und danach versehentlich Kabel in den falschen Port steckt.
P.S.: Bin Informatiker, kann dir leider auch keine juristische Einschätzung liefern.
ich denke das ist ausreichen behandelt.
in der Nachbarschaft darf es laufen solange es im sendeleistungs erlauben Rahmen ist.
Falls jemand in den Nahbereich von Medizintechnik kommt ist die EN 60601-1-2 noetig sowie bei moeglich des physikalischen Kontakts zu Personen die EN 60950 (das haben eigentlich fast alle mit CE) erfuellen.
Es gibts ein paar Hersteller die dazu die passende EMV Zulassung haben.
(Die EN 60601-1-2 definiert die Anforderungen und Prüfungen, die speziell für die EMV von Geräten beim Einsatz im medizinischen Umfeld zutrifft)
Da es keinen Forenbereich Security gibt, poste ich das mal hier.
Die Fragestellung kommt bei Rechtsanwälten, Arztpraxen, Apotheken etc. immer wieder auf: ‚Ist das auch sicher‘ ?
Um das Aufstellen eines Freifunkrouters auch in sicherheitskritischen Netzwerken zu ermöglichen, habe ich ein mögliches Setup dafür unter http://www.netsecdb.de/node/3490 dokumentiert:
In dieser Umgebung braucht man 0 Vertrauen zum Aufsteller des Freifunkrouters, dessen Admins oder Firmware-Image-Erstellern zu haben, wenn nur der Admin des lokalen Netzes Zugriff auf den Kontrollrouter hat.
Den eingesetzten 3com switch mit portmirror kann man dabei weglassen - ist nur der Vollständigkeit halber eingeflossen.
Statt dem Netgear kann man prinzipiell jedes openwrt-fähige Gerät nehmen, bei dem sich die ports splitten lassen. Die Hardware stand hier noch ungenutzt und so habe ich den Komfort, die Funknetze ebenfalls komfortabel zu überblicken.
pfsense auf soekris board ist nicht gerade billig und einer Fritzbox-Portsplit Lösung mit Gast-Lan an einem Punkt traue ich nicht. Im Kernel werden die Ports bei bootup erst spät gesplittet (siehe WIKI) und ein einziges Firmwareupdate auf der fritzbox und die Isolation ist vielleicht nicht mehr sichergestellt.
Das Problem wird immer sein, dass folgende Situation besteht:
Arzt / Apotheker / Anwalt hat 0,0 Ahnung und Interesse an „Internet“.
Das lokale Netz hat ein Systemhaus installiert, in der Regel mit kompletter Praxissoftware oder Warenwirtschaft.
Dieses Systemhaus stellt auch den Firewall-Router (so z.B. bei Lauer-Fischer, als CGM-Tochter mit Sicherheit ähnlich auch bei vielen Arztpraxen). Dieser stellt über ein DSL-Modem direkt die Verbindung her oder ist an eine Fritzbox oder sonstein Internet-Zugangsgerät angeschlossen. Für das LAN ist der WAN-Anschluss des Firewall-Routers bereits „Internet“, also jenseits des Sicherheitssystems. Ob man da noch Freifunk anklemmt oder sonstwas, ist egal.
Problem: Wenn man als Freifunk noch einen Router zwischenschaltet, hat man ein fremdes Gerät im Verbund. Wenn nun „das Internet“ nicht geht, gibt es nicht nur zwei Player, die sich die Schuld zuschieben können (Systemhaus und Zugangsprovider samt Mietrouter/Modem), sondern noch einen Sündenbock, der alle Schuld zugeschoben bekommt. Dann ist im Zweifel halt der Zwischenrouter „dran“.
Ich habe das hier sehr einfach gelöst, weil mein System-Firewallrouter sowieso schon per 192er-Netz an der Fritzbox hängt und diese per „Exposed Host“ alle Ports an den Systemrouter weiterleitet. So konnte ich einfach den FF-Router an dieses 192er-Netz hängen und habe kein Sicherheitsproblem, weil ich keinen Weg in mein gemietetes System-LAN habe.
Das hat aber nicht jeder so und man sollte sich das Setup immer ansehen. Bis vor einem Jahr hatte ich nur ein altes DSL-Modem und der Firewall-Router machte selbst PPPoE.
