NrZielobjektAnforderungErläuterungweitere Informationen
1.PersonalGeregelte Einarbeitung neuer Mitarbeitender

Mitarbeitende müssen zu Beginn ihrer Beschäftigung in ihre neuen Aufgaben eingearbeitet werden. Die Mitarbeitenden müssen  über bestehende Regelungen, Handlungsanweisungen und Verfahrensweisen informiert werden.

  • Alle neuen Mitarbeitende sollten in die Benutzung der für den Arbeitsplatz wesentlichen IT-Systeme und Anwendungen eingewiesen bzw. geschult werden.
  • Es sollten alle Ansprechpartner vorgestellt werden, insbesondere die zu Fragen rund um Informationssicherheit und Datenschutz.
  • Die Sicherheitsziele der Praxis sollten den neuen Mitarbeitenden vorgestellt werden. Alle hausinternen Regelungen und Vorschriften zur Informationssicherheit müssen erläutert werden. Für alle Arten von potentiellen Sicherheitsvorfällen sollten die Verhaltensregeln und Meldewege dargelegt werden.

→  Vorlage unter Musterdokumente erhältlich

2.PersonalGeregelte Verfahrensweise beim Weggang von MitarbeitendenAusscheidende Mitarbeitende müssen alle im Rahmen ihrer Tätigkeit erhaltenen Unterlagen, Schlüssel und Geräte sowie Ausweise und Zutrittsberechtigungen zurückgeben. Zugangsdaten (bspw. Passwörter), die dem ausscheidendem Mitarbeiter bekannt waren oder von ihm genutzt wurden, müssen geändert oder vernichtet werden. Vor der Verabschiedung muss noch einmal auf die fortdauernden Verschwiegenheitsverpflichtungen hingewiesen werden.
  • Vor dem Weggang ist eine rechtzeitige Einweisung des Nachfolgers durchzuführen. 
  • Von dem Ausscheidenden sind sämtliche Unterlagen ausgehändigte Schlüssel, ausgeliehene Geräte  zurückzufordern.
  • Es sind sämtliche für den Ausscheidenden eingerichteten Zugangsberechtigungen und Zugriffsrechte zu entziehen bzw. zu löschen. Dies betrifft auch die externen Zugangsberechtigungen via Datenübertragungseinrichtungen. Wurde in  Ausnahmefällen eine Zugangsberechtigung zu einem IT-System zwischen mehreren Personen geteilt (z. B. mittels eines gemeinsamen Passwortes), so ist nach Weggang einer der Personen die Zugangsberechtigung zu ändern.
  • Vor der Verabschiedung sollte noch einmal explizit darauf hingewiesen werden, dass alle Verschwiegenheitserklärungen weiterhin in Kraft bleiben und keine während der Arbeit erhaltenen 

    Informationen weitergegeben werden dürfen.

→  Vorlage unter Musterdokumente erhältlich

3.PersonalFestlegung von Regelungen für den Einsatz von FremdpersonalExternes Personal muss wie alle eigenen Mitarbeitenden dazu verpflichtet werden, geltende Gesetze, Vorschriften und interne Regelungen einzuhalten. Kurzfristig oder einmalig eingesetztes Fremdpersonal muss in sicherheitsrelevanten Bereichen beaufsichtigt werden. Ggf. notwendige Zugangsberichtigungen sind so restriktiv wie möglich zu halten.
  • Externe Mitarbeitende, die eventuell Zugang zu vertraulichen Unterlagen und Daten bekommen könnten, sind schriftlich auf die Einhaltung der geltenden einschlägigen Gesetze, Vorschriften und internen Regelungen zu verpflichten. 
  • Bei Beendigung des Auftragsverhältnisses muss eine geregelte Übergabe der Arbeitsergebnisse und der erhaltenen Unterlagen und Betriebsmittel erfolgen. Es sind außerdem sämtliche eingerichteten Zugangs-, Zugriffs- und Zutrittsberechtigungen und Zugriffsrechte zu entziehen bzw. zu löschen. Außerdem sollte der Ausscheidende explizit darauf hingewiesen werden, dass die Verschwiegenheitsverpflichtung auch nach Beendigung der Tätigkeit bestehen bleibt. 
  • Kurzfristig oder einmalig zum Einsatz kommendes Fremdpersonal ist wie Besucher zu behandeln, d. h. beispielsweise dass der Aufenthalt in sicherheitsrelevanten Bereichen nur in Begleitung erlaubt ist.
4.PersonalVertraulichkeitsvereinbarungen für den Einsatz von FremdpersonalBevor externe Personen Zugang und Zugriff zu vertraulichen Informationen erhalten, müssen mit ihnen Vertraulichkeitsvereinbarungen in schriftlicher Form geschlossen werden.

