.svg){kind=icon}
.png)
Neue IT-Sicherheitsrichtlinie der KBV: Was Praxen jetzt wissen und tun müssen?
Die Digitalisierung in den Arztpraxen schreitet voran und mit ihr verschärft sich auch die Bedrohungslage. Cyberangriffe auf Gesundheitseinrichtungen gehören längst nicht mehr zu den Ausnahmen. Deshalb wurde zum 1. April 2025 die IT-Sicherheitsrichtlinie der KBV grundlegend überarbeitet. Sie bringt neue Anforderungen, mehr Klarheit und auch etwas mehr Druck.
In diesem Beitrag schauen wir uns an, was die Richtlinie regelt, warum sie überhaupt entstanden ist, welche Pflichten auf welche Praxis zukommen und wie man die Umsetzung sinnvoll angehen kann!
Die erste IT-Sicherheitsrichtlinie der KBV stammt aus dem Jahr 2020 und war damals ein wichtiger Schritt hin zu mehr IT-Sicherheit in der vertragsärztlichen Versorgung. Ihre Grundlage liegt im § 390 SGB V, der mit dem Digitale-Versorgung-Gesetz von 2019 eingeführt wurde. Der Gesetzgeber hatte erkannt, dass nicht nur Kliniken, sondern auch kleinere ambulante Einrichtungen wie Hausarztpraxen zunehmend ins Visier von Angreifern geraten.
Warum eine neue Richtlinie? Kontext und Anlass
Eigentlich sieht das Gesetz eine Überarbeitung alle zwei Jahre vor, passiert ist das bisher nicht. Erst jetzt, fünf Jahre später, wurde die Richtlinie erstmals überarbeitet. Der Druck war spürbar gestiegen: Neue Technologien, die wachsende Bedeutung von Cloud-Diensten und immer professionellere Angriffe machten eine Aktualisierung zwingend notwendig.
Die KBV hat die Richtlinie nicht alleine entwickelt, sondern unter Einbeziehung von:
- dem Bundesamt für Sicherheit in der Informationstechnik (BSI) – insbesondere zur Definition des „Stands der Technik“
- dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI)
- weiteren IT-Sicherheitsexpert:innen, Verbänden und ggf. Berufsorganisationen
Die KBV hat außerdem Rückmeldungen aus der Praxis aufgenommen: Insbesondere zu Umsetzbarkeit, Aufwand und Sinnhaftigkeit einzelner Maßnahmen.
Was bedeutet das für kleine, mittlere und große Praxen?
Die KBV unterscheidet in ihrer Richtlinie grob nach folgenden Praxisgrößen:
- Kleine Praxen: bis zu 5 Mitarbeitende (IT-Nutzer), einfache IT-Infrastruktur
- Mittlere Praxen: Mehrere Ärzt:innen, 6-20 ständig mit der Datenverarbeitung betraute Personen erweiterte IT-Nutzung
- Große Praxen (z. B. Groß-MVZ mit krankenhausähnlichen Strukturen, Labore): ab 21 ständigen Mitarbeitern (mit Zugang zur Datenverarbeitung) Komplexe IT-Strukturen, mehrere Fachrichtungen, ggf. Großgeräte
Während kleine Praxen „nur“ die grundlegenden Anforderungen erfüllen müssen, kommen bei größeren Strukturen zusätzliche Anforderungen z. B. zur Netzwerksicherheit, Zutrittskontrolle oder zum sicheren Betrieb medizinischer Geräte hinzu.
Gerade für kleine Praxen kann das trotzdem eine Herausforderung sein. Vor allem, wenn bisher kaum IT-Sicherheitsprozesse etabliert wurden.
Was regelt die neue IT-Sicherheitsrichtlinie konkret?
Die überarbeitete Richtlinie ist am 1. April 2025 erschienen und tritt größtenteils am Folgetag in Kraft. Sie enthält fünf Anlagen, die sich am Stand der Technik orientieren und Anforderungen an IT-Sicherheit, Systemnutzung und organisatorische Maßnahmen definieren. Für neu hinzugekommene Anforderungen gilt eine Übergangsfrist bis zum 1. Oktober 2025.
