IT-Sicherheit
IT-Sicherheitsrichtlinie nach §75b SGB V
Die Digitalisierung spielt in der heutigen Zeit eine bedeutende Rolle. So stehen auch in Ihrer Praxis digitale Prozesse und die Vernetzung mit anderen Leistungserbringern immer mehr im Fokus Ihrer ärztlichen Tätigkeit. Hierfür nutzen Sie bereits einige technische Komponenten wie die Telematikinfrastruktur und ihre Anwendungsmöglichkeiten. Da Sie in Ihrer Praxis besonders schützenswerte Gesundheitsdaten verarbeiten, ist Ihnen – genau wie der KVWL – die Sicherheit dieser Daten ein besonderes Anliegen. Vor diesem Hintergrund wurde eine gesetzliche Grundlage geschaffen, nach der die KBV im Einvernehmen mit dem Bundesamt für Informationstechnik (BSI) eine Richtlinie nach § 75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit (kbv.de) (IT-Sicherheitsrichtlinie) erstellt hat.
Die Richtlinie ist am 23.01.2021 in Kraft getreten und soll durch die Vorgaben zu IT-Systemen, der Nutzung mobiler Apps, der Telematikinfrastruktur sowie durch zusätzliche Anforderungen in Abhängigkeit von der Praxisgröße Rechtssicherheit schaffen.
Die KVWL möchte Sie, die niedergelassenen Ärztinnen und Ärzte sowie Psychotherapeutinnen und Psychotherapeuten, bei der Umsetzung der Anforderungen unterstützen. Dazu finden Sie hier ergänzende Hinweise und anschauliche Beispiele zu den in Ihrer Praxis zu implementierenden Maßnahmen. Die Anforderungen sind kategorisiert und verweisen auf die Grundlage in der Richtlinie. Die Inhalte werden regelmäßig an die aktuellen Anforderungen der Sicherheitsrichtlinie angepasst und hier veröffentlicht.
Diese Umsetzungshilfe der KVWL bietet damit eine Aufbereitung der weiteren Hinweise der KBV zur IT-Sicherheitsrichtlinie, die unter Praxishinweise – Richtlinie IT-Sicherheit in der Praxis – IT-Sicherheit in der Praxis (kbv.de) veröffentlicht sind und ist als deren Ergänzung zu verstehen.
Die wichtigsten Dokumente zum Herunterladen
Die Anforderungen der IT-Sicherheitsrichtlinie sind in fünf Anlagen unterteilt. Die nach Praxisgröße und gesonderten weiteren Anforderungen differenzierten Anlagen bauen aufeinander auf und sind gegebenenfalls kumulativ zu erfüllen:
- Anlage 1: Anforderungen für Praxen – betrifft alle Praxistypen
- Anlage 2: Zusätzliche Anforderungen für mittlere Praxen
- Anlage 3: Zusätzliche Anforderungen für Großpraxen
- Anlage 4: Zusätzliche Anforderungen für medizinische Großgeräte
- Anlage 5: Anforderungen für Dezentrale Komponenten der Telematikinfrastruktur
Die Definition der Praxisgrößen ergibt sich aus Punkt A. III der IT-Sicherheitsrichtlinie. Danach gilt:
- Praxis: Eine Praxis ist eine vertragsärztliche Praxis mit bis zu fünf ständig mit der Datenverarbeitung betrauten Personen.
- Mittlere Praxis: Eine mittlere Praxis ist eine vertragsärztliche Praxis mit 6 bis 20 ständig mit der Datenverarbeitung betraute Personen.
- Großpraxis oder Praxis mit Datenverarbeitung im erheblichen Umfang: Eine Großpraxis oder Praxis mit Datenverarbeitung im erheblichem Umfang ist eine Praxis mit über 20 ständig mit der Datenverarbeitung betrauten Personen oder eine Praxis, die über die normale Datenübermittlung hinausgehenden Umfang in der Datenverarbeitung tätig ist (z. B. Groß-MVZ mit krankenhausähnlichen Strukturen, Labore).
Sichere Apps nutzen
Gültig seit 01.04.2021
Verwenden Sie nur Apps aus den offiziellen App Stores („Google Play“ von Google und „App Store“ von Apple). Deaktivieren Sie in den Sicherheitseinstellungen Ihres Smartphones die Möglichkeit, Applikationen unbekannter Herkunft zu installieren.
Aktuelle App-Versionen
Gültig seit 01.04.2021
Aktualisieren Sie die Apps auf Ihren Smartphones durch Nutzung der Option „Autoupdate“. Dies können Sie in den Einstellungen des jeweiligen App Stores konfigurieren. So sind Sie immer auf dem neuesten Stand.
Verhinderung von Datenabfluss
Gültig seit 01.04.2021
Stellen Sie sicher, dass Ihre Apps keine Daten an unerwünschte Empfänger wie Facebook oder Google senden. Verwenden Sie für vertrauliche Informationen nur Apps von Organisationen, die Ihnen bekannt sind und die bestenfalls für den Einsatz im medizinischen Umfeld in Deutschland getestet und freigegeben sind (z. B. Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM)).
Sichere Speicherung lokaler App-Daten
Gültig seit 01.01.2022
Android und iOS verschlüsseln standardmäßig das gesamte Gerät. Bitte deaktivieren Sie diese Funktion in keinem Fall.
Zusätzliche Anforderungen für mittlere und große Praxen
Minimierung und Kontrolle von App-Berechtigungen
Gültig seit 01.04.2021
Jeder App dürfen nur die minimal notwendigen Berechtigungen zugewiesen werden. Hierbei geht es beispielsweise um den Zugriff auf Kamera, Mikrofon, Standort, Telefon, SMS, Kontaktlisten, Speicher etc.
Verzicht auf Cloud-Speicherung
Gültig seit 01.04.2021
Verwenden Sie keine Cloud-Dienste wie iCloud, Google Docs oder OneDrive.
Beseitigung von Rest-Informationen vor Weitergabe von Dokumenten
Gültig seit 01.04.2021
Verwenden Sie für den Datenaustausch möglichst PDF-Dokumente. Denken Sie bitte daran, dass bei der Wandlung von Office-Dokumenten Angaben zum Autor und zum Erstellungsdatum in das PDF-Dokument übernommen werden. Ist das nicht gewünscht, können Sie dies bei Office-Dokumenten in den Dateieigenschaften ändern.
