Praxisgemeinschaft Netzwerk segmentieren

[Holzkuh]

Hallo,

wir würden gerne für eine anstehende Praxisgemeinschaft (4 Therapeut*innen in einer Praxis) den Internetzugang einrichten. Dabei würden wir gerne das richtige Level der Traffic Isolierung treffen. Es herrscht kein Misstrauen zwischen den Therapeuten, aber der Traffic soll bei Nutzung desselben Internetzugang so weit es geht getrennt werden.

Ein paar Eckdaten:

• Es wird nur WLAN Zugang (kein Ethernet) für alle Beteiligten benötigt
• Jede-/r Therapeut*in sollte die jeweiligen Endgeräte über eine separate SSID verbinden (?) --> 4 SSIDs benötigt
• Es handelt sich um eine überschaubare Praxisgröße, wo es wahrscheinlich möglich ist über einen zentralen Access Point eine befriedigende Netzabdeckung in allen Räumen zu erreichen
• Es ist nicht geplant ein zusätzliches "Gäste"-Netzwerk einzurichten

Jetzt erhoffen wir uns Unterstützung bei der Frage welches Level der Isolierung angebracht wäre und wie es am Besten umzusetzen ist. Eine Variante wäre an den Router einen VLAN fähigen Switch zu hängen und daran dann einen Multi SSID Access Point zu klemmen. Da aber gar kein Ethernet Anschluss benötigt wird, fragen wir uns ob es nicht auch möglich wäre den Switch und den Access Point auszulassen (oder zumindest den Switch auszulassen, falls es keine Multi SSID fähigen Router gibt).

Wir sind auch für andere Optionen offen und freuen uns auch über Tipps bzgl. Hersteller.

 

[X23^Piracy]

Switch der VLAN kann und die richtige Konfiguration dessen. Wenn die Party ausschließlich per WLAN steigt dann was potentes das mehrere WLAN Netze isoliert voneinander betreibt, vielleicht noch ein gemeinsames Gastnetz mit client isolation.

Wo keine Buchse für ein Kabel ist kann auch keiner was falsches einstecken.

 

[Flossen_Gaming]

Für sowas wäre ein entsprechendes Systemhaus vielleicht der bessere Ansprechpartner.

 

[Piktogramm]

?
Entweder nutzen im medizinischem Bereich sowieso alle verschlüsselte Verbindungen zwischen relevanten Endpunkten nach Stand der Technik, dann macht eine weitere logische Trennung keinen großen Sinn[1]. Alternativ besteht keine brauchbare Verschlüsselung, was eine DSGVO Verletzung darstellt und da hilft keine logische Trennung.

[1]Von dem Standpunkt würde ich abrücken, wenn die Praxisgemeinschaft mehrere TI-Konnektoren im Einsatz hat. Weniger weil es technisch sinnvoll ist, als dass das ganze TI-Zeug gruslig gammlig ist.

 

[redjack1000]

Schau mal bei Unifi oder TP-Link Omada nach.

CU
redjack

 

[Sephe]

Ich empfehle Ubiquiti UniFi.

@Holzkuh : Wo sitzt ihr? Falls es um einen Standort Münsterland/Niederrhein/Ruhrgebiet/Düsseldorf geht: Gerne auch per PN.

 

[Raijin]

wir würden gerne für eine anstehende Praxisgemeinschaft (4 Therapeut*innen in einer Praxis) den Internetzugang einrichten.

Wer ist "wir"? Ein IT-Dienstleister? Mitarbeiter der Praxis? Bekannte der Therapeuten? Netzwerkprofis? Blutige IT-Anfänger?

Eine medizinische Praxis schließt in der Regel auch Patientendaten mit ein. Das sollte man unbedingt mit einem professionellen IT-Dienstleister machen und nicht in Eigenregie.. Gelbe Seiten in die Hand nehmen und nach "Systemhaus" suchen.

Eine Variante wäre an den Router einen VLAN fähigen Switch zu hängen und daran dann einen Multi SSID Access Point zu klemmen.

Und genau hier geht's schon los. Ein VLAN-Switch - zumindest ein L2+ Modell - kann sich virtuell lediglich in mehrere Teile zerschneiden, quasi ein 24-Port-Switch, der zu drei 8-Port-Switches wird. Damit wird noch keinerlei Routing betrieben, das sind einfach nur drei Switches nebeneinander, nicht mehr und nicht weniger. Da kannst du zwar einen AP dranhängen, an jeden Teilswitch einen oder per Trunk-Port auch einen VLAN-AP, aber auch damit wird noch nix geroutet. Das passiert nämlich erst im Router und der muss dann auch für jedes dieser Segmente eine eigene Schnittstelle bereitstellen - etwas, das zB Fritzboxxen und dergleichen nicht können. Es würde also ein fortgeschrittener Router benötigt oder ein L3-Switch. Könnt "ihr" sowas konfigurieren?

