CGM Protect, Alternativen?

[mexx]

Hallo liebe Kollegen,

wollte fragen, ob jemand eine Alternative kennt, bezüglich
Firewall und Virenschutz, die laut Gesetzgeber verlangt werden.
Die Kosten liegen, je nach Version, bei 1660 Euro bis 2999 Euro.

[nmndoc]

Hallo liebe Kollegen,

wollte fragen, ob jemand eine Alternative kennt, bezüglich
Firewall und Virenschutz, die laut Gesetzgeber verlangt werden.
Die Kosten liegen, je nach Version, bei 1660 Euro bis 2999 Euro.

Bessere Alternativen gibt es zu genüge. Und die Frage, eine (Security-)Lösung von CGM zu nehmen, stellt sich m.e. schon gar nicht. Angenfangen vom Unternehmen (Firmenpolitik, Support, etc) bis zu zu - "ach, ist CGM nach 2-3 Monaten schon wieder arbeitsfähig wegen eines ... Security-Vorfalls".

PS: m.E. fordert der Gesetzgeber im Moment noch nichts Derartiges (sonst bitte Quellenangabe). Ich würde es zwar empfehlen, aber es macht nur Sinn, wenn Sie die Lösung richtig implementieren und warten und/oder ggf. weitere Features wie VPN-Zugang o.ä. nutzen. Sonst sind Sie ggf. mit einer FritzBox o.ä. gleich gut dran.

Was sind denn die konkreten Anforderungen?

[SG83]

https://www.kbv.de/html/1150_51032.php
Wer da ein wenig liest, findet in der IT-Sicherheitsrichtline u.a. den Punkt 32:
Der Übergang zu anderen Netzen insbesondere das Internet muss durch eine Firewall geschützt werden.
Steht das damit im Gesetz? Ja.
Ist eine Fritzbox eine Firewall (wobei dieser 15 Jahre alte Begriff auf heutige Geräte kaum mehr zutrifft)? Nein.
Muss man das von der CGM nehmen? Muss jeder selbst entscheiden. CGM nutzt WatchGuard als Firewall-Anbieter, es gibt aber ca. 15 Firmen die sich als Hersteller von Firewalls einen Namen gemacht haben (bspw. Sophos, SonicWall, Cisco/Meraki, Juniper, Fortinet, Zyxel ZyWall oder deutsche Nieschenhersteller wie SecurePoint oder Lancom/Rohde&Schwarz). Am Besten den betreuenden IT-ler nach seiner Wahl fragen und was er auch supporten kann. Weil wie schon richtig erwähnt, dank VPN, Sandboxing, SSL Inspection etc. sind die heutigen Firewalls doch recht komplex.

[calcman]

OK, dann mal die Frage in die Runde:

Kennt jemand einen KBV-zertifizierten TurboMed-VSP der LanCom/R&S unterstützt?

[nmndoc]

https://www.kbv.de/html/1150_51032.php
Wer da ein wenig liest, findet in der IT-Sicherheitsrichtline u.a. den Punkt 32:
Der Übergang zu anderen Netzen insbesondere das Internet muss durch eine Firewall geschützt werden.
Steht das damit im Gesetz? Ja.
Ist eine Fritzbox eine Firewall (wobei dieser 15 Jahre alte Begriff auf heutige Geräte kaum mehr zutrifft)? Nein.
Muss man das von der CGM nehmen? Muss jeder selbst entscheiden. CGM nutzt WatchGuard als Firewall-Anbieter, es gibt aber ca. 15 Firmen die sich als Hersteller von Firewalls einen Namen gemacht haben (bspw. Sophos, SonicWall, Cisco/Meraki, Juniper, Fortinet, Zyxel ZyWall oder deutsche Nieschenhersteller wie SecurePoint oder Lancom/Rohde&Schwarz). Am Besten den betreuenden IT-ler nach seiner Wahl fragen und was er auch supporten kann. Weil wie schon richtig erwähnt, dank VPN, Sandboxing, SSL Inspection etc. sind die heutigen Firewalls doch recht komplex.

