Zum Inhalt

IT-Sicherheits-Prüfliste

IT-Sicherheits-Prüfliste für Arztpraxen und MVZ

Diese Prüfliste fasst alle Checklisten des Guides in einem Dokument zusammen. Sie ist kein Test – sie ist ein Arbeitsinstrument. Gehen Sie sie einmal pro Jahr durch, oder immer dann wenn sich etwas Wesentliches ändert: neuer IT-Dienstleister, neue Mitarbeiter, Umzug der Praxis, neue Cloud-Dienste, neue medizinische Geräte am Netz.

Nicht jeder Punkt ist für jede Praxis gleich relevant. Eine Einzelpraxis ohne Mitarbeiter überspringt die Abschnitte zu Mitarbeiterverwaltung. Ein MVZ mit mehreren Standorten hat erweiterte Anforderungen. Konzentrieren Sie sich auf das, was für Ihre konkrete Situation zutrifft.

Legende: Sie = Praxisinhaber/Verantwortliche/r · IT = IT-Dienstleister · G = Gemeinsam · PVS = Praxisverwaltungssystem

1. Telematik-Infrastruktur (TI)

  • TI-Konnektor ist installiert und aktuell – Firmware-Stand regelmäßig geprüft. (IT)
  • eHBA (elektronischer Heilberufsausweis) ist vorhanden, aktuell und sicher verwahrt – nicht im Arbeitsbereich liegen lassen. (Sie)
  • eHBA wird ausschließlich für berechtigte Zugriffe genutzt – nicht dauerhaft eingesteckt. (Sie)
  • Primanota (Praxis-Konnektions-Verwaltung) ist richtig konfiguriert – nur notwendige Dienste aktiviert. (IT)
  • VPN/Proxy zur TI ist aktiv und korrekt konfiguriert – keine direkten Ports zum Internet offengelegt. (IT)
  • TI-Zertifikate sind aktuell und werden regelmäßig erneuert (vor Ablauf). (IT)
  • TI-Verbindungen werden regelmäßig getestet – monatliches Audit am einfachsten über PVS-Logs. (IT)
  • Notfallplan bei TI-Ausfall ist vorhanden: Wie läuft die Kassenabrechnung ohne TI? (Sie / IT)
  • Fallback-Zugang zur KV ist dokumentiert (Telefon, E-Mail für Notfall-Kontakt). (Sie)

2. Praxisverwaltungssystem (PVS)

  • PVS läuft auf deutschen/europäischen Servern – nicht auf US-Infrastruktur. (Sie)
  • PVS-Daten sind verschlüsselt in der Cloud oder vollständig lokal gespeichert. (IT)
  • PVS-Software wird vom Hersteller regelmäßig aktualisiert – mindestens monatliche Updates. (IT)
  • Sicherheits-Patches für die PVS werden innerhalb von 30 Tagen eingespielt. (IT)
  • PVS-Zugang erfolgt nur über starke Authentifizierung: Benutzername + Passwort + Zwei-Faktor (falls möglich). (IT)
  • Jeder Praxis-Mitarbeiter hat einen eigenen PVS-Zugang – keine gemeinsamen Accounts. (You)
  • Standard-Passwörter der PVS wurden sofort nach Installation geändert. (IT)
  • PVS-Backup wird täglich durchgeführt und regelmäßig getestet (mindestens monatlich). (IT)
  • PVS-Backups sind verschlüsselt und liegen auf einem separaten, nicht ständig angeschlossenen System. (IT)
  • PVS-Audit-Logs sind aktiviert – alle Datenzugriffe werden protokolliert. (IT)
  • Audit-Logs werden regelmäßig überprüft (mindestens quartalsweise) auf verdächtige Zugriffe. (G)
  • Archivfunktion in der PVS für alte Patienten ist aktiv – Datensätze nach Ablauf der Aufbewahrungsfrist werden archiviert/gelöscht. (Sie / IT)
  • PVS-Herstellersupport ist aktiv – Sie erhalten Benachrichtigungen bei Sicherheitsproblemen. (IT)
  • Notfall-Zugang zur PVS (z. B. Read-Only-Modus ohne Verschlüsselung) ist dokumentiert für den Fall eines Ausfalls. (IT)

