Auf dieser Seite erhalten Sie Tipps zur Umsetzung der KBV-IT-Sicherheitsrichtlinie gemäß § 75b SGB V für eine Praxis. Definition Praxis gemäß IT-Sicherheitsrichtlinie:

"Eine Praxis ist eine vertragsärztliche Praxis mit bis zu fünf ständig mit der Datenverarbeitung betrauten Personen."

Anlagen wie z.B. für die Nutzung medizinischer Großgeräte oder der dezentralen Komponenten der Telematikinfrastruktur sind nicht aufgeführt.

Zur Umsetzung in Ihrer Praxis oder auch für andere Praxisgrößen erstellen wir Ihnen natürlich gern ein unverbindliches Angebot.

Im Folgenden wird immer zuerst die Anforderung der KBV beschrieben (kursiv) und anschließend entsprechende Umsetzungshinweise bzw. Tipps. (Stand: Dezember 2021)

Die meisten Hinweise beziehen sich auf Windows Workstations bzw. Windows Server.

Einige Punkte können übersprungen werden, falls diese keine Anwendung bei Ihnen finden, wenn Sie z.B. keine Smartphones für die Ausübung Ihrer Tätigkeit nutzen. Wenn Sie in der Praxis das interne W-LAN nutzen, geschäftliche E-Mails abholen oder geschäftliche Telefonate führen liegt bereits eine Nutzung vor.

Hinweis: Laden Sie sich Apps nur aus den offiziellen Stores herunter, z.B. für iOS den "App Store" oder für Android "Google Play". Stellen Sie die Sicherheitseinstellungen Ihres Smartphones so ein, dass keine Apps aus externen Quellen zugelassen werden. Löschen Sie Apps, welche Sie nicht mehr benötigen restlos (inkl. zwischengespeicherten Dateien). Falls Sie Mitarbeiter-Smartphones bereitstellen, erstellen Sie hierfür eine Richtlinie und lassen Sie sich bestätigen, dass diese gelesen und verstanden wurde.
Wir unterstützen Sie dabei, entweder durch unser Richtlinien-Paket oder durch unser Mobile Device Management (MDM). So lassen sich Apps, Funktionen und User-Profile über eine zentrale Oberfläche steuern.

Kurze Anleitung:

Hinweis: Aktivieren Sie nach Möglichkeit automatische Updates. Falls das für bestimmt Apps nicht möglich ist, schauen Sie in regelmäßigen Abständen nach verfügbaren Updates. Sollten Sie Smartphones für Ihre Mitarbeiter bereitstellen, so erstellen Sie bitte eine entsprechende Richtlinie. Sie können auch ein entsprechendes Richtlinien-Paket bei uns beziehen.

Hinweis: Falls nicht schon von Werk aus eingestellt, sollte die Verschlüsselung des Smartphones aktiviert sein. Außerdem ist es notwendig, einen Sperrcode (PIN oder Passwort) einzurichten. Für personenbezogene Praxisdaten bzw. Patientendaten keine Apps mit Cloud-Datenspeicherung verwenden.

Hinweis: Apps sollten in den Einstellungen immer auf die geringsten Berechtigungen, welche für die Nutzung erforderlich sind, eingestellt werden. Verwenden Sie nur geprüfte und seriöse Apps. Achten Sie darauf, so wenig Informationen wie nötig einzugeben. Durch unser Mobile Device Management (MDM) können wir Sie dabei zentral unterstützen, wenn Sie beispielsweise mehrere Unternehmens-Smartphones im Einsatz haben.

Hinweis: Verwenden Sie kein Microsoft 365 (ehemals Office 365) oder OneDrive oder vergleichbare Dienste. Deinstallieren Sie ggf. z.B. OneDrive.

Kurze Anleitung:

Hinweis: Entfernen Sie z.B. Metadaten (z.B. Autor, zuletzt geändert) bevor Sie Dokumente weitergeben (z.B. rechte Maustaste auf Datei - Eigenschaften - Details - persönliche Informationen entfernen). Entfernen Sie außerdem personenbezogene Informationen aus dem Dokument, welche für den Empfänger nicht bestimmt sind. Erstellen Sie hierfür eine Richtlinie und lassen Sie sich bestätigen, dass diese gelesen und verstanden wurde. Die entsprechende Richtlinie ist ebenfalls in unserem Richtlinien-Paket enthalten.

Kurze Anleitung:

Hinweis: Bitte achten Sie darauf, nach Möglichkeit eine sichere 2 Faktor Authentifizierung zu verwenden. Falls dies nicht möglich ist, nutzen Sie sichere, hinreichend komplexe Passwörter. Verwenden Sie hierzu nach Möglichkeit einen sicheren Passwortmanager mit automatisch generierten Passwörtern. Achten Sie darauf, ausschließlich verschlüsselte Verbindungen zu nutzen (siehe 10.) Erstellen Sie hierfür eine Richtlinie und lassen Sie sich bestätigen, dass diese gelesen und verstanden wurde. Wir unterstützen Sie bei der Einrichtung eines sicheren Passwortmanagers.

