· Mehdi Aroui · Medical IT  · Lesedauer von ca. 4 Min.

IT-Sicherheit in der Arztpraxis: Leitfaden zur KBV-Richtlinie §75b

Medical IT zeigt, was die KBV-Richtlinie §75b konkret verlangt: acht verbindliche IT-Schutzmaßnahmen für Arztpraxen, von Antivirus und Firewall über Backup und Patchmanagement bis zur BitLocker-Verschlüsselung.

Medical IT zeigt, was die KBV-Richtlinie §75b konkret verlangt: acht verbindliche IT-Schutzmaßnahmen für Arztpraxen, von Antivirus und Firewall über Backup und Patchmanagement bis zur BitLocker-Verschlüsselung.

Die KBV-Richtlinie §75b schreibt Arztpraxen in der vertragsärztlichen und vertragszahnärztlichen Versorgung verbindliche IT-Sicherheitsmaßnahmen vor. Dieser Leitfaden erklärt, was hinter den acht Anforderungen steckt und was ihre Umsetzung im Praxisalltag bedeutet. Netzleiter als Hamburger Systemhaus hinter Medical IT ist nach §75b KBV zertifiziert und setzt diese Maßnahmen für Praxen um.

Acht Pflichtmaßnahmen im Überblick

Antiviruspflege

Auf allen Systemen, die mit Patientendaten arbeiten, muss Antivirussoftware aktiv und aktuell sein. Entscheidend ist nicht nur die Installation: Die Signaturdatenbank muss sich automatisch aktualisieren, vollständige Systemscans müssen regelmäßig laufen, und der Schutzstatus aller Geräte sollte über eine zentrale Konsole einsehbar sein.

Firewall-Einrichtung

Eine Firewall trennt das Praxisnetz vom Internet und kontrolliert den Datenverkehr in beide Richtungen. Sie verhindert unerwünschte eingehende Verbindungen und unterbindet, dass Schadsoftware unbemerkt Daten nach außen überträgt. Für Praxen mit Telematikinfrastruktur-Anbindung ist eine korrekt konfigurierte Firewall technische Grundvoraussetzung, keine Option.

Backup-Strategie

Datensicherungen müssen regelmäßig, automatisiert und nach einem dokumentierten Plan erfolgen. Drei Punkte sind dabei entscheidend: tägliche Sicherung der Praxisdaten, Aufbewahrung außerhalb des Primärservers (extern oder in der Cloud) und regelmäßige Wiederherstellungstests. Ein Backup, das nie auf Vollständigkeit geprüft wurde, bietet keine verlässliche Sicherheit.

Zentralisierte Rechteverwaltung

Über einen Windows Server oder eine vergleichbare Lösung werden Zugriffsrechte zentral vergeben und dokumentiert. Das Prinzip des geringsten Privilegs gilt: Jeder Mitarbeitende erhält nur die Rechte, die seine Aufgabe erfordert. Unbefugter Zugriff auf Patientenakten wird so strukturell ausgeschlossen.

Patchmanagement

Betriebssysteme, Praxissoftware, Browser und Sicherheitsanwendungen müssen regelmäßig mit Updates versorgt werden. Bekannte Sicherheitslücken werden so geschlossen, bevor Angreifer sie ausnutzen können. In Praxisumgebungen ist ein kontrollierter Update-Prozess wichtig, der sicherstellt, dass kritische Anwendungen nach jedem Update stabil weiterlaufen.

Notfalldokumentation

Was passiert, wenn die IT ausfällt? Praxen müssen Notfallprozesse schriftlich festhalten: Ansprechpartner, Eskalationswege, Standort der Backup-Medien und ein Kommunikationsplan für Patienten. Ohne diese Dokumentation vergehen in einer Krise wertvolle Minuten mit der Suche nach Informationen, die eigentlich jederzeit griffbereit sein müssten.

Automatische Bildschirmsperrung

Alle Arbeitsplätze müssen sich nach einer definierten Leerlaufzeit selbsttätig sperren. So ist sichergestellt, dass unbefugte Personen bei kurzer Abwesenheit des Personals keinen Zugriff auf offene Patientenakten erhalten. Eine kurze Sperrzeit, wenige Minuten, ist hier angemessen.

Festplattenverschlüsselung

Alle Datenträger, die Patientendaten enthalten, müssen vollständig verschlüsselt sein. Die KBV-Richtlinie §75b benennt Microsoft BitLocker als anerkannte Lösung. Wird ein Gerät gestohlen oder geht verloren, sind die darauf gespeicherten Daten für Unbefugte ohne den Entschlüsselungsschlüssel unlesbar.

Was das für Ihre Praxis bedeutet

Die acht Maßnahmen bilden zusammen ein Grundgerüst, das Patientendaten schützt und Haftungsrisiken reduziert. Einzelmaßnahmen greifen aber nur dann zuverlässig, wenn sie aufeinander abgestimmt sind: Ein Backup nützt wenig, wenn die Firewall Angriffe nicht erkennt, und eine Antivirussoftware ohne aktualisierte Signaturen schützt nicht vor neuen Bedrohungen.

Praxen, die den Überblick über ihren aktuellen Sicherheitsstatus behalten möchten, finden auf unserer Seite zur IT-Sicherheit und Expertise einen Ausgangspunkt. Eine detaillierte Analyse Ihrer Infrastruktur bieten wir als Netzwerkanalyse an.

Häufige Fragen

Was unterscheidet §75b KBV von anderen IT-Sicherheitsvorschriften? Die KBV-Richtlinie §75b richtet sich speziell an Praxen in der vertragsärztlichen und vertragszahnärztlichen Versorgung. Sie schreibt acht konkrete technische und organisatorische Maßnahmen vor. Andere Regelwerke wie das BSI-Grundschutz-Kompendium oder die DSGVO setzen auf einer übergeordneten Ebene an und ergänzen die §75b-Anforderungen.

Muss ich alle acht Maßnahmen gleichzeitig umsetzen? Ja, die KBV-Richtlinie §75b setzt alle acht Maßnahmen als verbindlich voraus. Eine Priorisierung ist zulässig, wenn einzelne Schritte noch in der Umsetzung sind, aber keine Ausnahme von einzelnen Anforderungen.

Wie prüfe ich, ob meine Praxis-IT die Anforderungen erfüllt? Ein strukturierter Check beginnt mit einer Bestandsaufnahme: Welche Systeme verarbeiten Patientendaten? Sind Antivirus, Firewall, Backup und Verschlüsselung auf allen relevanten Geräten aktiv und dokumentiert? Ein zertifizierter IT-Dienstleister kann diese Prüfung übernehmen und Lücken systematisch schließen.

Was leistet BitLocker konkret? BitLocker ist Microsofts Festplattenverschlüsselung und in Windows Pro sowie Enterprise enthalten. Es verschlüsselt den gesamten Datenträger, sodass ohne den hinterlegten Wiederherstellungsschlüssel kein Zugriff auf die gespeicherten Daten möglich ist. Die KBV-Richtlinie §75b benennt BitLocker ausdrücklich als anerkannte Umsetzungsoption.

Weiterlesen aus unserem Praxis-IT-Blog:

Share:
Back to Blog

Related Posts

View All Posts »