3. Medizinische Geräte am Netzwerk

  • Bestandsliste aller medizinischen Geräte am Netzwerk ist vorhanden (EKG, Blutdruckmessgeräte, PACS-Systeme, etc.). (Sie / IT)
  • Jedes Gerät hat eine Inventarnummer und einen Standort dokumentiert. (Sie)
  • Firmware und Software aller Geräte werden regelmäßig aktualisiert (falls Updates verfügbar sind). (IT)
  • Alte/EOL-Geräte (End-of-Life) ohne Hersteller-Support werden identifiziert und ggf. ausgebaut. (Sie / IT)
  • Medizinische Geräte sind vom eigentlichen Arbeitsnetwork isoliert – oder nur über VPN erreichbar. (IT)
  • Standardzugangsdaten (Admin-Passwörter) aller Geräte wurden geändert. (IT)
  • Ein Geräte-Manager (Person oder IT-Dienstleister) ist benannt, der für Updates und Wartung zuständig ist. (Sie)
  • Wenn Geräte das Internet brauchen (z. B. Cloud-Upload von Messwerten): Verbindung ist verschlüsselt und Datenschutzerklärung des Herstellers geprüft. (IT)

4. Domain & DNS

  • Sie sind der registrierte Inhaber Ihrer Domain – nicht Ihr Webdesigner oder Hoster. (Sie)
  • Sie haben Zugang zum Konto bei Ihrem Registrar und kennen das Passwort. (Sie)
  • Die automatische Verlängerung Ihrer Domain ist aktiviert und die Zahlungsmethode ist aktuell. (Sie)
  • Das Ablaufdatum Ihrer Domain ist in Ihrem Kalender eingetragen (als Erinnerung 3 Monate vorher). (Sie)
  • Sie haben eine Kopie Ihrer DNS-Einträge im Notfalldokument. (Sie)
  • Sie wissen, wie Sie im Notfall den A-Record und den MX-Record Ihrer Domain ändern können. (Sie)
  • DNSSEC ist aktiviert (wenn Registrar dies anbietet). (IT)

5. E-Mail und Kommunikation

  • Ihre geschäftliche E-Mail läuft über eine eigene Domain – nicht über @gmail.com, @web.de o. ä. (Sie)
  • E-Mail-Provider läuft auf europäischen Servern – nicht auf US-Infrastruktur (Gmail/Outlook sind nicht geeignet). (Sie)
  • SPF-Record ist eingetragen und korrekt – geprüft mit mxtoolbox.com. (IT)
  • Alle Dienste, die E-Mails in Ihrem Namen versenden, sind im SPF-Record aufgeführt. (IT)
  • DKIM ist für alle sendenden Dienste eingerichtet. (IT)
  • DMARC ist eingerichtet – mindestens mit p=none und einer Reporting-Adresse. (IT)
  • Spam-Filter ist aktiv und wird regelmäßig überprüft. (IT)
  • E-Mail-Anhänge werden auf Viren geprüft. (IT)
  • Ihre E-Mails werden lokal archiviert und sind Teil Ihres Backups – nicht nur Cloud. (IT / Sie)
  • Sie haben eine alternative E-Mail-Adresse bei einem anderen Anbieter (für Notfall). (Sie)
  • Ihre Patienten kennen mindestens eine weitere Möglichkeit, Sie zu erreichen (Telefon, SMS). (Sie)
  • Sie wissen, wie Sie den MX-Record Ihrer Domain ändern können, wenn Sie den E-Mail-Anbieter wechseln müssen. (Sie)
  • Mitarbeiter sind für Phishing und verdächtige E-Mails sensibilisiert – regelmäßig schulen. (Sie)
  • Sie überprüfen regelmäßig (mindestens monatlich) die Authentifizierungs-Logs Ihres E-Mail-Anbieters auf verdächtige Zugriffe. (Sie / IT)

KIM (Kommunikation im Medizinwesen) – falls vorhanden:

  • KIM-Adresse ist registriert und aktiv. (Sie / IT)
  • KIM wird für Arztbriefe und Befunde genutzt – als sichere Alternative zu E-Mail. (Sie)
  • KIM-Verbindung wird regelmäßig getestet (mindestens monatlich). (IT)

6. Passwörter & Zwei-Faktor-Authentifizierung

  • Sie nutzen einen Passwort-Manager für alle wichtigen Dienste (PVS, E-Mail, Cloud, KIM, etc.). (Sie)
  • Passwort-Manager selbst ist geschützt: Starkes Master-Passwort, lokal gespeichert oder in Offline-Backup. (Sie)
  • Jeder Dienst hat ein eigenes, starkes Passwort – kein Passwort wird mehrfach verwendet. (Sie)
  • Passwort-Manager wird regelmäßig aktualisiert und die Datenbank wird gebackuppt. (Sie / IT)
  • Sie haben Ihre E-Mail-Adresse auf haveibeenpwned.com geprüft. (Sie)
  • Standard-/Werkspasswörter wurden bei allen Geräten und Diensten geändert. (IT / Sie)
  • Keine Passwörter in unverschlüsselten Dateien oder auf Post-its. (Sie)
  • 2FA ist für E-Mail-Konto aktiv. (Sie)
  • 2FA ist für alle Cloud-Dienste aktiv (PVS-Cloud, Cloud-Speicher, etc.). (Sie)
  • 2FA ist für VPN/Remote-Zugriff aktiv. (IT)
  • Sie nutzen TOTP (App wie Authenticator oder Authy) statt SMS als zweiten Faktor, wo immer möglich. (Sie)
  • Backup-Codes für alle 2FA-geschützten Dienste sind sicher aufbewahrt – nicht nur auf dem Smartphone. (Sie)
  • Die wichtigsten Zugangsdaten sind im Notfalldokument dokumentiert (verschlüsselt oder offline). (Sie)
  • Passwort-Policy für alle Mitarbeiter ist dokumentiert (Mindestlänge, Wechselfristen, Wiederverwenden-Verbot). (Sie)

