Sicherheit und Datenschutz in der TI

IT-Sicherheit ist Teamarbeit  (Quelle: KBV, Juli 2025)

Für die IT-Sicherheit in der Praxis zu sorgen, ist eine Teamaufgabe: Als Praxisinhaber tragen Ärzte und Psychotherapeuten zwar die Hauptverantwortung, aber auch ihre Mitarbeitenden müssen wachsam sein, damit in puncto Sicherheit keine Lücken entstehen. Was sie konkret tun können und welche Unterstützung die KBV bietet.

Die Beschäftigten in den Praxen sind ein wichtiger Sicherheitsfaktor. Ausreichend sensibilisiert und gut geschult, können sie notwendige Schutzmaßnahmen ergreifen und verdächtige Aktivitäten wie Phishing erkennen. Doch schon durch eine kleine Unachtsamkeit oder mangelndes Wissen können sie die IT-Sicherheit gefährden. Die regelmäßige Sensibilisierung der Mitarbeitenden, Schulungen sowie klare Regeln und Vereinbarungen sind deshalb unerlässlich.

Woran Praxisinhaberinnen und Praxisinhaber dabei denken sollten und welche weiteren Anforderungen zur Gewährleistung der IT-Sicherheit in Praxen bestehen, ist in der IT-Sicherheitsrichtlinie der KBV festgelegt. Die KBV ist gesetzlich verpflichtet, eine solche Richtlinie bereitzustellen und regelmäßig anzupassen – immer im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI).

KBV bietet Schulungen für das Praxispersonal

Zu den Anforderungen gehört die regelmäßige Schulung des Praxispersonals, um das Bewusstsein für IT-Sicherheit („Security Awareness“) dauerhaft zu schärfen. Spätestens ab Oktober sind solche Schulungen Pflicht. Wie oft die Mitarbeitenden jedoch geschult werden sollten, legt jede Praxis selbst fest und richtet sich nach den individuellen Gegebenheiten vor Ort.

Die KBV unterstützt Ärzte und Psychotherapeuten mit zwei Schulungen für Medizinischen Fachangestellte. Die erste Schulung vermittelt Basiswissen zur IT-Sicherheit – von sicheren Passwörtern bis zum Verhalten bei Sicherheitsvorfällen. Die zweite Schulung fokussiert das Phishing („Fischen nach Passwörtern“). Diese Betrugsmasche erfolgt häufig per E-Mail, es gibt aber zahlreiche Varianten und Wege – per SMS, Anruf oder QR-Code in einem seriös wirkenden Brief.

Einweisung in die IT-Systeme der Praxis

Unabhängig von den Schulungen sollten alle Mitarbeitenden in die Benutzung der wesentlichen IT-Systeme ihres Arbeitsplatzes eingearbeitet und für den Datenschutz sensibilisiert werden. Dies gilt insbesondere für neue Kolleginnen und Kollegen. Dabei kann es je nach Größe der Praxis hilfreich sein, wenn sie Ansprechpartner für Fragen rund um Informationssicherheit und Datenschutz haben.

Wird neue Technik angeschafft, müssen die Angestellten nicht nur wissen, wie sie diese benutzten, sondern auch Schutzmaßnahmen kennen. Das umfasst Passwörter und Gerätesperrcodes ebenso wie das Festlegen von Verantwortlichkeiten beispielsweise für das Einspielen von Software-Updates oder das Erstellen von Sicherheitskopien der vom Programm oder Gerät gespeicherten Patientendaten.

Vereinbarung von Vertraulichkeit

Neben der Technik ist an die Informationssicherheit zu denken: Alle Mitarbeitenden müssen verpflichtet werden, sich an die geltenden Gesetze und Vorschriften zum Datenschutz und zur Schweigepflicht zu halten. Hierzu ist individuell mit dem Mitarbeiter oder der Mitarbeiterin eine Vertraulichkeitsvereinbarung zu schließen. Die KBV bietet dafür ein Musterdokument im Hub an (Praxishinweise - Richtlinie IT-Sicherheit in der Praxis - IT in der Versorgung).

Auch mit Personen, die nicht in der Praxis angestellt sind, aber dort beispielsweise Technik installieren, reparieren oder warten, muss Vertraulichkeit vereinbart werden. Solches Fremdpersonal muss in sicherheitsrelevanten Bereichen der Praxis beaufsichtigt werden.

Regelungen für den Personalwechsel

Dabei ist zu beachten, dass sich das Team verändert. Wenn eine Kollegin oder ein Kollege in Rente in geht oder aus anderen Gründen die Praxis dauerhaft verlässt, sind beispielsweise die Passwörter zu ändern, die der Person bekannt waren.