Authentisierung bei Webanwendungen
Gültig seit 01.04.2021
Nutzen Sie nur Internet-Anwendungen mit sicherer Authentisierung (mindestens Benutzername / Passwort, besser Zweifaktor-Authentisierung). Bei der Zweifaktor-Authentisierung erfolgt die Anmeldung mit einem Passwort und einem zusätzlichen Faktor wie eine am Handy generierte PIN. Die Anwendung sollte Sie außerdem nach einer Inaktivitätszeit von z. B. zehn Minuten automatisch wieder abmelden. Nutzen Sie sichere Passwörter (acht oder mehr Zeichen zusammengesetzt aus Buchstaben, Zahlen und Sonderzeichen). Verwenden Sie für die sichere Speicherung Ihrer Zugangsdaten einen Passwortmanager wie KeePass, der für viele Betriebssysteme kostenlos verfügbar ist.
Schutz vertraulicher Daten
Gültig seit 01.04.2021
Um die langfristige Speicherung vertraulicher Daten in Ihrem Browser zu verhindern, sollten Sie die Passwortspeicherung und Formularvervollständigung im Browser abschalten. Löschen Sie außerdem regelmäßig die im Browser gespeicherten Daten wie Browserverlauf, Cookies, zwischengespeicherte Daten etc. Dies ist in Chrome, Firefox und Edge z. B. mittels der Tastenkombination „Strg“ + „Umschalt“ + „Entf“ möglich oder stellen Sie ein, dass der Browser beim Schließen alle Daten automatisch löscht. Stellen Sie durch die Auto-Updatefunktion unbedingt sicher, dass Ihr Browser immer auf dem aktuellen Stand ist.
Kryptographische Sicherung vertraulicher Daten
Gültig seit 01.04.2021
Achten Sie bitte unbedingt darauf, dass alle genutzten Internetverbindungen das sichere Protokoll HTTPS verwenden. Dies erkennen Sie z. B. an dem Schloss, das bei sicheren Verbindungen im Adressfeld des Webbrowsers angezeigt wird. Prüfen Sie ggf. auch den Herausgeber und den Inhaber des Zertifikats durch Klicken auf das Schlosssymbol. Die URLs beginnen dann auch mit https:// statt mit http://. Viele Browser versuchen sogar automatisch das Protokoll HTTPS zu verwenden.
Firewall benutzen
Gültig seit 01.01.2022
In dem seltenen Fall, dass Sie Webanwendungen auf einem eigenen Webserver in Ihrem Praxisnetz betreiben, können Sie zur Erhöhung der Sicherheit eine sog. Web Application Firewall (WAF) einsetzen. Es handelt sich hierbei nicht um eine Standard-Firewall, sondern um eine sog. Application Layer Firewall, die auf das Protokoll HTTP spezialisiert ist.
Da die Konfiguration eines solchen Firewalls sehr komplex ist, sprechen Sie bitte ggfs. Ihren IT-Dienstleister an.
Schutz vor unerlaubter automatisierter Nutzung von Webanwendungen
Gültig seit 01.01.2022
In dem seltenen Fall, dass Sie Webanwendungen auf einem eigenen Webserver in Ihrem Praxisnetz betreiben, sollten Sie Ihre Webanwendungen durch Captcha-Mechanismen oder Anmeldeverzögerungen vor automatisierten Eingaben schützen. Diese Maßnahmen müssen bereits bei der Entwicklung der Anwendungen berücksichtigt werden.
Zusätzliche Anforderungen für mittlere und große Praxen
Zugriffskontrolle bei Webanwendungen
Gültig seit 01.01.2022
In dem seltenen Fall, dass Sie Internetanwendungen auf einem eigenen Webserver in Ihrem Praxisnetz betreiben, muss es ein Rechtekonzept geben, das durch eine Authentisierungs- und Autorisierungskomponente in der jeweiligen Anwendung technisch umgesetzt wird. Diese Maßnahmen müssen bereits bei der Entwicklung der Anwendungen berücksichtigt werden.
Verhinderung der unautorisierten Nutzung von Rechner-Mikrofonen und Kameras
Gültig seit 01.04.2021
Deaktivieren Sie Mikrofone und Kameras an Ihren Rechnern, wenn sie – auch temporär - nicht verwendet werden. Diese können üblicherweise im Betriebssystem unter den Datenschutzeinstellungen abgeschaltet werden. Kameras können zusätzlich durch eine Abdeckung geschützt werden. Achten Sie auf evtl. vorhandene LED-Indikatoren, die einen möglicherweise nicht erwünschten Zugriff auf Kamera oder Mikrofon anzeigen.
Abmeldung nach Aufgabenerfüllung
Gültig seit 01.04.2021
Melden Sie sich nach Ende der Nutzung von Ihrem Endgerät ab oder sperren Sie den Bildschirm. Eine automatische Bildschirmsperre, die den Bildschirm nach z. B. zehn Minuten Inaktivität sperrt, sollte zusätzlich eingerichtet werden.
Einsatz von Virenschutzprogrammen
Gültig seit 01.04.2021
Setzen Sie ein aktuelles Virenschutzprogramm ein und halten Sie die Erkennungsdateien aktuell. Eine Übersicht über geeignete Produkte finden Sie z. B. auf www.av-test.org. Bei Windows 10 wird das Schutzprogramm „Windows Defender“ bereits mitgeliefert.
Regelmäßige Datensicherung
Gültig seit 01.01.2022
Erstellen Sie ein Backup-Konzept, das regelt, wann und in welchem Umfang Ihre Daten gesichert werden. Falls Sie wesentliche praxisrelevante Daten auf den PCs speichern, müssen auch hier Datensicherungen erfolgen. Das Konzept muss tägliche, wöchentliche und monatliche Teil- und Vollsicherungen festlegen. Speichern Sie Ihre Backups grundsätzlich zusätzlich auch auf entfernbaren Datenträgern oder externen Festplatten, die nach der Sicherung vom Rechner getrennt und an einem sicheren Ort aufbewahrt werden. Der Ort muss diebstahl- und brandgeschützt sein. So sind sie für Schadsoftware wie Verschlüsselungs-Trojaner nicht erreichbar.
Erstellen Sie, wenn möglich, verschlüsselte Datensicherungen. Testen Sie die Wiederherstellung von Daten mit den Sicherungen regelmäßig.
Weitere Informationen finden Sie auch im BSI-Grundschutzkompendium im Baustein CON.3.
