| Anlage | Nr | Zielobjekt | Anforderung | Erläuterung |
|---|---|---|---|---|
| A1 | 1 | Personal | Geregelte Einarbeitung neuer Mitarbeitender | Mitarbeitende müssen zu Beginn ihrer Beschäftigung in ihre neuen Aufgaben eingearbeitet werden. Die Mitarbeitenden müssen über bestehende Regelungen, Handlungsanweisungen und Verfahrensweisen informiert werden. |
| A1 | 2 | Personal | Geregelte Verfahrensweise beim Weggang von Mitarbeitenden | Ausscheidende Mitarbeitende müssen alle im Rahmen ihrer Tätigkeit erhaltenen Unterlagen, Schlüssel und Geräte sowie Ausweise und Zutrittsberechtigungen zurückgeben. Zugangsdaten (bspw. Passwörter), die dem ausscheidendem Mitarbeiter bekannt waren oder von ihm genutzt wurden, müssen geändert oder vernichtet werden. Vor der Verabschiedung muss noch einmal auf die fortdauernden Verschwiegenheitsverpflichtungen hingewiesen werden. |
| A1 | 3 | Personal | Festlegung von Regelungen für den Einsatz von Fremdpersonal | Externes Personal muss wie alle eigenen Mitarbeitenden dazu verpflichtet werden, geltende Gesetze, Vorschriften und interne Regelungen einzuhalten. Kurzfristig oder einmalig eingesetztes Fremdpersonal muss in sicherheitsrelevanten Bereichen beaufsichtigt werden. Ggf. notwendige Zugangsberichtigungen sind so restriktiv wie möglich zu halten. |
| A1 | 4 | Personal | Vertraulichkeitsvereinbarungen für den Einsatz von Fremdpersonal | Bevor externe Personen Zugang und Zugriff zu vertraulichen Informationen erhalten, müssen mit ihnen Vertraulichkeitsvereinbarungen in schriftlicher Form geschlossen werden. |
| A1 | 5 | Personal | Aufgaben und Zuständigkeiten von Mitarbeitenden | Alle Mitarbeitenden müssen dazu verpflichtet werden, geltende Gesetze, Vorschriften und interne Regelungen einzuhalten. Die Mitarbeitenden müssen auf den rechtlichen Rahmen ihrer Tätigkeit hingewiesen werden. Die Aufgaben und Zuständigkeiten von Mitarbeitenden müssen in geeigneter Weise dokumentiert sein. Dabei sollte ebenfalls dokumentiert werden, welche Berechtigungen und Zugänge für die Mitarbeitenden bereitgestellt/genutzt werden. Außerdem müssen alle Mitarbeitenden darauf hingewiesen werden, dass alle während der Arbeit erhaltenen Informationen ausschließlich zum internen Gebrauch bestimmt sind. |
| A1 | 6 | Personal | Qualifikation des Personals | Mitarbeitende müssen regelmäßig geschult bzw. weitergebildet werden, insbesondere auch im Bezug auf die eingesetzte Technik/IT. Es müssen betriebliche Regelungen vorhanden sein, welche mit geeigneten Mitteln sicherstellen, dass die Mitarbeitenden auf einem aktuellen Kenntnisstand sind. Weiterhin sollte den Mitarbeitenden während ihrer Beschäftigung die Möglichkeit gegeben werden, sich im Rahmen ihres Tätigkeitsfeldes weiterzubilden. |
| A1 | 7 | Personal | Überprüfung der Vertrauenswürdigkeit von Mitarbeitenden | Bei der Einstellung neuer Mitarbeitenden sollte besonders auf ihre Vertrauenswürdigkeit, beispielsweise bei der Prüfung vorliegender Arbeitszeugnisse, geachtet werden. Soweit möglich, sollten alle an der Personalauswahl Beteiligten kontrollieren, ob die Angaben der Bewerbenden, die relevant für die Einschätzung ihrer Vertrauenswürdigkeit sind, glaubhaft sind. |
| A1 | 8 | Sensibilisierung und Schulung zur Informationssicherheit | Sensibilisierung der Praxisleitung für Informationssicherheit | Die Praxisleitung muss ausreichend für Sicherheitsfragen sensibilisiert werden. Sicherheitskampagnen oder andere Schulungsmaßnahmen müssen von der Praxisleitung unterstützt werden. |
