Wann ein Reifegrad-Check sinnvoll ist
Viele Praxen haben eine IT, die irgendwann entstanden ist. Mal hat ein Mitarbeiter etwas eingerichtet, mal hat der PVS-Anbieter etwas hingestellt, mal hat ein IT-Betreuer einen Router getauscht. Das Ergebnis ist eine Sammlung von Lösungen ohne gemeinsamen Plan.
Das fällt erst auf, wenn etwas nicht klappt: der Restore funktioniert nicht, obwohl seit Jahren täglich ein Backup läuft. Die KV verlangt das Berechtigungskonzept, das niemand findet. Ein Mitarbeiter bekommt ein neues Gerät, niemand weiß, welche Software drauf muss.
Ein Reifegrad-Check schafft Klarheit, bevor es zum Problemfall kommt. Er ist sinnvoll in diesen Situationen:
- Vor einem IT-Dienstleisterwechsel, um zu wissen, was Sie mitbringen und was neu aufgebaut werden muss.
- Vor einer Praxiserweiterung oder einem zweiten Standort, weil Wachstum auf instabilem Fundament schnell zum Stressor wird.
- Vor einer KV-Prüfung nach §75b, weil Sie dann wissen, was fehlt, und Zeit haben, es zu schließen.
- Wenn Sie schon länger das Gefühl haben, dass die IT teuer ist und trotzdem nie richtig funktioniert.
Die vier Dimensionen im Detail
Dimension 1: Infrastruktur
Infrastruktur umfasst alle physischen und netzwerktechnischen Grundlagen. Hardware-Alter, Netzwerkstruktur, Backup-System, Stromversorgung.
Typische Befunde in dieser Dimension: Server älter als sechs Jahre, kein RAID, kein USV, Backup liegt im selben Raum wie der Server, WLAN und Praxis-Datennetz nicht getrennt, Router noch mit Werkspasswort.
Dimension 2: Anwendungen
Alle Software-Systeme, die in der Praxis laufen: PVS (Medistar, Turbomed, iSynet, Z1, Nephro7), TI-Konnektor, KIM, Bildverarbeitung, Laborsysteme, Microsoft 365 oder lokale Office-Installation.
Typische Befunde: veraltete PVS-Version ohne aktive Wartung, SMC-B-Karte läuft in drei Wochen ab, kein Monitoring für Konnektor-Verfügbarkeit, mehrere Versionen von Office im Einsatz.
Dimension 3: Sicherheit und Compliance
Zugriffsrechte, Passwortrichtlinien, §75b-Dokumentation, DSGVO-Verfahrensverzeichnis, Patch-Stand, Virenscanner.
Typische Befunde: kein Berechtigungskonzept, Sammelpasswörter für mehrere Mitarbeitende, veraltete Windows-Version ohne Sicherheitsupdates, keine schriftliche TOMs-Beschreibung.
Dimension 4: Organisation
Wer ist für die IT verantwortlich? Gibt es einen Notfallplan? Ist der IT-Dienstleister dokumentiert erreichbar? Werden Schulungen durchgeführt?
Typische Befunde: kein definierter IT-Ansprechpartner in der Praxis, kein Notfallplan für PVS-Ausfall, keine Schulungsnachweise für Mitarbeitende, keine regelmäßige Überprüfung der IT-Situation.
Die Reifestufen erklärt
| Praxis | Setup einmalig | Pauschale monatlich |
|---|---|---|
Stufe 1: Ad hoc IT wird nur repariert, wenn etwas kaputt ist. Kein Plan, kein Konzept. | Keine Regeln, alles spontan | Reaktiv |
Stufe 2: Definiert Backup läuft, aber wird nie getestet. Passwörter existieren, sind aber nicht geregelt. | Grundregeln vorhanden, nicht systematisch | Teilweise strukturiert |
Stufe 3: Gesteuert Monitoring läuft, Backup wird getestet, §75b-Dokumente sind aktuell. | Aktiv überwacht, Probleme erkannt bevor sie eskalieren | Proaktiv |
Stufe 4: Optimiert Vorfälle werden analysiert, Maßnahmen angepasst, Compliance-Niveau gehalten. | Kontinuierlich verbessert, Ursachen behoben | Strategisch |
Orientierungswerte. Die tatsächliche Pauschale berechnet ITCC nach Infrastrukturanalyse.