Zum Abschluss der Vertraulichkeitsvereinbarung kann folgendes Musterdokument verwendet werden.

→  Vorlage unter Musterdokumente erhältlich

5.PersonalAufgaben und Zuständigkeiten von MitarbeitendenAlle Mitarbeitenden müssen dazu verpflichtet werden, geltende Gesetze, Vorschriften und interne Regelungen einzuhalten. Die Mitarbeitenden müssen auf den rechtlichen Rahmen ihrer Tätigkeit hingewiesen werden. Die Aufgaben und Zuständigkeiten von Mitarbeitenden müssen in geeigneter Weise dokumentiert sein.  Dabei sollte ebenfalls dokumentiert werden, welche Berechtigungen und Zugänge für die Mitarbeitenden bereitgestellt/genutzt werden. Außerdem müssen alle Mitarbeitenden darauf hingewiesen werden, dass alle während der Arbeit erhaltenen Informationen ausschließlich zum internen Gebrauch bestimmt sind.

Die Dokumentation der Aufgaben und Zuständigkeiten kann in den Arbeitsverträgen oder weiteren Vereinbarungen erfolgen.

Für die Dokumentation der Berechtigungen und Zugänge bietet sich ein Formular wie das Musterdokument an.

→  Vorlage unter Musterdokumente erhältlich

6.Personal

Qualifikation des Personals

Mitarbeitende müssen regelmäßig geschult bzw. weitergebildet werden, insbesondere auch im Bezug auf die eingesetzte Technik/IT. Es müssen betriebliche Regelungen vorhanden sein, welche mit geeigneten Mitteln sicherstellen, dass die Mitarbeitenden auf einem aktuellen Kenntnisstand sind. Weiterhin sollte den Mitarbeitenden während ihrer Beschäftigung die Möglichkeit gegeben werden, sich im Rahmen ihres Tätigkeitsfeldes weiterzubilden.

Werden Stellen besetzt, müssen die erforderlichen Qualifikationen und Fähigkeiten genau formuliert sein. Anschließend sollte geprüft werden, ob diese bei den Bewerbenden für die Stelle tatsächlich vorhanden sind. Es muss sichergestellt sein, dass Stellen nur von Mitarbeitenden besetzt werden, für die sie qualifiziert sind.

7.PersonalÜberprüfung der Vertrauenswürdigkeit von MitarbeitendenBei der Einstellung neuer Mitarbeitenden sollte besonders auf ihre Vertrauenswürdigkeit, beispielsweise bei der Prüfung vorliegender Arbeitszeugnisse, geachtet werden. Soweit möglich, sollten alle an der Personalauswahl Beteiligten kontrollieren, ob die Angaben der Bewerbenden, die relevant für die Einschätzung ihrer Vertrauenswürdigkeit sind, glaubhaft sind.

Die Möglichkeiten, die Vertrauenswürdigkeit von neuem oder externem Personal überprüfen zu lassen, sind in Deutschland rechtlich sehr eingeschränkt. Dazu kommt, dass die Ergebnisse meist wenig aussagekräftig sind, wie z. B. bei polizeilichen Führungszeugnissen.

Grundsätzlich sollte aber vor der Übernahme von neuen oder externen Mitarbeitende überprüft werden, ob

  • diese hinreichende Referenzen haben, z. B. aus anderen, bisherigen Projekten, und
  • der vorgelegte Lebenslauf des Bewerbenden aussagekräftig und vollständig ist. 
8.Sensibilisierung und Schulung zur InformationssicherheitSensibilisierung der Praxisleitung für Informationssicherheit

Die Praxisleitung muss ausreichend für Sicherheitsfragen sensibilisiert werden. Sicherheitskampagnen

oder andere Schulungsmaßnahmen müssen von der Praxisleitung unterstützt werden.

Es ist für den Sicherheitsprozess wichtig, dass dieser aktiv von der Praxisleitung unterstützt wird. Hierfür muss die Praxisleitung den Wert von Informationssicherheit erkannt und verinnerlicht haben. 

