Unsere Telematik-Installation

[torsten2]

Wie habt ihr das Problem mit dem freien Internetzugang gelöst? Nach Aussagen eines Technikers soll wohl eine Parallelinstallation möglich sein, was aber natürlich nicht beworben wird. Würden z.B. OpenVPN-Tunnel noch gehen? Ich habe aus diesen Gründen noch nicht unterschrieben - mit Sicherheit wird der gesamte Internetverkehr gescannt und die Daten werden weiterverkauft....

[Johnny]

Es schrieb
von Frankolas » Mi 31. Jan 2018, 16:21
Zu einem bestimmten Gerät wird nicht geraten. Darf die KV wohl auch nicht.
Es wird geraten, zu warten bis mehr Anbieter am Markt sind, und dann zu wählen.
Wer weiß, was sich da die nächsten Monate noch so bewegt.
Das die TI kommt, ist wohl klar wie Kloßbrühe.

Wirklich, aber dann doch mit erheblicher Vverzögerung meint
viewtopic.php?f=62&t=6604


Johnny

[RAMöller]

Naja, das war zu erwarten. Ich habe kurz vorher alles bei 59 verkauft. Aber soviele Aktien war es auch wieder nicht
Die Frage ist, geht es weiter runter, bis 40?

[mh]

TM drängt. Das auf den 31.1. befristete Angebot (Sorglos-Paket) wurde bis zum 28.2. verlängert. Warum? Vielleicht weil die Konkurrenz langsam aus den Löchern kommt. So bietet DGN den reinen Konnektor für 1590 + Steuer an bei niedrigeren monatlichen Kosten. Aber: Wer macht die Anbindung an TM? Angeblich verlangt TM nur für die Modulfreischaltung bei Fremdkonnektoren 700,-. Auch so kann man den Markt regulieren. Hier hat die Politik mal wieder versagt. Eine offene Schnittstelle wäre fair und der Entwicklung der TI sicherlich förderlich gewesen.

[McLeod]

Hier hat die Politik mal wieder versagt. Eine offene Schnittstelle wäre fair und der Entwicklung der TI sicherlich förderlich gewesen.

Wieso versagt? Eher "mission accomplished". Ein nie genanntes, aber dennoch integrales Ziel solcher Projekte ist immer die Verschiebung von Vermögen der Allgemeinheit hin zu den "Leistungsträgern" (aka Kapitalbergeignern/Industriekumpels/Bimbeskofferlieferanten).

[RAMöller]

TM drängt. Das auf den 31.1. befristete Angebot (Sorglos-Paket) wurde bis zum 28.2. verlängert. Warum? Vielleicht weil die Konkurrenz langsam aus den Löchern kommt. So bietet DGN den reinen Konnektor für 1590 + Steuer an bei niedrigeren monatlichen Kosten. Aber: Wer macht die Anbindung an TM? Angeblich verlangt TM nur für die Modulfreischaltung bei Fremdkonnektoren 700,-. Auch so kann man den Markt regulieren. Hier hat die Politik mal wieder versagt. Eine offene Schnittstelle wäre fair und der Entwicklung der TI sicherlich förderlich gewesen.

Ja, also wenn ich das zusammenrechne

1590
+700
+smartcard 500€
+Arbeitszeit (3h x 100€)
+ MwSt. 618€

= 3708€

supi, dafür hat man dann 3 Servicepartner (((( ))))

[Augendoc]

Hallo,
ich trage mich auch mit dem Gedanken, TI zu installieren. Wir werden wohl alle nicht drumrum kommen.

Bisher habe ich eine Serveranlage, die keine Verbindung zum Internet hat. Das hat mich 14 Jahre lang sicher vor Virenangriffen und dem ganzen Internetsicherheitsproblem geschützt.

Nun muss ich meinen Server an das www hängen. Dazu benötige ich wohl eine Hardware-Firewall.

Welche Produkte sind da zu empfehlen und in welcher Größenordnung. Im Internet sind Namen wie Gateprotect und Watchguard zu finden.

Vielen Dank für hilfreiche Informationen
sagt der Augendoc

(Ich hoffe, dass der Beitrag nicht wegen Produktwerbung gelöscht wird.)

[Lazarus]

Am Server wird nichts gemacht.
Die Kokobox geht ins VPN-Netz und stellt eine Verbindung zwischen Telematik und den Lesegeräten her.

[Johnny]

Lazarus schrieb:
Beitrag von Lazarus » Mo 5. Feb 2018, 20:56
Am Server wird nichts gemacht.
Die Kokobox geht ins VPN-Netz und stellt eine Verbindung zwischen Telematik und den Lesegeräten her.

Ok, aber die Lesegeräte sind doch sicher auch noch mit Ihrem Computer verbunden oder?

