Die Kassenzahnärztliche Bundesvereinigung hat nach § 75b SGB V den Auftrag, Anforderungen zur Gewährleistung der IT‐Sicherheit in der vertragszahnärztlichen Versorgung zu regeln. Sie hat damit den Auftrag, den Stand der Technik der technisch‐organisatorischen Maßnahmen im Sinne von Artikel 32 Datenschutz‐Grundverordnung zu standardisieren. Die hier getroffene Richtlinie erfüllt diesen Auftrag und dient damit dem Zweck, die Handhabung der Vorgaben der Datenschutz‐ Grundverordnung im Zusammenhang mit der elektronischen Datenverarbeitung für die vertragszahnärztliche Praxis zu vereinheitlichen und zu erleichtern.

Die Richtlinie adressiert die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit der IT‐Systeme in der vertragszahnärztlichen Praxis. Die Richtlinie legt technische Anforderungen fest und beschreibt das Mindestmaß der zu ergreifenden Maßnahmen, um die Anforderungen der IT‐Sicherheit zu gewährleisten. Mit der Umsetzung der Anforderungen werden die Risiken der IT‐Sicherheit minimiert. Bei der Umsetzung können Risiken auch an Dritte, wie IT‐Dienstleister oder Versicherungen, übertragen oder durch den Verantwortlichen akzeptiert werden.

GELTUNGSBEREICH

1. Diese Richtlinie legt die in einer vertragszahnärztlichen Praxis erforderlichen Anforderungen an die IT‐Sicherheit fest.
2. Der/die Praxisinhaber ist/sind verantwortlich für die Einhaltung der Anforderungen dieser Richtlinie.

I. PRAXISGRÖSSEN UND ANFORDERUNGSKATEGORIEN

Die umzusetzenden Anforderungen richten sich nach der Größe der Praxis. Dabei gilt Folgendes:

1. Praxis: Eine Praxis ist eine vertragszahnärztliche Praxis mit bis zu fünf ständig mit der Datenverarbeitung betrauten Personen.
2. Mittlere Praxis: Eine mittlere Praxis ist eine vertragszahnärztliche Praxis mit 6 bis 20 ständig mit der Datenverarbeitung betrauten Personen.
3. Großpraxis oder Praxis mit Datenverarbeitung im erheblichen Umfang: Eine Großpraxis oder Praxis mit Datenverarbeitung im erheblichem Umfang ist eine Praxis mit über 20 ständig mit der Datenverarbeitung betrauten Personen oder eine Praxis, die in über die normale Datenübermittlung hinausgehenden Umfang in der Datenverarbeitung tätig ist (z. B. Groß‐MVZ mit krankenhausähnlichen Strukturen, Labore).

II. ANFORDERUNGEN ZUR GEWÄHRLEISTUNG DER IT‐SICHERHEIT IN PRAXEN

1. Praxen nach A. III. 1. haben die Anforderungen aus Anlage 1 und 5 umzusetzen, soweit die Zielobjekte in der Praxis genutzt werden.
2. Praxen nach A. III. 2. haben die Anforderungen aus Anlage 1, 2 und 5 umzusetzen, soweit die Zielobjekte in der Praxis genutzt werden.
3. Praxen nach A. III. 3. haben die Anforderungen aus Anlage 1, 2, 3 und 5 umzusetzen, soweit die Zielobjekte in der Praxis genutzt werden.
4. Sofern in der Praxis medizinische Großgeräte, wie Computertomograph (CT), Magnetresonanztomograph (MRT, Dental‐MRT), Positronenemissionstomograph und Linearbeschleuniger, eingesetzt werden, sind ergänzend die Anforderungen aus Anlage 4 umzusetzen.
5. Die in dieser Richtlinie formulierten Anforderungen unterliegen einem kontinuierlichen Verbesserungsprozess mit einer jährlichen Evaluationspflicht. Die erforderliche Evaluation richtet sich an der jeweiligen Informationssicherheitslage aus.