Wichtige Informationen, die dabei für die Praxisleitung relevant sind: 

  • Darstellung der Sicherheitsrisiken und damit verbundenen Kosten 
  • Auswirkungen auf die Geschäftsprozesse 
  • Rechtliche Sicherheitsanforderungen 
9.Sensibilisierung und Schulung zur InformationssicherheitEinweisung des Personals in den sicheren Umgang mit ITAlle Mitarbeitenden und externen Benutzenden müssen in den sicheren Umgang mit IT-Komponenten eingewiesen und sensibilisiert werden, soweit dies für ihre Arbeitszusammenhänge relevant ist.

Um Sicherheitsprobleme durch fehlerhafte Benutzung bzw. Konfiguration der IT zu vermeiden, sollten alle Mitarbeitende in den sicheren Umgang mit den IT-Komponenten der Praxis eingewiesen und geschult werden, soweit dies ihre Arbeitszusammenhänge betrifft. 
In einer Dokumentation ist zu beschreiben, welche Rahmenbedingungen es beim Einsatz der IT-Komponenten gibt und welche Sicherheitsmaßnahmen zu ergreifen sind.  
Folgenden Punkte könnten dokumentiert werden:

  • Hinweis, dass keine IT-Systeme, IT-Komponenten ohne ausdrückliche Erlaubnis benutzt werden dürfen
  • Hinweis, dass nur diejenigen Mitarbeiter Informationen auf IT-Systemen ändern dürfen, die dazu autorisiert sind
  • Einbringen von externen Daten in das eigene Haus (z.B. USB, Download oder Mailanhang)
  • Umgang mit Passwörtern
  • Nutzungsverbot nicht freigegebener Software
  • Hinweis, dass dienstliche IT-Systeme nur für dienstliche Zwecke eingesetzt werden dürfen, beziehungsweise eine präzise Beschreibung möglicher Ausnahmen von dieser Regel, falls es sie gibt
  • Hinweise zur sicheren Verwahrung und Aufstellung von IT-Systemen und Datenträgern
  • Schutz vor Computer-Viren und anderer Schadsoftware 
  • Durchführung von Datensicherungen
  • Nutzung von Internet- und E-Mail-Diensten
10.Sensibilisierung und Schulung zur InformationssicherheitDurchführung von Sensibilisierungen und Schulungen zur InformationssicherheitAlle Mitarbeitenden sollten entsprechend ihren Aufgaben und Verantwortlichkeiten zu Informationssicherheitsthemen geschult werden.
  • Um Sicherheitsprobleme durch fehlerhafte Benutzung bzw. Konfiguration der IT zu vermeiden, sollten alle Mitarbeitende entsprechend ihren Aufgaben und Verantwortlichkeiten zu Informationssicherheitsthemen geschult werden.

→ weitere Hinweise unter Fortbildungen erhältlich.

11.Netzwerksicherheit

Absicherung der Netzübergangspunkte

Der Übergang zu anderen Netzen insbesondere dem Internet muss durch eine Firewall geschützt werden. Primäres Ziel ist es, keine unerlaubten Verbindungen von außen in das geschützte Netz zuzulassen. Zusätzlich sollten nur erlaubte Verbindungen aus dem geschützten Netz nach außen aufgebaut werden können.
  • Es wird empfohlen eine Hardware-Firewall einzusetzen und diese nach den eigenen Anforderungen zu konfigurieren und zu warten. Mindestens sollte dabei Folgendes eingestellt werden: 
    • Nur erlaubte Kommunikationsziele (IP-Adressen und Ports) zulassen (eingehend und ausgehend).
    • Nur erlaubte Kommunikationsprotokolle zulassen.
12.Netzwerksicherheit

Dokumentation des Netzes

Das interne Netz ist inklusive eines Netzplanes zu dokumentieren.
  • Die Dokumentation sollte die logischen Struktur des Netzes enthalten, insbesondere die Subnetze und wie das Netz zoniert und segmentiert wird.
  • Änderungen im Netzwerk sollten ebenfalls dokumentiert werden.

→  Vorlage unter Musterdokumente erhältlich

13.Netzwerksicherheit

Grundlegende Authentisierung für den Netzmanagement-Zugriff

Für den Management-Zugriff auf Netzkomponenten und auf Managementinformationen muss eine geeignete Authentisierung verwendet werden.
  • Für den Management-Zugriff auf Netzkomponenten und auf Managementinformationen muss eine geeignete Authentisierung verwendet werden.
  • Alle Default-Passwörter müssen auf den Netzkomponenten geändert werden.
  • Die neuen Passwörter müssen ausreichend stark sein. Es sollten mind. 3 verschiedene Zeichenarten verwendet werden (z. B. Buchstaben, Zahlen und Sonderzeichen). Die Länge eines Passworts sollte mind. 12 Zeichen betragen.
14.Patch- und Änderungsmanagement