| A1 | 9 | Sensibilisierung und Schulung zur Informationssicherheit | Einweisung des Personals in den sicheren Umgang mit IT | Alle Mitarbeitenden und externen Benutzenden müssen in den sicheren Umgang mit IT-Komponenten eingewiesen und sensibilisiert werden, soweit dies für ihre Arbeitszusammenhänge relevant ist. |
| A1 | 10 | Sensibilisierung und Schulung zur Informationssicherheit | Durchführung von Sensibilisierungen und Schulungen zur Informationssicherheit | Alle Mitarbeitenden sollten entsprechend ihren Aufgaben und Verantwortlichkeiten zu Informationssicherheitsthemen geschult werden. |
| A1 | 11 | Netzwerksicherheit | Absicherung der Netzübergangspunkte | Der Übergang zu anderen Netzen insbesondere dem Internet muss durch eine Firewall geschützt werden. Primäres Ziel ist es, keine unerlaubten Verbindungen von außen in das geschützte Netz zuzulassen. Zusätzlich sollten nur erlaubte Verbindungen aus dem geschützten Netz nach außen aufgebaut werden können. |
| A1 | 12 | Netzwerksicherheit | Dokumentation des Netzes | Das interne Netz ist inklusive eines Netzplanes zu dokumentieren. |
| A1 | 13 | Netzwerksicherheit | Grundlegende Authentisierung für den Netzmanagement-Zugriff | Für den Management-Zugriff auf Netzkomponenten und auf Managementinformationen muss eine geeignete Authentisierung verwendet werden. |
| A1 | 14 | Patch- und Änderungsmanagement | Installation von Updates | Updates müssen zeitnah nach ihrer Veröffentlichung installiert werden. |
| A1 | 15 | Patch- und Änderungsmanagement | Verantwortlichkeit für Updates | Es muss festgelegt werden, wer die Updates installiert. Das ausgewählte Personal muss geschult und entsprechend berechtigt werden. |
| A1 | 16 | Patch- und Änderungsmanagement | Identifizierung ausbleibender Updates | Hardware, eingesetzte Betriebssysteme, eingesetzte Anwendungen und Dienste, die keine Sicherheitsupdates mehr erhalten, müssen identifiziert werden. |
| A1 | 17 | Patch- und Änderungsmanagement | Ausmusterung oder Separierung bei ausbleibenden Updates | Hardware, eingesetzte Betriebssysteme, eingesetzte Anwendungen und Dienste, die keine Sicherheitsupdates mehr erhalten, müssen ausgemustert oder separiert in einem eigenen Netzwerksegment betrieben werden. |
| A1 | 18 | Endgeräte | Verhinderung der unautorisierten Nutzung von Rechner-Mikrofonen und Kameras | Mikrofon und Kamera am Rechner sollten grundsätzlich deaktiviert sein und nur bei Bedarf temporär direkt am Gerät aktiviert und danach wieder deaktiviert werden. |
| A1 | 19 | Endgeräte | Abmelden nach Aufgabenerfüllung | Nach Ende der Nutzung immer den Zugang zum Gerät sperren oder abmelden. |
| A1 | 20 | Endgeräte | Einsatz von Viren-Schutzprogrammen | Aktuelle Virenschutzprogramme sind einzusetzen. |
| A1 | 21 | Endgeräte | Regelmäßige Datensicherung | Sämtliche relevante Daten sind regelmäßig zu sichern. |
| A1 | 22 | Endgeräte | Schutz der Datensicherung | Die Datensicherung muss vor unbefugtem Zugriff gesichert werden. |
| A1 | 23 | Endgeräte | Art der Datensicherung | Es muss festgelegt werden, wie die Daten gesichert werden. |
| A1 | 24 | Endgeräte | Verantwortliche der Datensicherung | Es muss festgelegt werden, wer für die Datensicherung zuständig ist. |
| A1 | 25 | Endgeräte | Test der Datensicherung | Es sollte getestet werden, ob gesicherte Daten funktionsfähig und vollständig vorhanden sind. |
