Logo-KBV

KBV Hauptnavigationen:

Sie befinden sich:

 

Aktuell

Praxisnachrichten

PraxisNachrichten: Hinterher ist man immer schlauer

Besserer Schutz vor Cyberkriminalität - IT-Sicherheitsrichtlinie für Praxen mit neuen Anforderungen

03.04.2025 - Die IT-Sicherheitsrichtlinie für Praxen wurde aufgrund neuer gesetzlicher Vorgaben aktualisiert. Damit kommen spätestens ab Oktober einige Neuerungen auf die niedergelassenen Ärzte und Psychotherapeuten zu. Sie betreffen vor allem das Praxispersonal, das stärker sensibilisiert und geschult werden soll. Ziel ist es, sensible Daten noch besser zu schützen.

„Medizinische Einrichtungen sind zunehmend Ziel von Hacker-Angriffen und auch die Bandbreite der Methoden, mit denen Kriminelle arbeiten, wächst“, sagte KBV-Vorstandsmitglied Dr. Sibylle Steiner. Deshalb müssten auch die Schutzmaßnahmen immer wieder überprüft und angepasst werden, um unbefugte Zugriffe auf die Praxis-IT und damit auf die besonders sensiblen Patienten- und Abrechnungsdaten zu verhindern. Steiner: „Die IT-Sicherheit ist in einem digitalisierten Gesundheitswesen unverzichtbar.“

Richtlinie wurde jetzt aktualisiert

Bereits seit 2021 unterstützt die IT-Sicherheitsrichtlinie der KBV die niedergelassenen Ärzte und Psychotherapeuten dabei, entsprechende Vorkehrungen für ihre Praxen zu treffen. Sie enthält Voraussetzungen und Anforderungen für die IT-Sicherheit, die Praxen erfüllen müssen und sollten – je nach Praxisgröße und Ausstattung. Die Richtlinie wurde nach einer gesetzlichen Vorgabe im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik erstellt und nun aufgrund neuer gesetzlicher Vorgaben aktualisiert.

Zur Basis-Infrastruktur für den Schutz der Praxis-IT gehören nach wie vor zum Beispiel eine Firewall, ein aktueller Virenschutz, regelhafte Updates und Backups sowie eine geeignete Netzwerksicherheit.

Sicherheitsbewusstsein erhöhen

Durch das Digital-Gesetz wurden die gesetzlichen Anforderungen um Maßnahmen zur Sensibilisierung von Mitarbeiterinnen und Mitarbeitern zur Informationssicherheit erweitert (Steigerung der Security-Awareness). Die KBV hat dies in die IT-Sicherheitsrichtlinie eingearbeitet. Neu in der Richtlinie sind daher insbesondere Regelungen, die das Praxispersonal betreffen.

So sollen die Mitarbeiterinnen und Mitarbeiter regelmäßig zur Informationssicherheit geschult und fortgebildet werden. Denn schon ein unachtsamer Klick auf einen E-Mail-Anhang kann die gesamte Praxis-IT in Gefahr bringen. Daher enthält die Richtlinie jetzt beispielsweise die Vorgabe, den Umgang mit Spam bei E-Mails zu regeln (siehe Infokasten).

Auf praktikable Vorgaben geachtet

Bei der Aktualisierung wurde Steiner zufolge darauf geachtet, praktikable und realistische Vorgaben für die Praxen zu machen, die möglichst aufwandsarm umzusetzen sind und gleichzeitig einen hohen Schutz bieten.

Es wird beispielsweise nicht vorgegeben, in welcher Form das Praxispersonal für die IT-Sicherheit sensibilisiert werden muss. Dies liegt in der Verantwortung jeder Praxisinhaberin und jedes Praxisinhabers und richtet sich nach den individuellen Gegebenheiten vor Ort.

Die neuen Anforderungen sind spätestens ab 1. Oktober umzusetzen, ein halbes Jahr nach Inkrafttreten der aktualisierten Richtlinie Anfang April. Alle Anforderungen, die Praxen bereits seit 2021 erfüllen müssen, gelten ununterbrochen weiter.

Informationen und Musterdokumente für Praxen

Auf einer Online-Plattform hat die KBV alle Anforderungen aufgeführt. Dort stehen auch Musterdokumente bereit, um den Aufwand für Praxen gering zu halten, zum Beispiel beim Erstellen einer praxiseigenen Richtlinie zur IT-Sicherheit.

Geplant ist auch, Informations- und Schulungsmaterial bereitzustellen, um die Praxisinhaberinnen und Praxisinhaber zu unterstützen. Auch eine Serie in den PraxisNachrichten zu wichtigen Aspekten der IT-Sicherheit ist angedacht. Diese wird voraussichtlich im Mai starten. Außerdem wird die KBV das Serviceheft „IT-Sicherheit“ aus der Reihe PraxisWissen aktualisieren.

