apraxostux

Author: Dr. med Claudia Neumann
© 2021 Dr. Claudia Neumann

Update: 09.03.2021

Die IT-Sicherheitsrichtlinie nach 75B SGB V muss teilweise bis 1.4.2021 und teilweise bis 1.1.2022 umgesetzt werden. Den Wortlaut finden Sie unter Texte / Sicherheit / Richtlinie.

Mit einem Linux-Betriebssystem können Sie einige Punkte der Richtlinie bereits streichen. Trotzdem sollten ein paar Dinge eingerichtet und konfiguriert werden, die vielleicht bisher nicht ausgeführt wurden, um der Richtlinie zu entsprechen, auch wenn das auf Linux nicht unbedingt erforderlich ist.

Folgende Punkte sind zu überprüfen:

  • Virenscanner installieren,

  • Firewall konfigurieren,

  • Netzwerkplan zusammenstellen,

  • im Konnektor User- und Passwort-Authentisierung einstellen.

Ein paar grundsätzliche Sicherheitsmaßnahmen sollten in den Praxen durchgeführt werden:

  • das Praxis-HOME-Verzeichnis sollte auf einer verkrypteten Partition liegen (beim Klau des Servers kommt der Dieb nicht an die medizinischen Daten).

  • Sicherungen (USB-Festplatten) sollten verkryptet sein (ebenfalls wegen Diebstahl).

  • es sollte mindestens täglich eine Sicherung, bevorzugt rsync-Sicherung, durchgeführt werden.

  • eine Sicherung sollte immer zu Hause sein (falls die Praxis abbrennt).

  • auf dem Server sollte kein Samba laufen (keine Windows-Attacken möglich).

  • Windows-Rechner sollten keinen Internet-Zugang und keinen Zugang zum Server haben.

  • Email-Clients können auf dem Server, aber nicht als User praxis, oder auf einem Client laufen. Ein Verschlüsselungs-Trojaner könnte das Verzeichnis des Email-Users verschlüsseln, aber nicht den gesamten Server verschlüsseln.

  • mit dem Server sollte nicht im Internet gesurft werden; falls das dennoch erforderlich ist, sollte auf eine sichere Verbindung (https) geachtet werden.

  • das Linux-Betriebssystem sollte mindestens wöchentlich auf Aktualisierung kontrolliert werden und diese zeitnah eingespielt werden.

  • sollen Briefe oder Dokumente digital versendet werden, sollten diese als PDF/A-Datei versendet werden.

Virenscanner installieren

Bei einer Neuinstallation eines Linux-Betriebssystems wird nicht unbedingt ein Virenprogramm mitinstalliert. Lesen Sie dazu: Why you don’t need an antivirus on Linux

Die IT-Sicherheitsrichtlinie fordert allerdings explizit einen Virenscanner für jeden Praxisrechner. Unter Linux kann man über das Paket-Verwaltungsprogramm den Virenscanner clamav (kostenlos) installieren. Über ClamTK läßt er sich konfigurieren und scannt einmal pro Tag Ihr HOME-Verzeichnis auf Virensignaturen.

Firewall konfigurieren

Als Firewall ist auf Linux typischerweise iptables installiert. Die Firewall muss lediglich konfiguriert werden. Das ist allerdings nicht so einfach.

Hier eine Beispiel-Konfiguration für einen apraxos-Server, auf dem sich die Clients per SSH einloggen. Auch der Port 631 für CUPS soll offen bleiben, um Ausdrucke auf einem eingerichteten Drucker zu ermöglichen.

