VonDoczuDoc.de

In Anbetracht der sich häufende Cyberattacken würde ich das Praxisnetz gern von Netz nehmen und die TI seriell über die KocoBox anbinden. Welche Einstellungen muss ich in der KocoBox anpassen ?
Sind daüber dannn auch andere webbasierte Anwendungen (Laboranbindung Lumed, Kv-Safenet) erreichbar ?

Meine Empfehlung: lassen Sie es. Sie wollen doch einen maßgeblichen Teil Ihrer Infrastruktur (Internet; btw wie steht es mit Telefon/VoIP?) nicht davon den Zicken einer Kocobox abhängig machen (ob die Hardware leistungsfähig genug ist, um darüber zu surfen ist nochmal ein Thema).
Von organisatorischen / generellen Abhängigkeiten (funktioniert nur das / so, wie es der Anbieter erlaubt) mal ganz abgesehen.
ich persönlich würde ja zu einer verknüftigen Firewall tendieren, die aber auch nur Sinn macht, wenn man das Potential dann auch nutzt.

Zu Ihrer Frage - M.E. müste mann auf dem Konnektor unter LAN/WAN - Anbindung = SIS und dann vermutlich WAN-Adaptermodus = ein setzen - und die Verkabelung so machen, dass die Box zwischen Router und Praxisnetz hängt (die Box ist dann da Default-Gateway im Praxisnetz). (IP/Netz des bisherigen - zB Router - entsprechend natürlich anpassen

Nachtrag: mit einer richtigen Firewall können Sie dann auch gleich die TI-Geräte vom Praxisnetz trennen. Ich warte eigentlich nur darauf, bis mal Jemand ins TI-RZ einsteigt und darüber dann in alle Praxen (zB via manipulierter Kocobox-Firmware - Autoupdate sei Dank).

So negativ würde ich das nicht sehen. Wir habe die KoCoBox seriell angeschlossen. Sinnvollerweise packt man den Rest der Praxis-IT natürlich nicht ins dann abgekoppelte innere Netzsegment. Internetzugang, VoIP, Email, etc. bleiben nach wie vor direkt an der Fritzbox (und benötigen getrennte Rechner - das war vor TI ja auch so).

Das KV-Netz (Bestandsnetze) ist dann immer noch über den Konnektor erreichbar. Beim Rest (auch SW-Updates) wird es schwieriger bis unmöglich. SIS ist hier nicht wirklich zu empfehlen, da die SIS-Firewall in der KoCoBox nach meinem bisherigen Verständnis kein Whitelisting kann. Ich habe mich dann mit einer kleinen HW-Firewall beholfen, die parallel zu Papageienbox ein paar ganz gezielte kleine Löcher nach draußen bohrt (z.B. Labor). Ist immer lustig, wenn man jemanden per Fernwartung "reingelassen" hat und dieser sich dann wundert, warum er nicht rauskommt.

@both: das was Sie da beschreiben (oder so wie ich es verstehe) sind einerseits zwei getrennte Umgebungen (kann man machen, aber die Nachteile haben Sie ja beschrieben - und m.E. überwiegen die. Weiter geht es ja zB mit E-Mail o.ä. - wie kommen denn da die Daten ins Praxis-Netz/Software bzw umgekehrt ?) und andererseits haben sie in dem getrennten "seriellen" Netz "parellel" zur Kocobox eine HW-Firewall aufgebaut - was dann aus Ihrer seriellen Installation faktisch eine parallele macht ... Also nein Dann lieber "keep it simple" bevor man vor lauter gut gemeint sich so ein Konstrukt schafft (soll heiße: wenn Sie ohnehin schon so eine HW-FW verwenden - dann können Sie da doch einfach direkt alles dran hängen / ggf an getrennte Ports und sparen sich den Aufwand)

Es sind zwei getrennte Umgebungen. Emails (und deren Anhänge) kommen bei uns nicht ins Praxisnetz. Ebensowenig werden Daten aus dem Praxisnetz per Email verschickt - was auch aus Datenschutzgründen nicht unproblematisch wäre. Das ist kein Nachteil.

Eine faktisch parallele Installation entsteht dadurch nicht, da nur eine handvoll Domains/IP-Adressen whitegelistet sind. Und dies ist mit einer "sehr einfach gehaltenen" Firewall möglich. Ziel des Ganzen ist, einen Datenabfluss durch Schadsoftware möglichst zu verhindern (unter der Annahme, dass der Abfluss über die TI-Infrastruktur oder die wenigen freigegebenen Adressen sehr wahrscheinlich nicht erfolgen kann).

Man hätte die Firewall auch LAN-seitig vor den Konnektor hängen (um die SIS-Firewall im Konnektor aufzubessern) und SIS aktivieren können.

Schadsoftware (Verschlüsselung) im System wäre zwar ärgerlich (und wird irgendwann auftreten, spätestens mit eArztbrief und ePA), ist aber aufgrund der vorhandenen Datensicherung nicht wirklich schlimm. Das relevante Risiko liegt im Datenabfluss, wobei ein Abfluss in/über die TI haftungsrechtlich nicht bedeutsam sein dürfte, da zwangsverordnet.

Am Ende muss jeder selbst entscheiden, was er braucht und wie er es lösen will.

@both: ich will's jetzt gut sein lassen aber es IST eine parallele Installation - auch faktisch - eben durch den parallelen ("nebeneinander") und nicht seriellen ("hintereinander") Anschluß.

Und ja - ist doch schade dass Sie die FW-Funktionalität ihrem "unsicheren" Netz vorenthalten wollen - auch da könnten ja empfindliche Daten abfließen - zB E-Mail-Adressen, Zugangsdaten für E-Mail-Konten etc. Daher würde ich tatsächlich über die FW die beiden (oder mehreren) Netze trennen - vorausgesetzt die FW hat aben auch mind 3 Interfaces (1x Extern, 1x Praxis-TM, 1x Praxis-surfen)

Könnte man sicher tun - kann die derzeitige FW aber wegen fehlender Ports nicht. Die Standardsicherheit der AVM-FB reicht dort. Solange ich keine Betriebssysteme aus Redmond oder Cupertino einsetzen muss, ist das Risiko doch eher klein und sehr überschaubar.