Nicht jede Praxis muss alles umsetzen, die Größe der Praxis ist entscheidend:
- Anlage 1 (Basisanforderungen) und Anlage 5 (Telematikinfrastruktur) gelten für alle Leistungserbringer.
- Mittlere Praxen sind gefordert zusätzlich Anlage 2 umzusetzen.
- große Praxen, insbesondere bei Nutzung komplexer IT-Infrastrukturen oder bildgebender Großgeräte zusätzlich Anlage 3
Sofern in der Praxis medizinische Großgeräte wie medizinische Analysegeräte (IVD – Geräte) in Laboren , Computertomograph, Magnetresonanztomograph , Positronenemissionstomograph und Linearbeschleuniger , eingesetzt werden, sind ergänzend die Anforderungen aus Anlage 4 umzusetzen (unabhängig der Unternehmensgröße!).
Zentrale Themen der neuen IT-Sicherrichtlinie:
- Faktor Personal/Leitung: Awareness, Schulung & Verantwortung von Sicherheitsaufgaben
- Pflicht zu regelmäßigen Aktualisierung von Soft- und Firmware
- Klare Regelung zur Cloud-Nutzung (nur mit C5-Testat)
- Zugriffssicherheit (sei es der Benutzer oder das Netzwerk)
- Dokumentation und Protokollierung von und in der IT
Die Anlagen in der Übersicht:
Wichtige Inhalte:
– Umgang mit Apps und Cloud
– Passwortschutz und Benutzerverwaltung
– Basis-Schutz vor Schadsoftware
– Regelmäßige Updates von Betriebssystemen und Praxissoftware
– Regelung von Fernzugriffen
– Datensicherung (Backup)
– Dokumentation von IT-Systemen
Beispiel:
Eine Einzelpraxis nutzt ein mobiles Tablet für die Videosprechstunde. Es darf nur mit einem komplexen Passwort und einer Zwei-Faktor-Authentifizierung zugänglich sein. Außerdem wird regelmäßig geprüft, ob alle installierten Apps vertrauenswürdig sind und auf dem aktuellen Stand sind.
Wichtige Inhalte:
– Einführung eines ISMS (Informationssicherheits-Managementsystems)
– Einsatz von Mobile Device Management (MDM)
– Protokollierung und Auswertung sicherheitsrelevanter Daten
– Umsetzung eines Patch-Management-Konzepts
– Einführung von Maßnahmen zur Netzsegmentierung
Beispiel:
Ein MVZ mit 30 Mitarbeitenden setzt eine MDM-Lösung ein. Alle Smartphones und Tablets der Praxis können zentral verwaltet, Updates eingespielt oder Geräte bei Diebstahl ferngelöscht werden. Der Internetzugang für Gäste ist vom internen Netz vollständig segmentiert.
Wichtige Inhalte:
– Sichere physische Lagerung von TI-Komponenten
– Berücksichtigung der Installations- und Betriebvorgaben der Hersteller
– Schutz der Administrationszugänge (z. B. durch PIN und Protokollierung)
– Regelmäßige Aktualisierung von Firmware-
– Sicherheitskopien wichtiger Konfigurationsdaten (auch Kennwörter)
– Vermeidung unautorisierter Fremdzugriffe
Beispiel:
Die Praxis bewahrt die SMC-B-Karte in einem verschlossenen Schrank auf, wenn sie nicht genutzt wird. Die Zugangsdaten zum Konnektor sind verschlüsselt dokumentiert und nur zwei IT-Verantwortlichen bekannt.
