07.05.2021 Praxis-IT & Telematik

Sicherheit und Datenschutz in der TI

Datenschutz und die Datensicherheit spielen in der TI eine große Rolle – schließlich geht es um besonders schützenswerte Informationen. Bei der Entwicklung der TI haben sich sowohl das Bundesamt für Sicherheit in der Informationstechnik (BSI) als auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) aktiv eingebracht.

Reihen- oder Serienbetrieb?: Es gibt verschiedene Betriebsarten zur Integration des Konnektors wie Reihenbetrieb (auch als seriell bezeichnet) und Parallelbetrieb:
Reihenbetrieb: Der Reihenbetrieb bietet größte Sicherheit. Er zeichnet sich dadurch aus, dass der Konnektor alle Verbindungen zwischen Internet (Secure Internet Service, SIS) und TI vom Praxisnetzwerk kapselt und dadurch die Praxis schützen kann. Durch die integrierte Firewall wird dabei nicht nur die TI vor Angriffen von außen geschützt, sondern auch das gesamte Netzwerk der Praxis.
Parallelbetrieb: Der Parallelbetrieb ist sinnvoll bei größeren Praxen oder Medizinischen Versorgungszentren (MVZ) mit komplexer Netzwerkstruktur, die bereits über ausreichend Sicherheitsmaßnahmen verfügen. Bei der Parallelinstallation fungiert der Konnektor nicht als Firewall im Netzwerk, und die Praxis muss entsprechende Sicherheitsmaßnahmen treffen.
Hardware-Firewall: Übergang zu anderen Netzen sichern!: Besonderes Augenmerk auf die Sicherheit ihres Systems sollten Arztpraxen richten, die im sogenannten Parallelbetrieb an die TI angebunden sind – was bei der überwiegenden Anzahl der Praxen der Fall ist. Der TI-Konnektor ist in diesen Fällen „parallel“ zum restlichen Netzwerk angeschlossen und kann deshalb keine Schutzfunktion für die Praxis übernehmen. Um diese Praxen optimal vor Gefahren abzuschotten, raten Experten dringend zu einer Hardware-Firewall. Die in handelsüblichen Routern eingebaute Firewall reicht nicht aus. Eine gute Hardware-Firewall ist nicht billig und kostet obendrein noch regelmäßige Update-Gebühren. Der mit der Sicherheit in Ihrer Praxis beauftragte IT-Dienstleister erstellt aus Ihrer Liste der benötigten Dienste eine Konfiguration der erlaubten Protokolle, IP-Adressen und Ports für die Firewall. Der Sicherheitsgewinn der Firewall entsteht aus dem Umstand, dass alle nicht definierten Dienste und Anwendungen ausgeschlossen werden. Da immer mal wieder Dienste und Anwendungen wegfallen oder dazu kommen, muss die Konfiguration der Firewall regelmäßig angepasst bzw. gewartet werden.
In Praxen, bei denen die TI im Reihenbetrieb läuft - auch „serieller Anschluss“ genannt -, ist dank der im Konnektor eingebauten Firewall das gesamte Praxisnetz vor Angriffen von außen geschützt. In diesem Fall ist der Konnektor der einzige Zugang der Praxis zum Internet. Eine zusätzliche Firewall ist nicht nötig.
Transparente Fehlerkultur - Fehler sofort eingestehen!: Hacker bekommen oft ungewollt Unterstützung durch eine aktive "Mitarbeit" der Betroffenen selbst – zum Beispiel durch Anklicken eines Links in einer E-Mail. Eine der wirkungsvollsten Maßnahmen, die Praxen eigenständig in Sachen IT-Sicherheit durchführen können, ist deshalb die Etablierung einer transparenten und vertrauensvollen Fehlerkultur im Team. Hierdurch lässt sich wichtige Präventionsarbeit leisten und potenzieller Schaden begrenzen. Denn Vertuschen oder Verschweigen von Fehlern kann zu einer weiteren Verbreitung von Schadsoftware - Fachjargon: Malware - führen. Es ist daher wichtig, dass Fehler, wie zum Beispiel unbedachte Klicks, sofort eingestanden werden.
