Wertheim – Im § 75b Abs. 1 SGB V wurde die Kassenärztliche Bundesvereinigung verpflichtet, bis zum 30.6.2020 eine verbindliche Richtlinie mit Anforderungen zur Gewährleistung der IT-Sicherheit von Arztpraxen entsprechend aktuellem Stand der Technik zu definieren. Im Sommer 2020 war es zu Verzögerungen bei der Verabschiedung gekommen, so dass die genaue Ausgestaltung bis dato unklar war (Infobrief 4/2020). Am 15.12.2020 wurde nun eine im Vergleich zur ersten Version deutlich abgeschwächte IT-Sicherheitsrichtlinie von der KBV-Vertreterversammlung beschlossen. Diese gilt bereits jetzt für alle Praxen, daher lohnt ein Blick auf die Inhalte, die teilweise ab 1.4.2021 bzw. 1.1.2022 das Mindestmaß der umzusetzenden Schutzmaßnahmen zum Erreichen der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit der Daten in Arzt- und Zahnarztpraxen definieren. Verantwortlich für die Einhaltung ist der Praxisinhaber, der die Umsetzung an Dienstleister oder Versicherungen übertragen kann.
Die umzusetzenden Anforderungen richten sich nach der Größe der Praxen, die in drei Kategorien klassifiziert werden (Tab. 1)
| Klassifikation | Ständig mit der Datenverarbeitung betraute Personen | Umzusetzende Anlagen der IT-Sicherheitsrichtlinie |
| Praxis | ≤ 5 | 1, 5 |
| Mittlere Praxis | 6-20 | 1, 2, 5 |
| Großpraxis / Praxis mit Datenverarbeitung in erheblichem Umfang | > 20 | 1, 2, 3, 5 |
| Sonderfall: Praxis mit med. Großgerät wie CT, MRT, PET, Linearbeschleuniger | Unabhängig von der Personenzahl | Zusätzlich 4 |
Tabelle 1
Die definierten Anforderungen und Geltungsdaten sollte man im Originaldokument der Richtlinie einsehen, da sie im Folgenden nur grob zusammengefasst dargestellt werden können.
Anforderungen an alle Praxen
Die von allen Praxen umzusetzende Anlage 1 der IT-Sicherheitsrichtlinie regelt u. a., dass beim Nutzen mobiler Anwendungen (Apps) nur sichere Apps in aktueller Version verwendet werden dürfen, wenn sie Dokumente verschlüsselt und lokal abspeichern. Nicht benötigte Apps müssen restlos gelöscht werden. Für sonstige Arbeitsplätze gilt: Bei der Verwendung jedweder Office-Produkte ist eine Nutzung integrierter Cloudspeicher nicht gestattet und Vertrauliches muss aus den Dokumenten vor Weitergabe gelöscht werden. Bei der Verwendung von Internetanwendungen dürfen nur solche regelmäßig aktualisierte und verschlüsselte Anwendungen unter dem Schutz einer Firewall für das gesamte Netzwerk genutzt werden, die bei der Authentisierung den Zugang strikt absichern. Eine Speicherung vertraulicher Daten im Browser ist ebenso unzulässig wie eine automatisierte Nutzung von Webanwendungen. Hinsichtlich der Hardwareausstattung wird darauf Wert gelegt, dass Mikrofon und Kamera am Rechner grundsätzlich deaktiviert sind und andere Endgeräte nach Ende der Nutzung immer gesperrt und abgemeldet werden. Es muss eine regelmäßige Datensicherung und ein aktuelles Virenschutzprogramm laufen. Die Synchronisation von Nutzerdaten mit Microsoft Cloud-Diensten soll vollständige deaktiviert werden. Berechtigungen und Zugriffe sollen pro Personengruppe und pro Person geregelt sein. Auch regelmäßig zu prüfende und mit Updates zu versehende Mobiltelefone, Smartphones und Tablets sollen unter den strengsten Sicherheitseinstellungen mit aktuellen Schutzprogrammen ausgestattet und durch SIM-Karten mit PIN und komplexem Gerätesperrcode geschützt werden. Bei Verlust müssen diese zeitnah gesperrt werden können. Wechseldatenträger und Speichermedien müssen vor jeder Verwendung mit einem aktuellen Schutzprogramm auf Schadsoftware überprüft werden und bei Versand manipulationssicher verschickt werden. Nach Verwendung müssen sie sicher gelöscht werden. Das gesamte Netzwerk ist durch einen Netzplan zu dokumentieren, für den Managementzugriff muss eine geeignete Authentisierung verwendet werden.
Anforderungen an alle Praxen mit TI-Anschluss
In der ebenfalls von allen angeschlossenen Praxen umzusetzenden Anlage 5 sind die Schutzmaßnahmen für die in den Praxen befindlichen Komponenten der Telematik-Infrastruktur (TI) geregelt. Sie müssen entsprechend der von der gematik zur Verfügung gestellten Informationen installiert und betrieben, vor unberechtigtem Zugriff physisch geschützt sein und bei Verfügbarkeit von Aktualisierungen zeitnah mit Updates gepflegt werden. Bei der parallelen Konnektorinstallation im Netzwerk müssen zusätzliche Maßnahmen ergriffen werden, um die mit dem Internet verbundene Praxis zu schützen. Alle Administratordaten müssen sicher verwahrt werden.
