Seit Januar 2022 müssen Arzt- und Psychotherapeutenpraxen die Anforderung „Firewall“ aus der IT-Sicherheitsrichtlinie umsetzen. Teil 3 dieser neuen Artikelserie soll Sie über Firewall informieren.
Bei dieser Firewall handelt es sich um eine sogenannte Web App Firewall für den Zugang zum Internet (} IT-Sicherheitsrichtlinie, Anlage 1 für alle Praxen, Punkt 9). Seit April 2021 galt bereits eine ähnliche Anforderung aus der IT-Sicherheitsrichtlinie (} Anlage 1 für alle Praxen, Punkt 32). In Sachen Netzwerksicherheit wird dort die Absicherung von Übergangspunkten zu anderen Netzen, insbesondere zum Internet, durch eine Firewall gefordert.
Bei Firewalls unterscheidet man in Hardware- und Software-Firewalls. Ganz simpel ausgedrückt, ist die Hardware-Firewall ein Gerät und die Software-Firewall ein reines Computerprogramm, welches auf dem Rechner installiert wird.
Die KV Sachsen empfiehlt ihren Mitgliedern, sich vom eigenen IT-Dienstleister vor Ort beraten zu lassen, welche Firewall-Lösung angemessen ist. Eine pauschale Beurteilung durch die KV ist nicht möglich, da die individuellen Gegebenheiten vor Ort ausschlaggebend sind.
Hardware-Firewall
Für eine Einzelpraxis genügt eventuell die Hardware-Firewall des Internet-Routers als Schutz. Ein Produktvertreter ist hier die Fritz!Box. Bitte lassen Sie sich von Ihrem IT-Diensteister beraten.Für größere Praxen, welche mehr IT-Technik und Anschlüsse nutzen, muss ggf. eine leistungsstärkere Hardware-Firewall installiert werden. Hierzu hat die KBV ein hilfreiches Paper veröffentlicht, das auch auf der Internetpräsenz der KV Sachsen zum Download bereitsteht.
Praxen, die ihre Telematikinfrastruktur nicht parallel zum Internet (Parallelbetrieb), sondern seriell angeschlossen haben (Reihenbetrieb), genügt die Firewall im TI-Konnektor als Schutz. Zu den Begrifflichkeiten Parallel- und Reihenbetrieb finden Sie auf der Internetpräsenz der KV Sachsen unter Telematikinfrastruktur das Dokument „TI Installationsvarianten“ zum Download.
Software-Firewall
Eine Software-Firewall kann in einer Arzt- oder Psychotherapeutenpraxis nur eine Ergänzung zu einer Hardware-Firewall sein. Sie wird oft in einem Gesamtsoftwarepaket mit einem Antivirusprogramm und anderen Anwendungen angeboten. Wer als Betriebssystem auf seinen Rechnern Windows nutzt, hat bereits eine Software-Firewall inklusive. Daneben gibt es diverse andere kostenlose und kostenpflichtige Produkte. Lassen Sie sich ggf. von Ihrem IT-Dienstleister beraten.
Web Application Firewall
Die Web Application Firewall (WAF) ist eine Spezialform einer Application Firewall für das Besuchen von Websiten im Internet. Sie soll die Gefahr von Angriffen minimieren, die mit dem Aufrufen von unsicheren Webseiten verbunden sind. Wichtig ist, dass die Web Application Firewall richtig konfiguriert und durch Updates regelmäßig aktualisiert wird.
Anforderungen und Empfehlungen für den Serverschrank-Standort des Praxis-Servers
Da die IT-Sicherheitsrichtlinie keine Regelungen zum Standort des Praxis-Servers enthält, empfiehlt die KV Sachsen auf Basis von Informationen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) einen Praxis-Server, welcher in einem Serverschrank untergebracht ist, wie folgt aufzustellen.
Der gewählte Raum sollte so gut wie möglich vor Feuerbrand, Wasserschaden und unbefugtem Zutritt geschützt sein. Von einem Serverschrank-Standort im Keller ist abzuraten, wenn die Kellerräume feucht sind, was in Altbauten häufig die Regel ist. Außerdem sollte geprüft werden, ob die Gefahr von aufsteigendem Grundwasser besteht. Sofern machbar, sollte der Serverschrank in den Praxisräumen untergebracht werden. Denkbar ist ein kleiner, trockener, abschließbarer Abstellraum, der ggf. eine Abluftmöglichkeit hat oder der klimatisiert ist, da der Server im Betrieb Wärme abgibt. Die Unterbringung des Serverschranks in einem Behandlungsraum wird erfahrungsgemäß als störende Lärmquelle empfunden. Wo der Server letztlich Platz findet, obliegt dem Praxisinhaber als Verantwortlichem. Der Serverschrank sollte abgeschlossen und der Schlüssel an einem sicheren Ort aufbewahrt werden. Es ist festzulegen, wer vom Praxisteam Zugang zum Serverraum und zum Serverschrank mittels Schlüssel haben darf.
Informationen und Ansprechpartner
www.kvsachsen.de > Für Praxen > IT in der Praxis > IT-Sicherheitsrichtlinie
www.kvsachsen.de > Für Praxen > IT in der Praxis > Telematikinfrastruktur
EDV-Support und Online-Dienste
0351 8290-6789
edv-beratung@kvsachsen.de
Montag bis Donnerstag 8:00 bis 17:00 Uhr und
Freitag 8:00 bis 14:00 Uhr