| A1 | 26 | Endgeräte | Der Zugriff auf Geräte und Software muss abgesichert werden. | Es sollten Benutzer und Rollen in der Praxissoftware zum Steuern der Zugriffe auf Patientendaten oder zur Nutzung von Sicherheitskarten wie z.B. den eHBA für den Inhaber der Karte eingerichtet werden. |
| A1 | 27 | Endgeräte mit dem Betriebssystem Windows | Konfiguration von Synchronisationsmechanismen | Die Synchronisierung von Nutzerdaten mit Microsoft-Cloud-Diensten sollte vollständig deaktiviert werden. |
| A1 | 28 | Endgeräte mit dem Betriebssystem Windows | Datei- und Freigabeberechtigungen | Berechtigungen und Zugriffe sind pro Personengruppe und pro Person zu regeln. |
| A1 | 29 | Endgeräte mit dem Betriebssystem Windows | Datensparsamkeit | So wenige personenbezogene Daten wie möglich sind zu verwenden. |
| A1 | 30 | Smartphone und Tablet | Verwendung der SIM-Karten-PIN | SIM-Karten sind durch eine PIN zu schützen. Super-PIN/PUK sind nur durch Verantwortliche anzuwenden. |
| A1 | 31 | Smartphone und Tablet | Sichere Grundkonfiguration für mobile Geräte | Auf mobilen Endgeräten sollten die strengsten bzw. sichersten Einstellungen gewählt werden, weil auch auf mobilen Geräten das erforderliche Schutzniveau für die verarbeiteten Daten sichergestellt werden muss. |
| A1 | 32 | Smartphone und Tablet | Verwendung eines Zugriffschutzes | Geräte sind mit einem komplexen Gerätesperrcode zu schützen. |
| A1 | 33 | Smartphone und Tablet | Datenschutz-Einstellungen | Der Zugriff von Apps und Betriebssystem auf Daten und Schnittstellen der Endgeräte sollte in den Einstellungen restriktiv auf das Notwendigste eingeschränkt werden. |
| A1 | 34 | Mobiltelefon | Sperrmaßnahmen bei Verlust eines Mobiltelefons | Bei Verlust eines Mobiltelefons muss die darin verwendete SIM-Karte zeitnah gesperrt werden. Die dafür notwendigen Mobilfunkanbieter-Informationen sind zu hinterlegen, um bei Bedarf darauf zugreifen zu können. |
| A1 | 35 | Mobiltelefon | Nutzung der Sicherheitsmechanismen von Mobiltelefonen | Alle verfügbaren Sicherheitsmechanismen sollten auf den Mobiltelefonen genutzt und als Standard-Einstellung vorkonfiguriert werden. |
| A1 | 36 | Wechseldatenträger / Speichermedien | Schutz vor Schadsoftware | Wechseldatenträger müssen bei jeder Verwendung mit einem aktuellen Schutzprogramm auf Schadsoftware überprüft werden. |
| A1 | 37 | Wechseldatenträger / Speichermedien | Angemessene Kennzeichnung der Datenträger beim Versand | Beim Versand von Datenträgern sollte der Absender diese für den Empfänger eindeutig kennzeichnen. Dabei sollte die Kennzeichnung möglichst keine Rückschlüsse auf den Inhalt für andere ermöglichen. |
| A1 | 38 | Wechseldatenträger / Speichermedien | Sichere Versandart und Verpackung | Zum Versand von Datenträgern sollten Versandanbieter mit sicherem Nachweis-System und eine möglichst manipulationssichere Versandart und Verpackung gewählt werden. |
| A1 | 39 | Wechseldatenträger / Speichermedien | Sicheres Löschen der Datenträger vor und nach der Verwendung | Alle Datenträger müssen nach ihrer Verwendung durch den jeweiligen Mitarbeiter /Mitarbeiterin sicher und vollständig gelöscht werden. |
| A1 | 40 | E-Mail-Client und -Server | Sichere Konfiguration der E-Mail-Clients | Bei der Konfiguration der E-Mail-Clients muss mindestens Folgendes berücksichtigt werden: Dateianhänge von E-Mails sollten vor dem Öffnen auf Schadsoftware geprüft werden die automatische Interpretation von HTML-Code und anderen aktiven Inhalten in E-Mails sollte deaktiviert werden. zur Kommunikation mit E-Mail-Servern über nicht vertrauenswürdige Netze sollte eine sichere Transportverschlüsselung eingesetzt werden |
