In meinem Umfeld wird eine Praxis gegründet: ich biete “nur kurz” IT-Hilfe an. Dann lese ich die KBV-IT-Sicherheitsrichtlinie nach § 390 SGB V und bin überrascht, was eine kleine Praxis stemmen soll. Neben Patientinnen und Patienten, mitten im Alltag!

Die Kassenärztliche Bundesvereinigung (KBV) fordert von jeder Praxis eine IT-Sicherheitsdokumentation. Eine kostenlose Mustervorlage? Fehlanzeige.

Während ich noch über 78 Seiten Dokumentationspflicht grübele, sehe ich selbst in einer Klinik unbeaufsichtigte, entsperrte Computer mit geöffnetem PVS. Horror. Obwohl diese Klinik schonmal in der näheren Vergangenheit gehackt und erpresst wurde.

Ich hatte die Wahl: Ein 08/15-Word-Dokument verfassen oder das Problem so lösen, wie ich es gerne mal mache: mit gnadenlosem Over-Engineering.

Das Ergebnis? Eine Dokumentation, die lebt, sich selbst überwacht und mir ruhigen Schlaf schenkt.

Das Problem: Compliance ist ein Vollzeitjob

Die Realität: Viele Praxen sind schlicht blank. Nicht aus Böswilligkeit, sondern aus:

• Zeitmangel: Zwischen Patienten bleibt keine Zeit für IT-Sicherheit
• Überforderung: Was bedeutet “angemessene technische Maßnahmen”?
• Kosten: Externe Berater sind teuer, interne Expertise fehlt

Gleichzeitig steigen die Anforderungen. Die KBV-Richtlinie fordert nicht nur Dokumentation, sondern kontinuierliche Überwachung. Backup-Tests, Update-Management, Verschlüsselungsstatus. Alles muss nachweisbar sein.

Compliance-Grundsatz: Schreibe nur auf, was du tust – und tue, was du aufgeschrieben hast.

Die Idee: Continuous Compliance statt Papierkram

Warum sollte Sicherheitsdokumentation statisch sein, wenn sich Bedrohungen täglich ändern? Also hab ich’s anders gemacht:

1. Documentation as Code: Die gesamte Dokumentation in LaTeX, versioniert in Git genauso wie die IT-Systeme mit Infrastructure as Code gebaut und konfiguriert sind
2. Automatisierte Überwachung: Ein “Compliance-Dashboard” prüft kontinuierlich die Realität
3. Revisionssichere Logs: Jede Änderung wird getrackt, jeder Check dokumentiert

Das Template: über 70 Seiten professionelle Dokumentation

Da ich nichts Passendes gefunden habe (oder zu doof zum Suchen war), habe ich selbst eine freie Vorlage für die IT-Sicherheitsdokumentation gebaut. Zum Anpassen, Erweitern oder Verschlanken für den Start.

Was drin ist:

• Vollständige KBV-Abdeckung (Anlage 1: 41/41 Punkte, Anlage 2: 8/10 Punkte) Stand Januar 2026
• Anforderungen für die Telematikinfrastruktur (TI) inklusive
• DSGVO-konforme TOMs und Verarbeitungsverzeichnis
• IT-Notfallkarte und Checklisten zum Ausdrucken
• Vorlagen für Geräteliste, Netzplan, Schulungsplan

Das Besondere: Drei PDF-Varianten für jeden Anwendungsfall:

• Standard: PDF/A-3u für Langzeitarchivierung
• Barrierefrei: PDF/UA-1 für Screenreader (ja, das war eine Herausforderung!)
• Druck: PDF/X-1a für professionelle Druckereien

Die Barrierefreiheit war mir persönlich wichtig und hat viel Arbeit gekostet. PDF Accessibility Checker oder auch kurz PAC ohne Fehler bei eigenen Deckblättern und komplexen Tabellen. Das war Detailarbeit. Aber mit Community-Feedback und AI-Unterstützung haben wir es geschafft.

78 Seiten professionelle Dokumentation mit vollständigem Inhaltsverzeichnis

Level Up: Der automatisierte Compliance-Check

Das Template ist nur der Anfang und Ideengeber für die kontinuierliche Überwachung:

Der nächtliche “Robo-Auditor”

Jeden Morgen wird automatisch ein auf die Praxis zugeschnittener Compliance-Report erzeugt:

name: Daily Compliance Check
on:
  schedule:
    - cron: '0 3 * * *'  # Der digitale Nachtwächter

jobs:
  audit:
    runs-on: ubuntu-latest
    steps:
      - name: Check Device Compliance (MDM)
        run: python scripts/check_devices.py
        
      - name: Verify Domain Security (SSL, HSTS, Security Header)
        run: python scripts/check_domain.py
        
      - name: Validate Backup Status (Restore auto-generated files and compare hashes)
        run: python scripts/check_backups.py

Was wird überwacht?