Zusätzliche Anforderungen mittlere und große Praxen
Nutzung von TLS
Gültig seit 01.01.2022
Achten Sie bitte unbedingt darauf, dass alle genutzten Internetverbindungen das sichere Protokoll HTTPS verwenden, das auf Transport Layer Security (TLS) basiert. Dies erkennen Sie z. B. an dem Schloss, das bei sicheren Verbindungen im Adressfeld des Webbrowsers angezeigt wird. Die URLs beginnen dann auch mit https:// statt mit http://. Viele Browser versuchen sogar automatisch das Protokoll HTTPS zu verwenden.
Restriktive Rechtevergabe
Gültig seit 01.01.2022
Legen Sie für jeden Benutzer einen eigenen Account an. Logins dürfen nicht von mehreren Benutzern gemeinsam genutzt werden. Fassen Sie Benutzer mit gleichen Berechtigungen zu Gruppen zusammen. Arbeiten Sie nur mit dem Administrator-Konto, wenn Sie wirklich Administrator-Rechte benötigen. Halten Sie den Kreis der Administratoren klein. Legen Sie Freigaben nur an, wenn dies unumgänglich ist. Schützen Sie insbesondere auch Systemdateien vor unberechtigtem Zugriff. Lassen Sie sich von dem Prinzip leiten, dass jeder Mitarbeiter nur so viele Berechtigungen erhält, wie er zur Erfüllung seiner Aufgaben benötigt. Unterziehen Sie die Berechtigungen einer regelmäßigen Revision. Denken Sie bitte auch daran, Personalzu- und abgänge zu berücksichtigen.
Schutz vor Phishing und Schadprogrammen im Browser
Gültig seit 01.04.2021
Klären Sie im Zweifel z. B. durch telefonische Nachfrage die Authentizität von Nachrichten, die Ihnen verdächtig erscheinen. Folgen Sie niemals irgendwelchen in einer Nachricht enthaltenen Links, wenn Sie sich nicht sicher sind, dass die Nachricht vertrauenswürdig ist. Geben Sie in keinem Fall Anmeldedaten preis, wenn Sie dazu aufgefordert werden. Sensibilisieren Sie Ihre Mitarbeiter.
Im Browser können Sie sich durch Schutzfunktionen wie „Safe Browsing“ (Android) ggfs. vor Schadprogrammen schützen.
Verwendung der SIM-Karten-PIN
Gültig seit 01.04.2021
Schützen Sie Ihre SIM-Karten durch eine individuelle PIN. Die zugehörige PUK sollte nur einem für die Geräte zuständigen Mitarbeiterkreis bekannt sein.
Verwendung eines Zugriffsschutzes
Gültig seit 01.04.2021
Verwenden Sie für die mobilen Geräte einen angemessen komplexen Sperrcode und aktivieren Sie die Bildschirmsperre. Schalten Sie alle Benachrichtigungen ab, die ggfs. auf dem Sperrbildschirm angezeigt werden. Aktivieren Sie die Verschlüsselungsoptionen für eine möglicherweise vorhandene SD-Karte (nur Android). Aktivieren Sie das automatische Löschen von Daten („Auto Factory Reset“ unter Android) nach z. B. zehn in Folge fehlgeschlagenen Anmeldeversuchen. Diese Option steht Ihnen unter Android und iOS zur Verfügung.
Updates von Betriebssytem und Apps
Gültig seit 01.04.2021
Wir empfehlen Ihnen, auf Ihren mobilen Geräten die Auto-Updatefunktion für das Betriebssystem und die installierten Apps einzuschalten.
Sichere Grundkonfiguration für mobile Geräte
Gültig seit 01.01.2022
Aktivieren Sie auf den mobilen Geräten einen Sperrbildschirm und legen Sie eine PIN bzw. ein Passwort zum Entsperren fest. Aktivieren Sie, falls nicht standardmäßig eingestellt, die Verschlüsselung des Geräts und bei Android auch der SD-Karte falls vorhanden. Aktivieren Sie Sicherheitseinstellungen wie das Zurücksetzen des Geräts bei mehr als z. B. zehn erfolglosen Entsperrversuchen. Deinstallieren Sie Apps, die nicht benötigt werden.
Datenschutz-Einstellungen
Gültig seit 01.01.2022
Jeder App dürfen nur die minimal notwendigen Berechtigungen zugewiesen werden. Hierbei geht es beispielsweise um den Zugriff auf Kamera, Mikrofon, Standort, Telefon, SMS, Kontaktlisten, Speicher etc.
Zusätzliche Anforderungen mittlere und große Praxen
Verwendung von Sprachassistenten
Gültig seit 01.01.2022
Nutzen Sie Sprachassistenten wirklich nur dann, wenn es unabdingbar ist.
Richtlinie für Mitarbeiter zur Benutzung von mobilen Geräten
Gültig seit 01.07.2022
Regeln Sie in einer verbindlichen Richtlinie, wie mobile Endgeräte in Ihrer Praxis verwendet werden dürfen. Regeln Sie u. a. auch, wie die Geräte aufzubewahren sind und was bei Verlust zu tun ist. Siehe Musterdokument „Muster Richtlinie - Mobile Geräte“ der KBV.
Zusätzliche Anforderungen für große Praxen
Festlegung einer Richtlinie für den Einsatz von Smartphones und Tablets
Gültig seit 01.01.2022
Siehe Punkt: "Richtlinie für Mitarbeiter zur Benutzung von mobilen Geräten"
Definition der erlaubten Informationen und Applikationen auf mobilen Geräten
Gültig seit 01.01.2022
Alle Informationen, die dienstlich auf den Geräten verarbeitet werden sollen, sollten vorab definiert werden.
Auswahl und Freigabe von Apps
Gültig seit 01.07.2022
Alle Apps, die dienstlich genutzt werden sollen, sollten über einen definierten Freigabeprozess geprüft und freigegeben werden.
Richtlinie für Mitarbeiter zur Benutzung von mobilen Geräten
Gültig seit 01.07.2022
Regeln Sie in einer verbindlichen Richtlinie, wie mobile Endgeräte in Ihrer Praxis verwendet werden dürfen. Regeln Sie u. a. auch, wie die Geräte aufzubewahren sind und was bei Verlust zu tun ist. Siehe Musterdokument „Muster Richtlinie - Mobile Geräte“ der KBV.
