Praxisnachricht

Aktualisierungsdatum: 03.07.2025
Serie IT-Sicherheit

Teamaufgabe IT-Sicherheit: Praxisteam sensibilisieren und schulen

Für die IT-Sicherheit in der Praxis zu sorgen, ist eine Teamaufgabe: Als Praxisinhaber tragen Ärzte und Psychotherapeuten zwar die Hauptverantwortung, aber auch ihre Mitarbeitenden müssen wachsam sein, damit in puncto Sicherheit keine Lücken entstehen. Was sie konkret tun können und welche Unterstützung die KBV bietet, darum geht es im ersten Teil unserer monatlichen Serie zur IT-Sicherheit.

Die Beschäftigten in den Praxen sind ein wichtiger Sicherheitsfaktor. Ausreichend sensibilisiert und gut geschult, können sie notwendige Schutzmaßnahmen ergreifen und verdächtige Aktivitäten wie Phishing erkennen. Doch schon durch eine kleine Unachtsamkeit oder mangelndes Wissen können sie die IT-Sicherheit gefährden. Die regelmäßige Sensibilisierung der Mitarbeitenden, Schulungen sowie klare Regeln und Vereinbarungen sind deshalb unerlässlich.

Woran Praxisinhaberinnen und Praxisinhaber dabei denken sollten und welche weiteren Anforderungen zur Gewährleistung der IT-Sicherheit in Praxen bestehen, ist in der IT-Sicherheitsrichtlinie der KBV festgelegt. Die KBV ist gesetzlich verpflichtet, eine solche Richtlinie bereitzustellen und regelmäßig anzupassen – immer im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI).

KBV bietet Schulungen für das Praxispersonal

Zu den Anforderungen gehört die regelmäßige Schulung des Praxispersonals, um das Bewusstsein für IT-Sicherheit („Security Awareness“) dauerhaft zu schärfen. Spätestens ab Oktober sind solche Schulungen Pflicht. Wie oft die Mitarbeitenden jedoch geschult werden sollten, legt jede Praxis selbst fest und richtet sich nach den individuellen Gegebenheiten vor Ort.

Die KBV unterstützt Ärzte und Psychotherapeuten mit zwei Schulungen für Medizinischen Fachangestellte. Die erste Schulung vermittelt Basiswissen zur IT-Sicherheit – von sicheren Passwörtern bis zum Verhalten bei Sicherheitsvorfällen. Die zweite Schulung fokussiert das Phishing („Fischen nach Passwörtern“). Diese Betrugsmasche erfolgt häufig per E-Mail, es gibt aber zahlreiche Varianten und Wege – per SMS, Anruf oder QR-Code in einem seriös wirkenden Brief.

Einweisung in die IT-Systeme der Praxis

Unabhängig von den Schulungen sollten alle Mitarbeitenden in die Benutzung der wesentlichen IT-Systeme ihres Arbeitsplatzes eingearbeitet und für den Datenschutz sensibilisiert werden. Dies gilt insbesondere für neue Kolleginnen und Kollegen. Dabei kann es je nach Größe der Praxis hilfreich sein, wenn sie Ansprechpartner für Fragen rund um Informationssicherheit und Datenschutz haben.

Wird neue Technik angeschafft, müssen die Angestellten nicht nur wissen, wie sie diese benutzten, sondern auch Schutzmaßnahmen kennen. Das umfasst Passwörter und Gerätesperrcodes ebenso wie das Festlegen von Verantwortlichkeiten beispielsweise für das Einspielen von Software-Updates oder das Erstellen von Sicherheitskopien der vom Programm oder Gerät gespeicherten Patientendaten.

Vereinbarung von Vertraulichkeit

Neben der Technik ist an die Informationssicherheit zu denken: Alle Mitarbeitenden müssen verpflichtet werden, sich an die geltenden Gesetze und Vorschriften zum Datenschutz und zur Schweigepflicht zu halten. Hierzu ist individuell mit dem Mitarbeiter oder der Mitarbeiterin eine Vertraulichkeitsvereinbarung zu schließen. Die KBV bietet dafür ein Musterdokument im Hub an.

Auch mit Personen, die nicht in der Praxis angestellt sind, aber dort beispielsweise Technik installieren, reparieren oder warten, muss Vertraulichkeit vereinbart werden. Solches Fremdpersonal muss in sicherheitsrelevanten Bereichen der Praxis beaufsichtigt werden.

Regelungen für den Personalwechsel

Dabei ist zu beachten, dass sich das Team verändert. Wenn eine Kollegin oder ein Kollege in Rente in geht oder aus anderen Gründen die Praxis dauerhaft verlässt, sind beispielsweise die Passwörter zu ändern, die der Person bekannt waren.

Bei der Einstellung neuer Kolleginnen und Kollegen sollte grundsätzlich besonders auf ihre Vertrauenswürdigkeit geachtet werden, beispielsweise bei der Prüfung der Arbeitszeugnisse.

Je mehr Technik und Personal, desto mehr ist zu tun

Grundsätzlich gilt: Je mehr Technik eine Praxis nutzt und je mehr Personen damit arbeiten, desto größer ist die Angriffsfläche. Ziel der Schutzmaßnahmen ist es, die Angriffsfläche so klein wie möglich zu halten, Risiken für Sicherheitsvorfälle zu minimieren und sich als Team zu begreifen, das gemeinsam für die IT-Sicherheit sorgt.

