IT-Sicherheit

Die KBV IT-Sicherheitsrichtlinie wurde von der Kassenärztlichen Bundesvereinigung (KBV) entwickelt, um die Anforderungen von § 75b SGB V zu erfüllen, einem Gesetz zur Stärkung der IT-Sicherheit im Gesundheitswesen. Die Richtlinie standardisiert technische und organisatorische Maßnahmen (TOMs) zur Datensicherheit gemäß Artikel 32 der DSGVO und unterscheidet sich nach Praxisgröße und IT-Infrastruktur. Sie fokussiert sich auf die Ziele Vertraulichkeit, Integrität und Verfügbarkeit von Daten und wird jährlich mit dem BSI aktualisiert. Diese Richtlinie ist für alle Praxen im gesetzlichen Krankenversicherungssystem verpflichtend und unterstützt eine schrittweise Umsetzung. ((KBV) 2020)

Beispiele für IT-Schwachstellen

Der “CyberPraxMed”-Bericht des BSI (Sicherheit in der Informationstechnik 2023) untersucht die IT-Sicherheitslage in deutschen Arztpraxen. Die Wahrscheinlichkeit eines erfolgreichen Cyberangriffs wird als hoch eingestuft, während die bestehenden Richtlinien oft nicht umgesetzt werden. Der Bericht listet spezifische Risiken auf:

• Unbeaufsichtigte PCs: Viele Praxen haben Computer, die mit aktiven Benutzersitzungen unbeaufsichtigt gelassen werden, sodass Patienten oder andere externe Personen Zugang zu diesen Systemen haben könnten.
• Unsicherer Fernzugriff: Praxen nutzen häufig VPN oder RDP-Verbindungen zur Netzwerkzugriffs, manchmal mit privaten Geräten zur Datenverarbeitung und -speicherung, was sensible Informationen gefährden kann.
• Fehlende Backup-Tests: Regelmäßige Tests der Backup-Funktionen werden oft nicht durchgeführt, was bedeutet, dass nach einem Angriff möglicherweise keine Datenwiederherstellung möglich ist.
• Unsichere Netzwerkbuchsen: Es gibt oft offene oder ungeschützte Netzwerkbuchsen in den Praxen, die als Angriffspunkte genutzt werden könnten.
• Private Geräte: Viele Praxen integrieren private Geräte in das gleiche Netzwerk wie ihre professionelle Ausrüstung, was die Sicherheit des gesamten Netzwerks gefährden kann.
• Fehlende Netzwerksegmentierung: Es fehlt an der Trennung von LAN, WLAN, medizinischen Geräten und IT-Ausrüstung, was das Risiko der Malwareverbreitung erhöht.
• Unverschlüsselte E-Mails: Einige Praxen tauschen Patientendaten über unverschlüsselte E-Mails aus, wodurch diese Daten leicht abgefangen werden können.
• Fehlende Sicherheitssysteme: Viele Praxen verwenden keine Systeme zur Eindringungserkennung oder -verhinderung (IDS/IPS), was Angriffe weniger wahrscheinlich macht zu entdecken oder zu verhindern.
• Fehlende IT-Dokumentation: Es gibt häufig keine ausreichende Dokumentation der IT-Struktur und -Sicherheitsmaßnahmen, was bedeutet, dass Schwachstellen oft unbemerkt und unbehandelt bleiben.

Praxisspezifische IT-Sicherheitsanforderungen

Nach Praxisgröße:

• Kleine Praxen (1-5 Personen im Datenerfassungsprozess):
  • Grundanforderungen:
    • Anlage 1 und Anlage 5 der KBV IT-Sicherheitsrichtlinien müssen eingehalten werden.
• Mittelgroße Praxen (6-20 Personen im Datenerfassungsprozess):
  • Grund- und Zusatzanforderungen:
    • Anlage 1 und 5, plus zusätzliche Maßnahmen in Anlage 2 (wie App-Berechtigungen, Zugangskontrolle für Webanwendungen, sichere Authentifizierung, Protokolle für mobile Geräte und Datentransfer).
• Große Praxen (mehr als 21 Personen oder hohes Datenaufkommen):
  • Umfassende Anforderungen:
    • Anlagen 1, 2 und 5, sowie zusätzliche Maßnahmen in Anlage 3 (strengere Regelungen für IT-Komponenten, Verschlüsselung, sicherer Datentransfer).

