Freifunk in Arztpraxen (IT-Sicherheit)

ich denke das ist ausreichen behandelt.
in der Nachbarschaft darf es laufen solange es im sendeleistungs erlauben Rahmen ist.
Falls jemand in den Nahbereich von Medizintechnik kommt ist die EN 60601-1-2 noetig sowie bei moeglich des physikalischen Kontakts zu Personen die EN 60950 (das haben eigentlich fast alle mit CE) erfuellen.
Es gibts ein paar Hersteller die dazu die passende EMV Zulassung haben.
(Die EN 60601-1-2 definiert die Anforderungen und Prüfungen, die speziell für die EMV von Geräten beim Einsatz im medizinischen Umfeld zutrifft)

Quelle und mehr Infos eines Herstellers:

2 „Gefällt mir“

Da es keinen Forenbereich Security gibt, poste ich das mal hier.

Die Fragestellung kommt bei Rechtsanwälten, Arztpraxen, Apotheken etc. immer wieder auf: ‚Ist das auch sicher‘ ?

Um das Aufstellen eines Freifunkrouters auch in sicherheitskritischen Netzwerken zu ermöglichen, habe ich ein mögliches Setup dafür unter http://www.netsecdb.de/node/3490 dokumentiert:

In dieser Umgebung braucht man 0 Vertrauen zum Aufsteller des Freifunkrouters, dessen Admins oder Firmware-Image-Erstellern zu haben, wenn nur der Admin des lokalen Netzes Zugriff auf den Kontrollrouter hat.

Den eingesetzten 3com switch mit portmirror kann man dabei weglassen - ist nur der Vollständigkeit halber eingeflossen.

Statt dem Netgear kann man prinzipiell jedes openwrt-fähige Gerät nehmen, bei dem sich die ports splitten lassen. Die Hardware stand hier noch ungenutzt und so habe ich den Komfort, die Funknetze ebenfalls komfortabel zu überblicken.

Und die Antwort findest Du in:

Stichwort: Routerkaskade.

Danke für den Hinweis.

pfsense auf soekris board ist nicht gerade billig und einer Fritzbox-Portsplit Lösung mit Gast-Lan an einem Punkt traue ich nicht. Im Kernel werden die Ports bei bootup erst spät gesplittet (siehe WIKI) und ein einziges Firmwareupdate auf der fritzbox und die Isolation ist vielleicht nicht mehr sichergestellt.

und ich baue hier gerade selbst ein Freetz-Image ( http://www.netsecdb.de/node/3349 ) mit IPv6 und Portsplit;)

Die Techdoku bei openwrt war zum Splitting etwas kopflastig - deswegen die Anleitung und die Screenshots dazu für Frischlinge.

Das Problem wird immer sein, dass folgende Situation besteht:

  1. Arzt / Apotheker / Anwalt hat 0,0 Ahnung und Interesse an „Internet“.
  2. Das lokale Netz hat ein Systemhaus installiert, in der Regel mit kompletter Praxissoftware oder Warenwirtschaft.
  3. Dieses Systemhaus stellt auch den Firewall-Router (so z.B. bei Lauer-Fischer, als CGM-Tochter mit Sicherheit ähnlich auch bei vielen Arztpraxen). Dieser stellt über ein DSL-Modem direkt die Verbindung her oder ist an eine Fritzbox oder sonstein Internet-Zugangsgerät angeschlossen. Für das LAN ist der WAN-Anschluss des Firewall-Routers bereits „Internet“, also jenseits des Sicherheitssystems. Ob man da noch Freifunk anklemmt oder sonstwas, ist egal.

Problem: Wenn man als Freifunk noch einen Router zwischenschaltet, hat man ein fremdes Gerät im Verbund. Wenn nun „das Internet“ nicht geht, gibt es nicht nur zwei Player, die sich die Schuld zuschieben können (Systemhaus und Zugangsprovider samt Mietrouter/Modem), sondern noch einen Sündenbock, der alle Schuld zugeschoben bekommt. Dann ist im Zweifel halt der Zwischenrouter „dran“.