Bei der Einstellung neuer Kolleginnen und Kollegen sollte grundsätzlich besonders auf ihre Vertrauenswürdigkeit geachtet werden, beispielsweise bei der Prüfung der Arbeitszeugnisse.

Je mehr Technik und Personal, desto mehr ist zu tun

Grundsätzlich gilt: Je mehr Technik eine Praxis nutzt und je mehr Personen damit arbeiten, desto größer ist die Angriffsfläche. Ziel der Schutzmaßnahmen ist es, die Angriffsfläche so klein wie möglich zu halten, Risiken für Sicherheitsvorfälle zu minimieren und sich als Team zu begreifen, das gemeinsam für die IT-Sicherheit sorgt.

KBV-Hub und Serviceheft nutzen

Weitere Hinweise finden Praxen im Hub zur IT-Sicherheit (Praxishinweise). Einen kompakten Einstieg ins Thema bietet das Serviceheft „IT-Sicherheit“ aus der Reihe PraxisWissen. Es wurde kürzlich neu aufgelegt und enthält Informationen zu Sicherheitsanforderungen, eine Checkliste für erste Schritte sowie Tipps und Beispiele für die Umsetzung von Schutzmaßnahmen. Das Heft steht online bereit (Serviceheft „IT-Sicherheit“) .

Schutz vor Ransomware

Erst kürzlich hat BKA-Chef Holger Münch explizit vor Cyberangriffen auf Arztpraxen gewarnt – Cyberkriminelle nehmen vermehrt diejenigen Opfer in ihr Fadenkreuz, welche auf Grund geringer technischer Schutzmaßnahmen und potenziell hoher Schäden ein lohnendes Ziel darstellen.

Dabei wird zumeist sogenannte Ransomware – also eine Art von Schadprogrammen, die den Zugriff auf Daten und Systeme durch eine Verschlüsselung einschränkt oder unterbindet – eingesetzt; wenn nun die Praxis auf die Systeme wieder zugreifen will, so verlangen die Erpresser (engl. „ransom“ = Erpressung) ein hohes Lösegeld (meistens in „virtueller“ und nicht nachverfolgbarer Währung wie Bitcoins) oder drohen bei Nichtzahlung damit, die Daten endgültig zu löschen oder zu veröffentlichen.

Dabei betrifft dieses Problem alle Branchen von Finanzinstitutionen über Landratsämter bis hin zu Krankenhäusern, MVZs und Arztpraxen. Eine Infektion mit Ransomware erfolgt zumeist über präparierte E-Mails, als „Schmierinfektion“ beim Besuch von Webseiten oder gelegentlich auch über andere Wege wie infizierte USB-Sticks – wenn dieses Schadprogramm einmal auf einem Rechner im Netzwerk aktiv ist, dann kann es sich auch auf andere PCs, Mobilgeräte wie Smartphones oder Netzlaufwerke verbreiten und diese ebenfalls infizieren. Ransomware wird mittlerweile wie eine marktreife Software entwickelt: sie wird häufig angepasst, um alle Aktualisierungen zu berücksichtigen, die Anwender an der Systemsicherheit vornehmen.

Nachfolgend wollen wir Ihnen Hinweise dafür geben, nicht zu einem Opfer dieser Kriminellen zu werden oder den Schaden so gering wie möglich zu halten.

