IT-Sicherheit
IT-Sicherheitsrichtlinie nach §390 SGB V
Die Digitalisierung spielt in der ambulanten Versorgung eine immer größere Rolle. So stehen auch in Ihrer Praxis digitale Prozesse und die Vernetzung mit anderen Leistungserbringern immer mehr im Fokus Ihrer ärztlichen Tätigkeit. Hierfür nutzen Sie bereits einige technische Komponenten wie die Telematikinfrastruktur und ihre Anwendungsmöglichkeiten.
Da Sie in Ihrer Praxis besonders schützenswerte Gesundheitsdaten verarbeiten, ist Ihnen – genau wie der KVWL – die Sicherheit dieser Daten ein besonderes Anliegen.
Vor diesem Hintergrund wurde eine gesetzliche Grundlage geschaffen, nach der die KBV im Einvernehmen mit dem Bundesamt für Informationstechnik (BSI) eine Richtlinie nach § 390 SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit (IT-Sicherheitsrichtlinie) erstellt hat.
Die IT-Sicherheitsrichtlinie ist an den Stand der Technik und an das Gefährdungspotential angepasst worden und am 01.04.2025 in Kraft getreten. Für die neuen Anforderungen gilt eine Übergangszeit von 6 Monaten zum 30.09.2025. Die seit 2021 bereits bestehenden Vorgaben gelten weiter.
Die Richtlinie bietet einen verlässlichen Rahmen für das, was Praxisinhaberinnen und Praxisinhaber in puncto IT-Sicherheit tun müssen, sollten und können. Dies soll Praxen helfen, sensible Daten noch sicherer zu verwalten und Risiken wie Datenverlust oder Betriebsausfall zu minimieren.
Die KVWL möchte Sie, die niedergelassenen Ärztinnen und Ärzte sowie Psychotherapeutinnen und Psychotherapeuten, bei der Umsetzung der Anforderungen unterstützen. Dazu finden Sie hier ergänzende Hinweise und anschauliche Beispiele zu den in Ihrer Praxis zu implementierenden Maßnahmen. Die Anforderungen sind kategorisiert und verweisen auf die Grundlage in der Richtlinie. Die Inhalte werden regelmäßig an die aktuellen Anforderungen der Sicherheitsrichtlinie angepasst und hier veröffentlicht.
Diese Umsetzungshilfe der KVWL bietet damit eine Aufbereitung der weiteren Hinweise der KBV zur IT-Sicherheitsrichtlinie, die unter Praxishinweise – Richtlinie IT-Sicherheit in der Praxis – IT-Sicherheit in der Praxis veröffentlicht sind und ist als deren Ergänzung zu verstehen.
Die wichtigsten Dokumente zum Herunterladen
Die Anforderungen der IT-Sicherheitsrichtlinie sind in fünf Anlagen unterteilt. Die nach Praxisgröße und gesonderten weiteren Anforderungen differenzierten Anlagen bauen aufeinander auf und sind gegebenenfalls kumulativ zu erfüllen:
-
Anlage 1Anforderungen für Praxen – betrifft alle Praxistypen
-
Anlage 2Zusätzliche Anforderungen für mittlere Praxen
-
Anlage 3Zusätzliche Anforderungen für Großpraxen
-
Anlage 4Zusätzliche Anforderungen für medizinische Großgeräte
-
Anlage 5Anforderungen für Dezentrale Komponenten der Telematikinfrastruktur
Die Definition der Praxisgrößen ergibt sich aus Punkt A. III der IT-Sicherheitsrichtlinie. Danach gilt:
- Praxis: Eine Praxis ist eine Arztpraxis mit bis zu fünf ständig mit der Datenverarbeitung betrauten Personen.
- Mittlere Praxis: Eine mittlere Praxis ist eine Arztpraxis mit 6 bis 20 ständig mit der Datenverarbeitung betraute Personen.
- Großpraxis oder Praxis mit Datenverarbeitung im erheblichen Umfang: Eine Großpraxis oder Praxis mit Datenverarbeitung im erheblichen Umfang ist eine Arztpraxis mit über 20 ständig mit der Datenverarbeitung betrauten Personen oder eine Arztpraxis, die in über die normale Datenübermittlung hinausgehenden Umfang in der Datenverarbeitung tätig ist (z. B. Groß-MVZ mit krankenhausähnlichen Strukturen, Groß-Labore).
Die Vorgabe zur Anwendung der Anlage 4 wurde auf medizinische Analysegeräte (IVD-Geräten) in Laboren ausgeweitet. Diese galt bislang und gilt weiterhin für Computer-, Magnetresonanz-, Positronenemissionstomograph und Linearbeschleuniger.
Geregelte Einarbeitung neuer Mitarbeitender
(Gültig ab 01.10.2025)
Mitarbeitende müssen zu Beginn ihrer Beschäftigung in ihre neuen Aufgaben eingearbeitet werden. Die Mitarbeitenden müssen über bestehende Regelungen, Handlungsanweisungen und Verfahrensweisen informiert werden.
Siehe Musterdokument „Muster-Eintrittsformular“ und „Muster-Verschwiegenheitserklärung (intern)“ der KBV.
Anlage 1: Anforderungen für Praxen, Nr. 1
Geregelte Verfahrensweise beim Weggang von Mitarbeitenden
(Gültig ab 01.10.2025)
Ausscheidende Mitarbeitende müssen alle im Rahmen ihrer Tätigkeit erhaltenen Unterlagen, Schlüssel und Geräte sowie Ausweise und Zutrittsberechtigungen zurückgeben. Zugangsdaten (bspw. Passwörter), die dem ausscheidenden Mitarbeiter bekannt waren oder von ihm genutzt wurden, müssen geändert oder vernichtet werden. Vor der Verabschiedung muss noch einmal auf die fortdauernden Verschwiegenheitsverpflichtungen hingewiesen werden.
Siehe Musterdokument „Muster-Austrittsformular“ der KBV.
Anlage 1: Anforderungen für Praxen, Nr. 2
Festlegung von Regelungen für den Einsatz von Fremdpersonal
(Gültig ab 01.10.2025)
Externes Personal muss, wie alle eigenen Mitarbeitenden, dazu verpflichtet werden, geltende Gesetze, Vorschriften und interne Regelungen einzuhalten. Kurzfristig oder einmalig eingesetztes Fremdpersonal muss in sicherheitsrelevanten Bereichen beaufsichtigt werden. Ggf. notwendige Zugangsberechtigungen sind so restriktiv wie möglich zu halten.
Anlage 1: Anforderungen für Praxen, Nr. 3
Vertraulichkeitsvereinbarungen für den Einsatz von Fremdpersonal
(Gültig ab 01.10.2025)
Bevor externe Personen Zugang und Zugriff zu vertraulichen Informationen erhalten, müssen mit ihnen Vertraulichkeitsvereinbarungen in schriftlicher Form geschlossen werden.
Siehe Musterdokument „Muster-Verschwiegenheitserklärung (extern)“ der KBV.
Anlage 1: Anforderungen für Praxen, Nr. 4
Aufgaben und Zuständigkeiten von Mitarbeitenden
(Gültig ab 01.10.2025)
Alle Mitarbeitenden müssen dazu verpflichtet werden, geltende Gesetze, Vorschriften und interne Regelungen einzuhalten. Die Mitarbeitenden müssen auf den rechtlichen Rahmen ihrer Tätigkeit hingewiesen werden. Die Aufgaben und Zuständigkeiten von Mitarbeitenden müssen in geeigneter Weise dokumentiert sein. Dabei sollte ebenfalls dokumentiert werden, welche Berechtigungen und Zugänge für die Mitarbeitenden bereitgestellt/genutzt werden. Außerdem müssen alle Mitarbeitenden darauf hingewiesen werden, dass alle während der Arbeit erhaltenen Informationen ausschließlich zum internen Gebrauch bestimmt sind.
Anlage 1: Anforderungen für Praxen, Nr. 5
Qualifikation des Personals
(Gültig ab 01.10.2025)
Mitarbeitende müssen regelmäßig geschult bzw. weitergebildet werden, insbesondere auch in Bezug auf die eingesetzte Technik/IT. Es müssen betriebliche Regelungen vorhanden sein, welche mit geeigneten Mitteln sicherstellen, dass die Mitarbeitenden auf einem aktuellen Kenntnisstand sind. Weiterhin sollte den Mitarbeitenden während ihrer Beschäftigung die Möglichkeit gegeben werden, sich im Rahmen ihres Tätigkeitsfeldes weiterzubilden.
