Zugang zum Internet bei installierter TI?

Moderator: Smarty-Support Team

Antworten
Lütke
Beiträge: 3
Registriert: 22.03.2019, 19:51:25

Zugang zum Internet bei installierter TI?

Beitrag von Lütke » 27.03.2019, 09:17:07

Guten Tag. Der Installationstermin steht an, leider habe ich bisher keinen klaren Hinweis auf folgende Fage gefunden:
Besteht bei installierter TI weiterhin ein Zugang zum Internet zur online Recherche, e-Mail Abruf, etc. besteht. Wenn ja, unter welchen Voraussetzungen und mit welcher Antivirensoftware ist die TI Software kompatibel?

Benutzeravatar
Eugen Pernizki
Beiträge: 183
Registriert: 30.10.2007, 10:23:55

Re: Zugang zum Internet bei installierter TI?

Beitrag von Eugen Pernizki » 27.03.2019, 10:13:31

Hallo Lütke,

ich gehe davon aus, dass die TI bei Ihnen im sog. "Parallelbetrieb" installiert wird.
Bei dieser Installation können Sie parallel zur TI ganz normal weiterhin surfen und Ihre e-Mails abrufen, hier gibt es keine Einschränkung für Sie.

Smarty ist Normalfall mit jeder Antivirensoftware kompatibel.
Hier würde Ich Ihnen ansonsten empfehlen die aktuellen "Bestenlisten" bei der c't / heise heraus zu suchen.

Ganz schlechte Erfahrungen haben wir mit "Comodo" gemacht. Hier es teilweise sogar dazu gekommen, dass die Abrechnung in Smarty blockiert wurde.
Mit freundlichen Grüßen

Smarty-Support

A. Deiner
Beiträge: 39
Registriert: 15.12.2006, 02:03:27

Re: Zugang zum Internet bei installierter TI?

Beitrag von A. Deiner » 23.04.2019, 02:36:07

Hallo liebes Smarty-Team,

ich hätte auch gern mehr Informationen dazu, auch mein Termin steht unmittelbar bevor (heute).

Ich bin übeerrascht über die Aussage, dass Sie davon ausgehen, dass die TI im Parallelbetrieb installiert wird?! Der Aend (Ärzte-Nachrichtendienst) hat am 15.4. ebenfalls in dem Artikel "Wie sicher sind die Patientedaten wirklich" darüber berichtet, dass das offenbar in der Praxisumsetzung das Standardvorgehen sei. Dabei empfehle die Gematik ausdrücklich den Reihenbetrieb als Standardverfahren für Einzelpraxen.

Zum Parallelbetrieb wird geschrieben (Zitat aus https://fachportal.gematik.de/fileadmin ... online.pdf)
"Wichtig : Im Parallelbetrieb ist keine Komponente des
LAN durch den Konnektor vor unautorisierten Zugriffen
geschützt. Ohne zusätzliche Sicherungsmaßnahmen haben
alle Komponenten im LAN Zugriff aufeinander ( somit auch
eine potenzielle Schadsoftware auf einem der Geräte ).
Außerdem besteht kein Schutz vor Angriffen aus dem
Internet. Zudem müssen alle Netzwerkkomponenten bei
dieser Betriebsart unterschiedlich konfiguriert werden.
Da der Konnektor nicht als Firewall im LAN fungiert, ist der
Parallelbetrieb nur für medizinische Einrichtungen geeignet,
die bereits ein größeres LAN etabliert haben und über
entsprechende Sicherheitsfunktionen gemäß dem Bundesamt
für Sicherheit in der Informationstechnik verfügen."

Das dürfte bei Einzelpraxen wohl kaum der Fall sein. Laut Gematik gibt es die Betriebsarten Reihenbetrieb, Netztrennung und Parallelbetrieb. Was ist jetzt das Richtige? Mir ist nicht klar, in welchem Umfang und mit welchem Schutz bei welcher Betriebsart mit oder ohen SIS noch weiteres Internet zur Verfügung steht. Leider wurde man darüber nicht ausreichend aufgeklärt, und das wüsste ich gern, bevor der Techniker kommt.

Außerdem: wie hoch ist die inkludierte Bandbreite des SIS? Ich bin mir ziemlich sicher, dass diese Information bei meiner Bestellung vor einem Jahr noch auf Ihrer Homepage zu finden war. Jetzt finde ich es nirgends mehr, ist nichtmal im Online-Bestellformular zu finden.

Vielen Dank im Voraus und viele Grüße,
A. Deiner

Benutzeravatar
Tobias Totzke
Smarty-Support
Beiträge: 3
Registriert: 30.01.2012, 11:54:25

Re: Zugang zum Internet bei installierter TI?

Beitrag von Tobias Totzke » 23.04.2019, 16:09:36

A. Deiner hat geschrieben:
23.04.2019, 02:36:07
Hallo liebes Smarty-Team,

ich hätte auch gern mehr Informationen dazu, auch mein Termin steht unmittelbar bevor (heute).

Ich bin übeerrascht über die Aussage, dass Sie davon ausgehen, dass die TI im Parallelbetrieb installiert wird?! Der Aend (Ärzte-Nachrichtendienst) hat am 15.4. ebenfalls in dem Artikel "Wie sicher sind die Patientedaten wirklich" darüber berichtet, dass das offenbar in der Praxisumsetzung das Standardvorgehen sei. Dabei empfehle die Gematik ausdrücklich den Reihenbetrieb als Standardverfahren für Einzelpraxen.

