Serieller Anschluss - Linogate GmbH

Serieller Anschluss (Reihenschaltung)

Der Internet-Zugang erfolgt über den Secure-Internet-Service (SIS) des TI-Konnektors
Eine individuelle Konfiguration für jede angeschlossene Praxis ist beim SIS nicht vorgesehen
Daher kann die Sicherheitskonfiguration des SIS nur den kleinsten gemeinsamen Nenner abbilden
Die Prüfung eingehender Datenströme erfolgt "minimalinvasiv": Kein Virenfund in Archiven oder verschlüsselten Verbindungen
Tests im Oktober 2019
Da die individuellen Anforderungen der Praxen unbekannt sind, besteht über den SIS uneingeschränkter Zugriff auf das Internet
Tests im Oktober 2019
Dies steht im Widerspruch zum IT-Grundschutz NET.3.2 Firewall des Bundesamts für Sicherheit in der Informationstechnik (BSI)
Zitat aus "NET.3.2 Firewall" mit Hervorhebung:
"Es MUSS sichergestellt sein, dass von außen keine unbefugten Verbindungen in das geschützte Netz aufgebaut werden können. Ebenso DÜRFEN KEINE unbefugten Verbindungen aus dem geschützten Netz heraus aufgebaut werden."
Dem Abfluss von Daten steht nichts im Wege

Ergänzend zum SIS können eingehende Datenströme aus dem Internet durch diverse Sicherheitsmodule tiefergehend geprüft werden
Die Kommunikation in Richtung Internet ist bei ordnungsgemäßer Konfiguration auf das Notwendigste beschränkt
Medizinische Geräte sind durch eine Firewall von den Praxis-PCs getrennt
- Bridge- oder Routing-Modus
- Eigener Switch für jedes Netzwerksegement erforderlich
Die Kommunikation zwischen den beiden Segmenten des Praxis-Netzes ist ebenfalls auf das Notwendigste beschränkt

Über den SIS ist es nicht möglich, Verbindungen von außen in die Praxis aufzubauen
Normalerweise kann ein Fernzugriff daher nur über einen externen Dienstleister erfolgen, bei dem sich eine ausgehende Verbindung aus der Praxis mit der Verbindung für den Fernzugriff trifft
z.B. TeamViewer
Die Nutzung eines externen Dienstleisters ist zumindest Vertrauenssache, könnte aber auch datenschutzrechtlich problematisch sein
Die hier skizzierte Anschlussform des PRAXISWÄCHTERs erlaubt es, ausgehende Verbindungen über den SIS zu leiten und ermöglicht zugleich direkten Fernzugriff
z.B. für Fernzugriff vom Heimarbeitsplatz aus oder für Fernwartung
Diese Anschlussvariant erfordert eine PRAXISWÄCHTER Hardware mit mind. 4 Netzwerkkarten oder einen entsprechend partitionierten VLAN-Switch

Wie Variante 1, aber ohne die Notwendigkeit einer 4. Netzwerkkarte bzw. eines VLAN-Switches
Alle an das Geräte-Netzwerk angeschlossenen Systeme haben hier jedoch uneingeschränkten Internetzugriff ohne Schutz durch den PRAXISWÄCHTER

Ohne SIS haben die internen Systeme keinen Zugriff auf das Internet und können auch nicht aus dem Internet angesprochen werden
Der serielle Anschluss ohne SIS kann daher als sicher betrachtet werden
Ein (ungeschützter) Internetzugriff kann mit Hilfe eines separaten PCs erfolgen, der direkt am Router angeschlossen wird (Netztrennung)
Vorsicht: Haben interne Systeme doch Zugriff auf das Internet oder erfolgen Zugriffe von außen z.B. für Fernwartung, wird der TI-Konnektor offenbar umgangen und es handelt sich sehr wahrscheinlich nicht mehr um einen sicheren Anschluss
Weder der separate Internet-PC noch der Router selbst dürfen direkt mit dem internen Netzwerk verbunden sein

Der PRAXISWÄCHTER ermöglicht sowohl Internet- als auch Fernzugriff
Eingehende Datenströme aus dem Internet werden durch diverse Sicherheitsmodule geprüft
Die Kommunikation in Richtung Internet ist bei ordnungsgemäßer Konfiguration auf das Notwendigste beschränkt
Ein direkter Fernzugriff ist möglich
z.B. für Fernzugriff vom Heimarbeitsplatz aus oder für Fernwartung