1. Home
  2. Nachrichten

Firewall, Verschlüsselungen und Virenschutz: Anforderungen der IT-Sicherheitsrichtlinie ab dem 01. April 2021

Die IT-Sicherheitsrichtlinien legen fest, wie Praxen mit sensiblen und vertraulichen Daten umgehen, welche Anforderungen ein Internet-Browser erfüllen muss und was beim Umgang mit Smartphones oder Wechseldatenträgern zu beachten ist.

IT Sicherheit

Hintergrund

Auf Grundlage des Digitale-Versorgung-Gesetzes hat die Kassenärztliche Bundesvereinigung (KBV) Regelungen für alle Praxen entwickelt. Die Maßnahmen zielen unter anderem darauf ab, einen sicheren Umgang mit dem Internet zu gewährleisten.

Computer, Mobiltelefone und Tablets vor unbefugten Zugriffen und/oder Datenklau zu schützen.

Vertrauliche Daten online, per App oder mittels Datenträger sicher zu übertragen.

Umfang und Ausmaß der Forderungen richten sich vor allem nach der Anzahl der Personen, die ständig mit der Datenverarbeitung betraut sind, und dem Umfang der anfallenden Daten. Zusätzliche Vorgaben gibt es beim Umgang mit medizinischen Großgeräten sowie für die dezentralen Komponenten der Telematikinfrastruktur.

Regelkatalog

Der Regelkatalog umfasst zwei Abschnitte:

  1. Richtlinie über die Anforderungen zur Gewährleistung der IT-Sicherheit (nach § 75b SGB V)
  2. Richtlinie zur Zertifizierung von Dienstleistern (nach § 75b Absatz 5 SGB V)

Die Anforderungen des ersten Abschnitts bzw. der IT-Sicherheitsrichtlinie sind nach Anlage und Nummer sortiert.[1]

Die Vorgaben sind selbstverständlich nur für die Zieltechnologien umzusetzen, die auch tatsächlich in der Praxis genutzt werden.

Abschnitt 1: Anlagen der IT-Sicherheitsrichtlinie

Die Anlagen 1 bis 3 beziehen sich auf drei unterschiedliche Praxisgrößen; Anlage 4 und 5 enthalten Zusatzregeln. Im Detail:

  • Anlage 1: betrifft Praxen mit bis zu fünf ständig mit der Datenverarbeitung beschäftigten Personen
  • Anlage 2: betrifft Praxen mit sechs bis 20 ständig mit der Datenverarbeitung beschäftigten Personen
  • Anlage 3: betrifft Praxen, in denen mehr als 20 Personen ständig mit der Datenverarbeitung betraut sind oder eine Praxis, die in über die normale Datenübermittlung hinausgehendem Umfang in der Datenverarbeitung tätig ist, zum Beispiel Medizinische Versorgungszentren (MVZ) mit krankenhausähnlichen Strukturen oder Labore
  • Anlage 4: umfasst zusätzliche Anforderungen für Praxen, die mit medizinischen Großgeräten wie CT, MRT, PET, Linearbeschleuniger oder Dialysegeräten arbeiten
  • Anlage 5: umfasst zusätzliche Anforderungen für dezentrale Komponenten der Telematikinfrastruktur, zum Beispiel Konnektor, Kartenlesegeräte oder Praxisausweise[2]

Zusammengefasst betreffen Anlage 1 und 5 alle Praxen. Die Anlagen 2, 3 und 4 beinhalten Zusatzregelungen für mittlere und große Praxen sowie Praxen mit medizinischen Großgeräten.

Fristen

Die Regeln sind für Ärzte und Psychotherapeuten verbindlich. Für die Umsetzung sind unterschiedliche Fristen vorgegeben. Die ersten Anforderungen gelten bereits seit dem 1. April 2021, weitere Stichtage sind der 1. Juli 2021 und der 1. Januar 2022. Die Anlagen 2 bis 5 beinhalten bis auf zwei Ausnahmen ausschließlich Anforderungen, die erst zu den letzten beiden Stichtagen erfüllt werden müssen.[2]

Anforderungen ab 01. April 2021

Anlage 1

Aus Anlage 1 müssen ab dem 01. April 2021 folgende Richtlinien umgesetzt werden:

