Das Problem wird immer sein, dass folgende Situation besteht:
Arzt / Apotheker / Anwalt hat 0,0 Ahnung und Interesse an „Internet“.
Das lokale Netz hat ein Systemhaus installiert, in der Regel mit kompletter Praxissoftware oder Warenwirtschaft.
Dieses Systemhaus stellt auch den Firewall-Router (so z.B. bei Lauer-Fischer, als CGM-Tochter mit Sicherheit ähnlich auch bei vielen Arztpraxen). Dieser stellt über ein DSL-Modem direkt die Verbindung her oder ist an eine Fritzbox oder sonstein Internet-Zugangsgerät angeschlossen. Für das LAN ist der WAN-Anschluss des Firewall-Routers bereits „Internet“, also jenseits des Sicherheitssystems. Ob man da noch Freifunk anklemmt oder sonstwas, ist egal.
Problem: Wenn man als Freifunk noch einen Router zwischenschaltet, hat man ein fremdes Gerät im Verbund. Wenn nun „das Internet“ nicht geht, gibt es nicht nur zwei Player, die sich die Schuld zuschieben können (Systemhaus und Zugangsprovider samt Mietrouter/Modem), sondern noch einen Sündenbock, der alle Schuld zugeschoben bekommt. Dann ist im Zweifel halt der Zwischenrouter „dran“.
Ich habe das hier sehr einfach gelöst, weil mein System-Firewallrouter sowieso schon per 192er-Netz an der Fritzbox hängt und diese per „Exposed Host“ alle Ports an den Systemrouter weiterleitet. So konnte ich einfach den FF-Router an dieses 192er-Netz hängen und habe kein Sicherheitsproblem, weil ich keinen Weg in mein gemietetes System-LAN habe.
Das hat aber nicht jeder so und man sollte sich das Setup immer ansehen. Bis vor einem Jahr hatte ich nur ein altes DSL-Modem und der Firewall-Router machte selbst PPPoE.
Natürlich kann man immer den FF-Router durch eine weitere Appliance vom LAN trennen - wenn es aber um Haftung geht, würde ich immer außerhalb des vorhandenen Routers bleiben, da dieser immer alle Angriffe von außen verkraften können muss. Wenn er es nicht kann, ist es immerhin nicht meine Schuld.
Alles andere gibt nur Streß, den man nicht möchte.
Da kann man 1000x „nicht Schuld“ sein. Und „alles sicher haben“. Am Ende muss man mindestens zum x-ten mal „IP-Routing für Einsteigende“ machen.
a) dedizierte Infrastruktur die an keiner Stelle Kontakt hat und nach Möglichkeit auch nicht in den Praxisräumlichkeiten steht und nicht vom Arzt betrieben wird.
b) der Arzt ist bereit jeden Preis zu bezahlen den sein Dienstleister fordert. Das kann irgendwas zwischen 250 und 3000€ sein. Lacht nicht, es gibt Dienstleister die nehmen Wucherpreise für jedes kleine Patchkabel. Da tauchen dann pauschal 49,- netto für ein 1m Patchkabel auf der Rechnung auf (so gesehen).
Dazu solltet ihr bedenken: der wirtschaftliche Schaden wenn die Praxis auch nur einen Tag nicht arbeiten kann ist enorm. Die Dienstleister verdienen Ihr Geld mit den entsprechenden SLA’s und mit dem Übernehmen sämtlicher Verantwortung/Haftung für die IT. Was ebenfalls nicht ignoriert werden sollte ist das immernoch ungelöste Problem des Datenschutzes. Wenn der Arzt etwas aufstellt was in der Theorie Dritten Aufschluss über Patienten gibt ist das rechtlich ein riesen Problem auch wenn es nur MAC-Adressen sind die ein Supernode-Betreiber sieht. Das ist ein Problem. Auch muss explizit darauf hingewiesen oder besser sichergestellt werden das das Freifunk Netzwerk niemals zum Versand von Patientendaten verwendet wird was passieren könnte wenn nicht eh jede Mitarbeiterin Zugang zum verschlüsseltem WLAN hat. Glaubt mir, Röntgenbilder / Arztberichte werden allzuoft leichtfertig über private Email-Adressen versendet.
