Freifunk in Arztpraxen (IT-Sicherheit)

Super Antwort auf die Frage:Darf man das? Antwort: eigentlich vielleicht, aber nur ein bischen

Ich hab die selbe Frage, und daran hängt eine Werbegemeinschaft mit 60 Geschäften, davon mehrere Ärzte, Anwälte, und Steuerberater.
Gibt es keinen Freifunker der sich mit IT Sicherheit auskennt, und sagen kann: So und so, dann alles rechtlich gut???
Irgendwer muss ja auch nach den IT Sicherheit Standards die Praxen einrichten! So einer muss hier mal konkrete rechtsverbindliche Antworten geben!

Wer eine rechtsverbindliche Antwort gibt, steht auch rechtsverbindlich dafür ein.
Hat der Hersteller des Netzwerkdruckers schon schriftlich die Sicherheit garantiert? :wink:

Mehr als ein „wir geben uns Mühe“ ist leider nie drin.

2 „Gefällt mir“

Ich hatte fest vor, meinem Zahnarzt (der auch zusätzlich noch ein guter Bekannter von mir ist) demnächst genau diesen Vorschlag mit dem Freifunk Router für seine Patienten vorzuschlagen.

Allerdings war mir bisher die rechtliche Situation unbekannt. Schade, wenn das so nicht klappen wird :frowning:

@windoof hatte heute so etwas bei uns in Witten umgesetzt. Lars erzählte, dass dies durch vlans autark vom praxis netz ist. er kann dazu bestimmt mehr erzählen.

Ich habe das nicht mal im Praxis Netz. vor Ort steht ein Lancom Router der Netzvirtualisierung unterstützt. so Kann ein Router durch mehre Kunden Netzwerke genutzt werden. auf dem Router kommt ein Lanport getrennt raus wo der FF Router dran ist. Eigenes IP Netz, DHCP etc. (Keine Werbung) http://www.lancom-systems.de/publikationen/whitepaper/netzvirtualisierung/

3 „Gefällt mir“

andere Hersteller koennen das auch … eine eine Art „Luxus“ DMZ … die halt nur RAUS aber nicht rein kann.
So kann man sogar das KV Netz vom Praxisnetz trennen :smile:

PS:
Ach so und
A) Die LC Router sind BSI 4 zertifiziert
B) und ich bin der IT Dienstleister vor Ort
C) selbst wenn der Router RAW (als Bridge) im Netz haengen würde ginge nur Internet kein Zugang ins Lan.
Das selbe mache ich auch mit EC Cash, Pfandautomaten, Werbedisplays und anderen Elektronik Schrott der nicht unter unser Kontroller ist.

5 „Gefällt mir“

DANKE! Das war eine Klare aussage! Hab zwar nix verstanden ( jetzt weiss ich aber wie und wo ich suchen muss )

Das geht mir auch so. In meinem Fall ist es mein Onkel, der in der Praxis schon zwei Router hat. Einen für den Internetzugang und einen Abrechungsrouter für die VPN Verbindung zur Kassenärztlichen Vereinigung oder so, der an der Fritz Box hängt. Reicht es jetzt aus ein Gast LAN der Fritze aufzumachen, oder darf ich an den Anschluss gar nicht ran. Das was hier bezüglich Wartungszugang für Firmen geschrieben wurde ist vollkommener Blödsinn, ohne jemanden zu nahe treten zu wollen. Ein Arzt, oder auch Zahnarzt darf Servicefirmen keinerlei Remotezugang einrichten. Ausnahme ist ein Remotzugang unter Aufsicht. Das es oft glaube ich anders gehandhabt wird möchte ich nicht abstreiten. Zulässig ist es jedoch nicht. So eine Praxis ist ganbz verzwickt, ich hatte z.B. vor das Backup auszulagern, was rechtlich jedoch auch nicht möglich ist. Nach dem Gesetz ist in der Praxis Schweigepflicht, außerhalb nicht. Deswegen darf z.B. ein Backup nicht ausgelagert werden. Ähnlich ist es ggf. bei Netzübergängen. Da kenne ich mich leider nicht aus, würde mich aber über Infos freuen.

