Marcel Seer
26. April 2021

IT-Sicherheitsrichtlinie der KBV

IT-Sicherheitsrichtlinie

Im Januar ist die gesetzliche IT-Sicherheitsrichtlinie (nach §75b SGB V) der Kassenärztlichen Bundesvereinigung (KBV) in Kraft getreten. Darin werden Anforderungen an Praxen zur Gewährleistung der IT-Sicherheit aufgelistet, die bis Juli 2022 schrittweise umgesetzt werden sollen. Welche Forderungen wann erfüllt sein müssen und wie wir Sie bei der Umsetzung unterstützen können, erfahren Sie hier.

Was ist die IT-Sicherheitsrichtlinie der KBV?

Im Rahmen des Digitale-Versorgung-Gesetzes hat der Gesetzgeber die Kassenärztliche Bundesvereinigung 2020 beauftragt, eine IT-Sicherheitsrichtlinie für alle Arzt- und Psychotherapeutenpraxen zu entwickeln, um ein Mindestmaß an Sicherheit beim Prozess der Digitalisierung im Gesundheitswesen zu gewährleisten. Diese ist am 23. Januar 2021 in Kraft getreten und beinhaltet konkrete Vorgaben für Praxen und ihre IT-Infrastrukturen.

Übersicht der Anforderungen

Im gesetzlichen Anforderungskatalog wird zwischen kleinen, mittleren und großen Praxen sowie Einrichtungen mit medizinischen Großgeräten wie CT und MRT unterschieden. Je nach Größe und Ausstattung müssen demnach ggf. zusätzliche Sicherheitsvorkehrungen getroffen werden.

Weiterhin ist eine schrittweise Umsetzung der Maßnahmen vorgesehen, sodass Prozesse und Infrastruktur bis Juli 2022 nach und nach umstrukturiert werden können. Die ersten 22 Anforderungen sollten bereits im April 2021 umgesetzt worden sein, damit Praxen für den anstehenden Umstieg auf elektronischen Patientenakten (ePA) und elektronischen Arbeitsunfähigkeitsbescheinigungen (eAU) vorbereitet sind.

Die von der KBV veröffentlichte Richtlinie finden sie hier. Im Folgenden liefern wir Ihnen eine komprimierte Übersicht aller Anforderungen:

Ab 1. April 2021  Apps 
  • Nutzung von Apps nur aus offiziellen Stores 
  • Updates zeitnah installieren 
  • Kein Versenden vertraulicher Daten über Apps 
Office-Produkte 
  • Keine Speicherung vertraulicher Daten in integriertem Cloud-Speicher  
  • Löschen vertraulicher Daten aus Dokumenten vor Weitergabe 
Internet-Anwendungen 
  • Nutzung von Anwendungen mit strikter Absicherung der Zugänge 
  • Keine Speicherung vertraulicher Daten im Browser 
  • Nutzung von Anwendungen mit Verschlüsselung 
Endgeräte 
  • Deaktivierung von Mikrofon & Kamera, Aktivierung nur bei Bedarf 
  • Abmeldung bzw. Sperren von Geräten nach Nutzung 
  • Einsatz aktueller Virenschutzprogramme 
Smartphone & Tablet 
  • Nutzung aktueller Schutzprogramme im Browser 
  • Schützen von SIM-Karten durch PIN, Super-PIN/PUK 
  • Einrichten komplexer Gerätesperrcodes 
  • Zeitnahe Updates des Betriebssystems und der eingesetzten Apps 
Mobiltelefon 
  • Regelmäßiges Prüfen nach Softwareupdates 
Wechseldatenträger & Speichermedien 
  • Eindeutige Kennzeichnung der Datenträger für Empfänger, keine Rückschlussmöglichkeit für Dritte 
  • Sichere Versandart mit manipulationssicherer Verpackung & Nachweis-System 
Netzwerksicherheit 
  • Absicherung von Netzübergangspunkten durch eine Firewall 
  • Dokumentation des internen Netzes durch einen Netzplan 
Zusätzlich für mittlere Praxen* 
  • Minimierung & Kontrolle von App-Berechtigungen 
Zusätzlich für große Praxen** 
  • Verschlüsselung von Wechseldatenträgern 
Ab 1. Juli 2021  Zusätzlich für Praxen mit medizinischen Großgeräten 
  • Zugriffskontrollen für Wartungs- & Konfigurationsschnittstellen der Geräte, Verändern von Hersteller-Passwörtern 
  • Nutzung sicherer Protokolle für Wartung & Konfiguration der Geräte 
  • Deaktivierung nicht genutzter Benutzerkonten 
Ab 1. Januar 2022  Apps 
  • Nutzung nur von Apps, die Dokumente verschlüsselt und lokal speichern 
Internet-Anwendungen 
  • Verwendung und regelmäßige Updates einer Web-App Firewall 
  • Verhindern automatisierter Zugriffe bzw. Aufrufe auf Webanwendungen 
Endgeräte 
  • Regelmäßige Datensicherung 
  • Deaktivierung der Synchronisierung mit Microsoft-Cloud-Diensten 
  • Regelung von Berechtigungen und Zugriffen pro Person(engruppe) 
  • Minimierung der Verwendung persönlicher Daten 
Smartphone & Tablet 
  • Auswahl der strengsten Sicherheitseinstellungen 
  • Zugriffe von Apps/Betriebssystem auf Daten & Schnittstellen auf das Notwendigste einschränken 
Mobiltelefon 
  • Zeitnahe Sperrung der SIM-Karte bei Verlust 
  • Nutzung aller verfügbaren Sicherheitsmechanismen 
Wechseldatenträger & Speichermedien 
  • Überprüfen der Datenträger mit aktuellem Schutzprogramm vor jeder Verwendung 
  • Vollständiges Löschen der Daten vom Speichermedium nach Verwendung 
Netzwerksicherheit 
  • Verwenden geeigneter Authentisierung für Netzmanagement-Zugriff 
Zusätzlich für mittlere Praxen* 
  • Zugriffskontrolle bei Webanwendungen durch Sicherstellung von Berechtigungen 
  • Nutzung von TLS zur Verschlüsselung von Webseiten 
  • Restriktive Rechtevergabe für Endgeräte 
  • Verwendung von Sprachassistenten auf Smartphones & Tablets nur bei zwingender Notwendigkeit 
  • Sichere Datenübertragung über Mobiltelefone durch Verschlüsselung 
  • Regelung zur Mitnahme von Wechseldatenträgern 
  • Umfassende Protokollierung, Alarmierung und Logging von Ereignissen auf zentralem Management-System 
Zusätzlich für große Praxen** 
  • Erstellen einer Richtlinie für den Einsatz von Smartphones & Tablets 
  • Definition der erlaubten Informationen & Apps auf mobilen Geräten 
  • Absicherung der Anbindung mobiler Endgeräte zum MDM 
  • Erstellen, Dokumentieren & Anwenden eines Berechtigungskonzepts im MDM 
  • Zentrale Verwaltung von Zertifikaten über das MDM 
  • Einrichten der Möglichkeit zur Fernlöschung von mobilen Endgeräten 
  • Festlegen erlaubter Informationen auf mobilen Endgeräten 
  • Einrichten eines Schutzes von Speichermedien gegen Veränderungen 
  • Absicherung schützenswerter Informationen durch sichere Protokolle 
Zusätzlich für Praxen mit medizinischen Großgeräten 
  • Festlegung von Protokollierungsverfahren 
  • Deaktivierung nicht genutzter Funktionen & Schnittstellen 
  • Trennung der Großgeräte von der weiteren IT 
Anforderungen bzgl. Dezentraler Komponenten*** 
  • Berücksichtigung der von der gematik GmbH zur Verfügung gestellten Informationen für die Installation der TI-Komponenten und für die Anwender- und Administrationsdokumentationen 
  • Schutz der TI-Komponenten vor unberechtigtem Zugriff 
  • Schutz der Praxis auf Netzebene bei „paralleler“ Integration des Konnektors ins Netzwerk des Leistungserbringers 
  • Regelmäßiges Prüfen auf verfügbare Aktualisierungen der TI-Komponenten & zeitnahe Installation (bspw. durch automatische Updates) 
  • Sichere Aufbewahrung von Administrationsdaten 
Ab 1. Juli 2022  Zusätzlich für mittlere Praxen* 
  • Empfehlung: Einsatz von Kerberos zur zentralen Authentisierung für SSO 
  • Erstellen einer Sicherheitsrichtlinie für die Nutzung mobiler Geräte & dienstlicher Mobiltelefone 
Zusätzlich für große Praxen** 
  • Überprüfung & Freigabe mobiler Apps aus öffentlichen Stores 

* In mittleren Praxen sind 6 bis 20 Personen mit der ständigen Datenverarbeitung betraut.

** In großen Praxen sind mehr als 20 Personen mit der ständigen Datenverarbeitung betraut ODER die Datenverarbeitung geht über die normale Datenübermittlung hinaus (z.B. Labor, Groß-MVZ).

