Praxis Software Hersteller verlangt UTM-Firewall

[Rockhound]

Hallo.

Meine Frau hat in unserem Haus ihre Praxis (Anliegerwohnung). Das Netzwerk im gesamten Haus landet auf einem UniFi Switch (ähnlich USW-24-POE). Daran hing schon immer ein Gerät (TI-Konnektor Bild) welches Grundvoraussetzung war für den Betrieb der Praxis-Software "Smarty". Ebenso hängt an dem Switch auch ihr Windows-PC. Das läuft bisher auch noch super. Ins Internet geht es dann mit der FritzBox (DECT ist da ein wichtiges Feature, wegen den Telefonen).

Ich selbst habe mich nie damit beschäftigt. Don't change a running system.

Nun hat der Hersteller der Software geschrieben das der TI-Konnektor ins Rechenzentrum (wahrscheinlich virtualisiert) wandert und dieser daheim nicht mehr gebraucht wird. Video dazu. Mit der Firma TechPrax (Homepage) verlangen sie nun aber das man eine Firewall daheim hat mit UTM. Das würde ca. 60€/Monat kosten.

Hab versucht mich etwas reinzulesen bin aber noch nicht so wirklich schlau draus geworden. Aber stimmt es das man bei einer UTM-Firewall grundsätzlich immer ein Abo eingeht? Daher handelt es sich doch um eine Software/Lizenz die auf einem speziellen Router läuft wie z.B. Zyxel USG FLEX 50H. Und dazu dann jedes Jahr so eine Lizenz?

Gibt es was vergleichbares von Ubiquiti oder eine Lösung die den Ansprüchen gerecht wird, aber nicht so "hohe" Kosten verursacht? Und ist es nicht so das der EINE Praxis-PC meiner Frau sich via VPN verbinden wird und dann eh eine Direkt-Verbindung zum Rechenzentrum haben wird...? Da ist doch die Firewall nutzlos?

Ich würde mich freuen wenn Ihr mich etwas erleuchten könntet.

Vielen lieben Dank Euch und ein schönes Wochenende.

Gruß

 

[KillerCow]

Stecken in dem Thema nicht drin, aber hast du bei denen mal gezielt angefragt, ob man das ganze Geraffel auch für einen ein-PC-Arbeitsplatz braucht und was genau die Anforderung ist, weshalb es eine UTM sein muss.

Ergänzung (30. Mai 2025)

Ok, also eine Firewall ist wohl obligatorisch. Schau im Zweifel mal in die passende Richtlinie, ob da eine UTM-Firewall explizit genannt wird oder nicht.

 

[VDC]

Ich würde mich freuen wenn Ihr mich etwas erleuchten könntet.

Ist doch ganz normal und auch richtig, dass der ganze Privatnetzwerkquatsch endlich mal rausfliegt / sich davon abgrenzt.

Mit der Firma TechPrax (Homepage) verlangen sie nun aber das man eine Firewall daheim hat mit UTM. Das würde ca. 60€/Monat kosten.

Kostet doch effektiv nur 10€ pro Monat, wenn es lt Video eine Pauschalte von 250€ gibt, aber das Gatewaydinge nur 200€ pro Monat kostet.

Aber stimmt es das man bei einer UTM-Firewall grundsätzlich immer ein Abo eingeht?

Bei den meisten schon, die Frage ist, wo hast du die Anforderung denn her? Bzw. wie lautet die konkrete Anforderung?

 

[Poink]

Praxis....vertragsärztliche Praxis?
Dann Refinanzierung der TI-Kosten über die Landes-KV. Da sollte sowas mit berücksichtigt sein.

Zum Thema Konnektor: https://www.konnektortausch.de/ti-as-a-service-vorteile-rechenzentrum-konnektor/

 

[JumpingCat]

Ist die Praxis schon technisch abgetrennt in einem VLAN, etc?

UTM ist nur ein Begriff für IDS, etc. Das bekommst du bei Opensense/Pfsense/Unify Cloud Gateway Ultra mitgeliefert und sogar kostenlos.

Mit der Firma TechPrax (Homepage) verlangen sie nun aber das man eine Firewall daheim hat mit UTM. Das würde ca. 60€/Monat kosten.

Das sieht aus wie ein N100 von Intel mit einer PfSense drauf. Du zahlst da vor allem für die Zertifizierung.


Wie @KillerCow schreibt: Was genau wird verlangt? Wird explizit Hardware genannt oder nur die Features.