1 „Gefällt mir“

Hallo,
ich bin beruflich in diesem Umfeld auch tätig.
Zunächst einmal halte ich es für ausgeschlossen, ohne ein Konzept sowie ein beschriebenes und auch überprüftes Verfahren überhaupt bei Berufsgeheimnisträgern QM-gerecht (Qualitätsmanagement) bzw Datensicherheitsgerecht (nicht Datenschutz! das ist eh notwendige Voraussetzung!) IT zu betrieben. Davon ist nicht nur der Freifunk betroffen.

Während es bei Steuerberatern dank Softwarefirmen wie Datev bereits datensicherheitszeritfizierte Prozesse gibt (ISO/IEC 27000er Reihe) und diese dann entsprechend einfach umsetzbar sind, fehlen diese Dinge bei Arztsoftware meist gänzlich.
Im Grunde ist diese Arztsoftwarebranche nur froh, dass ihre Software überhaupt „geht“ - „funktionieren“ nenne ich in einigen Fällen bereits etwas anderes. Datenschutz ist weitgehend unbekannt in der Realität oder zumindestens nachrranging in diesem Bereich meiner Beobachtung nach (CTs via Email, keine ordentliche Zuordnung der erhobenen Daten - immer der gleiche Benutzer im gesamten Team etc).
In so einer Umgebung Freifunk einzuführen kann zu entsprechend ablehnenden Reaktanzen führen.

Es muss also jemanden geben, der das neue IT Verfahren - in dem Fall Freifunkanbindung - prüft und dessen Implementierung versteht und dokumentiert.

Oben fielen bereits Begriffe wie KVsafeNet und anderes - wer die Standardlösungen als Arzt hierzu eingesetzt hat, wird Aufwand haben, eine Freifunk Lösung „sauber“ zu implementieren. Eine 2. Internetleitung ist nur ein möglicher Weg. Oft haben Ärzte im Rahmen der elektronischen Gesundheitskarte auch sog. zertifizierte Provider und entsprechende Verträge, die es auch zu berücksichtigen gilt.

Es wäre auch ein Weg, wenn ihr den betroffenen Ärzten statt dieser imo unsäglichen Fritzbox Lösung einfach einen PFsense oder vergleichbares mit einem dokumentierten Regelwerk mit anbietet. Hierbei erfolgt die Trennung der Netze meiner Ansicht nach auch bitte explizit via zusätzlicher eth Karte und entsprechender Regeln.Geprüfte Regeln bitte - es gibt dazu dann eine anzufertigende Dokumentation auch.

Der Arzt muss meiner Meinung nach immer ein Stück Papier aus dem Schrank ziehen können, aus dem hervorgeht, dass es keinen Zugriff von Freifunk Netz auf das LAN geben kann bzw die Regeln dieses Risiko berücksichtigen. Er haftet schliesslich.

2 „Gefällt mir“

Ich bin in dem Fall Freifunker und kein kostenloser IT Dienstleister.
Ich denke das kann man am besten mit dem vorhandenen Dienstleister absprechen. Der sollte die Rahmenbedingungen schaffen und ich/wir/Du steuern den Freifunkrouter bei (wenn es der IT Dienstleister nicht gleich mit macht).

hab mal bei meine 3 Ärzte gefragt, die Antworten waren unterschiedlich (teils: „getrennte Rechner, Praxissystem ist von Internet völlig abgekoppelt“, teils: „weis ich nicht, aber WLAN ist abgeschaltet“, zeigen aber u.U. einen einfachen Lösungsweg auf, wie von @DSchmidtberg beschrieben: WLAN an Provider-Router, z.B. Fritzbox) gänzlich deaktivieren (was alle von mir befragten Ärzte sowieso gemacht haben) und an Port 4 als GAST mit LAN den Wifi-Router dranhängen, auf Fritzbox bei Preferenzen den Arztrecher mit Priorität versehen, und dann ist er eigentlich auf der sicheren Seite, technisch und bzgl. Badbreite und Störerhaftung.
.
Edit
weiterer Lösungsweg wäre, bei Nachbar (Geschäft oder sonstwas) den ersten Router aufstellen und dann beim Arzt nur einen Funk-Router, d.h., er hat selbst gar ncihts, ausser irgendwo in der Ecke an einer Steckdose eine Router mit Funkverbindng nach nebenan.

