Firewall

Firewall – Der Wächter im Netz¶

Was eine Firewall eigentlich tut¶

Das Wort „Firewall" klingt nach einem großen, teuren Gerät für große Unternehmen. Das ist teilweise richtig – aber auch Arztpraxen brauchen einen Firewall-Schutz, und dieser kann sehr verschieden aussehen.

Eine Firewall kontrolliert den Netzwerkverkehr in beide Richtungen: Was hereinkommt aus dem Internet, und was hinausgeht in den Internet.

Der Eingangsschutz ist offensichtlich: Verbindungsversuche von außen, die nicht erlaubt sind, werden blockiert. Kein unbefugter Zugriff auf Praxis-Systeme.

Der Ausgangsschutz ist unterschätzt – und oft wichtiger. Eine Firewall kann festlegen, welche Programme und Dienste überhaupt Verbindungen nach außen aufbauen dürfen. Das klingt weniger spektakulär, hat aber große Auswirkungen:

Schadsoftware kommuniziert nach Hause. Ransomware, Spyware, Trojaner – all das muss nach einer erfolgreichen Infektion nach außen telefonieren, um Anweisungen zu empfangen oder Daten abzuziehen. Eine Firewall, die ausgehenden Traffic kontrolliert, kann genau das blockieren.

Datenabfluss wird erkannt. Wenn ein Gerät plötzlich große Mengen Daten an eine unbekannte IP-Adresse überträgt, ist das ein Warnsignal – und ohne Ausgangs-Kontrolle bemerkt man das nie.

Programme können isoliert werden. Nicht jedes Programm braucht das Internet. Eine Firewall kann einzelnen Anwendungen die externe Kommunikation verbieten.

Die Fritz!Box – praktisch, aber nicht „Firewall"¶

Die AVM Fritz!Box ist ein hervorragendes Gerät. Zuverlässig, benutzerfreundlich, gut in Deutschland verankert. Für viele kleine Praxen ist sie ausreichend.

Aber: Es ist kein echte Firewall – und das ist wichtig zu verstehen.

Was die Fritz!Box kann:

Die Fritz!Box betreibt NAT (Network Address Translation). Alle Geräte in Ihrer Praxis-Netzwerk teilen sich eine einzige öffentliche IP-Adresse nach außen. Verbindungsanfragen aus dem Internet, die niemand initiiert hat, landen am Router und werden verworfen – nicht weil der Router sie aktiv erkennt, sondern weil er schlicht nicht weiß, an welches Gerät er sie weiterleiten soll. Das bietet einen passiven Schutz gegen viele einfache Angriffe.

Zusätzlich hat die Fritz!Box einfache Firewall-Features: Gäste-WLAN, UPnP-Deaktivierung, Netzwerkfilter. Das sind nützliche Zusätze.

Was die Fritz!Box NICHT kann:

Ausgehenden Traffic kontrollieren. Alles, was Ihre Geräte nach außen senden wollen, lässt die Fritz!Box durch. Egal ob Browser, Betriebssystem oder Schadsoftware – ausgehende Verbindungen werden nicht überprüft.
Anwendungen erkennen. Die Fritz!Box sieht, dass Daten über Port 443 (HTTPS) übertragen werden. Sie erkennt aber nicht, ob dahinter ein Browser, ein Cloud-Sync, oder ein Trojaner steckt. Diese Fähigkeit – „Deep Packet Inspection" – haben echte Firewalls.
Verhaltensanomalien erkennen. Wenn ein Gerät im Netz plötzlich ungewöhnlich viel Traffic produziert, mit bekannten Schadsoftware-Servern kommuniziert, oder Port-Scans macht – die Fritz!Box bemerkt das nicht.
Interne Zonen trennen. Ein Gäste-WLAN ist gut. Aber eine echte Netzwerk-Segmentierung – zum Beispiel medizinische Geräte in einer eigenen Zone, getrennt von den Praxis-Computern – ist damit nicht möglich.

Das ist keine Kritik an AVM. Die Fritz!Box ist für ihren Zweck gebaut: Heimrouter für Privatanwender und kleine Büros. Dieser Zweck umfasst keinen unternehmenstauglichen Netzwerkschutz.

Merksatz: Die Fritz!Box schützt Ihr Netz vor ungebetenen Gästen von außen – aber nicht davor, dass etwas von innen unbemerkt nach außen kommuniziert.