Installation von Updates

Updates müssen zeitnah nach ihrer Veröffentlichung installiert werden.
  • Viele Produkte verfügen über automatische Update-Mechanismen (Autoupdate).  
  • Es sollte festgelegt werden, wie die Update-Funktionen konkret in den verschiedenen Produkten konfiguriert werden.
15.Patch- und Änderungsmanagement

Verantwortlichkeit für Updates

Es muss festgelegt werden, wer die Updates installiert. Das ausgewählte Personal muss geschult und entsprechend berechtigt werden.
  • Kein Mitarbeiter sollte Änderungen auf eigene Faust durchführen.
  • Die Verantwortlichkeiten für das Patch- und Änderungsmanagement sollte festgelegt werden. Die Verantwortlichen müssen das notwendige wissen und die entsprechenden Berechtigungen besitzen. 
16.Patch- und Änderungsmanagement

Identifizierung ausbleibender Updates

Hardware, eingesetzte Betriebssysteme, eingesetzte Anwendungen und Dienste, die keine Sicherheitsupdates mehr erhalten, müssen identifiziert werden.
  • Falls Hardware- oder Software-Produkte eingesetzt werden sollen, die nicht mehr von den Herstellenden unterstützt werden oder für die kein Support mehr vorhanden ist, muss geprüft werden, ob diese dennoch sicher betrieben werden müssen bzw. können. 
  • Häufig kündigen die Hersteller an, ab wann sie ein Produkt nicht mehr unterstützen, bzw. stellen die Information bereit, dass sie ein Produkt nicht mehr unterstützen. 
17.Patch- und Änderungsmanagement

Ausmusterung oder Separierung bei ausbleibenden Updates

Hardware, eingesetzte  Betriebssysteme, eingesetzte Anwendungen und Dienste, die keine Sicherheitsupdates mehr erhalten, müssen ausgemustert oder separiert in einem eigenen Netzwerksegment betrieben werden.
  • Hardware, eingesetzte  Betriebssysteme, eingesetzte Anwendungen und Dienste, die keine Sicherheitsupdates mehr erhalten, müssen ausgemustert oder separiert in einem eigenen Netzwerksegment betrieben werden.
18.Endgeräte

Verhinderung der unautorisierten Nutzung von Rechner-Mikrofonen und Kameras

Mikrofon und Kamera am Rechner sollten grundsätzlich deaktiviert sein und nur bei Bedarf temporär direkt am Gerät aktiviert und danach wieder deaktiviert werden.
  • Bei der Anschaffung neuer Geräte sollte darauf geachtet werden, dass die Kamera abgedeckt und das Mikrofon ausgeschaltet werden kann, Eine Diode weist meist auf die für aktive Benutzung der Geräte hin, und bietet einen Indikator für missbräuchliche Nutzung.

19.

Endgeräte

Abmelden nach Aufgabenerfüllung

Nach Ende der Nutzung immer den Zugang zum Gerät sperren oder abmelden.

  • z.B. 'Windows' + 'L' für Windows
  • oder 'Logout' für Linux
 
20.Endgeräte

Einsatz von Viren-Schutzprogrammen

Aktuelle Virenschutzprogramme sind einzusetzen.

  • Verwenden Sie "Windows Defender" oder ein kommerzielles Virenschutzprogramme.
  • Konfigurieren Sie welche Daten wann gescannt werden sollen (z. B. alle Dateien vor dem Schreiben, eingehende E-Mail, etc.). 
 
21.Endgeräte

Regelmäßige Datensicherung

Sämtliche relevante Daten sind regelmäßig zu sichern.

  • Es ist festzulegen in welchen Intervallen die Datensicherung erfolgen soll.
 
22.Endgeräte

Schutz der Datensicherung

Die Datensicherung muss vor unbefugtem Zugriff gesichert werden.

  • Der Schutz der Datensicherung kann entweder physisch erfolgen, indem die Medien der Datensicherung weggeschlossen werden, oder die Datensicherung kann kryptographisch verschlüsselt werden.
 
23.Endgeräte

Art der Datensicherung

Es muss festgelegt werden, wie die Daten gesichert werden.