Unterstützung durch zertifizierte IT-Dienstleister

Es kann für Ärzte und Psychotherapeuten ratsam sein, sich externe Unterstützung zu holen, wenn es um Datensicherheit geht. Die KBV listet in einem Verzeichnis die IT-Dienstleister auf, die speziell zur Umsetzung der IT-Sicherheitsrichtlinie zertifiziert wurden. Dies ist ein optionales Angebot. Praxisinhaber können sich auch für einen nicht zertifizierten Dienstleister entscheiden, wenn sie sich Hilfe holen möchten.

IT-Sicherheitsrichtlinie für Praxen: Hintergrund und Neuerungen

Die IT-Sicherheitsrichtlinie entstand durch einen gesetzlichen Auftrag und trat erstmals 2021 in Kraft. Sie wurde im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt und 2025 aktualisiert. Gesetzliche Grundlage ist Paragraf 390 SGB V.

Die Richtlinie beschreibt eine Basis-Infrastruktur, die in jeder Praxis zum Schutz der dortigen IT vorhanden sein sollte, zum Beispiel Firewall, Virenschutz, Updates oder Backups.

Neu ist eine stärkere Berücksichtigung des Praxispersonals. Es muss für die IT-Sicherheit sensibilisiert und zur Informationssicherheit geschult werden. Verantwortlich dafür ist stets der Praxisinhaber oder die Praxisinhaberin.

Vorgaben, die seit 2021 in der Richtlinie stehen, gelten nahtlos weiter. Vorgaben, die zum 1. April neu in die Richtlinie kamen, müssen Praxen spätestens ab 1. Oktober 2025 umsetzen.

Hier einige Punkte:

Sicherer Umgang mit der Praxis-IT

Das Praxispersonal wird in den sicheren Umgang mit der Praxis-IT eingewiesen und sensibilisiert, soweit das für die Arbeit relevant ist (Vorgabe in Anlage 1 Nummer 9 der Richtlinie).

Schulung des Praxispersonals

Die Mitarbeiterinnen und Mitarbeiter werden regelmäßig geschult beziehungsweise weitergebildet, insbesondere zur eingesetzten Technik/IT. Es muss zudem betriebliche Regelungen geben, um das Praxispersonal auf einem aktuellen Kenntnisstand zu halten (Anlage 1 Nummer 6 der Richtlinie).

Die Mitarbeiterinnen und Mitarbeiter sollten entsprechend ihrer Aufgaben und Verantwortlichkeiten zu Informationssicherheitsthemen geschult werden (Anlage 1 Nummer 10 der Richtlinie).

Umgang mit Spam bei E-Mails

Die Praxis regelt den Umgang mit Spam bei E-Mails. Grundsätzlich sollten alle, die in der Praxis mit E-Mails arbeiten, Spam ignorieren und löschen. Sie sollten auf unerwünschte E-Mails nicht antworten und Links in diesen E-Mails nicht folgen (Anlage 1 Nummer 41 der Richtlinie).

Einarbeitung in die Praxis-IT

Neue Mitarbeiterinnen und Mitarbeiter werden in die Praxis-IT eingearbeitet und über bestehende Regelungen und Verfahrensweisen informiert (Anlage 1 Nummer 1 der Richtlinie).

Praxis-Austritt

Gehen Mitarbeiterinnen und Mitarbeiter beispielsweise in Rente, müssen sie beispielsweise Arbeitsunterlagen, Schlüssel, Geräte, Ausweise und Zutrittsberechtigungen zurückgeben. Bekannte und verwendete Passwörter sowie andere Zugangsdaten muss die Praxisleitung ändern oder vernichten (Anlage 1 Nummer 2 der Richtlinie).

Externes Personal

Externe Mitarbeiter, zum Beispiel von IT-Dienstleistern, die Technik installieren, prüfen oder reparieren, werden verpflichtet, Gesetze, Vorschriften und interne Regelungen einzuhalten. Externes Personal, das kurzfristig oder einmalig eingesetzt ist, wird in sicherheitsrelevanten Bereichen beaufsichtigt. Zugangsberichtigungen sind so restriktiv wie möglich zu halten (Anlage 1 Nummer 3 der Richtlinie).

Bevor externes Personal Zugang zu vertraulichen Informationen erhält, schließen Praxisinhaber mit der Firma oder den Personen Vertraulichkeitsvereinbarungen in schriftlicher Form ab (Anlage 1 Nummer 4 der Richtlinie).

Hinweis

Diese und weitere Anforderungen gelten für alle Praxen und stehen in Anlage 1 der IT-Sicherheitsrichtlinie. Zusätzliche Anforderungen gelten für Praxen, wo mehr als sechs Personen Daten verarbeiten, wo besonders viele Daten verarbeitet oder medizinische Großgeräte betrieben werden. Mehr dazu im Hub zur IT-Sicherheitsrichtlinie unter „Mehr zum Thema“.

Mehr zum Thema

zu den PraxisNachrichten