Geräte-Compliance:

• Sind alle iPads verschlüsselt? (FileVault-Status)
• Läuft das neueste iOS? (Update-Management)
• Ist der Sperrbildschirm aktiv? (Passcode-Policy)
• Nur genehmigte Geräte im Netz? (Inventarisierung)

Domain & E-Mail-Sicherheit:

• SSL-Zertifikat gültig und nicht bald abgelaufen?
• DMARC/SPF/DKIM korrekt konfiguriert?
• Keine verdächtigen DNS-Änderungen?

Backup & Notfallvorsorge:

• TimeMachine-Backup jünger als 24 Stunden?
• Backup verschlüsselt und konsistent?
• NAS erreichbar und funktionsfähig?

Der “Paranoid Mode”: Proaktive Sicherheit

Was ich sonst noch eingebaut habe:

Identity Monitoring: Das System prüft wöchentlich via “Have I Been Pwned” API, ob die Praxis-E-Mail in Datenlecks aufgetaucht ist. Dann weiß ich es, bevor es peinlich wird.

Canary Tokens: Digitale Stolperdrähte im Netzwerk. Wenn jemand auf bestimmte Dateien zugreift, bekomme ich sofort eine Warnung.

Backup-Validierung: Ein Skript stellt regelmäßig zufällige Dateien aus dem Backup wieder her und prüft die Integrität. Das fordert die DSGVO eh – jetzt passiert’s einfach von alleine.

Website-Integrität: Täglicher Security-Check der Praxis-Website. Ist sie noch so konfiguriert wie ich sie eingerichtet habe? Ich erfahre es sofort.

Das Ergebnis: Digitale Gesundheit für die Praxis-IT

Das Ergebnis nach einigen Wochen Arbeit:

Rechtssicherheit: Lückenloser, manipulationssicherer Audit Trail über Git. Jede Änderung ist nachvollziehbar.

Proaktive Warnungen: SSL-Zertifikat läuft ab? Backup fehlgeschlagen? Ich bekomme eine Nachricht, bevor es zum Problem wird.

Prüfer-Glück: Bei einer Kontrolle drücke ich einen Knopf und generiere ein PDF mit aktuellem Sicherheitsstatus inklusive historischer Nachweise.

Patientensicherheit: Sicherer als mit Maßnahmen die auf dem Papierordner im Schrank stehen. Die Checks werden täglich automagisch gelebt.

Warum der Aufwand?

Natürlich hätte es auch ein Ordner mit Papier getan. Aber das Setup lohnt sich:

• Skalierbarkeit: Einmal aufgesetzt, funktioniert es für jede Praxis
• Aktualität: Die Dokumentation bleibt automatisch aktuell
• Compliance: KBV-Anforderungen werden nicht nur erfüllt, sondern übertroffen
• Effizienz: Weniger manuelle Arbeit, mehr Zeit für Patienten

Es ist wie bei meiner Telenot Bridge: Wenn man Technik richtig einsetzt, wird aus einer lästigen Pflicht was, das tatsächlich Spaß macht.

Cyberversicherung im Blick

Noch ein Punkt: Diese Dokumentation hilft auch bei Cyberversicherungen. Versicherer wollen vor Vertragsabschluss Belege für IT-Sicherheitsmaßnahmen sehen.

Meine Vorlage gibt Ihnen einen soliden Grundstein. Während andere Praxen wochenlang Unterlagen zusammensuchen, haben Sie schon mal einen professionellen Ausgangspunkt.

Schnellere Dokumentation, schnellere Versicherung.

Verfügbarkeit

Das IT-Sicherheitsdokumentation Template ist frei verfügbar auf GitHub.

Hinweis: Unabhängiges Community-Projekt. Die Vorlage ist ein Startpunkt - prüfen Sie die Inhalte sorgfältig auf Anwendbarkeit für Ihre Praxis-Infrastruktur.

Download Links:

• Neueste Version
• Standard PDF
• Barrierefreie Version

Die Automatisierungskomponenten entwickle ich gerade weiter. Wer Interesse hat oder Feedback loswerden will: LinkedIn oder E-Mail.