1 „Gefällt mir“

Die neue eGK benötigt Internet, wenn ein Arzt das System nicht benutzt, wird er bestarft

Nochmal:
Entweder eine Fritzbox mit zugespertem Gast-Lan (ggf Gast-Wlan per RE-750 angebunden an den FF-Node)
Oder eine echte IT-Lösung mit dedizierter DMZ (und sei es ein Funkwerk - Router).

Oder eine Routerkaskade nach c’t-Anleitung.

Wer unbedingt einen langjährigen Wartungsvertrag braucht, der darf natürlich auch ein pfsense auf Industriehardware installieren.

Solange keiner hier auch über Schutzbedarfanalyse, TOMs, Auftragsdatenverarbeitung redet, ist natürlich alles möglich. Leider wird man dann aber halt herumeiern, weil einem so die Anforderungsliste für die Umsetzung fehlt.

Es ist eben nicht damit getan alles nur auf eine Hobbypczeitschriftenanleitung zu reduzieren oder Dinge in allgemeine Übertreibungen zu führen.
@adorfer - pfsense ist nur ein Beispiel für ein System, das mehrere WANs erlaubt und so nützlich sein kann auch bei einer möglichen FF Einbindung. Es läuft im Zweifel auf einem Pi, Mirabox, Alix usf. Man benötigt auch keinen Wartungsvertrag, denn es ist kostenfrei zu beziehen.

Es reicht bei einem Berufsgeheimnisträger, der personenbezogene Daten Dritter bearbeitet eben nicht aus „es nur technisch umzusetzen“.
Auch eine DMZ muss dann dokumentiert werden. Und zwar so, dass der Arzt aus einer möglichen Manipulation des FF Routers in der DMZ keinen Nachteil erfährt. Das ist ja ein mögliches Problem der DMZ Lösung auch ein Stück weit, wenn da alles in dieser Zone in das WAN hin machen kann, was es will.
Auf die Idee zu kommen, einfach ein Gerät hinzustellen und anzuschliessen ist bereits das Problem an der Umsetzung.
Auf die Freifunk Router haben fremde, nicht auf das Unternehmensnetz verpflichtete Personen Zugriff - so Dinge wie das Trennungsgebot und andere existierende Anforderungen und Kriterien sollten erfüllt werden.

LAN-Gastzugang in FRITZ!Box einrichten

Über den LAN-Gastzugang der FRITZ!Box können Sie Netzwerkgeräten (z.B. Computer, Spielekonsole) den schnellen und sicheren Internetzugang über Ihre FRITZ!Box erlauben, ohne dabei den Zugriff auf Ihr Heimnetz oder die FRITZ!Box-Benutzeroberfläche zu ermöglichen. So kann z.B. Ihr Nachbar über FRITZ!Powerline Ihre Internetverbindung nutzen, erhält dadurch aber keinen Zugriff auf Ihre persönlichen Daten.

Voraussetzungen / Einschränkungen

Die FRITZ!Box muss die Internetverbindung über das integrierte Modem selbst herstellen.
Die Wiedergabe von IPTV (z.B. Telekom Entertain) und die Nutzung anderer Funktionen der FRITZ!Box (z.B. Portfreigaben, Telefonie) sind über den Gastzugang nicht möglich.
Hinweis:Alle Funktions- und Einstellungshinweise in dieser Anleitung beziehen sich auf das aktuelle FRITZ!OS der FRITZ!Box.