  • Die Festlegung kann die einzusetzende Software, die Sicherungsmedien und die Art der Datensicherung umfassen.
  • Eine Datensicherung kann vollständig sein oder inkrementell, d.h. nur Änderungen ab einem bestimmten Zeitpunkt werden erfasst, oder eine Kombination davon umfassen. 
  • Ein Beispiel ist die 3-2-1-Regel (3 Kopien auf 2 unterschiedlichen Medien, davon 1 außer Haus)
 
24.Endgeräte

Verantwortliche der Datensicherung

Es muss festgelegt werden, wer für die Datensicherung zuständig ist.

  • Damit die Datensicherung auch durchgeführt wird, wie Datensicherung zuständig ist.
 
25.Endgeräte

Test der Datensicherung

Es sollte getestet werden, ob gesicherte Daten funktionsfähig und vollständig vorhanden sind.

  • Damit, wenn im Ernstfall auf die Datensicherung zurückgegriffen werden muss, sollte vorher getestet werden, ob die relevanten Daten mit der Sicherung erfasst werden, und diese zurückgespielt werden können.
 
26.Endgeräte

Der Zugriff auf Geräte und Software muss abgesichert werden.

Es sollten Benutzer und Rollen in der Praxissoftware zum Steuern der Zugriffe auf Patientendaten oder zur  Nutzung von Sicherheitskarten wie z.B. den eHBA für den Inhaber der Karte eingerichtet werden.

  • Im Gegensatz zum (physischen) Zutritt, dem Zugang (Authentisierung) wird der Zugriff durch ein Berechtigungskonzept mit unterschiedlichen Rechten für unterschiedliche Benutzer und Rollen realisiert.
 
27.

Endgeräte mit dem Betriebssystem Windows

Konfiguration von Synchronisationsmechanismen

Die Synchronisierung von Nutzerdaten mit Microsoft-Cloud-Diensten sollte vollständig deaktiviert werden.

  • Deinstallieren Sie "OneDrive". Dazu klicken Sie auf den Windows-button, dann auf Einstellungen. Klicken Sie in dem geöffneten Fenster auf "Apps", in der angezeigten App-Liste auf "OneDrive" und deinstallieren Sie die App über den Button "deinstallieren".
28.

Endgeräte mit dem Betriebssystem Windows

Datei- und Freigabeberechtigungen

Berechtigungen und Zugriffe sind pro Personengruppe und pro Person zu regeln.

  • Regeln Sie die Berechtigungen nach dem Need-to-know-Prinzip. D. h. Jede Person sollte nur so viel Berechtigungen, wie zur Bewältigung der Aufgaben nötig sind, auf Programm-, Datei und Verzeichnisebene erhalten.
  • Mittels Gruppen und Rollen lassen sich Berechtigungen für mehrere Personen für Netzfreigaben einrichten. 
 
29.

Endgeräte mit dem Betriebssystem Windows

Datensparsamkeit 

So wenige personenbezogene Daten wie möglich sind zu verwenden.

  • Jede Verwendung von personenbezogenen Daten muss begründet,   und in einem "Verzeichnis von Verarbeitungstätigkeiten" nach Artikel 30 DSGVO dokumentiert werden. Dies schließt auch die einzuhaltenden Löschfristen mit ein. Ein Beispiel für solch ein Verzeichnis und eine Ausfüllhilfe dazu gibt es auf den Seiten der KBV unter https://www.kbv.de/html/datensicherheit.php
 
30.

Smartphone und Tablet

Verwendung der SIM-Karten-PIN

SIM-Karten sind durch eine PIN zu schützen. Super-PIN/PUK sind nur durch Verantwortliche anzuwenden.

  • Die Nutzung der SIM-Karte der Institution sollte durch eine PIN geschützt werden. Die Super-PIN/PUK sollte nur im Rahmen der definierten Prozesse von den Verantwortlichen benutzt werden.
 
31.

Smartphone und Tablet

Sichere Grundkonfiguration für mobile Geräte

Auf mobilen Endgeräten sollten die strengsten bzw. sichersten Einstellungen gewählt werden, weil auch auf mobilen Geräten das erforderliche Schutzniveau für die verarbeiteten Daten sichergestellt werden muss.

  • Alle mobilen Endgeräte müssen so konfiguriert sein, dass sie das erforderliche Schutzniveau angemessen erfüllen. Dafür muss eine passende Grundkonfiguration der Sicherheitsmechanismen und -Einstellungen zusammengestellt und dokumentiert werden. Nicht benötigte Funktionen sollten deaktiviert werden.
  • Die Freischaltung von Kommunikationsschnittstellen muss geregelt und auf das dienstlich notwendige Maß reduziert werden. Nicht benutzte Schnittstellen sollten deaktiviert werden.
  • Überprüfen Sie regelhaft die Datenschutzeinstellungen der Anwendungen (Apps). Wenn sie sich unsicher sind verweigern sie sämtliche Zugriffe.
 