Ich habe das hier sehr einfach gelöst, weil mein System-Firewallrouter sowieso schon per 192er-Netz an der Fritzbox hängt und diese per „Exposed Host“ alle Ports an den Systemrouter weiterleitet. So konnte ich einfach den FF-Router an dieses 192er-Netz hängen und habe kein Sicherheitsproblem, weil ich keinen Weg in mein gemietetes System-LAN habe.
Das hat aber nicht jeder so und man sollte sich das Setup immer ansehen. Bis vor einem Jahr hatte ich nur ein altes DSL-Modem und der Firewall-Router machte selbst PPPoE.

Natürlich kann man immer den FF-Router durch eine weitere Appliance vom LAN trennen - wenn es aber um Haftung geht, würde ich immer außerhalb des vorhandenen Routers bleiben, da dieser immer alle Angriffe von außen verkraften können muss. Wenn er es nicht kann, ist es immerhin nicht meine Schuld.

1 „Gefällt mir“

Die sinnvollste Möglichkeit ist banal und unbefriedigend für uns Techniker:

Separaten Congstar/Unitymedia-Anschluss. Eigenes Modem, eigener Router, Freifunkrouter dahinter.

Alles andere gibt nur Streß, den man nicht möchte.
Da kann man 1000x „nicht Schuld“ sein. Und „alles sicher haben“. Am Ende muss man mindestens zum x-ten mal „IP-Routing für Einsteigende“ machen.

1 „Gefällt mir“

Ich sehe nur 2 Möglichkeiten:

a) dedizierte Infrastruktur die an keiner Stelle Kontakt hat und nach Möglichkeit auch nicht in den Praxisräumlichkeiten steht und nicht vom Arzt betrieben wird.
b) der Arzt ist bereit jeden Preis zu bezahlen den sein Dienstleister fordert. Das kann irgendwas zwischen 250 und 3000€ sein. Lacht nicht, es gibt Dienstleister die nehmen Wucherpreise für jedes kleine Patchkabel. Da tauchen dann pauschal 49,- netto für ein 1m Patchkabel auf der Rechnung auf (so gesehen).

Dazu solltet ihr bedenken: der wirtschaftliche Schaden wenn die Praxis auch nur einen Tag nicht arbeiten kann ist enorm. Die Dienstleister verdienen Ihr Geld mit den entsprechenden SLA’s und mit dem Übernehmen sämtlicher Verantwortung/Haftung für die IT. Was ebenfalls nicht ignoriert werden sollte ist das immernoch ungelöste Problem des Datenschutzes. Wenn der Arzt etwas aufstellt was in der Theorie Dritten Aufschluss über Patienten gibt ist das rechtlich ein riesen Problem auch wenn es nur MAC-Adressen sind die ein Supernode-Betreiber sieht. Das ist ein Problem. Auch muss explizit darauf hingewiesen oder besser sichergestellt werden das das Freifunk Netzwerk niemals zum Versand von Patientendaten verwendet wird was passieren könnte wenn nicht eh jede Mitarbeiterin Zugang zum verschlüsseltem WLAN hat. Glaubt mir, Röntgenbilder / Arztberichte werden allzuoft leichtfertig über private Email-Adressen versendet.

Ich bin daher etwas erschrocken wenn manche sagen: mach einfach. Klar, kann man machen. Man selbst und andere haften aber dafür mit Haus & Hof. Und gegen den Willen von Betroffenen Freifunk zu installieren ist … ***** … nicht gerade hilfreich. Man sollte immer einvernehmlich handeln.

Cheers,
Arwed

Die Praxisgemeinschaft meines Hausarztes bietet auch kostenloses WLAN an (nützt aber nichts, da im Wartezimmer mit dem Smartphone noch gerade eine Verbindung zustande kommt durch lustiges seitwärtsdrehen des Smartphones). So wie es aussieht, ist da einfach das GastWLAN der Fritzbox freigegeben worden. Jedenfalls hängt im Wartezimmer ein Infoflyer mit QR Code und AVM Symbol.

