Inhaltsverzeichnis
Warum ist IT-Sicherheit in der Praxis wichtig?
- Schutz sensibler Daten
- Arztpraxen verarbeiten eine Fülle an sensiblen Daten, einschließlich Patientenakten, Diagnosen, Medikationsplänen und mehr. Ein Datenleck kann die Privatsphäre der Patienten gefährden und das Vertrauen in die Praxis erschüttern.
- Rechtliche Konsequenzen
- Die Verletzung von Datenschutzbestimmungen, insbesondere der Datenschutz-Grundverordnung (DSGVO), kann zu schwerwiegenden rechtlichen Konsequenzen führen. Diese können von Geldstrafen bis hin zu juristischen Verfahren reichen.
- Betriebskontinuität
- Cyberangriffe wie Ransomware können die IT-Infrastruktur lahmlegen und den Betrieb der Praxis erheblich stören. Das kann nicht nur finanzielle Verluste bedeuten, sondern auch den Zugang zu kritischen Patientendaten verhindern, was im schlimmsten Fall lebensbedrohliche Konsequenzen haben könnte.
- Reputationsmanagement
- Ein Sicherheitsvorfall kann einen erheblichen Schaden für den Ruf der Praxis bedeuten. In einer Branche, in der Vertrauen eine zentrale Rolle spielt, kann dies langfristige negative Auswirkungen haben.
- Ethische Verantwortung
- Ärzte und medizinisches Personal haben eine ethische Verpflichtung zum Schutz der Patientendaten. Unzureichende IT-Sicherheitsmaßnahmen stellen einen Verstoß gegen diese Verantwortung dar.
- Wettbewerbsfähigkeit
- Eine sichere Praxis-IT kann nicht nur ein wichtiger Wettbewerbsvorteil sein, sondern auch ein wesentlicher Bestandteil der Corporate Identity. Patienten werden eher einer Arztpraxis vertrauen, die nachweislich Wert auf Datenschutz und Sicherheit legt.
- Anpassung an technologische Trends
- Mit dem zunehmenden Einsatz von digitalen Lösungen in der Arztpraxis, wie zum Beispiel Videosprechstunde, Telemedizin und elektronische Patientenakten, wird die IT-Sicherheit immer wichtiger für den erfolgreichen und reibungslosen Betrieb einer modernen Arztpraxis.
In Anbetracht dieser vielfältigen Aspekte ist klar, dass IT-Sicherheit in der Arztpraxis nicht nur eine technische Notwendigkeit, sondern auch eine ethische und “geschäftliche” ist. Sie ist ein integraler Bestandteil einer verantwortungsbewussten und erfolgreichen medizinischen Praxisführung.
Externe Bedrohungen und Gegenmaßnahmen
Cyberangriffe
Phishing
Phishing ist eine der häufigsten Arten von Cyberangriffen, die auf Arztpraxen abzielen. Dabei handelt es sich in der Regel um betrügerische E-Mails, die so aussehen, als kämen sie von einer vertrauenswürdigen Quelle. Der Zweck dieser Angriffe ist oft, sensible Informationen wie Passwörter oder Patientendaten zu erlangen.
Präventionsmaßnahmen:
- Schulung der Mitarbeiter zur Erkennung von Phishing-Versuchen
- Einsatz von E-Mail-Sicherheitslösungen, die betrügerische E-Mails erkennen und filtern
- Zwei-Faktor-Authentifizierung für alle Systeme
Ransomware
Ransomware ist eine besondere Art der Malware, die Dateien oder Systeme verschlüsselt und dann ein Lösegeld für deren Freigabe verlangt. Angesichts der sensiblen Daten, die in einer Arztpraxis gehalten werden, kann Ransomware katastrophale Auswirkungen haben.
Präventionsmaßnahmen:
- Regelmäßige Backups aller kritischen Daten
- Einsatz von Antivirenprogrammen und spezialisierter Anti-Ransomware-Software
- Netzwerksegmentierung zur Eingrenzung der Ausbreitung der Ransomware
DDoS
Distributed Denial of Service (DDoS) Angriffe zielen darauf ab, die Netzwerkressourcen einer Praxis zu überlasten, um sie unzugänglich zu machen.
Präventionsmaßnahmen:
- Einsatz von DDoS-Schutzdiensten
- Überwachung des Netzwerkverkehrs auf ungewöhnliche Aktivitäten
- Redundante Internetverbindungen zur Aufrechterhaltung der Dienste
Datenlecks
Datenlecks können sowohl durch interne Fehler als auch durch externe Angriffe verursacht werden. Wichtig ist eine schnelle Erkennung und Reaktion. Präventive Maßnahmen können z. B. sein:
- Einsatz von Data Loss Prevention (DLP)-Software
- Regelmäßige Sicherheitsaudits
- Benachrichtigungssysteme für verdächtige Aktivitäten
IT-Incident Management
Ein Incident-Response-Plan ist entscheidend, um nach einem Sicherheitsvorfall schnell und effektiv handeln zu können. Die folgenden Schritte sollten in jedem Plan berücksichtigt werden:
- Identifikation des Vorfalls: Schnelle Erkennung durch Überwachungssysteme oder Mitarbeiter.