Anlage 1: Anforderungen für Praxen, Nr. 6
Überprüfung der Vertrauenswürdigkeit von Mitarbeitenden
(Gültig ab 01.10.2025)
Bei der Einstellung neuer Mitarbeitenden sollte besonders auf ihre Vertrauenswürdigkeit, beispielsweise bei der Prüfung vorliegender Arbeitszeugnisse, geachtet werden. Soweit möglich, sollten alle an der Personalauswahl Beteiligten kontrollieren, ob die Angaben der Bewerbenden, die relevant für die Einschätzung ihrer Vertrauenswürdigkeit sind, glaubhaft sind.
Anlage 1: Anforderungen für Praxen, Nr. 7
Messung und Auswertung des Lernerfolgs
(Gültig ab 01.10.2025)
Die Lernerfolge im Bereich Informationssicherheit sollten zielgruppenbezogen gemessen und ausgewertet werden. Die Ergebnisse sollten bei der Verbesserung des Sensibilisierungs- und Schulungsangebots zur Informationssicherheit in geeigneter Weise einfließen.
Sensibilisierung der Praxisleitung für Informationssicherheit
(Gültig ab 01.10.2025)
Die Praxisleitung muss ausreichend für Sicherheitsfragen sensibilisiert werden. Sicherheitskampagnen oder andere Schulungsmaßnahmen müssen von der Praxisleitung unterstützt werden.
Anlage 1: Anforderungen für Praxen, Nr. 8
Einweisung des Personals in den sicheren Umgang mit IT
(Gültig ab 01.10.2025)
Alle Mitarbeitenden und externen Benutzenden müssen in den sicheren Umgang mit IT-Komponenten eingewiesen und sensibilisiert werden, soweit dies für ihre Arbeitszusammenhänge relevant ist.
Anlage 1: Anforderungen für Praxen, Nr. 9
Durchführung von Sensibilisierungen und Schulungen zur Informationssicherheit
(Gültig ab 01.10.2025)
Alle Mitarbeitenden sollten entsprechend ihren Aufgaben und Verantwortlichkeiten zu Informationssicherheitsthemen geschult werden.
Absicherung der Netzübergangspunkte
Der Übergang zu anderen Netzen insbesondere dem Internet muss durch eine Firewall geschützt werden. Primäres Ziel ist es, keine unerlaubten Verbindungen von außen in das geschützte Netz zuzulassen. Zusätzlich sollten nur erlaubte Verbindungen aus dem geschützten Netz nach außen aufgebaut werden können.
Anlage 1: Anforderungen für Praxen, Nr. 11
Dokumentation des Netzes
Das interne Netz ist inklusive eines Netzplanes zu dokumentieren. Siehe Musterdokument „Muster-Netzplan“ der KBV.
Anlage 1: Anforderungen für Praxen, Nr. 12
Grundlegende Authentisierung für den Netzmanagement-Zugriff
Für den Management-Zugriff auf Netzkomponenten und auf Managementinformationen muss eine geeignete Authentisierung verwendet werden.
Anlage 1: Anforderungen für Praxen, Nr. 13
Alarmierung und Logging
Wichtige Ereignisse auf Netzkomponenten und auf den Netzmanagement-Werkzeugen sollten automatisch an ein zentrales Management-System übermittelt und dort protokolliert werden.
Neben kommerziellen sog. SIEM-Systemen gibt es auch freie Open-Source-Lösungen wie z. B. Icinga.
Anlage 2: Anforderungen für mittlere Praxen, Nr. 1
Planung des internen Netzwerkes
(Gültig ab 01.10.2025)
Bei der Planung des internen Netzwerkes soll eine Netzwerksegmentierung erfolgen, die berücksichtigt, welche Daten in dem jeweiligen Segment verarbeitet und kommuniziert werden. Hierbei soll eine Trennung zwischen Gesundheitsdaten und weniger kritischen Daten erfolgen.
Anlage 3: Anforderungen für Großpraxen, Nr. 2
Absicherung von schützenswerten Informationen
Schützenswerte Informationen müssen über nach dem derzeitigen Stand der Technik sichere Protokolle übertragen werden, falls nicht über vertrauenswürdige dedizierte Netzsegmente kommuniziert wird.
Als sichere Protokolle gelten z. B. VPN, HTTPS, SSH, SFTP, SMBv3 mit Verschlüsselung. Nutzen Sie hierbei Algorithmen und Schlüssellängen, die dem Stand der Technik (BSI TR-02102-1) genügen.
Installation von Updates
(Gültig ab 01.10.2025)
Updates müssen zeitnah nach ihrer Veröffentlichung installiert werden.
Insbesondere Sicherheitsupdates, die ggf. kritische Sicherheitslücken schließen, sollten so schnell wie betrieblich sicher möglich installiert werden.
Beachten Sie bei allen Updates die betrieblichen Belange und ggf. Verfügbarkeit Ihres IT-Dienstleisters, um bei Problemen Unterstützung erhalten zu können.
Anlage 1: Anforderungen für Praxen, Nr. 14
Verantwortlichkeit für Updates
(Gültig ab 01.10.2025)
Es muss festgelegt werden, wer die Updates installiert. Das ausgewählte Personal muss geschult und entsprechend berechtigt werden.
Anlage 1: Anforderungen für Praxen, Nr. 15
Identifizierung ausbleibender Updates
(Gültig ab 01.10.2025)
Hardware, eingesetzte Betriebssysteme, eingesetzte Anwendungen und Dienste, die keine Sicherheitsupdates mehr erhalten, müssen identifiziert werden.
Anlage 1: Anforderungen für Praxen, Nr. 16
Ausmusterung oder Separierung bei ausbleibenden Updates
(Gültig ab 01.10.2025)
Hardware, eingesetzte Betriebssysteme, eingesetzte Anwendungen und Dienste, die keine Sicherheitsupdates mehr erhalten, müssen ausgemustert oder separiert in einem eigenen Netzwerksegment betrieben werden.
Verhinderung der unautorisierten Nutzung von Rechner-Mikrofonen und Kameras
Deaktivieren Sie Mikrofone und Kameras an Ihren Rechnern, wenn sie – auch temporär - nicht verwendet werden. Diese können üblicherweise im Betriebssystem unter den Datenschutzeinstellungen abgeschaltet werden. Kameras können zusätzlich durch eine Abdeckung geschützt werden. Achten Sie auf evtl. vorhandene LED-Indikatoren, die einen möglicherweise nicht erwünschten Zugriff auf Kamera oder Mikrofon anzeigen.
Anlage 1: Anforderungen für Praxen, Nr. 18
Abmelden nach Aufgabenerfüllung
Melden Sie sich nach Ende der Nutzung von Ihrem Endgerät ab oder sperren Sie den Bildschirm. Eine automatische Bildschirmsperre, die den Bildschirm nach z. B. zehn Minuten Inaktivität sperrt, sollte zusätzlich eingerichtet werden.
Anlage 1: Anforderungen für Praxen, Nr. 19
Einsatz von Viren-Schutzprogrammen
Setzen Sie ein aktuelles Virenschutzprogramm ein und halten Sie die Erkennungsdateien aktuell. Eine Übersicht über geeignete Produkte finden Sie z. B. auf www.av-test.org. Bei Windows 11 wird das Schutzprogramm „Windows Defender“ bereits mitgeliefert.
Anlage 1: Anforderungen für Praxen, Nr. 20
Regelmäßige Datensicherung
Erstellen Sie ein Datensicherungskonzept, das regelt, wann und in welchem Umfang Ihre Daten gesichert werden. Falls Sie wesentliche praxisrelevante Daten auf den PCs speichern, müssen auch hier Datensicherungen erfolgen. Das Konzept muss tägliche, wöchentliche und monatliche Teil- und Vollsicherungen festlegen. Speichern Sie Ihre Datensicherung grundsätzlich zusätzlich auch auf entfernbaren Datenträgern oder externen Festplatten, die nach der Sicherung vom Rechner getrennt und an einem sicheren Ort aufbewahrt werden. Der Ort muss diebstahl- und brandgeschützt sein. So sind sie für Schadsoftware wie Verschlüsselungs-Trojaner nicht erreichbar.
Weitere Informationen finden Sie auch im BSI-Grundschutzkompendium im Baustein CON.3.
Anlage 1: Anforderungen für Praxen, Nr. 21
Schutz der Datensicherung
(Gültig ab 01.10.2025)
Die Datensicherung muss vor unbefugtem Zugriff gesichert werden. Dies kann durch Verschlüsselung der Daten vor Speicherung auf einem Datenträger oder durch Verschlüsselung des Datenträgers vor Nutzung erreicht werden.
