TI-Installation: Das ist beim Parallelbetrieb zu beachten

Das DGN versteht sich als Partner der PVS-Hersteller und beliefert diese mit den für den Anschluss an die TI notwendigen Komponenten. Für die Installation des DGN TI Pakets vor Ort in den Praxen wurden über 350 Techniker der Partner, so genannte DVO, zuvor intensiv geschult.

Für etwaige Fragen und Probleme steht den DVO im Hintergrund zusätzlich ein vom DGN bereitgestellter und hoch qualifizierter 1st-Level-Support bereit.

Die DVO werden über einen E-Learning-Kurs, der auf den Konnektor der Firma secunet (Zulieferer des DGN TI Konnektors) und den Zugangsdienst von arvato abgestimmt ist, für die TI-Installation geschult. Durchgeführt wird dieser von der Relias Learning GmbH, einem Unternehmen der Bertelsmann Education Group.

Im Rahmen dieser Online-Schulung werden in neun verschiedenen Lerneinheiten alle für den DVO relevanten Themen behandelt – von der Einführung in die TI über die Installation, Konfiguration und Inbetriebnahme in der Praxis bis zum sicheren Betrieb sowie Support. Die Inhalte sind so aufbereitet, dass zu jeder Zeit ein schnelles Nachschlagen möglich ist. Neben der Schulungs-Plattform steht zudem online ein Installationsguide zur Verfügung, der Schritt für Schritt die Installation beschreibt und auf eventuelle Probleme und Fallstricke hinweist.

Die gematik hat zwei für den Betrieb zulässige Einsatzszenarien definiert: den Parallel- und Reihenbetrieb. Eine genaue Beschreibung findet sich beispielsweise in der Spezifikation des Konnektors (gemSpec_Kon_V4.11.1, Kapitel 2.7 Netzseitige Einsatzszenarien, S. 24).

Reihenbetrieb:

Der TI-Konnektor wird zwischen das lokale Netz der Praxis und das Internet Access Gateway (z. B. Router mit DSL-Modem) integriert. Dies bedeutet dann für den Systembetreuer bzw. Administrator, dass er gegebenenfalls ein schon bestehendes Netzwerk umbauen muss und jeglicher Netzwerkverkehr aus der Praxis über den TI-Konnektor läuft. Der Anschluss ans Internet erfolgt durch den Secure Internet Service (SIS). Der Konnektor fungiert auch als Firewall und schützt die Praxis zusätzlich.

Parallelbetrieb:

Der TI-Konnektor wird als nur eines unter vielen Geräten im schon bestehenden Netzwerk hinzugefügt. Alle Komponenten sind mittels eines Netzwerkverteilers miteinander verbunden. Der Nachteil ist, dass die Funktion SIS nicht bequem genutzt werden kann (muss entsprechend konfiguriert werden). Der TI-Konnektor fungiert hier nicht als Firewall: Die Praxis muss daher - wie auch bisher schon bei der Internetanbindung - eigenständige Schutzmaßnahmen (z. B. Firewall, Virenschutz) gemäß den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ergreifen.

Die Auswahl der Betriebsart obliegt dem Systembetreuer bzw. Administrator der Praxis, natürlich in Absprache mit dem Praxisinhaber. Da Praxen in der Regel bereits über eine umfangreiche Netzwerkinfrastruktur verfügen, wird häufig der Parallelmodus gewählt. Das bietet sich zum Beispiel dann an, wenn Praxen bereits einen sicheren Internetzugang in ihrer Praxis hatten und bestehende Workflows auch nach dem TI-Anschluss beibehalten möchten.

Wie die Ärzte Zeitung in ihrer heutigen Ausgabe berichtet, gibt es "bestehende technische Abhängigkeiten in den Praxen, die über eine serielle Installation nicht abgebildet werden können. Beispiele hierfür sind VOIP (Voice over IP, Internet-Telefonie) oder Heimarbeitsplätze."

Keinesfalls - ein Abschalten einer Firewall sollte natürlich nie erfolgen und wird auch nicht von uns empfohlen. Um dem TI-Konnektor den Zugang zu seinen Diensten im Internet zu erlauben, sind keine Veränderungen an den Firewall- und Filtereinstellungen notwendig. Für die Kommunikationswege der TI werden lediglich wenige Ports zu zielgerichteten Servern für den VPN-Verbindungsaufbau nach außen benötigt. Eingehende Verbindungen aus dem Internet in das Praxis-Netzwerk werden nicht benötigt. Daher ist es für die Integration des Konnektors nicht erforderlich, eingehende Ports in der Firewall freizuschalten.

Dies bedeutet, dass der Systemadministrator ausschließlich nach diesen Vorgaben Einstellungen an der Firewall für die Nutzung der Telematikinfrastruktur in der Praxis anpassen muss. Da nur ausgehende Firewall-Regeln erstellt werden müssen, ist durch diese Änderung zu keiner Zeit ein Zugriff von außen auf den Konnektor oder das Netzwerk der Praxis möglich. Die für die Kommunikation mit der Telematikinfrastruktur notwendigen Ports sind dem Handbuch des Konnektors der Firma secunet zu entnehmen.

Der Administrator bzw. Systembetreuer in der Praxis entscheidet über etwaige Anpassungen einer Firewall. Die DVO, die durch das DGN und seine Partner für die TI-Anbindung geschult wurden, sollen lediglich die TI-Komponenten in den Praxen installieren und haben in der Regel keinen administrativen Zugriff auf die Praxisinfrastruktur - wie beispielsweise auf eine gegebenenfalls vorhandene passwortgeschützte Firewall.

• Informationen zum DGN TI Starterpaket
• DGN TI Informationsflyer (PDF-Format)
• Bericht in der Ärzte Zeitung vom 24.04.19: "Unsichere TI-Anschlüsse in vielen Praxen?"
• gematik: "Spezifikation Konnektor" (PDF)
• Informationen zum Konnektor von secunet

Autor: Katja Chalupka