Bei den ganzen einzuhaltenen Regeln für Zertifikate kann ich mir nicht vorstellen, dass dessen IT Dienstleister so ein GastWLAN eingerichtet hätte, wenn das nicht Regelkomform wäre. Denn ein technisch zwar sichere Trennung durch ein VLAN und Co. nützt einen auch nichts, wenn die sichere Technik gegen potentielle Regeln verstößt…

Davon abgesehen war ich echt verwundert so etwas in einer Praxis vorzufinden. Denn ich würde nicht einmal freiwillig das GastWLAN ohne weiteren VPN Schutz etc. freigeben (auch, wenn beim GastWLAN meinetwegen Jugendschutzfilter aktiv ist). Da kann noch so schön bei aktueller AVM Firmware zunächst der abzuklickende Belehrungstest erscheinen.

du kannst auch fuer 10 euro ein r1011 bei ebay kaufen und dir das alles sparen.

AVM könnte mal um die Geschichte sicherer zu gestalten ein Wlan Gastmodus only einführen. Gut die sagen auch, Business verwendet dahinter nochmal eigene Netzwerk Geräte. KD Vodafone hat auch den Business pro Tarif indem alles auf Durchzug ist.

Was meinst mit VPN Schutz, die VPN Ports sperren?
Das ist nicht ganz einfach, ein VPN App arbeiten schon auf Port 443
So einfach ist es nicht, VPN verhindern. Die wechselnden VPN IP sperren über Content Filter benötigen viel Pflege.

Die Diskussion ist wirklich interessant. Für Arztpraxen gibt es meines Wissens nach keine gesetzlichen Vorgaben. Nur Ratschläge von der KV.
Aber jetzt mal realistisch betrachtet: Um den FF Router als Einfallstor verwenden zu können müsste der Angreifer

  1. Den FF Router hacken
  2. Über den Gastzugang in die Fritzbox eindringen
  3. Eine hoffentlich vorhandene Firewall überwinden.
  4. In den Server eindringen, um die Daten zu stehlen.

Und wofür? Um rauszufinden, dass Frau Müller Schnupfen hatte?
Wenn jemand so sehr an den Daten der Arztpraxis interessiert ist, wird er sich mit Sicherheit wesentlich leichter tun dort einzubrechen und den Server (oder das Backupmedium) zu klauen, denn deren Diebstahlschutz ist häufig schlicht nicht vorhanden.

Ich halte es für völlig ausgeschlossen, dass jemand sich die Mühe macht, über einen Freifunkrouter in eine Arztpraxis einzudringen.

Was natürlich nicht heißt, dass man die Sicherheit außer Acht lassen sollte. Aber man sollte der Bedrohung angemessene Maßnahmen ergreifen. Und die Bedrohung einer normalen Arztpraxis durch Hacker ist realistisch betrachtet doch eher gering.
Just my 5ct.

1 „Gefällt mir“

Gast-LAN der Fritzbox geht noch, wenngleich vielleicht eine Zertifizierung fehlt.
Der andere Weg, FF-Router einfach ins LAN hängen, ist problematisch, vergleiche WAN vor Gluon-Knoten einbruchssicher? (was: Netzwerk hinter FF sicher und nicht hackbar?) und die nachfolgende Diskussion. Ich stehe da als Apotheker in einer ähnlichen Schusslinie. Es geht nicht um den Schnupfen, eher um AIDS und andere unschöne Krankheiten. Die Diskussion über die Schutzwürdigkeit von personenbezogenen Gesundheitsdaten möchte ich hier nicht führen.

1 „Gefällt mir“

Nicht falsch verstehen. Natürlich sind die Daten absolut schutzwürdig.
Bleibt die Frage der Bedrohung.

Wer wäre denn für eine Zertifizierung zuständig? Ich wüsste nicht, dass die IT einer Arztpraxis zertifiziert werden muss.

Weiss ich nicht. Ich weiss nur, dass „wenn“ etwas passiert, das Geschrei groß ist. Diesem Risiko möchte ich mich nicht aussetzen und ich möchte auch nicht der sein, der einen Arzt/Apotheker/Rechtsanwalt in der Hinsicht beraten hat. Und ich möchte auch nicht einem Firmwarebäcker vertrauen, wenn es um meine Unternehmensdaten geht. Insofern kommt der Router in die DMZ oder wie man das nennen mag.