Ich hatte diese Überlegung früher schon, daß nur die notwendigen Lesegeräte mit den ecards(=kleine PCs mit eigenem Prozessor) ans VPN-Netz gehen, dann der Versichterten-Stammdatenabgleich erfolgt und anschließend die ecards in den Praxis-PC zu Abrechnung eingelesen werden, ohne daß diese Selbst im Internet bzw VPN-Netz sind.

Aber man braucht dann wohl einen 2. Konnektor, der offline sein kann, um das Einlesen der ecards am Praxis-PC zu ermöglichen.


Gruß aus Kiel
Johnny

[nmndoc]

Am Server wird nichts gemacht.
Die Kokobox geht ins VPN-Netz und stellt eine Verbindung zwischen Telematik und den Lesegeräten her.

aber mind. steht die Box ja in Ihrem Netz und spricht nicht nur mit extern, sonder wird vermutl. auch von da verwaltet (wobei sogar ggf. mehrere Zugriff haben - Hersteller des Konnektors + anbieter des VPN-Dienstes?).
Was und wer da ggf. in beide Richtungen was darf, wissen und sehen Sie nicht. Ich habe da nicht mal so sehr Bedenken weg. prinzipiellem Vorsatz der Betreiber, als viel mehr a) Dritte die sich Zugang verschaffen ("hacken") (zB von wo/wie sicher oder auch nicht verwaltet Kocom die Boxen, wer hat da Zugriff etc), frustrierte oder übermotivierte Mitarbeiter, Schadsoftware/Würmer etc die sich via Netzwerk ausbreiten etc etc

[Augendoc]

Auf die Idee mit dem Einlesen der Karten im "neuen" Kartenleser via Konnektor für TI und dann ein zweites Mal in dem "alten" Kartenleser für den Server-Inselbetrieb hatte ich auch schon. Leider waren die Inforamtionen so, dass die "alten" Kartenleser irgendwann die Karten nicht mehr lesen können.

Aber nun noch einmal zu meiner Frage: Welche Hardware-Firewall wird von Ihnen verwendet?

Einen schönen Tag wünscht
der Augendoc

[moose]

Sollte der Konnektor, schon wegen der hohen Datenschutzrisiken, nicht als Firewall ausgebildet sein. Man kann doch dem Arzt nicht so ein Teil aufzwingen, und der soll dann selbst sehen, wie er sich schützt, vor Angriffen von Aussen. Das kann doch nicht zulässig sein. Das klingt nicht durchdacht.
moose

[systech]

Sollte der Konnektor, schon wegen der hohen Datenschutzrisiken, nicht als Firewall ausgebildet sein. Man kann doch dem Arzt nicht so ein Teil aufzwingen, und der soll dann selbst sehen, wie er sich schützt, vor Angriffen von Aussen. Das kann doch nicht zulässig sein. Das klingt nicht durchdacht.
moose

Die Kommunikation welche über den Konnektor läuft, geht immer durch den VPN Tunnnel der TI. Also ein abgesicherte Verbindung...

[nmndoc]

Sollte der Konnektor, schon wegen der hohen Datenschutzrisiken, nicht als Firewall ausgebildet sein. Man kann doch dem Arzt nicht so ein Teil aufzwingen, und der soll dann selbst sehen, wie er sich schützt, vor Angriffen von Aussen. Das kann doch nicht zulässig sein. Das klingt nicht durchdacht.
moose

Ich glaube da werfen Sie zwei Dinge gedanklich in einen Topf.
Es ist für Sie als Kunde erstmal unerheblich, ob der Konnektor als Firewall arbeitet oder nicht. Es geht ja darum, dass Sie ein fremdes Gerät im Netz haben, das ferngewartet/verwaltet wird. Wo kommt da für Sie der Schutz her, ob oder ob nicht dieses Gerät auch eine Firewall ist?
Es geht darum, dass Sie mit Ihrer FW Ihr Netz von fremden Netzen und Geräten trennen und ggf. wo nötig die Kommunikation kontrolliert und restriktiv erlauben (also zB Kartenleser kann nur den Konnektor erreichen, umgekehrt nicht. Der Konnektor kann auch zB nicht Ihren Drucker, direktes Internet (nur Tunnel zum RZ) oder Ihre PCs erreichen).

[dochallyday]

Auf die Idee mit dem Einlesen der Karten im "neuen" Kartenleser via Konnektor für TI und dann ein zweites Mal in dem "alten" Kartenleser für den Server-Inselbetrieb hatte ich auch schon. Leider waren die Inforamtionen so, dass die "alten" Kartenleser irgendwann die Karten nicht mehr lesen können.

[...]