Hinweis: Um die entsprechenden Überprüfungen und Einstellungen zu vereinfachen, entscheiden Sie sich am besten für einen Standardbrowser. Stellen Sie den Browser Ihrer Wahl entsprechend so ein, dass keine vertraulichen Daten gespeichert werden. Überprüfen Sie diese Einstellungen regelmäßig, da durch Updates Einstellungen wieder zurück gesetzt werden könnten.

Beispiel in Firefox: Einstellungen - Datenschutz - Liste durchgehen und z.B. entsprechend auf "streng" setzen, Cookies beim Beenden löschen, nur https-Modus usw.

Alternativ (zusätzlich) beim Beenden:

Chrome, Firefox,  Edge mittels "Strg" + "Umschalt" + "Entf": Löschen der Browserdaten

Safari: "cmd" + "alt" + "E" Löschen der Browserdaten.

Erstellen Sie hierzu zusätzlich eine entsprechende Richtlinie. In dieser sollte bspw. enthalten sein, dass keine Passwörter gespeichert werden dürfen.

Kurze Anleitung:

Hinweis: Verwenden Sie eine aktuelle, supportbare Firewall. Diese muss entsprechend gehärtet sein. Die richtige Konfiguration, eine regelmäßige Wartung sowie Updates gehören zu einem korrekten Einsatz. Eine Web Application Firewall analysiert den Verkehr zwischen Clients und Webservern auf Anwendungsebene. Bitte achten Sie darauf, eine Firewall mit entsprechenden Funktionalitäten einzusetzen. Einfache Router mit Firewall-Funktionalitäten bieten dies oft nicht.

Wir erstellen Ihnen das passende Angebot für eine Firewall gemäß Ihrer Praxisgröße mit Einrichtung, regelmäßiger Wartung und Updates.

Hinweis: Nur Webseiten mit https besuchen (kein http), beispielsweise statt http://www.kbv.de besser https://www.kbv.de verwenden. Stellen Sie Ihren Browser nach Möglichkeit entsprechend so ein, dass nur der https-Modus verwendet wird (siehe 8.). Erstellen Sie nach Möglichkeit eine entsprechende Richtlinie, da durch Updates sich Einstellungen wieder verändern können. Alle Mitarbeiter sollten entsprechend sensibilisiert werden. Für entsprechende Schulungen erstellen wir Ihnen ein Angebot. Schauen Sie sich auch einmal unsere Cyber-Security-Trainings an.

Kurze Anleitung: siehe 8.

Hinweis: Nutzen Sie nach Möglichkeit nur Websites, welche automatisierte Zugriffe auf Ihren Log-In verhindern. Dies könnte bspw. ein "Captcha-Mechanismus" oder zeitlich verzögerte Anmeldeversuche sein. Nutzen Sie ausschließlich starke Passwörter (siehe 7.). Treffen Sie Regelungen hierzu in Ihrer Praxis über eine Richtlinie. Ein entsprechendes Richtlinienpaket oder die Einrichtung eines Passwortmanagers bieten wir Ihnen natürlich auch an.

Hinweis: Achten Sie bei Anschaffungen neuer Geräte darauf, dass die Kamera abgedeckt und das Mikrofon ausgeschaltet werden kann. Deaktivieren Sie den Zugriff generell in Ihrem Betriebssystem und aktivieren Sie diesen nur, wenn dieser benötigt wird.

Windows: Start - Einstellungen - Datenschutz - Kamera - zulassen, dass Apps.. - aus (Mikrofon analog dazu)

Kurze Anleitung:

Hinweis: Sperren Sie das Gerät direkt nach Ende der Nutzung oder wenn Sie den Arbeitsplatz verlassen, z.B. mit: "Windowstaste + L". Erstellen Sie hierfür eine Richtlinie und lassen Sie sich bestätigen, dass diese gelesen und verstanden wurde. Weisen Sie die Mitarbeiter entsprechend ein.

Hinweis: Sichern Sie regelmäßig Ihre Daten und schützen diese. Erstellen Sie hierzu ein Backup-Konzept. Richten Sie sich hierbei nach dem "Stand der Technik". Prüfen Sie regelmäßig die Sicherungen. Schützen Sie die Backups vor Verlust. Achten Sie z.B. auch auf verschiedene Brandschutzbereiche oder die Möglichkeit von Diebstahl. Gemeinsam mit Ihnen erstellen wir ein Datensicherungskonzept und richten dieses ein. Bitte achten Sie bei der Datensicherung z.B. darauf mindestens zwei unterschiedliche Medien zu nutzen. Außerdem sollte eine Datensicherung zum Schutz vor z.B. physischem Diebstahl oder Brand außer Haus aufbewahrt werden.