Auch die Nutzung eines Datensicherungsservers, der die Daten von Server und Clients abholt, kann die Sicherheit erhöhen (Datensicherung im Pull-Prinzip).
Anlage 1: Anforderungen für Praxen, Nr. 22
Art der Datensicherung
(Gültig ab 01.10.2025)
Es muss festgelegt werden, wie die Daten gesichert werden.
Je nach Datenmenge, Änderungshäufigkeit und Aufbewahrungsdauer sollten die Datenträger für die Sicherung ausgewählt werden. Dabei sollte das Grundprinzip 3210 (3 Kopien, auf mindestens 2 unterschiedlichen Datenträgern, 1 Kopie außer Haus, 0 Erreichbarkeit nach der Sicherung (Offline-Datenträger) berücksichtigt werden. Dass die Datenträger nach der Sicherung vom Endgerät abgetrennt werden, schützt vor Verschlüsselungstrojanern, die in den letzten Jahren hohe Schäden angerichtet haben.
Die Datensicherung kann erhebliche Datenmengen umfassen und bei reiner Vollsicherung erhebliche Zeit in Anspruch nehmen. Daher sichert man Daten häufig nach dem Großvater, Vater, Sohn- Prinzip. Was meint dieses Prinzip?
An jedem Wochentag (z.B. Mo-Do) wird beispielsweise auf je einem Datenträger eine Datensicherung durchgeführt (z.B. Differenzsicherung als Tagessicherung oder Sohn). In den drei ersten Wochen eines Monats wird am Freitag auf je einem Datenträger eine Datensicherung durchgeführt (z.B. Vollsicherung als Wochensicherung oder Vater). Und am Ende der vierten Woche eines Monats in einem Jahr wird ein Backup auf je einem Großvater-Medium (z.B. Vollsicherung als Monatssicherung oder Großvater) durchgeführt. Mit 19 Datenträgern kann (ausreichend Speicherplatz je Datenträger vorausgesetzt) jeder Tag für ein komplettes Jahr wiederhergestellt werden.
Anlage 1: Anforderungen für Praxen, Nr. 23
Verantwortliche der Datensicherung
(Gültig ab 01.10.2025)
Es muss festgelegt werden, wer für die Datensicherung zuständig ist. Legen Sie für Urlaubs- und Krankheitsfälle Vertretungen fest und vermerken diese in Ihrem Datensicherungskonzept oder ihrem IT-Handbuch.
Anlage 1: Anforderungen für Praxen, Nr. 24
Test der Datensicherung
(Gültig ab 01.10.2025)
Es sollte getestet werden, ob gesicherte Daten funktionsfähig und vollständig vorhanden sind.
Prüfen Sie regelmäßig z.B. jedes Quartal, ob auf dem Datenträger die Sicherungen mit erwartetem Datum und Datenmengen vorhanden, der Datenträger lesbar und die Datensicherung wiederherstellbar ist. Mindestens eine Stichprobe von Dateien, besser alle sollten testweise wiederhergestellt werden.
Wir empfehlen eine jährliche „Katastrophenübung“ mit Probe einer Wiederherstellung von Server und Client, um die vollständige Funktion der Datensicherung zu prüfen.
Anlage 1: Anforderungen für Praxen, Nr. 25
Der Zugriff auf Geräte und Software muss abgesichert werden.
(Gültig ab 01.10.2025)
Es sollten Benutzer und Rollen in der Praxissoftware zum Steuern der Zugriffe auf Patientendaten oder zur Nutzung von Sicherheitskarten wie z.B. den eHBA für den Inhaber der Karte eingerichtet werden.
Anlage 1: Anforderungen für Praxen, Nr. 26
Nutzung von verschlüsselten Kommunikationsverbindungen
Benutzer sollten darauf achten, dass zur Verschlüsselung von Kommunikationsverbindungen kryptografische Algorithmen nach dem Stand der Technik wie z.B. TLS verwendet werden.
Anlage 2: Anforderungen für mittlere Praxen, Nr. 2
Restriktive Rechtevergabe
Legen Sie für jeden Benutzer einen eigenen Account an. Logins dürfen nicht von mehreren Benutzern gemeinsam genutzt werden. Fassen Sie Benutzer mit gleichen Berechtigungen zu Gruppen zusammen. Arbeiten Sie nur mit dem Administrator-Konto, wenn Sie wirklich Administrator-Rechte benötigen. Halten Sie den Kreis der Administratoren klein.
Legen Sie Freigaben nur an, wenn dies unumgänglich ist. Schützen Sie insbesondere auch Systemdateien vor unberechtigtem Zugriff.
Lassen Sie sich von dem Prinzip leiten, dass jeder Mitarbeiter nur so viele Berechtigungen erhält, wie er zur Erfüllung seiner Aufgaben benötigt (Need-to-know-Prinzip).
Unterziehen Sie die Berechtigungen einer regelmäßigen Revision. Denken Sie bitte auch daran, Personalzu- und abgänge zu berücksichtigen.
Konfiguration von Synchronisationsmechanismen
Die Synchronisierung von Nutzerdaten mit Microsoft-Cloud-Diensten sollte vollständig deaktiviert werden (z.B. One-Drive oder „optionale verbundene Erfahrungen“).
Anlage 1: Anforderungen für Praxen, Nr. 27
Datei- und Freigabeberechtigungen
Legen Sie für jeden Benutzer einen eigenen Account an. Logins dürfen nicht von mehreren Benutzern gemeinsam genutzt werden. Fassen Sie Benutzer mit gleichen Berechtigungen zu Gruppen zusammen. Arbeiten Sie nur mit dem Administrator-Konto, wenn Sie wirklich Administrator-Rechte benötigen. Halten Sie den Kreis der Administratoren klein.
Legen Sie Freigaben nur an, wenn dies unumgänglich ist. Schützen Sie insbesondere auch Systemdateien vor unberechtigtem Zugriff.
Lassen Sie sich von dem Prinzip leiten, dass jeder Mitarbeiter nur so viele Berechtigungen erhält, wie er zur Erfüllung seiner Aufgaben benötigt (Need-to-know-Prinzip).
Unterziehen Sie die Berechtigungen einer regelmäßigen Revision. Denken Sie bitte auch daran, Personalzu- und abgänge zu berücksichtigen.
Anlage 1: Anforderungen für Praxen, Nr. 28
Datensparsamkeit
Verarbeiten Sie so wenig personenbezogene Daten wie möglich und beachten Sie dabei die Zweckbindung. Löschen Sie zeitnah nicht mehr benötigte Daten gemäß den Angaben in Ihrem Verzeichnis der Verarbeitungstätigkeiten (Artikel 30 Datenschutzgrundverordnung (DSGVO)).
Anlage 1: Anforderungen für Praxen, Nr. 29
Sichere zentrale Authentisierung in Windows-Netzen
In reinen Windows-Netzen sollte zur zentralen Authentisierung für Single Sign On (SSO) ausschließlich Kerberos eingesetzt werden.
Hierzu ist üblicherweise ein zentraler Verzeichnisdienst für Windows (Active Directory) zu installieren. Wegen der Komplexität des Themas empfehlen wir Ihnen, sich ggfs. mit Ihrem IT-Dienstleister in Verbindung zu setzen.
Verwendung der SIM-Karten-PIN
Schützen Sie Ihre SIM-Karten durch eine individuelle PIN. Die zugehörige PUK sollte nur einem für die Geräte zuständigen Mitarbeiterkreis bekannt sein.
Anlage 1: Anforderungen für Praxen, Nr. 30
Sichere Grundkonfiguration für mobile Geräte
Alle mobilen Endgeräte müssen so konfiguriert sein, dass sie das erforderliche Schutzniveau angemessen erfüllen. Dafür muss eine passende Grundkonfiguration der Sicherheitsmechanismen und -Einstellungen zusammengestellt und dokumentiert werden. Nicht benötigte Funktionen sollten deaktiviert werden.
Die Freischaltung von Kommunikationsschnittstellen (z.B. WLAN, Bluetooth, NFC) muss geregelt und auf das dienstlich notwendige Maß reduziert werden. Nicht benutzte Schnittstellen sollten deaktiviert werden.
Überprüfen Sie regelhaft die Datenschutzeinstellungen der Anwendungen (Apps). Wenn sie sich unsicher sind, verweigern sie sämtliche Zugriffe. Deinstallieren Sie Apps, die nicht benötigt werden.