| A1 | 41 | E-Mail-Client und -Server | Umgang mit Spam durch Benutzende | Grundsätzlich sollten die Benutzenden alle Spam-E-Mails ignorieren und löschen. Die Benutzenden sollten auf unerwünschte E-Mails nicht antworten. Sie sollten Links in diesen E-Mails nicht folgen. |
| A1 | 42 | Mobile Anwendungen (Apps) | Sichere Apps nutzen | Apps sollten nur aus den offiziellen Stores geladen werden. Sofern Apps nicht mehr benötigt werden, ist der Benutzeraccount in der App / das Benutzerkonto zu löschen und danach die App auf dem Gerät zu deinstallieren. |
| A1 | 43 | Mobile Anwendungen (Apps) | Sichere Speicherung lokaler App-Daten | Es sollten nur Apps genutzt werden, die Dokumente verschlüsselt und lokal abspeichern. |
| A1 | 44 | Mobile Anwendungen (Apps) | Verhinderung von Datenabfluss | Der Zugriff von Apps auf vertrauliche Daten muss durch restriktive Datenschutz-Einstellungen soweit wie möglich eingeschränkt werden. |
| A1 | 45 | Internet-Anwendungen – Anbieter | Authentisierung bei Webanwendungen | Sollten Sie als Praxis einen Webdienst anbieten: Der IT-Betrieb muss Webanwendungen und Webservices so konfigurieren, dass sich Clients gegenüber der Webanwendung oder dem Webservice authentisieren müssen, wenn diese auf geschützte Ressourcen zugreifen wollen. Dafür muss eine angemessene Authentisierungsmethode ausgewählt werden. Der Auswahlprozess sollte dokumentiert werden. Der IT-Betrieb muss geeignete Grenzwerte für fehlgeschlagene Anmeldeversuche festlegen. |
| A1 | 46 | Internet-Anwendungen – Anbieter | Schutz vertraulicher Daten | Sollten Sie als Praxis einen Webdienst anbieten: Der IT-Betrieb muss sicherstellen, dass Zugangsdaten zur Webanwendung oder zum Webservice serverseitig mithilfe von sicheren kryptografischen Algorithmen vor unbefugtem Zugriff geschützt werden. Dazu müssen Salted Hash-Verfahren verwendet werden. Die Dateien mit den Quelltexten der Webanwendung oder des Webservices müssen vor unerlaubten Abrufen geschützt werden. |
| A1 | 47 | Internet-Anwendungen – Anbieter | Einsatz von Web Application Firewalls | Sollten Sie als Praxis einen Webdienst anbieten: Institutionen sollten eine Web Application Firewall (WAF) einsetzen. Die Konfiguration der eingesetzten WAF sollte auf die zu schützende Webanwendung oder den Webservice angepasst werden. Nach jedem Update der Webanwendung oder des Webservices sollte die Konfiguration der WAF geprüft werden. |
| A1 | 48 | Internet-Anwendungen – Anbieter | Schutz vor unerlaubter automatisierter Nutzung von Webanwendungen | Sollten Sie als Praxis einen Webdienst anbieten: Der IT-Betrieb muss sicherstellen, dass Webanwendungen und Webservices vor unberechtigter automatisierter Nutzung geschützt werden. Dabei muss jedoch berücksichtigt werden, wie sich die Schutzmechanismen auf die Nutzungsmöglichkeiten berechtigter Clients auswirken. Wenn die Webanwendung RSS-Feeds oder andere Funktionen enthält, die explizit für die automatisierte Nutzung vorgesehen sind, muss dies ebenfalls bei der Konfiguration der Schutzmechanismen berücksichtigt werden. |
| A1 | 49 | Internet-Anwendungen – Anwender | Kryptografische Sicherung vertraulicher Daten | Bei der Nutzung von Webanwendungen ist darauf zu achten, dass eine verschlüsselte Kommunikation zum Einsatz kommt (z.B. https statt http). |
| A1 | 50 | Cloud-Anwendungen – Anbieter | Sicherheit von Cloud-Dienstleistern | Soweit Sozial- oder Gesundheitsdaten im Wege des Cloud-Computing verarbeitet werden sollen, muss der Anbieter der eingesetzten Cloud-Anwendung über ein aktuelles C5-Testat entsprechend § 393 SGB V in Verbindung mit § 384 SGB V verfügen. |