B. INKRAFTTRETEN UND GELTUNG

Diese Richtlinie tritt am Tag nach der Veröffentlichung in Kraft. Die Anforderungen gelten ab den in den Anlagen angegebenen Zeitpunkten.

ANLAGE 1

Anforderungen für Praxen

	Zielobjekt	Anforderung	Erläuterung	Geltung ab
	Software: Rechner‐Programme, mobile Apps und Internet‐Anwendungen
1.	Mobile Anwendungen (Apps)	Sichere Apps nutzen	Nur Apps aus den offiziellen Stores runterladen und nutzen. Wenn nicht mehr benötigt, Apps restlos löschen.	01.04.2021
2.	Mobile Anwendungen (Apps)	Aktuelle App‐Versionen	Updates immer zeitnah installieren, um Schwachstellen zu vermeiden.	01.04.2021
3.	Mobile Anwendungen (Apps)	Sichere Speicherung lokaler App‐Daten	Nur Apps nutzen, die Dokumente verschlüsselt und lokal abspeichern.	01.01.2022
4.	Mobile Anwendungen (Apps)	Verhinderung von Datenabfluss	Keine vertraulichen Daten über Apps versenden.	01.04.2021
5.	Office‐Produkte	Verzicht auf Cloud‐ Speicherung	Keine Nutzung der in Office‐ Produkte integrierte Cloud‐ Speicher zur Speicherung personenbezogener Informationen.	01.04.2021
6.	Office‐Produkte	Beseitigung von Rest‐ Informationen vor Weitergabe von Dokumenten	Vertrauliches aus Dokumenten löschen vor einer Weitergabe an Dritte.	01.04.2021
7.	Internet‐Anwendungen	Authentisierung bei Webanwendungen	Nutzen Sie nur Internet‐ Anwendungen, die ihre Zugänge (Login‐Seite und ‐ Ablauf, Passwort, Benutzerkonto etc.) strikt absichern.	01.04.2021
8.	Internet‐Anwendungen	Schutz vertraulicher Daten	Stellen Sie ihren Internet‐ Browser gem. Hersteller‐ Anleitung so ein, dass keine vertraulichen Daten im Browser gespeichert werden.	01.04.2021
9.	Internet‐Anwendungen	Firewall benutzen	Verwendung und regelmäßiges Update einer Web App Firewall.	01.01.2022
10.	Internet‐Anwendungen	Kryptografische Sicherung vertraulicher Daten	Nur verschlüsselte Internet‐ Anwendungen nutzen.	01.04.2021
11.	Internet‐Anwendungen	Schutz vor unerlaubter automatisierter Nutzung von Webanwendungen	Keine automatisierten Zugriffe bzw. Aufrufe auf Webanwendungen einrichten oder zulassen.	01.01.2022

	Hardware: Endgeräte und IT‐Systeme
12.	Endgeräte	Verhinderung der unautorisierten Nutzung von Rechner‐Mikrofonen und Kameras	Mikrofon und Kamera am Rechner sollten grundsätzlich deaktiviert sein und nur bei Bedarf temporär direkt am Gerät aktiviert und danach wieder deaktiviert werden.	01.04.2021
13.	Endgeräte	Abmelden nach Aufgabenerfüllung	Nach Ende der Nutzung immer den Zugang zum Gerät sperren oder Abmelden.	01.04.2021
14.	Endgeräte	Regelmäßige Datensicherung	Sichern Sie regelmäßig Ihre Daten.	01.01.2022
15.	Endgeräte	Einsatz von Virenschutzprogrammen	Setzen Sie aktuelle Virenschutzprogramme ein.	01.04.2021
16.	Endgeräte mit dem Betriebssystem Windows	Konfiguration von Synchronisationsmechanismen	Die Synchronisierung von Nutzerdaten mit Microsoft‐ Cloud‐Diensten sollte vollständig deaktiviert werden.	01.01.2022
17.	Endgeräte mit dem Betriebssystem Windows	Datei‐ und Freigabeberechtigungen	Regeln Sie Berechtigungen und Zugriffe pro Personengruppe und pro Person.	01.01.2022
18.	Endgeräte mit dem Betriebssystem Windows	Datensparsamkeit	Verwenden Sie so wenige persönliche Daten wie möglich.	01.01.2022
19.	Smartphone und Tablet	Schutz vor Phishing und Schadprogrammen im Browser	Nutzen Sie aktuelle Schutzprogramme vor Phishing und Schadprogrammen im Browser.	01.04.2021
20.	Smartphone und Tablet	Verwendung der SIM‐Karten‐ PIN	SIM‐Karten durch PIN schützen. Super‐PIN/PUK nur durch Verantwortliche anzuwenden.	01.04.2021
21.	Smartphone und Tablet	Sichere Grundkonfiguration für mobile Geräte	Auf mobilen Endgeräten sollten die strengsten bzw. sichersten Einstellungen gewählt werden, weil auch auf mobilen Geräten das erforderliche Schutzniveau für die verarbeiteten Daten sichergestellt werden muss.	01.01.2022
22.	Smartphone und Tablet	Verwendung eines Zugriffschutzes	Schützen Sie Ihre Geräte mit einem komplexen Gerätesperrcode.	01.04.2021
23.	Smartphone und Tablet	Updates von Betriebssystem und Apps	Updates des Betriebssystems und der eingesetzten Apps bei	01.04.2021