Anlage 1: Anforderungen für Praxen, Nr. 31
Verwendung eines Zugriffschutzes
Verwenden Sie für die mobilen Geräte einen angemessen komplexen Sperrcode und aktivieren Sie die Bildschirmsperre, auch die automatische nach kurzer Zeit der Inaktivität. Schalten Sie alle Benachrichtigungen ab, die ggfs. auf dem Sperrbildschirm angezeigt werden. Aktivieren Sie die Verschlüsselungsoptionen für eine möglicherweise vorhandene SD-Karte (nur Android). Aktivieren Sie das automatische Löschen von Daten („Auto Factory Reset“ unter Android) nach z. B. zehn in Folge fehlgeschlagenen Anmeldeversuchen. Diese Option steht Ihnen unter Android und iOS zur Verfügung.
Anlage 1: Anforderungen für Praxen, Nr. 32
Datenschutz-Einstellungen
Jeder App dürfen nur die minimal notwendigen Berechtigungen zugewiesen werden. Hierbei geht es beispielsweise um den Zugriff auf Kamera, Mikrofon, Standort, Telefon, SMS, Kontaktlisten, Speicher etc.
Anlage 1: Anforderungen für Praxen, Nr. 33
Richtlinie für Mitarbeitende zur Benutzung von mobilen Geräten
Es sollte eine verbindliche Richtlinie für Mitarbeitende zur Benutzung von mobilen Geräten erstellt werden.
Regeln Sie u. a. auch, wie die Geräte aufzubewahren sind und was bei Verlust zu tun ist. Siehe Musterdokument „Muster Richtlinie - Mobile Geräte“ der KBV.
Anlage 2: Anforderungen für mittlere Praxen, Nr. 5
Verwendung von Sprachassistenten
Sprachassistenten sollten nur eingesetzt werden, wenn sie zwingend notwendig sind.
Anlage 2: Anforderungen für mittlere Praxen, Nr. 6
Festlegung einer Richtlinie für den Einsatz von Smartphones und Tablets
Bevor eine Praxis Smartphones oder Tablets bereitstellt, betreibt oder einsetzt, muss eine generelle Richtlinie im Hinblick auf die Nutzung und Kontrolle der Geräte festgelegt werden.
Anlage 3: Anforderungen für Großpraxen, Nr. 4
Auswahl und Freigabe von Apps
Apps aus öffentlichen App-Stores sollten vor einer gewünschten Installation durch die Verantwortlichen geprüft und freigegeben werden.
Anlage 3: Anforderungen für Großpraxen, Nr. 5
Definition der erlaubten Informationen und Applikationen auf mobilen Geräten
Die Praxis sollte festlegen, welche Informationen auf den mobilen Endgeräten verarbeitet werden dürfen.
Sperrmaßnahmen bei Verlust eines Mobiltelefons
Bei Verlust eines Mobiltelefons muss die darin verwendete SIM-Karte zeitnah gesperrt werden. Die dafür notwendigen Mobilfunkanbieter-Informationen sind zu hinterlegen, um bei Bedarf darauf zugreifen zu können.
Anlage 1: Anforderungen für Praxen, Nr. 34
Nutzung der Sicherheitsmechanismen von Mobiltelefonen
Alle verfügbaren Sicherheitsmechanismen sollten auf den Mobiltelefonen, wie bei den Smartphones und Tablet, genutzt und als Standard-Einstellung vorkonfiguriert werden.
Anlage 1: Anforderungen für Praxen, Nr. 35
Sicherheitsrichtlinien und Regelungen für die Mobiltelefon-Nutzung
Werden Mobiltelefone für dienstliche Zwecke verwendet, muss eine Nutzungs- und Sicherheitsrichtlinie erstellt werden. Regeln Sie insbesondere die Erstkonfiguration, Beschaffung, Administration und Verlustmeldung etc.
Orientieren Sie sich hierbei an dem Musterdokument „Muster Richtlinie - Mobile Geräte“ der KBV.
Anlage 2: Anforderungen für mittlere Praxen, Nr. 7
Sichere Datenübertragung über Mobiltelefone
Es sollte geregelt sein, welche Daten über Mobiltelefone übertragen werden dürfen. Diese sind zu verschlüsseln.
Da Mobiltelefone nur sehr eingeschränkte Möglichkeiten der Datenübermittlung bieten, dürfte dieser Punkt in den allermeisten Fällen für Sie nicht relevant sein.
Schutz vor Schadsoftware
Wechseldatenträger müssen bei jeder Verwendung mit einem aktuellen Schutzprogramm auf Schadsoftware überprüft werden. Nutzen Sie für die Datenbegutachtung ggf. ein Endgerät ohne Verbindung zum Netzwerk mit Patientendaten. Dieser kann auch für die Überprüfung von Datenträgern verwendet werden.
Anlage 1: Anforderungen für Praxen, Nr. 36
Angemessene Kennzeichnung der Datenträger beim Versand
Beim Versand von Datenträgern sollte der Absender diese für den Empfänger eindeutig kennzeichnen. Dabei sollte die Kennzeichnung möglichst keine Rückschlüsse auf den Inhalt für andere ermöglichen.
Anlage 1: Anforderungen für Praxen, Nr. 37
Sichere Versandart und Verpackung
Zum Versand von Datenträgern sollten Versandanbieter mit sicherem Nachweis-System und eine möglichst manipulationssichere Versandart und Verpackung gewählt werden. Versenden Sie keine USB-Sticks per Geschäftsbrief.
Anlage 1: Anforderungen für Praxen, Nr. 38
Sicheres Löschen der Datenträger vor und nach der Verwendung
Alle Datenträger müssen nach ihrer Verwendung durch den jeweiligen Mitarbeiter /Mitarbeiterin sicher und vollständig gelöscht werden. Hierzu verwenden Sie vom BSI empfohlene Programme bzw. bei Datenträgern vom SSD-Typ oder USB-Sticks die Programme des jeweiligen Herstellers. Alternativ beauftragen Sie einen Dienstleister mit der Entsorgung/Zerstörung der Datenträger.
Anlage 1: Anforderungen für Praxen, Nr. 39
Regelung zur Mitnahme von Wechseldatenträgern
Es sollte klare schriftliche Regeln dazu geben, ob, wie und zu welchen Anlässen Wechseldatenträger mitgenommen werden dürfen. Regeln Sie insbesondere die Prüfung auf Malware, Datenverschlüsselung, Entsorgung und Verlustmeldung etc. Orientieren Sie sich hierbei an dem Musterdokument „Muster-Richtlinie – Wechseldatenträger“ der KBV.
Anlage 2: Anforderungen für mittlere Praxen, Nr. 9
Datenträgerverschlüsselung
Wechseldatenträger sollten vollständig verschlüsselt werden. Es sollte ein sicheres Verschlüsselungsverfahren eingesetzt werden. Empfehlungen zu geeigneten Algorithmen und Schlüssellängen bieten die Technischen Richtlinien des BSI (TR-02102). Mittels Open-Source-Lösungen wie VeraCrypt können entsprechend verschlüsselte Container angelegt werden.
Anlage 3: Anforderungen für Großpraxen, Nr. 13
Integritätsschutz durch Checksummen oder digitale Signaturen
Ein Verfahren zum Schutz gegen zufällige oder vorsätzliche Veränderungen sollte eingesetzt werden. Sichern Sie optional die Integrität der Daten auf den mobilen Datenträgern durch Aufbringung einer qualifizierten elektronischen Signatur (QES). Hierzu kann freie Software, wie z. B. GnuPG eingesetzt werden.
Anlage 3: Anforderungen für Großpraxen, Nr. 14
Sichere Konfiguration der E-Mail-Clients
(Gültig ab 01.10.2025)
Bei der Konfiguration der E-Mail-Clients muss mindestens Folgendes berücksichtigt werden:
- Dateianhänge von E-Mails sollten vor dem Öffnen auf Schadsoftware geprüft werden
- Die automatische Interpretation von HTML-Code und anderen aktiven Inhalten in E-Mails sollte deaktiviert werden.
- Zur Kommunikation mit E-Mail-Servern über nicht vertrauenswürdige Netze sollte eine sichere Transportverschlüsselung eingesetzt werden.
Anlage 1: Anforderungen für Praxen, Nr. 40
Umgang mit Spam durch Benutzende
(Gültig ab 01.10.2025)
Grundsätzlich sollten die Benutzenden alle Spam-E-Mails ignorieren und löschen. Die Benutzenden sollten auf unerwünschte E-Mails nicht antworten. Sie sollten Links in diesen E-Mails nicht folgen.