| A2 | 1 | Netzwerksicherheit | Alarmierung und Logging | Wichtige Ereignisse auf Netzkomponenten und auf den Netzmanagement-Werkzeugen sollten automatisch an ein zentrales Management-System übermittelt und dort protokolliert werden. |
| A2 | 2 | Endgeräte | Nutzung von verschlüsselten Kommunikationsverbindungen | Benutzer sollten darauf achten, dass zur Verschlüsselung von Kommunikationsverbindungen kryptografische Algorithmen nach dem Stand der Technik wie z.B. TLS verwendet werden. |
| A2 | 3 | Endgeräte | Restriktive Rechtevergabe | Rechte sollten so restriktiv wie möglich nach dem Need-to-know Prinzip vergeben werden. |
| A2 | 4 | Endgeräte mit dem Betriebssystem Windows | Sichere zentrale Authentisierung in Windows-Netzen | In reinen Windows-Netzen sollte zur zentralen Authentisierung für Single Sign On (SSO) ausschließlich Kerberos eingesetzt werden. |
| A2 | 5 | Smartphone und Tablet | Richtlinie für Mitarbeitende zur Benutzung von mobilen Geräten | Es sollte eine verbindliche Richtlinie für Mitarbeitende zur Benutzung von mobilen Geräten erstellt werden. |
| A2 | 6 | Smartphone und Tablet | Verwendung von Sprachassistenten | Sprachassistenten sollten nur eingesetzt werden, wenn sie zwingend notwendig sind. |
| A2 | 7 | Mobiltelefon | Sicherheitsrichtlinien und Regelungen für die Mobiltelefon-Nutzung | Werden Mobiltelefone für dienstliche Zwecke verwendet, muss eine Nutzungs- und Sicherheitsrichtlinie erstellt werden. |
| A2 | 8 | Mobiltelefon | Sichere Datenübertragung über Mobiltelefone | Es sollte geregelt sein, welche Daten über Mobiltelefone übertragen werden dürfen. Diese sind zu verschlüsseln. |
| A2 | 9 | Wechseldatenträger / Speichermedien | Regelung zur Mitnahme von Wechseldatenträgern | Es sollte klare schriftliche Regeln dazu geben, ob, wie und zu welchen Anlässen Wechseldatenträger mitgenommen werden dürfen. |
| A2 | 10 | Mobile Anwendungen (Apps) | Minimierung und Kontrolle von App-Berechtigungen | Die Berechtigungen von Apps sind auf das notwendige Minimum einzuschränken bzw. zu vergeben. |
| A3 | 1 | Personal | Messung und Auswertung des Lernerfolgs | Die Lernerfolge im Bereich Informationssicherheit sollten zielgruppenbezogen gemessen und ausgewertet werden. Die Ergebnisse sollten bei der Verbesserung des Sensibilisierungs- und Schulungsangebots zur Informationssicherheit in geeigneter Weise einfließen. |
| A3 | 2 | Netzwerksicherheit | Planung des internen Netzwerkes | Bei der Planung des internen Netzwerkes soll eine Netzwerksegmentierung erfolgen, die berücksichtigt, welche Daten in dem jeweiligen Segment verarbeitet und kommuniziert werden. Hierbei soll eine Trennung zwischen Gesundheitsdaten und weniger kritischen Daten erfolgen. |
| A3 | 3 | Netzwerksicherheit | Absicherung von schützenswerten Informationen | Schützenswerte Informationen müssen über nach dem derzeitigen Stand der Technik sichere Protokolle übertragen werden, falls nicht über vertrauenswürdige dedizierte Netzsegmente kommuniziert wird. |
| A3 | 4 | Smartphone und Tablet | Festlegung einer Richtlinie für den Einsatz von Smartphones und Tablets | Bevor eine Praxis Smartphones oder Tablets bereitstellt, betreibt oder einsetzt, muss eine generelle Richtlinie im Hinblick auf die Nutzung und Kontrolle der Geräte festgelegt werden. |
| A3 | 5 | Smartphone und Tablet | Auswahl und Freigabe von Apps | Apps aus öffentlichen App-Stores sollten vor einer gewünschten Installation durch die Verantwortlichen geprüft und freigegeben werden. |
