16.02.2021

Die neue IT-Sicherheitsrichtlinie

Dr. Dirk Potempa

Im Digitalen-Versorgungs-Gesetz (DVG) wurde die KBV verpflichtet, im Einvernehmen mit dem Bundesinstitut für Sicherheit in der Informationstechnologie (BSI) eine IT-Sicherheitsrichtlinie zu erstellen, die in den Arztpraxen umgesetzt werden muss. Die Richtlinie, die alle Praxen – ob an die Telematik angeschlossen oder nicht – betrifft, liegt jetzt vor. Im ersten Überblick wurde „der Ball flach gehalten“, vor allem auch in finanzieller Hinsicht, erfordert aber einen bewussteren Umgang mit der Praxis IT, sobald das Praxisnetzwerk in jeglicher Form an das Internet angeschlossen ist. Wirklich kostenneutral wird sich die Umsetzung denn auch nur im Idealfall bei Praxen realisieren lassen, die schon bisher ein scharfes Auge auf die Netzwerkinfrastruktur und -sicherheit hatten.

Präludium

Mit dem Beginn der Installation der ersten Konnektoren für die Telematik zeigten sich schon bald hier und dort Mängel in der Umsetzung bei dem ein oder anderen Dienstleister. Konnektoren wurde unter Umgehung der bestehenden Sicherheitsmaßnahmen der IT-Infrastruktur installiert. Überprüfte Praxen zeigten offene Zugänge aus dem Internet – vermutlich, um von außen zu Servicezwecken die Konnektoren steuern bzw. überprüfen zu können, ohne auf die Unterstützung der Praxisinhaber zurückgreifen zu müssen. Hierbei kam es denn auch mitunter zu kompletten Deaktivierungen der Firewalls der installierten Internet Router, die gewöhnlich jeglichen Zugriff von außen blockieren. Damit war das Image der sowieso schon kritisierten Telematik komplett untergraben.
Politik und Bundesministerium für Gesundheit, die die „Digitalisierung“ in den Arztpraxen unter allen Umständen voranbringen wollen, wählten denn auch eine pragmatische Lösung, um jeglicher Kritik an der Sicherheit Vorschub zu leisten:
Die Arztpraxen (und die betreuenden IT-Dienstleister) werden per Gesetz verpflichtet, die Praxisinfrastruktur so abzusichern, dass eine Kompromittierung der sensiblen Patientendaten auf ein Minimum reduziert wird.

Freilich erfordert dies nicht nur den Umgang mit den Konnektoren und der Telematik, sondern gerade auch die sonstige Kommunikation mit dem Internet, wie Browsen und Emails sowie das Handling von USB-Sticks und DVDs. Letztlich ist jede Praxis betroffen, die Ihre Praxis mit dem Internet verbindet. Unter dem Gesichtspunkt, dass die meisten Systeme unter Windows 10 arbeiten, die regelmäßige Updates erfordern, aber auch die Notwendigkeit, die Medikamentendatenbank, aber auch das Arztsystem auf dem Laufenden zu halten, ist es kaum möglich, diese Verbindung zu vermeiden.

Die KBV, die sich bis zuletzt geweigert hatte, ohne Kostenzusage der Politik, die Mehrkosten für die notwendige Infrastruktur zu erstatten, die IT-Sicherheitsrichtlinie umzusetzen, fand jetzt in Zusammenarbeit mit dem BSI eine Lösung, die den Aufwand minimiert bzw. minimieren soll.

Umsetzung

Unter www.kbv.de/html/it-sicherheit.php lässt sich die Richtlinie im Detail nachlesen.
Das wesentliche Dokument für die Beurteilung findet sich unter www.kbv.de/media/sp/RiLi___75b_SGB_V_Anforderungen_Gewaehrleistung_IT-Sicherheit.pdf