Anlage 1: Anforderungen für Praxen, Nr. 41
Sicherer Betrieb von E-Mail-Servern
(Gültig ab 01.10.2025)
Bei dem Betrieb von E-Mail-Servern muss mindestens Folgendes berücksichtigt werden:
- es muss eine sichere Transportverschlüsselung für das Senden und Empfangen von E-Mails ermöglicht werden
- es sollten Schutzmechanismen gegen Denial-of-Service (DoS)-Attacken ergriffen werden
- E-Mail-Server müssen so konfiguriert werden, dass sie nicht als Spam-Relay missbraucht werden können.
Anlage 3: Anforderungen für Großpraxen, Nr. 15
Datensicherung und Archivierung von E-Mails
(Gültig ab 01.10.2025)
Die Daten der E-Mail-Server und -Clients sind regelmäßig und verschlüsselt zu sichern.
Anlage 3: Anforderungen für Großpraxen, Nr. 16
Spam- und Virenschutz auf dem E-Mail-Server
(Gültig ab 01.10.2025)
Eingehende und ausgehende E-Mails und deren Anhänge sind auf Spam-Merkmale und schädliche Inhalte zu überprüfen.
Sichere Apps nutzen
Apps sollten nur aus den offiziellen Stores („Google Play“ von Google, „App Store“ von Apple und „Microsoft Store“ von Microsoft) geladen werden. Sofern Apps nicht mehr benötigt werden, ist der Benutzeraccount in der App / das Benutzerkonto zu löschen und danach die App auf dem Gerät zu deinstallieren. Deaktivieren Sie in den Sicherheitseinstellungen Ihres Smartphones die Möglichkeit, Applikationen unbekannter Herkunft zu installieren.
Anlage 1: Anforderungen für Praxen, Nr. 42
Sichere Speicherung lokaler App-Daten
Es sollten nur Apps genutzt werden, die Dokumente verschlüsselt und lokal abspeichern.
Android-Geräte und iOS-Geräte verschlüsseln standardmäßig das komplette Gerät. Dafür muss beim Smartphone oder Tablet eine PIN, ein Passwort oder eine Code-Sperre eingerichtet sein. Automatischer Upload in die Cloud des Geräteanbieters sollte verhindert werden, die Geräteverschlüsselung sollte aktiviert bleiben. Wenn möglich auch zusätzliche SD-Karten verschlüsseln.
Anlage 1: Anforderungen für Praxen, Nr. 43
Verhinderung von Datenabfluss
Der Zugriff von Apps auf vertrauliche Daten muss durch restriktive Datenschutz-Einstellungen so weit wie möglich eingeschränkt werden. Verwenden Sie für vertrauliche Informationen nur Apps von Organisationen, die Ihnen bekannt sind und die bestenfalls für den Einsatz im medizinischen Umfeld in Deutschland getestet und freigegeben sind (z. B. Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM)).
Anlage 1: Anforderungen für Praxen, Nr. 44
Minimierung und Kontrolle von App-Berechtigungen
Die Berechtigungen von Apps sind auf das notwendige Minimum einzuschränken bzw. zu vergeben. Hierbei geht es beispielsweise um den Zugriff auf Kamera, Mikrofon, Standort, Telefon, SMS, Kontaktlisten, Speicher etc.
Authentisierung bei Webanwendungen
Sollten Sie als Praxis einen Webdienst anbieten:
- Der IT-Betrieb muss Webanwendungen und Webservices so konfigurieren, dass sich Clients gegenüber der Webanwendung oder dem Webservice authentisieren müssen, wenn diese auf geschützte Ressourcen zugreifen wollen.
- Dafür muss eine angemessene Authentisierungsmethode ausgewählt werden. Der Auswahlprozess sollte dokumentiert werden.
- Der IT-Betrieb muss geeignete Grenzwerte für fehlgeschlagene Anmeldeversuche festlegen.
Anlage 1: Anforderungen für Praxen, Nr. 45
Schutz vertraulicher Daten
Sollten Sie als Praxis einen Webdienst anbieten:
- Der IT-Betrieb muss sicherstellen, dass Zugangsdaten zur Webanwendung oder zum Webservice serverseitig mithilfe von sicheren kryptografischen Algorithmen vor unbefugtem Zugriff geschützt werden. Dazu müssen Salted Hash-Verfahren verwendet werden.
- Die Dateien mit den Quelltexten der Webanwendung oder des Webservices müssen vor unerlaubten Abrufen geschützt werden.
Anlage 1: Anforderungen für Praxen, Nr. 46
Einsatz von Web Application Firewalls
Sollten Sie als Praxis einen Webdienst anbieten:
- Institutionen sollten eine Web Application Firewall (WAF) einsetzen. Die Konfiguration der eingesetzten WAF sollte auf die zu schützende Webanwendung oder den Webservice angepasst werden.
- Nach jedem Update der Webanwendung oder des Webservices sollte die Konfiguration der WAF geprüft werden.
Es handelt sich hierbei nicht um eine Standard-Firewall, sondern um eine sog. Application Layer Firewall, die auf das Protokoll HTTP spezialisiert ist. Da die Konfiguration einer solchen Firewall sehr komplex ist, sprechen Sie bitte ggfs. Ihren IT-Dienstleister an.
Anlage 1: Anforderungen für Praxen, Nr. 47
Schutz vor unerlaubter automatisierter Nutzung von Webanwendungen
Sollten Sie als Praxis einen Webdienst anbieten:
- Der IT-Betrieb muss sicherstellen, dass Webanwendungen und Webservices vor unberechtigter automatisierter Nutzung geschützt werden. Dabei muss jedoch berücksichtigt werden, wie sich die Schutzmechanismen auf die Nutzungsmöglichkeiten berechtigter Clients auswirken.
- Wenn die Webanwendung RSS-Feeds oder andere Funktionen enthält, die explizit für die automatisierte Nutzung vorgesehen sind, muss dies ebenfalls bei der Konfiguration der Schutzmechanismen berücksichtigt werden.
Die Maßnahmen müssen bereits bei der Entwicklung berücksichtigt werden. Mögliche Maßnahmen sind z.B. Captcha-Mechanismen, Anmeldeverzögerungen bei falscher Passworteingabe oder Begrenzung der Anmeldeversuche.
Kryptografische Sicherung vertraulicher Daten
Bei der Nutzung von Webanwendungen ist darauf zu achten, dass eine verschlüsselte Kommunikation zum Einsatz kommt (z.B. https statt http).
Sicherheit von Cloud-Dienstleistern
(Gültig ab 01.10.2025)
Soweit Sozial- oder Gesundheitsdaten im Wege des Cloud-Computing verarbeitet werden sollen, muss der Anbieter der eingesetzten Cloud-Anwendung über ein aktuelles C5-Testat entsprechend § 393 SGB V in Verbindung mit § 384 SGB V verfügen. Beachten Sie auch die Anforderungen an den Nutzer (die Praxis) die sich aus dem C5-Testat ergeben und prüfen Sie, ob diese erfüllbar sind.
Sichere Anbindung der mobilen Endgeräte an die Institution
Die Verbindung der mobilen Endgeräte zum MDM und das interne Netz der Institution muss angemessen abgesichert werden. Kommerzielle MDM-Systeme (wie Citrix XenMobile, Cortado etc.) bieten die geforderte sichere Anbindung an das Praxisnetz in der Regel „out of the box“ an. Wenn Daten zwischen den mobilen Endgeräten und dem IT-Netz der Institution übertragen werden, sollte durch geeignete Maßnahmen (z. B. VPN) verhindert werden, dass Unbefugte sie verändern oder einsehen können.
Anlage 3: Anforderungen für Großpraxen, Nr. 7
Berechtigungsmanagement im MDM
Für das MDM muss ein Berechtigungskonzept erstellt, dokumentiert und angewendet werden. Den Benutzergruppen und Administratoren sollte das MDM nur so viele Berechtigungen einräumen wie für die Aufgabenerfüllung notwendig sind (Minimalprinzip). Es sollte regelmäßig überprüft werden, ob die zugeteilten Rechte noch angemessen sind und den Aufgaben entsprechen.
Anlage 3: Anforderungen für Großpraxen, Nr. 8
Verwaltung von Zertifikaten
Zertifikate zur Nutzung von Diensten auf dem mobilen Endgerät sollten zentral über das MDM installiert, deinstalliert und aktualisiert werden. Die Installation von nicht vertrauenswürdigen und nicht verifizierbaren (Root-) Zertifikaten durch den Benutzer sollte durch das MDM verhindert werden. Das MDM sollte Mechanismen unterstützen, um die Gültigkeit von Zertifikaten zu überprüfen.
