IT-Sicherheitsrichtlinie7 Schutzregeln für die Praxis-IT

Seit Jahresbeginn gelten die ersten Vorgaben der neuen IT-Sicherheitsrichtlinie für Vertragsärzte. Die meisten Hausärzte dürften nichts zu befürchten haben, wenn sie sieben Grundprinzipien beim IT-Schutz beachten.

Je nach Praxisgröße variieren die Vorgaben der IT-Sicherheitsrichtlinie.

Berlin. Die IT-Sicherheitsrichtlinie für Vertragsärzte und -psychotherapeuten wurde Mitte Dezember verabschiedet. Im Nachgang zur Vertreterversammlung (VV) der Kassenärztlichen Bundesvereinigung (KBV) am 4. Dezember haben die Vertreter schriftlich zugestimmt.

Künftig will die KBV für Praxen eine Online-Schulung sowie Checklisten zur Verfügung stellen, damit Praxen die Richtlinie leichter umsetzen können, sagte KBV-Vorstandsmitglied Thomas Kriedel bei der VV. Die meisten Vorgaben sind zum 1. April 2021 oder 1. Januar 2022 umzusetzen.

Die Vorgaben wurden insbesondere mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundesgesundheitsministerium (BMG) abgestimmt, wie die KBV bei der digitalen VV betonte. Die Richtlinie muss jährlich aktualisiert werden.

Finanzierungsfrage noch unklar?

Im vergangenen Jahr war zunächst die gesetzliche Frist (Ende Juni) für die Richtlinie verstrichen, da das BSI der KBV zufolge sehr hohe Standards für Praxen gefordert haben soll. Die jetzt vorliegende Fassung dürfte hingegen viele Vorschriften beinhalten, die die meisten Praxen bereits umsetzen. Medien berichteten, das BSI habe auch aufgrund der zusätzlichen Belastungen durch die Corona-Pandemie zunächst von höheren Standards abgesehen.

Ein weiterer Knackpunkt war im Sommer die Finanzierung der Aufwände, die Praxisinhabern durch die Vorgaben entstehen. Dieser Punkt scheint nach wie vor offen zu sein.

Vorgaben differieren nach Mitarbeiterzahl

Welche Schutzmaßnahmen Ärztinnen und Ärzte ergreifen müssen, hängt von der Größe der Praxis ab. Ausschlaggebend ist dafür jeweils die Zahl der Mitarbeitenden, die ständig Daten verarbeiten. Die niedrigsten Standards gelten für Praxen mit bis zu 5 solchen Mitarbeitenden. Etwas mehr Auflagen bekommen „mittlere Praxen“ mit 6 bis 20 solchen Personen.

Und die höchsten Standards greifen für Großpraxen: Hierunter fallen entweder Betriebe mit mehr als 20 Mitarbeitenden oder kleinere Praxen, die aber Daten „über den normalen Umfang hinaus“ bearbeiten. Als Beispiele nennt die Richtlinie Groß-MVZ mit klinikähnlichen Strukturen oder Labore.

Vor allem Anlagen 1 und 5 relevant

Die Richtlinie gliedert sich in sechs Anlagen. Alle Praxen müssen die Anlagen 1 und 5 (Telematikinfrastruktur, TI) erfüllen. Für mittlere und Groß-Praxen gilt zudem Anlage 2 und lediglich für Groß-Praxen auch Anlage 3. Anlage 4 können Hausärztinnen und Hausärzte vernachlässigen: Sie beschreibt die Anforderungen an medizinische Großgeräte wie MRT.

Interessant kann hingegen Anlage 6 für alle Praxen sein. Diese Linksammlung gibt Hinweise für sichere Web-Browser, die Einrichtung von Microsoft Office und Outlook oder für Android-Geräte.

Welche Vorgaben sind zu erfüllen?

Alle Anlagen listen die Vorgaben nach Anwendung und mit zeitlicher Umsetzungsfrist tabellarisch auf. Die einzelnen Punkte werden hier daher nicht wiedergegeben. Stattdessen werden die einzelnen Maßnahmen zu groben Grundregeln zusammengefasst.

Auf folgende Schutzregeln sollten Praxen grundsätzlich – unabhängig von der jeweiligen Anwendung – achten:

  1. Laden Sie Anwendungen (wie Apps, Software etc.) nur über offizielle Stores herunter.
  2. Installieren Sie Updates regelmäßig und zeitnah; ggf. auch regelmäßig nach Updates aktiv suchen.
  3. Setzen Sie Schutzsysteme wie Firewall und Anti-Viren-Software ein. Für Geräte der TI gilt, dass diese für andere unzugänglich aufgestellt werden müssen.
  4. Sichern Sie regelmäßig Daten: Dabei sollten diese lokal und nicht in Cloud-Diensten gespeichert werden. Das gilt insbesondere für mobile Endgeräte wie Smartphones und Tablets.
  5. Wenn Sie Daten übertragen, sollte dies nur verschlüsselt erfolgen. Das gilt etwa auch für externe Datenspeichermedien wie Festplatten, USB-Sticks etc. Gerade bei Apps ändern sich die Nutzungsbedingungen schon einmal häufiger, sehen Sie sich hier also immer wieder genau an, welche Daten weitergegeben werden und welche nicht. Ein Beispiel: Zum 8. Februar ändert WhatsApp, das auch viele Praxen zur Kommunikation nutzen, seine Nutzungsbedingungen. Laut des Unternehmens sollen die verschlüsselten Chats aber wohl nicht mit Facebook und Werbepartnern geteilt werden.
  6. Gehen Sie jederzeit mit Daten so sparsam wie möglich um: Verarbeiten Sie so wenige Daten wie nötig und vergeben Sie so wenige Zugriffsrechte wie nötig. Vermeiden Sie zum Beispiel auch Sprachassistenten wie Alexa, Siri und Co.
  7. Wenn Sie eine Anwendung nicht nutzen, sollten Sie diese abmelden oder sperren. Verlässt ein Mitarbeiter beispielsweise seinen Platz, sollte dieser seinen Account sperren, damit ein anderer nicht auf den PC zugreifen kann.

