Zur Startseite
Klicken, um zum Anfang der Seite zu springen
Abstraktes Bild
07.05.2021 Praxis-IT & Telematik

Sicherheit in der TI

Datenschutz und die Datensicherheit spielen in der TI eine große Rolle – schließlich geht es um besonders schützenswerte Informationen. Bei der Entwicklung der TI haben sich sowohl das Bundesamt für Sicherheit in der Informationstechnik (BSI) als auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) aktiv eingebracht.

Es gibt verschiedene Betriebsarten zur Integration des Konnektors wie Reihenbetrieb (auch als seriell bezeichnet) und Parallelbetrieb:

  • Reihenbetrieb: Der Reihenbetrieb bietet größte Sicherheit. Er zeichnet sich dadurch aus, dass der Konnektor alle Verbindungen zwischen Internet (Secure Internet Service, SIS) und TI vom Praxisnetzwerk kapselt und dadurch die Praxis schützen kann. Durch die integrierte Firewall wird dabei nicht nur die TI vor Angriffen von außen geschützt, sondern auch das gesamte Netzwerk der Praxis.
  • Parallelbetrieb: Der Parallelbetrieb ist sinnvoll bei größeren Praxen oder Medizinischen Versorgungszentren (MVZ) mit komplexer Netzwerkstruktur, die bereits über ausreichend Sicherheitsmaßnahmen verfügen. Bei der Parallelinstallation fungiert der Konnektor nicht als Firewall im Netzwerk, und die Praxis muss entsprechende Sicherheitsmaßnahmen treffen.

Was muss ich tun, um eine hohe Datensicherheit zu gewährleisten?

Die TI kann Ihre Praxis nicht vollständig schützen. Um die Sicherheit in der Arztpraxis zu erhöhen, ist es ratsam, regelmäßige Updates durchzuführen und eine Firewall (im Parallelbetrieb) zu installieren, sowie das Internet kontrolliert zu nutzen. Bei eingehenden E-Mails sollte außerdem immer auf den Absender geachtet werden. Des Weiteren ist ein Back-up-Konzept sinnvoll, um im Ernstfall verlorene Daten wiederherstellen zu können.

Sind Praxen für die Sicherheit in der TI verantwortlich?

Ärzte und Psychotherapeuten sind nicht für die Sicherheit in der TI verantwortlich, wohl aber für den Datenschutz in ihrer Praxis. Für eine sichere Firewall beim Parallelbetrieb des Konnektors haftet also letztlich der Praxisinhaber. Sollte es auf Grund fehlender Datenschutzmaßnahmen innerhalb des Praxisnetzwerks zu einem Missbrauch kommen, ist hier die Praxis bzw. der betreffende Arzt/Psychotherapeut verantwortlich. Diese Verantwortlichkeit bestand auch schon vor der Einführung der TI.  Die KBV rät, ein gesamthaftes Sicherheitskonzept für die Praxis zu haben. Dies gilt unabhängig davon, ob die Installation im Reihen- oder Parallelbetrieb vorgenommen wird. Die Beauftragung eines professionellen Dienstleisters wird empfohlen.

Hardware-Firewall: Übergang zu anderen Netzen sichern!
Besonderes Augenmerk auf die Sicherheit ihres Systems sollten Arztpraxen richten, die im sogenannten Parallelbetrieb an die TI angebunden sind – was bei der  überwiegenden Anzahl der Praxen der Fall ist. Der TI-Konnektor ist in diesen Fällen „parallel“ zum restlichen Netzwerk angeschlossen und kann deshalb keine Schutzfunktion für die Praxis übernehmen. Um diese Praxen optimal vor Gefahren abzuschotten, raten Experten dringend zu einer guten Hardware-Firewall. Die in handelsüblichen Routern eingebaute Firewall reicht nicht aus. Eine gute Hardware-Firewall ist nicht billig und kostet obendrein noch regelmäßige Update-Gebühren. Der mit der Sicherheit in Ihrer Praxis beauftragte IT-Dienstleister erstellt aus Ihrer Liste der benötigten Dienste eine Konfiguration der erlaubten Protokolle, IP-Adressen und Ports für die Firewall. Der Sicherheitsgewinn der Firewall entsteht aus dem Umstand, dass alle nicht definierten Dienste und Anwendungen ausgeschlossen werden. Da immer mal wieder Dienste und Anwendungen wegfallen oder dazu kommen, muss die Konfiguration der Firewall regelmäßig angepasst bzw. gewartet werden.
In Praxen, bei denen die TI im Reihenbetrieb läuft - auch „serieller Anschluss“ genannt -, ist dank der im Konnektor eingebauten Firewall das gesamte Praxisnetz vor Angriffen von außen geschützt. In diesem Fall ist der Konnektor der einzige Zugang der Praxis zum Internet. Eine zusätzliche Firewall ist nicht nötig.

IT-Sicherheitsrichtlinie in Kraft 

Für Arzt- und Psychotherapeutenpraxen gelten neue verbindliche Anforderungen an die IT-Sicherheit. Die Vertreterversammlung der KBV hatte dazu im Dezember die gesetzlich vorgeschriebene IT-Sicherheitsrichtlinie verabschiedet. Sie tritt am 23. Januar 2021 offiziell in Kraft. Die klaren Vorgaben sollen dabei helfen, IT-Systeme und sensible Daten in den Praxen noch besser zu schützen. Die IT-Sicherheitsrichtlinie beschreibt das Mindestmaß der zu ergreifenden Maßnahmen, um die IT-Sicherheit in den Praxen zu gewährleisten. Dabei geht es um Punkte wie Sicherheitsmanagement, IT-Systeme, Rechnerprogramme, mobile Apps und Internetanwendungen oder das Aufspüren von Sicherheitsvorfällen. Verantwortlich für die Umsetzung der Sicherheitsanforderungen ist der Inhaber der Praxis. Dabei können sich Praxen von IT-Dienstleistern beraten und unterstützen lassen.

  • Anforderungen an die IT-Sicherheit: Erste Schritte  zur IT-Sicherheit – zum Beispiel der Einsatz aktueller Virenschutzprogramme oder in puncto Netzwerksicherheit die Dokumentation des internen Netzes anhand eines Netzplanes – sollten Praxen bis 1. April 2021 realisieren. Alle anderen Anforderungen gelten ab Januar beziehungsweise Juli 2022. Die einzelnen Punkte werden in der 16 Seiten umfassenden Richtlinie jeweils kurz erläutert. Wer kein Risiko eingehen möchte, sollte seine Praxis auf diese Anforderungen hin von einem IT-Dienstleister prüfen lassen.
  • Richtlinie nach § 75 b Absatz 1 und Absatz 5 SGB V: Die Richtlinien und auch die Antragsformulare für Dienstleister stehen auf einer KBV-Themenseite zur Sicherheitsrichtlinie zur Verfügung: https://www.kbv.de/html/it-sicherheit.php
  • Unterstützende Materialien und Online-Schulungen für Ärzte und Psychotherapeuten: Die KBV stellt für Praxen sowie Dienstleister auf einer Online-Plattform Begleitinformationen und Umsetzungshinweise zu den Richtlinien bereit, die kontinuierlich aktualisiert werden: https://hub.kbv.de/display/itsrl. Zudem stehen auf dieser Internetseite Musterdokumente zu bestimmten Aspekten der IT-Sicherheitsrichtlinie zum Download zur Verfügung, beispielsweise ein Muster-Netzplan oder eine Muster-Richtlinie für Mitarbeiter zur Nutzung von mobilen Geräten.