Allgemeine Empfehlungen
Cybersecurity-Experten empfehlen einen mehrschichtigen Ansatz zur Prävention [1]:
- Beseitigung technischer und organisatorischer Schwachstellen: Regelmäßige Updates und Patches, Härtung der Systeme, Deaktivierung nicht benötigter Dienste.
- Starke Zugangskontrollen: Einsatz von Multi-Faktor-Authentifizierung (MFA), strikte Rechtevergabe nach dem Need-to-know-Prinzip.
- Schulung und Sensibilisierung: Regelmäßige Trainings für alle Mitarbeitenden, um Phishing und Social Engineering zu erkennen.
- Backup-Strategien: Umsetzung der 3-2-1-Regel (drei Kopien, zwei verschiedene Medien, eine Kopie extern), regelmäßige Tests der Wiederherstellbarkeit.
- Incident-Response-Plan: Entwicklung und regelmäßige Überprüfung eines Notfallplans für Cyberangriffe.
Spezifische Maßnahmen für das deutsche Gesundheitswesen
Die KBV-Sicherheitsrichtlinie 2025 konkretisiert die Anforderungen zur IT-Sicherheit für Praxen und medizinische Einrichtungen [2, 3, 4, 5, 6]:
Für alle Praxen:
- Personalmanagement: Einarbeitung neuer Mitarbeitender in IT-Sicherheitsregeln, regelmäßige Schulungen, Entzug von Zugriffsrechten beim Ausscheiden.
- Netzwerksicherheit: Einsatz von Firewalls, Dokumentation und regelmäßige Aktualisierung des Netzplans, Segmentierung sensibler Daten (d.h. Abschottung in eigenem Netzwerkstrang).
- Endgerätesicherheit: Aktuelle Virenschutzprogramme, regelmäßige Datensicherungen, Sperrung oder Abmeldung von Geräten nach Nutzung oder bei Entfernung vom Gerät.
- E-Mail-Sicherheit: Sichere Konfiguration der E-Mail-Server, Transportverschlüsselung (TLS-Verschlüsselung), Schulung im Umgang mit Spam.
- Patch-Management: Zeitnahe Installation von Updates, Ausmusterung nicht mehr unterstützter Systeme.
- Mobile Geräte: Komplexe Sperrcodes, Nutzung nur geprüfter Apps, Anbindung an Mobile Device Management (MDM).
Für mittlere Praxen (6–20 Mitarbeitende):
- Zentrale Protokollierung: Automatische Protokollierung sicherheitsrelevanter Ereignisse (z. B. unautorisierte Zugriffe, Malware-Erkennung).
- Restriktive Rechtevergabe: Zugriffsrechte nach dem Need-to-know-Prinzip, regelmäßige Überprüfung der Berechtigungen.
- Mobile Geräte: Verbindliche Richtlinien für die Nutzung, Deaktivierung von Sprachassistenten, klare Regeln für Wechseldatenträger.
Für große Praxen (ab 21 Mitarbeitende):
- Netzwerksegmentierung: Trennung von Gesundheitsdaten und weniger kritischen Daten durch Firewalls, VLANs oder SDN.
- Zentrale Verwaltung mobiler Geräte: MDM-Systeme, Remote Wipe, Verwaltung von Berechtigungen und Zertifikaten.
- Schulungscontrolling: Messung und Auswertung des Lernerfolgs bei IT-Sicherheitsschulungen.
Für medizinische Großgeräte:
- Zugriffsmanagement: Nur autorisierte Personen dürfen auf Konfigurations- und Wartungsschnittstellen zugreifen, Standardpasswörter müssen geändert werden.
- Sichere Protokolle: Nutzung verschlüsselter und authentisierter Protokolle für Wartung und Konfiguration.
- Netzwerkisolation: Großgeräte sollten von anderen IT-Systemen getrennt werden, um die Angriffsfläche zu minimieren.
Pflichten zur IT-Sicherheit ab 4. Quartal 2025
Zum 1. Oktober fordert die KBV die sichere Umsetzung einer Reihe von Maßnahmen. Bitte prüfen Sie, ob diese Anforderungen auch in Ihrer Praxis erfüllt sind.
- Einweisung, Sensibilisierung und regelmäßige Schulung des Personals in IT-Anwendung, IT-Sicherheit und Datenschutz
- Die Erkennung und der Umgang mit Spam-E-Mails muß für alle Mitarbeiter eindeutig geregelt sein.
- Sofortige Änderung von Passwörtern und Zugangsberechtigungen ausscheidender Mitarbeiter
- Externe IT-Dienstleister sind schriftlich zu verpflichten, Gesetze, Vorschriften und interne Regelungen (z.B. die interne Datenschutzrichtlinie) einzuhalten
Bereits seit 2021 bestehen folgende Pflichten zur IT-Sicherheit in Praxen:
- Einsatz aktueller Antivirusprogramme und Firewalls für Internetanwendungen
- Mobilgeräte verwenden ausschließlich offizielle Apps und Sperrcodes
- Sensible (Patienten-)Daten werden nicht über Apps wie Whatsapp versendet
- Netzplan und Backups sind dokumentiert und laufen regelmäßig
- Telematikinfrastruktur wird eingesetzt und regelmäßig Updates installiert
Zur Dokumentation finden Sie auf den Webseiten der KBV eine Reihe von Musterdokumenten. Zum Nachweis von Schulungsmaßnahmen heften Sie die Teilnahmezertifikate Ihrer Mitarbeiter im Datenschutz- oder QM-Handbuch Ihrer Praxis ab.
Praxistipp
Der BVOU bietet für Ihre Praxismitarbeiter E-Learning-Kurse zu verschiedenen sicherheitsrelevanten Themen in Praxis und Klinik an:
- IT-Sicherheit inkl. Erkennung und Umgang mit Cyberbedrohungen
- Datenschutz und Schweigepflicht
- Arbeitsschutz
Für die erfolgreiche Teilnahme an diesen Kursen erhalten Ihre Mitarbeiter Teilnahmezertifikate und Fortbildungspunkte.
Literatur
- Sophos Ransomware Report 2025: https://www.sophos.com/en-us/content/state-of-ransomware
- KBV IT-Sicherheitsrichtlinie 2025: https://www.kbv.de/praxis/digitalisierung/it-sicherheit
- KBV IT-Sicherheitsrichtlinie 2025, Anlage 1: https://www.kbv.de/Externe-Verlinkungen/Praxis/Digitalisierung/IT-Sicherheit/Anlage-1
- KBV IT-Sicherheitsrichtlinie 2025, Anlage 2: https://www.kbv.de/Externe-Verlinkungen/Praxis/Digitalisierung/IT-Sicherheit/Anlage-2
- KBV IT-Sicherheitsrichtlinie 2025, Anlage 3: https://www.kbv.de/Externe-Verlinkungen/Praxis/Digitalisierung/IT-Sicherheit/Anlage-3
- KBV IT-Sicherheitsrichtlinie 2025, Anlage 4: https://www.kbv.de/Externe-Verlinkungen/Praxis/Digitalisierung/IT-Sicherheit/Anlage-4
- Sophos-Leitfaden für die Erstellung eines Incident-Response-Plans: https://www.sophos.com/de-de/whitepaper/incident-response-guide