Zum Hauptinhalt springen

Interview zur Richtlinie zur IT-Sicherheit KZBV und der KBV

Der Artikel über die Richtlinien zur IT-Sicherheit der KZBV und der KBV auf unserer Seite (hier) ist der mit Abstand meistgelesene überhaupt. Das Thema scheint viele Praxisinhaber*innen sehr zu interessieren, was auch Anrufe und Mails zu diesem Thema dokumentieren.

Um Ihnen weitere Hintergründe und den praktischen Bezug aufzuzeigen, habe ich zu diesem Thema zwei IT-Sicherheitsbeauftragte befragt. Es handelt sich um Tilo Schneider, der Geschäftsführer der CRONIQ Ingenenieurgesellschaft mbH ist, und Klaus Wilke, der in gleicher Funktion bei der Firma MVS Wilke Verantwortung trägt und KBV-zertifiziert ist. Sie haben die Richtlinie umfassend unter die Lupe genommen.

Marcus Tausend Offen gesagt, war mir die Einführung der Richtlinie überhaupt nicht bewusst. Dabei wiegt umso schwerer, dass sie bereits Anfang dieses Jahres in Kraft getreten ist. Worum genau geht es denn bei dem Thema?

Tilo Schneider Die Digitalisierung hat nicht zuletzt mit dem Siegeszug des Internets kräftig an Fahrt gewonnen. Mit der Vernetzung von Computersystemen sind in diesem Zusammenhang Risiken für den Bestand von Informationen (Daten) entstanden, mit denen sich Organisationen jeder Größenordnung und aus allen Branchen konfrontiert sehen.

Spätestens seit der Jahrtausendwende beschäftigen sich daher nationale sowie internationale Experten, Unternehmen sowie Normungsinstitute mit der Entwicklung von Werkzeugen und Normen, die dem Schutz vor Cyberrisiken dienen. Für systemrelevante Organisationen hat der Gesetzgeber bereits das IT-Sicherheitsgesetz erlassen. Dabei handelt es sich vor allem um Behörden, Banken, Energiedienstleister, Unternehmen der Logistikbranche sowie um Einrichtungen der Gesundheitsversorgung. Heutzutage sieht auch das Sozialgesetzbuch Regelungen zur Informationssicherheit vor.

Klaus Wilke Aufgrund der Zunahme von Digitalisierungsprozessen sind auch in Arzt- und Zahnarztpraxen mehr Cyberangriffe festzustellen. Daher kam das Thema auf die Tagesordnung von KBV und KZBV. Das Ergebnis ist die einheitliche Sicherheitsrichtlinie, die sich an Praxen richtet.

Der übergeordnete Auftrag der Kassen lautet, die technisch-organisatorischen Maßnahmen in den Praxen gemäß Artikel 32 Datenschutz-Grundverordnung (DSGVO) zu standardisieren. Dabei beschreibt die Richtlinie ein Mindestmaß an technischen Anforderungen, um die IT-Sicherheit in den Praxen zu gewährleisten.

Marcus Tausend Wer hat denn diese Richtlinie entwickelt?

Klaus Wilke Sie wurde in Zusammenarbeit mit der KBV, KZBV und im Einvernehmen mit dem BSI (Bundesamt für Sicherheit in der Informationstechnik) erarbeitet. Es waren auch weitere Akteure wie beispielsweise der Datenschutzbeauftragte des Bundes involviert.

Tilo Schneider Betroffene sollten sich vergegenwärtigen, dass die Richtlinie das Ergebnis einer gesetzlichen Verpflichtung darstellt. Im § 75 B SGB V hat der Gesetzgeber die kassenärztliche und kassenzahnärztliche Bundesvereinigungen aufgefordert, bis zum 30. Juni 2020 in einer Richtlinie die Anforderungen zur Gewährleistung der IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung festzulegen.

Marcus Tausend Wie ist die nun fertige Richtlinie strukturiert?

