ArchivDeutsches Ärzteblatt48/2021IT-Sicherheitsrichtlinie: Anforderungen steigen

POLITIK

IT-Sicherheitsrichtlinie: Anforderungen steigen

Haserück, André

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...
LNSLNS
Foto: Thomas R./stock.adobe.com
Foto: Thomas R./stock.adobe.com

Seit April greift für vertragsärztliche und vertragspsychotherapeutische Praxen die IT-Sicherheitsrichtlinie – Anfang 2022 kommen neue Anforderungen hinzu. Zudem startet das E-Rezept und die elektronische Arbeitsunfähigkeitsbescheinigung.

Die Kassenärztliche Bundesvereinigung (KBV) hat im Auftrag des Gesetzgebers und im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) eine IT-Sicherheitsrichtlinie für die vertragsärztliche und vertragspsychotherapeutische Versorgung entwickelt. Darin wird das Mindestmaß der zu ergreifenden Maßnahmen beschrieben, um die IT-Sicherheit in den Praxen zu gewährleisten. Die Vorgaben sollen dabei helfen, IT-Systeme und sensible Daten in den Praxen noch besser zu schützen. Nachdem die erste Umsetzungsstufe im April dieses Jahres scharfgeschaltet wurde, gelten ab Anfang Januar 2022 weitere Regelungen (Kasten).

Anzeige

Vorgaben zeitlich und nach Praxisgröße gestaffelt

Auch diese Vorgaben sind, wie schon die der ersten Stufe, nach Praxisgröße gestaffelt, wie Dr. rer. soc. Thomas Kriedel, Vorstandsmitglied der Kassenärztlichen Bundesvereinigung (KBV), im Gespräch mit dem Deutschen Ärzteblatt erläuterte. Auch wenn hundertprozentige Sicherheit nicht erreicht werden könne, sei der Grundgedanke der Richtlinie – nämlich den Selbstschutz der Praxen zu erhöhen – wichtig und richtig. Das gerade auch IT-Systeme im Gesundheitsbereich Ziel von Angriffen werden können, hätten die jüngsten Vorgänge beim Unternehmen Medatixx eindrücklich veranschaulicht.

„Die Verantwortung für die Sicherheitsarchitektur der Telematikinfrastruktur darf nicht auf die Praxen verlagert werden.“ Thomas Kriedel, KBV-Vorstandsmitglied. Foto: Lopata/axentis.de
„Die Verant­wortung für die Sicher­heits­archi­tektur der Tele­matik­infra­struktur darf nicht auf die Praxen verlagert werden.“ Thomas Kriedel, KBV-Vorstands­mitglied. Foto: Lopata/axentis.de

Der Praxissoftwarehersteller Medatixx war Opfer eines Angriffes mit Ransomware geworden. Die Methode: Mittels Verschlüsselung werden Datenbestände durch den Angreifer unlesbar gemacht und Lösegeld für die Entschlüsselung erpresst. Das Unternehmen rief in diesem Zusammenhang alle Ärztinnen und Ärzte, die seine Computerprogramme nutzen, auf, sämtliche Passwörter der IT-Infrastruktur zu ändern. Dies betraf geschätzt rund 20 000 Praxen. Kriedel betonte in diesem Zusammenhang, bei einer potenziellen Gefährdung von Softwarekunden müsse es sofort klare Informationen geben – im Fall von Medatixx sei dies erst nach etwa einer Woche erfolgt.

Bei gravierenden Anlässen prüfe man die IT-Sicherheitsrichtlinie und nehme gegebenenfalls Anpassungen vor. Grundsätzlich erfolge, so Kriedel, eine regelmäßige, jährliche Überprüfung gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI).

Die KBV stellt auf einer speziellen Online-Plattform zur IT-Sicherheitsrichtlinie umfassende Informationen zu alle Anforderungen zur Verfügung. Aufgeführt sind auch Erläuterungen und Hinweise – zudem stehen Musterdokumente zu bestimmten Aspekten der Sicherheitsrichtlinie zum Download zur Verfügung, beispielsweise ein Musternetzplan oder eine Musterrichtlinie für Mitarbeiter zur Nutzung von mobilen Geräten.