Zum Parallelbetrieb wird geschrieben (Zitat aus https://fachportal.gematik.de/fileadmin ... online.pdf)
"Wichtig : Im Parallelbetrieb ist keine Komponente des
LAN durch den Konnektor vor unautorisierten Zugriffen
geschützt. Ohne zusätzliche Sicherungsmaßnahmen haben
alle Komponenten im LAN Zugriff aufeinander ( somit auch
eine potenzielle Schadsoftware auf einem der Geräte ).
Außerdem besteht kein Schutz vor Angriffen aus dem
Internet. Zudem müssen alle Netzwerkkomponenten bei
dieser Betriebsart unterschiedlich konfiguriert werden.
Da der Konnektor nicht als Firewall im LAN fungiert, ist der
Parallelbetrieb nur für medizinische Einrichtungen geeignet,
die bereits ein größeres LAN etabliert haben und über
entsprechende Sicherheitsfunktionen gemäß dem Bundesamt
für Sicherheit in der Informationstechnik verfügen."

Das dürfte bei Einzelpraxen wohl kaum der Fall sein. Laut Gematik gibt es die Betriebsarten Reihenbetrieb, Netztrennung und Parallelbetrieb. Was ist jetzt das Richtige? Mir ist nicht klar, in welchem Umfang und mit welchem Schutz bei welcher Betriebsart mit oder ohen SIS noch weiteres Internet zur Verfügung steht. Leider wurde man darüber nicht ausreichend aufgeklärt, und das wüsste ich gern, bevor der Techniker kommt.
Sehr geehrter Herr Deiner,
vielen Dank für Ihren Forumseintrag.
Grundsätzlich gibt es unterschiedliche Installationsarten (Reihe, Netztrennung, Parallel oder auch Stand-Alone). Welche die richtige Variante ist, muss jede Praxis für sich entscheiden. Hierzu berät Sie die Hotline gerne. Reihe wird immer dann von den Technikern installiert, wenn das sogenannten SIS-Power Paket gebucht wird. Wenn nicht, so kann die Praxis vor Ort bei der Installation den Reihenbetrieb trotzdem wünschen (bei 5 GB Datenvolumen pro Monat nicht unbedingt empfehlenswert). Ansonsten wird die Parallelinstallation durchgeführt. Hierbei muss der PC separat geschützt werden. Dies war aber auch schon vorher der Fall, wenn der Praxis-PC an das Internet angeschlossen war. Nach aktuellen Kenntnisständen ist ein Großteil der PC`s bereits vor der TI mit dem Internet verbunden gewesen, also kein Unterschied zu der aktuellen TI Installation im Parallelbetrieb.
Unabhängig von der Installationsvariante wird ein zusätzlicher Schutz empfohlen. Da sich Schadsoftware auch durch angeschlossene USB-Sticks oder DVDs übertragen lassen können.
Außerdem: wie hoch ist die inkludierte Bandbreite des SIS? Ich bin mir ziemlich sicher, dass diese Information bei meiner Bestellung vor einem Jahr noch auf Ihrer Homepage zu finden war. Jetzt finde ich es nirgends mehr, ist nichtmal im Online-Bestellformular zu finden.
Im Standardpaket ist ein monatliches Datenvolumen von 5 GB enthalten, wenn Sie dieses überschreiten wird die Verbindung gedrosselt. Wir empfehlen daher die Buchung des SIS-Power Paketes, wenn eine Internetnutzung am PC durchgeführt wird. Bitte beachten Sie jedoch, dass sich die Geschwindigkeit Ihres Internetnutzung verlangsamt (durch die Verwendung des Konnektors).
Mit freundlichen Grüßen

Smarty-Support

A. Deiner
Beiträge: 39
Registriert: 15.12.2006, 02:03:27

Re: Zugang zum Internet bei installierter TI?

Beitrag von A. Deiner » 15.05.2019, 01:40:49

Liebes Smarty-Team,

zunächst vielen Dank für die Informationen hier, ebenso wie für die weiteren mündlichen Informationen der Hotline, die jedoch für den missratenen Installationstermin leider zu spät kamen.

Mein Beitrag hier wird länger, denn jetzt habe ich noch eine Menge weiterer Fragen, da in der letzten Wochen deutlich wurde, dass hier gewichtige sicherheitsrelevante und auch haftungsrechtliche Fragen tangiert sind. Ich möchte nicht mehr nur eine Installation bekommen, ich möchte nun auch klar verstehen, was da in meiner Praxis passiert. Ich möchte meinen Fragenkatalog auch deshalb hier ins Forum stellen, weil ich denke, dass es auch andere interessieren könnte. Ich möchte dazu meinen jetzigen, laienhaften (Er-) Kenntnisstand darstellen und dort die Fragen einbauen. Wenn ich die Sachen falsch darstelle, bitte ich direkt um entsprechende Korrektur und Richtigstellung.

Aber zunächst noch: Ich habe die Meldungen in der Ärzte-Presse weiter verfolgt und die Stellungnahmen von Ärzteverbänden wie Freie Ärzte und IG MED, vom Datenschutzbeauftragten, von KBV und Gematik sowie viele Kommentare von Betroffenen gelesen. Insbesondere die Aussage der KV aus https://www.aend.de/article/195868 gibt hier zu denken. „Die Haftungsfrage sei in diesem Zusammenhang eindeutig: Bis zum Konnektor hafte die Gematik. Der Datenschutz in der Praxis aber liege in der Hand des Praxisinhabers. „Für eine sichere Firewall beim Parallelbetrieb des Konnektors haftet also letztlich der Arzt“, mahnt Kriedel.“

Außerdem möchte ich hier noch meiner Irritation über die ganze Informations-Weitergabe im Vorfeld Ausdruck verleihen. Bis zu den Pressemeldungen hatte ich keine Ahnung, dass es verschiedene Installationsarten gibt. Woher soll man das wissen, wenn darüber nicht informiert wird? Selbstverständlich bieten Sie Ihre Hotline an bei Klärungsbedarf, aber dazu muss man ja erst mal ahnen, dass es überhaupt Klärungsbedarf gibt.