Hinweis: Verwenden Sie aktuelle Antivirensoftware. Konfigurieren Sie die Software, entsprechend Ihren Anforderungen. (z.B. Zeitpunkte von Schnellscans, Systemscans usw.). Kontrollieren Sie regelmäßig entsprechende Meldungen und reagieren Sie darauf. Wir empfehlen z.B. den Einsatz von E-Mail-Benachrichtigungen bei Ereignissen. Achten Sie darauf, nicht mehrere Antivirenprogramme parallel zu nutzen. Diese könnten sich gegenseitig bekämpfen. Wir erstellen Ihnen ein entsprechendes Angebot und richten die Software, inkl. Benachrichtigungen, bei Ihnen ein.

Hinweis: (siehe 5.) Deinstallieren Sie z.B. OneDrive. Start - Einstellungen - Apps - Microsoft OneDrive deinstallieren. Achten Sie darauf, dass z.B. Worddokumente beim Speichern nicht in der Cloud gespeichert werden.

Hinweis: Erstellen Sie ein Berechtigungskonzept. Regeln Sie hierbei die Berechtigungen nach dem Need-to-know-Prinzip. Personen sollten nur so viele Berechtigungen haben, wie für die Aufgabenerledigung notwendig sind. Erstellen Sie dazu zusätzlich Gruppen bzw. Rollen, um Benutzer für verschiedene Aufgaben zusammen zufassen. Regeln Sie die entsprechenden Berechtigungen organisatorisch über das Berechtigungskonzept sowie technisch z.B. mit entsprechenden Freigaben (z.B. Netzwerkfreigaben, Dateifreigaben, Programmfreigaben usw.). Auch können Sie hier verschiedene Passwortmanager mit entsprechenden Berechtigungen unterstützen. In unserem Richtlinien-Paket ist bereits eine Vorlage für ein Berechtigungskonzept enthalten. Wir unterstützen Sie auch bei der Umsetzung.

Hinweis: Bei der Verwendung von persönlichen Daten müssen Sie sich nach dem "Verzeichnis von Verarbeitungstätigkeiten" nach Artikel 30 DSGVO richten. Dieses sollte bereits in der Praxis vorhanden sein. Ein Muster und Ausfüllhinweise finden Sie auf den Seiten der KBV: https://www.kbv.de/html/dsgvo-in-der-praxis.php

Hinweis: Schützen Sie Ihre Endgeräte vor Schadprogrammen. Stellen Sie bspw. im Browser "Safe Browsing" ein oder die Funktion zur Warnung von schädlichen Inhalten. Besuchen Sie nach Möglichkeit nur bekannte und seriöse Seiten. Seien Sie achtsam bei der Eingabe von Benutzerdaten. Klicken Sie auf keine Links in Emails sondern besuchen Sie die Seite direkt. Erstellen Sie hierzu eine entsprechende Richtlinie und weisen Ihre Mitarbeiter ein. Schauen Sie sich auch einmal unsere Cyber-Security-Trainings an.

Hinweis: Die SIM-Karte muss durch eine PIN geschützt sein. Die Super-PIN/PUK sollte sorgfältig aufbewahrt werden. Sie ist nur von Verantwortlichen gemäß definierter Prozesse (Berechtigungskonzept) zu verwenden.

Hinweis: Die Endgeräte müssen auf das erforderliche Schutzniveau konfiguriert werden. Nicht benötigte Funktionen sollten deaktiviert werden. Verwenden Sie nur Funktionen, welche für die Aufgabenerfüllung absolut notwendig sind. Dokumentieren Sie hierzu eine sichere Grundkonfiguration. Deaktivieren Sie möglichst alle Schnittstellen, welche nicht absolut notwendig sind. Überprüfen Sie regelmäßig die Datenschutzeinstellungen der Apps. Bei Unsicherheit verweigern Sie Zugriffe. Erstellen Sie hierzu eine entsprechende Richtlinie.

Hinweis: Nutzen Sie einen angemessenen, komplexen Sperrcode. Schreiben Sie die Bildschirmsperre in einer Richtlinie vor. Deaktivieren Sie die Anzeige vertraulicher Informationen auf dem Sperrbildschirm. Die Bildschirmsperre muss sich nach kurzer Zeitspanne selbständig aktivieren. Nutzen Sie die Möglichkeiten des entsprechenden Gerätes, um die Daten bei Diebstahl oder mehrfachen Login-Versuchen löschen lassen zu können, bzw. es in den Werkzustand zurücksetzen zu lassen. Gern beraten wir Sie zu den Möglichkeiten zum Mobile Device Management (MDM).

