Der Datenschützer-Rat: Sicherheitscheck für das Netzwerk

Erklärungen zur IT-Sicherheitsrichtlinie der KZBV – Teil 2

PDF

Schlüsselwörter: Art. 32 DSGVO IT-Sicherheitsrichtlinie der KZBV Richtlinie nach §75 SGB V Zahnarztpraxis §75 SGB V

Die Netzwerksicherheit in der Zahnarztpraxis hatte im Mittelpunkt des Datenschutz-Beitrags in der letzten Ausgabe der ZZI (2/2021) gestanden. Da dieser Themenbereich recht umfangreich ist, geht es auch im Teil 2 der Erklärungen zur IT-Sicherheitsrichtlinie der KZBV um das Thema Netzwerksicherheit.

Im Zentrum dieses Beitrags stehen die Netzwerkdokumentationen und die Absicherung aktiver Netzwerkkomponenten. Abschließend können Sie anhand einiger Fragen prüfen, ob in Ihrer Praxis diesbezüglich noch Verbesserungsbedarf besteht oder ob in Ihrer Praxis bereits alle erforderlichen Vorkehrungen und Dokumentationen umgesetzt sind.

Unter Ziffer 33 der Anlage 1 zur IT-Sicherheitsrichtlinie der KZBV wird die Dokumentation des Netzes gefordert. Zu dieser Dokumentation gehören einmal der Netzwerkplan (siehe Abb. auf Seite 188), aber auch die bereits im letzten Beitrag angesprochenen Messprotokolle nach EN-50173.

Qualifizierte Messprotokolle kann in aller Regel nur ein speziell geschulter Elektriker, Netzwerktechniker oder IT-Sachverständiger erstellen. Dazu sind üblicherweise Messgeräte erforderlich, die preislich schnell im Bereich eines Kleinwagens liegen und daher auch nicht von jedem Elektriker vorgehalten werden können.

Der Netzwerkplan muss aktuell gehalten werden. Etwas einfacher haben Sie es mit dem Netzwerkplan. In kleinen Praxen kann man diesen durchaus auch von Hand zeichnen und zu den Unterlagen nehmen. Es ist deutlich wichtiger, dass ein Netzwerkplan aktuell ist, als dass dieser gut aussieht. Der Netzwerkplan ist nämlich immer dann hilfreich, wenn Störungen im Netzwerk auftreten. Die Abbildung 1 auf der folgenden Seite 188 zeigt beispielhaft einen Netzwerkplan, der in diesem Umfang durchaus auch einfach von Hand gezeichnet werden könnte.

Der beispielhaft dargestellte Plan beinhaltet schon viele wichtige Informationen. Zunächst einmal ist der Gerätetyp daraus ablesbar. Außerdem finden sich dort der Name des jeweiligen Geräts, die IP-Adresse und der Standort in der Beschriftung. Die Verbindungen mit dem zentralen Netzwerkverteiler (Switch) sind auch beschriftet. Der erste Teil „Ax“ gibt an, auf welchem Patchpanel und an welchem Anschluss die entsprechende Leitung aufgelegt ist. Der Port gibt Auskunft darüber, zu welchem Anschluss des Switches eine Verbindung über das Patchkabel besteht.

Soweit für einzelne Geräte spezielle Porteinstellungen erforderlich sind, sollten diese auch im Netzwerkplan dokumentiert werden. Darüber hinaus ist anzumerken, dass im Beispiel mit fixen IP-Adressen gearbeitet wurde. Soweit Sie im Netzwerk DHCP1 nutzen, werden jedoch IP-Adressen dynamisch vergeben und können so für einzelne Geräte variieren.

Fragen zur Netzwerk-Sicherheit

  • Sind für Ihr kabelgebundenes Netzwerk in der Praxis Messprotokolle (nach EN-50173) verfügbar?
  • Gibt es beim Anschluss neuer Geräte an das Netzwerk in Ihrer Praxis keinerlei Probleme?
  • Sind Server und Netzwerkkomponenten (Switch, Router) gegen unberechtigten Zugang (auch im Sinne von Zutritt) gesichert?
  • Werden Firewall-Router oder Firewall Ihrer Praxis regelmäßig aktualisiert?
  • Sind in der Praxis nur diejenigen Netzwerkdosen mit dem Netzwerkverteiler verbunden, die auch genutzt werden?
  • Ist ein Netzwerkplan in Ihrer Praxis vorhanden?
  • Kennen Sie die IP-Adressen oder den IP-Adressbereich Ihres Netzwerks?
  • Sind alle aktiven Netzwerkkomponenten (soweit konfigurierbar) mit sicheren Passworten geschützt?