Ich bin zunächst davon ausgegangen, dass nach der Bestellung dann alles Weitere mit dem Dienstleister vor Ort (DVO) geklärt werden kann. Das war dann wohl nichts. Zum Reihenbetrieb bekam ich – wie ich nun hinterher weiß – völlig falsche Informationen, wie z.B. die, dass bei dieser Installationsart „überhaupt kein“ Internet zur Verfügung stünde, keine Updates und keine Fernwartung erfolgen könnten und zur Wartung ständig ein Techniker vor Ort kommen müsste. Auf meine Frage, wofür das SIS (Secure Internet Service) da sei, kam Schulterzucken. Auch beim Vorlegen des Gematik-Informationsblattes blieb der Techniker bei seiner Aussage: kein Internet möglich. Als Laie musste ich das erst mal so hinnehmen, trotz bestehender Zweifel.

Jetzt wie gesagt, möchte ich es genauer verstehen, deshalb nun meine Fragen. Ich beziehe diese v.a. auf meine eigene Praxis-Konfiguration: 1 Windows-10-PC mit PVS und Kartenlesegerät, PC per LAN angeschlossen an eine FritzBox. Drucker per USB am PC angeschlossen, kein Netzwerk, aber VoIP-Telefonie und –Fax (am Drucker/MFC). WLAN per FritzBox für weitere Peripherie-Geräte. Am PC ist hauptsächlich passive Internet-Nutzung geplant (Updates für Windows, Virenscanner und ggf. Hilfsprogramme), die aktive Internetnutzung (Browser, Email) soll über WLAN mit anderen Geräten erfolgen (Tablet, Handy).

Zunächst zur physischen Seite: Wenn ich es richtig verstehe, verläuft der physische Weg bei der Reihenschaltung so: DSL-Steckdose --> Router (FritzBox) --> Konnektor--> und von dort verzweigt zu a) Kartenlesegerät und b) PC?

Frage (1): da der Konnektor nur 2 LAN-Anschlüsse hat (ein Eingang, ein Ausgang), benötige ich hier dann einen Switch? Und wenn ja, muss ich den selbst besorgen?

(2): wie sieht der Anschluss bei Parallelbetrieb aus? Bleibt da der PC weiter per LAN am Router? Wenn anders, wie? Wird ein Switch benötigt?

Jetzt zur virtuellen Seite: Um es mir besser vorstellen zu können und weil gerne von „Tunnel“ die Rede ist, verwende ich mal das Bild von Bahngleisen als Symbol für einen virtuellen Weg, auf dem Daten hin- und herfahren können. Wenn ich es recht verstehe, wird durch die TI virtuell ein zweites Gleis in den PC gelegt. Physisch läuft es aber durch das gleiche LAN-Kabel wie sonstiges Internet. Der Router wäre sowas wie der Bahnhof: hier gibt es weitere Verzweigungen (weitere LANs, Telefon, WLAN).
Die TI führt nun durch einen geschützten Tunnel. Dieser ist aber nicht physisch da, sondern wird nur virtuell erzeugt. Dazu werden die Daten einfach an einer bestimmten Stelle (Tunneleingang) verschlüsselt und an einer Gegenstelle (Tunnelausgang) wieder entschlüsselt, den sog. Konzentratoren. Der Tunnel geht dabei auch durch den Bahnhof (Router) und das Internet hindurch. Ich hoffe, soweit ist es richtig?

Der Unterschied zwischen Reihen- und Parallelbetrieb wäre nun: beim Reihenbetrieb wird ein zweiter geschützter Tunnel für den Internetzugang über den SIS errichtet, beim Parallelbetrieb bleibt das Gleis für den Internetzugang offen. Oder anders: beim Reihenbetrieb führen zwei geschlossene Tunnel in den PC (TI und SIS), beim Parallelbetrieb ein Tunnel und ein offenes Gleis (TI und Internet). Beim Reihenbetrieb läuft der Internetzugang ausschließlich über den vom VPN-Anbieter zur Verfügung gestellten SIS und der Konnektor selbst fungiert als Firewall. Beim Parallelbetrieb muss man selbst für ausreichende Schutzmaßnahmen wie Firewall und deren sichere Konfiguration sorgen.
Vorteil Reihenbetrieb: der gesamte PC ist über den Konnektor geschützt, Nachteil: es gibt nur eine begrenzte Bandbreite für Internet (5 GB Standard, 30 GB Power-SIS). Vorteil Parallelbetrieb: unbegrenzter Internetzugang, Nachteil: Schutzmaßnahmen und Haftung liegen beim Praxisinhaber.

Dazu weitere Fragen:
(3) Sie schreiben, dass beim Standard-SIS-Paket (5 GB) nach Verbrauch die Geschwindigkeit gedrosselt wird. D.h. im Umkehrschluss aber: es steht auch hier unbegrenztes Volumen zur Verfügung? Auf welche Geschwindigkeit wird gedrosselt?

(4) Jeder Tunnel hat Eingänge und Ausgänge. Wo genau fließen die Daten in den Tunnel hinein? Direkt am Kartenlesegerät? In der PVS? In der KV-Connect-Schnittstelle der PVS? Beim Konnektor? Besteht der TI-Tunnel auch zwischen Kartenlesegerät und PVS, oder kommen hier andere Verschlüsselungstechnologien zum Einsatz? Wo kommen die Daten wieder heraus, wo stehen die Konzentratoren? Sind dies zentrale Stellen, von denen an die Endgeräte (bei Kassen, KV) weitergeleitet wird, oder sind dies bereits die Endgeräte?