 

[Lawnmower]

Bei diesen Lizenzen muss man allerdings dann auf drauf hinweisen dass die Services dann auf eher günstigen Firewalls teilweise zu sehr starken Geschwindigkeitseinbrüchen führen können wenn die CPU dann noch der ganze Traffic überprüfen tut.
Wenn man sich sowas beschafft, muss man regelmässig bezahlen - das ist bei allen Herstellern so; bei einigen Firewall Modellen kommen aber teilweise bereits Abos für 1 - x Jahre mit beim Kauf und man muss sich da erstmal nicht kümmern.
Denke auch relevant ist erstmal zu klären was die genauen Anforderungen sind. Und dann wäre es u.U. sinnvoll wenn jemand mit Fachwissen das auch korrekt einrichtet den eine Firewall beschaffen kann jeder aber die richtig konfigurieren ist ne ganz andere Liga.

 

[norKoeri]

verlangen sie nun aber

Sicher? Dort steht: „Warum eine Hardware-Firewall im Parallelbetrieb […]? […] Alternativ ist d[er] Reihen[betrieb] des [Ti-]Konnektors möglich.“ Die KBV erklärt beide Begriffe … (unten über Plus jeweils zum Aufklappen).

FritzBox (DECT ist da ein wichtiges Feature, wegen den Telefonen)

Nur um dem schon vorzugreifen: Du kannst eine FRITZ!Box auch im Modus IP-Client betreiben, also hinter einem anderen Router bzw. Firewall. So klappt dann auch die Telefonie, wenn Du die FRITZ!Box so einstellst, dass sie dauerhaft die Verbindung aufrechterhalten soll. Du musst nur Punkt 3 in dieser Anleitung befolgen …

Video

Das ist leider inhaltlich nutzlos, braucht sich echt niemand antun.

 

[DevD2016]

Ich habe bei einer Praxis die Smarty am laufen hat, keine UTM (halte ich auch nicht so wahnsinnig viel von. Ja kann man machen...) davor. Nur die FritzBox. (1 PC, 2 Drucker)
Den Router den die hinstellen, tunnelt den Praxis Rechner dahinter zum Rechenzentrum.
Und ja, alles was der PC erreichen soll (Drucker), muss hinter den VPN Router.

Also einfach das neue Teil zuschicken lassen und mit der Hotline einrichten.

 

[Piktogramm]

Nun hat der Hersteller der Software geschrieben das der TI-Konnektor ins Rechenzentrum (wahrscheinlich virtualisiert) wandert und dieser daheim nicht mehr gebraucht wird. Video dazu. Mit der Firma TechPrax (Homepage) verlangen sie nun aber das man eine Firewall daheim hat mit UTM. Das würde ca. 60€/Monat kosten.

Ähh nur zur Klarstellung. Es wird das Ti-Gateway als Komponente der Telematikinfrastruktur 2.0 angeboten. Das ist etwas Anderes als Konnektoren im Rechenzentrum. So oder so werden alle Lösungen mit Konnektoren in absehbarer Zeit abgeschafft (schon allein weil technisch unbegründet die Zertifikate auf den Boxen nicht erneuert werden).

Nun hat der Hersteller der Software geschrieben das der TI-Konnektor ins Rechenzentrum (wahrscheinlich virtualisiert) wandert und dieser daheim nicht mehr gebraucht wird. Video dazu. Mit der Firma TechPrax (Homepage) verlangen sie nun aber das man eine Firewall daheim hat mit UTM. Das würde ca. 60€/Monat kosten.

Die Firma ist schonmal so kompetent, dass sie es nicht gebacken bekommt das Dokument vom BSI zu verlinken[1] oder direkt bei sich selber einzubinden. Das schafft Vertrauen . Ich hab den Spaß mal in den Anhang gepackt (ich rate dringend selber zu suchen, ob es da nix aktuelleres gibt!).
Wenn man das Dokument mal durchliest, sind die Anforderungen reichlich unspektakulär:

Darüber hinaus wird nicht auf Produkte wie sogenannte Next Generation Firewalls (NGFW) oder
Unified Threat Management (UTM)-Firewalls eingegangen, die zusätzlich funktionale Erweiterungen
enthalten, z. B. VPN, Systeme zur Intrusion Detection und Intrusion Prevention (IDS/IPS),
Virenscanner oder Spam-Filter. Sicherheitsaspekte dieser funktionalen Erweiterungen sind nicht
Gegenstand des vorliegenden Bausteins, sondern werden z. B. in den Bausteinen NET.3.3 VPN und
OPS1.1.4 Schutz vor Schadprogrammen behandelt.