- Einschätzung des Schadens: Umfang und Natur des Angriffs feststellen.
- Kommunikation: Interne und externe Kommunikationswege festlegen, einschließlich der Benachrichtigung der zuständigen Behörden.
- Eingrenzung: Sofortmaßnahmen ergreifen, um den Angriff einzudämmen und weitere Schäden zu verhindern.
- Eradikation: Die Ursache des Vorfalls identifizieren und vollständig entfernen.
- Wiederherstellung: Systeme und Daten sicher wiederherstellen.
- Nachbereitung: Analyse des Vorfalls und Anpassung der Sicherheitsmaßnahmen und des Incident-Response-Plans.
Cyberattacken auf Arztpraxen: Wie ernst ist die aktuelle Bedrohungslage?
Die Bedrohungslage für Arztpraxen im Bereich der IT-Sicherheit ist ernst und sollte nicht unterschätzt werden. Verschiedene Quellen untermauern die Dringlichkeit dieses Themas.
Das PVS-System ist das Herzstück der digitalen Infrastruktur einer Arztpraxis und dient als zentrale Schnittstelle für die Verwaltung von Patientendaten, Terminplanung, Abrechnung und viele andere administrative sowie klinische Aufgaben. Dass diese wichtige Software nicht vor Hackerangriffen geschützt ist, zeigt dieses Beispiel.
Selbst etablierte Technologien wie z. B. der DICOM-Standard, der für den Datenaustausch im Gesundheitswesen zuständig ist, sowie PACS-Systeme bieten keinen garantierten Schutz vor Cyberattacken. Der Bericht von Greenbone Networks hat festgestellt, dass viele dieser PACS-Server ungeschützt sind und persönliche sowie medizinische Daten ohne jegliche Sicherheitsmaßnahmen preisgeben. In Deutschland waren rund 15.000 Datensätze und weltweit 24,5 Millionen Datensätze betroffen. Der Bericht hebt hervor, dass diese Sicherheitslücken sowohl gegen die europäische DSGVO als auch gegen US-amerikanische HIPAA-Regelungen verstoßen.
KBV: Bedrohung der IT-Sicherheit durch Hacker steigt ständig
Der Artikel der Kassenärztlichen Bundesvereinigung (KBV) vom 4. November 2021 appelliert an niedergelassene Ärzte und Psychotherapeuten, die IT-Sicherheit ernst zu nehmen. Laut Dr. Thomas Kriedel, einem Vorstandsmitglied der KBV, steigt die Bedrohung für IT-Systeme im Gesundheitswesen, einschließlich Arztpraxen, kontinuierlich an. Besonders hervorgehoben werden Bedrohungsszenarien durch Ransomware, die die Server von Arztpraxen verschlüsseln könnten, was den Zugriff auf Patientendaten verhindert. Die KBV fordert Praxen auf, ihre Sicherheitsmaßnahmen anhand der IT-Sicherheitsrichtlinie der KBV zu überprüfen und anzupassen.
BKA-Chef Münch: Häufiger Cyberangriffe auf Verwaltungen und Arztpraxen
Der Artikel von der Tagesschau, veröffentlicht am 11. Juli 2023, berichtet über eine Warnung des BKA-Chefs Holger Münch bezüglich der Zunahme von Cyberangriffen auf öffentliche Verwaltungen, Hochschulen und Arztpraxen in Deutschland. Laut Münch steigt die Bedrohung durch Cyberkriminalität seit Jahren und hat teils massive wirtschaftliche und gesellschaftliche Folgen. Diese Angriffe können dazu führen, dass Verwaltungen über Wochen arbeitsunfähig sind und sensible Daten abgegriffen werden könnten. Die Strafverfolgung gestaltet sich schwierig, da die Täter sich meist im Ausland aufhalten.
Die Bedrohung durch Cybercrime steigt seit Jahren und verursacht teils massive wirtschaftliche und gesellschaftliche Schäden.
BKA-Chef Holger Münch
Bericht der Europäischen Agentur für Cybersicherheit (ENISA) über die Bedrohungslandschaft im Gesundheitssektor
Der ENISA-Bericht mit dem Titel „Threat Landscape: Health Sector“ ist eine umfassende Analyse der Cyberbedrohungslandschaft im Gesundheitssektor der Europäischen Union. Erstellt von der Europäischen Agentur für Cybersicherheit (ENISA), bietet der Bericht Einblicke in die Realität des Gesundheitssektors, indem er Cyber-Vorfälle von Januar 2021 bis März 2023 kartiert und untersucht. Der Bericht identifiziert die wichtigsten Bedrohungen, Akteure, Auswirkungen und Trends auf der Grundlage der Analyse von Cyberangriffen, die auf Gesundheitsorganisationen abzielen.
- Häufigkeit der Angriffe
- Laut dem ENISA-Bericht wurden zwischen Januar 2021 und März 2023 insgesamt 215 öffentlich gemeldete Vorfälle im EU-Raum und den angrenzenden Ländern analysiert. Darunter fallen 208 Cyberangriffe auf den Gesundheitssektor. Besonders bemerkenswert ist, dass die Anzahl der Vorfälle im ersten Quartal 2023 potenziell ansteigt, mit 40 gemeldeten Vorfällen im Vergleich zu einem Durchschnitt von etwa 22 Vorfällen pro Quartal in den Jahren 2021 und 2022.