(5) Wie genau funktioniert der SIS? Von Anonymisierungsdiensten kenne ich es, dass zwischen PC und dem Server eines Anbieters, oft weltweit verzweigt, ein VPN-Tunnel aufgebaut wird, und erst von dort in das offene Internet gegangen wird. Webseiten „sehen“ dann nur die IP des Servers und Tracking-Software prallt daran ab. Funktioniert das hier ähnlich? Ab wo genau öffnet sich der Tunnel dem Internet? Bereits ab dem Konnektor, oder gibt es analog eigene Server? Oder wie sonst?

(6) Was ist mit Internetzugang per WLAN des Routers? Hier bekam ich von drei Leuten drei unterschiedliche Antworten:
a) DVO: gar kein Internetzugang möglich – der Konnektor blockt alles ab,
b) Smarty-Hotline 1: Internet steht zur Verfügung, aber verschlüsselt. Der Traffic belastet die zur Verfügung stehende SIS-Bandbreite,
c) Smarty-Hotline 2: Internet steht über WLAN unbegrenzt und unverschlüsselt zur Verfügung für Peripheriegeräte – es ist nur nicht möglich, den PC selbst mit WLAN zu verbinden (was ich bei mir auch nicht möchte).
Ich bitte hier nun um eine definitive Klarstellung, welches die richtige Variante ist. Oder gibt es eventuell sogar noch eine vierte Variante d): es lässt sich über den Konnektor konfigurieren, in welcher Form Internet per WLAN zur Verfügung gestellt wird?

(7) Was ist mit VoIP-Telefonie und Fax: bleibt dies unberührt, oder sind auch hier bei irgendeiner Konfiguration Einflüsse oder Störungen möglich?

(8) Was wäre, wenn der Drucker/MFC über LAN oder WiFi an der FritzBox statt über USB am PC angeschlossen wäre? Würde das irgendwas ändern?

(9) Und schließlich: der menschliche Faktor. Bekannt geworden ist ja, dass es bei Parallelanschlüssen in größeren Netzwerken zum Super-GAU gekommen ist, nämlich dass nach der Installation abgeschaltete Firewalls und offene Ports zurückgeblieben sind. Wie ist das beim Reihenbetrieb, wo der Konnektor ja selbst als Firewall fungiert? Ist es – zumindest theoretisch – möglich, dass diese falsch konfiguriert wird und so etwas auch passiert, oder würde dann einfach alles nicht funktionieren?

Vielen Dank im Voraus und freundliche Grüße,
A. Deiner

Benutzeravatar
Eugen Pernizki
Beiträge: 183
Registriert: 30.10.2007, 10:23:55

Re: Zugang zum Internet bei installierter TI?

Beitrag von Eugen Pernizki » 15.05.2019, 09:23:41

Hallo Deiner,
meine Antworten finden Sie direkt jeweils unter Ihrem Text.
A. Deiner hat geschrieben:
15.05.2019, 01:40:49
Liebes Smarty-Team,

zunächst vielen Dank für die Informationen hier, ebenso wie für die weiteren mündlichen Informationen der Hotline, die jedoch für den missratenen Installationstermin leider zu spät kamen.

Mein Beitrag hier wird länger, denn jetzt habe ich noch eine Menge weiterer Fragen, da in der letzten Wochen deutlich wurde, dass hier gewichtige sicherheitsrelevante und auch haftungsrechtliche Fragen tangiert sind. Ich möchte nicht mehr nur eine Installation bekommen, ich möchte nun auch klar verstehen, was da in meiner Praxis passiert. Ich möchte meinen Fragenkatalog auch deshalb hier ins Forum stellen, weil ich denke, dass es auch andere interessieren könnte. Ich möchte dazu meinen jetzigen, laienhaften (Er-) Kenntnisstand darstellen und dort die Fragen einbauen. Wenn ich die Sachen falsch darstelle, bitte ich direkt um entsprechende Korrektur und Richtigstellung.

Aber zunächst noch: Ich habe die Meldungen in der Ärzte-Presse weiter verfolgt und die Stellungnahmen von Ärzteverbänden wie Freie Ärzte und IG MED, vom Datenschutzbeauftragten, von KBV und Gematik sowie viele Kommentare von Betroffenen gelesen. Insbesondere die Aussage der KV aus https://www.aend.de/article/195868 gibt hier zu denken. „Die Haftungsfrage sei in diesem Zusammenhang eindeutig: Bis zum Konnektor hafte die Gematik. Der Datenschutz in der Praxis aber liege in der Hand des Praxisinhabers. „Für eine sichere Firewall beim Parallelbetrieb des Konnektors haftet also letztlich der Arzt“, mahnt Kriedel.“
Das stimmt. Aber auch im Reihenbetrieb benötigen Sie ein Antiviren System sowie eine Firewall und Haftung bleibt dann auch bei der Praxis.
Außerdem möchte ich hier noch meiner Irritation über die ganze Informations-Weitergabe im Vorfeld Ausdruck verleihen. Bis zu den Pressemeldungen hatte ich keine Ahnung, dass es verschiedene Installationsarten gibt. Woher soll man das wissen, wenn darüber nicht informiert wird? Selbstverständlich bieten Sie Ihre Hotline an bei Klärungsbedarf, aber dazu muss man ja erst mal ahnen, dass es überhaupt Klärungsbedarf gibt.