Wann reicht die Fritz!Box – und wann nicht?¶

Sie reicht aus, wenn Sie: - Eine Einzelpraxis oder kleine Gemeinschaftspraxis sind - Keine besonders sensiblen Kundendaten verarbeiten (okay, das ist bei einer Arztpraxis fraglich – aber prinzipiell) - Aktuelle Endgeräte-Sicherheit haben (regelmäßige Updates, Antivirus) - Die anderen Sicherheits-Maßnahmen aus diesen Kapiteln umgesetzt haben (Passwörter, Verschlüsselung, Backups)

Sie reicht NICHT aus, wenn Sie: - Mit besonders schützenswerten Daten arbeiten (und das tun Sie – Patientendaten) - Mitarbeiter haben, die sich im selben Netz bewegen - Ein Büro oder eine Gemeinschaftsfläche betreiben - Regulatorisch verpflichtet sind, ein bestimmtes Sicherheitsniveau nachzuweisen - Kritische medizinische Geräte im Netz haben (PACS, Labor-Interface)

Ehrlich gesagt: Für eine Arztpraxis ist die Fritz!Box als einziger Netzwerk-Schutz knapp. Sie sollten zumindest eine Upgrade-Path haben – eine Möglichkeit, schnell auf eine bessere Firewall zu wechseln, wenn die Anforderungen steigen.

Der TI-Konnektor – und warum die interne Sicherheit trotzdem wichtig ist¶

Der TI-Konnektor ist ein spezielles Sicherheitsgerät, das die Verbindung zur Telematik-Infrastruktur absichert. Es hat eine eigene Firewall, eine eigene Verschlüsselung, und es läuft nach besonderen Sicherheits-Standards.

Das ist gut. Aber es gibt Ihnen nicht die volle Sicherheit des internen Netzes.

Ein Praxis-PC, der von Ransomware befallen ist, kann nicht auf die TI zugreifen (der TI-Konnektor blockiert das). Aber er kann trotzdem: - Andere Praxis-PCs im Netzwerk angegriffen - Patientendaten auf gemeinsame Netzwerk-Ordner verschlüsseln - Nach außen Daten abfließen lassen (wenn die Fritz!Box das nicht blockiert)

Der TI-Konnektor ist also ein zusätzlicher Schutz – aber nicht der einzige Schutz, den Sie brauchen.

Wenn Sie upgraden müssen – dedizierte Firewall und Segmentierung¶

Für mittlere und größere Praxen lohnt sich eine dedizierte Firewall. Das sind Geräte wie:

Sophos SG series, Palo Alto Networks, Fortinet FortiGate: Enterprise-Firewalls mit vollem Feature-Set. Zu groß und zu teuer für die meisten Praxen.

Ubiquiti UniFi Dream Machine, Firewalla Gold: Erschwinglichere Alternativen mit guten Funktionen. Kosten 300–800 Euro, haben aber nur noch lokale Verwaltung ohne Cloud-Abhängigkeit.

Synology SRM (mit Router-Hardware): Ein NAS, das auch als Router und Firewall fungiert. Praktisch für Praxen, die bereits ein NAS haben.

Was diese Geräte bringen:

Traffic-Inspection: Erkennung von verdächtigem Datenverkehr.

Intrusion Detection: Warnung bei Angriffsmustern.

Netzwerk-Segmentierung: Trennung von Geräten in verschiedenen Zonen – medizinische Geräte, Patientennetzwerk, Admin-Netzwerk.

VPN und sichere Fernzugriffe: Eingebaute VPN-Funktionen, nicht nur Router-VPN.

Protokollierung: Wer hat wann von wo zugegriffen? Alles dokumentiert.

Das klingt komplex. Ein erfahrener IT-Dienstleister kann das in wenigen Stunden einrichten und danach läuft es jahrelang zuverlässig.

Netzwerk-Segmentierung – das Prinzip dahinter¶

Die Idee: Nicht alles sitzt im gleichen Netzwerk. Stattdessen gibt es Zonen:

Admin-Zone: Nur Admins und IT-Dienstleister, mit besonderen Sicherheitsanforderungen
Mitarbeiter-Zone: Arzte, Arzthelfer, mit Zugang zur PVS und lokalen Ressourcen
Medizinische-Geräte-Zone: Verbunden, aber isoliert von Arbeitsnetzwerk
Gäste-Zone: Patienten-WLAN, kein Zugriff auf Praxis-Systeme

Das verringert das Risiko deutlich: Falls ein Gerät in einer Zone kompromittiert wird, kann ein Angreifer nicht einfach zum nächsten Gerät springen.

Das zu implementieren brauchts Sie aber eine richtige Firewall und jemanden, der das versteht.

Wer konfiguriert und wartet die Firewall?¶

Das ist eine wichtige Frage: Brauchen Sie einen IT-Dienstleister für eine Firewall-Installation?

Kurze Antwort: Ja.

Eine Firewall, die falsch konfiguriert ist, ist entweder nutzlos oder blockiert wichtigen Traffic (z. B. zur TI). Die Erstinstallation sollte ein Profi übernehmen. Danach können Patches und Updates oft automatisiert werden.

Der IT-Dienstleister sollte auch ein SLA (Service Level Agreement) haben – was passiert, wenn die Firewall ausfällt? Wie schnell wird das behoben? Wie oft wird sie geprüft und aktualisiert?