- Art der Angriffe
- Ransomware ist eine der Hauptbedrohungen im Gesundheitssektor und macht 54% der Vorfälle aus. Fast die Hälfte aller Vorfälle (46%) sind eine Form von Bedrohung gegen die Daten von Gesundheitsorganisationen, einschließlich Datenlecks und -diebstählen. Denial-of-Service-Angriffe (DoS) und Angriffe auf die Lieferkette sind ebenfalls relevant.
- Täter und Motivation
- Cyberkriminelle, insbesondere Ransomware-Akteure, die von finanziellen Gewinnen motiviert sind, hatten den größten Einfluss auf den Sektor. Geopolitische Entwicklungen und Aktivitäten von Hacktivisten haben die Anzahl der DDoS-Angriffe gegen Krankenhäuser und Gesundheitsbehörden Anfang 2023 erhöht.
- Auswirkungen
- Die Hauptauswirkungen der beobachteten Vorfälle waren Datenverletzungen oder -diebstähle (43%), Unterbrechungen der Gesundheitsdienste (22%) und andere nicht gesundheitsbezogene Dienstleistungen (26%). Die Sicherheit der Patienten bleibt ein Hauptanliegen, da potenzielle Verzögerungen bei der Triage und Behandlung von Patienten auftreten können.
Der ENISA-Bericht konzentriert sich hauptsächlich auf den Gesundheitssektor im Allgemeinen und geht dabei auf verschiedene Arten von Gesundheitsorganisationen ein. EU-Gesundheitsdienstleister, insbesondere Krankenhäuser, sind besonders betroffen und machen 53% der Gesamtzahl der Vorfälle aus. Der Bericht erwähnt auch Angriffe auf Gesundheitsbehörden, Körperschaften und Agenturen (14%) sowie auf die pharmazeutische Industrie (9%).
Rechtliche Rahmenbedingungen und Standards für die IT-Sicherheit in Arztpraxen
Die KBV IT-Sicherheitsrichtlinie
Die geltende IT-Sicherheitsrichtlinie der KBV wurde auf Grundlage von § 75b SGB V erstellt und beschreibt die Mindestanforderungen zur Gewährleistung der IT-Sicherheit in der vertragsärztlichen Versorgung. Sie schafft keine neuen Anforderungen, sondern präzisiert bereits existierende Richtlinien (wie etwa Bestimmungen aus der EU-Datenschutz-Grundverordnung) und gestaltet sie anwendungsorientiert sowie praxistauglich.
In der IT-Sicherheitsrichtlinie werden Schutzziele definiert und technische Anforderungen festgelegt, um die IT-Sicherheit in Praxen zu gewährleisten und die Vorgaben der Datenschutz-Grundverordnung zu erfüllen. Es gibt zusätzliche Anforderungen für mittlere und Großpraxen, die sich auf Software und Hardware beziehen. Es wird empfohlen, regelmäßige Schulungen für das Praxispersonal durchzuführen und ein Notfallkonzept zu erstellen. Die Umsetzung der Anforderungen soll dazu beitragen, Risiken der IT-Sicherheit zu minimieren.
Die IT-Sicherheitsrichtlinie unterscheiden in 3 verschiedene Praxisgrößen:
- Praxis: Eine Praxis ist eine vertragsärztliche Praxis mit bis zu 5 ständig mit der Datenverarbeitung betrauten Personen
- Mittlere Praxis: Eine mittlere Praxis ist eine vertragsärztliche Praxis mit 6 bis 20 ständig mit der Datenverarbeitung betrauten Personen.
- Großpraxis oder Praxis mit Datenverarbeitung im erheblichen Umfang: Eine Großpraxis oder Praxis mit Datenverarbeitung in erheblichem Umfang ist eine Praxis mit über 20 ständig mit der Datenverarbeitung betrauten Personen oder eine Praxis, die in über die normale Datenübermittlung hinausgehenden Umfang in der Datenverarbeitung tätig ist (z. B. Groß-MVZ mit krankenhausähnlichen Strukturen, Labore).
