§75b KBV-Richtlinie: Leitfaden zur IT-Sicherheit in Arztpraxen

Dieser Beitrag wurde mit Blick auf den Stand 2026 überarbeitet. Die KBV-Richtlinie §75b der Kassenärztlichen Bundesvereinigung definiert verbindliche IT-Sicherheitsstandards für alle Praxen in der vertragsärztlichen und vertragszahnärztlichen Versorgung. Dieser Leitfaden erklärt die acht zentralen Anforderungen und was ihre praktische Umsetzung bedeutet.

1. Antiviruspflege

Antivirussoftware ist Pflicht auf allen Systemen, die mit Patientendaten in Berührung kommen. Für Hamburger Arztpraxen ist das eine zentrale Compliance-Anforderung. Entscheidend ist nicht nur die Installation, sondern die kontinuierliche Pflege: automatische Updates der Signaturdatenbank, regelmäßige vollständige Systemscans und eine zentrale Verwaltungskonsole, die den Schutzstatus aller Geräte auf einen Blick zeigt.

2. Firewall-Einrichtung

Eine Firewall überwacht den Datenverkehr zwischen dem Praxisnetz und dem Internet. Sie blockiert unerwünschte eingehende Verbindungen und verhindert, dass Schadsoftware unbemerkt nach außen kommuniziert. Für Praxen mit Telematikinfrastruktur-Anbindung ist eine korrekt konfigurierte Firewall technische Grundvoraussetzung.

3. Backup-Strategie

Regelmäßige Datensicherungen nach einem dokumentierten Plan sind Pflicht. Das bedeutet konkret:

• Tägliche automatisierte Sicherung der Praxisdaten
• Externe oder Cloud-basierte Backup-Aufbewahrung (nicht nur auf demselben Server)
• Regelmäßige Test-Wiederherstellungen, um die Backup-Integrität zu prüfen

Ein Backup, das nie getestet wurde, bietet keine Sicherheit.

4. Zentralisierte Rechteverwaltung

Über Windows Server oder eine vergleichbare Lösung werden Benutzerrechte zentral vergeben. Nur autorisierte Personen haben Zugriff auf sensible Patientendaten. Das Prinzip des geringsten Privilegs gilt: Jeder Nutzer erhält nur die Rechte, die für seine Aufgabe notwendig sind.

5. Patchmanagement

Regelmäßige Updates für Betriebssysteme, Praxissoftware, Browser und Sicherheitsanwendungen schließen bekannte Sicherheitslücken. In Praxisumgebungen ist ein kontrollierter Update-Prozess wichtig, der sicherstellt, dass kritische Anwendungen nach Updates weiter korrekt funktionieren.

6. Notfalldokumentation

Praxen müssen Notfallprozesse schriftlich festhalten: Was passiert bei einem IT-Ausfall? Wer wird kontaktiert? Wie werden Patienten informiert? Wo liegen die Backup-Medien? Ohne diese Dokumentation verliert man in einer Krise wertvolle Zeit.

7. Automatische Bildschirmsperrung

Alle Arbeitsplätze müssen sich nach einer definierten Leerlaufzeit automatisch sperren. So wird verhindert, dass unbefugte Personen bei kurzer Abwesenheit des Personals auf offene Patientenakten zugreifen.

8. Festplattenverschlüsselung

Alle Datenträger, die Patientendaten enthalten, müssen verschlüsselt sein. Die KBV-Richtlinie benennt Microsoft BitLocker als anerkannte Lösung. Bei einem Gerätediebstahl sind verschlüsselte Daten für Dritte unlesbar.

Umsetzung mit Netzleiter

Netzleiter ist nach §75b KBV zertifiziert und setzt alle genannten Maßnahmen in Arztpraxen in und um Hamburg um. Firewall, Antiviruspflege, Backup, Rechteverwaltung, Patchmanagement, Notfalldokumentation, Bildschirmsperre und BitLocker-Verschlüsselung können komplett ausgelagert werden. Die Praxis konzentriert sich auf die Patientenversorgung, Netzleiter auf die IT-Sicherheit.