Nach Medizintechnik:

• Praxen mit großer Medizintechnik (z.B. CT, MRT, PET-Scanner):
  • Zusätzliche Gerätespezifische Anforderungen:
    • Anlage 4 muss eingehalten werden, welche spezifische Sicherheitsmaßnahmen für solche Geräte umfasst.

Telematikinfrastruktur (TI):

• Für Alle Praxen:
  • Anlage 5 für den sicheren Betrieb von TI-Komponenten wie Konnektoren, Kartenlesern und Praxis-ID-Karten.

Zusammenfassung der Anlagen:

• Anlage 1: Grundlegende IT-Sicherheitsmaßnahmen für alle Praxen (sicherer App-Nutzung, Virenschutz, Firewalls, Datensicherung).
• Anlage 2: Zusätzliche Sicherheit für mittelgroße Praxen (App-Berechtigungen, Webanwendung-Zugangskontrolle, Mobilitätssicherheit).
• Anlage 3: Weitere Anforderungen für große Praxen (Verschlüsselung, sicherer Datentransfer).
• Anlage 4: Sicherheit für große medizinische Geräte.
• Anlage 5: Sicherheit für TI-Komponenten.

Gesetzgebung bezüglich IT-Sicherheit

• § 75b SGB V:
  • Verpflichtet Arztpraxen zur Implementierung von IT-Sicherheitsmaßnahmen, basierend auf dem Digitalen-Versorgungs-Gesetz (DVG) 2019.
  • KBV gibt verbindliche Richtlinien heraus, abhängig von Praxisgröße und Medizintechnik.
• § 203 StGB:
  • Regelt das ärztliche Schweigeprivileg, was den Schutz von Patientendaten priorisiert.
• § 32 DSGVO:
  • Verlangt technische und organisatorische Maßnahmen (TOMs) zur Sicherung von Daten.
• § 291a SGB V:
  • Bezieht sich auf die Telematikinfrastruktur (TI) und die Rolle der gematik bei Datenschutz.
• § 3 Abs. 9 & § 28 Abs. 6-9 BDSG:
  • Allgemeine Datenschutzanforderungen.
• § 22 BDSG:
  • Regelung zur Nutzung von Patientendaten, die auf die Behandlung beschränkt ist; zusätzliche Verwendung benötigt Zustimmung des Patienten.
• § 2 Absatz 9 BSI-Gesetz:
  • Klärt, dass Arztpraxen nicht zu kritischen Infrastrukturen zählen.

Weitere gesetzliche Rahmenbedingungen:

• BSI-Gesetz:
  • Betrifft das Bundesamt für Sicherheit in der Informationstechnik (BSI), welches Richtlinien wie den IT-Grundschutz liefert.
• MBO-Ä § 10 Abs. 5 & MBO-Pt § 10 Abs. 2:
  • Berufsordnungsregeln für Ärzte und Psychotherapeuten betreffend elektronische Patientenakten.
• IFSG & MPG:
  • Infektionsschutzgesetz und Medizinproduktegesetz für Patienten- und Mitarbeiterschutz.

Beispiel IT-Architektur Praxis

Beispiel IT-Architektur

Mobile Device Management (MDM)

Mobile Device Management (MDM) in Arztpraxen ermöglicht die zentrale Verwaltung und Sicherung von mobilen Geräten wie Smartphones und Tablets. Damit können Ärzte und Praxismitarbeiter sicher auf Patientendaten zugreifen, während gleichzeitig die Datenschutzrichtlinien eingehalten werden. MDM-Lösungen unterstützen zudem die Fernwartung und -aktualisierung der Geräte

Produkt	URL
Ivanti (MobileIron)	ivanti.com
SOTI	soti.de
Jamf Pro	jamf.com
ManageEngine	manageengine.com
Hexnode	hexnode.com
IBM MaaS360	ibm.com

Security Information and Event Management (SIEM)

Security Information and Event Management (SIEM) sammeln und korrelieren Log-Daten aus verschiedenen IT-Systemen, um verdächtige Aktivitäten oder Sicherheitsverletzungen frühzeitig zu erkennen.