Vorsorge

• Schaffen Sie ein ausreichendes Problembewusstsein bei Ihren Mitarbeitenden, schulen Sie Ihr Team im sicheren Surfen und weisen Sie es an, keine unbekannten Anhänge oder verdächtig aussehenden E-Mails zu öffnen. Unbekannte Anhänge von E-Mails sollten nicht geöffnet werden, ggf. sollte bei dem Absender nachgefragt werden – Ransomware kann auch von bekannten Absendern versendet werden. Nicht-freigegebene Software sollte nicht heruntergeladen oder installiert werden. Vorsicht sollte auch beim Surfen im Internet gewaltet werden – selbst seriöse Internetseiten können z.B. durch Werbebanner von Drittseiten infektiös sein. Dabei sollte auch eine ausreichende Fehlerkultur etabliert werden, denn nur wenn etwaige Angriffe frühzeitig und ohne Angst vor Konsequenzen gemeldet werden, kann der entstandene Schaden reduziert werden.
• Halten Sie Ihre Systeme stets aktuell – installieren Sie möglichst zeitnah die angebotenen Aktualisierungen für Betriebssysteme, Praxisinformationssysteme, E-Mail-Programme, Webbrowser etc. Auch für die eingesetzte Hardware wie z.B. Netzwerkfestplatten oder Router sollte die Firmware immer auf dem neuesten Stand sein. Die Aktivierung der automatischen Installation von Updates ist empfehlenswert.
•  Sorgen Sie für eine sichere Konfiguration Ihrer Systeme – dabei geben Organisationen wie das Bundesamt für Sicherheit in der Informationstechnik im Internet Hilfestellungen. Dazu gehört auch, dass Mitarbeitende nicht mit Administratorrechten die Systeme nutzen. Auch sollten keine USB-Sticks an die Systeme angeschlossen werden können.
• Nutzen Sie eine Firewall und einen umfassenden Virenschutz, welcher insbesondere E-Mails, den Webbrowser und auch Dateien auf Netzlaufwerken abdeckt.
• Sichern Sie regelmäßig (mindestens täglich) und automatisch Ihre Daten auf verschiedenen Medien und lagern Sie diese gesondert und ohne Verbindung zu Ihrem Netzwerk. Prüfen Sie auch, ob Sie die Sicherungen wieder zurückspielen können. Backups können einen Angriff nicht verhindern, aber sie können Ihnen dabei helfen, sich schneller von einem Angriff zu erholen. Dabei gilt es jedoch auch zu berücksichtigen, dass Ransomware auch zeitversetzt – also quasi nach einer Inkubationszeit – aktiv werden kann und so auch schon in einem Backup „stecken“ kann.
• Setzen Sie die Maßnahmen der (gesetzlich verpflichtenden) Richtlinie zur Datensicherheit der Praxis-IT nach § 75b SGB V der KBV um (https://hub.kbv.de/site/its).
• Wenn Sie die vorgenannten Maßnahmen nicht selbst umsetzen können, sollten Sie einen vertrauenswürdigen IT-Dienstleister – im besten Fall mit umfassenden Kenntnissen über die IT im Gesundheitssektor – beauftragen und diese Leistungen vertraglich vereinbaren.
• Ein Abschluss einer sog. „Cyberversicherung“ kann im jeweiligen Einzelfall sinnvoll sein – dabei sollten auch die angebotenen Leistungen der Versicherung und die Voraussetzungen für einen Versicherungsfall kritisch geprüft werden.
• Halten Sie sich über aktuelle Entwicklungen und Bedrohungen auf dem Laufenden und setzen Sie die Hinweise der Hersteller und Behörden zur Vermeidung und Reduktion dieser Risiken um.

Im Akutfall

• Beim ersten Anzeichen eines Angriffs sollte das betroffene Gerät isoliert werden, um zu verhindern, dass der infizierte Computer weitere Malware verbreitet. Trennen Sie es vom Netz und entfernen Sie alle angeschlossenen Laufwerke.
•  Informieren Sie Ihren IT-Dienstleister (und ggf. Ihre Versicherung) oder beauftragen Sie ein auf die Reaktion auf Sicherheitsvorfälle spezialisiertes Unternehmen.
• Suchen Sie im Netzwerk nach anderen Geräten, die sich verdächtig verhalten und isolieren Sie diese ebenfalls.
• Schalten Sie die drahtlosen Verbindungen (WLAN, Bluetooth) aus.
• Suchen Sie im Netzwerk nach verschlüsselten Dateien, welche sich nicht öffnen lassen oder verdächtige Namen oder Dateiendungen haben.
• Prüfen Sie weiterhin, ob Ihr Antivirenprogramm Warnmeldungen ausgegeben hat. Befragen Sie dann Ihr Team zu seinen Internetaktivitäten. Hat jemand in letzter Zeit eine seltsame E-Mail geöffnet? Oder auf ein Pop-up geklickt, das keinen Sinn ergab?
• Sobald Sie die Quelle kennen, können Sie den Ransomware-Typ mit Hilfe von Angeboten der Behörden und Unternehmen im Internet identifizieren und ggf. entsprechende Abhilfemaßnahmen wie Entschlüsselungsprogramme umsetzen.
• Verschaffen Sie sich einen Überblick über den entstandenen Schaden – welche Daten von welchen Patienten und Patientinnen sind betroffen, sind Daten abgeflossen etc.
• Prüfen Sie auch, ob im Zeitraum zwischen Infektion und Angriff E-Mails mit infizierten Anhängen von Ihren E-Mail-Adressen versendet wurden und informieren Sie die Empfänger.

