Überarbeitete IT-Sicherheitsrichtlinie

Die IT-Sicherheitsrichtlinie für Praxen ist an den Stand der Technik und an das Gefährdungspotential angepasst worden. Klare Vorgaben sollen helfen, Patientendaten sicher zu verwalten und Risiken wie Datenverlust oder Betriebsausfall zu minimieren. Praxen sind gehalten, sich mit den Anforderungen auseinanderzusetzen. Hier einige aus der Sicherheitsrichtlinie abgeleitete Tipps.

Umgang mit Spam
Der Umgang mit Spam bei E-Mails in der Praxis muss klar geregelt werden. Sensibilisieren Sie Ihre Mitarbeiterinnen und Mitarbeiter für Hinweise auf gefährliche E-Mails: 1. Ist der Übermittler bekannt? 2. Ist der Inhalt der Nachricht wirklich sinnvoll? 3. Werden Links oder Aufforderungen von dem Übermittler der Nachricht erwartet? Falls Zweifel bestehen, kann man den Absender über einen anderen Kommunikationskanal kontaktieren - zum Beispiel Telefon - und nachfragen, ob die E-Mail tatsächlich von ihm stammt.
Verdächtige E-Mails zu öffnen, ist kein Problem. Der Anhang einer verdächtigen Mail darf allerdings nicht geöffnet werden. Auf keinen Fall sollte man auf einen in einer verdächtigen Mail enthaltenen Link klicken.

Warnung vor gefälschten Briefen
Die Gefahr durch Cyberkriminelle ist akut. Erst kürzlich verschickten Kriminelle im Namen der apoBank Briefe und forderten die Adressaten auf, ihre Bankzugänge zu verifizieren. Auf keinen Fall darf der QR-Code auf solchen Briefen gescannt werden, da der Link auf eine gefälschte Internetseite führt. Auch per per E-Mail oder per Telefon versuchen Betrüger, an Zugangsdaten von Bank-Kunden zu kommen.

Mitarbeitende schulen
Mitarbeitende sind regelmäßig über Anforderungen, Handlungsanweisungen und Verfahrensweisen in Bezug auf Praxis-Sicherheit zu informieren. Beendet ein Mitarbeiter seine Tätigkeit in einer Praxis, müssen alle im Rahmen seiner Tätigkeit erhaltenen Unterlagen, Schlüssel und Geräte sowie Ausweise und Zutrittsberechtigungen zurückgegeben, geändert bzw. vernichtet werden. Das betrifft vor allem Passwörter. Vor der Verabschiedung sollte noch einmal auf die fortdauernden Verschwiegenheitsverpflichtungen hingewiesen werden.

Externes Personal
Personen, die nicht zum festen Praxisteam zählen - zum Beispiel Mitarbeiter von Dienstleistern, die Technik installieren - müssen dazu verpflichtet werden, den Datenschutz und die Sicherheitsvorkehrungen einzuhalten. Externe Mitarbeiter gilt es zu beaufsichtigen, insbesondere in sicherheitsrelevanten Bereichen. Zugangsberechtigungen sind so restriktiv wie möglich zu halten.

Keine Fehler vertuschen
Eine der wirkungsvollsten Maßnahmen ist die Etablierung einer transparenten und vertrauensvollen Fehlerkultur im Team. Hierdurch lässt sich wichtige Präventionsarbeit leisten und potenzieller Schaden begrenzen. Denn Vertuschen oder Verschweigen von Fehlern kann zu einer weiteren Verbreitung von Schadsoftware (Fachjargon: Malware) führen. Es ist daher wichtig, dass Fehler, wie zum Beispiel unbedachte Klicks, sofort eingestanden werden. Wichtig ist auch, die Kollegen und Kolleginnen zu informieren. Ein frühzeitiger Warnhinweis kann im Ernstfall viel Schaden verhindern.