Tilo Schneider Die Richtlinie orientiert sich inhaltlich an den bekannten Normen zur Informationssicherheit, die auch in anderen Branchen das Management der Informationssicherheit beschreiben. In weltweit agierenden Unternehmen wird vielfach die ISO/IEC 27001 herangezogen, um Cyberrisiken für die unternehmenseigenen Daten zu begegnen. In Deutschland stellt das Bundesamt für die Sicherheit in der Informationstechnologie (BSI) die Normenreihe BSI-200-1 bis BSI 200-3 für eine Umsetzung in den Behörden bereit. Kleine und mittlere Unternehmen - und dazu gehören per Definition auch Arzt- und Zahnarztpraxen - orientieren sich zweckmäßigerweise am Regelwerk VdS1000 0 oder jetzt auch an der IT-Sicherheitsrichtlinie der KBV.

Klaus Wilke Die Richtlinie ist sehr übersichtlich aufgebaut und orientiert sich an drei verschiedenen Praxisgrößen: Kleine Praxen, mittlere Praxen und Großpraxen mit klinikähnlicher Struktur sowie MVZs oder Labore. Des Weiteren gibt es mit der Anlage 4 einen Abschnitt, der für Praxen gedacht ist, welche mit Großgeräten wie Computertomographen arbeiten. Insgesamt gibt es fünf Anlagen, die je nach Praxisgröße zu berücksichtigen und letztlich auch umzusetzen sind:

  • Anlage 1 und 5 sind für Praxen mit bis zu fünf Mitarbeitern;
  • Anlage 1, 2 und 5 richten sich an mittlere Praxen mit 6 bis 20 Mitarbeitern;
  • Anlage 1, 2, 3 und 5 sind für Großpraxen mit über 20 Mitarbeitern mit krankenhausähnlichen Strukturen und MVZs
  • Anlage 4 ist für Praxen vorgesehen, in denen Großgeräte betrieben werden

Marcus Tausend Was folgt denn aus der Richtlinie für die Praxisinhaber*innen?

Klaus Wilke Für die Praxisinhaber*innen ist die Richtlinie ein wichtiges Hilfsmittel. Sie zeigt die zunehmende Bedeutung der Thematik IT-Sicherheit und dient dem Schutz der personenbezogenen und -beziehbaren Daten. Hier sprechen wir vor allem von Gesundheitsdaten. Diese sind naturgemäß noch sensibler als Adressangaben oder das Geburtsdatum. Daraus folgt für die Inhaber*innen von Arztpraxen eine hohe Verantwortung gegenüber den Patient*innen. Die Richtlinie gibt ihnen eine Hilfestellung dahingehend, wie in ihrer Praxis ein Mindestmaß an IT-Sicherheit garantiert werden kann.

Tilo Schneider Sämtliche mir bekannten Normen fordern von Inhabern, Geschäftsführern oder dem Top Management, dass diese die Verantwortlichkeit für die Sicherheit von Informationen in der eigenen Organisationen zur Chefsache erklären. Es ist die Aufgabe von Praxisinhabern, die Belegschaft über den Stellenwert der eigenen Daten und der Informationstechnologie in der Organisation zu informieren und den Schutz dieser Werte einzufordern.

Insbesondere aber haben diese Verantwortlichen die Aufgabe, die erforderlichen Ressourcen bereitzustellen, um Maßnahmen zum Schutz von Informationen effektiv umsetzen zu können. Ich spreche hier nicht nur von der Bereitschaft, in die Optimierung der eigenen IT-Landschaft zu investieren. Es gilt zudem die Mitarbeiter*innen zu sensibilisieren, zu schulen und gegebenenfalls einen qualifizierten Berater sowie einen leistungsfähigen IT-Dienstleister zu engagieren.

Marcus Tausend Welche Maßnahmen werden in der Richtlinie konkret verlangt?

Tilo Schneider Das Aufzählen aller detaillierter Maßnahmen würde den Rahmen dieses Interviews sprengen. Die in der Richtlinie enthaltenen Vorgaben orientieren sich grundsätzlich an den allgemein anerkannten Maßnahmen zur Informationssicherheit anhand der oben genannten Normen.

Klaus Wilke Im Detail auf die Maßnahmen einzugehen, würde - wie gesagt - zu weit führen. Zusammenfassend lässt sich festhalten, dass die Schutzziele Verfügbarkeit, Vertraulichkeit sowie Integrität der IT-Systeme und Informationen eine maßgebliche Rolle spielen. Diese gilt es in Form von geeigneten Maßnahmen zu schützen.

Marcus Tausend Was folgt aus der Richtlinie für Praxisinhaber*innen?

