· Mehdi Aroui · Medical IT · Lesedauer von ca. 6 Min.
IT-Sicherheitsrichtlinie §390 SGB V: Leitfaden für Arztpraxen
Die KBV-IT-Sicherheitsrichtlinie nach §390 SGB V (vormals §75b) gilt seit Oktober 2025 in neuer Fassung. Welche Schutzmaßnahmen Ihre Praxis jetzt umsetzen muss.
Die KBV-IT-Sicherheitsrichtlinie nach §390 SGB V (vormals §75b) gilt seit Oktober 2025 in neuer Fassung. Dieser Leitfaden erklärt, was die Richtlinie verlangt, was die einzelnen Punkte im Praxisalltag tatsächlich bedeuten und an welcher Stelle die meisten Praxen Unterstützung brauchen.
Die Richtlinie der Kassenärztlichen Bundesvereinigung regelt verbindlich, wie Praxen ihre IT gegen Angriffe und Datenverlust absichern. Die rechtliche Grundlage trägt nach der Neufassung des Sozialgesetzbuchs V die Nummer §390 SGB V, früher war es §75b. Inhaltlich ist es dieselbe Richtlinie, nur der Paragraf hat sich verschoben. Für rund 99.000 Arzt- und Psychotherapiepraxen ist die Umsetzung Pflicht. Bei einer KBV-Nachfrage muss die Umsetzung nachweisbar sein, und im Datenschutz gilt dieselbe Sorgfaltspflicht. Wer die Maßnahmen sauber umsetzt und dokumentiert, ist hier auf der sicheren Seite.
Was sich mit der neuen Fassung geändert hat
Die KBV überarbeitet die Richtlinie künftig jährlich und passt sie alle zwei Jahre an den Stand der Technik und die Bedrohungslage an, abgestimmt mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Fassung seit Oktober 2025 schärft drei Bereiche nach:
- Patch- und Change-Management. Updates müssen kontrolliert eingespielt werden, ohne dass die Praxissoftware ausfällt.
- Absicherung der Endgeräte. PCs, Tablets und mobile Geräte mit Zugriff auf Patientendaten brauchen einen definierten Schutzstand.
- Nutzung von Cloud-Diensten. Wer Cloud-Anwendungen einsetzt, muss Speicherort, Verschlüsselung und Zugriff sauber regeln.
Der Umfang der Pflichten richtet sich nach der Praxisgröße, gemessen an der Zahl der ständig mit der Datenverarbeitung betrauten Personen. Eine Einzelpraxis erfüllt einen anderen Katalog als ein MVZ mit eigener Datenverarbeitung.
Die zentralen Schutzmaßnahmen
1. Antiviruspflege
Die Richtlinie verlangt Antivirensoftware auf jedem System, das mit Patientendaten in Berührung kommt. Der eigentliche Aufwand steckt nicht in der Installation, sondern in der Pflege: Signaturen müssen täglich aktuell sein, Scans regelmäßig laufen, und jemand muss merken, wenn auf einem Gerät der Schutz still ausfällt.
Genau dieses Mitlaufen übernehmen wir mit NetzleitAIR Virenfrei auf Basis von ESET. Die Signaturen aktualisieren sich automatisch, Scans liegen außerhalb der Sprechzeiten, und über eine zentrale Konsole sehen wir den Status jedes Geräts. Fällt etwas aus, wird es behoben, bevor es in der Praxis auffällt.
2. Firewall
Eine Firewall trennt das Praxisnetz vom Internet, blockiert unerwünschte Zugriffe von außen und verhindert, dass Schadsoftware unbemerkt nach Hause telefoniert. Für Praxen mit Anbindung an die Telematikinfrastruktur, das sichere Datennetz des Gesundheitswesens, ist sie technische Grundvoraussetzung.