Anlage 3: Anforderungen für Großpraxen, Nr. 9
Fernlöschung und Außerbetriebnahme von Endgeräten
Das MDM muss sicherstellen, dass sämtliche Daten auf dem mobilen Endgerät aus der Ferne gelöscht werden können (Remote Wipe bei bestehender Datenverbindung). Werden in dem mobilen Endgerät externe Speicher genutzt, sollte geprüft werden, ob diese bei einem Remote Wipe ebenfalls gelöscht werden können. Diese Funktion sollte vom MDM unterstützt werden. Der Prozess zur Außerbetriebnahme des mobilen Endgerätes (Unenrollment) muss sicherstellen, dass keine schutzbedürftigen Daten auf dem mobilen Endgerät oder eingebundenen Speichermedien verbleiben. Dies sollte insbesondere dann gelten, wenn das Unenrollment aus der Ferne ausgeführt wird.
Anlage 3: Anforderungen für Großpraxen, Nr. 10
Auswahl und Freigabe von Apps
Nur durch die Verantwortlichen geprüfte und freigegebene Apps dürfen über das MDM zur Installation angeboten werden. Dazu sollte ein Freigabeprozess entwickelt werden, in dem auch geeignete Bewertungskriterien definiert sind. Alle freigegebenen Apps sollten intern in einem Standardkatalog veröffentlicht werden und dort für die Benutzer verfügbar sein. Apps sollten gemäß den Anforderungen des geplanten Einsatzszenarios über das MDM installiert, deinstalliert und aktualisiert werden. Das MDM sollte die Installation, Deinstallation und Aktualisierung erzwingen, sobald eine Verbindung zum mobilen Endgerät besteht.
Anlage 3: Anforderungen für Großpraxen, Nr. 11
Festlegung erlaubter Informationen auf mobilen Endgeräten
Die Institution muss festlegen, welche Informationen die mobilen Endgeräte unter welchen Bedingungen verarbeiten dürfen. Grundlage für die Regelung sollten einerseits die Klassifikation bzw. der Schutzbedarf der Informationen sein und andererseits die Bedingungen, unter denen die Daten auf den Geräten verarbeitet werden, etwa in abgeschotteten Containern. Die Verantwortlichen müssen das MDM auf Basis dieser Regeln konfigurieren, sodass es diese auf allen mobilen Endgeräten durchsetzen kann. Den Benutzern müssen die Regeln in geeigneter Weise bekannt gegeben werden.
Einschränkung des Zugriffs für Konfigurations- und Wartungsschnittstellen
Es muss sichergestellt werden, dass nur zuvor festgelegte berechtigte Mitarbeiter auf Konfigurations- und Wartungsschnittstellen von medizinischen Großgeräten zugreifen können. Standardmäßig eingerichtete bzw. herstellerseitig gesetzte Passwörter müssen gewechselt werden. Der Wechsel muss dokumentiert und das Passwort sicher hinterlegt werden. Standardmäßig eingerichtete bzw. herstellerseitig gesetzte Benutzerkonten sollten gewechselt werden.
Anlage 4: Anforderungen für Medizinische Großgeräte, Nr. 1
Nutzung sicherer Protokolle für die Konfiguration und Wartung
Für die Konfiguration und Wartung von medizinischen Großgeräten müssen sichere Protokolle (z.B. https, VPN, ssh) genutzt werden. Die Daten müssen beim Transport vor unberechtigtem Mitlesen und Veränderungen geschützt werden.
Anlage 4: Anforderungen für Medizinische Großgeräte, Nr. 2
Protokollierung
Generell müssen alle sicherheitsrelevanten Systemereignisse protokolliert und bei Bedarf ausgewertet werden.
- Um Fehlfunktionen und mögliche Sicherheitsvorfälle erkennen zu können, müssen die Protokollfunktionalitäten der medizinischen Großgeräte entsprechend konfiguriert und ausgewertet werden.
- Protokollieren Sie Systemereignisse - nicht die medizinischen Daten.
- Bewahren Sie die Protokolldaten nicht zu lange, aber auch nicht zu kurz auf, z.B. für ein halbes Jahr. Die Vorgaben der DSGVO sind dabei einzuhalten.
- Bestimmen Sie, wer Zugriff auf die Protokolldaten erhält, z.B. die Administratoren.
- Ab mittleren Praxen binden Sie die Protokollierung in die zentrale Protokollierung der Anlage 2, Anforderung 11 mit ein.
Anlage 4: Anforderungen für Medizinische Großgeräte, Nr. 3
Deaktivierung nicht genutzter Dienste, Funktionen und Schnittstellen
Alle nicht genutzten Dienste, Funktionen und Schnittstellen der medizinischen Großgeräte müssen soweit möglich deaktiviert oder deinstalliert werden. Verifizieren Sie, dass auf die medizinischen Großgeräte nicht von außerhalb ihrer Praxis zugegriffen werden kann. Deaktivieren Sie ggf. ungewollte Dienste der vernetzten Medizintechnik oder passen Sie ihre Firewall-Konfiguration an.
Anlage 4: Anforderungen für Medizinische Großgeräte, Nr. 4
Deaktivierung nicht genutzter Benutzerkonten
Nicht genutzte und unnötige Benutzerkonten müssen deaktiviert werden. Benutzerkonten zur Fernwartung sollten außerhalb der Wartungszeiten deaktiviert werden.
Anlage 4: Anforderungen für Medizinische Großgeräte, Nr. 5
Netzsegmentierung
Medizinische Großgeräte sollten von der weiteren IT getrennt werden. Um die medizinischen Großgeräte - z.B. bei ausbleibenden Sicherheitsupdates der Hersteller - zu schützen, sollten diese von der weiteren IT durch Netzwerksegmente oder -Zonen getrennt und die erlaubten Kommunikationsverbindungen auf das notwendige Maß beschränkt werden.
Planung und Durchführung der Installation
Die von der gematik GmbH auf Ihrer Website zur Verfügung gestellten Informationen für die Installation der TI-Komponenten müssen berücksichtigt werden. Lassen Sie sich das Installationsprotokoll und die vom Dienstleister erstellten Dokumentation aushändigen und bewahren Sie diese sicher auf.
Anlage 5: Anforderungen für Dezentrale Komponenten der TI, Nr. 1
Betrieb
Die Anwender- und Administrationsdokumentationen der gematik GmbH und der Hersteller der TI-Komponenten, insbesondere die Hinweise zum sicheren Betrieb der Komponenten, müssen berücksichtigt werden. Weitere Informationen dazu stellt die gematik zur Verfügung sowie die Hersteller der TI-Komponenten.
Anlage 5: Anforderungen für Dezentrale Komponenten der TI, Nr. 2
Schutz vor unberechtigtem physischem Zugriff
Die TI-Komponenten in der Praxis müssen entsprechend den Vorgaben im jeweiligen Handbuch vor dem Zugriff Unberechtigter geschützt werden.
Anlage 5: Anforderungen für Dezentrale Komponenten der TI, Nr. 3
Internetverbindung parallel zur TI-Anbindung
Existiert zusätzlich zur TI-Anbindung eine Internetverbindung, müssen zusätzliche Maßnahmen ergriffen werden, um die mit dem Internet verbundene Praxis auf Netzebene zu schützen. Überprüfen Sie bei einer parallelen Installation des Konnektors, ob Ihr Netz durch eine Firewall (Vergleich Anlage 1, Nummer 11) ausreichend geschützt ist.
Anlage 5: Anforderungen für Dezentrale Komponenten der TI, Nr. 4
Zeitnahes Installieren verfügbarer Aktualisierungen
Die TI-Komponenten in der Praxis müssen regelmäßig auf verfügbare Aktualisierungen geprüft werden und verfügbare Aktualisierungen müssen zeitnah installiert werden. Bei Verfügbarkeit einer Funktion für automatische Updates sollte diese aktiviert werden.
Anlage 5: Anforderungen für Dezentrale Komponenten der TI, Nr. 8
Sicheres Aufbewahren von Administrationsdaten
Die im Zuge der Installation der TI-Komponenten eingerichteten Administrationsdaten, insbesondere auch Passwörter für den Administrator-Zugang, müssen sicher aufbewahrt werden. Jedoch muss gewährleistet sein, dass der Leistungserbringer auch ohne seinen Dienstleister die Daten kennt.