Die meisten Praxen liegen in Stufe 1 bis 2, wenn sie zum ersten Mal systematisch hinschauen. Das ist keine Kritik, das ist eine Ausgangslage. Stufe 3 ist das Ziel für eine Praxis, die ruhig schlafen will. Stufe 4 brauchen MVZ, Dialysezentren und Einrichtungen mit NIS2-Relevanz.
Aus dem Check eine Maßnahmenliste machen
Das Ergebnis des Reifegrad-Checks ist keine Liste von Problemen. Es ist eine priorisierte Liste von Maßnahmen, sortiert nach Dringlichkeit und Aufwand.
Drei Kategorien:
Sofort (kritisch): Maßnahmen, die ohne Verzug umgesetzt werden müssen, weil ein offenes Risiko besteht. Beispiel: kein funktionsfähiges Backup, offene Admin-Zugänge für ehemalige Mitarbeitende, SMC-B-Karte läuft in Tagen ab.
Kurzfristig (wichtig): Maßnahmen, die innerhalb von vier bis acht Wochen erledigt sein sollten, weil sie Compliance-Pflichten oder Sicherheitsstandards betreffen. Beispiel: Berechtigungskonzept erstellen, §75b-Dokumente aktualisieren.
Mittelfristig (empfohlen): Maßnahmen, die die Stabilität und Planbarkeit erhöhen, aber keine unmittelbare Gefahr darstellen. Beispiel: alten Server ersetzen, Monitoring einrichten, Schulungen planen.
Die Sortierung ist keine Willkür, sie folgt dem Prinzip: erst Feuer löschen, dann Sprinkleranlage einbauen.
Unterschied zum ITCC-Selbstcheck
Der ITCC-Selbstcheck unter /selbstcheck umfasst zehn Fragen und dauert weniger als fünf Minuten. Er gibt eine erste Orientierung, ob akuter Handlungsbedarf besteht. Frage 5 deckt Compliance-Dokumente ab, Frage 8 fragt nach dem letzten Backup-Test, Frage 10 nach dem Notfallplan.
Der Selbstcheck ist ein Einstieg, kein Ersatz für die Analyse. Wer alle zehn Fragen mit Ja beantworten kann, steht gut da. Wer bei mehr als zwei Fragen zögert, sollte den nächsten Schritt machen.
Der vollständige Reifegrad-Check durch ITCC geht tiefer: wir schauen ins System, nicht nur in die Erinnerung der Person, die den Check ausfüllt. Backup-Test bedeutet bei uns, dass wir eine Datei wiederherstellen, nicht dass jemand sagt, dass täglich gesichert wird.
Quelle: KBV IT-Sicherheitsrichtlinie (§75b SGB V)KBV IT-Sicherheitsrichtlinie §75b: Anforderungen je nach Praxisgröße.
Quelle: BSI IT-Grundschutz-KompendiumBSI IT-Grundschutz-Kompendium: Methodik zur Schutzbedarfsfeststellung.
Häufige Fragen
Verwandte Themen
- StrategieWas ein guter IT-Dienstleister für Arztpraxen leistet
Fünf Kriterien, an denen Sie einen guten Praxis-IT-Dienstleister erkennen. Warnsignale, Vertragspunkte, jährliche Bewertung.
- StrategieIT-Dienstleister wechseln: Eine saubere Übergabe in sechs Schritten
Wie ein Wechsel des IT-Betreuers in einer Arztpraxis sauber abläuft. Was der alte Anbieter herausgeben muss, was rechtlich gilt.