			Hinweis auf neue Versionen immer zeitnah installieren, um Schwachstellen zu vermeiden. Legen Sie zusätzlich einen festen Turnus (z.B. monatlich) fest, in dem das Betriebssystem und alle genutzten Apps auf neue Versionen geprüft werden.
24.	Smartphone und Tablet	Datenschutz‐Einstellungen	Den Zugriff von Apps und Betriebssystem auf Daten und Schnittstellen Ihrer Geräte sollten Sie in den Einstellungen restriktiv auf das Notwendigste einschränken.	01.01.2022
25.	Mobiltelefon	Sperrmaßnahmen bei Verlust eines Mobiltelefons	Bei Verlust eines Mobiltelefons muss die darin verwendete SIM‐Karte zeitnah gesperrt werden. Hinterlegen Sie die dafür notwendigen Mobilfunkanbieter‐ Informationen, um sie bei Bedarf im Zugriff zu haben.	01.01.2022
26.	Mobiltelefon	Nutzung der Sicherheitsmechanismen von Mobiltelefonen	Alle verfügbaren Sicherheitsmechanismen sollten auf den Mobiltelefonen genutzt und als Standard‐Einstellung vorkonfiguriert werden.	01.01.2022
27.	Mobiltelefon	Updates von Mobiltelefonen	Es sollte regelmäßig geprüft werden, ob es Softwareupdates für die Mobiltelefone gibt.	01.04.2021
28.	Wechseldatenträger / Speichermedien	Schutz vor Schadsoftware	Wechseldatenträger müssen bei jeder Verwendung mit einem aktuellen Schutzprogramm auf Schadsoftware überprüft werden.	01.01.2022
29.	Wechseldatenträger / Speichermedien	Angemessene Kennzeichnung der Datenträger beim Versand	Eindeutige Kennzeichnung für Empfänger, aber keine Rückschlüsse für andere ermöglichen.	01.04.2021
30.	Wechseldatenträger / Speichermedien	Sichere Versandart und Verpackung	Versand‐Anbieter mit sicherem Nachweis‐System, manipulationssichere Versandart und Verpackung verwenden.	01.04.2021

31.	Wechseldatenträger / Speichermedien	Sicheres Löschen der Datenträger vor und nach der Verwendung	Datenträger nach Verwendung immer sicher und vollständig Löschen. Ihr Rechner bietet dafür verschiedene Möglichkeiten.	01.01.2022
32.	Netzwerksicherheit	Absicherung der Netzübergangspunkte	Der Übergang zu anderen Netzen, insbesondere dem Internet, muss durch eine Firewall geschützt werden.	01.04.2021
33.	Netzwerksicherheit	Dokumentation des Netzes	Das interne Netz ist inklusive eines Netzplanes zu dokumentieren.	01.04.2021
34.	Netzwerksicherheit	Grundlegende Authentisierung für den Netzmanagement‐ Zugriff	Für den Management‐Zugriff auf Netzkomponenten und auf Managementinformationen muss eine geeignete Authentisierung verwendet werden.	01.01.2022