Ich bin zunächst davon ausgegangen, dass nach der Bestellung dann alles Weitere mit dem Dienstleister vor Ort (DVO) geklärt werden kann. Das war dann wohl nichts. Zum Reihenbetrieb bekam ich – wie ich nun hinterher weiß – völlig falsche Informationen, wie z.B. die, dass bei dieser Installationsart „überhaupt kein“ Internet zur Verfügung stünde, keine Updates und keine Fernwartung erfolgen könnten und zur Wartung ständig ein Techniker vor Ort kommen müsste. Auf meine Frage, wofür das SIS (Secure Internet Service) da sei, kam Schulterzucken. Auch beim Vorlegen des Gematik-Informationsblattes blieb der Techniker bei seiner Aussage: kein Internet möglich. Als Laie musste ich das erst mal so hinnehmen, trotz bestehender Zweifel.
Das tut mir leid. Die Aussage vom Techniker ist hier einfach falsch.
Sobald Sie die Reihenschaltung inkl. SIS benutzen, verfügen Sie immer noch über Internet.
Jetzt wie gesagt, möchte ich es genauer verstehen, deshalb nun meine Fragen. Ich beziehe diese v.a. auf meine eigene Praxis-Konfiguration: 1 Windows-10-PC mit PVS und Kartenlesegerät, PC per LAN angeschlossen an eine FritzBox. Drucker per USB am PC angeschlossen, kein Netzwerk, aber VoIP-Telefonie und –Fax (am Drucker/MFC). WLAN per FritzBox für weitere Peripherie-Geräte. Am PC ist hauptsächlich passive Internet-Nutzung geplant (Updates für Windows, Virenscanner und ggf. Hilfsprogramme), die aktive Internetnutzung (Browser, Email) soll über WLAN mit anderen Geräten erfolgen (Tablet, Handy).
Hier wäre zu beachten, dass die WLAN Geräte am Besten in einem Netz "surfen". Mit dem Gastzugang der Fritzbox könnte man so etwas einrichten.
Denn im Sinne des Datenschutzes sollten die "besonderen Personenbezogenen Daten" nicht mit den Privaten Daten "vermischt" werden.
D.h. der Praxis-PC sollte wirklich nur für Smarty genutzt werden und für nichts anderes.
Zunächst zur physischen Seite: Wenn ich es richtig verstehe, verläuft der physische Weg bei der Reihenschaltung so: DSL-Steckdose --> Router (FritzBox) --> Konnektor--> und von dort verzweigt zu a) Kartenlesegerät und b) PC?

Frage (1): da der Konnektor nur 2 LAN-Anschlüsse hat (ein Eingang, ein Ausgang), benötige ich hier dann einen Switch? Und wenn ja, muss ich den selbst besorgen?
Der Konnektor hat einen WAN und LAN Anschluss. Der WAN Anschluss wird nur im Reihenbetrieb benötigt und kann für nichts anderes genutzt werden.
In Reihe wäre der Anschluss so: DSL-Dose -> Router -> WAN Anschluss am Konnektor -> LAN Anschluss führt zum Switch -> vom Switch geht es weiter zum PC und Lesegerät.

Ein geeignetes Switch können Sie sich gerne vorab selbst kaufen. Ein 5-Port Switch sollte hier rausreichen.
Beispiel: https://www.amazon.de/D-Link-Daten%C3%B ... 285&sr=8-3

Ein Switch und Kabel haben die DVO's ansonsten immer dabei.
(2): wie sieht der Anschluss bei Parallelbetrieb aus? Bleibt da der PC weiter per LAN am Router? Wenn anders, wie? Wird ein Switch benötigt?
Wenn Ihr Router nicht genügend freie LAN Anschlüsse haben sollte, dann wird hier auch ein Switch benötigt.
Jetzt zur virtuellen Seite: Um es mir besser vorstellen zu können und weil gerne von „Tunnel“ die Rede ist, verwende ich mal das Bild von Bahngleisen als Symbol für einen virtuellen Weg, auf dem Daten hin- und herfahren können. Wenn ich es recht verstehe, wird durch die TI virtuell ein zweites Gleis in den PC gelegt. Physisch läuft es aber durch das gleiche LAN-Kabel wie sonstiges Internet. Der Router wäre sowas wie der Bahnhof: hier gibt es weitere Verzweigungen (weitere LANs, Telefon, WLAN).
Die TI führt nun durch einen geschützten Tunnel. Dieser ist aber nicht physisch da, sondern wird nur virtuell erzeugt. Dazu werden die Daten einfach an einer bestimmten Stelle (Tunneleingang) verschlüsselt und an einer Gegenstelle (Tunnelausgang) wieder entschlüsselt, den sog. Konzentratoren. Der Tunnel geht dabei auch durch den Bahnhof (Router) und das Internet hindurch. Ich hoffe, soweit ist es richtig?
Ja, das ist soweit korrekt.
Es ist immer vom "Tunnel" die Rede, da ein VPN (Virtual private Network) aufgebaut wird. Der VPN wird vom Konnektor aufgebaut und durch den Router durchgelassen, hier spricht man auch gerne von "VPN Passthrough" -> das aufgebaute VPN wird nur durchgelassen.
Der Unterschied zwischen Reihen- und Parallelbetrieb wäre nun: beim Reihenbetrieb wird ein zweiter geschützter Tunnel für den Internetzugang über den SIS errichtet, beim Parallelbetrieb bleibt das Gleis für den Internetzugang offen. Oder anders: beim Reihenbetrieb führen zwei geschlossene Tunnel in den PC (TI und SIS), beim Parallelbetrieb ein Tunnel und ein offenes Gleis (TI und Internet). Beim Reihenbetrieb läuft der Internetzugang ausschließlich über den vom VPN-Anbieter zur Verfügung gestellten SIS und der Konnektor selbst fungiert als Firewall. Beim Parallelbetrieb muss man selbst für ausreichende Schutzmaßnahmen wie Firewall und deren sichere Konfiguration sorgen.
Vorteil Reihenbetrieb: der gesamte PC ist über den Konnektor geschützt, Nachteil: es gibt nur eine begrenzte Bandbreite für Internet (5 GB Standard, 30 GB Power-SIS). Vorteil Parallelbetrieb: unbegrenzter Internetzugang, Nachteil: Schutzmaßnahmen und Haftung liegen beim Praxisinhaber.
Reihenbetrieb:
Hier werden zwei VPN's erstellt. VPN-1 ist für die TI und VPN-2 ist für SIS. Der Konnektor fungiert hier wie eine Art Firewall, kann aber eine echte Firewall nicht ersetzen. Deswegen ist auch im Reihenbetrieb wichtig, dass die Praxis ein Antiviren Programm und Firewall zur Verfügung stellt.

