RWT Header Image

News der RWT

Umsetzung der IT-Sicherheit nach § 75B SGB V der Kassenärztlichen Bundesvereinigung

Für die Stärkung der IT-Sicherheit in der vertragsärztlichen und vertragspsychotherapeutischen Versorgung hat die Kassenärztliche Bundesvereinigung (KBV) eine Richtlinie erlassen, die die Erfordernisse des Gesetzgebers nach § 75B Sozialgesetzbuch (SGB) Fünftes Buch (V) (und Artikel 32 der Datenschutzgrundverordnung (DSGVO)) abdecken soll. Ziel ist eine bedarfsgerechte Absicherung der IT-Systeme und der darin verarbeiteten sensiblen Gesundheits- und Patientendaten in Abstufung zu verschiedenen Parametern wie beispielsweise der Praxisgröße oder den verwendeten medizinischen Geräten. Die Richtlinie definiert somit minimale Anforderungen, um die Risiken in der IT-Sicherheit zu minimieren.

Anforderungen, die von Praxen jeder Größe umzusetzen sind, werden in der Anlage 1 aufgeführt und umfassen Maßnahmen wie das aktive Sperren von Endgeräten nach der Aufgabenerfüllung oder die regelmäßige Datensicherung.

Neben den für alle Praxen geltenden Anforderungen müssen Praxen mittlerer Größe (6-20 Personen, die mit Datenverarbeitung betraut sind) weitere Härtungsmaßnahmen umsetzen. Diese sind in Anlage 2 der Richtlinie definiert. Ein Beispiel ist die restriktive Rechtevergabe in Endgeräten, die unter Punkt 4, „Abschnitt Hardware: Endgeräte und IT-Systeme“ zu finden ist. So kann eine technische Umsetzung bedeuten, dass der Standardanwender keine Berechtigung für das Installieren eigenständig heruntergeladener Software besitzt. Diese Berechtigung sollte ausschließlich fachkundigem Personal, beziehungsweise dem zuständigen IT-Dienstleister vorbehalten sein.

Weitere Anforderungen für Großpraxen (mehr als 20 mit Datenverarbeitung betraute Personen – meist Groß-MVZ oder Labore) oder auch Praxen mit medizinischen Großgeräten, beziehungsweise die Einbindung der Telematik-Infrastruktur werden in den Anlagen 3 bis 5 genannt.

Hinsichtlich der Umsetzung gibt die KBV weiterführende Hinweise. Diese können sehr spezifisch sein und lassen sich direkt von den Anwendern umsetzen. So soll beim Verlassen eines PC-Arbeitsplatzes die Bildschirmsperre für Windows genutzt werden, die gewöhnlich mithilfe der Tastenkombination „Windows-Taste“ + L erfolgt (Punkt 13, Anlage 1). Bei der Rechtevergabe für die verschiedenen Anwenderrollen hingegen (Punkt 4, Anlage 2) werden die Hinweise allgemein gehalten. Unter anderem heißt es, dass „der verfügbare Funktionsumfang des IT-Systems so für einzelne Benutzer oder Benutzergruppen eingeschränkt werden sollte, dass sie nur genau die Rechte besitzen und nur auf die Funktionen zugreifen können, die sie für ihre Aufgabenwahrnehmung benötigen“. Eine weitere Ausführung kann auch aufgrund der verschiedenen Anforderungen aller medizinischen Fachbereiche nur allgemein gehalten werden.

In der Realität sind nicht selten administrative Benutzerkonten anzutreffen, die für die Bewältigung der alltäglichen Aufgaben genutzt werden. Das birgt ein hohes Risiko Opfer von Phishing- und Ransomware-Angriffen zu werden und ist zudem unnötig, da der Anwender im Normalfall nicht mehr als die Berechtigung zum Start und Betrieb des Patientenverwaltungssystems und gegebenenfalls peripherer Software für medizinische Großgeräte benötigt.

Fazit
Insgesamt ist die Umsetzung der IT-Sicherheitsrichtlinie der KBV als sinnvoll zu erachten, da diese im Vergleich zu anderen Maßnahmen wie dem IT-Grundschutz des BSI einen reduzierten Umfang besitzt und in den Praxisalltag mit minimalem Aufwand integriert werden kann. Darüber hinaus adressiert die Richtlinie die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit der IT-Systeme und kann somit als geeignete Grundlage für eine umfangreiche Zertifizierung nach internationalen Standards wie der ISO/IEC 27001 dienen. Viele Punkte der KBV-Richtlinie sind bereits durch die DSGVO verpflichtend. Darüber hinaus können auch einfach umzusetzende Maßnahmen wie das Sperren des Bildschirms bestimmte Angriffsvektoren ausschließen, sodass die Wahrscheinlichkeit eines Sicherheitsvorfalls entscheidend reduziert wird. Weiterhin kann im Fall eines Sabotageakts (zum Beispiel Ransomware-Angriff) die Zeit der Wiederherstellung der benötigten IT-Systeme entscheidend reduziert werden, sodass sich der wirtschaftliche Schaden in Grenzen hält. Gängige Cyberversicherungen sichern meist nur ein Restrisiko ab, wenn bereits Maßnahmen zur Härtung von IT-Systemen getroffen wurden. Nicht zuletzt können im Fall eines Datenverlusts empfindliche Geldbußen drohen.

Gerne führen wir in Ihrer Praxis eine erste Sicherheitsüberprüfung durch und beraten Sie zur Umsetzung der IT-Sicherheitsrichtlinie in Ihrer Einrichtung.

 

Informationen für Ärzte und Heilberufler Ausgabe Februar 2024
Zu allen News der RWT