Die IT-Sicherheitsrichtlinie der Kassenärztlichen Bundesvereinigung regelt verbindlich, wie Praxen ihre IT gegen Angriffe und Datenverlust absichern. Seit Oktober 2025 gilt eine überarbeitete Fassung. Die rechtliche Grundlage trägt nach der Neufassung des Sozialgesetzbuchs V die Nummer §390 SGB V, früher war es §75b SGB V. Inhaltlich ist es dieselbe Richtlinie, nur der Paragraf hat sich verschoben. Für rund 99.000 Arzt- und Psychotherapiepraxen ist die Umsetzung Pflicht. Dieser Leitfaden zeigt die zentralen Anforderungen und was sie im Praxisalltag bedeuten.

Was sich mit der neuen Fassung geändert hat

Die KBV überarbeitet die Richtlinie künftig jährlich und passt sie alle zwei Jahre an den Stand der Technik und die aktuelle Bedrohungslage an. Abgestimmt wird das mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Fassung seit Oktober 2025 schärft drei Bereiche besonders nach:

Patch- und Change-Management. Updates müssen kontrolliert eingespielt werden, ohne dass die Praxissoftware ausfällt.
Absicherung der Endgeräte. PCs, Tablets und mobile Geräte mit Zugriff auf Patientendaten brauchen einen definierten Schutzstand.
Nutzung von Cloud-Diensten. Wer Cloud-Anwendungen einsetzt, muss Speicherort, Verschlüsselung und Zugriff sauber regeln.

Der Umfang der Pflichten richtet sich nach der Praxisgröße, gemessen an der Zahl der ständig mit der Datenverarbeitung betrauten Personen. Eine kleine Einzelpraxis erfüllt einen anderen Katalog als ein MVZ mit eigener Datenverarbeitung.

Die zentralen Schutzmaßnahmen

1. Antiviruspflege

Antivirensoftware ist Pflicht auf allen Systemen, die mit Patientendaten in Berührung kommen. Entscheidend ist nicht die Installation, sondern die Pflege: automatische Updates der Signaturen, regelmäßige vollständige Scans und eine zentrale Konsole, die den Schutzstatus aller Geräte auf einen Blick zeigt.

2. Firewall

Eine Firewall trennt das Praxisnetz vom Internet. Sie blockiert unerwünschte Verbindungen von außen und verhindert, dass Schadsoftware unbemerkt nach außen kommuniziert. Für Praxen mit Anbindung an die Telematikinfrastruktur ist eine korrekt konfigurierte Firewall technische Grundvoraussetzung.

3. Backup mit getesteter Wiederherstellung

Regelmäßige Datensicherung nach einem dokumentierten Plan ist Pflicht. In der Praxis heißt das:

Tägliche automatisierte Sicherung der Praxisdaten
Eine Kopie außerhalb des Standorts, in der Cloud oder auf externem Medium
Regelmäßige Test-Wiederherstellungen, um die Integrität zu prüfen

Ein Backup, das nie wiederhergestellt wurde, ist nur eine Vermutung. Erst der getestete Restore beweist, dass die Daten im Ernstfall zurückkommen.

4. Zentrale Rechteverwaltung

Benutzerrechte werden zentral vergeben, etwa über einen Windows Server. Es gilt das Prinzip des geringsten Privilegs: Jeder Zugang erhält nur die Rechte, die für die Aufgabe nötig sind. So bekommt nicht jede Anmeldung Zugriff auf den gesamten Patientenbestand.

5. Patch- und Change-Management

Betriebssysteme, Praxissoftware, Browser und Sicherheitsanwendungen brauchen regelmäßige Updates, um bekannte Lücken zu schließen. In einer Praxis muss der Update-Prozess kontrolliert ablaufen, damit kritische Anwendungen nach einem Update weiter laufen. Genau hier hat die neue Fassung nachgeschärft.