Auch Wichtig:
Mal angenommen Sie surfen mit SIS im Internet. Sie erhalten eine e-Mail mit einem Anhang, öffnen diesen und hier war ein Trojaner / Virus enthalten. Dieses Schadprogramm kann sich dann ohne Weiteres auf Ihrem Pc einnisten, hier bringt der Reihenbetrieb keinen Vorteil. Die Praxis
bleibt weiterhin ungeschützt, weil der Konnektor die e-Mails nicht öffnen / lesen kann und darf (Datenschutz).

Oder:
Sie wählen eine verschlüsslte Webseite an (SSL Verbindung) -> das merken an Sie immer an dem "https" an den Webseiten. Diese SSL Verbindung kann das SIS nicht überwachen bzw. prüfen, da die Anfrage verschlüsselt ist. Mal angenommen Sie würden eine dubiose Webseite mit https aufrufen, auf diesem Wege können dann dennoch beim Surfen Schadprogramme heruntergeladen und ausgeführt werden.

Ich will hier darauf hinaus, dass der Reihenbetrieb Sie nicht gegen Schadprogramme schützen kann.

Parallelbetrieb:
Ja, das ist korrekt.
Hier kann man sich das so vorstellen: Wenn Sie schon vorher Internet hatten, ändert sich im Parallelbetrieb nichts für Sie.
Dazu weitere Fragen:
(3) Sie schreiben, dass beim Standard-SIS-Paket (5 GB) nach Verbrauch die Geschwindigkeit gedrosselt wird. D.h. im Umkehrschluss aber: es steht auch hier unbegrenztes Volumen zur Verfügung? Auf welche Geschwindigkeit wird gedrosselt?
Auch ohne den Verbrauch des Datenvolumens surfen Sie schon bei SIS nicht voller DSL Geschwindigkeit. Das hat nichts mit dem Konnektor zu tun, sondern ist in der "Informatik" so bedingt, da ein VPN aufgebaut wird.

Zum Beispiel:
Sie haben DSL 10.000 -> mit SIS Anschluss surfen "sofort" mit DSL 6.000. Sobald das Datenvolumen aufgebraucht wird, wird die Geschwindigkeit noch weiter gedrosselt z.B. auf DSL 3.000.

Sobald das Datenvolumen aufgebraucht wird, wird die DSL Geschwindigkeit um ca. 60-70% gedrosselt.

Sobald Sie SIS Power benutzen erhöht sich das Datenvolumen auf insgesamt 35GB. Wenn auch dieses Volumen aufgebraucht wird, dann wird die Geschwindigkeit erneut auf ca. 60-70% gedrosselt.

Ein unbegrenztes Volumen steht hier nicht Verfügung.
(4) Jeder Tunnel hat Eingänge und Ausgänge. Wo genau fließen die Daten in den Tunnel hinein? Direkt am Kartenlesegerät? In der PVS? In der KV-Connect-Schnittstelle der PVS? Beim Konnektor? Besteht der TI-Tunnel auch zwischen Kartenlesegerät und PVS, oder kommen hier andere Verschlüsselungstechnologien zum Einsatz? Wo kommen die Daten wieder heraus, wo stehen die Konzentratoren? Sind dies zentrale Stellen, von denen an die Endgeräte (bei Kassen, KV) weitergeleitet wird, oder sind dies bereits die Endgeräte?
Den VSDM stöst Smarty an. Smarty sendet an den Konnektor (verschlüsselt) ein Signal, dass eine Karte gelesen werden soll. Der Konnektor kommuniziert daraufhin mit dem Lesegerät (ebenfalls verschlüsselt). Die Karte wird gelesen und über den VPN Tunnel wird bei einer zentralen Stelle nach einer Aktualisierung angefragt. Das ist nicht direkt die Krankenkasse sondern ein Rechenzentrum. Bei der Abfrage wird nicht nach dem Vornamen, Nachnamen etc. abgefragt. Jede eGK hat eine Kartennummer, mit dieser Kartennummer wird beim ersten Server nach einer Aktualisierung gefragt. Der erste Server anonymisiert die Daten und fragt weiter bei einem zweiten Server nach den aktuellsten Daten an.

Damit wird im Sinne der EU-DSGVO die Profilbildung verhindert. Heißt also die Krankenkasse sieht nur, dass es eine Anfrage gegeben hat, kann aber nicht sehen von wem (Facharzt oder Psychotherapeut) diese Anfrage kam.