  • Sichere Apps nutzen: Apps dürfen nur aus offiziellen App-Stores heruntergeladen werden, nicht mehr benötigte Apps sind restlos zu löschen
  • Aktuelle App-Versionen verwenden: Updates sind zeitnah zu installieren
  • Verhinderung von Datenabfluss: Keine vertraulichen Daten über Apps versenden
  • Verzicht auf Cloud-Speicherung: Keine Nutzung der in Office-Produkte integrierten Cloud-Speicher zur Speicherung personenbezogener Informationen
  • Beseitigung von Rest-Informationen vor Weitergabe von Dokumenten: Vertrauliches aus Dokumenten vor einer Weitergabe an Dritte löschen
  • Authentisierung bei Webanwendungen: Nur Internet-Anwendungen nutzen, die ihre Zugänge (Login-Seite und -Ablauf, Passwort, Benutzerkonto etc.) strikt absichern
  • Schutz vertraulicher Daten: Internet-Browser gemäß Hersteller-Anleitung so einstellen, dass keine vertraulichen Daten im Browser gespeichert werden
  • Kryptografische Sicherung vertraulicher Daten: Nur verschlüsselte Internet-Anwendungen verwenden
  • Verhinderung der unautorisierten Nutzung von Rechner-Mikrofonen und Kameras: Mikrofon und Kamera am Rechner grundsätzlich deaktivieren und nur bei Bedarf temporär direkt am Gerät aktivieren und anschließend wieder deaktivieren
  • Abmelden nach Aufgabenerfüllung: Nach Ende der Nutzung immer den Zugang zum Gerät sperren oder abmelden
  • Einsatz von Viren-Schutzprogrammen: Aktuelle Virenschutzprogramme verwenden
  • Schutz vor Phishing und Schadprogrammen im Browser: Aktuelle Schutzprogramme vor Phishing und Schadprogrammen im Browser nutzen
  • Verwendung der SIM-Karten-PIN: SIM-Karten durch PIN schützen. Super-PIN/PUK nur durch Verantwortliche anwenden
  • Verwendung eines Zugriffschutzes: Geräte mit einem komplexen Gerätesperrcode schützen
  • Updates von Betriebssystem und Apps: Updates des Betriebssystems und der eingesetzten Apps bei Hinweis auf neue Versionen immer zeitnah installieren; zusätzlich festen Turnus (zum Beispiel monatlich) festlegen, in dem das Betriebssystem und alle genutzten Apps auf neue Versionen geprüft werden
  • Updates von Mobiltelefonen: Regelmäßig prüfen, ob es Softwareupdates für die Mobiltelefone gibt
  • Angemessene Kennzeichnung der Datenträger beim Versand: Eindeutige Kennzeichnung für Empfänger, die aber keine Rückschlüsse für andere ermöglichen
  • Sichere Versandart und Verpackung: Versandanbieter mit sicherem Nachweis-System sowie manipulationssichere Versandart und Verpackung wählen
  • Absicherung der Netzübergangspunkte: Übergang zu anderen Netzen – insbesondere das Internet – durch eine Firewall schützen
  • Dokumentation des Netzes: Das interne Netz ist inklusive eines Netzplanes zu dokumentieren.[2]

Anlage 2 und 3

Gemäß Anlage 2 müssen mittlere Praxen seit dem 01. April 2021 vor Einführung einer mobilen Anwendung sicherstellen, dass die Applikation nur die minimal benötigten App-Berechtigungen für ihre Funktion erhält.[2]

Laut Anlage 3 sollten Großpraxen ab dem 01. April 2021 Wechseldatenträger vollständig verschlüsseln.[2]

Musterdokumente und Online-Plattform

Zur erleichterten Umsetzung bestimmter Anforderungen stellt die KBV drei Musterdokumente auf einer Online-Plattform zur Verfügung: ein Muster-Netzplan, eine Muster-Richtlinie für Mitarbeiter zur Nutzung von mobilen Geräten sowie eine Vorlage für die Mitnahme von Wechseldatenträgern. Die Entwürfe können individuell angepasst werden. Darüber hinaus bietet die Website Ärzten und Psychotherapeuten einen ausführlichen Überblick über alle Pflichten zur IT-Sicherheit in der Praxis.[3]

