Infos zu den Komponenten Firewall, Virenschutz und Netzplan der IT-Sicherheitsrichtlinie für Praxen bis 5 Mitarbeitende
Seit dem 01.04.2021 müssen Praxen eine Reihe von Vorgaben der IT-Sicherheitsrichtlinie umgesetzt haben. Hier einige Beispiele aus dem Alltag: Sichere Passwörter, Aktualität bei Betriebssystemen und Virenschutzprogrammen, Verschlüsselung von Patientendaten auf transportablen Laptops, Passwortsicherung von Benutzerkonten, Zugriffsschutz und Simkartenschutz bei Praxis-Smartphones, Nutzung ausschließlich sicherer Apps aus sicheren Quellen und z.B. Löschung sensibler Daten aus Emailbenachrichtigungen.
Bezüglich der kostenintensiven Komponente Firewall haben wir mit einem IT-Berater (geprüfter BSI Grundschutzpraktiker), PVS-Herstellern, der KV Bayern sowie Kolleginnen und Kollegen gesprochen und einige Überlegungen zusammengefasst:
Fazit: Uns wurde deutlich, dass es aktuell verschiedene Meinungen zu Investitionen in die IT-Sicherheit gibt und wir als Praxisinhabende selbst entscheiden müssen, welchen Weg wir gehen. Auch zeigen sich die Folgen der Telematik: Da Kassenpraxen ein „Tor“ zur Telematik Infrastruktur (und ab Juli 2021 zu millionenfach gespeicherten elektronischen Patientenakten) werden, müssen sie besonders sicher gemacht werden – auf Kosten der Praxen.
Deutlich wurde auch, dass uns das alte Thema Reihen- vs. Parallelschaltung beim Telematikanschluss der Praxis wieder einholt. Ungut ist, dass hier zumindest einige PVS-Hersteller nicht ausreichend informiert hatten und mit der Angabe zu gehäuften technischen Störungen bei Reihenschaltung Praxisinhabende vom Reihenbetrieb abgeraten haben.
Der VPP hatte in Folge Anfang 2020 (VPP aktuell, Heft 48) eine Umfrage zu techn. Störungen durchgeführt. Dort zeigten sich keine signifikanten Unterschiede bei beiden Anschlussarten. Gleiches bestätigte uns aktuell auch PsychoDat, ein PVS-Hersteller, der viele Reihenanschlüsse in Praxen durchgeführt hat.
Firewall: Schutz von Netzwerkübergängen ab 01.04.2021
Praxen in Reihenschaltung brauchen keine gesonderte Firewall-Lösung. Der Konnektor dient als Firewall. Hierbei müssen jedoch alle Endgeräte der Praxis in Reihe, also „hinter“ den Konnektor, geschaltet werden. Für den Internetzugang muss der kostenpflichtige Sichere Internet Service (SIS) aktiviert werden. Datenpakete müssen zugekauft werden. Günstige Flatnet-Tarife können ggf. nicht mehr genutzt werden. Fällt der Konnektorzugang aus, hat die Praxis keinen Internetzugang mehr - außer es besteht ein zusätzlicher, unabhängiger Internetzugang.
Praxen im Parallelbetrieb müssen ggf. tätig werden: Hier hören wir Unterschiedliches vom befragten IT Experten und von der KV Bayern: Verfügt der installierte Router über eine integrierte Firewall (z.B. Fritzbox), reicht dies in Kombination mit einem Virenschutz mit integrierter personal firewall aus (so der IT-Experte). Nach persönlicher Rückmeldung der KV Bayern reicht die Fritzbox nicht aus. Schriftlich verweist die KV Bayern jedoch auf die allgemeine Sicherheitsrichtlinie (s.u.): Hier wird eine Hardware-Firewall (nur) empfohlen. Eine Hardwarefirewall ist jedoch sehr teuer: Wir haben ein Angebot eingeholt, wonach die Jahreslizenzen ca. 550 Euro pro Jahr (bei 3-jähriger Laufzeit) kosten. Praxen müssen hier entscheiden, ob Sie der Empfehlung der Richtlinie (Hardwarefirewall) folgen oder aber einem kostengünstigeren Alternativangebot (analog der Anhaben unseres geprüften BSI-Grundschutz-praktikers).
Umrüstung von Parallel- auf Reihenschaltung: Aktuell rüsten Parallel-Praxen teilweise auf „Reihe“ um. Dies erscheint erst einmal günstiger als eine Hardware Firewall-Lösung (gezahlt werden müssen z.B. die Arbeitszeit des IT-lers, kostenpflichtige zusätzliche Datenpakete – aber auch zukünftige Präsenztermine des IT-Beauftragten beim z.B. Ausfall des Konnektors). Alternativ kann ein zweiter Internetzugang in die Praxis gelegt werden, was jedoch auch monatliche Zusatz-Kosten verursacht.
Antivirenprogramm
Unser befragter IT-Berater rät hier zu einem kostenpflichtigen Antivirenprogramm mit einer integrierten personal firewall (s.u.). Die bei Windows 10 Professional beinhaltete Software Defender sei KEINE Lösung! Die KBV sieht hier den Windows-Defender als ausreichend.
Netzplan
Unstrittig ist, dass bis 01.04.2021 ein Netzplan zu erstellen ist. Ein Netzplan ist eine graphische Darstellung Ihres Netzwerkes (auch bei nur einem PC). Einen Musternetzplan findet Sie auf der online-Plattform der KVB (s.u.).
Die oben genannten Punkte sind nur ein Teil der Vorgaben ab 01.04.2021. Hier geht es zur vollständigen Übersicht der IT-Sicherheitsrichtlinie: Online-Plattform der KBV eine tabellarischen Übersicht zu allen Maßnahmen und auch zu Mustervorlagen (z.B. zu einem Netzwerkplan).
Hier finden Sie einen Link zu Reihenschaltung/Parallelschaltung
Hier finden Sie hilfreiche Links zum Thema Datenschutz:
- Stiftung Warentest/Virenschutz und Firewall
- Alternativen zu datenschutzrechtlich unzulässigen Messengerdiensten wie Whats App
- Möglichkeiten zur Emailverschlüsselung
Hinweise für die Verschlüsselung Ihres Smartphones