Der VPN besteht zwischen Konnektor und dem Rechenzentrum.
(5) Wie genau funktioniert der SIS? Von Anonymisierungsdiensten kenne ich es, dass zwischen PC und dem Server eines Anbieters, oft weltweit verzweigt, ein VPN-Tunnel aufgebaut wird, und erst von dort in das offene Internet gegangen wird. Webseiten „sehen“ dann nur die IP des Servers und Tracking-Software prallt daran ab. Funktioniert das hier ähnlich? Ab wo genau öffnet sich der Tunnel dem Internet? Bereits ab dem Konnektor, oder gibt es analog eigene Server? Oder wie sonst?
Bei SIS wird ein VPN zu einem "ganz" anderem Rechenzentrum, auch hier in Deutschland, aufgebaut.
Sobald Sie z.B. google.de aufrufen möchten, wird diese Anfrage an das Rechenzentrum weitergeleitet. Das Rechenzentrum prüft mit einer Art "Black / Whitelist" Ihre Anfrage, ob diese Webseite überhaupt sicher ist und schickt die Anfrage anschließend weiter.
Wie es danach genau weiter geht, das könnte ich Ihnen leider nicht beantworten. Hier müssten Sie am Besten bei der Gematik anfrage, weil es dafür gewisse Spezifikationen gibt.
(6) Was ist mit Internetzugang per WLAN des Routers? Hier bekam ich von drei Leuten drei unterschiedliche Antworten:
a) DVO: gar kein Internetzugang möglich – der Konnektor blockt alles ab,
b) Smarty-Hotline 1: Internet steht zur Verfügung, aber verschlüsselt. Der Traffic belastet die zur Verfügung stehende SIS-Bandbreite,
c) Smarty-Hotline 2: Internet steht über WLAN unbegrenzt und unverschlüsselt zur Verfügung für Peripheriegeräte – es ist nur nicht möglich, den PC selbst mit WLAN zu verbinden (was ich bei mir auch nicht möchte).
Ich bitte hier nun um eine definitive Klarstellung, welches die richtige Variante ist. Oder gibt es eventuell sogar noch eine vierte Variante d): es lässt sich über den Konnektor konfigurieren, in welcher Form Internet per WLAN zur Verfügung gestellt wird?
Sobald Sie im Reihenbetrieb über WLAN surfen, surfen Sie quasi am Konnektor vorbei, denn nicht der Konnektor bietet hier WLAN sondern Ihr eigener Router. D.h. auch im Reihenbetrieb und WLAN ändert sich quasi nichts. Sie surfen bei WLAN ohne SIS.

Eine Variante d) wäre folgendermaßen möglich:
Sie schalten einen WLAN Acces-Point hinter den Konnektor (LAN) und Ihr Smartphone verbindet sich mit genau diesem Acces-Point.
Das Acces-Point müsste so konfiguriert werden, dass die Anfrage weiter über den Konnektor laufen.
Erst dann würden Sie über SIS mit WLAN surfen.
(7) Was ist mit VoIP-Telefonie und Fax: bleibt dies unberührt, oder sind auch hier bei irgendeiner Konfiguration Einflüsse oder Störungen möglich?
Ich würde jetzt davon ausgehen, dass Ihr Router die VoIP-Telefonie anbietet und ebenso auch das Fax.
Heißt also: hier bleibt alles unbeführt und kann auch im Reihenbetrieb weiter funktionieren.

Komplizierter wird es, wenn das Fax Daten an den Praxis senden muss oder wenn Sie eine Telefonanlage haben, die hinter dem Konnektor sitzen soll.
(8) Was wäre, wenn der Drucker/MFC über LAN oder WiFi an der FritzBox statt über USB am PC angeschlossen wäre? Würde das irgendwas ändern?
Bei einem Reihenbetrieb können Sie dann von Ihrem Praxis-PC aus nichts mehr drucken.
Denn der Praxis-PC befindet sich beim Reihenbetrieb in einem ganz anderem Netz als Ihr WALN Drucker.

Beispiel:
WLAN Drucker bekommt die IP-Adresse per DHCP direkt vom Router -> 192.168.178.100
Ihr Praxis-PC bekommt eine IP-Adresse im LAN vom Konnektor (Konnektor Schnittstelle) -> 192.168.10.10
Der PC findet dann den Drucker nicht mehr.

Der Drucker muss also entweder per Switch direkt am PC verbunden sein oder per USB-Kabel.
(9) Und schließlich: der menschliche Faktor. Bekannt geworden ist ja, dass es bei Parallelanschlüssen in größeren Netzwerken zum Super-GAU gekommen ist, nämlich dass nach der Installation abgeschaltete Firewalls und offene Ports zurückgeblieben sind. Wie ist das beim Reihenbetrieb, wo der Konnektor ja selbst als Firewall fungiert? Ist es – zumindest theoretisch – möglich, dass diese falsch konfiguriert wird und so etwas auch passiert, oder würde dann einfach alles nicht funktionieren?
Ich frage mich leider heute noch woher diese Aussagen genau stammen...

Der Konnektor benötigt folgende Ports "ausgehend" aus der Praxis:
- UDP Port 500
- UDP Port 4500
- ESP
- TCP/UDP Port 53 für DNSSec

Diese Ports sind fast immer standmäßig am Router freigeschaltet, sodass hier kein Handlungsbedarf besteht.

Sollte einer dieser Ports dennoch blockiert sein, dann kann der Konnektor mit der TI nicht kommunizieren und man kann den Konnektor bei der Installation nicht freischalten.
Mit freundlichen Grüßen

Smarty-Support

A. Deiner
Beiträge: 39
Registriert: 15.12.2006, 02:03:27

Re: Zugang zum Internet bei installierter TI?