| A3 | 6 | Smartphone und Tablet | Definition der erlaubten Informationen und Applikationen auf mobilen Geräten | Die Praxis sollte festlegen, welche Informationen auf den mobilen Endgeräten verarbeitet werden dürfen. |
| A3 | 7 | Mobile Device Management (MDM) | Sichere Anbindung der mobilen Endgeräte an die Institution | Die Verbindung der mobilen Endgeräte zum MDM und das interne Netz der Institution muss angemessen abgesichert werden. |
| A3 | 8 | Mobile Device Management (MDM) | Berechtigungsmanagement im MDM | Für das MDM muss ein Berechtigungskonzept erstellt, dokumentiert und angewendet werden. |
| A3 | 9 | Mobile Device Management (MDM) | Verwaltung von Zertifikaten | Zertifikate zur Nutzung von Diensten auf dem mobilen Endgerät sollten zentral über das MDM installiert, deinstalliert und aktualisiert werden. |
| A3 | 10 | Mobile Device Management (MDM) | Fernlöschung und Außerbetriebnahme von Endgeräten | Das MDM muss sicherstellen, dass sämtliche Daten auf dem mobilen Endgerät aus der Ferne gelöscht werden können. |
| A3 | 11 | Mobile Device Management (MDM) | Auswahl und Freigabe von Apps | Nur durch die Verantwortlichen geprüfte und freigegebene Apps dürfen über das MDM zur Installation angeboten werden. |
| A3 | 12 | Mobile Device Management (MDM) | Festlegung erlaubter Informationen auf mobilen Endgeräten | Die Praxis muss festlegen, welche Informationen die mobilen Endgeräte unter welchen Bedingungen verarbeiten dürfen. |
| A3 | 13 | Wechseldatenträger / Speichermedien | Datenträgerverschlüsselung | Wechseldatenträger sollten vollständig verschlüsselt werden. |
| A3 | 14 | Wechseldatenträger / Speichermedien | Integritätsschutz durch Checksummen oder digitale Signaturen | Ein Verfahren zum Schutz gegen zufällige oder vorsätzliche Veränderungen sollte eingesetzt werden. |
| A3 | 15 | E-Mail-Client und -Server | Sicherer Betrieb von E-Mail-Servern | Bei dem Betrieb von E-Mail-Servern muss mindestens Folgendes berücksichtigt werden: es muss eine sichere Transportverschlüsselung für das Senden und Empfangen von E-Mails ermöglicht werden es sollten Schutzmechanismen gegen Denial-of-Service (DoS)-Attacken ergriffen werden E-Mail-Server müssen so konfiguriert werden, dass sie nicht als Spam-Relay missbraucht werden können. |
| A3 | 16 | E-Mail-Client und -Server | Datensicherung und Archivierung von E-Mails | Die Daten der E-Mail-Server und -Clients sind regelmäßig und verschlüsselt zu sichern. |
| A3 | 17 | E-Mail-Client und -Server | Spam- und Virenschutz auf dem E-Mail-Server | Eingehende und ausgehende E-Mails und deren Anhänge sind auf Spam-Merkmale und schädliche Inhalte zu überprüfen. |
| A4 | 1 | Medizinische Großgeräte | Einschränkung des Zugriffs für Konfigurations- und Wartungsschnittstellen | Es muss sichergestellt werden, dass nur zuvor festgelegte berechtigte Mitarbeiter auf Konfigurations- und Wartungsschnittstellen von medizinischen Großgeräten zugreifen können. Standardmäßig eingerichtete bzw. herstellerseitig gesetzte Passwörter müssen gewechselt werden. Der Wechsel muss dokumentiert und das Passwort sicher hinterlegt werden. Standardmäßig eingerichtete bzw. herstellerseitig gesetzte Benutzerkonten sollten gewechselt werden. |
| A4 | 2 | Medizinische Großgeräte | Nutzung sicherer Protokolle für die Konfiguration und Wartung | Für die Konfiguration und Wartung von medizinischen Großgeräte müssen sichere Protokolle genutzt werden. Die Daten müssen beim Transport vor unberechtigtem Mitlesen und Veränderungen geschützt werden. |