Weitere Richtlinien für größere Praxen

Ergänzend zu diesen Grundsätzen nehmen die Vorgaben mit der Praxisgröße zu. Anlage 2 für mittlere Praxen sieht zum Beispiel vor, dass die Nutzung von Smartphones, Mobiltelefonen und Tablets in einer Richtlinie für Mitarbeitende geregelt werden muss.

Großpraxen sollen zusätzlich eine Richtlinie für das Mobile Device Management erstellen. Diese legt fest, wie mobile Endgeräte sicher an das IT-System der Großpraxis angeschlossen wird. Ebenso soll das Herunterladen von Apps auf mobile Endgeräte nur nach vorherige Prüfung und Freigabe möglich sein.

Viele Regeln gelten ab 1. April

Die meisten Vorgaben werden entweder zum 1. April 2021 oder 1. Januar 2022 verpflichtend, vereinzelt zum Juli 2022.

Lediglich die Einrichtung der Clients für eine geschützte Kommunikation mit dem Konnektor der TI greift bereits seit dem zurückliegenden Jahreswechsel. Hier ist darauf zu achten, dass die Clients authentisiert werden – entweder durch Zertifikate oder durch Benutzername und Passwort.

Praxisinhaber verantwortlich

Die Praxisinhaber sind verantwortlich, dass die vorgeschriebenen Standards eingehalten werden. Laut der Präambel können sie Risiken bei der Umsetzung aber auch „an Dritte, wie IT-Dienstleister (…), übertragen“.

Hierzu passt es, dass die KBV analog eine neue Richtlinie für IT-Dienstleister verfasst hat, die die Zertifizierung der Dienstleister und damit die Beratung der Praxen und dortige Umsetzung der IT-Sicherheitsrichtlinie regelt. Nach Medienberichten soll die Zertifizierung der Dienstleister im Februar beginnen.

Für Ärztinnen und Ärzte ist es also ratsam, sich beim nächsten Einsatz ihres IT-Dienstleisters zu erkundigen, ob eine entsprechende (Re-)Zertifizierung stattgefunden hat und sie somit davon ausgehen können, dass der Dienstleister die neuen Standards kennt und umsetzt.

E-Mail-Adresse vergessen? Schreiben Sie uns.
Passwort vergessen? Sie können es zurücksetzen.
Nur wenn Sie sich sicher sind.

Sie haben noch kein Passwort?

Gleich registrieren ...

Für Hausärzte, VERAH® und ÄiW (Allgemeinmedizin und Innere Medizin mit hausärztlichem Schwerpunkt) ist der Zugang immer kostenfrei.

Mitglieder der Landesverbände im Deutschen Hausärzteverband profitieren außerdem von zahlreichen Extras.


Persönliche Daten

Ihr Beruf

Legitimation

Die Registrierung steht exklusiv ausgewählten Fachkreisen zur Verfügung. Damit Ihr Zugang freigeschaltet werden kann, bitten wir Sie, sich entweder mittels Ihrer EFN zu legitimieren oder einen geeigneten Berufsnachweis hochzuladen.

Einen Berufsnachweis benötigen wir zur Prüfung, wenn Sie sich nicht mittels EFN autorisieren können oder wollen.
Mitglied im Hausärzteverband
Mitglieder erhalten Zugriff auf weitere Inhalte und Tools.
Wir verifizieren Ihre Mitgliedschaft anschließend.

Newsletter
Sie stimmen zu, dass wir Ihre E-Mail-Adresse für diesen Zweck an unseren Dienstleister Mailjet übermitteln dürfen. Den Newsletter können Sie jederzeit wieder abbestellen.

Das Kleingedruckte
Die Zustimmung ist notwendig. Sie können Sie jederzeit widerrufen, außerdem steht Ihnen das Recht zu, dass wir alle Ihre Daten löschen. Jedoch erlischt dann Ihr Zugang.

Auswahl
Alle der unten angegebenen Newsletter
Spicker, Checklisten und Medizin für die hausärztliche Praxis, berufspolitische News, Inhalt und E-Paper neuer HAUSARZT-Ausgaben, sowie Neues aus Wissenschaft und Organisation
Nachrichten aus der Industrie

Das Kleingedruckte
Die Zustimmung ist notwendig. Sie können Sie jederzeit widerrufen, außerdem steht Ihnen das Recht zu, dass wir alle Ihre Daten löschen. Jedoch erlischt dann Ihr Zugang.

Auswahl ändern/abbestellen

Wenn Sie für Ihr bestehendes Newsletter-Abo andere Themen auswählen oder den Newsletter abbestellen wollen, geben Sie bitte Ihre E-Mail-Adresse an und wählen Sie die gewünschte Funktion. Wir senden Ihnen dann eine E-Mail zur Bestätigung.