7. Endgeräte & Updates

  • Automatische Updates sind für Betriebssystem auf allen Geräten aktiviert. (IT / Sie)
  • Browser werden automatisch aktualisiert. (IT)
  • Browser-Erweiterungen sind auf das Minimum reduziert und aktuell. (Sie)
  • Praxismanagement-Software und Fachsoftware werden mindestens quartalsweise manuell auf Updates geprüft. (Sie / IT)
  • Router-Firmware ist aktuell. (IT / Sie)
  • NAS-Firmware und NAS-Pakete sind aktuell (falls NAS vorhanden). (IT / Sie)
  • Sie haben geprüft, ob eingesetzte Software noch im Hersteller-Support ist (kein End-of-Life). (IT / Sie)
  • Ein einfaches Software-Inventar mit Versionsständen ist angelegt. (IT / Sie)
  • Alle Praxis-Smartphone haben eine starke Bildschirmsperre und aktuelle Software. (Sie)
  • Die Fernlösch-Funktion ist auf Laptop und Smartphone eingerichtet und getestet. (IT)
  • Sie wissen, was Sie in den ersten Stunden nach einem Gerätediebstahl tun müssen. (Sie)
  • Kein lokaler Admin-Account wird für den Alltag genutzt – Arbeitsbenutzer ohne Admin-Rechte. (IT)
  • Bildschirmsperre greift nach spätestens 5 Minuten Inaktivität. (IT / Sie)
  • Keine unbekannten USB-Geräte werden angeschlossen (USB-Geräte sind deaktiviert oder per Policy blockiert). (Sie)
  • Alte/EOL-Geräte (außer Garantie) werden aus dem Netzwerk entfernt oder neu aufgesetzt. (IT)

8. Verschlüsselung

  • Festplattenverschlüsselung ist auf allen Laptops aktiv (FileVault / BitLocker / LUKS). (IT)
  • Bei BitLocker: Die Online-Speicherung des Schlüssels ist geprüft und eine bewusste Entscheidung getroffen. (Sie)
  • Der Wiederherstellungsschlüssel ist sicher aufbewahrt – getrennt vom Gerät. (Sie)
  • Praxis-Server/NAS: Festplatte ist verschlüsselt. (IT)
  • Alle Smartphone haben eine Bildschirmsperre – damit ist die Geräteverschlüsselung aktiv. (Sie)
  • Mein NAS verschlüsselt zumindest die Ordner mit sensiblen Daten (Patientenakten, Abrechnungen). (IT / Sie)
  • Externe Festplatten und USB-Sticks mit Patientendaten sind verschlüsselt. (IT / Sie)
  • Für besonders sensible Cloud-Daten wird clientseitige Verschlüsselung genutzt (z. B. mit Cryptomator). (Sie / IT)
  • E-Mails mit Befunden oder Diagnosen werden verschlüsselt versendet (S/MIME oder PGP). (Sie / IT)

9. Backups

  • Sie haben mindestens zwei Backup-Kopien Ihrer Daten – zusätzlich zum Original (3-2-1-Regel). (IT / Sie)
  • Ihre Backups liegen auf mindestens zwei verschiedenen Medien oder Diensten. (IT / Sie)
  • Mindestens eine Backup-Kopie befindet sich außerhalb Ihrer Praxis oder an einem physisch getrennten Standort. (IT / Sie)
  • Sie nutzen eine echte Backup-Lösung (z. B. Veeam, Duplicati) – keine reine Cloud-Synchronisierung wie OneDrive oder Dropbox. (IT)
  • PVS-Backups werden täglich durchgeführt. (IT)
  • Backups bewahren Versionen für mindestens 30 Tage auf (für Ransomware-Wiederherstellung). (IT)
  • Ihre externe Backup-Festplatte ist nicht dauerhaft angeschlossen – oder Sie nutzen Object Lock/Immutable Backups. (IT / Sie)
  • Alle Backups – lokal und in der Cloud – sind verschlüsselt. (IT)
  • Bei Cloud-Backups ist clientseitige Verschlüsselung aktiv (Daten sind verschlüsselt, bevor sie in die Cloud gehen). (IT)
  • Der Verschlüsselungsschlüssel ist sicher und getrennt vom Backup aufbewahrt. (Sie)
  • Sie erhalten aktive Benachrichtigungen, wenn ein Backup fehlschlägt – und überprüfen diese täglichen Berichte. (IT / Sie)
  • Sie haben Ihr Backup zuletzt getestet und die Wiederherstellung funktioniert (Restore-Test). (IT / Sie)
  • Patientendaten und Abrechnungsdaten werden mindestens 10 Jahre aufbewahrt (nach § 630f BGB, § 147 AO). (Sie)