Update von Mobiltelefonen
Gültig seit 01.04.2021
Bitte prüfen Sie regelmäßig, ob es für Ihre Mobiltelefone Softwareupdates gibt, und installieren Sie diese.
Sperrmaßnahmen bei Verlust eines Mobiltelefons
Gültig seit 01.01.2022
Bei Verlust des Mobiltelefons muss die SIM-Karte schnellstmöglich beim Mobilfunkanbieter gesperrt werden.
Nutzung der Sicherheitsmechanismen von Mobiltelefonen
Gültig seit 01.01.2022
Auch bei den Mobiltelefonen sollten, wie bei den Smartphones und Tablets die verfügbaren Sicherheitsmechanismen aktiviert werden.
Zusätzliche Anforderungen für mittlere und große Praxen
Sicherheitsrichtlinien und Regelungen für die Mobiltelefon-Nutzung
Gültig seit 01.07.2022
Erstellen Sie eine Sicherheitsrichtlinie für die Mobiltelefon-Nutzung. Regeln Sie insbesondere die Erstkonfiguration, Beschaffung, Administration und Verlustmeldung etc. Orientieren Sie sich hierbei an dem Musterdokument „Muster-Richtlinie – Mobile Geräte“ der KBV.
Sichere Datenübertragung über Mobiltelefone
Gültig seit 01.01.2022
Legen Sie fest, ob, wie und für welche Daten eine Datenübertragung per Mobiltelefon stattfinden darf. Da Mobiltelefone nur sehr eingeschränkte Möglichkeiten der Datenübermittlung bieten, dürfte dieser Punkt in den allermeisten Fällen für Sie nicht relevant sein.
Angemessene Kennzeichnung der Datenträger beim Versand
Gültig seit 01.04.2021
Kennzeichnen Sie die zu versendenden Datenträger so, dass die Bezeichnung für Dritte keinen Rückschluss auf betroffene Patienten, Diagnosen, Fachgebiete etc. zulässt.
Sichere Versandart und Verpackung
Gültig seit 01.04.2021
Bitte informieren Sie sich bei Ihrem Versand-Dienstleister über entsprechende Angebote. Versenden Sie keine USB-Sticks per Geschäftsbrief.
Schutz vor Schadsoftware
Gültig seit 01.01.2022
Wechseldatenträger müssen bei jeder Verwendung mit einem aktuellen Schutzprogramm auf Schadsoftware überprüft werden.
Sicheres Löschen der Datenträger vor und nach der Verwendung
Gültig seit 01.01.2022
Wiederbeschreibbare mobile Datenträger müssen nach jeder Verwendung mit geeigneten Programmen vollständig und sicher gelöscht werden. Hierzu verwenden Sie vom BSI empfohlene Programme bzw. bei Festplatten vom SSD-Typ die Programme des jeweiligen Herstellers.
Zusätzliche Anforderungen für mittlere und große Praxen
Regelung zur Mitnahme von Wechseldatenträgern
Gültig seit 01.01.2022
Erstellen Sie eine Richtlinie zur Mitnahme von Wechseldatenträgern. Regeln Sie insbesondere die Prüfung auf Malware, Datenverschlüsselung, Entsorgung und Verlustmeldung etc. Orientieren Sie sich hierbei an dem Musterdokument „Muster-Richtlinie – Wechseldatenträger“ der KBV.
Zusätzliche Anforderungen für große Praxen
Datenträgerverschlüsselung
Gültig seit 01.04.2021
Wechseldatenträger sollten vollständig verschlüsselt werden. Es sollte ein sicheres Verschlüsselungsverfahren eingesetzt werden. Empfehlungen zu geeigneten Algorithmen und Schlüssellängen bieten die Technischen Richtlinien des BSI (TR-02102). Mittels Open-Source-Lösungen wie VeraCrypt können entsprechend verschlüsselte Container angelegt werden.
Integritätsschutz durch Checksummen oder digitale Signaturen
Gültig seit 01.01.2022
Sichern Sie optional die Integrität der Daten auf den mobilen Datenträgern durch Aufbringung einer qualifizierten elektronischen Signatur (QES). Hierzu kann freie Software, wie z. B. GnuPG eingesetzt werden.
Absicherung der Netzübergangspunkte
Gültig seit 01.04.2021
Trennen Sie bei größeren Praxis-Netzwerken die sensiblen Bereiche (PVS-Server, medizinische Geräte) von unkritischen bzw. öffentlichen Bereichen (Webserver) durch eine oder mehrere Hardware-Firewalls.
Erfolgt Ihre Anbindung an die Telematikinfrastruktur im sog. Reihenbetrieb, kann der Übergang ins Internet über den Konnektor erfolgen. Hierzu benötigen Sie den optionalen sicheren Internet-Service SIS. In diesem Fall nutzen Sie die im Konnektor integrierte Firewall.
Im Fall des Parallelbetriebs erfolgt die Internetanbindung über eine separate Firewall. Sie sollten sich bei den Firewallregeln von der Maßgabe „Alles ist verboten, außer es wird explizit erlaubt“ leiten lassen. Wenn keine Dienste nach außen angeboten werden sollen, können alle eingehenden Verbindungen von der Firewall geblockt werden. Dies ist in der Regel die Standardeinstellung.
Lassen Sie sich bei komplexeren Netzwerken von Ihrem IT-Dienstleister unterstützen.
Dokumentation des Netzes
Gültig seit 01.04.2021
Für Ihr Praxisnetz muss eine Dokumentation vorliegen, die den aktuellen Status Ihres Netzes wiedergibt. Dies schließt einen Netzplan mit allen an das Netzwerk angeschlossenen Geräten wie PCs, Server, Router, Switches, medizinischen Geräten, Bürogeräten etc. mit ein. Zusätzlich müssen alle für die Netzwerkkommunikation wesentlichen Einstellungen erfasst werden (Routen, IP-Adressen, Firewallregeln etc.). Siehe Musterdokument „Netzplan“ der KBV.
Lassen Sie sich bei komplexeren Netzwerken von Ihren IT-Dienstleister unterstützen.
Grundlegende Authentisierung für den Netzwerkmanagement-Zugriff
Gültig seit 01.01.2022
Ändern Sie alle gesetzten Standardpasswörter! Wählen Sie für alle Managementzugriffe auf Netzkomponenten starke Passwörter (z. B. mindestens zwölf Zeichen zusammengesetzt aus Buchstaben, Zahlen und Sonderzeichen).