Natürlich kann man immer den FF-Router durch eine weitere Appliance vom LAN trennen - wenn es aber um Haftung geht, würde ich immer außerhalb des vorhandenen Routers bleiben, da dieser immer alle Angriffe von außen verkraften können muss. Wenn er es nicht kann, ist es immerhin nicht meine Schuld.
Alles andere gibt nur Streß, den man nicht möchte.
Da kann man 1000x „nicht Schuld“ sein. Und „alles sicher haben“. Am Ende muss man mindestens zum x-ten mal „IP-Routing für Einsteigende“ machen.
a) dedizierte Infrastruktur die an keiner Stelle Kontakt hat und nach Möglichkeit auch nicht in den Praxisräumlichkeiten steht und nicht vom Arzt betrieben wird.
b) der Arzt ist bereit jeden Preis zu bezahlen den sein Dienstleister fordert. Das kann irgendwas zwischen 250 und 3000€ sein. Lacht nicht, es gibt Dienstleister die nehmen Wucherpreise für jedes kleine Patchkabel. Da tauchen dann pauschal 49,- netto für ein 1m Patchkabel auf der Rechnung auf (so gesehen).
Dazu solltet ihr bedenken: der wirtschaftliche Schaden wenn die Praxis auch nur einen Tag nicht arbeiten kann ist enorm. Die Dienstleister verdienen Ihr Geld mit den entsprechenden SLA’s und mit dem Übernehmen sämtlicher Verantwortung/Haftung für die IT. Was ebenfalls nicht ignoriert werden sollte ist das immernoch ungelöste Problem des Datenschutzes. Wenn der Arzt etwas aufstellt was in der Theorie Dritten Aufschluss über Patienten gibt ist das rechtlich ein riesen Problem auch wenn es nur MAC-Adressen sind die ein Supernode-Betreiber sieht. Das ist ein Problem. Auch muss explizit darauf hingewiesen oder besser sichergestellt werden das das Freifunk Netzwerk niemals zum Versand von Patientendaten verwendet wird was passieren könnte wenn nicht eh jede Mitarbeiterin Zugang zum verschlüsseltem WLAN hat. Glaubt mir, Röntgenbilder / Arztberichte werden allzuoft leichtfertig über private Email-Adressen versendet.
Ich bin daher etwas erschrocken wenn manche sagen: mach einfach. Klar, kann man machen. Man selbst und andere haften aber dafür mit Haus & Hof. Und gegen den Willen von Betroffenen Freifunk zu installieren ist … ***** … nicht gerade hilfreich. Man sollte immer einvernehmlich handeln.
Die Praxisgemeinschaft meines Hausarztes bietet auch kostenloses WLAN an (nützt aber nichts, da im Wartezimmer mit dem Smartphone noch gerade eine Verbindung zustande kommt durch lustiges seitwärtsdrehen des Smartphones). So wie es aussieht, ist da einfach das GastWLAN der Fritzbox freigegeben worden. Jedenfalls hängt im Wartezimmer ein Infoflyer mit QR Code und AVM Symbol.
Bei den ganzen einzuhaltenen Regeln für Zertifikate kann ich mir nicht vorstellen, dass dessen IT Dienstleister so ein GastWLAN eingerichtet hätte, wenn das nicht Regelkomform wäre. Denn ein technisch zwar sichere Trennung durch ein VLAN und Co. nützt einen auch nichts, wenn die sichere Technik gegen potentielle Regeln verstößt…
Davon abgesehen war ich echt verwundert so etwas in einer Praxis vorzufinden. Denn ich würde nicht einmal freiwillig das GastWLAN ohne weiteren VPN Schutz etc. freigeben (auch, wenn beim GastWLAN meinetwegen Jugendschutzfilter aktiv ist). Da kann noch so schön bei aktueller AVM Firmware zunächst der abzuklickende Belehrungstest erscheinen.
AVM könnte mal um die Geschichte sicherer zu gestalten ein Wlan Gastmodus only einführen. Gut die sagen auch, Business verwendet dahinter nochmal eigene Netzwerk Geräte. KD Vodafone hat auch den Business pro Tarif indem alles auf Durchzug ist.
Was meinst mit VPN Schutz, die VPN Ports sperren?
Das ist nicht ganz einfach, ein VPN App arbeiten schon auf Port 443
So einfach ist es nicht, VPN verhindern. Die wechselnden VPN IP sperren über Content Filter benötigen viel Pflege.
Die Diskussion ist wirklich interessant. Für Arztpraxen gibt es meines Wissens nach keine gesetzlichen Vorgaben. Nur Ratschläge von der KV.