>>> Anforderungen für Praxen (Hier klicken zum aufklappen)
Nr. | Zielobjekt | Anforderung | Erläuterung |
Software: Rechner-Programme, mobile Apps und Internet-Anwendunge | |||
1 | Mobile Anwendungen (Apps) | Sichere Apps nutzen | Nur Apps aus den offiziellen Stores runterladen und nutzen. Wenn nicht mehr benötigt, Apps restlos löschen. |
2 | Mobile Anwendungen (Apps) | Aktuelle App-Versionen | Updates immer zeitnah installieren, um Schwachstellen zu vermeiden. |
3 | Mobile Anwendungen (Apps) | Sichere Speicherung lokaler App-Daten | Nur Apps nutzen, die Dokumente verschlüsselt und lokal abspeichern. |
4 | Mobile Anwendungen (Apps) | Verhinderung von Datenabfluss | Keine vertraulichen Daten über Apps versenden. |
5 | Office-Produkte | Verzicht auf Cloud-Speicherung | Keine Nutzung der in Office-Produkte integrierte Cloud-Speicher zur Speicherung personenbezogener Informationen. |
6 | Office-Produkte | Beseitigung von Rest-Informationen vor Weitergabe von Dokumenten | Vertrauliches aus Dokumenten löschen vor einer Weitergabe an Dritte. |
7 | Internet-Anwendungen | Authentisierung bei Webanwendungen | Nutzen Sie nur Internet-Anwendungen, die Ihre Zugänge (Login-Seite und -Ablauf, Passwort, Benutzerkonto etc.) strikt absichern. |
8 | Internet-Anwendungen | Schutz vertraulicher Daten | Stellen Sie ihren Internet-Browser gem. Hersteller-Anleitung so ein, dass keine vertraulichen Daten im Browser gespeichert werden. |
9 | Internet-Anwendungen | Firewall benutzen | Verwendung und regelmäßiges Update einer Web App Firewall. |
10 | Internet-Anwendungen | Kryptografische Sicherung vertraulicher Daten | Nur verschlüsselte Internet-Anwendungen nutzen. |
11 | Internet-Anwendungen | Schutz vor unerlaubter automatisierter Nutzung von Webanwendungen | Keine automatisierten Zugriffe bzw. Aufrufe auf Webanwendungen einrichten oder zulassen. |
Hardware: Endgeräte und IT-Systeme | |||
12 | Endgeräte | Verhinderung der unautorisierten Nutzung von Rechner-Mikrofonen und Kameras | Mikrofon und Kamera am Rechner sollten grundsätzlich deaktiviert sein und nur bei Bedarf temporär direkt am Gerät aktiviert und danach wieder deaktiviert werden. |
13 | Endgeräte | Abmelden nach Aufgabenerfüllung | Nach Ende der Nutzung immer den Zugang zum Gerät sperren oder Abmelden. |
14 | Endgeräte | Regelmäßige Datensicherung | Sichern Sie regelmäßig Ihre Daten. |
15 | Endgeräte | Einsatz von Viren-Schutzprogrammen | Setzen Sie aktuelle Virenschutzprogramme ein. |
16 | Endgeräte mit dem Betriebssystem Windows | Konfiguration von Synchronisationsmechanismen | Die Synchronisierung von Nutzerdaten mit Microsoft-Cloud-Diensten sollte vollständig deaktiviert werden. |
17 | Endgeräte mit dem Betriebssystem Windows | Datei-und Freigabeberechtigungen | Regeln Sie Berechtigungen und Zugriffe pro Personengruppe und pro Person. |
18 | Endgeräte mit dem Betriebssystem Windows | Windows | Verwenden Sie so wenige persönliche Daten wie möglich. |
19 | Smartphone und Tablet | Schutz vor Phishing und Schadprogrammen im Browser | Nutzen Sie aktuelle Schutzprogramme vor Phishing und Schadprogrammen im Browser. |
20 | Smartphone und Tablet | Verwendung der SIM-Karten-PIN | SIM-Karten durch PIN schützen. Super-PIN/PUK nur durch Verantwortliche anzuwenden. |
21 | Smartphone und Tablet | Sichere Grundkonfiguration für mobile Geräte | Auf mobilen Endgeräten sollten die strengsten bzw. sichersten Einstellungen gewählt werden, weil auch auf mobilen Geräte das erforderliche Schutzniveau für die verarbeiteten Daten sichergestellt werden muss. |
22 | Smartphone und Tablet | Verwendung eines Zugriffschutzes | Schützen Sie Ihre Geräte mit einem komplexen Gerätesperrcode. |
23 | Smartphone und Tablet | Updates von Betriebssystem und Apps | Updates des Betriebssystems und der eingesetzten Apps bei Hinweis auf neue Versionen immer zeitnah installieren, um Schwachstellen zu vermeiden. Legen Sie zusätzlich einen festen Turnus (z.B. monatlich) fest, in dem das Betriebssystem und alle genutzten Apps auf neue Versionen geprüft werden. |
24 | Smartphone und Tablet | Datenschutz-Einstellungen | Der Zugriff von Apps und Betriebssystem auf Daten und Schnittstellen Ihrer Geräte sollten Sie in den Einstellungen restriktiv auf das Notwendigste einschränken. |
25 | Mobiltelefon | Sperrmaßnahmen bei Verlust eines Mobiltelefons | Bei Verlust eines Mobiltelefons muss die darin verwendete SIM-Karte zeitnah gesperrt werden. Hinterlegen Sie die dafür notwendigen Mobilfunkanbieter-Informationen, um sie bei Bedarf im Zugriff zu haben. |
26 | Mobiltelefon | Nutzung der Sicherheitsmechanismen von Mobiltelefonen | Alle verfügbaren Sicherheitsmechanismen sollten auf den Mobiltelefonen genutzt und als Standard-Einstellung vorkonfiguriert werden. |
27 | Mobiltelefon | Updates von Mobiltelefonen | Es sollte regelmäßig geprüft werden, ob es Softwareupdates für die Mobiltelefone gibt. |
