BSI-Grundschutz in der Arztpraxis: Die Basis-Absicherung

Was der BSI-Grundschutz ist und wozu er taugt

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit dem IT-Grundschutz eine Methode entwickelt, mit der Organisationen ihre IT-Sicherheit systematisch aufbauen können. Das Kernwerk ist das BSI IT-Grundschutz-Kompendium, das regelmäßig aktualisiert wird und konkrete Bausteine für verschiedene Themen enthält: Clients, Server, Netzwerke, Personal, Organisation, physische Infrastruktur.

Der Grundschutz ist kein Gesetz. Er ist eine Methodik. Keine Behörde kann eine Arztpraxis zwingen, das BSI-Kompendium anzuwenden. Was Praxen aber interessiert: Die KBV IT-Sicherheitsrichtlinie nach §75b SGB V, die für alle Vertragsärzte gilt, orientiert sich in Struktur und Inhalt stark am BSI-Grundschutz. Wer den Grundschutz versteht, versteht §75b.

Für Praxen, die ernsthaft an ihrer IT-Sicherheit arbeiten wollen, bietet der BSI-Grundschutz einen konkreten Vorteil: Er nennt nicht nur Ziele, sondern beschreibt für jedes Thema konkrete Anforderungen auf drei Ebenen. Das macht ihn praxistauglicher als viele allgemein formulierte Datenschutzvorschriften.

Quelle: BSI IT-Grundschutz-KompendiumBSI IT-Grundschutz-Kompendium, Bundesamt für Sicherheit in der Informationstechnik.

Die drei Absicherungsstufen

Das BSI unterscheidet drei Wege, den Grundschutz umzusetzen. Für Arztpraxen ist die Wahl der Stufe eine pragmatische Entscheidung, keine formale.

Basis-Absicherung: Der schnellste Einstieg. Die Basis-Absicherung nimmt die dringendsten Maßnahmen aus dem Grundschutz-Kompendium und empfiehlt, mit diesen zu beginnen, ohne vorher eine aufwändige Risikoanalyse durchführen zu müssen. Das Ziel ist nicht vollständige Absicherung, sondern das Schließen der größten Lücken zuerst. Für kleine Praxen, die mit §75b starten, ist das der richtige Einstieg.

Standard-Absicherung: Die klassische BSI-Grundschutz-Methode. Zunächst wird der Informationsverbund modelliert, also dokumentiert, welche IT-Systeme, Anwendungen und Räume vorhanden sind. Dann werden die relevanten Grundschutz-Bausteine angewendet. Schließlich folgt eine Risikoanalyse für Bereiche, die über die Standard-Anforderungen hinausgehen. Standard-Absicherung ist für mittlere Praxen und MVZ mit komplexerer Infrastruktur geeignet.

Kern-Absicherung: Konzentriert sich auf die kritischsten Assets. Statt die gesamte IT abzusichern, wird identifiziert, welche Systeme oder Daten bei einem Kompromiss den größten Schaden verursachen würden, und diese werden besonders intensiv geschützt. Relevant für Praxen mit hochsensiblen Datenbeständen, etwa Dialysezentren oder psychiatrische Einrichtungen.

Welche Bausteine für Arztpraxen relevant sind

Das BSI-Kompendium enthält über 100 Bausteine. Nicht alle sind für eine Arztpraxis relevant. Die folgende Auswahl deckt die typische Praxis-IT ab.

Organisation und Personal: Baustein ORP.1 (Organisation) beschreibt, wie Verantwortlichkeiten für IT-Sicherheit festgelegt werden. ORP.2 (Personal) regelt Sicherheitsanforderungen für Mitarbeitende, von der Einstellung bis zum Austritt. ORP.4 (Identitäts- und Berechtigungsmanagement) ist direkt relevant für das Berechtigungskonzept nach §75b. Wer aus dem Berechtigungskonzept ausscheidet, muss sofort aus allen Systemen entfernt werden.

Infrastruktur und Räume: INF.1 (Allgemeines Gebäude) und INF.7 (Büroarbeitsplatz) betreffen die physische Sicherheit: abschließbare Server-Schränke, Zugangskontrolle zu IT-Räumen, sicheres Schreddern von Ausdrucken mit Patientendaten. INF.2 (Rechenzentrum und Serverraum) gilt auch für den Technikschrank in der Praxis, in dem der Server steht.

