Neueinrichtung Zahnarztpraxis
Die Zahnarztpraxis wurde von zwei Zahnärztinnen übernommen, Ziel ist die vollständige Neueinrichtung einer Gemeinsamschaftszahnarztpraxis mit Beschaffung, Montage und Installation von allen IT-Komponenten (Serverschrank, Netzwerk, Netzwerkverkabelung, Clients) unter Berücksichtigung der aktuellen IT-Sicherheitsstandards (Festplattenverschlüsselung, Tier-Modell, Schnittstellenschutz, Netzwerksegmentierung, Serverschranküberwachung). Installation der PVS-Lösung DSWIN von Dampsoft, Anbindung TI via E-Connect von Dampsoft, Anbindung eHBA-Karten für KZV-Abrechnung/eAU/eRezept, Einrichtung KIM-Postfach. Anbindung Dampsoft Online Termin Management, Athena und Daisy an DSWIN.
Zeitraum:
Dezember 2023 – Januar 2024
Geleistete Personentage:
10 PT
Projekt:
Eine Migration der Daten vom Bestandssystem Z1 der Compugroup war nicht vorgesehen. Das bestehende IT-System wurde lediglich für die Abrechnung verwendet.
Die Entscheidung für DSWIN war für die Ärzte bereits im Vorfeld gefallen. Lediglich die Variante (cloudbasiert oder im Eigenbetrieb) war nicht definiert.
Im Rahmen einer Erstberatung mit den Ärzten wurden die grundlegenden Anforderungen an die neue Infrastruktur definiert:
- mobiles Arbeiten
- Anbindung der neuen Röntgensysteme
- Hohe Verfügbarkeit
- WLAN-Abdeckung
- Sicherer Betrieb
Das Projekt erstreckte sich über folgende Handlungsbereiche:
- Anforderungsmanagement
- Abstimmung mit den Gewerken
- Beschaffungsplanung und Unterstützung bei der Beschaffung
- Montage der IT-Infrastruktur
- Installation und Konfiguration der Systeme
- Betriebsoptimierung nach Inbetriebnahme
- Microsoft Windows Server 2019
- Microsoft Hyper-V 2019
- Dell Server
- Active Directory
- ESET Antivirus
- PowerShell
- Windows 11 Professional
- Dampsoft DSWIN
- Planmeca Romexis
- Dampsoft Athena
- Dampsoft E-Connect
- Apple iPad
- Ubiquiti Unifi WLAN
- D-Link Stack-Netzwerkswitche
- APC Notstromsysteme
- Antiviren-Lösung ohne Datentransfer in Cloud des Security-Anbieters
- Geräteanschlussbeschränkungen
- Serverschranküberwachung
- Umsetzung der M365 Baseline-Policies über Gruppenrichtlinien
- Umsetzung der BitLocker-Festplattenverschlüsselung über Gruppenrichtlinien
- Umsetzung des Tier-Modells
- Netzwerksegmentierung und Konfiguration
- Einschränkung der Internetzugriffe der Serversysteme auf die notwendigen Endpunkt
- Einrichtung zentrale E-Mail-basierte Benachrichtigungen für Server-Hardware-Fehler, Backup-Benachrichtigungen, Serverschranküberwachung, Antivirus-Status und Windows Update-Status
- Zentrale Windows Update-Verwaltung via WSUS
Ein Ausfall des künftigen System sollte vermieden werden, aber neue redundante Server in entsprechender Ausstattung entsprechend teuer. Wir empfahlen die Beschaffung von gebrauchten Servern mit SSDs unter Einsatz von Virtualisierung via Microsoft Hyper-V. Durch die Beschaffung zweier Server und Nutzung von Hyper-V-Replika können die virtuellen Server zwischen den Servern mit 15 Minuten Versatz und stündlichen Rücksetzpunkten in kürzester Zeit mit geringen Datenverlust (15 Minuten bzw. 1 Stunde) wiederhergestellt werden. Dieses Szenario ist insbesondere für den Angriffsfall durch einen Verschlüsselungstrojaner sinnvoll. Der Keller des Hauses liegt tief und der Serverraum verfügt über mehrere Abluftmöglichkeiten, sodass eine Klimatisierung nicht nötig ist.
Um die verschiedenen Ebenen des Zugriffs voneinander abzugrenzen, sollte das Tiermodell eingesetzt werden. Dies stellt sicher, dass ein Angreifer nicht die Kontrolle über die nächsthöhere Ebene übernehmen kann. Üblicherweise findet der Einstieg eines Angriffs über den Client statt. Von dort beschafft sich der Angreifer ggf. bereits im Speicher liegende Zugangsdaten von einem privilegierten Administrationsaccount und kann dann nahezu uneingeschränkt Kontrolle über die Systeme ausüben.