Auch sind alle weiteren Anforderungen so geschrieben, dass der "MUSS"-Teil auch eine Fritte hinbekommt, und der Soll-Teil nur bedingt erfüllt werden kann. An einigen Teilen würde ich sogar explizit dagegen argumentieren. Vor allem bie diesem Punkt, den der Hersteller des Minirechners anführt:

Verschlüsselte Daten auf Schadcode prüfen (Verweis BSI NET.3.2.A21)

Das ist "nur" ein Soll. Davon kann begründet abgewichen werden. Meine Begründung wäre, dass es absolut hirnrissig wäre, weil man an der Stelle sich einen eigenes MitM[2] baut. Die Chance, dass man sich so etwas baut, was das Schutzniveau (deutlich) senkt sind enorm. Ohne Fachkräfte, die sowas dauerhaft, kompetent[3] im Blick haben ist das Irrsinn.

Aber Achtung: Es gibt da mehrere Dinge die zu beachten sind. Die Gematik hat für TI und alle Teilnehmende Anforderungen, es gibt Gesetze zur IT Sicherheit und zu Medizinprodukten/-geräten auf Ebene Deutschlands/EU. Ich habe jetzt nur mit einem halben Auge darauf geschaut was der Hersteller der Box und das BSI schreibt!

Unstritt ist, dass man so oder so mal aufschreiben sollte, wo/wie welche Daten liegen. Die diese abrufbar sind, wie sie geschützt sind, wie Backups erfolgen (inkl Zugriff und Schutz dieser) und wie Fälle von Ausfall/Verlust gehandhabt werden. Wenn man das einmal für die DSGVO gemacht hat, ist über die Hälfte vom Sicherheitskonzept auchschon dokumentiert. Dabei dann wirklich mal die Firewallregeln vom Router und Betriebssystem anzupacken ist zu empfehlen.[4]

[1]Zugegeben, das BSI ist auch derart Kompetent, dass deren URIs nahezu unbrauchbar sind.
[2]https://en.wikipedia.org/wiki/Man-in-the-middle_attack
[3]Die ganzen IT-Bastelbuden im Gesundheitsbereich sind damit explizit ausgeschlossen.
[4]Stell dich darauf ein, dass eben jene Buden die dir irgendwelche Boxen verkaufen/vermitteln wollen auch jene Buden sind, die Grundlegendes zum Schutzniveau, Datenhaltung ihrer Anwendungen nicht ansatzweise dokumentieren.

 

[Kristatos]

Habe ich für die Praxis einer Freundin auch schon überlegt (Sophos und Zyxel). Hauptgrund ist die Möglichkeit einen Content-Filter für Emails zu aktivieren und bestimmte Anhänge automatisch zu blockieren. Aber die Konfiguration ist etwas für Leute, die sich sehr gut damit auskennen, bei den vielen Optionen, sonst kann das ganz schnell ins Gegenteil gehen Leider braucht man bei allen Modellen, die ich gefunden habe diese Jahres-Lizenzen.

Für die Verbindung zur Hersteller-Cloud braucht es eigentlich nur eine sichere VPN-Leitung, da extra eine UTM anzuschaffen wäre übertrieben. Das ist eher etwas für den Schutz des Praxis-Netzwerkes an sich, gerade wenn alles lokal läuft und diverse Rechner und Server daran hängen.

Ich sehe es sehr skeptisch, dass die Praxissoftware auf Cloud umgestellt werden soll. Zum einen wegen der Verfügbarkeit und zum anderen weil brisante medizinische Daten extern abgespeichert werden. Für die Abrechnung ist das eine Sache, aber wenn Therapieberichte und Verläufe mit der Software erstellt werden, ist eine externe Speicherung etwas ganz anderes. Insbesonders im psychiatrischen Bereich. Da können die Hersteller noch so viele Sicherheitszertifikate präsentieren, wenn die Cloud gehackt wird ist es zu spät. Kommt jedes vor bei Landkreisen, Krankenhäusern oder sogar Unis.

 

[Rockhound]

Danke für Eure Ratschläge. Aber nur kurz (bin gerade unterwegs und schreibe vom Handy)

1. Die Software ist weiterhin auf dem lokalen PC
2. Ich vermute das nur die Übertragung der Daten zur KV dann via VPN über das Rechenzentrum gehen sollen in dem dann der TI-Konnektor virtualisiert steht.

Den einen Praxis PC über ein extra VLAN laufen zu lassen kann ich schon im Switch mal einstellen. War bisher nur zu faul. Der eine Drucker der daneben steht möchte ich auch nutzen ab und dann von meinen PC. Und aus dem FF wusste ich jetzt nicht wie ich das dann korrekt einstelle.

Ich werde mal mit den Leuten von Smarty telefonieren. Wenn ich zu einem Ergebnis komme, werde ich hier davon berichten.

 

[Piktogramm]

TI-Konnektor

Wenn es um das Ti-Gateway geht, dann gibt es keine fucking Konnektoren mehr! Lies dich bitte ins Thema ein, wenn ihr eure IT in der Praxis selbst macht.

Und ja, viele Softwareklitschen und IT-Häuser bekommen das sprachlich nicht getrennt.