Falls NAS vorhanden:

  • Sie wissen, dass RAID kein Backup ist – Sie haben ein separates Backup Ihres NAS. (Sie)
  • Das NAS-Backup enthält eine physisch getrennte Kopie und eine Offsite-Kopie. (IT / Sie)
  • Auf Ihrem NAS laufen nur Dienste, die Sie aktiv nutzen – alle anderen sind deaktiviert. (IT)
  • Das NAS ist nicht direkt aus dem Internet erreichbar – oder der Zugang ist per VPN abgesichert. (IT)
  • Standard-Passwort des NAS wurde geändert. (IT)

10. Netzwerk & Internet

  • Router-Modell und Firmware sind aktuell. (IT / Sie)
  • Standard-Passwort des Routers wurde geändert. (IT / Sie)
  • Gäste-WLAN ist vom Arbeitsnetz getrennt – Patienten/Besucher nutzen anderes WLAN. (IT)
  • WLAN-Verschlüsselung ist WPA2 oder WPA3. (IT / Sie)
  • WLAN-Passwort ist stark und wird regelmäßig geändert (mindestens jährlich). (Sie / IT)
  • Fernzugriff (Remote) läuft über VPN, nicht über offene Ports wie RDP direkt aus dem Internet. (IT)
  • VPN ist mit starker Authentifizierung geschützt (2FA oder Zertifikat). (IT)
  • Ihre Zugangsdaten für den Internetanschluss sind notiert und im Notfalldokument. (Sie)
  • Sie haben ein aktuelles Backup der Router-Konfiguration. (IT)
  • Sie wissen, wie Sie Ihren Smartphone-Hotspot aktivieren – und haben ihn getestet. (Sie)
  • Ihr Mobilfunktarif erlaubt Hotspot-Nutzung. (Sie)
  • Die Störungs-Hotline Ihres Internet-Providers ist im Notfalldokument eingetragen. (Sie)
  • In öffentlichen WLANs nutzen Sie eine VPN-Verbindung – nicht die offene WLAN. (Sie)
  • Das automatische Verbinden mit bekannten WLANs ist auf Ihren Geräten deaktiviert (Sicherheitsrisiko). (Sie / IT)
  • Netzwerk-Segmentierung ist vorhanden: Patientendaten-Netzwerk ist vom Gäste-Netzwerk getrennt. (IT)

11. Cloud-Dienste & Online-Speicher

  • Ihre wichtigsten Cloud-Daten sind Teil Ihres normalen Backups – nicht nur in der Cloud. (IT / Sie)
  • Alle Cloud-Anbieter laufen auf europäischen Servern – US-Cloud (AWS, Google Cloud, Azure) ist für Patientendaten nicht geeignet. (Sie / IT)
  • Als Wiederherstellungskontakt ist eine E-Mail-Adresse hinterlegt, die nicht beim selben Anbieter liegt. (Sie)
  • Sie nutzen für kritische Funktionen nicht ausschließlich einen einzigen Cloud-Anbieter – Vendor-Lock-in vermeiden. (Sie)
  • Sie wissen, wo Sie den Support Ihrer wichtigsten Cloud-Anbieter erreichen – Kontaktdaten sind notiert. (Sie)
  • Ihre wichtigsten laufenden Daten sind auch lokal verfügbar – nicht nur in der Cloud. (Sie / IT)
  • Datenstandort Ihrer Cloud-Dienste ist bekannt und DSGVO-konform (EU/EWR). (Sie / IT)
  • Exit-Strategie ist vorhanden: Sie können Ihre Daten bei Bedarf jederzeit exportieren/migrieren. (Sie / IT)
  • Auftragsverarbeitungsverträge (AVV) mit allen Cloud-Anbietern sind vorhanden und aktuell. (Sie / IT)
  • Zwei-Faktor-Authentifizierung ist für alle Cloud-Konten aktiv. (Sie)