32.

Smartphone und Tablet

Verwendung eines Zugriffschutzes

Geräte sind mit einem komplexen Gerätesperrcode zu schützen.

  •  Smartphones und Tablets müssen mit einem angemessen komplexen Gerätesperrcode geschützt werden.
  • Die Nutzung der Bildschirmsperre muss vorgeschrieben werden.
  • Die Anzeige von vertraulichen Informationen auf dem Sperrbildschirm muss deaktiviert sein.
  • Alle mobilen Geräte müssen nach einer angemessen kurzen Zeitspanne selbsttätig die Bildschirmsperre aktivieren.
  • Nach mehreren fehlgeschlagenen Versuchen, den Bildschirm zu entsperren, sollte sich das mobile Gerät in den Werkszustand zurücksetzen. Es sollten dabei die Daten oder die Verschlüsselungsschlüssel sicher vernichtet werden.
33.

Smartphone und Tablet

Datenschutz-Einstellungen

Der Zugriff von Apps und Betriebssystem auf Daten und Schnittstellen der Endgeräte sollte in den Einstellungen restriktiv auf das Notwendigste eingeschränkt werden.

  • Der Zugriff von Apps und Betriebssystem auf Daten und Schnittstellen muss angemessen eingeschränkt werden.
  • Die Datenschutzeinstellungen müssen so restriktiv wie möglich konfiguriert werden. Insbesondere der Zugriff auf Kamera, Mikrofon sowie Ortungs- und Gesundheitsdaten muss auf Konformität mit den organisationsinternen Datenschutz- und Sicherheitsvorgaben überprüft und restriktiv konfiguriert bzw. deaktiviert werden.
 
34.

Mobiltelefon

Sperrmaßnahmen bei Verlust eines Mobiltelefons

Bei Verlust eines Mobiltelefons muss die darin verwendete SIM-Karte zeitnah gesperrt werden. Die dafür notwendigen Mobilfunkanbieter-Informationen sind zu hinterlegen, um bei Bedarf darauf zugreifen zu können.

  • Der Mobilfunkanbieter stellt die dafür notwendigen Informationen zur Verfügung.
 
35.

Mobiltelefon

Nutzung der Sicherheitsmechanismen von Mobiltelefonen

Alle verfügbaren Sicherheitsmechanismen sollten auf den Mobiltelefonen genutzt und als Standard-Einstellung vorkonfiguriert werden.

  • Die verfügbaren Sicherheitsmechanismen sollten auf den Mobiltelefonen konfiguriert und genutzt werden.
  • Die SIM-Karte sollte durch eine sichere PIN geschützt werden.
  • Das Mobiltelefon sollte durch einen Geräte-Code geschützt werden.
  • Falls möglich, sollte das Gerät an die SIM-Karte gebunden werden (SIM-Lock).
  • Die Benutzer sollten über diese Sicherheitsmechanismen informiert werden.
36.

Wechseldatenträger /
Speichermedien

Schutz vor Schadsoftware

Wechseldatenträger müssen bei jeder Verwendung mit einem aktuellen Schutzprogramm auf Schadsoftware überprüft werden.

  • Mittels Antiviren- bzw. Anti-Malware-Programmen lassen sich Wechseldatenträger vor der Verwendung auf Schadsoftware prüfen.
 
37.

Wechseldatenträger /
Speichermedien

Angemessene Kennzeichnung der Datenträger beim Versand

Beim Versand von Datenträgern sollte der Absender diese für den Empfänger eindeutig kennzeichnen. Dabei sollte die Kennzeichnung möglichst keine Rückschlüsse  auf den Inhalt für andere ermöglichen.

  • Entweder sollte der Sender eine Liste führen, die eine Kennzeichnung eines Datenträgers eindeutig zuordenbar macht, oder Sender und Empfänger einigen sich auf eine Systematik, die  die Kennzeichnung der Datenträger für beide zuordenbar macht aber keine Rückschlüsse für andere ermöglicht. Z.B. Datenträger: "dd2bbeab-d901-4043-b543-0ce74ce57aae" statt "onkologischer Befund Patient XY".
 
38.

Wechseldatenträger /
Speichermedien

Sichere Versandart und Verpackung

Zum Versand von Datenträgern sollten Versandanbieter mit sicherem Nachweis-System und eine möglichst manipulationssichere Versandart und Verpackung gewählt werden.