In o.g. Dokument werden die Praxen in „Praxen“, „mittlere Praxen“ und „Großpraxen“ unterteilt. Kriterium ist die Anzahl der Mitarbeiter, die „ständig mit Datenverarbeitung betraut sind“. Nach der Datenschutzgrundverordnung (DSGVO), wie sie z.B. in Bayern umgesetzt ist, ist mit „ständig“ die mehrheitliche Arbeitszeit, also mehr als 50% der Arbeitszeit, definiert. Praxen mit bis zu fünf ständig mit der Datenverarbeitung befassten Mitarbeitern werden als normale/kleine Praxis bezeichnet. Sie müssen nur der Anlage 1 folgen sowie Anlage 5, sofern sie mit der Telematik verbunden ist.
Bis zu 20 Mitarbeiter (die entsprechend o.g. Erläuterungen ständig mit der DV befasst sind) erfordern zusätzliche Maßnahmen. Deutlich mehr Aufwand wird von Praxen mit Großgeräten - wie bei Radiologen - gefordert, deren Erläuterung aber inhaltlich den Rahmen hier sprengen würde.

„Anlage 1“ definiert Maßnahmen, die man sowieso beherzigen sollte: Ein aktueller Virenscanner, der auch eingelegte USB-Sticks und DVDs überprüft, Office Produkte, wie Microsoft Word, Excel etc. dürfen nicht in der Cloud betrieben werden, Aufrufe von Seiten im Internet sollten nur verschlüsselt – also nur per https:// Verbindung – und per Login mit Zugangsnamen und Passwort betrieben werden. Neben der Firewall des Routers sollte die Firewall auf dem jeweiligen PC aktiv sein.
Die Patientendaten sollten verschlüsselt gesichert werden, Mikrofon und Kamera der PCs sollten deaktiviert und nur bei aktueller Verwendung aktiviert sein.
PCs unter Microsoft Windows sollten komplett von der Synchronisierung der Daten mit Microsoft Servern getrennt werden (keine Anmeldung per Microsoft Konto, Inaktivierung von „OneDrive“). Ähnliches ist natürlich auch bei Apple Systemen zu beachten. Mobile Geräte, wie Smartphones und Tablets müssen entsprechend abgesichert werden – am besten verbindet man sie gar nicht mit dem Praxisnetz oder verwendet sie in einem „Gastnetz“. Wer sich „stressfreier“ im Internet bewegen will, verbannt auch gleich den PC zum Surfen mit in das Gastnetz, damit keine Verbindung zum Praxisnetz besteht.

Praxen, die an die Telematik angeschlossen sind, müssen ebenso Anlage 5 umsetzen, die im Wesentlichen Punkte enthält, die bereits von der Gematik vorgegeben waren. Sie müssen zudem bei „parallel eingebundenen“ Konnektoren „zusätzliche Maßnahmen ergreifen, um die mit dem Internet verbundene Praxis auf Netzebene zu schützen“. Eine konkrete Maßnahme, wie etwa eine zusätzliche Hardware Firewall, wird nicht explizit gefordert, kann aber – je nach Interpretation des praxiseigenen ITlers - so gesehen werden. Nutzer eines Routers, der nicht den vollen Funktionsumfang bietet, wie die abgespeckten Geräte, die von den Internet Service Providern kostenlos zur Verfügung gestellt werden und keine kleinteilige Anpassung der eigenen Firewall erlauben, sollten sich sowieso nach einer „kompetenteren“ Hardware umsehen.

Letztlich muss man sich mit seinem IT-Betreuer absprechen, was sinnvoll und vor allem angemessen ist.

Die mangelnde Kompetenz mancher Mitarbeiter von IT-Firmen, die die Konnektoren angeschlossen haben, hat ebenso dazu geführt, dass nun die IT-Betreuer der Arztpraxen von der KBV zertifiziert werden müssen.

Zusammenfassend ist festzustellen, dass die Maßnahmen und Wege, die zur Gesetzgebung und IT-Sicherheitsrichtlinie geführt haben, die Praxisinfrastruktur der Praxen erhöht und die Ärzte für die IT-Sicherheit sensibilisiert, aber auch ausnahmslos alle – ob mit oder ohne Telematik – direkt zur Überprüfung des aktuellen Status Quo der eigenen IT zwingt.

Kategorie: BFAV, BVNF