Interview: „Man muss für den Ernstfall vorbereitet sein."
Welche Ziele verfolgt die IT-Sicherheitsrichtlinie der KBV, und welche Praxen sind in welchem Umfang verpflichtet, sie umzusetzen?
Die Kassenärztliche Bundesvereinigung hat nach § 390 SGB V den Auftrag, Anforderungen zur Gewährleistung der IT-Sicherheit in der vertragsärztlichen und -psychotherapeutischen Versorgung zu regeln. Sie hat damit den Auftrag, den Stand der Technik der technisch-organisatorischen Maßnahmen im Sinne von Artikel 32 der Datenschutz-Grundverordnung (DSGVO) zu standardisieren. Die umzusetzenden Anforderungen richten sich nach der Größe der Arztpraxis und ob medizinische Großgeräte eingesetzt werden
Was sind aus Sicht der KBV die häufigsten Schwachstellen in Praxen?
Das BSI hat im Projekt CyberPraxMed bei 16 Arztpraxen 26 Schwachstellen von „PC mit angemeldetem Account“ über „unzureichendem Virenschutz“, „unzureichender Datenverschlüsselung“ bis hin zu „unsicherer Netzwerkkonfiguration“ gefunden. Wobei die Untersuchung nicht repräsentativ ist, und manche „Schwachstellen“ etwas spekulativ erscheinen.
Die it-notfallkarte ist ein erster wichtiger schritt.
Welche technischen Anforderungen und organisatorischen Schutzmaßnahmen sind essenziell, um die Mindestanforderungen zu erfüllen?
Die KBV vertritt die Auffassung, dass jede Praxis einen Basis-Schutz für die IT-Infrastruktur benötigt. Dazu zählen z. B. Firewall, Virenschutz, Updates und Back-ups, die in der IT-Sicherheitsrichtlinie gefordert werden. Darüber hinaus kommen in der neuen Version der IT-Sicherheitsrichtlinie aber auch personelle Anforderungen hinzu, konkret bei der Auswahl und der Einarbeitung neuer Mitarbeiterinnen, aber auch etwa Vorgaben bei der Beendigung eines Arbeitsverhältnisses. Dies betrifft auch externe Mitarbeiterinnen wie IT-Dienstleisterinnen. Ebenso wichtig ist auch, das Bewusstsein für IT-Sicherheit zu schärfen, z. B. durch Schulungen oder Fortbildungen. Wie verhalten sich Praxen richtig, wenn IT plötzlich ausfällt oder Ransomware den Zugriff auf Patientendaten blockiert?
Ärztinnen sind hoffentlich auf einen solchen Fall vorbereitet, indem sie die Anforderungen der IT-Sicherheitsrichtlinie umgesetzt haben. Sollte doch ein solcher Fall eintreten, ist die IT-Notfallkarte ein erster wichtiger Schritt, um die richtige Ansprechpartnerin einzubinden. Das weitere Vorgehen hängt von dem konkreten Einzelfall und dem jeweiligen Ausmaß ab. Bei einem Ransomware-Angriff sind erst einmal die weitere Ausbreitung zu stoppen, die initialen Angriffswege und das Ausmaß des Vorfalls zu ermitteln, die betroffenen Systeme zu bereinigen, das letzte Back-up einzuspielen, und gegebenenfalls die Datenaufsichtsbehörden, Strafverfolgungsbehörden, Versicherungen und Patientinnen zu informieren.
Welche Unterstützung bietet die KBV betroffenen Praxen?
Auf den KBV-Webseiten gibt es eine Themenwebseite zur IT-Sicherheit. Unter anderem steht dort ein Serviceheft „PraxisWissen IT-Sicherheit“ zur Verfügung, welches bei der Umsetzung der Richtlinie helfen und den Einstieg erleichtern soll. Auch ein Video zur IT-Sicherheitsrichtlinie sowie die Publikation „PraxisInfo IT-Sicherheit: Praxen im Visier von Hackern und Trojanern“ mit realen Beispielen von IT-Sicherheitsvorfällen und Tipps zur Prävention wurde veröffentlicht.
Außerdem existiert eine Liste mit von der KBV-zertifizierten IT-Dienstleistern, die bei der Umsetzung der IT-Sicherheitsrichtlinie helfen können, wobei keine Praxis verpflichtet ist, auf IT-Dienstleister zurückzugreifen. Darüber hinaus stellt die KBV weitere Informationen und Hinweise zu jeder einzelnen Anforderung der IT-Sicherheitsrichtlinie bereit. Es gibt etwa Musterdokumente für Anforderungen, die Dokumentationen erfordern, wie ein Muster-Eintrittsformular. Des Weiteren stehen eine Muster-Verschwiegenheitserklärung sowie ein Muster-Netzplan zur Verfügung. Auf der Webseite sind auch häufig auftretende Fragen und Antworten in FAQ aufgeführt.
Sie erwähnten Fortbildungen und Schulungen. Ist die KBV in dieser Hinsicht auch tätig?
Die KBV bietet im Fortbildungsportal der KBV eine mit 2 CME-Punkten bewertete Fortbildung zur IT-Sicherheitsrichtlinie an. Darüber hinaus gibt es eine Basis-Schulung und eine Phishing-Schulung für medizinische Fachangestellte. Und im E-Mail-Newsletter „PraxisNachrichten“ wird monatlich ein Thema zur IT-Sicherheit und der Bezug zur IT-Sicherheitsrichtlinie angesprochen.
Welche Rolle spielt die Sensibilisierung des Praxisteams?
Die Technik allein ist für die IT-Sicherheit nicht hinreichend, sondern das Praxispersonal muss mit eingebunden werden. Die meisten erfolgreichen Angriffe werden initial über E-Mails ausgelöst. Daher lohnt es sich mindestens ebenso in die Menschen bzw. in das Bewusstsein für die Gefahren und den sicheren Umgang mit der IT durch Sensibilisierung und Schulungen zu investieren. Zudem können finanzielle Aufwände in Schulung und Sensibilisierung der Mitarbeiterinnen geringer ausfallen als die Kosten für den Erwerb, die Administration und die Wartung weiterer IT-Sicherheitsprodukte.
Wie können kleine Praxen ohne eigene IT-Abteilung die Umsetzung stemmen?
Die KBV geht davon aus, dass die Komplexität der IT-Infrastruktur mit der Praxisgröße korreliert. Diese Differenzierung nach Praxisgröße soll den kleinen Praxen dabei helfen, die Anforderungen der Richtlinie umsetzen zu können. Darüber hinaus bieten die KVen und die KBV die zuvor genannten Unterstützungsleistungen rund um die Richtlinie an.
Das Interview erschien erstmals am 24. März 2026 im x.press 26.2.
Hier geht’s zum dazugehörigen Artikel.
Hier können Sie sich die gesamte x.press-Ausgabe 26.2 herunterladen.