| A4 | 3 | Medizinische Großgeräte | Protokollierung | Es muss festgelegt werden: • welche Daten und Ereignisse protokolliert werden sollen, • wie lange die Protokolldaten aufbewahrt werden und • wer diese einsehen darf. Generell müssen alle sicherheitsrelevanten Systemereignisse protokolliert und bei Bedarf ausgewertet werden. |
| A4 | 4 | Medizinische Großgeräte | Deaktivierung nicht genutzter Dienste, Funktionen und Schnittstellen | Alle nicht genutzten Dienste, Funktionen und Schnittstellen der medizinischen Großgeräte müssen soweit möglich deaktiviert oder deinstalliert werden. |
| A4 | 5 | Medizinische Großgeräte | Deaktivierung nicht genutzter Benutzerkonten | Nicht genutzte und unnötige Benutzerkonten müssen deaktiviert werden. |
| A4 | 6 | Medizinische Großgeräte | Netzsegmentierung | Medizinische Großgeräte sollten von der weiteren IT getrennt werden. |
| A5 | 1 | Dezentrale Komponenten der TI | Planung und Durchführung der Installation | Die von der gematik GmbH auf Ihrer Website zur Verfügung gestellten Informationen für die Installation der TI-Komponenten müssen berücksichtigt werden. |
| A5 | 2 | Dezentrale Komponenten der TI | Betrieb | Die Anwender- und Administrationsdokumentationen der gematik GmbH und der Hersteller der TI-Komponenten, insbesondere die Hinweise zum sicheren Betrieb der Komponenten, müssen berücksichtigt werden. |
| A5 | 3 | Dezentrale Komponenten der TI | Schutz vor unberechtigtem physischem Zugriff | Die TI-Komponenten in der Praxis müssen entsprechend den Vorgaben im jeweiligen Handbuch vor dem Zugriff Unberechtigter geschützt werden. |
| A5 | 4 | Dezentrale Komponenten der TI | Internet Verbindung parallel zur TI Anbindung | Existiert zusätzlich zur TI-Anbindung eine Internet Verbindung, müssen zusätzliche Maßnahmen ergriffen werden, um die mit dem Internet verbundene Praxis auf Netzebene zu schützen. |
| A5 | 5 | gehosteter Konnektor | Verbindung absichern | Um die Verbindung zu einem gehosteten Konnektor vor unberechtigten Zugriff zu schützen, muss ein VPN-Tunnel zwischen Praxis und Konnektor eingerichtet und aufgebaut werden. |
| A5 | 6 | TI Gateway | Beachtung der Vorgaben des TI-Gateway-Anbieters | Die TI-Komponenten in der Praxis müssen entsprechend den Vorgaben im jeweiligen Handbuch des TI-Gateway-Anbieters konfiguriert und betrieben werden. |
| A5 | 7 | Primärsysteme | Geschützte Kommunikation mit dem Konnektor/TI-Gateway | Es müssen Authentisierungsmerkmale für die Clients (Zertifikate oder Username und Passwort) erstellt und in die Clients eingebracht bzw. die Clients entsprechend konfiguriert werden. |
| A5 | 8 | Dezentrale Komponenten der TI | Zeitnahes Installieren verfügbarer Aktualisierungen | Die TI-Komponenten in der Praxis müssen regelmäßig auf verfügbare Aktualisierungen geprüft werden und verfügbare Aktualisierungen müssen zeitnah installiert werden. Bei Verfügbarkeit einer Funktion für automatische Updates sollte diese aktiviert werden. |
| A5 | 9 | Dezentrale Komponenten der TI | Sicheres Aufbewahren von Administrationsdaten | Die im Zuge der Installation der TI-Komponenten eingerichteten Administrationsdaten, insbesondere auch Passwörter für den Administrator-Zugang, müssen sicher aufbewahrt werden. Jedoch muss gewährleistet sein, dass der Leistungserbringer auch ohne seinen Dienstleister die Daten kennt. |
Link: https://www.kbv.de/praxis/digitalisierung/it-sicherheit (Stand: 16 Dec, 2025)