Zum Inhalt

Netzsegmentierung

Netzsegmentierung als Lösung

Was Netzsegmentierung bedeutet

Stellen Sie sich Ihr Praxisnetzwerk momentan wie einen großen Raum vor: Alle Geräte sind darin, alle können miteinander kommunizieren. Der Röntgen-PC kann aufs PVS zugreifen, das PVS auf den Print-Server, der Print-Server auf das Röntgen-Gerät. Das klingt praktisch – ist aber unsicher. Wenn ein Gerät kompromittiert ist, können Angreifer von dort aus zu allen anderen Geräten lateral-bewegen.

Netzsegmentierung bedeutet: aus diesem großen Raum werden mehrere kleinere Räume. Jeder Raum ist durch eine Tür (Firewall) vom anderen getrennt. Geräte in Raum A können mit Raum B kommunizieren – aber nur über diese kontrollierte Tür. Geräte in Raum C sind komplett isoliert und können überhaupt nicht mit A oder B sprechen, es sei denn, das ist explizit erlaubt.

In praktischen Begriffen heißt das: Sie verwenden sogenannte VLANs (Virtual Local Area Networks). Ein VLAN ist eine logische Trennung – nicht physisch neue Kabel, sondern eine Konfiguration auf dem Switch. Der Switch kennt mehrere VLANs und weiß, dass Traffic zwischen ihnen blockiert ist, bis eine Firewall das erlaubt.

Warum das für Arztpraxen wichtig ist

Für eine Arztpraxis mit vernetzten Medizingeräten ist Netzsegmentierung nicht optional – es ist das Minimum einer sicheren Infrastruktur.

Szenario: Das Röntgengerät läuft auf Windows XP. Ein Angreifer kommt ins Praxisnetzwerk (durch Phishing eines Mitarbeiters). Er findet das Röntgengerät, kompromittiert es. Jetzt sitzt er auf einem Gerät, das mit dem gleichen Netzwerk verbunden ist wie das PVS, die Patientenakten, die Abrechnungsdaten. Von hier aus kann er lateral zum PVS gehen und Patientendaten stehlen.

Mit Segmentierung: Das Röntgengerät läuft auf einem separaten VLAN. Der Angreifer kompromittiert es. Jetzt versucht er, von diesem VLAN aufs PVS-VLAN zuzugreifen – und scheitert. Die Firewall blockiert den Zugriff. Der Schaden ist begrenzt auf das Röntgengerät. Das PVS und alle Patientendaten sind sicher.

Das ist die zentrale Logik von Segmentierung: Der Schadensradius jedes kompromittierten Gerätes wird begrenzt.

Wie man das umsetzt: Die praktische Architektur

Eine typische Netzsegmentierung für eine Arztpraxis könnte so aussehen:

VLAN 1 – Medizingeräte-Netz: Röntgen, EKG, Labor, DICOM-Viewer, Ultraschall. Alle diese Geräte laufen auf diesem Netz. Sie können untereinander kommunizieren, aber nicht ins PVS-Netz oder ins Internet.

VLAN 2 – PVS-Netz: Der PVS-Server, die Workstations der Mitarbeiter, die darauf zugreifen. Dieses Netz hat Zugang zum Internet (für TI, Updates, E-Mail) und zu den Medizingeräten (begrenzt, nur für Datenaustausch).

VLAN 3 – TI-Netz: Der TI-Konnektor und die Systeme, die damit kommunizieren (elektronische Gesundheitskarte, Rezepte). Getrennt vom Rest, um zu verhindern, dass ein kompromittiertes Praxis-Gerät die TI-Sicherheit gefährdet.

VLAN 4 – Gast-WLAN: Separate WLAN für Patienten und Besucher. Völlig isoliert vom restlichen Netz.

Management-Vlan: Optional: Ein separates Netz nur für die Verwaltung der Netzwerk-Hardware selbst.

Die Firewall dazwischen regelt, welche VLANs miteinander kommunizieren dürfen. Ein sauberes Regelwerk könnte zum Beispiel so aussehen: - Medizin-VLAN darf zum PVS-VLAN kommunizieren (nur Port 443, 80 für Datenaustausch) - Medizin-VLAN darf nicht ins Internet - PVS-VLAN darf mit Internet und TI-VLAN kommunizieren - Gast-WLAN darf ins Internet, aber nicht zu PVS oder Medizin - TI-VLAN nur zu PVS-VLAN für notwendige Funktionen

Was das technisch braucht

Um Netzsegmentierung umzusetzen, brauchen Sie drei Komponenten:

1. VLAN-fähiger Switch

Ihr aktueller Netzwerk-Switch muss VLANs unterstützen. Das ist bei modernen Manageable Switches Standard – aber bei älteren, einfachen Switches oft nicht der Fall. Der Hersteller kann das schnell sagen. Kosten: Ein VLAN-fähiger 24-Port Switch kostet zwischen 300-1000 Euro, je nach Qualität und Features.