12. Virenschutz & Schutz vor Schadsoftware

  • Virenschutz-Software ist auf allen Geräten installiert und aktuell. (IT / Sie)
  • Automatische Signatur-Updates sind aktiv. (IT)
  • Ransomware-Schutz ist aktiviert. (IT)
  • Web-Filter / DNS-Schutz für gefährliche/bösartige Websites ist aktiv. (IT)
  • Browser und Browser-Plugins sind aktuell und auf das Minimum reduziert. (IT / Sie)
  • Es werden keine raubkopierten oder nicht vertrauenswürdigen Softwarequellen genutzt. (Sie)
  • Lizenzen des Virenschutzes sind aktuell und nicht abgelaufen. (Sie / IT)
  • Geplante Scans sind aktiv (mindestens wöchentlich bei kritischen Systemen). (IT)

13. Social Engineering & Phishing

  • Sie prüfen die tatsächliche Absenderadresse bei verdächtigen E-Mails – nicht nur den Anzeigenamen. (Sie)
  • Sie klicken nicht auf Links in E-Mails, die Sie nicht erwartet haben – Sie rufen die Website direkt auf. (Sie)
  • Sie öffnen keine Anhänge aus unbekannten oder verdächtigen Quellen. (Sie)
  • Geänderte Bankverbindungen werden immer telefonisch mit dem Absender bestätigt – niemals per E-Mail. (Sie)
  • Sie wissen, was Sie tun müssen, wenn Sie auf eine Phishing-Mail hereingefallen sind (Session-Terminierung, Passwort-Änderung, ggf. Anzeige). (Sie)
  • Sie wissen, wo Sie in Ihren wichtigsten Diensten (PVS, E-Mail, Cloud) alle aktiven Sitzungen beenden können. (Sie)
  • Mitarbeiter sind für Phishing sensibilisiert – regelmäßig Schulung und Simulation. (Sie)
  • Ihre Mitarbeiter kennen die Eskalationskette: An wen wenden Sie sich bei verdächtigen E-Mails? (Sie)

14. KI-Tools sicher nutzen

  • Sie wissen, welche KI-Tools Sie nutzen und wie diese Ihre Daten verarbeiten. (Sie)
  • Sie geben keine personenbezogenen Patientendaten in öffentliche KI-Tools (ChatGPT, Copilot, Claude Free) ein. (Sie)
  • Sie haben die Datenschutzeinstellungen Ihres KI-Tools geprüft – insbesondere ob Eingaben zum Training genutzt werden. (Sie)
  • Sie nutzen ärztliche Schweigepflicht-Anforderungen nicht transparent um KI-Tools, die diese nicht erfüllen. (Sie)
  • Sie prüfen KI-Output auf Fakten und Richtigkeit, bevor Sie diese an Patienten weitergeben (KI-Halluzinationen!). (Sie)
  • Sie haben mit Patienten ggf. geklärt, ob der Einsatz von KI in ihrer Behandlung erlaubt ist. (Sie)
  • Sie laden keine biometrischen Daten (Fotos von Patienten, Stimme, Videos) in KI-Tools hoch. (Sie)
  • Auftragsverarbeitungsvertrag (AVV) mit KI-Anbieter ist vorhanden, wenn Sie personenbezogene Patientendaten verarbeiten. (Sie / IT)

15. Datenschutz & DSGVO

  • Sie führen ein Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO. (Sie)
  • Für jede Verarbeitungstätigkeit ist eine Rechtsgrundlage nach Art. 6 DSGVO benannt. (Sie)
  • Art. 9 DSGVO (Gesundheitsdaten) ist in Ihrem VVT berücksichtigt. (Sie)
  • Drittlandübermittlungen sind im VVT dokumentiert – mit der jeweiligen Garantie (SCCs, DPF o. ä.). (Sie)
  • Wichtig: EU-US Data Privacy Framework ist für Gesundheitsdaten NICHT ausreichend – meiden Sie US-Anbieter. (Sie)
  • Löschfristen sind für jede Datenkategorie festgelegt und werden eingehalten (insbesondere 10 Jahre für Patientenakten). (Sie)
  • Die TOMs (Technische und Organisatorische Maßnahmen) sind im VVT dokumentiert – Verschlüsselung, Backup, Zugangsschutz. (Sie)
  • Ihre Datenschutzerklärung auf der Website ist deckungsgleich mit dem VVT. (Sie)
  • Datenschutzbeauftragter ist bestellt, falls erforderlich (meist: ja, für Arztpraxen ab 10 Personen oder bei automatisierter Datenverarbeitung). (Sie)
  • Sie wissen, wie Sie auf Auskunfts- oder Löschanfragen von Patienten reagieren (Art. 15, 17 DSGVO). (Sie)
  • Cookie-Banner (falls Website vorhanden) ermöglicht echte Ablehnung ohne Umwege. (Sie)
  • Newsletter-Verteiler (falls vorhanden) basiert auf dokumentierten Double-Opt-in-Einwilligungen. (Sie)
  • Kontaktdaten Ihrer zuständigen Landesdatenschutzbehörde sind im Notfalldokument. (Sie)
  • Sie wissen, was im Falle einer Datenpanne zu tun ist – Meldung innerhalb von 72 Stunden (Art. 33 DSGVO). (Sie)