Zusätzliche Anforderungen für mittlere und große Praxen
Umfassende Protokollierung, Alarmierung und Logging von Ereignissen
Gültig seit 01.01.2022
Sicherheitsrelevante Ereignisse, die von Ihren Systemen gemeldet werden, sollten an ein zentrales System- und Netzwerküberwachungstool übermittelt und dort angezeigt und protokolliert werden. Neben kommerziellen sog. SIEM-Systemen gibt es auch freie Open-Source-Lösungen wie z. B. Icinga.
Zusätzliche Anforderungen für große Praxen
Absicherung von schützenswerten Informationen
Gültig seit 01.01.2022
Gewährleisten Sie, dass Daten mit hohem Schutzbedarf nur über entsprechend gesicherte Verbindungen übertragen werden (z. B. VPN, HTTPS, SSH, SFTP, SMBv3 mit Verschlüsselung). Nutzen Sie hierbei Algorithmen und Schlüssellängen, die dem Stand der Technik (BSI TR-02102-1) genügen. Nur bei der Kommunikation über vertrauenswürdige (physisch gesicherte) Netzsegmente kann hierauf verzichtet werden.
Konfiguration von Synchronisationsmechanismen
Gültig seit 01.01.2022
Die Synchronisation von Nutzerdaten mit Microsoft-Clouddiensten sollte möglichst vollständig deaktiviert bzw. deinstalliert werden (z.B. One-Drive).
Datei- und Freigabeberechtigungen
Gültig seit 01.01.2022
Legen Sie für jeden Benutzer einen eigenen Account an. Logins dürfen nicht von mehreren Benutzern gemeinsam genutzt werden. Fassen Sie Benutzer mit gleichen Berechtigungen zu Gruppen zusammen. Arbeiten Sie nur mit dem Administrator-Konto, wenn Sie wirklich Administrator-Rechte benötigen. Legen Sie Freigaben nur an, wenn dies unumgänglich ist. Lassen Sie sich von dem Prinzip leiten, dass jeder Mitarbeiter nur so viele Berechtigungen erhält, wie er zur Erfüllung seiner Aufgaben benötigt. Unterziehen Sie die Berechtigungen einer regelmäßigen Revision. Denken Sie bitte auch daran, Personalzu- und abgänge zu berücksichtigen.
Datensparsamkeit
Gültig seit 01.01.2022
Verarbeiten Sie so wenig personenbezogene Daten wie möglich und beachten Sie dabei die Zweckbindung. Löschen Sie zeitnah nicht mehr benötigte Daten gemäß den Angaben in Ihrem Verzeichnis der Verarbeitungstätigkeiten (Artikel 30 Datenschutzgrundverordnung (DSGVO)).
Zusätzliche Anforderungen für mittlere und große Praxen
Sichere zentrale Authentisierung in Windows-Netzen
Gültig seit 01.07.2022
Bei großen Windows-Netzen sollte eine zentrale Authentisierung mit Single-Sign-On über das sog. Kerberos-Protokoll (Authentisierungsverfahren für Windows) realisiert werden. Hierzu ist üblicherweise ein zentraler Verzeichnisdienst für Windows (Active Directory) zu installieren.
Wegen der Komplexität des Themas empfehlen wir Ihnen, sich ggfs. mit Ihrem IT-Dienstleister in Verbindung zu setzen.
Sichere Anbindung der mobilen Endgeräte an die Institution
Gültig seit 01.01.2022
Sie sollten eine sichere Anbindung an das Praxisnetz mithilfe eines MDM realisieren. Kommerzielle MDM-Systeme (wie Citrix XenMobile, Cortado etc.) bieten die geforderte sichere Anbindung an das Praxisnetz in der Regel „out of the box“ an.
Berechtigungsmanagement im MDM
Gültig seit 01.01.2022
Sie sollten ein Berechtigungskonzept für die Administration des MDM nach dem Minimalprinzip erstellen und die vergebenen Berechtigungen regelmäßig auf Aktualität prüfen.
Verwaltung von Zertifikaten
Gültig seit 01.01.2022
Falls Sie Zertifikate zur Nutzung von Diensten auf den Mobilgeräten einsetzen, sollten Sie diese mit dem MDM zentral verwalten, d. h. installieren, deinstallieren und aktualisieren.
Fernlöschung und Außerbetriebnahme von Endgeräten
Gültig seit 01.01.2022
Sie sollten sicherstellen, dass Sie mit dem MDM bei Bedarf (Ausscheiden von Mitarbeitern, Verlust, Diebstahl) sämtliche Daten auf den mobilen Endgeräten aus der Ferne löschen können.
Festlegung erlaubter Informationen auf mobilen Endgeräten
Gültig seit 01.01.2022
Sie sollten festlegen, welche Informationen auf den mobilen Endgeräten gespeichert und verarbeitet werden dürfen. Die Auswahl der durch ein MDM zugelassenen Apps stellt für sich schon eine Einschränkung bzgl. der möglichen Nutzung des Endgeräts dar.
Auswahl und Freigabe von Apps
Gültig seit 10.07.2022
Sie sollten mit einem MDM-Standardkatalog die Apps bereitstellen, , die die Nutzer auf den Mobilgeräten verwenden dürfen.
Einschränkung des Zugriffs für Konfigurations- und Wartungsschnittstellen
Gültig seit 01.07.2021
Der Zugriff auf Konfigurations- und Wartungsschnittstellen muss auf einen festgelegten Kreis von dazu autorisierten Mitarbeitern beschränkt werden, damit niemand im Netzwerk an medizinische Daten gelangen kann. Standardkonten müssen gelöscht oder mit einem neuen Passwort geschützt werden. Alle Zugangsdaten müssen sicher aufbewahrt und jederzeit verfügbar sein.
Nutzung sicherer Protokolle für die Konfiguration und Wartung
Gültig seit 01.07.2021
Benutzen Sie für Konfiguration und Wartung von medizinischen Großgeräten ausschließlich sichere Protokolle wie HTTPS oder SSH.
Deaktivierung nicht genutzter Benutzerkonten
Gültig seit 01.07.2021
Nicht genutzte und unnötige Benutzerkonten müssen deaktiviert oder gelöscht werden. Auch Konten, die nur gelegentlich für Fernwartungszwecke benötigt werden, sollten nur für die Fernwartung aktiviert werden.