ANLAGE 2

Zusätzliche Anforderungen für mittlere Praxen

	Zielobjekt	Anforderung	Erläuterung	Geltung ab
	Software: Rechner‐Programme, mobile Apps und Internet‐Anwendungen
1.	Mobile Anwendungen (Apps)	Minimierung und Kontrolle von App‐Berechtigungen	Minimierung der App‐ Berechtigungen.	01.04.2021
2.	Internet‐ Anwendungen	Zugriffskontrolle bei Webanwendungen	Sicherstellung von Berechtigungen.	01.01.2022
	Hardware: Endgeräte und IT‐Systeme
3.	Endgeräte	Nutzung von TLS	Benutzer sollten darauf achten, dass zur Verschlüsselung von Webseiten TLS verwendet wird.	01.01.2022
4.	Endgeräte	Restriktive Rechtevergabe	Restriktive Rechtevergabe.	01.01.2022
5.	Endgeräte mit dem Betriebssystem Windows	Sichere zentrale Authentisierung in Windows‐ Netzen	In reinen Windows‐Netzen sollte zur zentralen Authentisierung für Single Sign On (SSO) ausschließlich Kerberos eingesetzt werden.	01.07.2022
6.	Smartphone und Tablet	Richtlinie für Mitarbeiter zur Benutzung von mobilen Geräten	Es sollte eine verbindliche Richtlinie für Mitarbeiter zur Benutzung von mobilen Geräten erstellt werden.	01.07.2022
7.	Smartphone und Tablet	Verwendung von Sprachassistenten	Sprachassistenten sollten nur eingesetzt werden, wenn sie zwingend notwendig sind.	01.01.2022
8.	Mobiltelefon	Sicherheitsrichtlinien und Regelungen für die Mobiltelefon‐Nutzung	Werden Mobiltelefone für dienstliche Zwecke verwendet, muss eine Nutzungs‐ und Sicherheitsrichtlinie erstellt werden.	01.07.2022
9.	Mobiltelefon	Sichere Datenübertragung über Mobiltelefone	Es sollte geregelt sein, welche Daten über Mobiltelefone übertragen werden dürfen. Diese sind zu verschlüsseln.	01.01.2022
10.	Wechseldatenträger / Speichermedien	Regelung zur Mitnahme von Wechseldatenträgern	Es sollte klare schriftliche Regeln dazu geben, ob, wie und zu welchen Anlässen Wechseldatenträger mitgenommen werden dürfen.	01.01.2022

11.	Netzwerksicherheit	Umfassende Protokollierung,	Wichtige Ereignisse auf	01.01.2022
		Alarmierung und Logging von	Netzkomponenten und auf
		Ereignissen	den Netzmanagement‐
			Werkzeugen sollten
			automatisch an ein zentrales
			Management‐System
			übermittelt und dort
			protokolliert werden.

