IT-Sicherheitsrichtlinie für Arztpraxen wird verschärft: Das sind die neuen Vorgaben

Mehr Schutz vor Ransomware und Datenklau: Arztpraxen müssen bis Oktober 2025 strengere IT-Sicherheitsmaßnahmen umsetzen.

27.06.2025

Die Digitalisierung im Gesundheitswesen schreitet weiter voran - gleichzeitig nehmen Cyberangriffe auf Arztpraxen deutlich zu. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt aktuell verstärkt vor sogenannten Ransomware-Attacken.

Gefahr durch Cyberkriminalität

• Angriffe zielen darauf ab, IT-Systeme von Praxen mit Schadsoftware zu infizieren.
• Die Daten werden verschlüsselt und unzugänglich gemacht.
• Kriminelle fordern anschließend Lösegeld, um die Daten wieder freizugeben.
• Zusätzlich drohen sie, sensible Patientendaten zu veröffentlichen, falls keine Zahlung erfolgt.

Hintergrund der neuen Sicherheitsvorgaben

• Bereits seit 2021 gibt es von der Kassenärztlichen Bundesvereinigung (KBV) verbindliche IT-Sicherheitsrichtlinien für Arztpraxen.
• Diese Vorgaben sind abhängig von der Praxisgröße.
• Die KBV hat die Richtlinie jetzt überarbeitet und deutlich verschärft.

Neue Pflichten für Praxen bis Oktober 2025

• Nachweis über Maßnahmen zur Sensibilisierung des gesamten Praxisteams - insbesondere zum Umgang mit Bedrohungen wie Spam- oder Phishing-Mails.
• Praxisinhaber müssen sicherstellen, dass externe Dienstleister (z.B. IT-Support) eine Vertraulichkeitserklärung unterschreiben.
  • Eine Vorlage dafür stellt die KBV online bereit.
• Verpflichtende regelmäßige Schulungen für alle Mitarbeitenden.
• Klare Regeln für den Austritt von Beschäftigten, insbesondere:
  • Sorgfältiges Passwortmanagement.
  • Rückgabe von Schlüsseln, Ausweisen und sonstigen Zugangsmedien.

Mit den neuen IT-Vorgaben will die KBV die Widerstandsfähigkeit der Praxen gegen Cyberattacken deutlich erhöhen. Wer die Vorgaben bis Oktober 2025 nicht umsetzt, riskiert empfindliche Sicherheitslücken und mögliche Bußgelder.

Weitere Informationen finden Sie hier: KBV