In komplexeren Netzwerken gibt es auch die Möglichkeit, dass Übersichtslisten oder Pläne mittels entsprechender Mess- und Prüfgeräte erstellt werden. Wenn Sie diese Dokumentation extern vergeben, sollten Sie allerdings vorsichtig sein. Es gibt Unternehmen, die für die Dokumentation von ca. 100 Geräten in der gezeigten Weise schon mal zehn bis 15 Mann-Tage abrechnen wollen.

Der Netzwerkplan ist schnell erstellt. Tatsächlich können entsprechende Mess- und Prüfgeräte eine derartige Dokumentation automatisiert in wenigen Stunden erstellen. Wenn diese Analyse noch manuell nachbearbeitet wird, sollte der Netzwerkplan auch beim Vorhandensein von 100 oder mehr Geräten in aller Regel in maximal drei Tagen erstellt sein. Es muss lediglich zum Zeitpunkt der automatischen Prüfung sichergestellt sein, dass alle Geräte, die im Netzwerk integriert sind, auch eingeschaltet sind.

 

Allerdings kann die Dokumentation durchaus auch etwas umfangreicher werden, wenn diese als vollumfängliche Inventarisierung durchgeführt werden soll und zu jedem Gerät auch Informationen über Wartung, Supportverträge, Garantie, DGUV2-Prüfung und weitere Parameter erfasst werden sollen. Das geht aber deutlich über einen gewöhnlichen Netzwerkplan hinaus.

Die Messung von Netzwerkleitungen kann aufwändig sein. Anders sieht es vom Aufwand her bei den Messungen von Netzwerkleitungen nach EN-50173 aus, da jede Leitung separat gemessen werden muss und in aller Regel zwei Personen mit der Messung beschäftigt sind. Dabei sollte aber die Messung einer einzelnen Leitung nie mehr als zehn Minuten in Anspruch nehmen. Hier wird von Dienstleistern häufig ein Preis aus Anzahl der Messungen und der benötigten Zeit berechnet, da die Messgeräte sehr teuer sind und regelmäßig neu kalibriert/geeicht werden müssen.

Schließlich werfen wir noch einen Blick auf die Ziffer 34 der Anlage 1 zur Richtlinie. Hier geht es um Authentisierung für den Netzmanagement-Zugriff. Dabei ist bedauerlicherweise nicht spezifiziert, auf welche Tätigkeiten des Netzwerkmanagement-Zugriffs sich die Ziffer beziehen soll. Zum einen werden nämlich Netzwerke, die über einen Domänen-Controller3 verfügen, üblicherweise über diesen administriert. So kann ein Server zum Beispiel als DHCP-Server konfiguriert sein und dynamisch im Netzwerk IP-Adressen und IP-Konfigurationen an Arbeitsplatzrechner und Geräte im Netzwerk vergeben.

Server gegen unberechtigte Zugriffe schützen. Server sind selbstverständlich gegen unberechtigte Zugriffe zu schützen, sodass sich in diesem Zusammenhang erst einmal keine akute Notwendigkeit für die Festlegung der Ziffer 34 der Anlage 1 zur Richtlinie zeigt. Allerdings sind auch Konfigurationen weiterer Komponenten im Netzwerk möglich. So ist insbesondere darauf zu achten, dass ein eingesetzter Internet-Router oder eine Firewall nicht etwa mit werkseitig vergebenem Standardpasswort konfiguriert werden können. Solche Komponenten sind mit komplexen Passworten zu sichern.

Darüber hinaus sollte die Frage geklärt werden, ob diese für administrative Zwecke aus dem Internet erreichbar sein müssen. Falls hier kein Wartungsvertrag besteht, der das erforderlich macht, ist es sinnvoll die administrative Erreichbarkeit aus dem Internet abzuschalten.