Datei /etc/iptables.firewall.rules:

*filter
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 -j REJECT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW --dport 631 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
-A OUTPUT -j ACCEPT
-A INPUT -j DROP
-A FORWARD -j DROP
COMMIT

D.h. von außen darf nur über Port 22 oder Port 631 eine Verbindung aufgebaut werden. Verbindungen, die vom Rechner selbst aufgebaut werden, sind erlaubt. Alles andere wird blockiert. Gestartet wird diese Firewall als root mit:

/sbin/iptables-restore < /etc/iptables.firewall.rules

Kontrollieren kann man die iptables-Einstellungen mit

iptables -L

Damit diese Einstellungen bei jedem Rechnerstart so eingestellt werden, lege man eine Datei /etc/network/ip-pre-up.d/firewall mit folgenden Inhalt an:

#!/bin/sh
/sbin/iptables-restore < /etc/iptables.firewall.rules

Diese Datei für root ausführbar machen:

chmod 700 /etc/network/ip-pre-up.d/firewall

Man kann zusätzliche fail2ban installieren. Dieses Programm überwacht selbständig die Linux-Log-Dateien, ob jemand sich mehrfach mit falschem Passwort versucht einzuloggen und sperrt dann diesen Zugang bzw. diese IP-Adresse.

Netzwerkplan zusammenstellen

Ein Netzwerkplan könnte z.B. so aussehen:

netzpl1

Es ist durchaus sinnvoll, so einen Netzwerkplan zu erstellen, um einen Überblick über die eingesetzte Hardware, die Betriebssysteme und deren Versionen sowie die IP-Adressen im Netz zu haben. Allerdings muss dieser Plan immer wieder an die Gegebenheiten angepasst werden. Sonst ist er nach kurzer Zeit nicht mehr up-to-date.

So einen Netzwerkplan können Sie mit LibreOffice-Draw erstellen. Für die Netzwerk-Komponenten kann man die VRT Network Equipment Gallery, eine LibreOffice-Extension, herunterladen und in LibreOffice unter ExtrasExtension ManagerHinzufügen heruntergeladene Datei aufsuchen und hinzufügen. Nun stehen die Netzwerk-Komponenten in der Gallery zur Verfügung.

Speziellen Vorgaben, wie ein Netzwerkplan auszusehen hat, gibt es nicht. Es soll primär für Sie eine Gedächtnisstütze sein.

Im Konnektor User- und Passwort-Authentifizierung einstellen

In apraxos kann unter System / Einstellungen / VSDM/Konnektor / Zugangsdaten Konnektor ein Benutzer und ein Passwort eingetragen werden, mit dem apraxos sich gegebenüber dem Konnektor authentisiert.

In der Ausgangskonfiguration des Konnektors wird die Authentisierung der Clients nicht gefordert. Dementsprechend ist unter VerwaltungClientsysteme die TLS-Verindung und die Authentisierung deaktiviert.

netzpl2

Hier sollte:

  1. die TLS-Verbindung aktiviert werden,

  2. die Authentisierungsmodus aktiviert werden,

  3. der Authentisierungsmodus sollte auf Benutzername und Passwort gestellt werden,

  4. es müssen Zugangsdaten hinzugefügt werden.

Klicken Sie auf "Zugangsdaten hinzufügen":

netzpl4

Unter Client-System-ID muss der Name eingetragen werden, den Sie unter System / Einstellungen / VSDM/Konnektor / Zugangsdaten Konnektor → Praxissoftware eingetragen haben. Dieser Name muss auch im Infomodell im Kästchen mit den Clientsystemen stehen. Der Benutzer ist der Benutzer, den Sie in apraxos unter Benutzer eingetragen haben. Das Passwort muss ebenfalls in apraxos eingetragen sein. Im Konnektor kommt es zu einer Warnung, wenn das Passwort kürzer als 17 Zeichen ist. Es kann trotzdem eingetragen werden. Anschließend klicken Sie auf OK.

netzpl3

Prüfen Sie jetzt, ob die Konnektor-Verbindung von apraxos in Ordnung ist und Sie Krankenversichertenkarten einlesen können. Sie können auch den umgekehrte Fall testen, indem Sie entweder die Zugangsdaten in apraxos löschen oder andere Zugangsdaten eintragen. Dann kommt es beim Karteneinlesen zu einer Fehlermeldung.

Damit sollten die Anforderungen der IT-Sicherheitsrichtlinie nach 75B SGB V unter Linux mit apraxos erfüllt sein. Evtl. nochmal die Anlage 1 und die Anlage 5 der IT-Sicherheitsrichtlinie ausdrucken und die zutreffenden Punkte abhaken.