Eine Firewall ist kein Gerät, das man einmal aufstellt und vergisst. Ihre Regeln veralten, sobald sich die Bedrohungslage ändert. Wenn die laufende Konfiguration und Prüfung im Alltag untergeht, halten wir sie im Rahmen des Wartungsvertrags auf Stand.
3. Backup mit getesteter Wiederherstellung
Die KBV verlangt eine tägliche automatisierte Sicherung, eine Kopie außerhalb des Standorts und den regelmäßigen Nachweis, dass sich die Daten auch wirklich zurückspielen lassen.
Dieser letzte Punkt ist der, an dem es im Ernstfall hängt. Ein Backup, das nie wiederhergestellt wurde, ist nur eine Vermutung. Erst die getestete Wiederherstellung beweist, dass die Daten zurückkommen. Wir setzen dafür auf Veeam, sichern in ein räumlich getrenntes Rechenzentrum in Deutschland und prüfen die Wiederherstellung in festen Abständen. Das Protokoll der letzten Prüfung legen wir auf Wunsch vor, etwa bei einer KBV-Nachfrage. Wenn Sie heute nicht sicher sagen können, wann Ihr Backup zuletzt erfolgreich zurückgespielt wurde, ist das der Punkt, an dem wir ins Gespräch kommen sollten.
4. Zentrale Rechteverwaltung
Benutzerrechte gehören zentral vergeben, nach dem Prinzip des geringsten Privilegs. Jeder Zugang erhält nur die Rechte, die für die Aufgabe nötig sind, damit nicht jede Anmeldung den gesamten Patientenbestand öffnet.
Im Praxisalltag scheitert das selten an der Technik, sondern daran, dass niemand die Rechtevergabe pflegt, wenn Personal kommt und geht. Übernehmen wir die Benutzerverwaltung über Windows Server oder Entra ID, werden ausscheidende Konten sofort deaktiviert und Rollen sauber abgegrenzt.
5. Patch- und Change-Management
Betriebssysteme, Praxissoftware, Browser und Sicherheitsanwendungen brauchen regelmäßige Updates, um bekannte Lücken zu schließen. Der Haken: Ein Update darf die laufende Praxissoftware nicht aus dem Tritt bringen. Genau hier hat die neue Fassung nachgeschärft, und genau hier ist Handarbeit am fehleranfälligsten.
Wir lösen das mit NetzleitAIR Proaktiv, unserer betreuten RMM-Leistung auf NinjaOne-Basis. Updates werden außerhalb der Sprechzeiten ausgerollt, danach wird automatisch geprüft, ob die kritischen Anwendungen weiter starten, und ein Gerät, das nach einem Update streikt, meldet sich von selbst. Nebenbei entsteht die lückenlose Dokumentation, die eine Prüfung sehen will. Wenn Sie heute nicht wissen, welcher Rechner welche Updates offen hat, nehmen wir Ihnen diese Frage ab.
6. Notfalldokumentation
Praxen müssen ihre Notfallprozesse schriftlich festhalten: Was passiert bei einem IT-Ausfall, wer wird kontaktiert, wie werden Patienten informiert, wo liegen die Backup-Medien. Ohne diese Dokumentation verliert man in der Krise genau die Zeit, die am knappsten ist.
Eine solche Dokumentation ist nur dann etwas wert, wenn sie aktuell bleibt. Wir erstellen sie und halten sie im Rahmen der Betreuung fortlaufend nach, statt sie als PDF im Schrank altern zu lassen.
7. Automatische Bildschirmsperre
Alle Arbeitsplätze sperren sich nach einer definierten Leerlaufzeit selbst, damit am Empfang niemand Unbefugtes auf eine offene Patientenakte blickt. Die Hürde ist nicht die Einstellung, sondern dass sie praxisweit gilt und nicht einzeln abgeschaltet wird. Diese Richtlinie rollen wir zentral aus und überwachen, dass sie greift.