 

[klapproth]

https://geizhals.de/ubiquiti-unifi-7-pro-u7-pro-a3096524.html

und dazu wie erwähnt alles auf VLANs aufteilen.

Aber wenn schon die Frage gestellt wird: Was spricht gegen ein Systemhaus? Das alles braucht auch Betreuung, sauberen Setup ,etc. Was ist im Fehlerfall oder Ausfall?

 

[hans_meiser]

Das selber zu machen lädt nichts als Probleme ein. Falsche Ecke zum sparen. Profis ran.

 

[Piktogramm]

Eine medizinische Praxis schließt in der Regel auch Patientendaten mit ein. Das sollte man unbedingt mit einem professionellen IT-Dienstleister machen und nicht in Eigenregie.. Gelbe Seiten in die Hand nehmen und nach "Systemhaus" suchen.

Irgendwann erklärt mir mal jemand den Glauben, dass die Systemhäuser im Medizinbereich irgendwas taugen würden. Also klar, etwas besser als vom kompletten Laien sind die, aber darüber hinaus wird es fix dünn..

 

[truetone]

Das selber zu machen lädt nichts als Probleme ein. Falsche Ecke zum sparen. Profis ran.

Profis für WLAN? 😂 alles klar

 

[h00bi]

Eine Variante wäre an den Router einen VLAN fähigen Switch zu hängen und daran dann einen Multi SSID Access Point zu klemmen.

Welcher Router kommt denn zum Einsatz?

Ein aktueller Unifi AP kann das eigentlich abdecken, ein VLAN Switch sollte nicht nötig sein.
Unifi kann selbst VLAN für jede SSID.
Vermutlich ist dafür dann noch ein Unifi Controller nötig.

 

[Samez]

Irgendwann erklärt mir mal jemand den Glauben, dass die Systemhäuser im Medizinbereich irgendwas taugen würden. Also klar, etwas besser als vom kompletten Laien sind die, aber darüber hinaus wird es fix dünn..

Naja ist ja auch ne Haftungsfrage. Ich würde da im Zweifelsfall lieber eine Firma in Regress nehmen als eine Privatperson. Ob die das professionell machen, müssen die dann ggf verantworten.

 

[hans_meiser]

Profis für WLAN? 😂 alles klar

Wer hier fragt, wie man seine Arztpraxis konfiguriert, dann ja. Es kommen ja bestimmt auch noch andere Dinge ans Netzwerk in so 'ner Praxis. Und man sollte halt auch alles vernünftig absichern. Wer haftet nacher wenn Patientendaten leaken?

Naja, oder das halt hier erfragen und hinbasteln, kann jeder wie er will.

 

[eigs]

Bei MikroTik bekommt man WLAN Router mit Multi SSID.
Allerdings muss man sich damit beim Einrichten auch auskennen.

 

[Piktogramm]

Naja ist ja auch ne Haftungsfrage. Ich würde da im Zweifelsfall lieber eine Firma in Regress nehmen als eine Privatperson. Ob die das professionell machen, müssen die dann ggf verantworten.

Wer haftet nacher wenn Patientendaten leaken?

Realitätsabgleich:
TI/Gematik sowies DSGVO sehen immer den Arzt[1] in Verantwortung. Anbieter von TI-Komponenten versuchen in Verträgen Haftungsausschlüsse bis zum Abwinken unterzubringen und die Systemhäuser sind selten besser. Gleichzeitig liefern viele Systemhäuser keine Dokumentation, die den Anforderungen erfüllt die für Praxisdokumentation noch Datenschutzfolgeabschätzung notwendig sind. Als Arzt/Therapeut kann man entsprechend versuchen, seine "Partner" in Regress zu nehmen, läuft aber Gefahr seine eigene Lage zu verschlimmern bzw. nur kleinere Anteile der Schadsumme zu erstreiten.
Das ist alles ein Trauerspiel ohne Ende.

[1]Ärzte, Therapeuten, Geschäftsführung, jedenfalls immer die geschäftsführenden Verantwortlichen der entsprechenden Einrichtungen.

 

[hans_meiser]

@Piktogramm Danke für die Aufklärung.

 

[nutrix]

Profis für WLAN? 😂 alles klar

Was ist daran so witzig? Natürlich gibts das, es ist gar nicht so trivial, wie man denkt.

 

[areiland]

Irgendwann erklärt mir mal jemand den Glauben, dass die Systemhäuser im Medizinbereich irgendwas taugen würden

Würdest Du sowas eher dem Hobbyadmin anvertrauen - oder doch besser jemandem, der sich damit in allen Belangen auskennen müsste?

 

[TorenAltair]

Für medizinische Betriebe muss die Infrastruktur gesetzlichen Vorgaben folgen. Daher auch hier: Profis ranlassen.