28 | Wechseldatenträger / Speichermedien | Schutz vor Schadsoftware | Wechseldatenträger müssen bei jeder Verwendung mit einem aktuellen Schutzprogramm auf Schadsoftware überprüft werden. |
29 | Wechseldatenträger / Speichermedien | Angemessene Kennzeichnung der Datenträger beim Versand | Eindeutige Kennzeichnung für Empfänger, aber keine Rückschlüsse für andere ermöglichen. |
30 | Wechseldatenträger / Speichermedien | Sichere Versandart und Verpackung | Versand-Anbieter mit sicherem Nachweis-System, manipulationssichere Versandart und Verpackung. |
31 | Wechseldatenträger / Speichermedien | Sicheres Löschen der Datenträger vor und nach der Verwendung | Datenträger nach Verwendung immer sicher und vollständig löschen. Ihr Rechner bietet dafür verschiedene Möglichkeiten. |
32 | Netzwerksicherheit | Absicherung der Netzübergangspunkte | Der Übergang zu anderen Netzen insbesondere das Internet muss durch eine Firewall geschützt werden. |
33 | Netzwerksicherheit | Dokumentation des Netzes | Das interne Netz ist inklusive eines Netzplanes zu dokumentieren. |
34 | Netzwerksicherheit | Grundlegende Authentisierung für den Netzmanagement-Zugriffs | Für den Management-Zugriff auf Netzkomponenten und auf Managementinformationen muss eine geeignete Authentisierung verwendet werden. |
>>> Zusätzliche Anforderungen für mittlere Praxen (Hier klicken zum aufklappen)
Nr. | Zielobjekt | Anforderung | Erläuterung |
Software: Rechner-Programme, mobile Apps und Internet-Anwendunge | |||
1 | Mobile Anwendungen (Apps) | Minimierung und Kontrolle von App-Berechtigungen | Minimierung der App-Berechtigungen. |
2 | Internet-Anwendungen | Zugriffskontrolle bei Webanwendungen | Sicherstellung von Berechtigungen. |
Hardware: Endgeräte und IT-Systeme | |||
3 | Endgeräte | Nutzung von TLS | Benutzer sollten darauf achten, dass zur Verschlüsselung von Webseiten TLS verwendet wird. |
4 | Endgeräte | Restriktive Rechtevergabe | Restriktive Rechtevergabe. |
5 | Endgeräte mit dem Betriebssystem Windows | Sichere zentrale Authentisierung in Windows-Netzen | In reinen Windows-Netzen SOLLTE zur zentralen Authentisierung für Single Sign On (SSO) ausschließlich Kerberos eingesetzt werden. |
6 | Smartphone und Tablet | Richtlinie für Mitarbeiter zur Benutzung von mobilen Geräten | Es sollte eine verbindliche Richtlinie für Mitarbeiter zur Benutzung von mobilen Geräten erstellt werden. |
7 | Smartphone und Tablet | Verwendung von Sprachassistenten | Sprachassistenten sollten nur eingesetzt werden, wenn sie zwingend notwendig sind. |
8 | Mobiltelefon | Sicherheitsrichtlinien und Regelungen für die Mobiltelefon-Nutzung | Werden Mobiltelefone für dienstliche Zwecke verwendet, muss eine Nutzungs- und Sicherheitsrichtlinie erstellt werden. |
9 | Mobiltelefon | Sichere Datenübertragung über Mobiltelefone | Es sollte geregelt sein, welche Daten über Mobiltelefone übertragen werden dürfen. Diese sind zu verschlüsseln. |
10 | Wechseldatenträger / Speichermedien | Regelung zur Mitnahme von Wechseldatenträgern | Es sollte klare schriftliche Regeln dazu geben, ob, wie und zu welchen Anlässen Wechseldatenträger mitgenommen werden dürfen. |
11 | Netzwerksicherheit | Umfassende Protokollierung, Alarmierung und Logging von Ereignissen | Wichtige Ereignisse auf Netzkomponenten und auf den Netzmanagement-Werkzeugen sollten automatisch an ein zentrales Management-System übermittelt und dort protokolliert werden. |
>>> Zusätzliche Anforderungen für Großpraxen (Hier klicken zum aufklappen)
Zielobjekt | Anforderung | Erläuterung | |
Hardware: Endgeräte und IT-Systeme | |||
1 | Smartphone und Tablet | Festlegung einer Richtlinie für den Einsatz von Smartphones und Tablets | Bevor eine Praxis Smartphones oder Tablets bereitstellt, betreibt oder einsetzt, muss eine generelle Richtlinie im Hinblick auf die Nutzung und Kontrolle der Geräte festgelegt werden |
2 | Smartphone und Tablet | Auswahl und Freigabe von Apps | Apps aus öffentlichen App-Stores sollten durch die Verantwortlichen geprüft und freigegeben werden. |
3 | Smartphone und Tablet | Definition der erlaubten Informationen und Applikationen auf mobilen Geräten | Die Praxis sollte festlegen, welche Informationen auf den mobilen Endgeräten verarbeitet werden dürfen. |
4 | Mobile Device Management (MDM) | Sichere Anbindung der mobilen Endgeräte an die Institution | Die Verbindung der mobilen Endgeräte zum MDM sollte angemessen abgesichert werden. |
5 | Mobile Device Management (MDM) | Berechtigungsmanagement im MDM | Für das MDM sollte ein Berechtigungskonzept erstellt, dokumentiert und angewendet werden. |
6 | Mobile Device Management (MDM) | Verwaltung von Zertifikaten | Zertifikate zur Nutzung von Diensten auf dem mobilen Endgerät sollten zentral über das MDM installiert, deinstalliert und aktualisiert werden. |
7 | Mobile Device Management (MDM) | Fernlöschung und Außerbetriebnahme von Endgeräten | Das MDM sollte sicherstellen, dass sämtliche Daten auf dem mobilen Endgerät aus der Ferne gelöscht werden können. |