Risiko Wechseldatenträger
USB-Sticks oder externe Festplatten stellen ein besonders hohes Risiko für Datenverlust und Zugriff von Unbefugten dar. Die IT-Richtlinie weist auf die Notwendigkeit einer Datensicherung hin, regelt aber auch, dass Verantwortliche für die Datensicherung benannt werden und dass getestet werden soll, ob gesicherte Daten im Fall der Fälle auch wiederhergestellt werden können. Empfohlen wird eine Regelung, wer in der Praxis Medien mitnehmen darf.

Updates zeitnah installieren
Da ein großer Teil der unberechtigten Zugriffe auf Programme und Systeme auf fehlende Updates zurückgeht, wurde dieser Bereich in der IT-Sicherheitsrichtlinie ausführlich geregelt. So genannte „Patches“ (Updates, mit denen bekannt gewordene Sicherheitslücken beseitigt werden) sollten deshalb zeitnah installiert werden. Software oder Betriebssysteme, die nicht mehr mit Updates versorgt werden, müssen abgelöst oder vom allgemeinen Netzwerk getrennt betrieben werden.

Umgang mit dem Praxisausweis (SMC-B)
Der Praxisausweis (SMC-B) ist in der Regel im stationären Kartenterminal dauerhaft gesteckt. Deshalb sollte man darauf achten, die SMC-B-Karte herauszunehmen, bevor man ein Kartenterminal entsorgt. Sie kann aufgrund ihrer geringen Größe schnell übersehen werden. Wenn der Inhaber der bisherigen SMC-B-Karte die Praxis verlässt, sollte er sie vom Anbieter sperren lassen und anschließend vernichten. Der verbleibende oder nachfolgende Arzt sollte rechtzeitig eine neue SMC-B-Karte für die Praxis beantragen.

Richtlinie & FAQs auf KBV-Onlineplattform abrufbar
Die überarbeitete Richtlinie zur IT-Sicherheit in Praxen steht auf der Onlineplattform „Hub zur IT-Sicherheit“ (https://hub.kbv.de/display/itsrl) bereit, wo zudem die Anforderungen in einer Übersicht dargestellt und entsprechend erläutert werden. Darüber hinaus sind dort Musterdokumente und FAQs zu den Inhalten der Richtlinien verfügbar. Das kostenlose Angebot bündelt Wissenswertes und dient als zentraler Anlaufpunkt für den Datenaustausch und die Kollaboration im Gesundheitswesen. Die Umsetzung der Anforderungen aus der Richtlinie sollten Praxen am besten im Team sowie mit ihrem IT-Dienstleister oder dem Anbieter des Praxisverwaltungssystems (PVS) besprechen.

Zertifizierte Online-Fortbildung
Die KBV bietet Online-Schulungen zur IT-Sicherheit an – auch für MFA. Die Schulung vermittelt Grundlagen zum Schutz vor Cyberangriffen und Systemausfällen, zeigt technische, organisatorische und personelle Schutzmaßnahmen auf und gibt praxisnahe Tipps – von der Firewall bis zur Mitarbeiterschulung. Die Teilnahme ist kostenfrei und wird bei Bestehen mit zwei CME-Punkten honoriert. Die Schulungen stehen im Fortbildungsportal der KBV bereit (https://fortbildungsportal.kv-safenet.de/snk/). Für alle, die die Fortbildungsportale der KBV nicht nutzen wollen, stellt die KBV die Inhalte der Schulungen auch als PDF-Dateien zur Verfügung.

Kostenloses Infoheft: Praxis-Sicherheit auf einen Blick
Einen guten Überblick zur IT-Sicherheitsrichtlinie finden Sie im aktualisierten Serviceheft der KBV aus der Reihe „PraxisWissen“. Das 16-seitige Heft hilft das Sicherheitsbewusstsein in den Praxen zu schärfen. Es enthält neben Informationen zu den Sicherheitsanforderungen auch eine Checkliste, Tipps sowie Beispiele für die Umsetzung von Schutzmaßnahmen in der Praxis. Das Heft ist abrufbar unter: https://www.kbv.de/praxis/digitalisierung/it-sicherheit