Beitrag von A. Deiner » 16.05.2019, 02:52:46

Hallo Herrr Pernizki,

vielen Dank für die schnelle und umfangreiche Antwort. Das hilft mir jetzt weiter bei der Entscheidungsfindung und befriedigt erstmal meine Neugier. Die Option der Wahl wäre für mich dann klar Reihenbetrieb mit SIS für möglichst schlanke und überwiegend passive Internetnutzung auf dem Praxis-Rechner und weiterhin normaler Internetzugang und Email-Verkehr über WLAN per Tablet/Smartphone. Selbstverständlich gibt es auf dem Praxis-PC zusätzliche Viren- und Security-Software und die soll auch aktuell gehalten werden, ebenso wie alle Windows-Updates. Dafür ja auch das SIS. Standard müsste dafür reichen. Habe probeweise mal seit Anfang des Monats den Traffic überwacht und bin in dem halben Monat auf 825 MB gekommen. Und wenn über die 5 GB hinaus sogar noch unbegrenzt gedrosseltes Volumen zur Verfügung steht, reicht's ja allemal. Der Rechner läuft ja den ganzen Tag - ob da ein Update im Hintergrund sich in 2 Minuten oder in 2 Stunden herunterlädt, spielt da keine Rolle.

Aber eine Frage hätte ich noch zum SIS: wird hier wie bei den Anonymisierungsdiensten den Webseiten im Netz eine andere IP-Adresse angezeigt, oder ist die eigene des Praxis-Rechners zu sehen?

Zu Ihrem Satz "Ich frage mich leider heute noch woher diese Aussagen genau stammen..." unter Frage 9:
Ich weiß jetzt nicht, ob das nur ein rhetorischer Seufzer war und Sie die Sachlage genau kennen, oder ob das wirklich ernst gemeint war und Sie das wirklich nicht wissen. Falls tatsächlich nicht: die Aussagen gehen zurück auf den System-Techniker Jens Ernst, der mehrere Praxen betreut und dies angeblich so festgestellt hat. Die erste Veröffentlichung erfolgte in dem weiter oben von mir genannten Artikel im ÄND (Ärzte-Nachrichtendienst). Seither ist das Thema dort Dauerbrenner. Herr Ernst hat wohl Kontakt zu Ärzteverbänden, meldet sich in Kommentaren zu Artikeln immer wieder mal zu Wort oder wird zitiert. Einem neuen Artikel vom 14.5. nach (TI-Sicherheitslücken - Gibt es bald Kontrollen in den Praxen) hatte er letzte Woche sogar Praxisbegehungen mit dem Bundesdatenschutzbeauftragten durchgeführt und bleibt bei seinen Aussagen.
Zitat aus dem Artikel vom 14.5.:
„Es ist noch immer nichts passiert“, ärgert sich der IT-Spezialist. Bis heute
gebe es keine Erhebung, wie viele Praxen betroffen sind. Er selbst geht davon aus, dass bundesweit rund 90
Prozent der an die TI angeschlossenen Praxen Sicherheitslücken aufweisen. „Ich habe noch kein Bild von
einem korrekt angeschlossenen Konnektor gesehen“, so Ernst gegenüber dem änd.
Noch immer gebe es von der Gematik und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) keine
näheren Informationen über die Firewall-Regeln. Die aber bräuchten die Systemadministratoren der Praxen
dringend, um die Sicherheit der Praxisnetze wiederherstellen zu können. „Ein sicherer Parallel-Aufbau ist nach
wie vor nicht möglich“, beklagt Ernst."

Wer keinen ÄND-Zugang hat, kann eine abgewandelte Form des Ursprungs-Artikels vom 15.4. ("Wie sicher sind die Patientendaten wirklich?") auch unter https://www.heise.de/newsticker/meldung ... 06506.html nachlesen. Es lohnt sich auch ein Blick in die Kommentare.

Viele Grüße,
A. Deiner

Benutzeravatar
Eugen Pernizki
Beiträge: 183
Registriert: 30.10.2007, 10:23:55

Re: Zugang zum Internet bei installierter TI?

Beitrag von Eugen Pernizki » 16.05.2019, 10:18:05

Hallo Deiner,

wenn Sie den Reihenbetrieb wünschen, dann informieren Sie bitte Ihren DVO auf jeden Fall noch vor dem Installationstermin darüber,
damit der Techniker das einplanen kann.

Auf Ihre Frage hätte ich leider keine Antwort, so viel Informationen haben wir leider darüber nicht genau.
Hier würde ich Sie ansonsten gerne an

eHealth Experts GmbH
Emil-Figge-Straße 85
44227 Dortmund
https://www.ehealthexperts.de

verweisen.

Diese Firma entwickelt die Firmware für den Secunet Konnektor und kann Ihnen wahrscheinlich weiterhelfen,
ansonsten wenden Sie sich bitte direkt an Secunet.

Das aktuelle Thema aus dem änd ist mir natürlich bekannt.

Mir ist von unseren DVO's überhaupt nicht bekannt, dass sie die Firewalls oder Antiviren Programme ausschalten und ausgeschaltet lassen.
Hier muss noch folgendes unterschieden werden:
Der Konnektor benötigt die bereits bekannten Ports (siehe letzer Beitrag von mir). Diese Ports gehen aus Sicht der Praxis nach draußen und eben nicht, das ist wichtig, von draußen nach drinnen in die Praxis.

D.h. sollten diese Ports in dem Router gesperrt sein, ja dann müssen Sie in dem Router / Firewall freigeschaltet werden.
Das sind aber standard Ports für einen VPN und meistens (zu 97%) sind diese im Router freigeschaltet.
Damit wird nur erreicht, dass der Konnektor eine Verbindung zur TI aufbauen kann.

Der Router bzw. die Firewall wird aber in keinem Fall so konfiguriert, dass die Ports von draußen nach drinnen in die Praxis geöffnet werden.
Genau dieser Schritt ist ganz wichtig und unsere DVO's wissen das, dass man das eben nicht machen darf.
Mit freundlichen Grüßen

Smarty-Support

Antworten