Schließlich sind auch Netzwerk-Verteiler, also sogenannte Switches häufig konfigurierbar. Eine Switch, die Sie allerdings für zehn Euro erwerben können, dürfte üblicherweise zur Gruppe der nicht-konfigurierbaren Netzwerkverteiler gehören. Viele Geräte, die für die professionelle Nutzung und den Dauerbetrieb in Infrastrukturen vorgesehen sind, bieten allerdings die Möglichkeit Einstellungen am Gerät vorzunehmen. Dabei können z.B. die Geschwindigkeiten einzelner Ports festgelegt werden. Das macht z.B. dann Sinn, wenn ein Medizingerät angeschlossen wird, das noch über eine ältere Netzwerkkarte verfügt und folglich nur mit zehn oder 100 Mbit kommunizieren kann. Solche konfigurierbaren Netzwerkverteiler (Switches) erlauben häufig auch die Einrichtung eines Monitoring-Ports.

Ein elektronischer Helfer für die Fehlersuche im Netzwerk. Ein solcher wird u.a. genutzt um Fehler im Netzwerk zu suchen und Netzwerkanalysen durchzuführen. Während die Switch ein einigermaßen intelligentes Gerät ist und im Normalfall Datenpakete nur an den Port (Anschluss) sendet, über den der Rechner oder das Gerät erreichbar sind, die ein Datenpaket empfangen sollen, kann der gesamte Datenverkehr, der über eine Switch abgewickelt wird, auf einen Monitoring-Port weitergeleitet werden.

Das eignet sich nicht nur für legale administrative Zwecke, sondern kann auch dazu genutzt werden, den gesamten Datenverkehr einer Praxis aufzuzeichnen. Sie sollten daher konfigurierbare Netzwerkverteiler (Switches) unbedingt auch durch sichere Passwörter schützen und darauf achten, dass sich keine unberechtigten Dritten Zugang zu dem Gerät verschaffen können.

Nicht selten finden sich nämlich die Verteilerschränke für das Netzwerk in Kellerräumen oder in anderen Räumlichkeiten, die man in der Praxis nicht ständig im Blick haben kann. Es ist daher auch angeraten, Netzwerkverteilerschränke mit Sicherheitsschlössern zu verschließen.

 

Dr. Thomas H. Lenhard ist ein inter­na­tio­nal anerkannter Experte für Infor­ma­­tionstechnologie und Datenschutz. Er greift auf seinen um­fangreichen Erfahrungsschatz aus drei Jahr­zehnten Datenschutz und Daten­­­sicherheit zurück und ist u.a. als Datenschutzbeauftragter sowohl für die DGZMK als auch für die DGI umfassend tätig.

1 Dynamic Host Configuration Protocol – damit können IP-Adressen und Netzwerkkonfigurationen einschließlich der Informationen über (z.B.) Anmeldeserver und Internetrouter dynamisch an Rechner und Geräte im Netzwerk verteilt werden.

2 Deutsche Gesetzliche Unfallversicherung Vorschriften (hier: Vorschrift 3 – früher: BGV A3)

3 Domänen-Controller werden meist als zentrale Anmeldeserver genutzt. In kleinen Praxen können Sie darüber hinaus noch eine Vielzahl von Funktionen und Programmen im Netzwerk bereitstellen, da häufig nur ein Server eingesetzt wird.


(Stand: 01.09.2021)

DGI Nachrichten aktuell

In Memoriam an Karl-Ludwig Ackermann. Ein Nachruf von Prof. Dr. Günter Dhom und Gedenken an einen ganz „Großen“ der Zahnmedizin. 

zum Nachruf an Dr. Ackermann

Aktuelle Ausgabe 3/2021

Im Fokus

  • Regeneratives Potenzial von Blutkonzentraten
  • Ridge Preservation im Seiten- und Frontzahnbereich
  • Die Chirurgie im digitalen Zeitalter

FORTBILDUNGSANGEBOTE DGI

Die DGI bietet ein umfassendes und überregionales Fortbildungsangebot an. 

WERDEN SIE AUTOR

Sie haben ein spannendes Thema aus dem Bereich der Implantologie und würden gerne einen Artikel dazu in der ZZI veröffentlichen? Dann nutzen Sie unseren Editorial Manager und reichen Sie ihr Manuskript direkt bei uns ein.

Manuskript einreichen