Aber jetzt mal realistisch betrachtet: Um den FF Router als Einfallstor verwenden zu können müsste der Angreifer
Den FF Router hacken
Über den Gastzugang in die Fritzbox eindringen
Eine hoffentlich vorhandene Firewall überwinden.
In den Server eindringen, um die Daten zu stehlen.
Und wofür? Um rauszufinden, dass Frau Müller Schnupfen hatte?
Wenn jemand so sehr an den Daten der Arztpraxis interessiert ist, wird er sich mit Sicherheit wesentlich leichter tun dort einzubrechen und den Server (oder das Backupmedium) zu klauen, denn deren Diebstahlschutz ist häufig schlicht nicht vorhanden.
Ich halte es für völlig ausgeschlossen, dass jemand sich die Mühe macht, über einen Freifunkrouter in eine Arztpraxis einzudringen.
Was natürlich nicht heißt, dass man die Sicherheit außer Acht lassen sollte. Aber man sollte der Bedrohung angemessene Maßnahmen ergreifen. Und die Bedrohung einer normalen Arztpraxis durch Hacker ist realistisch betrachtet doch eher gering.
Just my 5ct.
Gast-LAN der Fritzbox geht noch, wenngleich vielleicht eine Zertifizierung fehlt.
Der andere Weg, FF-Router einfach ins LAN hängen, ist problematisch, vergleiche WAN vor Gluon-Knoten einbruchssicher? (was: Netzwerk hinter FF sicher und nicht hackbar?) und die nachfolgende Diskussion. Ich stehe da als Apotheker in einer ähnlichen Schusslinie. Es geht nicht um den Schnupfen, eher um AIDS und andere unschöne Krankheiten. Die Diskussion über die Schutzwürdigkeit von personenbezogenen Gesundheitsdaten möchte ich hier nicht führen.
Weiss ich nicht. Ich weiss nur, dass „wenn“ etwas passiert, das Geschrei groß ist. Diesem Risiko möchte ich mich nicht aussetzen und ich möchte auch nicht der sein, der einen Arzt/Apotheker/Rechtsanwalt in der Hinsicht beraten hat. Und ich möchte auch nicht einem Firmwarebäcker vertrauen, wenn es um meine Unternehmensdaten geht. Insofern kommt der Router in die DMZ oder wie man das nennen mag.
Einer unserer Freifunker, der TÜV-zertifizierter Datenschützer ist und das auch für Firmen übernimmt, sagte mir kürzlich, dass die problematischen Paragraphen §§ 5, 9 BDSG und § 203 StGB sind (habe sie selbst noch nicht nachgeschlagen). Diese können man nicht mit einer FritzBox abdecken, sondern braucht ein vom BSI zertifiziertes System. Er nannte mir als Beispiel einen Lancom 1781 VAW, der natürlich seinen stolzen Preis hat.
Das wird irgendwo mehr oder weniger das Problem sein, wo ein externer Datenschützer im Boot ist.
Die Lancom Geräte haben ein BSI Zertifikat, das sich nach meinem Verständnis auf die dort implementierte VPN Technologie bezieht. Ich glaube aber kaum, dass dies für eine normale Arztpraxis relevant ist, denn selten werden hier zwei Standorte vernetzt.
Ob die ebenfalls in den Routen vorhandene VLAN Technologie sicherer ist als die in der Fritzbox, die dann da Gastzugang heißt, sagt das Zertifikat meines Erachtens nach nicht.
Ich würde mir eher Sorgen darum machen, ob meine Praxissoftware dem §9 BDSG genügt, denn was ich da so kenne lässt mich als Laien in juristischen Fragen daran zweifeln.
Und wenn ich wie eben geschehen in einem Behandlungszimmer auf den Arzt warte und dabei die ganze Zeit das Terminal der Praxissoftware vor Augen habe, das frei und offen zugänglich ist, dann weiß ich, dass ein BSI Zertifikat für die Netzwerkhardware in dieser Praxis auch nix hilft…
Auch würde ich ungern nur eine Betonwand/Decke funken wollen, wenn nicht nötig. Auch kann ich aufgrund meiner Zweitrolle als Vermieter nicht einfach machen was ich will. Ich will es also als kostenfreies Angebot rüberbringen. Wäre gut wenn jemand der sich mit der Thematik auskennt etwas dazu sagen könnte.