6. Notfalldokumentation

Praxen müssen ihre Notfallprozesse schriftlich festhalten. Was passiert bei einem IT-Ausfall, wer wird kontaktiert, wie werden Patienten informiert, wo liegen die Backup-Medien. Ohne diese Dokumentation verliert man in einer Krise die Zeit, die man am wenigsten hat.

7. Automatische Bildschirmsperre

Alle Arbeitsplätze sperren sich nach einer definierten Leerlaufzeit selbst. Das verhindert, dass bei kurzer Abwesenheit des Personals jemand Unbefugtes auf eine offene Patientenakte schaut, etwa am Empfang.

8. Festplattenverschlüsselung

Datenträger mit Patientendaten müssen verschlüsselt sein. Verbreitet ist Microsoft BitLocker, das in vielen Windows-Editionen enthalten ist. Wird ein Notebook gestohlen, sind verschlüsselte Daten für Dritte unlesbar.

Umsetzung mit Netzleiter

Netzleiter ist nach der KBV-IT-Sicherheitsrichtlinie zertifiziert, Geschäftsführer Mehdi Aroui hat die zugehörige Fachprüfung abgelegt. Aus unserer Beratungspraxis in Hamburg wissen wir, dass die meisten Praxen nicht an einzelnen Maßnahmen scheitern, sondern an der laufenden Pflege.

Antiviruspflege, Firewall, Backup mit getestetem Restore, Rechteverwaltung, Patch-Management, Notfalldokumentation, Bildschirmsperre und Verschlüsselung lassen sich komplett auslagern. Die Praxis konzentriert sich auf die Patientenversorgung, Netzleiter hält die IT-Sicherheit nachweisbar auf Stand. Eine kostenlose Erstprüfung zeigt in kurzer Zeit, wo Ihre Praxis steht und was konkret zu tun ist.

Mehr zum Leistungsbereich Medical IT finden Sie unter medical-it.org sowie auf unserer Seite Medical IT für Arztpraxen.

Häufige Fragen

Was ist aus §75b SGB V geworden?

Die IT-Sicherheitsrichtlinie war ursprünglich in §75b SGB V verankert. Nach der Neufassung des Sozialgesetzbuchs V trägt dieselbe Richtlinie heute die Nummer §390 SGB V. Die Anforderungen sind dieselben, nur der Paragraf hat sich verschoben. Verweise auf §75b betreffen also die frühere Nummerierung.

Für wen gilt die IT-Sicherheitsrichtlinie?

Für alle Praxen in der vertragsärztlichen, vertragspsychotherapeutischen und vertragszahnärztlichen Versorgung. Das sind rund 99.000 Arzt- und Psychotherapiepraxen sowie fast 38.000 Zahnarztpraxen. Welcher Maßnahmenkatalog gilt, hängt von der Praxisgröße ab.

Muss ich für die Verschlüsselung BitLocker verwenden?

Nein. Pflicht ist die Verschlüsselung der Datenträger, nicht ein bestimmtes Produkt. Microsoft BitLocker ist verbreitet, weil es in vielen Windows-Editionen enthalten ist. Gleichwertige Lösungen sind ebenso zulässig.

Wie oft wird die Richtlinie aktualisiert?

Die KBV überprüft die Richtlinie künftig jährlich und passt sie alle zwei Jahre an den Stand der Technik an, abgestimmt mit dem BSI. Praxen sollten ihren IT-Sicherheitsstand deshalb nicht einmalig herstellen, sondern laufend pflegen.

Wer hilft bei der Umsetzung in Hamburg?

Netzleiter betreut Arztpraxen und MVZ in Hamburg und Umgebung und setzt die Anforderungen der Richtlinie um. Eine kostenlose Erstprüfung gibt den schnellen Überblick. Hotline 040 25 499 500, support@netzleiter.com.

IT-Sicherheitsrichtlinie §390 SGB V: Leitfaden für Arztpraxen