Einer unserer Freifunker, der TÜV-zertifizierter Datenschützer ist und das auch für Firmen übernimmt, sagte mir kürzlich, dass die problematischen Paragraphen §§ 5, 9 BDSG und § 203 StGB sind (habe sie selbst noch nicht nachgeschlagen). Diese können man nicht mit einer FritzBox abdecken, sondern braucht ein vom BSI zertifiziertes System. Er nannte mir als Beispiel einen Lancom 1781 VAW, der natürlich seinen stolzen Preis hat.

Das wird irgendwo mehr oder weniger das Problem sein, wo ein externer Datenschützer im Boot ist.

1 „Gefällt mir“

vgl. mein Post vom 15.02.2015 hier … soweit waren wir schon vor 14 Monaten …

1 „Gefällt mir“

Die Lancom Geräte haben ein BSI Zertifikat, das sich nach meinem Verständnis auf die dort implementierte VPN Technologie bezieht. Ich glaube aber kaum, dass dies für eine normale Arztpraxis relevant ist, denn selten werden hier zwei Standorte vernetzt.
Ob die ebenfalls in den Routen vorhandene VLAN Technologie sicherer ist als die in der Fritzbox, die dann da Gastzugang heißt, sagt das Zertifikat meines Erachtens nach nicht.

Ich würde mir eher Sorgen darum machen, ob meine Praxissoftware dem §9 BDSG genügt, denn was ich da so kenne lässt mich als Laien in juristischen Fragen daran zweifeln.

Und wenn ich wie eben geschehen in einem Behandlungszimmer auf den Arzt warte und dabei die ganze Zeit das Terminal der Praxissoftware vor Augen habe, das frei und offen zugänglich ist, dann weiß ich, dass ein BSI Zertifikat für die Netzwerkhardware in dieser Praxis auch nix hilft…

1 „Gefällt mir“

Die geraete sind von kassen anerkannt und werden von diesen vertrieben. Und lassen sich auf wunsch cc konform betreiben. Aber wir gleiten ab.

@HuSta: Ob sie sicherer sind oder nicht, ist völlig egal. Wichtig ist, wer haftet. Wenn das eine Gerät ein Zertifikat hat und das andere nicht, dann muss man das mit dem Zertifikat nehmen.

Genauso ist es. Die Daten sind hoch-kritisch. Punkt. Angesehene Personen können erpresst und bei anderen die Existenz zerstört werden. Zumindest früher wurden Papierabfälle auch gezielt nach solchen Daten durchsucht. Einfache Schredder sind deshalb z.B. nicht mehr zulässig. Neben den gültigen Vorschriften sollte auch beachtet werden das der Arzt derjenige ist der für Missbrauch haftet (z.B. Schadensersatz leisten muss). Jede Art von Zertifizierung dient daher sekundär auch der Entlastung bei etwaigen Rechtsstreitigkeiten. Auto-Update und SSH-Zugänge auf Knoten die nicht einen eigenen Internetanschluss haben oder dokumentiert durch den IT-Dienstleister abgeschottet wurden verbieten sich von selbst.

Wie Lars schon sagte, die Geräte haben meist eine Zulassung (aus verschiedenen Gründen). Da geht es dann auch um EMV da z.B. EKG-Messungen von Bluetooth und WLANs gestört werden (hängt an Distanz zwischen Sender und Messgerät). Unterschätzt das alles mal nicht. Im Extremfall kann ein Arzt nicht feststellen das ein lebensbedrohlicher Zustand vorliegt. Als Kind musste ich mal meine Bluetooth-Maus ersetzen weil es solche Störungen gab. Die Störanfälligkeit soll bei neueren Geräten besser geworden sein, dennoch mein Plädoyer: im Zweifelsfall nicht machen und Sendeleistung auf das nötigste runterdrosseln. Das sind keine Meshknoten.

1 „Gefällt mir“