8 | Mobile Device Management (MDM) | Auswahl und Freigabe von Apps | Apps aus öffentlichen App-Stores sollten durch die Verantwortlichen geprüft und freigegeben werden. |
9 | Mobile Device Management (MDM) | Festlegung erlaubter Informationen auf mobilen Endgeräten | Die Praxis sollte festlegen, welche Informationen die mobilen Endgeräte unter welchen Bedingungen verarbeiten dürfen. |
10 | Mobile Device Management (MDM) | Datenträgerverschlüsselung | Wechseldatenträger sollten vollständig verschlüsselt werden. |
11 | Wechseldatenträger / Speichermedien | Integritätsschutz durch Checksummen oder digitale Signaturen | Ein Verfahren zum Schutz gegen zufällige oder vorsätzliche Veränderungen sollte eingesetzt werden. |
12 | Netzwerksicherheit | Absicherung von schützenswerten Informationen | Schützenswerte Informationen müssen über nach dem derzeitigen Stand der Technik sichere Protokolle übertragen werden, falls nicht über vertrauenswürdige dedizierte Netzsegmente kommuniziert wird. |
Zusätzliche Anforderungen bei der Nutzung medizinischer Großgeräte
Nr. | Zielobjekt | Anforderung | Erläuterung |
1 | Medizinische Großgeräte | Einschränkung des Zugriffs für Konfigurations- und Wartungsschnittstellen | Es muss sichergestellt werden, dass nur zuvor festgelegte berechtigte Mitarbeiter auf Konfigurations- und Wartungsschnittstellen von medizinischen Großgeräten zugreifen können. Standardmäßig eingerichtete bzw. herstellerseitig gesetzte Passwörter müssen gewechselt werden. Der Wechsel muss dokumentiert und das Passwort sicher hinterlegt werden. Standardmäßig eingerichtete bzw. herstellerseitig gesetzte Benutzerkonten sollten gewechselt werden. |
2 | Medizinische Großgeräte | Nutzung sicherer Protokolle für die Konfiguration und Wartung | Für die Konfiguration und Wartung von medizinischen Großgeräte müssen sichere Protokolle genutzt werden. Die Daten müssen beim Transport vor unberechtigtem Mitlesen und Veränderungen geschützt werden. |
3 | Medizinische Großgeräte | Protokollierung | Es muss festgelegt werden: a) welche Daten und Ereignisse protokolliert werden sollen, b) wie lange die Protokolldaten aufbewahrt werden und c) wer diese einsehen darf. Generell müssen alle sicherheitsrelevanten Systemereignisse protokolliert und bei Bedarf ausgewertet werden. |
4 | Medizinische Großgeräte | Deaktivierung nicht genutzter Dienste, Funktionen und Schnittstellen | Alle nicht genutzten Dienste, Funktionen und Schnittstellen der medizinischen Großgeräte müssen soweit möglich deaktiviert oder deinstalliert werden. |
5 | Medizinische Großgeräte | Deaktivierung nicht genutzter Benutzerkonten | Nicht genutzte und unnötige Benutzerkonten müssen deaktiviert werden. |
6 | Medizinische Großgeräte | Netzsegmentierung | Medizinische Großgeräte sollten von der weiteren IT getrennt werden. |
Dezentrale Komponenten der Telematikinfrastruktur
Nr. | Zielobjekt | Anforderung | Erläuterung |
1 | Dezentrale Komponenten der TI | Planung und Durchführung der Installation | Die von der gematik GmbH auf Ihrer Website zur Verfügung gestellten Informationen für die Installation der TI-Komponenten müssen berücksichtigt werden. |
2 | Dezentrale Komponenten der TI | Betrieb | Die Anwender- und Administrationsdokumentationen der gematik GmbH und der Hersteller der TI-Komponenten, insbesondere die Hinweise zum sicheren Betrieb der Komponenten, müssen berücksichtigt werden. |
3 | Dezentrale Komponenten der TI | Schutz vor unberechtigtem physischem Zugriff | Die TI-Komponenten in der Praxis müssen entsprechend den Vorgaben im jeweiligen Handbuch vor dem Zugriff Unberechtigter geschützt werden. |
4 | Konnektor | Betriebsart „parallel“ | Wird der Konnektor in der Konfiguration „parallel“ ins Netzwerk des Leistungserbringers eingebracht, müssen zusätzliche Maßnahmen ergriffen werden, um die mit dem Internet verbundene Praxis auf Netzebene zu schützen. |
5 | Primärsysteme | Geschützte Kommunikation mit dem Konnektor | Es müssen Authentisierungsmerkmale für die Clients (Zertifikate oder Username und Passwort) erstellt und in die Clients eingebracht bzw. die Clients entsprechend konfiguriert werden. |
6 | Dezentrale Komponenten der TI | Zeitnahes Installieren verfügbarer Aktualisierungen | Die TI-Komponeten in der Praxis müssen regelmäßig auf verfügbare Aktualisierungen geprüft werden und verfügbare Aktualisierungen müssen zeitnah installiert werden. Bei Verfügbarkeit einer Funktion für automatische Updates sollte diese aktiviert werden. |
7 | Dezentrale Komponenten der TI | Sicheres Aufbewahren von Administrationsdaten | Die im Zuge der Installation der TI-Komponenten eingerichteten Administrationsdaten, insbesondere auch Passwörter für den Administrator-Zugang, müssen sicher aufbewahrt werden. Jedoch muss gewährleistet sein, dass der Leistungserbringer auch ohne seinen Dienstleister die Daten kennt. |
Weitere gesetzliche Anforderungen: DSGVO, BDSG und Co.