Protokollierung
Gültig seit 01.01.2022
Um Fehlfunktionen und mögliche Sicherheitsvorfälle erkennen zu können, müssen die Protokollfunktionalitäten der medizinischen Großgeräte entsprechend konfiguriert und ausgewertet werden. Protokollieren Sie Systemereignisse - nicht die medizinischen Daten. Bestimmen Sie, wer Zugriff auf die Protokolldaten erhält, z. B. die Administratoren.
Deaktivierung nicht genutzter Dienste, Funktionen und Schnittstellen
Gültig seit 01.01.2022
Alle nicht genutzten Dienste, Funktionen und Schnittstellen der medizinischen Großgeräte müssen soweit möglich deaktiviert oder deinstalliert werden. Stellen Sie sicher, dass auf diese Geräte nicht von außerhalb Ihrer Praxis zugegriffen werden kann.
Netzsegmentierung
Gültig seit 01.01.2022
Hängen Sie medizinische Großgeräte niemals in öffentliche Netzwerkbereiche, da diese dann ggf. vom Internet zugänglich sein könnten. Die medizinischen Großgeräte sollten in einem eigenen Netzsegment betrieben werden. Verbinden Sie dieses Netzsegment über eine Firewall mit den weiteren Netzsegmenten. Erlauben Sie nur notwendige Kommunikationsverbindungen.
Geschützte Kommunikation mit dem Konnektor
Gültig seit 01.01.2021
Die Kommunikation zwischen Clients wie z. B. dem PVS und dem TI-Konnektor muss verschlüsselt erfolgen. Die Authentisierung erfolgt über X.509-Zertifikate oder Benutzername und Passwort. Hierzu müssen die Clients entsprechend konfiguriert werden. Falls Sie unsicher sind, informieren Sie sich bitte ggf. bei Ihrem Softwarehaus, ob die Verschlüsselung bereits bei Ihnen umgesetzt ist. Ist dies noch nicht der Fall, schalten Sie die Funktion frei oder bitten Sie das Softwarehaus, dies für Sie umzusetzen.
Planung und Durchführung der Installation
Gültig seit 01.01.2022
Achten Sie bitte darauf, dass der IT-Dienstleister bei der Installation ein Installationsprotokoll ausfüllt. Idealerweise nutzt er das Muster-Installationsprotokoll „Sichere TI-Installation“ der gematik. Das Protokoll soll neben technischen Details auch einen Vermerk über die Beratung zu sicherheitsrelevanten Aspekten enthalten. Sprechen Sie Ihren IT-Dienstleister an, wenn Sie gravierende Abweichungen feststellen.
Betrieb
Gültig seit 01.01.2022
Informationen zum Betrieb erhalten Sie auf der Webseite der gematik sowie von den Herstellern der TI-Komponenten.
Schutz vor unberechtigtem physischem Zugriff
Gültig seit 01.01.2022
Schützen Sie die TI-Komponenten vor dem physischen Zugriff unberechtigter Personen, insbesondere Patienten durch Aufstellung in abschließbaren Schränken oder Räumen.
Betriebsart „parallel“
Gültig seit 01.01.2022
In Praxen mit einer größeren Anzahl von Endgeräten kann die Betriebsart „parallel“ sinnvoll sein. Der Internetzugang wird hierbei über einen separaten Router realisiert, der gleichzeitig die Rolle einer Firewall für die Anbindung an das Internet übernehmen kann. Auch hier sollten wieder die Leitsätze „Alles, was nicht explizit erlaubt ist, ist verboten“ und „So wenig wie möglich erlauben“ gelten.
Zeitnahes Installieren verfügbarer Aktualisierungen
Gültig seit 01.01.2022
Prüfen Sie fortwährend, ob Updates für Ihre TI-Komponenten vorliegen, und installieren Sie diese umgehend. Ggfs. bieten Ihre TI-Komponenten eine Autoupdate-Funktion an.
Sicheres Aufbewahren von Administrationsdaten
Gültig seit 01.01.2022
Lassen Sie sich die notwendigen Informationen von Ihrem Dienstleister aushändigen und bewahren Sie diese sicher auf. Wenn der Dienstleister die Informationen nicht zur Verfügung stellen möchte, achten Sie auf eine vertraglich fixierte, angemessen kurze Reaktionszeit und eine Herausgabe der Informationen bei Vertragsende. Ggfs. besteht auch die Möglichkeit, die Administrationsdaten in einem versiegelten Umschlag zu erhalten, um im Notfall selbst auf die TI-Komponenten zugreifen zu können. Wenn der Umschlag geöffnet wurde, sollten Sie dies dem Dienstleister anzeigen.
Grundlegende Empfehlungen der KVWL zur IT-Sicherheit
Diese Empfehlungen stellen ergänzende Informationen der KVWL zur IT-Sicherheit in Ihren Praxen dar. Die erste Version aus Januar 2020 ist im März 2021 an die Anforderungen der IT-Sicherheitsrichtlinie angepasst worden. Die Umsetzung dieser grundlegenden Empfehlungen ist gesetzlich nicht vorgeschrieben. Sie ersetzen nicht die IT-Sicherheitsrichtlinie sowie die individuelle eigene Analyse und Risikobewertung, die sinnvollerweise auch einen externen Systembetreuer mit einschließen sollte.
- Löschen Sie regelmäßig den „Papierkorb“ im System (meist über einen Rechtsklick auswählbar), damit sensible Dokumente wirklich gelöscht werden. Denn in den meisten Systemen werden Dokumente beim Löschen erst nur in einen „Papierkorb“ verschoben, sind dort aber weiterhin zugreifbar.
- Trennen Sie private und dienstliche Tätigkeiten im Internet (Surfen, Social Media, Chatten etc.), da sonst die Angriffsfläche vergrößert wird.
- Nutzen Sie einen gesonderten Rechner für Internetrecherchen und nicht den PVS-PC.
- Setzen Sie Skript– und Werbeblocker ein, die im Browser als Erweiterung installiert werden können. Hierdurch werden viele unnötige – und teilweise auch schadhafte – Inhalte rausgefiltert.
- Schalten Sie die in Windows enthaltene Firewallfunktion ein. Oft bringen heute die Sicherheitsprogramme namhafter Hersteller neben dem Virenschutzprogramm auch eine Firewallfunktion mit, die verwendet werden kann.
- Vergeben Sie unterschiedliche Passwörter für die Anmeldung am Betriebssystem und an Ihrem Praxisverwaltungssystem (PVS).