Auftragsverarbeitungsverträge (AVV):

  • AVV mit IT-Dienstleister ist geschlossen und aktuell. (Sie)
  • AVV mit PVS-Anbieter ist vorhanden. (Sie)
  • AVV mit allen genutzten Cloud-Anbietern ist vorhanden. (Sie)
  • AVV mit KIM-Anbieter ist vorhanden (falls KIM genutzt). (Sie)
  • AVV mit Hosting-Provider / Website-Betreiber ist vorhanden. (Sie)
  • AVV mit allen medizinischen Partnern (Labore, Radiologien, überweisende Ärzte) ist vorhanden. (Sie)
  • Alle AVVs sind aktuell und vollständig – jährliche Prüfung. (Sie)
  • Verschwiegenheitsverpflichtungen nach § 203 Abs. 4 StGB sind in alle Verträge mit Partnern aufgenommen. (Sie)

16. Berufsgeheimnis & ärztliche Schweigepflicht (§ 203 StGB, § 630f BGB)

  • Sie wissen, dass Sie als Arzt der Schweigepflicht unterliegen und § 203 StGB zum Schutz Ihrer Patientendaten. (Sie)
  • Alle Endgeräte, auf denen geschützte Patientendaten gespeichert oder verarbeitet werden, sind verschlüsselt. (IT)
  • Alle Mitarbeiter sind schriftlich zur Verschwiegenheit verpflichtet (idealerweise mit Verweis auf § 203 StGB). (Sie)
  • Bei Ausscheiden von Mitarbeitern werden alle Zugangsdaten zum PVS geändert und Geräte zurückgegeben/gelöscht. (Sie / IT)
  • Mit jedem externen Dienstleister (IT, Labore, Radiologie, überweisende Ärzte) liegt ein Auftragsverarbeitungsvertrag vor. (Sie)
  • Dienstleisterverträge enthalten das Need-to-know-Prinzip: Der Partner erhält nur die Daten, die er konkret braucht. (Sie)
  • Dienstleisterverträge regeln die Subunternehmerbeauftragung: Darf der Partner Unterstützer nutzen? (Sie)
  • Sie halten sich an die Richtlinien Ihrer Kassenärztlichen Vereinigung oder der KBV. (Sie)
  • Die KBV-Sicherheitsrichtlinie (IT-Sicherheitsrichtlinie nach § 390 SGB V) ist bekannt und Anforderungen sind umgesetzt. (Sie / IT)

17. KBV-Sicherheitsrichtlinie Compliance (Kassenärzte)

  • Sie kennen die KBV-Sicherheitsrichtlinie und deren Anforderungen. (Sie)
  • Alle Anforderungen zu Passwörtern sind umgesetzt (Mindestlänge, Komplexität, Wechselfristen). (IT)
  • Anforderungen zu Verschlüsselung (Festplatte, Transport) sind umgesetzt. (IT)
  • Anforderungen zu Zugangsschutz und Rechteverwaltung sind umgesetzt. (IT)
  • Anforderungen zu Dokumentation und Audit-Logging sind umgesetzt. (IT)
  • Sicherheitsincidents werden dokumentiert und gemeldet (an KBV, wenn relevant). (Sie / IT)
  • Regelmäßige Sicherheits-Schulungen für Mitarbeiter sind durchgeführt. (Sie)
  • Ein Sicherheitsverantwortlicher (Person oder Rolle) ist benannt. (Sie)