ANLAGE 3

Zusätzliche Anforderungen für Großpraxen

	Zielobjekt	Anforderung	Erläuterung	Geltung ab
	Hardware: Endgeräte und IT‐Systeme
1.	Smartphone und Tablet	Festlegung einer Richtlinie für den Einsatz von Smartphones und Tablets	Bevor eine Praxis Smartphones oder Tablets bereitstellt, betreibt oder einsetzt, muss eine generelle Richtlinie im Hinblick auf die Nutzung und Kontrolle der Geräte festgelegt werden.	01.01.2022
2.	Smartphone und Tablet	Auswahl und Freigabe von Apps	Apps aus öffentlichen App‐ Stores sollten durch die Verantwortlichen geprüft und freigegeben werden.	01.07.2022
3.	Smartphone und Tablet	Definition der erlaubten Informationen und Applikationen auf mobilen Geräten	Die Praxis sollte festlegen, welche Informationen auf den mobilen Endgeräten verarbeitet werden dürfen.	01.01.2022
4.	Mobile Device Management (MDM)	Sichere Anbindung der mobilen Endgeräte an die Institution	Die Verbindung der mobilen Endgeräte zum MDM sollte angemessen abgesichert werden.	01.01.2022
5.	Mobile Device Management (MDM)	Berechtigungsmanagement im MDM	Für das MDM sollte ein Berechtigungskonzept erstellt, dokumentiert und angewendet werden.	01.01.2022
6.	Mobile Device Management (MDM)	Verwaltung von Zertifikaten	Zertifikate zur Nutzung von Diensten auf dem mobilen Endgerät sollten zentral über das MDM installiert, deinstalliert und aktualisiert werden.	01.01.2022
7.	Mobile Device Management (MDM)	Fernlöschung und Außerbetriebnahme von Endgeräten	Das MDM sollte sicherstellen, dass sämtliche Daten auf dem mobilen Endgerät aus der Ferne gelöscht werden können.	01.01.2022
8.	Mobile Device Management (MDM)	Auswahl und Freigabe von Apps	Apps aus öffentlichen App‐ Stores sollten durch die Verantwortlichen geprüft und freigegeben werden.	10.07.2022
9.	Mobile Device Management (MDM)	Festlegung erlaubter Informationen auf mobilen Endgeräten	Die Praxis sollte festlegen, welche Informationen die mobilen Endgeräte unter welchen Bedingungen verarbeiten dürfen.	01.01.2022

10.	Wechseldatenträger / Speichermedien	Datenträgerverschlüsselung	Wechseldatenträger sollten vollständig verschlüsselt werden.	01.04.2021
11.	Wechseldatenträger / Speichermedien	Integritätsschutz durch Checksummen oder digitale Signaturen	Ein Verfahren zum Schutz gegen zufällige oder vorsätzliche Veränderungen sollte eingesetzt werden.	01.01.2022
12.	Netzwerksicherheit	Absicherung von schützenswerten Informationen	Schützenswerte Informationen müssen über nach dem derzeitigen Stand der Technik sichere Protokolle übertragen werden, falls nicht über vertrauenswürdige dedizierte Netzsegmente kommuniziert wird.	01.01.2022

ANLAGE 4

Zusätzliche Anforderungen bei der Nutzung medizinischer Großgeräte

	Zielobjekt	Anforderung	Erläuterung	Geltung ab
1.	Medizinische Großgeräte	Einschränkung des Zugriffs für Konfigurations‐ und Wartungsschnittstellen	Es muss sichergestellt werden, dass nur zuvor festgelegte berechtigte Mitarbeiter auf Konfigurations‐ und Wartungsschnittstellen von medizinischen Großgeräten zugreifen können. Standardmäßig eingerichtete bzw. herstellerseitig gesetzte Passwörter müssen gewechselt werden. Der Wechsel muss dokumentiert und das Passwort sicher hinterlegt werden. Standardmäßig eingerichtete bzw. herstellerseitig gesetzte Benutzerkonten sollten gewechselt werden.	01.07.2021
2.	Medizinische Großgeräte	Nutzung sicherer Protokolle für die Konfiguration und Wartung	Für die Konfiguration und Wartung von medizinischen Großgeräten müssen sichere Protokolle genutzt werden. Die Daten müssen beim Transport vor unberechtigtem Mitlesen und Veränderungen geschützt werden.	01.07.2021
3.	Medizinische Großgeräte	Protokollierung	Es muss festgelegt werden: welche Daten und Ereignisse protokolliert werden sollen,wie lange die Protokolldaten aufbewahrt werden undwer diese einsehen darf. Generell müssen alle sicherheitsrelevanten Systemereignisse protokolliert und bei Bedarf ausgewertet werden.	01.01.2022