- Richten Sie zum Schutz vor Daten-Diebstahl eine Festplattenverschlüsselung ein. Wenn hierbei - abhängig vom Betriebssystem und verwendeter Software - Passwörter nötig sind, verwenden Sie hierfür komplexe Passwörter und hinterlegen diese an sicheren Stellen (z. B. Passwort-Tresor-Programme).
- Installieren Sie keine dienstlich unnötigen Programme (Spiele, Chats, Video etc.) auf den Praxisrechnern.
- Schalten Sie den Passwortschutz des Gerätes ein, ggf. kombiniert mit Fingerabdruck oder Gesichtserkennung.
- Speichern Sie keine unverschlüsselten Patientendaten auf Smartphones oder Tablets.
- Schalten Sie zum Schutz der eigenen Daten, Bilder, Kontakte oder Kalender insbesondere bei Android-Geräten auch die Verschlüsselung des Speichers ein.
- Vernichten Sie alte Festplatten mit Patientendaten physisch oder überschreiben Sie diese mehrfach mit Zufallsdaten; hierzu verwenden Sie vom BSI empfohlene Programme bzw. bei neueren Festplatten des SSD-Typs die Programme des jeweiligen Herstellers. Alternativ beauftragen Sie einen Dienstleister mit der Entsorgung/Zerstörung der Platten.
- Schalten Sie die WLAN-Funktion aus, wenn sie nicht zwingend benötigt wird.
- Stellen Sie Server und Netzwerkkomponenten zutrittsgeschützt auf (z. B. abgeschlossener Raum oder abgeschlossener Schrank).
- Schalten Sie die Verschlüsselung (mindestens WPA2) an, falls WLAN für interne Zwecke der Praxis nötig ist. Nutzen Sie lange und sichere Passwörter zur Einwahl. Schalten Sie den Netzwerknamen (SSID) auf unsichtbar. Legen Sie die zugelassenen Geräte im Router fest (MAC-Filter).
- Nutzen Sie die Gast-WLAN-Funktionen des Routers, falls Sie Ihren Patienten ein WLAN im Wartezimmer bereitstellen möchten. Hierdurch wird Ihr internes WLAN vom Gast-WLAN getrennt.
- Schalten Sie die im DSL-Router enthaltene Firewallfunktion ein. Sperren Sie dabei alle Netzverbindungen von außen.
- Schalten Sie wenn möglich die Verschlüsselung der gespeicherten medizinischen Daten ein, damit niemand durch den Diebstahl des Gerätes oder seiner Speicher an Patientendaten gelangen kann.
- Wenn Sie keine Internetdienste nutzen wollen und nur wenige Endgeräte in Ihrem Netzwerk verwenden, empfehlen wir Ihnen, den Konnektor in Reihe zu schalten. Im Reihenbetrieb befinden sich alle Komponenten im selben Praxisnetzwerk und erhalten Zugang über den Konnektor zur TI. Durch die integrierte Firewall des Konnektors wird das Praxisnetz vor unautorisierten Zugriffen von außen geschützt. Im Reihenbetrieb kann optional der Sichere Internet Service (SIS) aktiviert werden, um im Praxisnetzwerk einen Internetzugang zu ermöglichen, um beispielsweise Updates des Betriebssystems oder des PVS herunterzuladen. In diesem Fall baut der Konnektor einen zweiten sicheren Kanal zum SIS des Zugangsdienstbetreibers auf. Detaillierte Informationen zum Leistungsangebot des SIS erhalten Sie von Ihrem Zugangsdienstbetreiber.
- Der Reihenbetrieb ermöglicht auch durch eine Netztrennung einen uneingeschränkten Internetzugang für Geräte, die direkt an den Internetrouter angeschlossen sind. Der Konnektor setzt dabei eine Netztrennung zwischen dem Praxisnetz und dem Netz mit direktem Internetzugang durch. Für das Praxisnetz kann der optionale SIS aktiviert werden.
- Stellen Sie – aus Haftungsgründen – sicher, dass die TI-Geräte (Konnektor, Chipkartenleser etc.) ordnungsgemäß aufgestellt und betrieben werden. Hierzu gehört, dass der Konnektor an einem zugriffsgeschützten Ort installiert wird, angebotene Sicherheitsupdates für den Konnektor und das Kartenterminal stets umgehend eingespielt werden sowie eine regelmäßige Kontrolle, dass die Geräte unverändert sind (Gehäuse, Siegel), und keine unerlaubten Geräte angeschlossen wurden. Informieren Sie bei Beschädigungen sofort den Support.
Weitere Informationen zur TI unter:
- Telematikinfrastruktur - das digitale Netz für alle Leistungserbringer im Gesundheitswesen
- Versenden Sie personenbezogene / medizinische Daten verschlüsselt. Nutzen Sie hierzu die vom BSI empfohlenen Programme bzw. Standards wie S/MIME oder GnuPG. Für einzelne Dateien im Mailanhang kann auch die Verschlüsselung von Archivprogrammen wie WinZIP oder 7zip verwendet werden.
- Trennen Sie private und dienstliche Mailkonten, da sonst die Angriffsfläche vergrößert wird.
- Nutzen Sie bestenfalls einen gesonderten Rechner für den Zugriff auf Mailkonten und nicht den PVS-PC.
- Seien Sie kritisch bei E-Mails mit merkwürdigen Absender- oder Empfängeradressen. Löschen Sie solche E-Mails besser direkt. Weitere Verdachtsmomente sind Inhalte, mit denen man offensichtlich nichts zu tun hat (z. B. Rechnungen von eBay, wenn man dort gar nicht angemeldet ist) oder auch Webadressen und Anhänge, die man unbedingt anklicken oder öffnen soll. Lassen Sie sich auch nicht von E-Mails, die angeblich von Banken, Polizei oder Behörden kommen, einschüchtern. Solche Behörden würden wirklich relevante Schreiben nicht per E-Mail zustellen.
- Stellen Sie Drucker so auf, dass keine Praxisfremden, z. B. Patienten, Zugang dazu bekommen können.
- Vernichten Sie Ausdrucke mit personenbezogenen Daten, die nicht mehr benötigt werden, datenschutzkonform, z. B. per Aktenvernichter (DIN 66399, Cross-Cut). Oder beauftragen Sie einen Dienstleister damit, sogenannte Datenschutz-Tonnen aufzustellen.
- Nehmen Sie gedruckte Dokumente umgehend aus dem Drucker, damit sie nicht längere Zeit offen herumliegen.