Klaus Wilke Als Ausgangspunkt sollten sie sich intensiv mit der in ihrer Praxis vorhandenen IT auseinandersetzen, weil sie in erster Linie für die IT-Sicherheit verantwortlich sind. Darüber hinaus lautet meinen Empfehlung, den Rat zertifizierter Berater einzuholen. Diese können einen zielführenden Maßnahmenplan erarbeiten, der von den jeweiligen eigenen IT-Dienstleistern in der Praxis umzusetzen ist.

Tilo Schneider Für eine erste Einschätzung der eigenen Praxis-IT rate ich dazu, einen vom eigenen IT-Dienstleister unabhängigen Berater zu beauftragen. Dieser Berater spricht in der Regel Klartext mit den Praxisinhaber*innen und erkennt sowohl offensichtliche wie auch weniger offensichtliche Schwachstellen in der IT-Landschaft vor Ort.

Marcus Tausend An wen können sich interessierte Praxisinhaber*innen wenden?

Tilo Schneider Wie bereits oben erwähnt, benötigen sie aus meiner Sicht die Unterstützung eines professionellen und leistungsfähigen IT-Dienstleisters, der gemeinsam mit einem externen Beauftragten für die Informationssicherheit die Praxis-IT überprüft und auf den in der Richtlinie geforderten Stand bringt.

Klaus Wilke Ich stimme meinem Vorredner absolut zu. Zertifizierte Sicherheitsbeauftragte sind die erste Adresse. Sie sind in der Lage, ein erfolgversprechendes Konzept zu entwickeln, das sich sowohl an den zuständigen IT-Dienstleister als auch an das Praxispersonal richtet.

Man muss hier ganz klar sagen, dass die Sicherheitsbeauftragten, wie mein Vorredner auch schon angemerkt hat, bei der Ausarbeitung eines Konzeptes helfen, sowohl für die Praxis als auch für den jeweiligen IT-Dienstleister, der diese Maßnahmen dann in die Praxis umsetzt.

Marcus Tausend Welche Besonderheiten sind bei der Umsetzung in einer Arztpraxis zu beachten?

Tilo Schneider Laut IT-Sicherheitsrichtlinie der KBV und KZBV orientieren sich die Anforderungen der Maßnahmen an der Größe der Praxis. Aus meiner Erfahrung der letzten 20 Jahre, in denen ich größtenteils in den Sicherheitsteams unserer Kunden im Automobil- und Bankenumfeld tätig war, müssen alle Maßnahmen zwei Kriterien gerecht werden: Handhabbarkeit und Zweckmäßigkeit.

Es ist niemandem geholfen, wenn nach der Einführung von Sicherheitsmaßnahmen ein flüssiges Arbeiten oder eine Effizienzsteigerung bei Routineaufgaben unmöglich ist. Im Zweifel haben die verantwortlichen Praxisinhaber*innen sehr wohl das Recht, Risiken einzugehen, wenn Sie sich derer bewusst sind.

Marcus Tausend Das hört sich sehr aufwendig an. Mit welchen Kosten haben Praxisinhaber*innen zu rechnen?

Klaus Wilke Eine Preiseinschätzung im Voraus ist tatsächlich sehr schwer, da viele Faktoren zu berücksichtigen sind. Es bedarf einer professionellen Analyse der vorhandenen IT-Architektur, des Nachrüstungsbedarfs sowie des erforderlichen Beratungsaufwands.

Tilo Schneider Die in der Richtlinie geforderte Umsetzung von Maßnahmen beschreibt die Einführung von technischen und organisatorischen Maßnahmen. Konkret werden unter anderem Firewall-Systeme gefordert, die sowohl als Kauf- als auch als Mietoptionen verfügbar sind. Auch für eine zentrale oder externe Backup-Lösung, die Lizenzen für einen Antivirenschutz auf den Arbeitsplätzen und dem Praxisserver sowie für die externe Sicherheitsberatung und den Betrieb der neuen Sicherheitssysteme fallen Kosten an, die je nach Anbieter sehr variieren.

Marcus Tausend In der Präambel der Richtlinie steht, dass Praxisinhaber*innen mögliche Risiken auch an Cyberrisk-Versicherungen auslagern können.  Was leisten denn derartige Datenschutz- und Cyberrisk-Versicherungen?