Wichtige Inhalte:
– Detailliertere Netzwerksicherheitsmaßnahmen (Nutzung von TLS und anderen Verschlüsselungen)
– Nutzer- und Rechtekonzepte (-
– Protokollierung sicherheitsrelevanter Ereignisse
– Kontrolle und Freigabeprozesse für mobile Apps
– Richtlinien zum Einsatz Mobiler Endgeräte
– IT-Notfallplanung (z. B. für Stromausfälle oder Systemausfall)
Beispiel:
Eine Gemeinschaftspraxis mit 15 Mitarbeitenden führt ein Rollen- und Rechtekonzept ein. Medizinisches Personal hat z. B. nur eingeschränkten Zugriff auf Verwaltungsdaten, während die Praxismanagerin keinen Zugang zu Befunden hat. Zudem werden regelmäßige Notfallübungen zur Wiederherstellung der Systeme durchgeführt.
Wichtige Inhalte:
– Zugriffskontrollen und Protokollierung
– Netzsegmentierung min. durch eine Firewall
– Hersteller-Updates regelmäßig einspielen
– Härtungs-Basics Deaktivierung nicht notwendiger Schnittstellen
– Löschen nicht notwendiger Zugänge
– Physische Absicherung und gesicherte Netzwerkintegration der Geräte (Remotezugriff: verschlüsselt authentifiziert)
– Absicherung der Bilddatenübertragung (z. B. an Radiologen)
Beispiel:
Ein Röntgengerät ist über eine eigene, vom Praxisnetz getrennte Netzwerkzone angebunden. Bilddaten werden nur über verschlüsselte Übertragungswege an das Praxis-Netz oder andere Bereiche gesendet. Nur speziell berechtigtes Personal kann auf die Gerätesoftware zugreifen.
Konsequenzen
Zwar nennt die Richtlinie selbst keine direkten Strafen. Doch wer sie ignoriert, riskiert mehr als nur einen bösen Brief:
- Bei einem Datenschutzvorfall kann das DSGVO-Bußgelder nach sich ziehen.
- Wird die Richtlinie nicht beachtet, kann das als Verstoß gegen den Stand der Technik gewertet werden – und damit als Fahrlässigkeit.
- Bei einer Patientenschädigung nach einem IT-Vorfall drohen im Ernstfall sogar strafrechtliche Konsequenzen.
Hinzu kommen mögliche Haftungsrisiken gegenüber Patienten, Krankenkassen oder Versicherungen.
Praxistipps zur Umsetzung
Die neue IT-Sicherheitsrichtlinie ist mehr als nur eine Pflicht. Denn sie ist eine Notwendigkeit in einer Zeit wachsender Cyberrisiken. Wer die Umsetzung jetzt angeht, sorgt nicht nur für Sicherheit, sondern auch für Vertrauen bei Mitarbeitenden und Patienten. Die Umsetzung ist in anderen Bereichen und Richtlinien längst Praxis (Link auf NIS2). Sie sind hierbei also nicht der „Erste“ – IT-Dienstleister sind entsprechend darauf geschult.
Was also tun? Hier ein paar praktische Tipps:
- Jetzt starten: Auch wenn Oktober noch weit weg scheint – viele Maßnahmen brauchen Zeit.
- Verantwortliche benennen: Wer kümmert sich um IT-Sicherheit, wer um Schulungen?
- Schrittweise umsetzen: Fokus zuerst auf Anlage 1 & 5, dann auf erweiterte Anforderungen.
- Cloud-Dienste prüfen: Verfügt euer Anbieter über ein C5-Testat oder eine Gleichwertigkeit?
- Schulungen planen: Awareness kann auch mit einfachen Mitteln gestärkt werden – z. B. mit kurzen E-Learnings oder Posteraktionen.
- Hilfe einholen: IT ist nicht nur ein Cost-Center – die Maßnahmen können sogar ein Einstieg in eine strukturiertere IT-Organisation sein – eine Chance, die viele Praxen bislang nicht genutzt haben.
Noch Fragen zur neuen KBV-Sicherheitsrichtlinie?
Unsere Security-Experten unterstützen dabei, die Anforderungen praxisnah und rechtssicher umzusetzen. Egal ob Einzelpraxis oder MVZ. Kontaktiere uns gern. Wir sind für Dich da.