KBV-Hub und Serviceheft nutzen

Weitere Hinweise finden Praxen im Hub zur IT-Sicherheit. Einen kompakten Einstieg ins Thema bietet das Serviceheft „IT-Sicherheit“ aus der Reihe PraxisWissen. Es wurde kürzlich neu aufgelegt und enthält Informationen zu Sicherheitsanforderungen, eine Checkliste für erste Schritte sowie Tipps und Beispiele für die Umsetzung von Schutzmaßnahmen. Das Heft steht online bereit.

Nächster Teil

Der nächste Teil erscheint in der ersten August-Ausgabe der PraxisNachrichten. Thema ist dann, was je nach Ausstattung und Praxisgröße zum Basis-Schutz für die IT-Infrastruktur gehört.

So unterstützt die KBV

Das bietet der Hub zur IT-Sicherheit

Der Hub der KBV zur IT-Sicherheit ist eine Online-Plattform, die alles Wichtige zur IT-Sicherheitsrichtlinie enthält. Hinzu kommen Musterdokumente, Informationen zur Fortbildung sowie Fragen und Antworten.

IT-Sicherheitsrichtlinie

Alle Anforderungen, die für die IT-Sicherheit wichtig sind, werden übersichtlich dargestellt. Daneben stehen Erläuterungen, was konkret gemeint ist, sowie Tipps und Hinweise für die Umsetzung.

Fortbildungen

Im Hub können sich Praxisinhaberinnen und Praxisinhaber über Fortbildungen für ihre Medizinischen Fachangestellten (MFA) zur IT-Sicherheit informieren. Es gibt eine Basis-Schulung und eine Schulung zum Thema Phishing für MFA. Die Lerninhalte stehen als PDF bereit. Als Fortbildung mit anschließendem Wissenstest sind sie im Fortbildungsportal zu finden, hierzu gibt es im Hub eine Anleitung.

Musterdokumente

Darüber hinaus finden Praxisinhaberinnen und Praxisinhaber im Hub mehrere Musterdokumente, die sie nutzen und individuell für ihren Praxisbetrieb anpassen können:

Eintrittsformular
Austrittsformular
Verschwiegenheitserklärung Praxispersonal
Verschwiegenheitserklärung externes Personal
Richtlinie mobile Geräte
Richtlinie Wechseldatenträger
Netzplan
Informationen zu Schulungen für Medizinische Fachangestellte

Fragen und Antworten

Gibt es eine Nachweispflicht für die Umsetzung der Anforderungen der IT-Sicherheitsrichtlinie? Wer erstellt den in der IT-Sicherheitsrichtlinie geforderten Netzwerkplan? Praxen finden auf diese und weitere Fragen im Hub Antworten. Einige sind eher für IT-Dienstleister relevant. Für wen die jeweilige Frage/Antwort gedacht ist, steht in der Spalte Adressat.

Hub zur IT-Sicherheitsrichtlinie mit allen Anforderungen und Musterdokumenten

CME-Fortbildung für Ärzte und Psychotherapeuten geplant

Die KBV wird demnächst eine zertifizierte Online-Fortbildung für Ärztinnen und Ärzte sowie Psychotherapeutinnen und Psychotherapeuten anbieten. Die Fortbildung „IT-Sicherheit in der Praxis“ ist derzeit in der Zertifizierungsphase. Bei erfolgreicher Teilnahme sollen 2 CME-Punkte auf dem Fortbildungskonto gutgeschrieben werden. Sobald die Fortbildung bereitsteht, werden die PraxisNachrichten berichten.

Fortbildungen für Praxispersonal

Die KBV bietet zwei Fortbildungen an, um die Praxisangestellten zu schulen.

(Dies ist ein optionales Angebot, selbstverständlich können Praxisinhaber auch andere Angebote nutzen oder selbst Schulungen für ihre Mitarbeiterinnen und Mitarbeiter erstellen.)

Lerninhalt Basis-Schulung: Hier geht es um sichere Passwörter und einen sicheren Arbeitsplatz – Stichwort „Clean Desk“. Der Schutz vor Cyberangriffen und der Umgang mit Sicherheitsvorfällen sind weitere Themen.
Lerninhalt Phishing-Schulung: Was Phishing ist und wie ich es erkenne, wird in dieser Schulung thematisiert. Dazu werden verschiedene Varianten vorgestellt: E-Mail-Phishing, Spear-Phishing, Smishing, Vishing, Quishing.

Die Lerninhalte stehen als PDF im Hub bereit. Dort ist auch eine Anleitung zum Fortbildungsportal der KBV für medizinische Fachangestellte zu finden.

Top-Thema
Publikation

Aktualisierungsdatum: 11.06.2025
PraxisWissen

IT-Sicherheit (PDF)

Hinweise zur Richtlinie, Tipps zur Umsetzung, Beispiele für die Praxis

Hub zur IT-Sicherheitsrichtlinie mit allen Anforderungen und Musterdokumenten

Praxisnachricht

Aktualisierungsdatum: 19.06.2025
IT-Sicherheit

KBV startet Informationsoffensive zur IT-Sicherheit in Praxen

Mit zahlreichen Informations- und Schulungsangeboten will die KBV die Praxen beim Schutz vor Cyberkriminalität unterstützen. Es geht darum, geeignete Sicherheitsmaßnahmen zu ergreifen und potenzielle Risiken zu vermeiden.

Themenseite

11.08.2025

IT-Sicherheit

Informationen für Praxen zur IT-Sicherheitsrichtlinie und Unterstützungsangeboten.