Bin gerade im Rahmen des Zweitjob bei einem Arzt im Netzwerk um eine neue Maschine final einzubinden.
Wundere mich über eine zweite IP-Adresse auf dem Interface. Class B. Gucke auf dem Server, liegt da eine Batch Datei.

Was soll ich sagen? DIe #CGM baut jetzt offenbar im Rahmen der "managed" #TI parallele Netzwerke in den Praxen auf.

Das empfinde ich als spannend, da man ja innerhalb der Praxen einen Entry Point hat, der ganz allein unter Kontrolle der CGM bzw. deren Dienstleistern steht.

Gibt's hier jemanden, der das schon einmal in der freien Wildbahn gesehen hat und ein bisschen was dazu sagen kann? Mich würde vor allem interessieren, ob die CGM die Konfig der Watchguard zwecks Reviews zugänglich macht.

#infosec #arztpraxis #digitalisierung

@benny
Der NIUS Sponsor und Nazifreund wird schon wissen, was er da macht
@guteIT ja ja... Dann lehne ich mich entspannt zurück und genieße die Show. 😉
@benny
Das machste, ansonsten müssten wir uns fürchten.
/s
@guteIT nein nein. Fürchten muss sich niemand. Am besten auch nicht kritisch nachfragen. Einfach zurücklehnen und entspannen. Reiche Leute wissen sicher was das Beste für uns ist. Gaaaaanz sicher!!1!elf
@benny
Ich wundere mich, wie viele Praxen, Apotheken etc. die Geräte von diesem Beutelschneider unbedacht verwenden.
@benny vielleicht @bkastl

@Uhege @benny

Es ist leider nicht unüblich, dass im Zuge des Kontext "Dienstleister vor Ort" Dienstleister vor Ort irgendwas zusammenbasteln was eher … schräg … ist und auch eher so gemanaged wird, dass das vor Ort eher abgekapselt wird.

Eventuell ist das sogar ein offizielles Betriebsszenario aus hier:

https://fachportal.gematik.de/fileadmin/Fachportal/DVO/gemInfo_Anschluss_TI_DVO_V2.4.0.pdf?page=23 (Parallelbetrieb)

Wie der dann orchestriert wird, naja, das sieht halt dann so aus wie du vor Ort herausgefunden hast ;)

@Uhege @benny

CGM wird eher sowas nicht öffentlich machen, die sind da eher sehr weit davon weg, das zu tun

@bkastl @Uhege Ist das noch der Parallelbetrieb aus der Anfangszeit der TI? Dann ist es das nicht. Hier hat man jede Maschine inklusive Server über ein zweites Netz erreichbar gemacht, das ausschließlich der Kontrolle der CGM unterliegt. Einzig die Windows Crendetials stehen im Weg. Die dürften aber meistens den Dienstleistern bekannt sein.

Klar, war der Konnektor immer schon ein Entry Point. Aber der wenigstens nach Spec des BSI. Die Middelbox die jetzt da platziert wurde, unterliegt vermutlich eher keiner TR?!

@benny @Uhege Es kommt zumindest aus der Historie, dass sich DVO das erdreisten, das so zu machen.

Steht da so ne Box zufällig? https://meine-ti.de/cgm-divco/warengruppen/it-security/709/cgm-firewall-l-inkl-wlan-funktion/

Die unterliegt einer KBV Richtlinie, https://www.kbv.de/documents/infothek/rechtsquellen/bekanntmachungen/richtlinien/IT-Sicherheitsrichtlinie_390_KBV.pdf

CGM FIREWALL L inkl. WLAN-Funktion kaufen

CGM FIREWALL L inkl. WLAN-Funktion - 0090006136 - CGM FIREWALL – Unser Rundum-sorglos-Schutz für Ihr Praxisnetzwerk und die Daten Ihrer Patienten....

CGM Connectivity

@bkastl @Uhege das wird so eine sein. Allerdings in einem anderen Anwendungsfall. Hier scheint sie ja nur als VPN Device im Netz zu hängen.
Ich gehe mal positiv an die Sache ran. Vielleicht hat irgendwer mal über die Nummer drüber geguckt. Und alles steht ja in der TI. Die ist ja per definitionem sicher. 😉
Das DGN hat so was ähnliches ja schon vor Jahren mit der GUS Box vertrieben.

Wobei ich es auch wild finde, dass die CGM managed Firewall Services anbietet. 🤣 Bei ner Bude deren Softwarecode aus den 90. stammt, ein spannendes Tätigkeitsfeld.

Btw: ich bewundere sehr deine Fähigkeiten, in diesem Wust von Richtlinien den Durchblick zu behalten! Danke für deine Infos.

@benny @bkastl @Uhege DVO ist vertrauenswürdig!

@cy @benny @Uhege ja genau 😜

Vor allem wenn Martin Tschirsich und Bianca Kastl diesen Support auf Kleinanzeigen anbieten https://media.ccc.de/v/38c3-konnte-bisher-noch-nie-gehackt-werden-die-elektronische-patientenakte-kommt-jetzt-fr-alle#t=2050 (ab etwa Minute 34:10)

„Konnte bisher noch nie gehackt werden“: Die elektronische Patientenakte kommt - jetzt für alle!

media.ccc.de
@benny interessant… ich habe KIS System, TI-Konnektoren und Clients in jeweils separierten VLANs. Ich werde bei dem Kunden demnächst mir mal die Firewalllogs genauer anschauen. Hast du dir die Batch mal inhaltlich durchgeschaut was sie so macht?

@mEttWuasT habe ich. Ist ein Dreizeiler. Löscht alte Routen aus Zeiten des KV-SafeNets (ist lange her, aber der Range kam mir bekannt vor). Und setzt neue für den TI Konnektor im RZ bzw. der Middlebox in der Praxis.

These: die machen ein VPN mittels Hardware ins RZ. Alle Clients bekommen eine zweite IP, damit sie über die Middelbox ins VPN kommen. Spart erheblich Konfigurationsaufwand für VLANs oder Einrichtungen an den vorhandenen Firewalls.

@benny Ich verstehe hier genauso "Bahnhof" wie öfters bei meinem Gatten 🤣 Aber muss ja auch nicht 😉
@SaraL entschuldige. Das ist so ein Thema, dass sich kompliziert viel leichter erzählen lässt als allgemeinverständlich.
Wenn du möchtest, kriegst du eine Version für Menschen ohne IT Hintergrund.
@benny nee, schon gut 😊