4.	Medizinische Großgeräte	Deaktivierung nicht genutzter Dienste, Funktionen und Schnittstellen	Alle nicht genutzten Dienste, Funktionen und Schnittstellen der medizinischen Großgeräte müssen soweit möglich deaktiviert oder deinstalliert werden.	01.01.2022
5.	Medizinische Großgeräte	Deaktivierung nicht genutzter Benutzerkonten	Nicht genutzte und unnötige Benutzerkonten müssen deaktiviert werden.	01.07.2021
6.	Medizinische Großgeräte	Netzsegmentierung	Medizinische Großgeräte sollten von der weiteren IT getrennt werden.	01.01.2022

ANLAGE 5

DEZENTRALE KOMPONENTEN DER TELEMATIKINFRASTRUKTUR

	Zielobjekt	Anforderung	Erläuterung	Geltung ab
1.	Dezentrale Komponenten der TI	Planung und Durchführung der Installation	Die von der gematik GmbH auf Ihrer Website zur Verfügung gestellten Informationen für die Installation der TI‐Komponenten müssen berücksichtigt werden.	01.01.2022
2.	Dezentrale Komponenten der TI	Betrieb	Die Anwender‐ und Administrationsdokumentationen der gematik GmbH und der Hersteller der TI‐Komponenten, insbesondere die Hinweise zum sicheren Betrieb der Komponenten, müssen berücksichtigt werden.	01.01.2022
3.	Dezentrale Komponenten der TI	Schutz vor unberechtigtem physischem Zugriff	Die TI‐Komponenten in der Praxis müssen entsprechend den Vorgaben im jeweiligen Handbuch vor dem Zugriff Unberechtigter geschützt werden.	01.01.2022
4.	Konnektor	Betriebsart „parallel“	Wird der Konnektor in der Konfiguration „parallel“ ins Netzwerk des Leistungserbringers eingebracht, müssen zusätzliche Maßnahmen ergriffen werden, um die mit dem Internet verbundene Praxis auf Netzebene zu schützen.	01.01.2022
5.	Primärsysteme	Geschützte Kommunikation mit dem Konnektor	Es müssen Authentisierungsmerkmale für die Clients (Zertifikate oder Username und Passwort) erstellt und in die Clients eingebracht bzw. die Clients entsprechend konfiguriert werden.	01.01.2021
6.	Dezentrale Komponenten der TI	Zeitnahes Installieren verfügbarer Aktualisierungen	Die TI‐Komponenten in der Praxis müssen regelmäßig auf verfügbare Aktualisierungen geprüft werden und verfügbare Aktualisierungen müssen zeitnah installiert werden. Bei Verfügbarkeit einer Funktion für automatische Updates sollte diese aktiviert werden.	01.01.2022

Dezentrale Komponenten der TI

Sicheres Aufbewahren von Administrationsdaten

Die im Zuge der Installation der TI‐Komponenten eingerichteten Administrationsdaten, insbesondere auch Passwörter für den Administrator‐Zugang, müssen sicher aufbewahrt werden. Jedoch muss gewährleistet sein, dass der Leistungserbringer auch ohne seinen Dienstleister die Daten kennt.

01.01.2022

ANLAGE 6

Quellensammlung, informatorische Quellen des BSI zu den Anforderungen:

1. BSI‐Empfehlung für sichere Web‐Browser v2.0 https://www.allianz‐fuer‐cybersicherheit.de/ACS/DE/_/downloads/BSI‐CS/BSI‐CS_071.html

- Sichere Konfiguration von Microsoft Office 2013/2016/2019 v1.1 https://www.allianz‐fuer‐cybersicherheit.de/ACS/DE/_/downloads/BSI‐CS/BSI‐CS_135.html

- Android ‐ Konfigurationsempfehlung auf Basis betriebssystemeigener Mittel für eine Nutzung mit erhöhter Sicherheit v2.0 https://www.allianz‐fuer‐cybersicherheit.de/ACS/DE/_/downloads/BSI‐CS/BSI‐CS_109.html

- Sichere Konfiguration von Microsoft Outlook 2013/2016/2019 v.1.1 https://www.allianz‐fuer‐cybersicherheit.de/ACS/DE/_/downloads/BSI‐CS/BSI‐CS_139.html