Einen schönen Tag wünscht
der Augendoc

Dass die alten Kartenleser (Orga 6041L o.ä.) demnächst schon nicht mehr funktionieren, kann ich mir schlecht vorstellen - was sollen denn dann die ganzen "Verweigerer" machen?
Für uns wäre diese Lösung aus mehreren Gründen idealer - auch wenn es ein weiteres Kabel vom Keller in die Praxisräume erfordert. Zudem hat man die Verzögerung der Einlesezeit (laut mehreren Berichten sind es 2-4 ohne, bzw. 6-10 Sekunden mit Update) dann auch nur noch einmal pro Quartal pro Patient. Wenn man aber zuerst schon ins eigene System einliest (geht ja sowohl bei Turbomed, als auch nun bei T2Med recht fix) und hinterher die Karte umsteckt in das TI-Gerät, hält sich die permanente Verzögerung auch in Grenzen, die MFA kann ja derweil schon weiterarbeiten - oder hab ich hier nen Denkfehler?

[nmndoc]

gabs da nicht noch etwas mit mobilen Lesern? Die müssen ja wohl die Karten ohne Verbindung zum Konnektor lesen können... werde da auch neue benötigt oder sind das doch die alten? Und was geschieht dann mit den Kartendaten weiter? zB einlesen ins PVS -> von da zum Konnektor oder wie?

[moose]

Es geht darum, dass Sie mit Ihrer FW Ihr Netz von fremden Netzen und Geräten trennen und ggf. wo nötig die Kommunikation kontrolliert und restriktiv erlauben (also zB Kartenleser kann nur den Konnektor erreichen, umgekehrt nicht. Der Konnektor kann auch zB nicht Ihren Drucker, direktes Internet (nur Tunnel zum RZ) oder Ihre PCs erreichen).

Jetzt verstehe ich.
Und wie sorge ich dafür, dass das genauso läuft. Bin Arzt. Sind diese Telematikgeräte gleich so eingestellt, dass die Fernwartung nur auf diese Geräte zugreift. Oder hat man wieder für individuellle, geldwerte Kollateralschäden vorgesorgt.
moose

[McLeod]

@moose
Aus Sicherheitssicht muß man den Konnektor als "feindliches Gerät" betrachten, daß ähnlich einer Wanze potenziell den ganzen Netzwerkverkehr abschnorcheln kann. (Und ja, auf die ganzen geduldigen Papierchen gebe ich persönlich einen Sch...)
Somit muß das Ding vom Rest isoliert werden.

Heißt vereinfacht:
Man steckt das Teil in ein eigenes Subnetz, in dem es nur die Firewall direkt ansprechen kann. Auf dieser legt man Regeln fest, wohin und über welche Ports die Kommunikation des Konnektors laufen darf.
Die Firewall hat aber auch noch eine IP im Hauptnetz und ist hier (normalerweise) das Standardgateway für die diversen Rechner und "kennt" die Route zum Konnektor, wodurch sichergestellt ist, daß die Daten, die über den Konnektor versendet werden sollen, auch dort ankommen. Muß eine Zwei-Wege-Kommunikation zwischen Konnektor und Kartenleser/Praxissoftware bestehen, braucht man auch die entsprechend entgegngesetzte Route und kontrolliert über o.g. Regeln, daß der Konnektor nur die Geräte "anfunken" kann, die man freigegeben hat. D.h. man verbietet beispielsweise die Kommunikation mit 192.168.1.0 (in diesem Beispiel das Hauptnetzwerk), lässt aber die Kommunkation mit 192.168.1.100 (Bsp-Adresse Kartenleser) zu.
Normalerweise setzt man auch beim Einsatz Firewall auch den Internetrouter in eigenes Subnetz, so daß sich also in diesem Szenario insgesamt 3 Subnetze ergeben:
a) Internetrouter
b) Hauptnetz
c) Konnektor (Spionagewanze )

[moose]

könnte mit diesem Konnektor ein Zugriff auf meine Praxissoftware erfolgen, was ja nicht erwünscht wäre?
moose

[FranzKonrad]

könnte mit diesem Konnektor ein Zugriff auf meine Praxissoftware erfolgen, ...?

Wenn Sie Ihre Praxissoftware nicht mittels einer Firewall abschotten, sicherlich. Sie haben ja keine Kontrolle darüber, was der Konnektor so macht, und die VPN zur TI (und was auf der anderen Seite dahintersteckt) ist ja prinzipiell in beide Richtungen offen.
Ich weiß aber nicht so recht, ob man TM überhaupt gegenüber der TI abschotten kann, ohne die Funktionen dieser zu verlieren.
Hab mal irgendwo gelesen, daß z.B. der erfolgte Stammdatenabgleich auch beim Patienten hinterlegt wird und in die Abrechnungsdatei kommt. Das wird ja sicherlich nicht das Lesegerät alleine bewerkstelligen.
Außerdem, wenn eine Verbindung Konnektor - Lesegerät ausreichen würde, warum müßte dann eine Softwareanpassung bei Turbomed mit einmaliger und laufenden Gebühren erfolgen?

Gruß
FranzKonrad