18. Website & Online-Präsenz

  • Ihr Impressum enthält alle Pflichtangaben – E-Mail-Adresse und mindestens einen weiteren Kontaktweg. (Sie)
  • Das Impressum ist über einen gut sichtbaren Link auf jeder Seite erreichbar. (Sie)
  • Ihre Datenschutzerklärung ist vollständig und deckt alle Dienste ab, die Sie tatsächlich nutzen. (Sie)
  • Sie überprüfen Impressum und Datenschutzerklärung mindestens jährlich. (Sie)
  • Alle Bilder auf Ihrer Website stammen aus eigener Erstellung oder von lizenzierten Quellen. (Sie)
  • Für alle Fotos mit erkennbaren Personen (Patienten, Mitarbeiter) haben Sie schriftliche Einwilligungen. (Sie)
  • Alle eingesetzten Schriften (Fonts) sind für kommerzielle Nutzung lizenziert. (Sie)
  • Ihre SSL-Konfiguration ist aktuell (mindestens TLS 1.2, idealerweise TLS 1.3). (IT)
  • SSL-Zertifikat ist aktuell und wird vor Ablauf erneuert. (IT)
  • Sie überprüfen die SSL-Bewertung Ihrer Website regelmäßig (https://www.ssllabs.com/). (IT)
  • Sie nutzen einen automatischen Scanner, um die Website auf neue Tracker zu prüfen. (Sie / IT)
  • Google Analytics und ähnliche Tracking-Tools sind datenschutzkonform konfiguriert (mit Anonymisierung). (Sie)
  • Ihre Kontaktformulare nutzen HTTPS und haben einen CAPTCHA-Schutz gegen Bots. (IT)

19. Notfallplanung & Krisenmanagement

Vorbereitung:

  • Kontaktdaten der zuständigen Landesdatenschutzbehörde sind im Notfalldokument. (Sie)
  • Kontaktdaten der ZAC (Zentrale Ansprechstelle Cybercrime) sind im Notfalldokument. (Sie)
  • Kontaktdaten der KV Ihres Bundeslandes sind im Notfalldokument. (Sie)
  • BSI-Warnmeldungen sind abonniert (bsi.bund.de). (Sie)
  • Ein IT-Dienstleister mit Incident-Response-Erfahrung und PVS-Kenntnissen ist identifiziert. (Sie)
  • Ein auf Medizinrecht spezialisierter Anwalt ist identifiziert (für Notfall-Fragen zu Datenschutz). (Sie)
  • Eine zweite E-Mail-Adresse bei einem anderen Anbieter ist eingerichtet. (Sie)
  • Eine Offline-Patientenliste (Name, Geburtsdatum, Versicherungsdaten, Allergien, Dauermedikation) ist aktuell. (Sie)
  • Offline-Kontaktliste für Partner (Labore, Überweisungs-Ärzte, Kliniken, Apotheken) mit Telefonnummern. (Sie)
  • Praxis-Telefonnummer und -Adresse sind auf Website und Aushängen prominent platziert. (Sie)
  • Papierformulare für Notfallbetrieb sind vorgehalten (Patientenerfassung, Rezepte, Arbeitsunfähigkeit). (Sie)
  • Ihr aktuellstes Backup liegt offline – nicht synchronisiert mit dem Primärsystem. (IT)
  • Cyber-Versicherung ist vorhanden; Notfall-Hotline ist im Notfalldokument. (Sie)
  • Notfall-Kontaktliste ist auch analog (auf Papier) verfügbar – nicht nur digital. (Sie)

Sofortmaßnahmen bei einem Vorfall:

  • Betroffenes Gerät/System sofort vom Netz getrennt (Ethernet, WLAN, Bluetooth). (Sie)
  • NAS/externe Festplatten vom Netz getrennt (falls vorhanden). (Sie)
  • Cloud-Synchronisation von anderen Geräten pausiert. (Sie)
  • Dokumentation des Vorfalls gestartet (was, wann, was getan – Timeline). (Sie)
  • Analyse: Welche Patientendaten sind betroffen? (Diagnosen, Medikationen, Stammdaten?) (Sie / IT)
  • IT-Dienstleister informiert. (Sie)
  • Datenschutzbehörde informiert, wenn Datenpanne vorliegt (72-Stunden-Frist, Art. 33 DSGVO). (Sie / IT)
  • KV informiert, falls PVS betroffen oder Kassenabrechnung beeinträchtigt. (Sie)
  • Strafanzeige erstattet (Aktenzeichen notieren). (Sie)
  • Cyber-Versicherung informiert. (Sie)
  • Betroffene Patienten informiert – proaktiv, ehrlich, konkret (falls hohes Risiko). (Sie)
  • Passwörter von einem sauberen Gerät aus geändert. (Sie)
  • Notfallbetrieb mit Papierformularen gestartet. (Sie)

Bei Ransomware zusätzlich:

  • nomoreransom.org geprüft – gibt es ein kostenloses Entschlüsselungstool? (Sie / IT)
  • Nicht gezahlt ohne vorherigen rechtlichen Rat. (Sie)
  • Kommunikation mit Erpressern dokumentiert (falls sie eine Nachricht hinterlassen haben). (Sie)
  • Bei Double-Extortion-Drohung: Anwalt und ZAC kontaktiert. (Sie)