- Sollten Sie einen Drucker verwenden, der über eine WLAN-Hotspotfunktion verfügt, denken Sie daran, die Standardeinstellungen (z.B. Passwort) abzuändern.
- Stellen Sie Faxgeräte so auf, dass keine Praxisfremden, z. B. Patienten, Zugang dazu bekommen können.
- Verwenden Sie gespeicherte Empfängernummern, um Tippfehler beim Eingeben der Nummern zu vermeiden.
- Schalten Sie die Faxgeräte außerhalb der Dienstzeiten aus, damit niemand Zugriff auf zwischenzeitlich eingegangene Faxe im Gerät hat.
- Vereinbaren Sie bei sensiblen Daten einen Sendezeitpunkt mit dem Empfänger, da Sie als Absender keine Kontrolle über das Faxgerät auf Empfangsseite haben.
- Nutzen Sie alle von den Faxgeräten angebotenen Sicherheitsmaßnahmen (Anzeige der störungsfreien Übertragung, gesicherte Zwischenspeicherung, Abruf nach Passwort, Sperrung der Fernwartungsmöglichkeit etc.).
- Löschen Sie vor Verkauf, Weitergabe oder Aussortierung alle im Gerät gespeicherten Daten wie z. B. Textinhalte, Verbindungsdaten und Kurzwahlziele.
- Verzichten Sie auf das Versenden von sehr sensiblen Daten per Telefax, da dieses bekannte Schwächen aufweist (insbesondere die fehlende Verschlüsselung). Versuchen Sie, sicherere Kommunikationsformen wie den eArztbrief hierfür zu verwenden.
- Informieren Sie sich und Ihr Praxispersonal regelmäßig zu aktuellen Sicherheitsproblemen und -techniken, z. B. auf der Website des BSI unter der Rubrik „Verbraucherinnen und Verbraucher“.
- Sprechen Sie die Themen Sicherheit und Datenschutz regelmäßig in Ihrer Praxis an, damit Ihnen grundlegende Gefahren wie Verschlüsselungstrojaner / Ransomware sowie Gegenmaßnahmen dazu bekannt sind (z. B. dass nicht unbedacht jeder Mailanhang geöffnet wird). Sinnvollerweise kann Ihr Datenschutzbeauftragter oder Systembetreuer hierbei unterstützen.
- Lassen Sie Fernwartungen von externen Technikern nur nach vorheriger Absprache zu. Halten Sie die nötigen Passwörter oder Codes unter Verschluss.
- Beachten Sie schon bei der Beschaffung von neuen IT-Geräten deren Sicherheitsfunktionen.
- Lassen Sie niemals Dienstleister (z. B. IT-Support) Tests mit echten Patientendaten durchführen. Entweder werden diese vorher anonymisiert oder der Dienstleister muss selber generierte Daten ohne Patientenbezug verwenden.
- Erstellen Sie einen Notfallplan, um die Abläufe und Zuständigkeiten während der Bewältigung des Notfalles zu regeln und die Beteiligten in die Lage zu versetzen, wieder den Normalbetrieb herzustellen. Bereiten Sie sich auf mögliche Szenarien wie einen Rechner-Ausfall oder Schadsoftware vor.
- Stellen Sie Möglichkeiten eines Notbetriebs auf, z. B. für den Ausfall von PCs, den Ausfall des PVS, den Ausfall des Internets oder einen Stromausfall. Halten Sie z. B. einen Ersatzrechner bereit.
- Überlegen Sie, wen Sie im jeweiligen Notfall informieren müssen. Das können je nach Art des Notfalls die Polizei, die Datenschutzbehörden, die Versicherungen oder Patienten sein.
- Eine Cyberversicherung kann im Schadenfall (IT-Ausfall, Schadsoftware, Bedienungsfehler, vorsätzliche Manipulation etc.) die Kosten für Sachverständige, externe Berater, Krisenmanager, Juristen, Presse-/Medienexperten, Call-Center erstatten, Schadenersatz leisten oder auch den Ertragsausfall nach einer Betriebsunterbrechung kompensieren.
- Meist stellt die Versicherung Ansprechpartner zur Verfügung, die im Notfall schnell Hilfe leisten können. Hierzu zählen Service-Hotlines, Sicherheits-Experten und IT-Forensiker.
- Die einzelnen genauen Pflichten und Leistungen sind vor Vertragsabschluss mit der Versicherung zu klären. Da es bei den Verträgen und Rahmenbedingungen durchaus Unterschiede geben kann, sollten Sie mehrere Angebote einholen und vergleichen.
- Active Directory (AD): MS Windows Verzeichnisdienst
- BfArM: Bundesinstitut für Arzneimittel und Medizinprodukte
- BSI: Bundesamt für Sicherheit in der Informationstechnik
- Checksumme: eine Prüfsumme, mit der die Integrität von Daten überprüft werden kann
- Datenverarbeitung: Erhebung, Verarbeitung, Speicherung, Administration und Einsicht in personenbezogene Daten
- DSGVO: Datenschutzgrundverordnung
- HTTP(S): (Secure) Hypertext Transfer Protocol, Standardprotokoll im Internet
- Icinga: freie System- und Netzwerk-Überwachungssoftware
- MDM: Mobile Device Management, System zur zentralisierten Verwaltung von Mobilgeräten
- Medizinische Großgeräte: z.B. CT, MRT, PET, Linearbeschleuniger
- Minimalprinzip (Rechtevergabe): nur so viele Berechtigungen wie nötig vergeben
- QES: qualifizierte elektronische Signatur, die im Rechtsverkehr die handschriftliche Unterschrift ersetzt
- SFTP: Secure File Transfer Protocol, Protokoll für die sichere Übertragung von Dateien
- SIEM: Security Information and Event Management, System zur zentralen Zusammenführung und Auswertung von Sicherheitsinformationen
- SMB: Server Message Block, Protokoll für Datei- und Druckdienste, ab Version 3 ist Verschlüsselung möglich
- SSH: Secure Shell, Protokoll für die sichere Fernbedienung von Computern
- TI: Telematikinfrastruktur
- TLS: Transport Layer Security, Verschlüsselungsprotokoll für sichere Datenübertragung, wird von HTTPS verwendet
- VPN: Virtual Private Network, Technik zur sicheren Kopplung von Netzwerken
- WAF: Web Application Firewall, auf HTTP spezialisiertes Firewall, z. B. zum Schutz von Webanwendungen