Muss ich etwas widersprechen. Auf explizite Rückfrage bei der KBV (die m.E. nach noch nicht so lange her ist, also nicht länger als das Dokument alt ist), hieß es ganz allgemein "Firewall" bzw zB was den Punkt (auch im Dokument) Webapp-Firewall (1) angeht, dass hier die (Windows) Clientfirewall gemeint ist. Und bezogen auf "andere Netze" == Internet wäre dann grundsätzlich auch eine FB o.ä. ok, weil diese hinreichend verhindert, dass ein Zugriff von außen (2) stattfindet.
Mehr ist da nicht gefordert - und ehrlich auch nicht realistisch. Selbst viele etwas bessere Firewalls werden im Falle einer Malware-Infektion nicht das "nach-hause-telefonieren" verhindern - mit allen Konsequenzen die da dran hängen. Sei es wegen technischer Unzulänglichkeiten oder weil es der DL eben nicht anders konfiguriert hat. Angefangen von "intern > any > extern" über mind. "intern > DNS/http/https > extern" dürfte sich in den meisten Praxen finden und dann ist das Thema auch schon durch und meine Profi-Lösung schon praktisch wieder auf FB-Leven (ja, auch hier kommt es ggf. auf die Feinheiten an, schon klar)

Kurz gesagt: um einen "hab ich erfüllt" Haken dran machen zu können, braucht es deutlich weniger und insbesondere kein CGM.

1) Unter Webapp-FW verstehe ich eher WAF - und die wäre in der Arztpraxis völlig sinnlos (daher hatte ich angefragt).
2) ja, natürlich - in der realen Welt alles etwas komplexer - vgl. Teamviewer + co - was ist da schob genau "von außen"

[SG83]

Sehen KVSA und KVN anders und nicht umsonst sind alle Eigeneinrichtungen dieser KVen auch per Firewall vom Internet getrennt. Kann auch nicht glauben, dass die KBV dies so kommuniziert, siehe bspw. dieses Infoblatt der KVB unter Punkt 14 https://www.google.com/url?sa=t&rct=j&q ... M5O6o9D--K ggf. stammt ihre Information ja aus der Anfangszeit der IT-Sicherheitsrichtline wo die meisten Sachbearbeiter der Landes-KVen noch nicht wussten, was die KBV da wieder verzapft hat.

Alleine schon aus der Definiton heraus: der Übergang zu anderen Netzen, insbesondere das Internet bedeutet, dass die Richtline definiert, dass die Firewall in der Lage sein muss, drei Netze trennen zu können. Praxisnetz, ein anderes Netz, Internet. Schon klar das wahrscheinlich 99.9% der Praxen nur das Praxisnetz haben und nicht bspw. ein zweites Netz für medizinische Großgeräte wie in der Anlage der IT-Sicherheitsrichtline definiert verwenden, aber damit wird inherent schon aus der Definition klar, dass eine Fritzbox im Sinne der Definition selbst keine Firewall sein kann. Weil die Fritzbox eben in genau nur zwei Netzen stehen kann. WAN-seitig im Internet und mit einer privatem IP auf der LAN-Seite.

@Zugriff von Außen nach Innen / Innen nach Außen:
Genau das ist ja eben genau der Unterschied "simpler Router" und "echte Firewall". Es geht um den Zugriff von Innen nach Außen und das entsprechende Regelwerk. In der Fritzbox können Sie genau drei Sachen einstellen. PC hat vollen Internetzugang, PC hat limitierten kindergerechten Zugang (=Filter von Webseiten die auf der Bundesprüfstelle für jugendgefährdende Inhalte stehen) oder der PC kann gar nicht ins Internet. Das ist schon ein gehöriger Unterschied zu einer Firewall, in der ich mir passende Regeln gefiltert nach LAN (IP, MAC), WAN (IP, FQDN) und Dienst (sftp,http/s etc.) bauen kann und bspw. diverseste vorgefertigte Webseiten-Kategorien habe (Social Media, Onlineshopping, unproductive browsing statt einfach nur die Fritzbox'sche Sex & Gewalt Filterung. Klar kann man das auch total verbocken und das von Ihnen genannte LAN -any host any Dienst any content- WAN bauen, aber nur weil manche Admins unfähig sind eine Firewall entsprechend sauber zu konfigurieren, kann ich da ja nicht draus ableiten, dass es Sinnfrei wäre. Ich kann auch keine Herz-OP machen, denke aber nicht das Herzchirurgen deshalb keine Daseinsberechtigung haben. Und warum ist diese Granulare Definiton was von Innen nach Außen darf so wichtig? Weil >99% der Angriffe von Innen beginnen durch phishing mails, verseuchter Software (SolarWinds hack einfach mal googlen) etc. und nicht von Außen irgendwie Schwachstellen des Routers genutzt werden wie bei Telekom-Routern in 2016 https://www.zdnet.de/88283775/telekom-h ... -anwender/
@Nach Hause telefonieren:
Die mir bekannten Hersteller können bei Definition von WAN für bspw. http/s auch Ausschlüsse nach Regionen machen. Ich glaube kaum eine Praxis ruft Webseiten aus bspw. Russland / Asien auf. Rollt mal wieder eine Welle von Botnetzen durch die Welt, einfach mal die Ziel-IPs bestimmter Regionen sperren und Ruhe haben. Da kann der Bot auf dem PraxisPC noch so sehr versuchen, die Steuerserver in Russland und Co. zu erreichen. Zumal manche Anbieter (bspw. Sophos) sowohl Firewall als auch Endpoint (klassisch Virenscanner genannt) anbieten und beide mit einander Informationen austauschen können. Meldet der Virenscanner einen Infekt, erkennt das die Firewall und verhindert sämtlichen Datenverkehr des Endpunktes durch die Firewall. Um ehrlich zu sein, ein verschlüsselter Rechner ist 10x weniger ein Problem als ein Abfließen von Daten nach Außen.