Wenn der Dienstleister die Informationen nicht zur Verfügung stellen möchte, achten Sie auf eine vertraglich vereinbarte, angemessen kurze Reaktionszeit und eine Herausgabe der Informationen am Ende des Vertrages. Eine weitere Möglichkeit ist es die Administrationsdaten in einem versiegelten Umschlag zu erhalten, um im Notfall auf die TI-Komponenten zugreifen zu können. Wenn der Umschlag geöffnet wurde, ist dies dem Dienstleister anzuzeigen.
Anlage 5: Anforderungen für Dezentrale Komponenten der TI, Nr. 9
Verbindung absichern
(gültig ab 01.10.2025)
Um die Verbindung zu einem gehosteten Konnektor vor unberechtigten Zugriff zu schützen, muss ein VPN-Tunnel zwischen Praxis und Konnektor eingerichtet und aufgebaut werden.
Anlage 5: Anforderungen für Dezentrale Komponenten der TI, Nr. 5
Beachtung der Vorgaben des TI-Gateway-Anbieters
(gültig ab 01.10.2025)
Die TI-Komponenten in der Praxis müssen entsprechend den Vorgaben im jeweiligen Handbuch des TI-Gateway-Anbieters konfiguriert und betrieben werden.
Anlage 5: Anforderungen für Dezentrale Komponenten der TI, Nr. 6
Geschützte Kommunikation mit dem Konnektor/TI-Gateway
Es müssen Authentisierungsmerkmale für die Clients (Zertifikate oder Username und Passwort) erstellt und in die Clients eingebracht bzw. die Clients entsprechend konfiguriert werden. Aktivieren Sie die TLS-Verbindung vom Praxisverwaltungssystem (PVS) zum Konnektor, und die Authentisierungsmöglichkeit am Konnektor.
Für die Authentisierung mittels X.509 Clientauthentisierung, muss ein Zertifikat im Konnektor generiert, und das PVS inklusive PIN und Zugriff auf den privaten Schlüssel konfiguriert, oder ein Konnektor-fremdes X.509 Zertifikat muss im PVS inklusive PIN und Zugriff auf den privaten Schlüssel und im Konnektor konfiguriert werden.
Anlage 5: Anforderungen für Dezentrale Komponenten der TI, Nr. 7
Grundlegende Empfehlungen der KVWL zur IT-Sicherheit
Diese Empfehlungen stellen ergänzende Informationen der KVWL zur IT-Sicherheit in Ihren Praxen dar. Die erste Version aus Januar 2020 ist im März 2021 an die Anforderungen der IT-Sicherheitsrichtlinie angepasst worden. Die Umsetzung dieser grundlegenden Empfehlungen ist gesetzlich nicht vorgeschrieben. Sie ersetzen nicht die IT-Sicherheitsrichtlinie sowie die individuelle eigene Analyse und Risikobewertung, die sinnvollerweise auch einen externen Systembetreuer miteinschließen sollte.
- Schalten Sie die WLAN-Funktion aus, wenn sie nicht zwingend benötigt wird.
- Stellen Sie Server und Netzwerkkomponenten zutrittsgeschützt auf (z. B. abgeschlossener Raum oder abgeschlossener Schrank).
- Schalten Sie die Verschlüsselung (mindestens WPA2) an, falls WLAN für interne Zwecke der Praxis nötig ist. Nutzen Sie lange und sichere Passwörter zur Einwahl. Schalten Sie den Netzwerknamen (SSID) auf unsichtbar. Legen Sie die zugelassenen Geräte im Router fest (MAC-Filter).
- Nutzen Sie die Gast-WLAN-Funktionen des Routers, falls Sie Ihren Patienten ein WLAN im Wartezimmer bereitstellen möchten. Hierdurch wird Ihr internes WLAN vom Gast-WLAN getrennt.
- Schalten Sie die im DSL-Router enthaltene Firewallfunktion ein. Sperren Sie dabei alle Netzverbindungen von außen.
- Schalten Sie mindestens die in Windows enthaltene Firewallfunktion ein. Oft bringen heute die Sicherheitsprogramme namhafter Hersteller neben dem Virenschutzprogramm auch eine Firewallfunktion mit, die verwendet werden kann.
- Vergeben Sie unterschiedliche Passwörter für die Anmeldung am Betriebssystem und an Ihrem Praxisverwaltungssystem (PVS), sowie für jede Internetanwendung, die Sie nutzen.
- Richten Sie zum Schutz vor Daten-Diebstahl eine Festplattenverschlüsselung ein. Wenn hierbei – abhängig vom Betriebssystem und verwendeter Software – Passwörter nötig sind, verwenden Sie hierfür komplexe Passwörter und hinterlegen diese an sicheren Stellen (z. B. Passwort-Tresor-Programme).
- Installieren Sie keine dienstlich unnötigen Programme (Spiele, Chats, Video etc.) auf den Praxisrechnern.
- Schalten Sie den Passwortschutz des Gerätes ein, ggf. kombiniert mit Fingerabdruck oder Gesichtserkennung.
- Speichern Sie keine unverschlüsselten Patientendaten auf Smartphones oder Tablets.
- Schalten Sie zum Schutz der eigenen Daten, Bilder, Kontakte oder Kalender insbesondere bei Android-Geräten auch die Verschlüsselung des Speichers ein.
- Deaktivieren Sie die Synchronisation Ihrer Daten mit der Hersteller-Cloud.
- Vernichten Sie alte Festplatten mit Patientendaten physisch oder überschreiben Sie diese mehrfach mit Zufallsdaten; hierzu verwenden Sie vom BSI empfohlene Programme bzw. bei neueren Festplatten des SSD-Typs die Programme des jeweiligen Herstellers. Alternativ beauftragen Sie einen Dienstleister mit der Entsorgung/Zerstörung der Platten.
- Versenden Sie personenbezogene / medizinische Daten verschlüsselt. Nutzen Sie hierzu die vom BSI empfohlenen Programme bzw. Standards wie S/MIME oder GnuPG. Für einzelne Dateien im Mailanhang kann auch die Verschlüsselung von Archivprogrammen wie WinZIP oder 7zip verwendet werden.
- Trennen Sie private und dienstliche Mailkonten, da sonst die Angriffsfläche vergrößert wird.
- Trennen Sie zusätzlich Internetrecherche und E-Mail von den Systemen die Patientendaten verarbeiten.
- Seien Sie kritisch bei E-Mails mit merkwürdigen Absender- oder Empfängeradressen. Löschen Sie solche E-Mails besser direkt. Weitere Verdachtsmomente sind Inhalte, mit denen man offensichtlich nichts zu tun hat (z. B. Rechnungen von eBay, wenn man dort gar nicht angemeldet ist) oder auch Webadressen und Anhänge, die man unbedingt anklicken oder öffnen soll. Lassen Sie sich auch nicht von E-Mails, die angeblich von Banken, Polizei oder Behörden kommen, einschüchtern. Diese würden wirklich relevante Schreiben nicht per E-Mail zustellen.
- Trennen Sie private und dienstliche Tätigkeiten im Internet (Surfen, Social Media, Chatten etc.), da sonst die Angriffsfläche vergrößert wird.
- Trennen Sie zusätzlich Internetrecherche und E-Mail von den Systemen die Patientendaten verarbeiten.
- Setzen Sie Skript– und Werbeblocker ein, die im Browser als Erweiterung installiert werden können. Hierdurch werden viele unnötige – und teilweise auch schadhafte – Inhalte rausgefiltert.
- Schalten Sie wenn möglich die Verschlüsselung der gespeicherten medizinischen Daten ein, damit niemand durch den Diebstahl des Gerätes oder seiner Speicher an Patientendaten gelangen kann.
- Wenn Sie keine Internetdienste nutzen wollen und nur wenige Endgeräte in Ihrem Netzwerk verwenden, empfehlen wir Ihnen, den Konnektor in Reihe zu schalten. Im Reihenbetrieb befinden sich alle Komponenten im selben Praxisnetzwerk und erhalten Zugang über den Konnektor zur TI. Durch die integrierte Firewall des Konnektors wird das Praxisnetz vor unautorisierten Zugriffen von außen geschützt. Im Reihenbetrieb kann optional der Sichere Internet Service (SIS) aktiviert werden, um im Praxisnetzwerk einen Internetzugang zu ermöglichen, um beispielsweise Updates des Betriebssystems oder des PVS herunterzuladen. In diesem Fall baut der Konnektor einen zweiten sicheren Kanal zum SIS des Zugangsdienstbetreibers auf. Detaillierte Informationen zum Leistungsangebot des SIS erhalten Sie von Ihrem Zugangsdienstbetreiber.