2. Router/Firewall mit Firewall-Regeln

Zwischen den VLANs sitzt eine Firewall, die Regeln durchsetzt. Das ist oft nicht ein separates Gerät, sondern eine Funktion im Router. Moderne Router (Fritzbox, Ubiquiti, Mikrotik) können alle VLANs verwalten und Firewall-Regeln definieren. Eine dedizierte Appliance wie Palo Alto oder Fortigate ist für Arztpraxen meist Overkill.

3. Konfiguration und Administration

Der Switch muss konfiguriert werden: welche Ports gehören zu welchem VLAN? Die Firewall muss programmiert werden: welche Regeln erlaubt/blockiert? Das ist nicht schwierig, aber es braucht jemanden, der das versteht. Ihr IT-Dienstleister sollte das können.

Was das konkret kostet und wann es sich lohnt

Investition: - VLAN-fähiger Switch: 500-1000 Euro (ggf. schon vorhanden) - Router-Upgrade (falls notwendig): 300-800 Euro - Konfiguration und Installation durch IT-Dienstleister: 4-8 Stunden à 100-150 Euro/Std = 400-1200 Euro - Gesamt: ca. 1200-3000 Euro

Wann es sich lohnt: - Sie haben medizinische Großgeräte (Röntgen, CT, MRT, Labor-Automaten) - Die Geräte älter als 10 Jahre sind (und damit unsicherer) - Die Geräte an eurem Praxisnetzwerk angebunden sind - Sie hatten bereits Sicherheitsvorfälle oder machen sich Sorgen um die Sicherheit

Wann es optional ist: - Sie haben nur sehr neue Medizingeräte (unter 5 Jahren) mit modernen Sicherheitsstandards - Die Geräte sind völlig isoliert und nicht mit dem PVS verbunden - Ihre Praxis ist sehr klein (1-2 Mitarbeiter) mit minimaler Netzwerk-Komplexität

Für die meisten Praxen mit echten Medizingeräten ist Netzsegmentierung eine gute Investition. Sie kostet weniger als ein Ransomware-Schaden – und die KBV verlangt das auch implizit in ihrer IT-Sicherheitsrichtlinie.

Was Sie Ihrem IT-Dienstleister beauftragen sollten

Ein klares Arbeitspaket für die Netzsegmentierung könnte so aussehen:

  1. Audit: Alle Geräte im Netz erfassen, dokumentieren, die Kommunikations-Anforderungen klären.
  2. Netzwerk-Design: Ein Diagramm erstellen mit den oben beschriebenen VLANs und Firewall-Regeln.
  3. Hardware-Empfehlung: Welcher Switch, welcher Router ist nötig?
  4. Implementierung: Hardware installieren, VLANs konfigurieren, Firewall programmieren.
  5. Dokumentation: Ein Netzwerk-Diagramm (zur Aufbewahrung in Ihrem Notfalldokument) und eine Übersicht der Firewall-Regeln.
  6. Testing: Sicherstellen, dass Kommunikation funktioniert, wo sie soll – und blockiert, wo sie blockiert sein soll.

Checkliste: Netzsegmentierung

  • Ich habe eine Übersicht aller Geräte und ihrer Kommunikations-Anforderungen erstellt.
  • Mein IT-Dienstleister hat ein Netzwerk-Design-Konzept mit VLANs erstellt.
  • Mein aktueller Switch ist VLAN-fähig (oder wird ausgetauscht).
  • Meine Firewall kann Regeln zwischen VLANs durchsetzen.
  • Medizingeräte haben ein separates VLAN.
  • Gast-WLAN ist vom restlichen Netz isoliert.
  • Ein Netzwerk-Diagramm existiert und ist aktuell.
  • Firewall-Regeln sind dokumentiert und werden jährlich überprüft.
  • Ich habe mit meinem IT-Dienstleister geklärt, wer die Regeln wartet und bei Problemen Anpassungen macht.