*** Darunter fallen bspw. Konnektoren, Kartenlesegeräte oder Praxisausweise.

E-Book Cover Digitalisierung der Gesundheitsbranche

Wie Digitalisierungsprojekte unser Gesundheitssystem revolutionieren

Wie profitieren Ärzte und Patienten von digitalen Lösungen in der Gesundheitsbranche? Wo liegen Chancen? Wo Risiken? All das erfahren Sie in diesem E-Book.

Informationsmaterial

In Anbetracht der großen Menge zu bewältigender Anforderungen hat die KBV eine Online-Plattform eingerichtet, um Praxen mit Begleitinformationen, Umsetzungshinweisen und Musterdokumenten zu unterstützen. Dort finden Sie u.a. Vorlagen für die vorgeschriebene Richtlinienerstellung oder einen beispielhaften Netzplan.

Beispielhafter Netzplan

Beispielhafter Netzplan zur Dokumentation des internen Netzwerks

Ebenfalls existiert seit Februar ein Fortbildungsportal mit Online-Schulungen, für die CME Punkte erworben werden können. Unter den Fortbildungsthemen finden Sie auch eine Schulung zur “IT-Sicherheit in der Praxis”, in der Sie ausführlich über gesetzliche Regelungen zum Datenschutz und zur Informationssicherheit aufgeklärt werden. Weitere Informationen der KBV finden Sie auch auf den Themenseiten Praxis-IT und IT-Sicherheitsrichtlinie sowie den dazugehörigen Unterpunkten.

Unser Knowhow für Ihr IT-System

Für zusätzliche Hilfe bei der Umsetzung der Sicherheitsanforderungen können sich Praxen von IT-Dienstleistern beraten und unterstützen lassen. Da die zukünftige Verordnung weiterer IT-Richtlinien bzgl. Datensicherheit wahrscheinlich ist, ist die Pflege einer sorgsam strukturierten IT- und Telematikinfrastruktur von höchster Wichtigkeit, um die Zukunftssicherheit Ihres Systems zu gewährleisten.

Gerne stehen Ihnen unsere darauf spezialisierten Consultants zur Seite, um Sie diesbezüglich professionell zu beraten und für eine reibungslose und fristgerechte Umsetzung der Sicherheitsvorschriften in Ihrer Praxis zu sorgen. Bei Bedarf bereiten wir Sie und Ihre Infrastruktur zusätzlich noch für die Umstellung auf die ePA und eAU vor. Kontaktieren Sie uns für ein unverbindliches Erstgespräch.

Unverbindliches Beratungsgespräch zum KHZG

Sie möchten die finanzielle Förderung des Krankenhausdigitalisierungsgesetzes nutzen, sind aber noch unsicher, wo der Hebel am größten ist? In einem unverbindlichen Gespräch betrachten wir gemeinsam Ihre Ausgangssituation und unterstützen Sie bei der Entscheidung, wo sich eine Investition in die Digitalisierung für sie am meisten lohnt.

Marcel Seer

Marcel Seer

Mein Name ist Marcel Seer und ich bin begeisterter Online Marketing Manager bei mindsquare. Wie meine Kollegen habe ich mein Hobby zum Beruf gemacht.

Sie haben Fragen? Kontaktieren Sie mich!



Das könnte Sie auch interessieren

Die Digitalisierung im klinischen und medizinischen Bereich bringt wertvolle Fortschritte, aber im Hinblick auf die Absicherung der IT-Systeme auch besondere Herausforderungen mit sich. Wenn Sie im SAP-System Patientendaten, Diagnosen oder Behandlungsdokumentationen verwalten oder es als Krankenhausinformationssystem (KIS) einsetzen, gibt es […]

weiterlesen

Schon in gewöhnlichen Zeiten leiden Krankenhäuser unter Hacker-Angriffen. Das Corona-Virus hat die Zahl der Cyber-Attacken nun erhöht. 

weiterlesen

In Krankenhäusern sind passgenaue SAP Berechtigungen für Stationsmitarbeiter oft eine große Herausforderung. Die DSGVO schreibt vor, dass personenbezogene Daten nur sehr eingeschränkt einsehbar sein sollten und zwar so, wie es notwendig ist. In diesem Beitrag gehe ich einmal auf die […]

weiterlesen

Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Expert Session
Ansprechpartner
Unsere Kundenservicemitarbeiterin Manuela Sievert
Manuela Sievert Kundenservice