Sehen KVSA und KVN anders und nicht umsonst sind alle Eigeneinrichtungen dieser KVen auch per Firewall vom Internet getrennt. Kann auch nicht glauben, dass die KBV dies so kommuniziert, siehe bspw. dieses Infoblatt der KVB unter Punkt 14
https://www.google.com/url?sa=t&rct=j&q ... M5O6o9D--K ggf. stammt ihre Information ja aus der Anfangszeit der IT-Sicherheitsrichtline wo die meisten Sachbearbeiter der Landes-KVen noch nicht wussten, was die KBV da wieder verzapft hat.
Alleine schon aus der Definiton heraus: der Übergang zu
anderen Netz
en,
insbesondere das Internet bedeutet, dass die Richtline definiert, dass die Firewall in der Lage sein muss, drei Netze trennen zu können. Praxisnetz, ein anderes Netz, Internet. Schon klar das wahrscheinlich 99.9% der Praxen nur das Praxisnetz haben und nicht bspw. ein zweites Netz für medizinische Großgeräte wie in der Anlage der IT-Sicherheitsrichtline definiert verwenden, aber damit wird inherent schon aus der Definition klar, dass eine Fritzbox im Sinne der Definition selbst keine Firewall sein kann. Weil die Fritzbox eben in genau nur zwei Netzen stehen kann. WAN-seitig im Internet und mit einer privatem IP auf der LAN-Seite.
@Zugriff von Außen nach Innen / Innen nach Außen:
Genau das ist ja eben genau der Unterschied "simpler Router" und "echte Firewall". Es geht um den Zugriff von Innen nach Außen und das entsprechende Regelwerk. In der Fritzbox können Sie genau drei Sachen einstellen. PC hat vollen Internetzugang, PC hat limitierten kindergerechten Zugang (=Filter von Webseiten die auf der Bundesprüfstelle für jugendgefährdende Inhalte stehen) oder der PC kann gar nicht ins Internet. Das ist schon ein gehöriger Unterschied zu einer Firewall, in der ich mir passende Regeln gefiltert nach LAN (IP, MAC), WAN (IP, FQDN) und Dienst (sftp,http/s etc.) bauen kann und bspw. diverseste vorgefertigte Webseiten-Kategorien habe (Social Media, Onlineshopping, unproductive browsing statt einfach nur die Fritzbox'sche Sex & Gewalt Filterung. Klar kann man das auch total verbocken und das von Ihnen genannte LAN -any host any Dienst any content- WAN bauen, aber nur weil manche Admins unfähig sind eine Firewall entsprechend sauber zu konfigurieren, kann ich da ja nicht draus ableiten, dass es Sinnfrei wäre. Ich kann auch keine Herz-OP machen, denke aber nicht das Herzchirurgen deshalb keine Daseinsberechtigung haben. Und warum ist diese Granulare Definiton was von Innen nach Außen darf so wichtig? Weil >99% der Angriffe von Innen beginnen durch phishing mails, verseuchter Software (SolarWinds hack einfach mal googlen) etc. und nicht von Außen irgendwie Schwachstellen des Routers genutzt werden wie bei Telekom-Routern in 2016
https://www.zdnet.de/88283775/telekom-h ... -anwender/
@Nach Hause telefonieren:
Die mir bekannten Hersteller können bei Definition von WAN für bspw. http/s auch Ausschlüsse nach Regionen machen. Ich glaube kaum eine Praxis ruft Webseiten aus bspw. Russland / Asien auf. Rollt mal wieder eine Welle von Botnetzen durch die Welt, einfach mal die Ziel-IPs bestimmter Regionen sperren und Ruhe haben. Da kann der Bot auf dem PraxisPC noch so sehr versuchen, die Steuerserver in Russland und Co. zu erreichen. Zumal manche Anbieter (bspw. Sophos) sowohl Firewall als auch Endpoint (klassisch Virenscanner genannt) anbieten und beide mit einander Informationen austauschen können. Meldet der Virenscanner einen Infekt, erkennt das die Firewall und verhindert sämtlichen Datenverkehr des Endpunktes durch die Firewall. Um ehrlich zu sein, ein verschlüsselter Rechner ist 10x weniger ein Problem als ein Abfließen von Daten nach Außen.
Zusammenfassend: Ich bin bei Ihnen, dass man Firewalls auch einfach nur zum Geld machen in die Praxis stellen kann und den größten Murks konfigurieren kann, damit man möglichst wenig Kundenanrufe hat mal diese oder jene Webseite freizugeben oder mal Hand anlegen muss beim Laborwechsel und damit einhergehend eine neue Laborabrufsoftware per FTP raus möchte. IT-Security bedeutet für den Endwender eben auch eine gewisse Abkehr von der "alles geht einfach so" Mentalität. Aber daraus schlussfolgernd, dass Firewalls nichts bringen weil sie eh aus Unwissenheit/Bequemlichkeit falsch konfiguriert werden, trifft die Sache auch nicht. Warum ich persönlich eher die CGM meiden würde, wäre das Problem der Monokultur. Wenn 50% der Arztpraxen auf einmal still stehen, weil zentral irgendwas falsch konfiguriert wurde, ist das einfach doof. Dann lieber 15 verschiedene Anbieter von lokalen Betreuern. Das legt nicht gleich halb Deutschland lahm, wenn was nicht stimmt. Diese Schwachstelle der Zentralisierung auf wenige Anbieter/Lösungen wurde ja nun in der Coronakrise hinlänglich belegt. Diese neumodische Resilienz wird eben in der Natur auch dadurch erreicht, dass es eine Artenvielfalt gibt und nicht nur Unikums.