Ich bin daher etwas erschrocken wenn manche sagen: mach einfach. Klar, kann man machen. Man selbst und andere haften aber dafür mit Haus & Hof. Und gegen den Willen von Betroffenen Freifunk zu installieren ist … ***** … nicht gerade hilfreich. Man sollte immer einvernehmlich handeln.
Die Praxisgemeinschaft meines Hausarztes bietet auch kostenloses WLAN an (nützt aber nichts, da im Wartezimmer mit dem Smartphone noch gerade eine Verbindung zustande kommt durch lustiges seitwärtsdrehen des Smartphones). So wie es aussieht, ist da einfach das GastWLAN der Fritzbox freigegeben worden. Jedenfalls hängt im Wartezimmer ein Infoflyer mit QR Code und AVM Symbol.
Bei den ganzen einzuhaltenen Regeln für Zertifikate kann ich mir nicht vorstellen, dass dessen IT Dienstleister so ein GastWLAN eingerichtet hätte, wenn das nicht Regelkomform wäre. Denn ein technisch zwar sichere Trennung durch ein VLAN und Co. nützt einen auch nichts, wenn die sichere Technik gegen potentielle Regeln verstößt…
Davon abgesehen war ich echt verwundert so etwas in einer Praxis vorzufinden. Denn ich würde nicht einmal freiwillig das GastWLAN ohne weiteren VPN Schutz etc. freigeben (auch, wenn beim GastWLAN meinetwegen Jugendschutzfilter aktiv ist). Da kann noch so schön bei aktueller AVM Firmware zunächst der abzuklickende Belehrungstest erscheinen.
AVM könnte mal um die Geschichte sicherer zu gestalten ein Wlan Gastmodus only einführen. Gut die sagen auch, Business verwendet dahinter nochmal eigene Netzwerk Geräte. KD Vodafone hat auch den Business pro Tarif indem alles auf Durchzug ist.
Was meinst mit VPN Schutz, die VPN Ports sperren?
Das ist nicht ganz einfach, ein VPN App arbeiten schon auf Port 443
So einfach ist es nicht, VPN verhindern. Die wechselnden VPN IP sperren über Content Filter benötigen viel Pflege.
Die Diskussion ist wirklich interessant. Für Arztpraxen gibt es meines Wissens nach keine gesetzlichen Vorgaben. Nur Ratschläge von der KV.
Aber jetzt mal realistisch betrachtet: Um den FF Router als Einfallstor verwenden zu können müsste der Angreifer
Den FF Router hacken
Über den Gastzugang in die Fritzbox eindringen
Eine hoffentlich vorhandene Firewall überwinden.
In den Server eindringen, um die Daten zu stehlen.
Und wofür? Um rauszufinden, dass Frau Müller Schnupfen hatte?
Wenn jemand so sehr an den Daten der Arztpraxis interessiert ist, wird er sich mit Sicherheit wesentlich leichter tun dort einzubrechen und den Server (oder das Backupmedium) zu klauen, denn deren Diebstahlschutz ist häufig schlicht nicht vorhanden.
Ich halte es für völlig ausgeschlossen, dass jemand sich die Mühe macht, über einen Freifunkrouter in eine Arztpraxis einzudringen.
Was natürlich nicht heißt, dass man die Sicherheit außer Acht lassen sollte. Aber man sollte der Bedrohung angemessene Maßnahmen ergreifen. Und die Bedrohung einer normalen Arztpraxis durch Hacker ist realistisch betrachtet doch eher gering.
Just my 5ct.
Gast-LAN der Fritzbox geht noch, wenngleich vielleicht eine Zertifizierung fehlt.
Der andere Weg, FF-Router einfach ins LAN hängen, ist problematisch, vergleiche WAN vor Gluon-Knoten einbruchssicher? (was: Netzwerk hinter FF sicher und nicht hackbar?) und die nachfolgende Diskussion. Ich stehe da als Apotheker in einer ähnlichen Schusslinie. Es geht nicht um den Schnupfen, eher um AIDS und andere unschöne Krankheiten. Die Diskussion über die Schutzwürdigkeit von personenbezogenen Gesundheitsdaten möchte ich hier nicht führen.