Neben der nächsten Umsetzungsstufe der IT-Richtlinie werden zum Jahresanfang 2022 auch das elektronische Rezept (E-Rezept) und die elektronische Arbeitsunfähigkeitsbescheinigung (eAU) starten. Diese Starttermine sind gesetzlich vorgeschrieben und können von der KBV nicht verschoben werden. Allerdings hat die KBV in einer entsprechenden Richtlinie geregelt, dass einzelne Arztpraxen bis Ende Juni 2022 auch noch mit Papierbelegen arbeiten dürften, wenn technische Schwierigkeiten der Nutzung digitaler Kanäle im Wege stehen sollten.

Start weiterer TI-Anwendungen steht bevor

Wie das für die Umsetzung zuständige Unternehmen gematik kürzlich mitteilte, kann das E-Rezept ab dem 1. Dezember 2021 auch außerhalb der bisherigen Fokusregion Berlin-Brandenburg getestet werden. Die Tests können nach Anmeldung bei der gematik bundesweit in ausgewählten Pilotpraxen und -apotheken der Softwarehersteller durchgeführt werden. Die bisherige Testphase sei „erfolgreich“ verlaufen. Bisher hätten allerdings nur einige Arztpraxen und Apotheken in Berlin und Brandenburg Erfahrungen mit dem E-Rezept sammeln können. Deswegen werde der Testbetrieb jetzt auf weitere Regionen ausgeweitet.

So könnten Anbieter von Praxis- und Apothekenverwaltungssystemen den Start des E-Rezepts weiter vorbereiten. An der bundesweit verpflichtenden Einführung zum 1. Januar 2022 für diejenigen, die dazu technisch in der Lage sind, E-Rezepte zu erstellen beziehungsweise einzulösen, ändere sich nichts, wie die gematik betonte.

Die verstärkte Einbindung von Ärztinnen und Ärzten in Modellversuche beziehungsweise Tests zur Implementierung von Anwendungen der Telematikinfrastruktur (TI) sei grundsätzlich zu begrüßen, so Kriedel. Die reibungslosen Betriebsabläufe in den Praxen müssten auch und gerade bei der Nutzung digitaler Lösungen stets gewährleistet sein. Hier sei die Sensibilität der gematik durchaus noch ausbaufähig. Die Beispiele des E-Rezeptes und der eAU veranschaulichten, dass sich viele Bedenken der Ärzteschaft bezüglich der schnellen Einführung als gerechtfertigt erwiesen hätten – es sei schlichtweg mehr Vorlaufzeit nötig.

Noch immer Probleme bei der Nutzung der eAU

Immense Beeinträchtigungen durch die Prozesse rund um die elektronische Arbeitsunfähigkeitsbescheinigung bemängeln Vertragsärztinnen und Vertragsärzte in einer aktuellen Online-Befragung der Kassenärztlichen Bundesvereinigung. Das Ausstellen und Versenden der eAU koste mehr Zeit als der Papierausdruck, die Technik sei noch immer unausgereift und die Fehlerquote viel zu hoch, so die Hauptkritikpunkte.

Laut den Ergebnissen der Befragung von Anfang November gelang nur bei vier Prozent der befragten 1 569 Ärztinnen und Ärzte ein problemloser Versand sämtlicher eAU. Die Hälfte der Befragten gab an, dass der digitale Versand noch gar nicht möglich sei. In einigen Arztpraxen wurde demnach schon bei der Installation der eAU-Module mit den vielen neuen technischen Komponenten und ihrem Zusammenspiel gekämpft. Häufig fehlten in diesen Fällen technische Ansprechpartner oder die IT-Dienstleister waren überlastet. Auch nach erfolgreicher Installation blieb die Fehlerquote laut der Befragung sehr hoch – wobei sich die Fehler aus den Praxen heraus selten bis nie beheben ließen.