Zusammenfassend: Ich bin bei Ihnen, dass man Firewalls auch einfach nur zum Geld machen in die Praxis stellen kann und den größten Murks konfigurieren kann, damit man möglichst wenig Kundenanrufe hat mal diese oder jene Webseite freizugeben oder mal Hand anlegen muss beim Laborwechsel und damit einhergehend eine neue Laborabrufsoftware per FTP raus möchte. IT-Security bedeutet für den Endwender eben auch eine gewisse Abkehr von der "alles geht einfach so" Mentalität. Aber daraus schlussfolgernd, dass Firewalls nichts bringen weil sie eh aus Unwissenheit/Bequemlichkeit falsch konfiguriert werden, trifft die Sache auch nicht. Warum ich persönlich eher die CGM meiden würde, wäre das Problem der Monokultur. Wenn 50% der Arztpraxen auf einmal still stehen, weil zentral irgendwas falsch konfiguriert wurde, ist das einfach doof. Dann lieber 15 verschiedene Anbieter von lokalen Betreuern. Das legt nicht gleich halb Deutschland lahm, wenn was nicht stimmt. Diese Schwachstelle der Zentralisierung auf wenige Anbieter/Lösungen wurde ja nun in der Coronakrise hinlänglich belegt. Diese neumodische Resilienz wird eben in der Natur auch dadurch erreicht, dass es eine Artenvielfalt gibt und nicht nur Unikums.

[bofh]

In obigem Infoblatt wird explizit auf die Möglichkeit der Reihen-Installation des Konnektors hingewiesen. Dies (und gegebenenfalls SIS dazugebucht) sollte also konform sein ohne dass extra eine Firewall gekauft und gewartet werden muss.

In Anlage 5 Nr. 4 in Verbindung mit Anlage 1 Nr. 32 wird gefordert, die Praxis bzw. das Praxisnetz auf Netzebene zu schützen. Die Kassenärztliche Bundesvereinigung empfiehlt dies mittels einer korrekt installierten, konfigurierten und gewarteten Hardware-Firewall oder mittels Konnektor im Reihenbetrieb umzusetzen.

[SG83]

Das ist absolut korrekt. SIS bedeutet nichts anderes, als das am Endpunkt (da wo der VPN-Tunnel des Konnektors endet) im Rechenzentrum der WAN-Verkehr durch eine Firewall ins www geleitet wird. Technisch also ein outsorcing der Firewall. Wie weit man die dann noch administrieren kann (bspw. FTPs für Laborabruf etc.) sollte man vorher mit dem VPN/SIS-Anbieter des Konnektors klären.

[Timebomb]

Ganz nebenbei ist der Begriff "Firewall" nicht bezogen auf ein Gerät oder eine Software. Eine Firewall ist und muss immer ein Konzept sein aus mehreren Bausteinen sein, wobei die "Schwachstelle" Mensch gerne übersehen wird. Sensibilisiertes Personal ist hinter einer Fritzbox eventuell besser geschützt als unbedarftes "oh, ein Geschenk - ich klick mal" Personal hinter einer professionellen Lösung.