8. Festplattenverschlüsselung
Datenträger mit Patientendaten müssen verschlüsselt sein, damit ein gestohlenes Notebook für Dritte unlesbar bleibt. Verbreitet ist Microsoft BitLocker, das in vielen Windows-Editionen enthalten ist. Wichtig ist, dass die Wiederherstellungsschlüssel sicher hinterlegt werden, nicht auf dem verschlüsselten Gerät selbst. Wir aktivieren die Verschlüsselung praxisweit und behalten den Status jedes Geräts im Blick.
Wenn die laufende Pflege zur Last wird
Netzleiter ist nach der KBV-IT-Sicherheitsrichtlinie zertifiziert, Geschäftsführer Mehdi Aroui hat die zugehörige Fachprüfung abgelegt. Aus unserer Arbeit mit Hamburger Praxen kennen wir das Muster: An der einmaligen Einrichtung scheitert kaum jemand. Schwierig wird es, die Maßnahmen über Jahre lückenlos zu pflegen und im Prüfungsfall nachzuweisen.
Das ist der Teil, den wir abnehmen. Antiviruspflege, Patch-Management, Backup mit getesteter Wiederherstellung, Firewall, Rechteverwaltung, Dokumentation, Bildschirmsperre und Verschlüsselung laufen gebündelt im Wartungsvertrag. Die Praxis kümmert sich um Patienten, wir halten die IT-Sicherheit nachweisbar auf Stand.
| Was die KBV verlangt | Womit wir es lösen |
|---|---|
| Antiviruspflege | NetzleitAIR Virenfrei (ESET) |
| Patch-Management | NetzleitAIR Proaktiv (NinjaOne) |
| Backup mit Wiederherstellungsnachweis | Veeam |
| Firewall | Wartungsvertrag |
| Zentrale Rechteverwaltung | Wartungsvertrag |
| Notfalldokumentation | Wartungsvertrag |
| Festplattenverschlüsselung | Wartungsvertrag |
Eine kostenlose Erstprüfung zeigt in 30 Minuten, wo Ihre Praxis heute steht und was konkret zu tun ist. Ob Sie danach mit uns weiterarbeiten oder die Punkte selbst angehen, entscheiden Sie in Ruhe.
Erstprüfung vereinbaren:
- Hotline: 040 25 499 500
- E-Mail: support@netzleiter.com
Mehr zum Leistungsbereich Medical IT: medical-it.org und Medical IT für Arztpraxen.
Häufige Fragen
Was ist aus §75b SGB V geworden?
Die Richtlinie war ursprünglich in §75b SGB V verankert. Nach der Neufassung des Sozialgesetzbuchs V trägt dieselbe Richtlinie heute die Nummer §390 SGB V. Die Anforderungen sind dieselben, nur der Paragraf hat sich verschoben.
Für wen gilt die IT-Sicherheitsrichtlinie?
Für alle Praxen in der vertragsärztlichen, vertragspsychotherapeutischen und vertragszahnärztlichen Versorgung. Rund 99.000 Arzt- und Psychotherapiepraxen sowie fast 38.000 Zahnarztpraxen. Welcher Katalog gilt, hängt von der Praxisgröße ab.
Muss ich für die Verschlüsselung BitLocker verwenden?
Nein. Pflicht ist die Verschlüsselung, nicht ein bestimmtes Produkt. BitLocker ist verbreitet, weil es in vielen Windows-Editionen enthalten ist. Gleichwertige Lösungen sind zulässig.
Wie oft wird die Richtlinie aktualisiert?
Die KBV prüft jährlich und passt alle zwei Jahre an, abgestimmt mit dem BSI. Deshalb lohnt es, den IT-Sicherheitsstand laufend zu pflegen statt einmalig herzustellen.
Wer hilft bei der Umsetzung in Hamburg?
Netzleiter betreut Arztpraxen und MVZ in Hamburg und Umgebung und setzt die Anforderungen der Richtlinie um. Die kostenlose Erstprüfung gibt den schnellen Überblick. Hotline: 040 25 499 500.