Was muss ich tun, um eine hohe Datensicherheit zu gewährleisten?: Die TI kann Ihre Praxis nicht vollständig schützen. Um die Sicherheit in der Arztpraxis zu erhöhen, ist es ratsam, regelmäßige Updates durchzuführen und eine Firewall (im Parallelbetrieb) zu installieren, sowie das Internet kontrolliert zu nutzen. Bei eingehenden E-Mails sollte außerdem immer auf den Absender geachtet werden. Des Weiteren ist ein Back-up-Konzept sinnvoll, um im Ernstfall verlorene Daten wiederherstellen zu können.
Sind Praxen für die Sicherheit in der TI verantwortlich?: Ärzte und Psychotherapeuten sind nicht für die Sicherheit in der TI verantwortlich, wohl aber für den Datenschutz in ihrer Praxis. Für eine sichere Firewall beim Parallelbetrieb des Konnektors haftet also letztlich der Praxisinhaber. Sollte es auf Grund fehlender Datenschutzmaßnahmen innerhalb des Praxisnetzwerks zu einem Missbrauch kommen, ist hier die Praxis bzw. der betreffende Arzt/Psychotherapeut verantwortlich. Diese Verantwortlichkeit bestand auch schon vor der Einführung der TI. Die KBV rät, ein gesamthaftes Sicherheitskonzept für die Praxis zu haben. Dies gilt unabhängig davon, ob die Installation im Reihen- oder Parallelbetrieb vorgenommen wird. Die Beauftragung eines professionellen Dienstleisters wird empfohlen.
IT-Sicherheitsrichtlinie in Kraft: Für Arzt- und Psychotherapeutenpraxen gelten verbindliche Anforderungen an die IT-Sicherheit. Die Vertreterversammlung der KBV hatte dazu im Dezember 2020 die gesetzlich vorgeschriebene IT-Sicherheitsrichtlinie verabschiedet. Sie ist am 23. Januar 2021 offiziell in Kraft getreten. Die klaren Vorgaben sollen dabei helfen, IT-Systeme und sensible Daten in den Praxen noch besser zu schützen. Die IT-Sicherheitsrichtlinie beschreibt das Mindestmaß der zu ergreifenden Maßnahmen, um die IT-Sicherheit in den Praxen zu gewährleisten. Dabei geht es um Punkte wie Sicherheitsmanagement, IT-Systeme, Rechnerprogramme, mobile Apps und Internetanwendungen oder das Aufspüren von Sicherheitsvorfällen. Verantwortlich für die Umsetzung der Sicherheitsanforderungen ist der Inhaber der Praxis. Dabei können sich Praxen von IT-Dienstleistern beraten und unterstützen lassen.
Anforderungen an die IT-Sicherheit: Erste Schritte zur IT-Sicherheit – zum Beispiel der Einsatz aktueller Virenschutzprogramme oder in puncto Netzwerksicherheit die Dokumentation des internen Netzes anhand eines Netzplanes – sollten Praxen bis 1. April 2021 realisieren. Alle anderen Anforderungen gelten ab Januar beziehungsweise Juli 2022. Die einzelnen Punkte werden in der 16 Seiten umfassenden Richtlinie jeweils kurz erläutert. Wer kein Risiko eingehen möchte, sollte seine Praxis auf diese Anforderungen hin von einem IT-Dienstleister prüfen lassen.
Richtlinie nach § 75 b Absatz 1 und Absatz 5 SGB V: Die Richtlinien und auch die Antragsformulare für Dienstleister stehen auf einer KBV-Themenseite zur Sicherheitsrichtlinie zur Verfügung: https://www.kbv.de/html/it-sicherheit.php
Unterstützende Materialien und Online-Schulungen für Ärzte und Psychotherapeuten: Die KBV stellt für Praxen sowie Dienstleister auf einer Online-Plattform Begleitinformationen und Umsetzungshinweise zu den Richtlinien bereit, die kontinuierlich aktualisiert werden: https://hub.kbv.de/display/itsrl. Zudem stehen auf dieser Internetseite Musterdokumente zu bestimmten Aspekten der IT-Sicherheitsrichtlinie zum Download zur Verfügung, beispielsweise ein Muster-Netzplan oder eine Muster-Richtlinie für Mitarbeiter zur Nutzung von mobilen Geräten.
Noch Fragen? Hotline der KBV zu "IT-Sicherheit in der Praxis": Praxen könnten unter der Telefonnummer 030 - 400 520 00 montags bis donnerstags von 8 bis 18 Uhr und freitags bis 17 Uhr sowie per E-Mail (it-security@kbv.de) ihre Fragen stellen.

KBV-Information

PraxisInfo: IT-Sicherheit - Praxen im Visier von Hackern und Trojanern. Beispiele und Tipps zur Prävention

Jetzt ansehen (PDF | 567 KB)

Standard für Firewalls in Praxen

Jetzt ansehen (PDF | 110 KB)