  • Über die Angebote der sicheren Nachweissysteme wie Einschreiben und Wertsendungen informiert Sie ihr Postunternehmen.
 
39.

Wechseldatenträger /
Speichermedien

Sicheres Löschen der Datenträger vor und nach der Verwendung

Alle Datenträger müssen nach ihrer Verwendung durch den jeweiligen Mitarbeiter /Mitarbeiterin sicher und vollständig gelöscht werden.

  • Bevor wieder beschreibbare Datenträger weitergegeben, wiederverwendet oder ausgesondert werden, sollten Sie in geeigneter Weise gelöscht (mit spezieller Software mehrmals mit Zufallswerten überschrieben) werden.
    Diese Funktionalität bieten verschieden kommerzielle Anti-Viren und spezielle open Source Programme an.
 
40.

E-Mail-Client und -Server

Sichere Konfiguration der E-Mail-Clients

Bei der Konfiguration der E-Mail-Clients muss mindestens Folgendes berücksichtigt werden:

  • Dateianhänge von E-Mails sollten vor dem Öffnen auf Schadsoftware geprüft werden
  • die automatische Interpretation von HTML-Code und anderen aktiven Inhalten in E-Mails sollte deaktiviert werden.
  • zur Kommunikation mit E-Mail-Servern über nicht vertrauenswürdige Netze sollte eine sichere Transportverschlüsselung eingesetzt werden
 
  • Angriffe erfolgen oft initial über E-Mails. Daher ist eine sichere Konfiguration der E-Mail-Clients unerlässlich.
41.

E-Mail-Client und -Server

Umgang mit Spam durch Benutzende

Grundsätzlich sollten die Benutzenden alle Spam-E-Mails ignorieren und löschen. Die Benutzenden sollten auf unerwünschte E-Mails nicht antworten. Sie sollten Links in diesen E-Mails nicht folgen.

  • Als Spam werden unerwünschte, massenhafte E-Mails bezeichnet, die dem Empfänger unverlangt zugestellt werden.
42.

Mobile Anwendungen (Apps)

Sichere Apps nutzen

Apps sollten nur aus den offiziellen Stores geladen werden. Sofern Apps nicht mehr benötigt werden, ist der Benutzeraccount in der App / das Benutzerkonto zu löschen und danach die App auf dem Gerät zu deinstallieren.

  • für IOS: "App Store" 
  • für Android: "Google Play" verwenden und in den Sicherheitseinstellungen keine Apps aus externen Quellen zulassen.
 
43.

Mobile Anwendungen (Apps)

Sichere Speicherung lokaler App-Daten

Es sollten nur Apps genutzt werden, die Dokumente verschlüsselt und lokal abspeichern.

  •  Verschlüsselung von Android (PIN oder Passwort einrichten)/ IOS ("Code-Sperre") aktivieren.
44.

Mobile Anwendungen (Apps)

Verhinderung von Datenabfluss

Der Zugriff von Apps auf vertrauliche Daten muss durch restriktive Datenschutz-Einstellungen soweit wie möglich eingeschränkt werden.

  • Um zu verhindern, dass Apps ungewollt vertrauliche Daten versenden oder aus den gesendeten Daten Benutzerprofile erstellt werden, muss der Datenversand entsprechend eingeschränkt werden.
  • Vor der App-Benutzung sollte überprüft werden, ob eine App ungeschützte Protokollierungs- oder Hilfsdateien schreibt, die vertrauliche Informationen enthalten.
 
45.

Internet-Anwendungen - Anbieter

Authentisierung bei Webanwendungen

Sollten Sie als Praxis einen Webdienst anbieten:

Der IT-Betrieb muss Webanwendungen und Webservices so konfigurieren, dass sich Clients gegenüber der Webanwendung oder dem Webservice authentisieren müssen, wenn diese auf geschützte Ressourcen zugreifen wollen. Dafür muss eine angemessene  Authentisierungsmethode ausgewählt werden. Der Auswahlprozess sollte dokumentiert werden. Der IT-Betrieb muss geeignete Grenzwerte für fehlgeschlagene Anmeldeversuche festlegen.

  • Es sollte eine 2 Faktor Authentisierung angeboten werden, oder hinreichend komplexe Passwörter eingefordert werden.
  • Die Webanwendung sollte verschlüsselte Verbindungen bereitstellen.
46.