Hinweis: (siehe 2.)

Hinweis: Beschränken Sie die Zugriffe von Apps auf das absolut notwendige. Achten Sie besonders auf Zugriffsberechtigungen von Kamera, Mikrofon, Standort usw.. Deaktivieren Sie diese möglichst. Achten Sie darauf, nur Apps von seriösen Anbietern zu verwenden. Setzen Sie ggf. ein Mobile Device Management (MDM) ein.

Hinweis: Sperren Sie nach Verlust des Mobiltelefons sofort die SIM Karte.

Hinweis: Nutzen Sie alle verfügbaren Sicherheitsmechanismen und nach Möglichkeit SIM-gebundene Telefone. Informieren Sie alle Nutzer über entsprechende Sicherheitsmechanismen und dokumentieren Sie die Ausgabe von Telefonen sowie den Status (z.B. ausgehändigt am).

Hinweis: Prüfen Sie regelmäßig auf Updates. Halten Sie den entsprechenden Turnus in einer Richtlinie fest. Kontrollieren Sie nach dem Update alle entsprechend getätigten Einstellungen (z.B. Datenschutzeinstellungen)

Hinweis: Nutzen Sie Ihr Antivirenprogramm, um einen Wechseldatenträger vor der Verwendung zu prüfen. Sollte Ihr Programm eine automatische Überprüfung von Wechseldatenträgern anbieten, so schalten Sie diese ein. Wir erstellen Ihnen ein Angebot für eine geeignete Antivirensoftware. Erstellen Sie eine Richtlinie, damit alle in der Praxis wissen, wie mit Wechseldatenträgern umgegangen wird.

Hinweis: Erstellen Sie eine Richtlinie zum Versand von Datenträgern. In dieser sollte beschrieben werden, wie Datenträger gekennzeichnet werden. Es sollten bspw. keine Patientennamen verwendet werden. Vereinbaren Sie z.B. mit dem Empfänger eine Systematik für die Kennzeichnung, die den Datenträger eindeutig zuordenbar macht, z.B. Datenträger: "dd2bbeab-d901-4043-b543-0ce74ce57aae" statt "onkologischer Befund Patient XY". Der Vorabaustausch einer Kennzeichnung kann z.B. über den sicheren Versandweg KIM erfolgen.

Hinweis: Erstellen Sie eine Richtlinie, in welcher der Versandvorgang definiert ist. Nutzen Sie ausschließlich seriöse Anbieter. Nutzen Sie sichere Versandarten sowie Nachweissysteme wie z.B. Einschreiben.

Hinweis: Erstellen Sie eine Richtlinie, in welcher der entsprechende Vorgang beschrieben wird. Bevor Datenträger wieder verwendet werden, müssen diese sicher gelöscht werden. Wenn Datenträger ausgesondert werden, sollten diese sicher gelöscht und physisch zerstört werden. Für das sichere Löschen gibt es verschiedene Tools. Ein Beispiel ist der CCleaner (Achtung die freie Version kann Adware enthalten) oder O&O SafeErase (kostenpflichtig)

Bitte gehen Sie dabei äußerst vorsichtig vor - der Vorgang kann nicht rückgängig gemacht werden - achten Sie sehr genau darauf welche Festplatte Sie ausgewählt haben (lieber zweimal hinschauen) - führen Sie diesen Vorgang niemals am Server aus - lassen Sie ggf. den Vorgang von einer berechtigten Person lt. Berechtigungskonzept ausführen

Bestellen Sie eine entsprechende Vorlage zur Richtlinie mit unserem Richtlinien-Paket.

Hinweis: Setzen Sie eine Hardwarefirewall ein. Diese sollte entsprechend geupdatet, gewartet und gehärtet werden. Gern erstellen wir Ihnen ein entsprechendes Angebot bezogen auf Ihre Praxisgröße.

Hinweis: Dokumentieren Sie die Struktur Ihres Netzes mit einem Netzwerkplan. Halten Sie diesen immer auf dem neusten Stand und dokumentieren Sie Veränderungen. Wir erstellen Ihnen ein Angebot für die Erstellung eines Netzwerkplanes für Ihre Arztpraxis.

Hinweis: Auf Netzwerkkomponenten darf nur laut Berechtigungskonzept zugegriffen werden. Ändern Sie alle Default-Passwörter von Netzwerkkomponenten. Nutzen Sie starke Kennwörter (siehe z.B. 7.). Greifen Sie auf Netzwerkkomponenten möglichst nur über https zu. Nutzen Sie nach Möglichkeit Funktionen der Netzwerkkomponenten, welche die Sicherheit erhöhen (z.B. 2 Faktor Authentifizierung). Wir unterstützen Sie bei der Einrichtung eines Passwortmanagers.