Tilo Schneider Es ist kein Geheimnis, dass auch die ausgefeiltesten Methoden zum Schutz von Unternehmens- und Praxisdaten keine hundertprozentige Sicherheit bieten. Aus diesem Grund empfehle ich jedem Unternehmer, die existierenden bewussten oder unbewussten Restrisiken auf alle Fälle durch eine am Markt verfügbare Versicherungen abzusichern.

Es ist absolut normal, dass Menschen im Arbeitsprozess Fehler machen. Insbesondere bei der täglichen Arbeit an modernen PC-Arbeitsplätzen kann sich ein solcher schnell zu einer rasant ausbreitenden Kettenreaktion mit weit reichenden Folgen führen. Häufig bricht das IT-System komplett zusammen, oder es werden sogar die Rechte Dritter verletzt. Hier können die ausgefeilten Leistungen moderner Cyberversicherungen Linderung bringen und die Praxisinhaber*innen vor größeren Schäden bewahren

Klaus Wilke Das sehe ich ebenso. Es gibt immer Schwachstellen, die nicht mit geeigneten Mitteln oder nur mit viel zu kostspieligen Methoden abgesichert werden können. Dafür existieren Möglichkeiten wie Versicherungen oder IT-Dienstleister, die einen Teil der Verantwortung übernehmen können.

Den Praxisinhaber*innen steht in ihrer Rolle als Unternehmer zwar frei, auf solche Angebote zu verzichten und die Restrisiken selbst zu tragen. Davon rate ich jedoch in aller Deutlichkeit ab, da die Kosten bei einem Sicherheitsvorfall enorm sein können. Es droht nicht nur ein Verlust der ärztlichen Reputation, sondern schlimmstenfalls der beruflichen Existenz Aus meiner Sicht sollten daher entsprechende Versicherungsexperten konsultiert werden.

Marcus Tausend Welche Konsequenzen müssen Praxisinhaber*innen bei einem Verstoß gegen die Richtlinie befürchten?

Klaus Wilke Das Digitale-Versorgung-Gesetz (DVG), mit dem die IT-Sicherheitsrichtlinie eingeführt wurde, sieht derzeit keine eigenen Sanktionen vor. Daraus resultiert jedoch nicht, dass die Vorgaben nicht eingehalten werden müssen. Die Richtlinie definiert Maßnahmen, die die Einhaltung der verschiedenen rechtlichen Vorgaben unterstützen. Es ist die DSGVO, die den Behörden die Möglichkeit gibt, hohe Strafen durchzusetzen, und auch im Straf- und Berufsrecht sind entsprechende Sanktionen vorgesehen.

Marcus Tausend Durch wen und wie wird die Umsetzung der Richtlinie überwacht?

Klaus Wilke Aktuell sind noch keine Kontrollen in Praxen zur Überprüfung der IT-Sicherheit oder der Umsetzung   vorgesehen. Im Grunde ist jeder Praxisinhaber dafür verantwortlich und muss die Überprüfung einmal jährlich auf Aktualität gewährleisten.

Marcus Tausend Damit sind wir bereits am Ende dieses Interviews angelangt. Euren Ausführungen habe ich das folgende Kernfazit entnommen: Neben den häufig bereits etablierten IT-Dienstleistern gibt es mit den IT-Sicherheitsbeauftragten eine zweite Expertengruppe, die für Praxisinhaber*innen hoch relevant ist, um die in der IT-Sicherheitsrichtlinie verankerten Vorgaben einzuhalten. Idealerweise wird die konzeptionelle Implementierung und Überwachung von der praktischen Umsetzung personell getrennt. Auch im Namen unserer Leser*innen, die ebenso wie ich eine Menge Neues erfahren haben dürften, danke ich Euch ganz herzlich!

 

© Marcus Tausend - Tausend Finanz GmbH 2021
© Tilo Schneider - CRONIQ Ingenieurgesellschaft mbH 2021 - www.croniq.de
© Klaus Wilke - MVS Wilke 2021 - www.mvs-sci.de

Für eine bessere Lesbarkeit verzichten wir auf eine geschlechterspezifische Differenzierung. Entsprechende Begriffe gelten im Sinne der Gleichbehandlung. Die verkürzte Sprachform hat redaktionelle Gründe und beinhaltet keine Wertung.