Weiss ich nicht. Ich weiss nur, dass „wenn“ etwas passiert, das Geschrei groß ist. Diesem Risiko möchte ich mich nicht aussetzen und ich möchte auch nicht der sein, der einen Arzt/Apotheker/Rechtsanwalt in der Hinsicht beraten hat. Und ich möchte auch nicht einem Firmwarebäcker vertrauen, wenn es um meine Unternehmensdaten geht. Insofern kommt der Router in die DMZ oder wie man das nennen mag.
Einer unserer Freifunker, der TÜV-zertifizierter Datenschützer ist und das auch für Firmen übernimmt, sagte mir kürzlich, dass die problematischen Paragraphen §§ 5, 9 BDSG und § 203 StGB sind (habe sie selbst noch nicht nachgeschlagen). Diese können man nicht mit einer FritzBox abdecken, sondern braucht ein vom BSI zertifiziertes System. Er nannte mir als Beispiel einen Lancom 1781 VAW, der natürlich seinen stolzen Preis hat.
Das wird irgendwo mehr oder weniger das Problem sein, wo ein externer Datenschützer im Boot ist.
Die Lancom Geräte haben ein BSI Zertifikat, das sich nach meinem Verständnis auf die dort implementierte VPN Technologie bezieht. Ich glaube aber kaum, dass dies für eine normale Arztpraxis relevant ist, denn selten werden hier zwei Standorte vernetzt.
Ob die ebenfalls in den Routen vorhandene VLAN Technologie sicherer ist als die in der Fritzbox, die dann da Gastzugang heißt, sagt das Zertifikat meines Erachtens nach nicht.
Ich würde mir eher Sorgen darum machen, ob meine Praxissoftware dem §9 BDSG genügt, denn was ich da so kenne lässt mich als Laien in juristischen Fragen daran zweifeln.
Und wenn ich wie eben geschehen in einem Behandlungszimmer auf den Arzt warte und dabei die ganze Zeit das Terminal der Praxissoftware vor Augen habe, das frei und offen zugänglich ist, dann weiß ich, dass ein BSI Zertifikat für die Netzwerkhardware in dieser Praxis auch nix hilft…
@HuSta: Ob sie sicherer sind oder nicht, ist völlig egal. Wichtig ist, wer haftet. Wenn das eine Gerät ein Zertifikat hat und das andere nicht, dann muss man das mit dem Zertifikat nehmen.
Genauso ist es. Die Daten sind hoch-kritisch. Punkt. Angesehene Personen können erpresst und bei anderen die Existenz zerstört werden. Zumindest früher wurden Papierabfälle auch gezielt nach solchen Daten durchsucht. Einfache Schredder sind deshalb z.B. nicht mehr zulässig. Neben den gültigen Vorschriften sollte auch beachtet werden das der Arzt derjenige ist der für Missbrauch haftet (z.B. Schadensersatz leisten muss). Jede Art von Zertifizierung dient daher sekundär auch der Entlastung bei etwaigen Rechtsstreitigkeiten. Auto-Update und SSH-Zugänge auf Knoten die nicht einen eigenen Internetanschluss haben oder dokumentiert durch den IT-Dienstleister abgeschottet wurden verbieten sich von selbst.
Wie Lars schon sagte, die Geräte haben meist eine Zulassung (aus verschiedenen Gründen). Da geht es dann auch um EMV da z.B. EKG-Messungen von Bluetooth und WLANs gestört werden (hängt an Distanz zwischen Sender und Messgerät). Unterschätzt das alles mal nicht. Im Extremfall kann ein Arzt nicht feststellen das ein lebensbedrohlicher Zustand vorliegt. Als Kind musste ich mal meine Bluetooth-Maus ersetzen weil es solche Störungen gab. Die Störanfälligkeit soll bei neueren Geräten besser geworden sein, dennoch mein Plädoyer: im Zweifelsfall nicht machen und Sendeleistung auf das nötigste runterdrosseln. Das sind keine Meshknoten.