Zum Inhalt

Große Praxis & Großgeräte

KBV-Anforderungen für große Praxen

Das Thema: Enterprise-Security im Arztpraxis-Kontext

Große Praxen – über 20 Mitarbeiter, oder Praxen mit medizinischen Großgeräten – haben ein Sicherheits-Anforderungsprofil, das über die bisherigen Kapitel hinausgeht. Es geht nicht mehr nur um Grundschutz, sondern um kontinuierliche Überwachung, systematische Sicherheitsverbesserung und formalisiertes Management.

Die KBV nennt das "erweiterte Anforderungen für große Praxen". In praktischen Worten bedeutet das: Sicherheit als kontinuierliche Aufgabe, nicht als einmalige Konfiguration.

1. Dedizierter IT-Sicherheitsbeauftragter

Anforderung: Es gibt eine Person, die IT-Sicherheit verantwortlich trägt.

Was konkret zu tun ist: - Option A – Intern: Ein Mitarbeiter wird als IT-Sicherheitsbeauftragter benannt. Das kann sein: - Ein Arzt mit IT-Verständnis - Ein technischer Mitarbeiter mit Sicherheits-Schwerpunkt - Die person hat die Verantwortung für die Sicherheits-Agenda und rapportiert an die Praxisleitung - Option B – Extern: Ein externer IT-Sicherheits-Berater oder -Consultant wird beauftragt. Er oder sie kommt regelmäßig (z.B. monatlich oder quartalsweise) in die Praxis, überprüft die Sicherheitslage, macht Empfehlungen. - Dokumentation: Eine Stellenbeschreibung oder ein Vertrag mit klaren Verantwortlichkeiten

Was der Sicherheitsbeauftragte tut: - Überprüft regelmäßig die IT-Sicherheit (monatlich oder quartalsweise) - Führt Audit-Logs-Analysen durch - Plant Sicherheits-Schulungen - Identifiziert und eskaliertrisiken - Berichtet an die Praxisleitung

Praktisch: Für viele große Praxen ist die externe Option günstiger und bessser. Ein externer Consultant kostet ca. 100-200 Euro/Stunde. Ein Quartal mit einer Stunde pro Monat = 400-800 Euro/Quartal = 1600-3200 Euro/Jahr. Das ist für eine große Praxis verkraftbar.

2. Penetrationstests

Anforderung: Mindestens einmal jährlich sollte die IT-Sicherheit durch ein externes "Penetrations-Test" überprüft werden – ein autoritativer Sicherheits-Check, bei dem Experten versuchen, Schwachstellen zu finden.

Was konkret zu tun ist: - Einen Penetrations-Test-Dienstleister beauftragen (z.B. spezialisierte IT-Sicherheits-Agenturen) - Der Tester versucht, von außen und von innen Schwachstellen zu finden: - Phishing-E-Mails an Mitarbeiter - Schwache Passwörter - Ungepatche Systeme - Netzwerk-Zugang von außen - Physischer Zugang (kann ich einfach einen USB-Stick einstecken?) - Ein Bericht wird erstellt mit Findings und Recommendations - Die Praxis behebt die Schwachstellen

Kosten: Typischerweise 2000-5000 Euro pro Jahr (abhängig von Praxisgröße und Scope)

Wichtig: Das ist nicht nur eine Kontrolle – es ist auch eine gute Übung. Mitarbeiter lernen, wenn Phishing-Tests durchgeführt werden. Das Sicherheits-Bewusstsein steigt.

3. Formales ISMS (Information Security Management System)

Anforderung: Eine dokumentierte, kontinuierliche Sicherheits-Management-Struktur.

Was konkret zu tun ist: - Ein "ISMS" ist für kleine Organisationen nicht das volle ISO 27001, sondern eine vereinfachte Version - Es enthält: - Sicherheits-Policy (bereits vorhanden in mittleren Praxen) - Asset-Inventar: Was haben wir? (Hardware, Software, Daten) - Risikoanalyse: Was sind unsere größten Risiken? - Kontroll-Katalog: Welche Sicherheits-Maßnahmen haben wir? - Incident Response Plan: Was tun wir im Notfall? - Schulungs-Plan: Wer wird trainiert, wann? - Review-Prozess: Mindestens jährlich überprüfen und anpassen

Praktisch: Das klingt aufwendig – aber es ist strukturiertes Nachdenken. Mit externer Unterstützung kann man das in 5-10 Tagen aufsetzen. Danach ist es hauptsächlich eine Wartungsaufgabe.

Kosten: 2000-5000 Euro für die initiale Erstellung mit externe Unterstützung. Danach 500-1000 Euro/Jahr für die jährliche Überprüfung.

Besonderheit: Medizinische Großgeräte

Wenn eine Praxis CT, MRT, Labor-Automation oder ähnliche Großgeräte betreibt, wird sie in die "Große Praxis"-Kategorie eingeteilt – unabhängig von der Mitarbeiterzahl.

Diese Geräte erfordern zusätzliche Sicherheits-Aufmerksamkeit: - Regelmäßige Firmware-Updates (oder Begründung, warum nicht) - Hersteller-Sicherheitsmitteilungen überwachen - Zusätzliche Netzwerk-Segmentierung - Regelmäßige Penetrationstests im Medizingeräte-Netzwerk

Das ist ein Grund, warum die KBV große Praxen stärker reguliert – die Geräte sind komplexer und riskanter.

Praktische Umsetzungs-Schritte für große Praxen

  1. IT-Sicherheitsbeauftragter benennen (1 Tag): Intern oder extern beauftragen
  2. ISMS-Erstellung (5-10 Tage mit Unterstützung): Asset-Inventar, Risikoanalyse, Kontroll-Katalog
  3. Erster Penetrationtest (2 Tage): Durchführung und Reporting
  4. Behebung von Findings (2-10 Wochen): Abhängig von Befunden
  5. Laufender Betrieb:
  6. Monatlich: Sicherheitsbeauftragter überprüft Audit-Logs
  7. Quartalsweise: Sicherheitsbesprechung mit Praxisleitung
  8. Jährlich: Penetrationtest, ISMS-Überprüfung, Schulungen

Kosten (jährlich): - IT-Sicherheitsbeauftragter (extern): 2000-3500 Euro/Jahr - Penetrationtest: 2000-5000 Euro/Jahr - ISMS-Wartung: 500-1000 Euro/Jahr - Summe: ca. 4500-9500 Euro/Jahr

Das ist für eine große Praxis ein akzeptabler Kostenpunkt – und deutlich günstiger als ein Sicherheitsvorfall.

Checkliste: KBV-Anforderungen große Praxen

  • Alle Anforderungen der mittleren Praxis sind erfüllt.
  • Ein IT-Sicherheitsbeauftragter (intern oder extern) ist benannt.
  • Der Sicherheitsbeauftragte hat eine klare Stellenbeschreibung/Vertrag.
  • Regelmäßige Überprüfungen (monatlich oder quartalsweise) sind geplant.
  • Ein formales ISMS-Dokument liegt vor mit:
  • Asset-Inventar
  • Risikoanalyse
  • Kontroll-Katalog
  • Incident Response Plan
  • Schulungs-Plan
  • Mindestens einmal jährlich wird ein Penetrationtest durchgeführt.
  • Findings aus Penetrationstests werden behoben.
  • Praxisleitung und Sicherheitsbeauftragter treffen sich regelmäßig.
  • Bei Großgeräten: Zusätzliche Netzwerk-Segmentierung existiert.
  • Sicherheits-Schulungen finden mindestens jährlich statt.