Das Backup sollte über ein NAS-System vor Ort und über ein via VPN-angebundenes NAS-System bei einem der Ärzte Inhalts- und Daten-verschlüsselt erfolgen.
Die überwiegenden gebrauchten Komponenten wurden gemeinsam, aber direkt durch die Praxis beschafft. Hierdurch entfielen Kosten durch die Zwischenhändlerkette. Die gebrauchten Komponenten wurden jeweils immer redundant beschafft und lagen dennoch weit unter dem Neupreis einer einzelnen Komponente. Durch die Redundanz kann eine ausfallende Komponente wesentlich schneller wieder in Betrieb genommen werden bzw. der Ausfall automatisch abgefangen werden.
Bereits im Vorfeld wurden mit dem Generalunternehmer bei einer vor Ort-Besichtigung die Standorte und Mengen der Netzwerkdosen definiert, ebenso die Stromzuleitungen für die IT-Komponenten und der Standort des Serverschranks definiert.
Die Server und Clients wurden mangels nutzbarer Räumlichkeiten in der Praxis (Baustelle) in unseren Räumlichkeiten vorbereitet. Wegen Lieferproblemen zwischen Dezember und Januar, wurden fehlende Komponenten übergangsweise mit unserer Hardware überbrückt (Firewall, Netzwerkswitche).
Bei der Inbetriebnahme vor Ort wurde der angelieferte Serverschrank von uns demontiert und im Keller wieder vollständig montiert. Das Netzwerkpanel wurde von uns mit den Netzwerkkabel aufgelegt und die Clients sowie Server in Betrieb genommen. Im Serverschrank wurde ein Monitor für den Fall eines notwendigen direkten Zugriffs am Schrank an den Schienen montiert, sowie die KVM-Lösung zur Anbindung einer Maus, Tastatur und eines Monitors an mehrere Server montiert. Die Notstromsysteme, die Serverschranküberwachung, das Backup-System-Vor-Ort sowie die Athena-Box wurden im Serverschrank montiert und konfiguriert.
Die Panelanschlüsse im Serverschrank für das Netzwerk wurden dokumentiert und die Netzwerkdosen in der Praxis entsprechend beschriftet. Alle IT-Komponenten wurden auf Basis eines einheitlichen Namenskonzepts benannt und beschriftet, um jederzeit eine Zuordnung zu ermöglichen.
Die Anbindung des Röntgensystems und des Filmscanners erfolgte durch den Lieferanten mit unserer Unterstützung. Die Installation des Röntgen-Software-Clients wurde entsprechend dokumentiert, um neue Clients eigenständig flexibel bereitstellen zu können. Mangels Dokumentation der genutzten Netzwerkports und Netzwerkziele durch die Hersteller, wurden diese selbstständig erarbeitet. Es gilt die IT-Sicherheitsanforderung „Zugriff nur soweit notwendig“ sowohl innerhalb als auch insbesondere außerhalb des Praxisnetzwerks.
Für die digitale Patientenaufnahme und zur Vermeidung von unnötigen Ausdrucken, wurde Athena eingeführt. Hierfür wurde ein eigenes Netzwerk und WLAN-Netz konfiguriert und zwischen dem Dampsoft-Server und der Athenabox die entsprechenden Netzwerkports auf der Firewall freigeschaltet. Die iPads wurden entsprechend den Empfehlungen von Dampsoft konfiguriert und an die Athenabox angebunden.
Die Clients wurden mit Windows 11 Professional installiert und mit Richtlinien standardisiert. Nach der Anbindung des Clients sind so weiter weniger Schritte notwendig um den PC Praxisbetrieb-tauglich zu konfigurieren. Über die Endpoint-Security-Lösung wurden alle Schnittstellennutzungen deaktiviert, sodass der
Client-PC nicht durch fremde Geräte manipuliert werden kann. Lokale Administrationsrechte liegen standardmäßig auf keinem Client vor.
Alle Kennwörter werden in zentralen verschlüsselten Kennwortdatenbanken beim Kunden tagesaktuell gepflegt. Sodass dieser jederzeit Zugriff auf notwendige Zugangsdaten hat.
Systembenachrichtigungen (Fehler, Ereignisse) ohne personenbezug werden automatisch an uns via E-Mail zugestellt, wobei der Empfängerkreis sich flexibel zentral verwalten lässt. Hierdurch kann die Praxis sich um den Praxisbetrieb kümmern und muss keine IT-technischen Inhalte interpretieren.
In regelmäßigen Terminen werden offene Punkte oder Probleme besprochen und die Aufgaben entsprechend verteilt. Im Regelbetrieb ist eine vor Ort-Präsenz dank des hohen Grades der Automatisierung und Verfügbarkeit kaum notwendig. Durch das aktive Benachrichtigungsmanagement können Probleme bereits im Vorfeld erkannt und behoben werden.