Produkt/Anbieter	URL
ByteSnipers	bytesnipers.com
SVA	sva.de
Logpoint	logpoint.com
Myracle Security	myrasecurity.com
Splunk	splunk.com
IBM QRadar	ibm.com
Exabeam	exabeam.com
Graylog	graylog.org
ManageEngine Log360	manageengine.com
Rapid7 InsightIDR	rapid7.com
SolarWinds Security Event Manager	solarwinds.com

Richtiges Löschen

Beim sicheren Löschen von Daten gilt es sicherzustellen, dass diese nicht wiederhergestellt werden können. Auf Mac-Systemen empfiehlt sich die Verwendung des “Secure Erase”-Features. Für Unix- und Linux-Benutzer überschreibt das Kommandozeilen-Tool “shred” Dateien durch mehrfaches Überschreiben mit zufälligen Daten. Für Windows-Nutzer gibt es das Tool “SDelete” von Sysinternals, das Dateien auf der Festplatte sicher löscht. Diese Methoden stellen sicher, dass gelöschte Daten nicht durch Software zur Datenwiederherstellung rekonstruiert werden können.

Übersicht IT Grundschutz

Übersicht IT Grundschutz

Product	Company	URL
SiDOK	2net	2net.de
ENTERPRISE ISMS / DSMS	4conform GmbH	4conform.com
Akarion GRC Cloud	Akarion	akarion.com
docsetMinder	Allgeier Cyris	allgeier-cyris.de
i-doit Add-ons	becon GmbH	becon.de
crisam	crisam	crisam.net
CANCOM ComplianceSuite	CANCOM	cancom.de
Normtracker	certvision	certvision.de
Compliance Management	360incontrol	360incontrol.ch
easyISMS	concat	concat.de
Condignum Platform	condignum	condignum.com
CONTECHNET Suite+ / INDITOR / INPRIVE	CONTECHNET	contechnet.de
GRASP	GRASP	grasp-irm.com
Athereon GRC	Athereon	athereon.de
Datenschutz-Management Software	Datenschutz-Management Software	datenschutz-management.software
EGERIE	EGERIE	egerie.eu
EEC	EEC	eec.de
ETES Groupware / Fileshare / WebConference	ETES GmbH	etes.de
Compliance Aspekte	Compliance Aspekte	compliance-aspekte.de
FortControl	FortControl	fortcontrol.io
ForumISM	Forum-IS	forum-is.de
fuentis Suite 4 / GRC Suite	fuentis	fuentis.com
GAIMS	GAIMS	gaims.app
BIC BSI Grundschutz	GBTEC	gbtec.com
guksa	guksa	guksa.de
Goriscon	Goriscon	goriscon.de
HiScout	HiScout	hiscout.com
ibi-systems	ibi-systems	ibi-systems.de
save-infodas	infodas	save-infodas.de
Intervalid ISMS	Intervalid	intervalid.com
ISMS4KMO	ISMS4KMO	isms4kmo.de
ITQX	ITQX	itq-institut.de
Virtual42	Virtual42	virtual42.com
opus i	kronsoft e.K.	kronsoft.de
M24S	M24S	m24s.info
wmc-direkt	wmc-direkt	wmc-direkt.de
OMNITRACKER GRC-Center	OMNITRACKER	omnitracker.com
OTRIS Datenschutzmanagement	OTRIS	otris.de
preeco	datenschutz / informationssicherheit	preeco GmbH
proISCat	proISCat	proiscat.de
Reguvis IT-Grundschutz Cockpit	Reguvis	reguvis.de
		robin-data.io
		runecast.com
GRC-COCKPIT	SAVISCON GmbH	saviscon.de
		schleupen.de
		verinice.com
		skillswift.com
		swissgrc.com
		sintegrity.de
		tcc.de
		dsc2.info
		temino.de
HITGuard	TogetherSecure GmbH	togethersecure.com
		quidit.de
		xmera.de
ENTERPRISE ISMS / ENTERPRISE DSMS	4conform GmbH	4conform.com
RED protect – Praxis-Firewall	RED Medical Systems GmbH	redmedical.de/red-protect-praxisfirewall/

Quelle: BSI IT Grundschutztools

(KBV), Kassenärztliche Bundesvereinigung. 2020. „Richtlinie nach §75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit“. https://www.kbv.de/media/sp/RiLi___75b_SGB_V_Anforderungen_Gewaehrleistung_IT-Sicherheit.pdf.

Sicherheit in der Informationstechnik, Bundesamt für. 2023. „Abschlussbericht Projekt CyberPraxMed – Sicherheit in Arztpraxen“. Bundesamt für Sicherheit in der Informationstechnik. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Projekte/CyberPraxMed/cyberpraxmed_abschlussbericht.pdf?__blob=publicationFile&v=1.