- Der Reihenbetrieb ermöglicht auch durch eine Netztrennung einen uneingeschränkten Internetzugang für Geräte, die direkt an den Internetrouter angeschlossen sind. Der Konnektor setzt dabei eine Netztrennung zwischen dem Praxisnetz und dem Netz mit direktem Internetzugang durch. Für das Praxisnetz kann der optionale SIS aktiviert werden.
- Stellen Sie – aus Haftungsgründen – sicher, dass die TI-Geräte (Konnektor, Chipkartenleser etc.) ordnungsgemäß aufgestellt, betrieben und entsorgt werden. Hierzu gehört, dass der Konnektor an einem zugriffsgeschützten Ort installiert wird, angebotene Sicherheitsupdates für den Konnektor und das Kartenterminal stets umgehend eingespielt werden sowie eine regelmäßige Kontrolle, dass die Geräte unverändert sind (Gehäuse, Siegel), und keine unerlaubten Geräte angeschlossen wurden. Informieren Sie bei Beschädigungen sofort den Support.
Um die Entsorgung kann sich der DVO kümmern, ansonsten gilt alle Geräte die dauerhaft außer Betrieb genommen werden sollen:- De-Registrieren
- Auf Werkseinstellungen zurücksetzen
- Identitätskarten, die nicht weiterverwendet werden sollen/dürfen und deren Zertifikate noch gültig sind physisch zerstören (z.B. zerschneiden)
- Entsorgung im Elektroschrott
Weitere Informationen zur TI
- Löschen Sie regelmäßig den „Papierkorb“ im System (meist über einen Rechtsklick auswählbar), damit sensible Dokumente wirklich gelöscht werden. Denn in den meisten Systemen werden Dokumente beim Löschen erst nur in einen „Papierkorb“ verschoben, sind dort aber weiterhin zugreifbar.
- Stellen Sie Drucker so auf, dass keine Praxisfremden, z. B. Patienten, Zugang dazu bekommen können.
- Vernichten Sie Ausdrucke mit personenbezogenen Daten, die nicht mehr benötigt werden, datenschutzkonform, z. B. per Aktenvernichter (DIN 66399, Cross-Cut). Oder beauftragen Sie einen Dienstleister damit, sogenannte Datenschutz-Tonnen aufzustellen.
- Nehmen Sie gedruckte Dokumente umgehend aus dem Drucker, damit sie nicht längere Zeit offen herumliegen.
- Sollten Sie einen Drucker verwenden, der über eine WLAN-Hotspotfunktion verfügt, denken Sie daran, die Standardeinstellungen (z.B. Passwort) abzuändern.
- Verzichten Sie auf das Versenden von Daten per Telefax, da dieses bekannte Schwächen aufweist (insbesondere die fehlende Verschlüsselung). Versuchen Sie, sicherere Kommunikationsformen wie den eArztbrief hierfür zu verwenden.
- Stellen Sie Faxgeräte so auf, dass keine Praxisfremden, z. B. Patienten, Zugang dazu bekommen können.
- Verwenden Sie gespeicherte Empfängernummern, um Tippfehler beim Eingeben der Nummern zu vermeiden.
- Schalten Sie die Faxgeräte außerhalb der Dienstzeiten aus, damit niemand Zugriff auf zwischenzeitlich eingegangene Faxe im Gerät hat.
- Vereinbaren Sie bei sensiblen Daten einen Sendezeitpunkt mit dem Empfänger, da Sie als Absender keine Kontrolle über das Faxgerät auf Empfangsseite haben.
- Nutzen Sie alle von den Faxgeräten angebotenen Sicherheitsmaßnahmen (Anzeige der störungsfreien Übertragung, gesicherte Zwischenspeicherung, Abruf nach Passwort, Sperrung der Fernwartungsmöglichkeit etc.).
- Löschen Sie vor Verkauf, Weitergabe oder Aussortierung alle im Gerät gespeicherten Daten wie z. B. Textinhalte, Verbindungsdaten und Kurzwahlziele.
- Informieren Sie sich und Ihr Praxispersonal regelmäßig zu aktuellen Sicherheitsproblemen und -techniken, z. B. auf der Website des BSI unter der Rubrik „Verbraucherinnen und Verbraucher“.
- Sprechen Sie die Themen Sicherheit und Datenschutz regelmäßig in Ihrer Praxis an, damit Ihnen grundlegende Gefahren wie Verschlüsselungstrojaner / Ransomware sowie Gegenmaßnahmen dazu bekannt sind (z. B. dass nicht unbedacht jeder Mailanhang geöffnet wird). Sinnvollerweise kann Ihr Datenschutzbeauftragter oder Systembetreuer hierbei unterstützen.
- Lassen Sie Fernwartungen von externen Technikern nur nach vorheriger Absprache zu. Halten Sie die nötigen Passwörter oder Codes unter Verschluss.
- Beachten Sie schon bei der Beschaffung von neuen IT-Geräten deren Sicherheitsfunktionen.
- Lassen Sie niemals Dienstleister (z. B. IT-Support) Tests mit echten Patientendaten durchführen. Entweder werden diese vorher anonymisiert oder der Dienstleister muss selber generierte Daten ohne Patientenbezug verwenden.
- Erstellen Sie einen Notfallplan, um die Abläufe und Zuständigkeiten während der Bewältigung des Notfalles zu regeln und die Beteiligten in die Lage zu versetzen, wieder den Normalbetrieb herzustellen. Bereiten Sie sich auf mögliche Szenarien wie einen Rechner-Ausfall oder Schadsoftware vor.
- Stellen Sie Möglichkeiten eines Notbetriebs auf, z. B. für den Ausfall von PCs, den Ausfall des PVS, den Ausfall des Internets oder einen Stromausfall. Halten Sie z. B. einen Ersatzrechner bereit.
- Überlegen Sie, wen Sie im jeweiligen Notfall informieren müssen. Das können je nach Art des Notfalls die Polizei, die Datenschutzbehörden, die Versicherungen oder Patienten sein.
- Eine Cyberversicherung kann im Schadenfall (IT-Ausfall, Schadsoftware, Bedienungsfehler, vorsätzliche Manipulation etc.) die Kosten für Sachverständige, externe Berater, Krisenmanager, Juristen, Presse-/Medienexperten, Call-Center erstatten, Schadenersatz leisten oder auch den Ertragsausfall nach einer Betriebsunterbrechung kompensieren.
- Meist stellt die Versicherung Ansprechpartner zur Verfügung, die im Notfall schnell Hilfe leisten können. Hierzu zählen Service-Hotlines, Sicherheits-Experten und IT-Forensiker.
- Die einzelnen genauen Pflichten und Leistungen sind vor Vertragsabschluss mit der Versicherung zu klären. Da es bei den Verträgen und Rahmenbedingungen durchaus Unterschiede geben kann, sollten Sie mehrere Angebote einholen und vergleichen.
Active Directory (AD) MS Windows Verzeichnisdienst
BfArM Bundesinstitut für Arzneimittel und Medizinprodukte
BSI Bundesamt für Sicherheit in der Informationstechnik
Checksumme eine Prüfsumme, mit der die Integrität von Daten überprüft werden kann
Datenverarbeitung Erhebung, Verarbeitung, Speicherung, Administration und Einsicht in personenbezogene Daten
DSGVO Datenschutzgrundverordnung
HTTP(S) (Secure) Hypertext Transfer Protocol, Standardprotokoll im Internet
Icinga freie System- und Netzwerk-Überwachungssoftware
MDM Mobile Device Management, System zur zentralisierten Verwaltung von Mobilgeräten
Medizinische Großgeräte z.B. CT, MRT, PET, Linearbeschleuniger
Minimalprinzip (Rechtevergabe) nur so viele Berechtigungen wie nötig vergeben
Mobiltelefon klassisches Handy ohne Touchscreen
QES qualifizierte elektronische Signatur, die im Rechtsverkehr die handschriftliche Unterschrift ersetzt
SFTP Secure File Transfer Protocol, Protokoll für die sichere Übertragung von Dateien
SIEM Security Information and Event Management, System zur zentralen Zusammenführung und Auswertung von Sicherheitsinformationen
SMB Server Message Block, Protokoll für Datei- und Druckdienste, ab Version 3 ist Verschlüsselung möglich
SSH Secure Shell, Protokoll für die sichere Fernbedienung von Computern
TI Telematikinfrastruktur
TLS Transport Layer Security, Verschlüsselungsprotokoll für sichere Datenübertragung, wird von HTTPS verwendet
VPN Virtual Private Network, Technik zur sicheren Kopplung von Netzwerken
WAF Web Application Firewall, auf HTTP spezialisierte Firewall, z. B. zum Schutz von Webanwendungen