Anforderungen an mittlere Praxen und Großpraxen
Die Anlage 2 beschreibt die von mittleren Praxen und Großpraxen zusätzlich umzusetzenden Sicherheitsmaßnahmen. Die deutlich höheren Anforderungen zielen auf die Minimierung von Zugriffsberechtigungen bei mobilen Anwendungen, Internetanwendungen und Endgeräten ab, ebenso auf Verschlüsselungsstandards wie TLS, sichere Authentisierung in Windows-Netzwerken mit Single Sign On (SSO) durch Kerberos. Sprachassistenten sollen nur dort wo zwingend notwendig eingesetzt werden. Ebenso sind verschiedene interne Nutzungsrichtlinien für den Einsatz von Mobilgeräten und Wechseldatenträgern vorgesehen. Wichtige Ereignisse auf Netzkomponenten und auf den Netzmanagement-Werkzeugen sollen automatisch an ein zentrales Managementsystem mit umfassender Protokollierung, Alarmierung und Logging übermittelt werden.
Anforderungen nur an Großpraxen
Die Anlage 3 definiert die zusätzlichen Anforderungen an Großpraxen. Es werden nochmals erhöhte Anforderungen für den Einsatz von Mobilgeräten definiert, u. a. hinsichtlich der praxisinternen Freigabe von Apps zur Installation, sicherer Anbindung der Geräte, Berechtigungskonzept und Zertifikatnutzung. Ein Mobile Device Management muss sicherstellen, dass sämtliche Daten auf dem mobilen Endgerät aus der Ferne gelöscht werden können. Wechseldatenträger sollten vollständig verschlüsselt und durch Integritätsschutz durch Checksummen oder digitale Signaturen gegen zufällige oder vorsätzliche Veränderungen geschützt sein. Schützenswerte Informationen müssen im Netzwerk über nach derzeitigem Stand der Technik sichere Protokolle übertragen werden.
Anforderungen nur an Praxen mit Großgeräten
Anlage 4 definiert nur von Praxen mit Großgeräten ab 1.7.2021 bzw. 1.1.2022 umzusetzende weitere Anforderungen in Bezug auf Zugriffseinschränkungen für Konfigurations- und Wartungsschnittstellen, Nutzung sicherer Protokolle für die Konfiguration und Wartung, Protokollierung, Deaktivierung nicht genutzter Dienste, Funktionen und Schnittstellen, nicht genutzter Benutzerkonten und hinsichtlich der Netzsegmentierung zur Abtrennung von der weiteren IT.
Kontinuierliche Fortentwicklung
Alle in der KBV Sicherheitsrichtlinie genannten Anforderungen unterliegen einem kontinuierlichen Verbesserungsprozess mit einer jährlichen Evaluationspflicht. Die erforderliche Evaluation richtet sich an der jeweiligen Informationssicherheitslage aus. Die Richtlinie muss jährlich im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik aktualisiert werden. Eine weitere, ebenfalls verabschiedete Richtlinie regelt die Zertifizierung von Dienstleistern, die Ärzte in IT-Sicherheitsfragen beraten und die Vorgaben der Sicherheitsrichtlinie umsetzen. Die Vor-Ort-Zertifizierung von Dienstleistern wird sich coronabedingt verzögern.
Fazit
Der ursprüngliche und im Sommer 2020 dann nicht verabschiedete Entwurf der IT-Sicherheitsrichtlinie orientierte sich am vergleichsweise strengen IT-Grundschutzkompendium des BSI in der sog. Standardabsicherung und hätte erheblich höhere Anforderungen an die IT-Sicherheit in Arztpraxen gestellt als die nun mithilfe der Vermittlung durch das Bundesgesundheitsministerium zustande gekommene und im Dezember verabschiedete Version. Dies kommt Arztpraxen entgegen, weil mit der ursprünglichen Version deutlich höhere Kosten verbunden gewesen wären. Insbesondere die in der aktuellen Version an alle Praxen gestellten Anforderungen sind im Grunde genommen Selbstverständlichkeiten, spätestens seit Einführung der EU-Datenschutzgrundverordnung. Die Anforderungen an mittlere Praxen und Großpraxen liegen hingegen schon deutlich höher und sollten mit dem IT-Dienstleister der Praxis zeitnah geprüft werden, da sie teilweise schon ab 1.4.2021 umzusetzen sind und spezielle technische Maßnahmen erfordern. Jede auch noch so kleine Praxis sollte sich der Bedeutung medizinischer Daten und der wachsenden Gefahren für Datensicherheit bewusst sein. Die abgespeckte Version der IT-Sicherheitsrichtlinie ist insofern nicht unumstritten. Verschiedene IT-Verbände, denen diese zur Kommentierung vorgelegt wurde, sollen eine kurzfristige Kommentierung abgelehnt haben und auch das BSI soll nicht glücklich gewesen sein. Laut einem Beitrag im Fachmagazin EHEALTHCOM wurden auch die Umsetzungsfristen von IT-Unternehmen als zu lang gewertet, verschiedene Maßnahmen als zu wenig konkret, teilweise trivial gewertet. Prognostisch dürfte vermutlich im Rahmen der jährlichen Fortentwicklungen mit erhöhten Anforderungen und damit auch Kosten zu rechnen sein.
Dr. Karsten Braun, LL. M.
BVOU Referat Presse/Medien