Die meisten Probleme traten beim Versand der eAU beziehungsweise bei der Akzeptanz der Daten seitens der Krankenkassenserver auf – dies gaben knapp 60 Prozent der Befragten als Hauptproblem an. Fast 80 Prozent der Befragten sahen keine Unterschiede zwischen den Krankenkassen was die Fehleranfälligkeit des eAU-Verfahrens angeht. Zudem traten häufig Probleme bereits beim Erstellen der eAU im Praxisverwaltungssystem oder später beim digitalen Signieren. Bedenklich auch: Nur 5,3 Prozent der befragten Vertragsärzte berichteten, dass die Fehleranfälligkeit der IT-Systeme sich seit dem Start der eAU verbessert habe. Mehr als 40 Prozent der Befragten sahen sogar eine Verschlechterung.

Fristen entschärfen, Akzeptanz erhalten

KBV-Vorstandsmitglied Kriedel sprach sich in diesem Zusammenhang erneut dafür aus, seitens des Gesetzgebers grundsätzlich den Zeitdruck bei der Digitalisierung herauszunehmen. Nicht voll ausgereifte technische TI-Anwendungen dürften nicht in die Regelversorgung gelangen. Die jeweilige Technik müsse für alle Kassen, Praxen und nicht zuletzt Patientinnen und Patienten funktionieren. Andernfalls drohe eine Diskreditierung des Gesamtprojektes Telematikinfrastruktur, warnte Kriedel. Auch von diesem Gesichtspunkt aus betrachtet, sei eine umfassende Erprobung von digitalen Tools und TI-Anwendungen in geschützten Räumen sinnvoll.

Vor diesem Hintergrund sprachen sich KBV und Kassenärztliche Vereinigungen (KVen) jüngst gemeinsam für ein einjähriges Moratorium im Bereich der Digitalisierung des Gesundheitswesens aus. Man müsse beim Digitalisierungsprozess weg von dem Grundsatz, nur darauf zu schauen, was technisch möglich ist. Die Leitfrage müsse vielmehr lauten: „Was ist gut für die Versorgung der Patienten und erleichtert gleichzeitig die Arbeit für die Praxen?“ André Haserück

Neue Vorgaben der IT-Richtlinie

Ab 1. Januar 2022 gilt für alle vertragsärztliche und vertragspsychotherapeutische Praxen:

  • Bei der Bereitstellung und dem Betreiben von Internetanwendungen, wie Praxishomepage oder Online-Terminkalender, muss eine Firewall eingesetzt werden.
  • Bei der Bereitstellung und dem Betreiben von Internetanwendungen dürfen keine automatisierten Zugriffe beziehungsweise Aufrufe auf Webanwendungen eingerichtet oder zugelassen werden.
  • Auf Endgeräten, zum Beispiel einem Praxisrechner, muss eine regelmäßige Datensicherung erfolgen, wobei in einem Plan festgelegt ist, welche Daten wie oft gesichert werden sollen.
  • Bei Verlust eines Mobiltelefons (Diensthandy) muss die darin verwendete SIM-Karte zeitnah gesperrt werden.
  • Wechseldatenträger müssen bei jeder Verwendung mit einem aktuellen Schutzprogramm auf Schadsoftware überprüft werden.
  • Es werden nur Apps genutzt, die Dokumente verschlüsselt und lokal abspeichern.
  • Für die dezentralen Komponenten der Telematikinfrastruktur sollen alle Updates zeitnah installiert sowie Administrationsdaten sicher aufbewahrt werden.

Für mittlere (sechs bis 20 Personen ständig mit der Datenverarbeitung betraut) und große (mehr als 20 Personen ständig mit der Datenverarbeitung betraut) Praxen gelten zusätzliche Anforderungen. Hier muss eine Nutzungs- und Sicherheitsrichtlinie zur Nutzung von Smartphones oder Tablets für dienstliche Zwecke erstellt werden.

Mehr Informationen: http://daebl.de/CW16

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

Fachgebiet

Zum Artikel

Der klinische Schnappschuss

Alle Leserbriefe zum Thema

Stellenangebote