✅ IT-Sicherheits-Checkliste für Arztpraxen

🛡️ 1. Allgemeine Sicherheitsvorkehrungen

• IT-Sicherheitsbeauftragter benannt
  Benennung einer verantwortlichen Person (intern oder über externen IT-Dienstleister), die alle Maßnahmen der IT-Sicherheit koordiniert, überprüft und dokumentiert. Diese Funktion ist verpflichtend laut KBV-Richtlinie und bildet die Grundlage für ein strukturiertes Sicherheitskonzept.
• IT-Sicherheitskonzept dokumentiert
  Ein schriftliches Konzept mit technischen und organisatorischen Maßnahmen zur IT-Sicherheit, das regelmäßig aktualisiert wird. Es dokumentiert Zuständigkeiten, IT-Komponenten, Sicherheitsregeln und Verhaltensvorgaben – Pflichtnachweis gegenüber der KV.
• Rollen- und Berechtigungskonzept
  Detailliertes Berechtigungskonzept, das Mitarbeitenden ausschließlich den Zugang zu IT-Systemen und Daten erlaubt, die sie für ihre Aufgaben benötigen. Grundlage für Datenschutz und Zugriffskontrolle nach dem Prinzip der Minimalrechte.
• Sicherheitsrichtlinie für Mitarbeitende
  Dokument mit leicht verständlichen Regeln für alle Beschäftigten, z. B. zur sicheren Nutzung von Passwörtern, Internet, E-Mail oder mobilen Geräten. Dient der Schulung und rechtlichen Absicherung der Praxis.

💻 2. Arbeitsplatzsicherheit

• Bildschirmsperre aktiv
  Automatische Sperre nach Inaktivität schützt vor unbefugtem Zugriff.
• Individuelle Logins
  Jede Person nutzt ein eigenes Nutzerkonto.
• Keine privaten USB-Sticks
  Vermeidung von Malware durch fremde Datenträger.
• Windows 11 oder neuer
  Ab Oktober 2025 ist Windows 10 nicht mehr zulässig.
• Antivirensoftware installiert
  Alle Geräte müssen mit aktuellem Virenschutz ausgestattet sein.

🌐 3. Netzwerksicherheit

• Router/Firewall konfiguriert
  Sichere Passwörter, keine Standardkonfigurationen.
• Praxisnetz getrennt vom Internet
  Trennung sensibler Bereiche zur Angriffsvermeidung.
• WLAN sicher verschlüsselt
  Mindestens WPA2, besser WPA3; Gäste-WLAN getrennt.
• TI-Komponenten sicher eingebunden
  Konnektor, Kartenterminals etc. korrekt in das Netz integriert.

↻ 4. Updates & Patchmanagement

• Regelmäßige Updates
  Sicherheitslücken werden kontinuierlich geschlossen.
• Automatische oder manuelle Kontrolle
  Updates regelmäßig prüfen, wenn nicht automatisch.
• Geräte ohne Support ersetzt
  Alte Systeme wie Windows 10 außer Betrieb nehmen.

🔒 5. Datenschutz & Zugriffskontrolle

• Nur individuelle Accounts
  Zugriffe sind nachvollziehbar und sicher.
• Software passwortgeschützt
  Anwendungen dürfen nicht ohne Passwort nutzbar sein.
• Zugriffe protokolliert
  Alle Aktivitäten werden mitgeloggt.
• Datenträger verschlüsselt
  Daten auf USB-Sticks, Laptops etc. müssen verschlüsselt sein.

🗃️ 6. Datensicherung (Backup)

• Tägliche Backups
  Automatische Sicherung der Praxisdaten.
• Wiederherstellung getestet
  Backups regelmäßig auf Funktion prüfen.
• Backups verschlüsselt
  Nur befugte Personen haben Zugriff auf Sicherungen.
• Backup getrennt vom Praxisnetz
  Offline-Backup oder Cloud-Lösung verwenden.

👩‍⚕️ 7. Schulung & Sensibilisierung

• Jährliche Schulung
  Pflichtunterweisung zu IT-Risiken und Verhalten.
• Teilnahmen dokumentiert
  Nachweise für Prüfungen bereithalten.
• Phishing & Malware erkannt
  Sensibilisierung für digitale Bedrohungen.
• Infomaterial sichtbar
  Aushänge, Flyer oder Bildschirmhinweise nutzen.

⚠️ 8. Notfallmanagement

• Notfallplan vorhanden
  Maßnahmenplan für Ausfälle oder Angriffe.
• IT-Kontakte griffbereit
  Sofortige Kontaktaufnahme im Ernstfall möglich.
• Wiederaufnahmeplan dokumentiert
  Abläufe zur schnellen Betriebsaufnahme festgelegt.

📋 9. Dokumentation & Nachweise

• Maßnahmen dokumentiert
  Alle Schritte schriftlich oder digital erfasst.
• Prüfprotokolle vorhanden
  Belege über durchgeführte Maßnahmen.
• Lizenzen & Geräte dokumentiert
  Übersicht über eingesetzte Soft- und Hardware.
• Sicherheitscheck aktuell
  Nicht älter als 12 Monate.