- DSGVO und BDSG
- Die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) legen strenge Anforderungen an die Verarbeitung personenbezogener Daten fest. Die DSGVO fordert spezifische technische und organisatorische Maßnahmen, wie Zugangskontrollen oder Verschlüsselung, während das BDSG die Anforderungen für Deutschland konkretisiert und zusätzliche Schutzmechanismen für Patientendaten vorschreibt. Bei Verstößen sind Bußgelder und Sanktionen möglich.
- Telematikinfrastruktur
- Die Legitimation der Telematikinfrastruktur fußt auf mehreren gesetzlichen Grundlagen. Diese Gesetze schaffen einen rechtlichen Rahmen für die elektronische Vernetzung im Gesundheitswesen. Sie stellen sicher, dass die übertragenen Daten durch strenge Verschlüsselungs- und Authentifizierungsmechanismen geschützt sind. Zudem müssen alle an der Telematikinfrastruktur beteiligten Komponenten und Dienste zertifiziert sein. Verstöße können hier ebenfalls zu Sanktionen führen, einschließlich finanzieller Strafen.
- Patientendaten-Schutz-Gesetz (PDSG)
- Das PDSG legt besonderen Wert auf die Verarbeitung elektronischer Patientendaten. Es fördert digitale Innovationen im Gesundheitswesen und beinhaltet Regelungen zur Verarbeitung von elektronischen Verordnungen und Medikationsplänen. Das PDSG legt zudem IT-Sicherheitsanforderungen für Arztpraxen fest, insbesondere im Hinblick auf die Vertraulichkeit, Integrität und Verfügbarkeit der verarbeiteten Informationen.
Die Berufsordnungen der jeweiligen Landesärztekammern können ebenfalls Bestimmungen zum Umgang mit Patientendaten und zur IT-Sicherheit enthalten:
Aufzeichnungen auf elektronischen Datenträgern oder anderen Speichermedien bedürfen besonderer Sicherungs- und Schutzmaßnahmen, um deren Veränderung, Vernichtung oder unrechtmäßige Verwendung zu verhindern. Ärztinnen und Ärzte haben hierbei die Empfehlungen der Ärztekammer zu beachten.
§ 10 Abs. 5 Dokumentationspflicht MBO-Ä
Wie finde ich den richtigen Partner für die IT-Sicherheit meiner Praxis?
Die IT-Sicherheitsrichtlinie der KBV sollte nicht von einem beliebigen IT-Dienstleister umgesetzt werden, sondern im Optimalfall von einem zertifizierten Dienstleister nach § 75B Abs. 5 SGB V. Auf eigenes Risiko können Sie sich jedoch auch für einen nicht zertifizierten Dienstleister entscheiden.
Die Wahl des richtigen Partners für die IT-Sicherheit Ihrer Arztpraxis ist eine kritische Entscheidung, die sorgfältig getroffen werden sollte. Hier sind einige Faktoren, die bei der Auswahl eines geeigneten Dienstleisters beachtet werden sollten:
- Fachliche Qualifikation und Zertifikate
- Der Dienstleister sollte über die erforderliche Expertise in den Bereichen IT-Sicherheit und Gesundheitswesen verfügen. Achten Sie auf Zertifikate wie ISO 27001 oder spezielle Zulassungen für den Gesundheitssektor.
- Referenzen und Erfahrungen
- Erfahrungen und Referenzen im Gesundheitswesen sind ein Pluspunkt. Fragen Sie nach Referenzprojekten und sprechen Sie wenn möglich mit aktuellen oder ehemaligen Kunden des Dienstleisters.
- Umfassendes Leistungsportfolio
- Der Dienstleister sollte ein breites Spektrum an Sicherheitsdienstleistungen anbieten können, von Risikoanalysen über die Implementierung von Sicherheitsmaßnahmen bis hin zu fortlaufendem Monitoring und Support.
- Datenschutz und Compliance
- Der Dienstleister muss in der Lage sein, die Compliance mit relevanten Gesetzen und Vorschriften wie DSGVO, BDSG und weiteren branchenspezifischen Regelungen sicherzustellen.