Internet-Anwendungen - Anbieter

Schutz vertraulicher Daten

Sollten Sie als Praxis einen Webdienst anbieten:

Der IT-Betrieb muss sicherstellen, dass Zugangsdaten zur Webanwendung oder zum Webservice serverseitig mithilfe von sicheren kryptografischen Algorithmen vor unbefugtem Zugriff geschützt werden. Dazu müssen Salted Hash-Verfahren verwendet werden. Die Dateien mit den Quelltexten der Webanwendung oder des Webservices müssen vor unerlaubten Abrufen geschützt werden.

 
  • Falls Benutzernamen und Passwörter als Authentisierungsmethode angeboten werden, so dürfen die Passwörter nicht im Klartext sondern mittels dem Salted Hash-Verfahren gespeichert  werden.
47.

Internet-Anwendungen – Anbieter

Einsatz von Web Application Firewalls

Sollten Sie als Praxis einen Webdienst anbieten:

Institutionen sollten eine Web Application Firewall (WAF) einsetzen. Die Konfiguration der eingesetzten WAF sollte auf die zu schützende Webanwendung oder den Webservice angepasst werden. Nach jedem Update der Webanwendung oder des Webservices sollte die Konfiguration der WAF geprüft werden.

 
  • Eine Web Application Firewall ist eine Spezialform einer Application Firewall für das HTTP-Protokoll, um die damit verbundeneren Angriffe zu minimieren.
  • Bei der Bereitstellung einer web-Anwendung sollten Sie entweder eine open source Lösungen (wie ModSecurity, Waf2Py oder OctopusWAF) oder eine spezielle kommerzielle Appliance verwenden. Zu dem Einsatz einer Web Application Firewall gehört auch die richtige Konfiguration der Firewall, ggf. die Härtung der zugrunde liegenden Hardware und des Betriebssystems und die regelmäßige Wartung und Updates.
48.

Internet-Anwendungen - Anbieter

Schutz vor unerlaubter automatisierter Nutzung von Webanwendungen

Sollten Sie als Praxis einen Webdienst anbieten:

Der IT-Betrieb muss sicherstellen, dass Webanwendungen und Webservices vor unberechtigter automatisierter Nutzung geschützt werden. Dabei muss jedoch berücksichtigt werden, wie sich die Schutzmechanismen auf die Nutzungsmöglichkeiten berechtigter Clients auswirken. Wenn die Webanwendung RSS-Feeds oder andere Funktionen enthält, die explizit für die automatisierte Nutzung vorgesehen sind, muss dies ebenfalls bei der Konfiguration der Schutzmechanismen berücksichtigt werden.

 
  • Mittels des sogenannten "Captcha-Mechanismus" lassen sich automatisierte Zugriffe begrenzen.
  • Durch zeitlich verzögerte Anmeldeversuche bei Falscheingaben lassen sich missbräuchliche Anmeldeversuche erschweren.
49.

Internet-Anwendungen - Anwender

Kryptografische Sicherung vertraulicher Daten

Bei der Nutzung von Webanwendungen ist darauf zu achten, dass eine verschlüsselte Kommunikation  zum Einsatz kommt (z.B. https statt http).

  • Auf https achten, ggf. die Einstellungen des Browser auf "HTTPS-only" ändern.
  • Beispielsweise  statt  http://www.kbv.de besser https://www.kbv.de verwenden.
  • Dies wird durch ein "Schloss" als Icon im Webbrowser visualisiert. Durch anklicken des Schlosses lasen sich die Informationen zu dem Zertifikat und dem Herausgeber des Zertifikats einsehen.
 
50.

Cloud-Anwendungen    - Anbieter

Sicherheit von Cloud-Dienstleistern

Soweit Sozial- oder Gesundheitsdaten im Wege des Cloud-Computing verarbeitet werden sollen, muss der Anbieter der eingesetzten Cloud-Anwendung über ein aktuelles C5-Testat entsprechend § 393 SGB V in Verbindung mit § 384 SGB V verfügen. 
  • Fragen Sie den Anbieter nach dem Testat der Cloud-Anwendung.
  • Beachten Sie die in dem Testat aufgeführten "korrespondierende Kriterien für Kunden".
  • Beachten Sie die Anforderungen aus § 393 Abs. 3 Satz 1 Nr. 1 SGB V über die notwendigen "angemessen  technische und organisatorische Maßnahmen zur Gewährleistung der Informationssicherheit".  In der vertragsärztlichen und vertragszahnärztlichen Versorgung können die die Anforderungen nach § 390 SGB V sein.