 

Nachsorge

• Informieren Sie die Polizei und erstatten Sie Anzeige. Sie sollten kein Lösegeld zahlen, da dies ggf. selbst eine Straftat darstellen kann und zugleich die Erpresser weiter animiert.
• Ein Ransomwareangriff stellt zumeist auch einen meldepflichtigen Verstoß gegen die Datenschutz-Grundverordnung dar und dieser ist bei der zuständigen Datenschutzaufsicht zu melden – möglicherweise sind auch die Patientinnen und Patienten zu informieren.
• Prüfen Sie die Backups auf die Ransomware und stellen Sie ihre Systeme wieder her.

Reihen-  oder Serienbetrieb? 

Es gibt verschiedene Betriebsarten zur Integration des Konnektors wie Reihenbetrieb (auch als seriell bezeichnet) und Parallelbetrieb:

• Reihenbetrieb: Der Reihenbetrieb bietet größte Sicherheit. Er zeichnet sich dadurch aus, dass der Konnektor alle Verbindungen zwischen Internet (Secure Internet Service, SIS) und TI vom Praxisnetzwerk kapselt und dadurch die Praxis schützen kann. Durch die integrierte Firewall wird dabei nicht nur die TI vor Angriffen von außen geschützt, sondern auch das gesamte Netzwerk der Praxis.
• Parallelbetrieb: Der Parallelbetrieb ist sinnvoll bei größeren Praxen oder Medizinischen Versorgungszentren (MVZ) mit komplexer Netzwerkstruktur, die bereits über ausreichend Sicherheitsmaßnahmen verfügen. Bei der Parallelinstallation fungiert der Konnektor nicht als Firewall im Netzwerk, und die Praxis muss entsprechende Sicherheitsmaßnahmen treffen.

 

Hardware-Firewall: Übergang zu anderen Netzen sichern!

Besonderes Augenmerk auf die Sicherheit ihres Systems sollten Arztpraxen richten, die im sogenannten Parallelbetrieb an die TI angebunden sind – was bei der  überwiegenden Anzahl der Praxen der Fall ist. Der TI-Konnektor ist in diesen Fällen „parallel“ zum restlichen Netzwerk angeschlossen und kann deshalb keine Schutzfunktion für die Praxis übernehmen. Um diese Praxen optimal vor Gefahren abzuschotten, raten Experten dringend zu einer Hardware-Firewall. Die in handelsüblichen Routern eingebaute Firewall reicht nicht aus. Eine gute Hardware-Firewall ist nicht billig und kostet obendrein noch regelmäßige Update-Gebühren. Der mit der Sicherheit in Ihrer Praxis beauftragte IT-Dienstleister erstellt aus Ihrer Liste der benötigten Dienste eine Konfiguration der erlaubten Protokolle, IP-Adressen und Ports für die Firewall. Der Sicherheitsgewinn der Firewall entsteht aus dem Umstand, dass alle nicht definierten Dienste und Anwendungen ausgeschlossen werden. Da immer mal wieder Dienste und Anwendungen wegfallen oder dazu kommen, muss die Konfiguration der Firewall regelmäßig angepasst bzw. gewartet werden.
In Praxen, bei denen die TI im Reihenbetrieb läuft - auch „serieller Anschluss“ genannt -, ist dank der im Konnektor eingebauten Firewall das gesamte Praxisnetz vor Angriffen von außen geschützt. In diesem Fall ist der Konnektor der einzige Zugang der Praxis zum Internet. Eine zusätzliche Firewall ist nicht nötig.

Transparente Fehlerkultur - Fehler sofort eingestehen! 

Hacker bekommen oft ungewollt Unterstützung durch eine aktive "Mitarbeit" der Betroffenen selbst – zum Beispiel durch Anklicken eines Links in einer E-​Mail. Eine der wirkungsvollsten Maßnahmen, die Praxen eigenständig in Sachen IT-Sicherheit durchführen können, ist deshalb die Etablierung einer transparenten und vertrauensvollen Fehlerkultur im Team. Hierdurch lässt sich wichtige Präventionsarbeit leisten und potenzieller Schaden begrenzen. Denn Vertuschen oder Verschweigen von Fehlern kann zu einer weiteren Verbreitung von Schadsoftware - Fachjargon: Malware - führen. Es ist daher wichtig, dass Fehler, wie zum Beispiel unbedachte Klicks, sofort eingestanden werden.

Was muss ich tun, um eine hohe Datensicherheit zu gewährleisten?