- Lokale Präsenz
- Ein lokaler Anbieter kann im Notfall schneller vor Ort sein, was in sicherheitskritischen Situationen von Vorteil sein kann.
- Transparente Kommunikation
- Der Dienstleister sollte in der Lage sein, komplexe Sachverhalte klar und verständlich zu kommunizieren und regelmäßige Updates zum Status der IT-Sicherheit Ihrer Praxis bereitzustellen.
- Kosten und Vertragsbedingungen
- Prüfen Sie die Kostenstruktur sorgfältig und achten Sie auf versteckte Gebühren. Die Vertragsbedingungen sollten flexibel sein, um sich an die sich potenziell ändernden Anforderungen Ihrer Praxis anzupassen.
- Sicherheitsaudits und -tests
- Ein qualifizierter Anbieter sollte bereit sein, regelmäßige Sicherheitsaudits und Penetrationstests durchzuführen, um die Wirksamkeit der implementierten Sicherheitsmaßnahmen zu überprüfen.
- Fortlaufende Schulungen
- Der Dienstleister sollte Schulungen für Ihr Praxisteam anbieten, um ein besseres Verständnis für sicherheitsrelevante Themen zu fördern.
- Service-Level-Agreements (SLAs)
- Die SLAs sollten klar definierte Reaktionszeiten und Verantwortlichkeiten im Falle eines Sicherheitsvorfalls festlegen.
ordana – KBV-zertifizierter Dienstleister mit über 20 Jahren Erfahrung (www.ordana.de)
Die ordana GmbH ist ein KBV-zertifiziertes IT-Systemhaus und betreut für die Umsetzung der IT-Sicherheitsrichtlinie bundesweit viele Arztpraxen unterschiedlichster Größe seit dem Jahr 2003. Neben der Installation modernster Netzwerktechnik, die höchste Sicherheitsanforderungen erfüllt, bietet ordana bundesweit eine breite Palette an IT-Dienstleistungen an, wie zum Beispiel die Bereitstellung einer Business-Internetleitung, Hosting-Services (E-Mail- und Webhosting, Datenspeicherung und Backups in der Cloud) sowie Housing-Services. Dieses IT-Systemhaus mit den zwei Standorten Bottrop und Oberhausen betreut eine Vielzahl kleiner sowie mittelständischer Unternehmen und ist spezialisiert auf Arztpraxen, OP-Zentren, therapeutische Einrichtungen sowie Kanzleien.
Bei einer Zusammenarbeit mit ordana können Sie von folgenden Vorzügen profitieren:
- Spezialisierung auf Arztpraxen: ordana hat eine ausgeprägte Expertise im Bereich der IT-Sicherheit für Arztpraxen und ist KBV-zertifiziert.
- Umfassendes Leistungsportfolio: Von der Netzwerktechnik über Hosting bis zur Softwareentwicklung bietet ordana eine breite Palette an IT-Dienstleistungen an.
- 24/7/365 Überwachung: Die lückenlose Überwachung der IT-Systeme rund um die Uhr mit dem hauseigenen ordana NOC (Network Operating Center) sorgt für eine schnelle Reaktionszeit bei Störungen.
- Deutsche Rechenzentren: Die Datenspeicherung erfolgt in einem nach ISO 27001 zertifizierten deutschen Rechenzentrum, was für zusätzliche Sicherheit sorgt.
- Langjährige Erfahrung: Mit über 20 Jahren Erfahrung in der IT-Branche bringt ordana gebündeltes Know-how in verschiedenen IT-Bereichen mit.
- Webdesign und Webentwicklung: ordana realisiert den Aufbau Ihrer zukünftigen Praxis-Website von der Registrierung der Domain bis hin zur Wartung des Webservers und entwickelt auf Wunsch Webapps für die Optimierung von Unternehmensprozessen.
Kostenloser ordana Sicherheitscheck (https://www.ordana.de/it-sicherheit-fuer-arztpraxen-kmu-kbv-dsgvo/)
Ordana teilt Ihnen kostenlos mit, ob Ihr bereits installiertes Netzwerk ausreichend vor Gefahren geschützt ist. Zudem erhalten Sie detailliert, wo genau Sicherheitslücken vorhanden sind und wie diese geschlossen werden können. Ebenso kann die KBV- und DSGVO-Konformität Ihres Netzwerkes überprüft werden. Das Ergebnis dieser umfangreichen Analyse sowie ein Anforderungsprofil für Ihr Netzwerk erhalten Sie von ordana kostenlos per Telefon, Videocall oder per Fernwartung.
So läuft der ordana Sicherheitscheck ab:
- Prüfung der Qualität der vorhandenen Netzwerksicherheit.
- Erstellung einer Übersicht der offenen bzw. zu optimierenden Maßnahmen inkl. kostenlosem Kostenvoranschlag für die optimierenden Maßnahmen.
- Nach Annahme des Kostenvoranschlags erstellt ordana eine Übersicht mit allen Terminen für die erforderlichen Umsetzungen.
- Umsetzung der erforderlichen und gemeinsam abgestimmten technischen und organisatorischen Maßnahmen.