IT-Sicherheitsrichtlinie der Kassenärztlichen Bundesvereinigung

Die Kassenärztliche Bundesvereinigung hat hier eine Richtlinie mit Anforderungen für Vertragsärztliche Praxen herausgegeben.

Diese Liste haben wir uns vorgenommen und in ein einfacher umsetzbares Format umgeschrieben.

Statt sich auf Geräte und Umgebungen zu konzentrieren, finden wir es sinnvoller dies in „Technische Maßnahmen“ und „Verhaltensregeln“ aufzuteilen, da so schneller erkennwar wird, was man durch Technik und was durch eigenes Verhalten unternehmen kann.

Technische Maßnahmen

  • Stellen Sie Ihren Browser (Edge, Firefox, Chrome etc.) so ein, dass dieser keine persönlichen Daten speichert. Gemeint sind Zugangsdaten, Cookies und der Browserchache (Zwischenspeicher um das „Surfen“ zu beschleunigen). Hier kann man einrichten, dass der Browser alles beim Beenden löscht
  • Deaktivieren Sie Mikrofone und  Kameras oder vermeiden den Zugriff durch Apps, wenn dies nicht benötigt wird
  • Wenn Sie ein Gerät nicht nutzen, schalten Sie es ab oder melden sich ab (Zugriff durch Dritte soll verhindert werden)
  • Sorgen Sie für eine regelmäßige Datensicherung – dies kann automatisiert werden
  • Nutzen Sie Antiviren- oder Antimalwaresoftware
  • Automatische (Hintergrund-)Sychronisation mit Clouddiensten sollte unterbunden werden (ausgenommen zugelassene Dienste)
  • Jeder darf nur Zugriff auf Daten und Anwendungen haben, die für die Arbeit notwendig sind
  • Schützen Sie den Zugriff auf Ihre Geräte oder Apps per PIN oder Kennwort und richten Sie eine automatische Sperre ein
  • Aktivieren Sie automatische Updates auf allen Geräten um so zeitnah von sicherheitsrelevanten Updates zu profitieren
  • Entfernen Sie persönliche Daten von Sperrbildschirmen auf allen Geräten (Nachrichteninhalte bspw.)
  • Der Datenversand muss manipulationssicher und nachvollziehbar erfolgen
  • Datenträger müssen nach der Nutzung sicher gelöscht werden
  • Bei Zugriff auf öffentliche Netze (Internet, Hotelnetzwerke etc.) sollte immer eine Firewall eingesetzt werden

Verhaltensregeln

  • Verwenden Sie nur Apps auf Mobilgeräten, die aus den offiziellen Stores stammen. Dies ist auf Applegeräten der „App Store“ und auf Androidgeräten der „Google Play Store“
  • Auf den Mobilgeräten sollten nur Apps installiert sein, die auch genutzt werden. Ungenutzte Apps sollten deinstalliert werden
  • Nutzen Sie nur Apps, die Daten lokal auf dem Gerät speichern
  • Vermeiden Sie Apps, die Daten „in die Cloud“ sichern
  • Vermeiden Sie das versenden vertraulicher und personenbezogener Daten per Messengerdienst (Whatsapp, Facebook, Telegram etc.)
  • Vermeiden Sie die Speicherung von Metadaten in Ihren Dokumenten. Metadaten sind Angaben über den Autor, die Bearbeitungszeit, Änderungen etc.
  • Nutzen Sie nur Webanwendungen (Cloudanwendungen), die den Zugriff per Zugangsdaten beschränken
  • Nutzen Sie möglichst 2-Faktor-Authentifizierung. Gemeint ist hier beispielsweise die Anmeldung mit Benutzername und Kennwort und zusätzlich einer PIN, die beispielsweise per Mobilgerät empfangen wird
  • Besuchen Sie nur gesicherte Internetseiten, deren Adresse mit https:// beginnt
  • Erfassen und nutzen Sie nur (persönliche) Daten, die notwendig sind (Sparsamkeitsprinzip)
  • Vermeiden Sie Klicks auf Links in Nachrichten aus nicht vertrauenswürdigen Quellen
  • Planen Sie den Verlust eines Gerätes um diesen im Notfall schnell umsetzen zu können
  • Nutzen Sie keine externen Datenträger (USB-Sticks) ohne diese vorher durch Sicherheitssoftware überprüfen zu lassen
  • Benennung von Daten auf mobilen Datenträgern sollte möglichst bezugslos erfolgen. Statt eines Patientennamens sollte beispielsweise die Patientennummer gewählt werden
  • Für das Praxisnetzwerk sollte ein Netzplan vorhanden sein
  • Wichtige Netzwerkgeräte (Router, Firewall etc) sollten durch komplexe Kennwörter geischert sein

Fazit

Diese Auflistung erhebt keine Anspruch auf Vollständigkeit und soll hier als Anhaltspunkt und Motivation gelten. Wir empfinden diese Form als leichter verständlich, da man sich hier nicht in technischen Details verliert.

Bei Fragen oder Anregungen rufen Sie uns an oder schreiben Sie uns eine Mail.