IT-Systeme: SYS.2 (Allgemeiner Client) deckt die typischen Windows-Arbeitsplätze in der Praxis ab: Betriebssystem-Updates, Endpoint-Protection, Bildschirmsperre. SYS.3 (Mobile Devices) ist relevant, sobald MFAs mit Tablets oder Smartphones auf PVS-Daten zugreifen.

Anwendungen und Daten: CON.3 (Datensicherungskonzept) ist der Baustein, der das Backup-Konzept nach §75b direkt abbildet. Wann wird gesichert? Wohin? Wie wird die Wiederherstellung getestet? APP.5 (Webanwendungen und Webservices) gilt für alle Praxen, die Online-Terminbuchung oder Patientenportale nutzen.

Netz und Kommunikation: NET.1 (Netzarchitektur und -design) und NET.3 (Router und Switches) betreffen den Aufbau des Praxisnetzwerks. Ein Praxis-Netzwerk, in dem Patientendaten und das Gäste-WLAN im selben Subnetz liegen, verstößt gegen diesen Baustein und gegen §75b.

Detektion und Reaktion: DER.1 (Detektion von sicherheitsrelevanten Ereignissen) beschreibt das Monitoring. DER.4 (BCM, Notfallmanagement) liefert die Grundlage für den Notfallplan nach §75b.

Wie sich BSI mit §75b und DSGVO verzahnt

BSI-Grundschutz, §75b SGB V und DSGVO fordern in vielen Bereichen dasselbe. Das ist kein Zufall: Die KBV hat die IT-Sicherheitsrichtlinie explizit auf den BSI-Grundschutz abgestützt. Und die DSGVO-TOMs decken sich inhaltlich mit dem, was BSI unter organisatorischen Maßnahmen versteht.

Konkret bedeutet das: Wer ein vollständiges Berechtigungskonzept nach BSI ORP.4 erstellt, hat gleichzeitig das §75b-Berechtigungskonzept und einen wesentlichen Teil der DSGVO-TOMs. Wer ein Datensicherungskonzept nach BSI CON.3 dokumentiert, erfüllt das §75b-Backup-Konzept und kann diese Dokumentation direkt in seine DSGVO-Verarbeitungsverzeichnis einfließen lassen.

Dreifache Dokumentation ist nicht nötig. Ein gemeinsamer Rahmen reicht, wenn er die Anforderungen aller drei Regelwerke adressiert.

Quelle: KBV IT-Sicherheitsrichtlinie (§75b SGB V)KBV IT-Sicherheitsrichtlinie: Anforderungskatalog mit Bezug auf BSI-Grundschutz-Bausteine.

Wie ITCC die Basis-Absicherung umsetzt

ITCC folgt bei der Einrichtung und Betreuung von Praxisinfrastrukturen einem Rahmen, der sich an der BSI-Basis-Absicherung orientiert und gleichzeitig die §75b-Anforderungen der jeweiligen Praxisklasse erfüllt.

Beim Onboarding einer neuen Praxis nehmen wir den Informationsverbund auf: Welche Systeme gibt es, wie sind sie verbunden, wer hat Zugang zu was. Das Ergebnis ist eine strukturierte Übersicht, die Grundlage für Berechtigungskonzept, Backup-Konzept und Notfallplan wird.

Die BSI-Bausteine, die wir systematisch abarbeiten, sind ORP.2, ORP.4, SYS.2, CON.3, NET.1 und DER.1. Für jede Praxis gibt es ein Protokoll, welche Anforderungen erfüllt sind und welche noch offen stehen. Das ist kein BSI-Zertifizierungsverfahren, aber ein strukturierter Nachweis, der bei KV-Prüfungen vorgelegt werden kann.

ITCC ist seit 2016 auf medizinische Einrichtungen spezialisiert und betreut über 50 Einrichtungen in der DACH-Region, von der Einzelpraxis bis zum Dialysezentrum. Die BSI-orientierte Dokumentation ist Teil jeder Betreuungsvereinbarung, nicht ein Aufpreis-Modul.