Wiederherstellung:

  • Einfallstor identifiziert und geschlossen, bevor das System wieder online geht. (IT)
  • System/PVS vollständig neu aufgesetzt – kein Bereinigen ohne Neuinstallation. (IT)
  • PVS vom Hersteller bestätigt „sauber" und aktuell. (IT)
  • Backup aus dem Zeitraum vor der Infektion verwendet (mindestens 2-4 Wochen zurück). (IT)
  • Backup vor dem Zurückspielen auf Schadsoftware geprüft. (IT)
  • TI-Authentifizierung (eHBA/Konnektor) neu überprüft und ggf. neu konfiguriert. (IT)
  • Alle Passwörter geändert, bevor das System produktiv genutzt wird. (Sie)
  • Kassenpatienten und KV über Wiederaufnahme des Betriebs informiert. (Sie)
  • Verspätete Abrechnungsdaten mit KV klären. (Sie)

20. Digitaler Nachlass & Notfallvollmacht

  • Es gibt eine Vertrauensperson, die im Notfall handeln kann und weiß, dass sie diese Rolle hat. (Sie)
  • Diese Person weiß, wo das Notfalldokument liegt – und wie sie darauf zugreifen kann. (Sie)
  • Das Notfalldokument enthält klare Anweisungen für den Ausfall- oder Todesfall. (Sie)
  • Sie haben eine schriftliche Vollmacht vorbereitet oder zumindest geprüft, ob Sie eine brauchen. (Sie)
  • Das Thema ist in Ihrem Testament oder Ihrer Nachlassplanung berücksichtigt. (Sie)
  • Praxisfortführung ist im Notfall geklärt: Wer übernimmt die Praxis? Wer hat Zugriff auf Patientendaten? (Sie)
  • Patientendaten-Verwaltung nach Praxisschließung ist rechtlich geklärt (üblicherweise: an Nachfolger oder Archiv). (Sie)

21. Regelmäßige Sicherheitsroutine

  • Monatlicher Kalendertermin „IT-Kurzcheck" (15 Min.) ist eingerichtet. (Sie)
  • E-Mail-Log auf verdächtige Zugriffe prüfen
  • Backup-Status überprüfen (Erfolg/Fehler)

  • Neue Sicherheitswarnungen vom BSI checken

  • Quartalsweiser Kalendertermin „IT-Wartung" (60 Min.) ist eingerichtet. (Sie / IT)

  • Router-Firmware überprüfen
  • Alle Passwörter auf Stärke überprüfen (ggf. erneuern)
  • Alle 2FA-Codes überprüfen

  • Backup-Test durchführen (Restore-Test)

  • Jährlicher Kalendertermin „IT-Jahrescheck" (halber Tag) ist eingerichtet. (Sie / IT)

  • Gesamte Checkliste durchgehen
  • VVT aktualisieren (neue Dienste?)
  • AVVs überprüfen und aktualisieren
  • Mitarbeiter-Schulung durchführen

  • Notfalldokument aktualisieren

  • Sie sind beim BSI-Newsletter angemeldet oder nutzen Have I Been Pwned für monatliche Leck-Prüfung. (Sie)

  • Sie führen eine Liste der Zugänge für Dritte, die Sie monatlich überprüfen – wer hat noch Zugang? (Sie)
  • Ihr Notfalldokument hat ein Datum der letzten Aktualisierung (sollte jährlich erneuert werden). (Sie)
  • Passwörter für kritische Konten werden mindestens jährlich geändert. (Sie)
  • Backup-Test wird mindestens halbjährlich durchgeführt. (IT)
  • IT-Sicherheits-Schulung für Mitarbeiter wird mindestens jährlich durchgeführt. (Sie)

Zusammenfassung: Prioritäten für den Anfang

Falls Sie mit dieser Checkliste überfordert sind – machen Sie zuerst diese essentiellen Punkte:

  1. Backups: Tägliche Backups mit 30-Tage-Versionierung, mindestens eine Kopie offline.
  2. Verschlüsselung: Alle Festplatten verschlüsselt, PVS-Backups verschlüsselt.
  3. Passwörter: Passwort-Manager, starke Passwörter, 2FA für E-Mail und Cloud.
  4. PVS-Sicherheit: Auf europäischem Server, AVV vorhanden, regelmäßig aktualisiert.
  5. Datenschutz: VVT vorhanden, Datenschutzerklärung, AVVs mit allen Partnern.
  6. Notfallplan: Notfalldokument mit Kontakten, Offline-Patienten-/Partnerliste.

Diese sechs Punkte schützen Sie vor den meisten häufigen Angriffsszenarien. Alles andere ist Optimierung.