KBV IT-Sicherheitsrichtlinie: Automatisierte Compliance für Ihre Praxis

Seit dem 1. Oktober 2025 gelten die erweiterten Anforderungen der KBV IT-Sicherheitsrichtlinie nach § 390 SGB V. Die Richtlinie betrifft jede vertragsärztliche und psychotherapeutische Praxis in Deutschland – unabhängig von der Größe.

Was auf dem Papier überschaubar wirkt, bedeutet in der Praxis einen erheblichen technischen und organisatorischen Aufwand: Firewall-Konfiguration, Virenschutz, Verschlüsselung, Patchmanagement, Backup-Überwachung, Zugriffsschutz und die Anbindung an die Telematikinfrastruktur müssen nicht nur einmalig eingerichtet, sondern dauerhaft überwacht und dokumentiert werden.

Genau das übernehmen wir für Sie.

Was fordert die KBV-Richtlinie konkret?

Die IT-Sicherheitsrichtlinie wurde im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt und definiert Mindestanforderungen in fünf Anlagen. Die für Ihre Praxis relevanten Bereiche lassen sich in zwei Kategorien einteilen:

Technische Anforderungen

Diese Punkte lassen sich durch professionelles IT-Monitoring automatisiert prüfen und dokumentieren:

  • Firewall: Alle Firewall-Profile müssen aktiv und korrekt konfiguriert sein. Unser Monitoring prüft den Status im Minutentakt und alarmiert bei Abweichungen.
  • Virenschutz: Der Echtzeitschutz muss aktiv sein, die Virensignaturen dürfen nicht veraltet sein. Wir überwachen sowohl Windows Defender als auch Drittanbieter-Lösungen automatisch.
  • Schadsoftware-Scans: Regelmäßige vollständige Systemscans sind Pflicht. Unser System prüft täglich, ob der letzte Scan innerhalb des definierten Zeitfensters liegt.
  • Betriebssystem-Updates: Sicherheitspatches müssen zeitnah eingespielt werden. Wir überwachen den Patchstand jedes Geräts und steuern die Verteilung zentral.
  • Software-Updates: Auch Anwendungen Dritter müssen aktuell gehalten werden. Unsere Lösung erkennt veraltete Software und kann Updates automatisch ausrollen.
  • Datensicherung: Backups müssen regelmäßig und erfolgreich laufen. Wir überwachen den Backup-Status Ihrer Lösung und alarmieren bei Ausfall oder Fehler.
  • Passwortrichtlinien: Mindestlänge, Komplexität und Kontosperrung nach Fehlversuchen müssen konfiguriert sein. Wir prüfen die Einhaltung zentral über alle Praxis-PCs.
  • Bildschirmsperre: Automatische Sperrung mit Passwortschutz nach definierter Inaktivitätszeit. Die Konfiguration wird permanent überwacht.
  • Festplattenverschlüsselung: Alle Datenträger mit Patientendaten müssen verschlüsselt sein. Wir überwachen den BitLocker-Status aller Laufwerke.
  • Transportverschlüsselung: Veraltete Protokolle wie TLS 1.0 und 1.1 müssen deaktiviert sein. Unsere Checks prüfen die TLS-Konfiguration jedes Systems.
  • Wechseldatenträger: USB-Medien müssen beim Anschließen automatisch auf Schadsoftware geprüft werden. Wir stellen sicher, dass der entsprechende Scan aktiviert ist.
  • Telematikinfrastruktur: Die Erreichbarkeit des TI-Konnektors oder TI-Gateways wird alle fünf Minuten geprüft.

Organisatorische Anforderungen

Diese Punkte erfordern Dokumente, Schulungen und Prozesse, bei denen wir Sie unterstützen:

  • Einarbeitung neuer Mitarbeitender in die Praxis-IT
  • Geregelte Verfahren beim Austritt von Personal
  • Vertraulichkeitsvereinbarungen für externe Dienstleister
  • Regelmäßige Schulungen zur Informationssicherheit
  • Richtlinien für mobile Geräte und Wechseldatenträger

Für diese Bereiche stellt die KBV Musterdokumente im Hub zur IT-Sicherheitsrichtlinie bereit. Wir helfen Ihnen bei der Anpassung auf Ihre Praxis.

Wie funktioniert unsere Lösung?

Auf jedem Praxis-PC wird ein schlanker Monitoring-Agent installiert. Dieser führt die definierten Sicherheitsprüfungen automatisch und im Hintergrund durch – ohne Ihren Praxisbetrieb zu beeinträchtigen.

Was passiert im Hintergrund:

Jede Prüfung liefert einen eindeutigen Status: bestanden, Warnung oder Fehler. Bei einem Fehler werden wir sofort benachrichtigt und können reagieren, bevor ein Problem eskaliert. Alle Ergebnisse werden protokolliert und stehen Ihnen als Compliance-Nachweis zur Verfügung.

Was Sie davon haben:

  • Kontinuierliche Überwachung statt einmaliger Einrichtung. Die Richtlinie verlangt dauerhafte Sicherheit, nicht nur eine Momentaufnahme.
  • Automatische Dokumentation jeder Prüfung. Bei einer Überprüfung durch die KV oder im Rahmen eines Datenschutz-Audits haben Sie belastbare Nachweise.
  • Proaktive Fehlerbehebung. Wir erfahren von Problemen, bevor Sie es tun – und oft bevor sie Auswirkungen auf Ihren Praxisalltag haben.
  • Entlastung für Ihr Praxisteam. IT-Sicherheit wird zur Hintergrundaufgabe, nicht zur Zusatzbelastung.

Für welche Praxen ist das relevant?

Die KBV-Richtlinie unterscheidet nach Praxisgröße:

  • Kleine Praxen (bis 5 Personen mit Datenzugang): Anlage 1 und 5
  • Mittlere Praxen (6–20 Personen): zusätzlich Anlage 2
  • Große Praxen (über 20 Personen oder Großgeräte): zusätzlich Anlage 3 und ggf. 4

Unser Monitoring deckt die technischen Anforderungen aus allen Anlagen ab und wird an Ihre Praxisgröße angepasst.

Wöchentlicher Compliance-Report

Einmal pro Woche erhalten Sie einen kompakten Statusbericht über alle überwachten Systeme. Auf einen Blick sehen Sie, welche Anforderungen erfüllt sind und wo Handlungsbedarf besteht. Dieser Report eignet sich auch als Nachweis gegenüber Ihrer KV, Ihrem Datenschutzbeauftragten oder Ihrer Cyberversicherung.

So starten wir

  1. Bestandsaufnahme: Wir erfassen Ihre aktuelle IT-Infrastruktur und identifizieren offene Punkte.
  2. Einrichtung: Installation des Monitoring-Agents und Konfiguration der Prüfungen – angepasst an Ihre Praxis.
  3. Laufende Überwachung: Ab sofort werden alle technischen KBV-Anforderungen kontinuierlich geprüft und dokumentiert.
  4. Unterstützung bei der Dokumentation: Wir helfen Ihnen, die organisatorischen Anforderungen mit Musterdokumenten umzusetzen.

Sie möchten wissen, wie Ihre Praxis aktuell aufgestellt ist?

Wir bieten eine kostenlose Ersteinschätzung an. Sprechen Sie uns an – wir klären gemeinsam, welche Anforderungen bereits erfüllt sind und wo wir Sie unterstützen können.

Kontakt Gesundheitswesen