Abschnitt 2: Richtlinie zur Zertifizierung von Dienstleistern

Die Umsetzung der Sicherheitsanforderungen obliegt dem Inhaber der Praxis. Dieser kann den Regelkatalog in Eigenregie umsetzen oder sich von IT-Dienstleistern beraten und unterstützen lassen. Die Bedingungen dafür sind in einer zweiten Richtlinie geregelt. Hier hat die KBV die Rahmenbedingungen für das Zertifizierungsverfahren der ITler definiert.[4] 

Autor:
Dr. Christian Kretschmer (Arzt)
Stand:
13.04.2021
Quelle:
  1. Kassenärztliche Bundesvereinigung (KBV), Hauptseite: § 75B SGB V; IT-Sicherheitsrichtlinie, abgerufen am 08. April 2021.   
  2. Kassenärztliche Bundesvereinigung (KBV), Richtlinie nach § 75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit, abgerufen am 08. April 2021.   
  3. Kassenärztliche Bundesvereinigung (KBV), Musterdokumente, abgerufen am 08. April 2021.
  4. Kassenärztliche Bundesvereinigung (KBV), Richtlinie zur Zertifizierung nach § 75b Absatz 5 SGB V, abgerufen am 08. April 2021.
  5. Das Video wurde mit freundlicher Genehmigung der KBV eingebunden.
  • Teilen
  • Teilen
  • Teilen
  • Drucken
  • Senden

Anzeige

Meistgelesene Meldungen
Einführung von E-Rezepten in der Hausarztpraxis

Einführung von E-Rezepten in der Hausarztpraxis

Wie elektronische Verordnungen schrittweise in Hausarztpraxen etabliert werden können, haben zwei Mediziner anhand eigener Erfahrungen zusammengetragen.

HIV-Heilung bei drittem Patienten beschrieben

HIV-Heilung bei drittem Patienten beschrieben

Möglicherweise erhalten zukünftig mehr HIV-Patienten mit Leukämie eine Stammzelltransplantation.

Pseudoephedrin: Arzneimittel werden überprüft

Pseudoephedrin: Arzneimittel werden überprüft

Die Sicherheit von Arzneimitteln mit Pseudoephedrin soll neu bewertet werden.

Test
Fusspilz

02.06.2024 - QT-Intervall beeinflussende Arzneimittel

Der Einfluss von Arzneimitteln auf das QT-Intervall ist ein wichtiger Aspekt der Arzneimitteltherapiesicherheit, da eine Verlängerung des QT-Intervalls zu schwerwiegenden Herzrhythmusstörungen führen kann.

Arzneimittel Kinder

11.01.2023 - Arzneimittel für Kinder

Auflistung der für Kinder zugelassenen Medikamente ohne Generika, Biosimilars oder Homöopathika.

Blutgefaesse

24.09.2021 - Venenmittel

Venenmittel sind eine heterogene Substanzklasse, die bei akuten und chronischen Hämorrhoidalleiden angewendet werden können.

Pharma-News
Rote-Hand-Brief

Rote-Hand-Briefe

Aktuelle Rote-Hand-Briefe zu Medikamenten.

Rückrufe

Rückrufe und Prüfungen

Chargenprüfungen und Rückrufe der Hersteller.

Lieferengpässe

Lieferengpässe

Aktuelle Lieferengpässe und Wiederverfügbarkeiten.

Arzneimitteländerungen

Arzneimitteländerungen

Pharmazeutische Änderungen bei Medikamenten.

Alle Meldungen
Orphan Disease Finder

Orphan Disease Finder

Hier können Sie seltene Erkrankungen nach Symptomen suchen:

 

Seltene Krankheiten von A-Z
Schwerpunkt Seltene Erkrankungen

Newsletter
Gelbe Liste Newsletter

Gelbe Liste Newsletter

Wöchentliche Top-News für Ärzte und Apotheker.

Newsletter Gynäkologie

Gynäkologie Newsletter

14-tägliche Updates zu News in der Frauenheilkunde.

Diabetologie Newsletter

Diabetologie Newsletter

Monatliche Updates zu News aus der Diabetologie.

LeitMed Campus: CME für Ärzte

2 CME-Punkte: Haut als Spiegel des Diabetes mellitus

Blickdiagnostik, Labor und Therapie typischer Hauterkrankungen