1 LAN-Gastzugang in FRITZ!Box einrichten
Klicken Sie in der Benutzeroberfläche der FRITZ!Box auf „Heimnetz“.
Klicken Sie im Menü „Heimnetz“ auf „Netzwerk“.
Klicken Sie auf die Registerkarte „Netzwerkeinstellungen“.
Aktivieren Sie die Option „Gastzugang für LAN 4 aktiv“.
Klicken Sie zum Speichern der Einstellungen auf „Übernehmen“.

2 Netzwerkgerät als DHCP-Client einrichten
Richten Sie das Netzwerkgerät (z.B. Netzwerkadapter des Computers, der mit der FRITZ!Box verbunden ist) für den automatischen Bezug der IP-Einstellungen (DHCP) ein.

3 Netzwerkgerät mit FRITZ!Box verbinden

http://avm.de/nc/service/fritzbox/fritzbox-6360-cable/wissensdatenbank/publication/show/949_LAN-Gastzugang-in-FRITZ-Box-einrichten/

http://avm.de/nc/service/fritzbox/fritzbox-7390/wissensdatenbank/publication/show/949_LAN-Gastzugang-in-FRITZ-Box-einrichten/

Vielleicht könnte jemand mal den Titel des Threads allgemein in „Freifunk in Unternehmen“ umbenennen?

Die allermeisten hier genannten Punkte gelten (abgesehen von speziellen Providern / spezieller Software) für absolut JEDES Unternehmen. Der Freifunk-Router sollte auch im Tante-Emma-Laden nicht einfach an Port 08/15 von Fritzbox oder Speedport hängen, sondern immer in einem sicher abgetrennten Gastnetzwerk hängen das 100%ig keinerlei Verbindung zum Hauptnetzwerk ermöglicht.

ALLES was man von außen erreicht ist nun mal ein mögliches Einfallstor. Das betrifft das WPA2 gesicherter WLAN ebenso wie den Freifunkrouter im Firmen-LAN.

Laut FAQ | Freifunk - Biggesee | Freies WLAN im Kreis Olpe

Ist das Betreiben eines Freifunk-Knotens sicher?

Grundsätzlich ja. Wie du unter dem Punkt “Ich habe einen Router gekauft, was mache ich jetzt?” gelesen hast, benutzen wir eine spezielle Software, die auf dem Router installiert wird. Diese Software sorgt für Deine Sicherheit und blockiert den Zugang zu Deinem Heimnetzwerk. Jemand, der über Deinen Freifunk-Knoten das Netzwerk benutzt, kann somit keinerlei Schandtaten in Deinem Netzwerk anstellen.

Sollte die Sicherheit NICHT gegeben sein sehe ich für die Zukunft schwarz
und müsste die Hoster in meiner Patenschaft informieren…

Papier ist geduldig, Jeder(!!) Fachmann mit Ahnung wird bestätigen, das ein WLAN nie 100%ig sicher ist und du wirst nie eine Garantie für die Sicherheit bekommen, außer es liegt wirklich an einem getrennten Gastzugang.

Von daher halte ich diese Formulierung in den FAQs für ziemlich fragwürdig und finde diese hier wesentlich zutreffender:
http://wiki.freifunk.net/Sicherheit

[quote=„ole1210, post:38, topic:827“]
Papier ist geduldig
[/quote] ist wohl war :wink:

Geht`s hier wirklich um WLAN Sicherheit?
Das WLAN ist je nun unverschlüsselt…

Bin bislang davon ausgegangen das der Freifunk Router 2 separate VLANS zur Verfügung stellt
und somit die Netze trennt…
VLAN A (Heimnetz/Frimennetz), VLAN B (Freifunk mit VPN Tunnel zum Superode und WLAN (freifunk))
Der potentielle Angriff musste dann von VLAN2 auf VLAN1 erfolgen.

Wäre schön wenn sich die „Macher“ mal zu dem heiklen Thema äußern würden

Was ich meine:

Sobald ein WLAN existiert, sind die dahinter liegenden Geräte theoretisch angreifbar.

Je größer das Ziel, desto attraktiver wird es für mögliche Angreifer nach Lücken zu suchen. Das Freifunk stetig wächst ist super, erhöht die Attraktivität für Angreifer aber auch massiv.