Die TI kann Ihre Praxis nicht vollständig schützen. Um die Sicherheit in der Arztpraxis zu erhöhen, ist es ratsam, regelmäßige Updates durchzuführen und eine Firewall (im Parallelbetrieb) zu installieren, sowie das Internet kontrolliert zu nutzen. Bei eingehenden E-Mails sollte außerdem immer auf den Absender geachtet werden. Des Weiteren ist ein Back-up-Konzept sinnvoll, um im Ernstfall verlorene Daten wiederherstellen zu können.

Sind Praxen für die Sicherheit in der TI verantwortlich?

Ärzte und Psychotherapeuten sind nicht für die Sicherheit in der TI verantwortlich, wohl aber für den Datenschutz in ihrer Praxis. Für eine sichere Firewall beim Parallelbetrieb des Konnektors haftet also letztlich der Praxisinhaber. Sollte es auf Grund fehlender Datenschutzmaßnahmen innerhalb des Praxisnetzwerks zu einem Missbrauch kommen, ist hier die Praxis bzw. der betreffende Arzt/Psychotherapeut verantwortlich. Diese Verantwortlichkeit bestand auch schon vor der Einführung der TI.  Die KBV rät, ein gesamthaftes Sicherheitskonzept für die Praxis zu haben. Dies gilt unabhängig davon, ob die Installation im Reihen- oder Parallelbetrieb vorgenommen wird. Die Beauftragung eines professionellen Dienstleisters wird empfohlen.

IT-Sicherheitsrichtlinie in Kraft 

Für Arzt- und Psychotherapeutenpraxen gelten verbindliche Anforderungen an die IT-Sicherheit. Die Vertreterversammlung der KBV hatte dazu im Dezember 2020 die gesetzlich vorgeschriebene IT-Sicherheitsrichtlinie verabschiedet. Sie ist am 23. Januar 2021 offiziell in Kraft  getreten. Die klaren Vorgaben sollen dabei helfen, IT-Systeme und sensible Daten in den Praxen noch besser zu schützen. Die IT-Sicherheitsrichtlinie beschreibt das Mindestmaß der zu ergreifenden Maßnahmen, um die IT-Sicherheit in den Praxen zu gewährleisten. Dabei geht es um Punkte wie Sicherheitsmanagement, IT-Systeme, Rechnerprogramme, mobile Apps und Internetanwendungen oder das Aufspüren von Sicherheitsvorfällen. Verantwortlich für die Umsetzung der Sicherheitsanforderungen ist der Inhaber der Praxis. Dabei können sich Praxen von IT-Dienstleistern beraten und unterstützen lassen.

• Anforderungen an die IT-Sicherheit: Erste Schritte  zur IT-Sicherheit – zum Beispiel der Einsatz aktueller Virenschutzprogramme oder in puncto Netzwerksicherheit die Dokumentation des internen Netzes anhand eines Netzplanes – sollten Praxen bis 1. April 2021 realisieren. Alle anderen Anforderungen gelten ab Januar beziehungsweise Juli 2022. Die einzelnen Punkte werden in der 16 Seiten umfassenden Richtlinie jeweils kurz erläutert. Wer kein Risiko eingehen möchte, sollte seine Praxis auf diese Anforderungen hin von einem IT-Dienstleister prüfen lassen.
• Richtlinie nach § 75 b Absatz 1 und Absatz 5 SGB V: Die Richtlinien und auch die Antragsformulare für Dienstleister stehen auf einer KBV-Themenseite zur Sicherheitsrichtlinie zur Verfügung: https://www.kbv.de/html/it-sicherheit.php
• Unterstützende Materialien und Online-Schulungen für Ärzte und Psychotherapeuten: Die KBV stellt für Praxen sowie Dienstleister auf einer Online-Plattform Begleitinformationen und Umsetzungshinweise zu den Richtlinien bereit, die kontinuierlich aktualisiert werden: https://hub.kbv.de/display/itsrl. Zudem stehen auf dieser Internetseite Musterdokumente zu bestimmten Aspekten der IT-Sicherheitsrichtlinie zum Download zur Verfügung, beispielsweise ein Muster-Netzplan oder eine Muster-Richtlinie für Mitarbeiter zur Nutzung von mobilen Geräten.

Noch Fragen? Hotline der KBV zu "IT-Sicherheit in der Praxis"

Praxen könnten unter der Telefonnummer 030 - 400 520 00 montags bis donnerstags von 8 bis 18 Uhr und freitags bis 17 Uhr sowie per E-Mail (it-security@kbv.de) ihre Fragen stellen.

KBV-Information