Type something to search...
to navigateto selectESC to close
KBV IT-Sicherheitsrichtlinie Vorlage & Muster kostenlos (§ 390 SGB V)

KBV IT-Sicherheitsrichtlinie Vorlage & Muster kostenlos (§ 390 SGB V)

In meinem Umfeld wird eine Praxis gegründet: ich biete “nur kurz” IT-Hilfe an. Dann lese ich die KBV-IT-Sicherheitsrichtlinie nach § 390 SGB V und bin überrascht, was eine kleine Praxis stemmen soll. Neben Patientinnen und Patienten, mitten im Alltag!

Die Kassenärztliche Bundesvereinigung (KBV) fordert von jeder Praxis eine IT-Sicherheitsdokumentation. Eine kostenlose Mustervorlage? Fehlanzeige.

Während ich noch über 78 Seiten Dokumentationspflicht grübele, sehe ich selbst in einer Klinik unbeaufsichtigte, entsperrte Computer mit geöffnetem PVS. Horror. Obwohl diese Klinik schonmal in der näheren Vergangenheit gehackt und erpresst wurde.

Ich hatte die Wahl: Ein 08/15-Word-Dokument verfassen oder das Problem so lösen, wie ich es gerne mal mache: mit gnadenlosem Over-Engineering.

Das Ergebnis? Eine Dokumentation, die mich gelassen auf jedes Audit blicken lässt – und der Praxis Zeit für das gibt, was wirklich zählt.

Das Problem: Compliance ist ein Vollzeitjob

Die Realität: Viele Praxen sind schlicht blank. Nicht aus Böswilligkeit, sondern aus:

  • Zeitmangel: Zwischen Patienten bleibt keine Zeit für IT-Sicherheit
  • Überforderung: Was bedeutet “angemessene technische Maßnahmen”?
  • Kosten: Externe Berater sind teuer, interne Expertise fehlt

Gleichzeitig steigen die Anforderungen. Die KBV-Richtlinie fordert nicht nur Dokumentation, sondern kontinuierliche Überwachung. Backup-Tests, Update-Management, Verschlüsselungsstatus. Alles muss nachweisbar sein.

Compliance-Grundsatz: Schreibe nur auf, was du tust – und tue, was du aufgeschrieben hast.

Die Idee: Continuous Compliance statt Papierkram

Warum sollte Sicherheitsdokumentation statisch sein, wenn sich Bedrohungen täglich ändern? Also hab ich’s anders gemacht:

  1. Documentation as Code: Die gesamte Dokumentation in LaTeX, versioniert in Git genauso wie die IT-Systeme mit Infrastructure as Code gebaut und konfiguriert sind
  2. Automatisierte Überwachung: Ein “Compliance-Dashboard” prüft kontinuierlich die Realität
  3. Revisionssichere Logs: Jede Änderung wird getrackt, jeder Check dokumentiert

Das Template: Über 70 Seiten professionelle Dokumentation

Da ich nichts Passendes gefunden habe (oder zu doof zum Suchen war), habe ich selbst eine freie Vorlage gebaut. Zum Anpassen, Erweitern oder Verschlanken für den Start.

Was drin ist:

  • Vollständige KBV-Abdeckung (Anlage 1: 41/41 Punkte, Anlage 2: 8/10 Punkte) – Stand Oktober 2025
  • Anforderungen für die Telematikinfrastruktur (TI) inklusive
  • DSGVO-konforme TOMs und Verarbeitungsverzeichnis
  • IT-Notfallkarte und Checklisten zum Ausdrucken
  • Vorlagen für Geräteliste, Netzplan, Schulungsplan

Das Besondere: Drei PDF-Varianten für jeden Anwendungsfall:

  • Standard: PDF/A-3u für Langzeitarchivierung
  • Barrierefrei: PDF/UA-1 für Screenreader (ja, das war eine Herausforderung!)
  • Druck: PDF/X-1a für professionelle Druckereien

Die Barrierefreiheit war mir persönlich wichtig und hat viel Arbeit gekostet. PDF Accessibility Checker oder auch kurz PAC ohne Fehler bei eigenen Deckblättern und komplexen Tabellen. Das war Detailarbeit. Aber mit Community-Feedback und AI-Unterstützung haben wir es geschafft.

IT-Sicherheitsdokumentation Deckblatt 78 Seiten professionelle Dokumentation mit vollständigem Inhaltsverzeichnis

Level Up: Der automatisierte Compliance-Check

Das Template ist nur der Anfang und Ideengeber für die kontinuierliche Überwachung:

Der nächtliche “Robo-Auditor”

Jeden Morgen wird automatisch ein auf die Praxis zugeschnittener Compliance-Report erzeugt:

name: Daily Compliance Check
on:
  schedule:
    - cron: '0 3 * * *'  # Der digitale Nachtwächter

jobs:
  audit:
    runs-on: ubuntu-latest
    steps:
      - name: Check Device Compliance (MDM)
        run: python scripts/check_devices.py
        
      - name: Verify Domain Security (SSL, HSTS, Security Header)
        run: python scripts/check_domain.py
        
      - name: Validate Backup Status (Restore auto-generated files and compare hashes)
        run: python scripts/check_backups.py

Was wird überwacht?

Geräte-Compliance:

  • Sind alle iPads verschlüsselt? (FileVault-Status)
  • Läuft das neueste iOS? (Update-Management)
  • Ist der Sperrbildschirm aktiv? (Passcode-Policy)
  • Nur genehmigte Geräte im Netz? (Inventarisierung)

Domain & E-Mail-Sicherheit:

  • SSL-Zertifikat gültig und nicht bald abgelaufen?
  • DMARC/SPF/DKIM korrekt konfiguriert?
  • Keine verdächtigen DNS-Änderungen?

Backup & Notfallvorsorge:

  • TimeMachine-Backup jünger als 24 Stunden?
  • Backup verschlüsselt und konsistent?
  • NAS erreichbar und funktionsfähig?

Der “Paranoid Mode”: Proaktive Sicherheit

Was ich sonst noch eingebaut habe:

Identity Monitoring: Das System prüft wöchentlich via “Have I Been Pwned” API, ob die Praxis-E-Mail in Datenlecks aufgetaucht ist. Dann weiß ich es, bevor es peinlich wird.

Canary Tokens: Digitale Stolperdrähte im Netzwerk. Wenn jemand auf bestimmte Dateien zugreift, bekomme ich sofort eine Warnung.

Backup-Validierung: Ein Skript stellt regelmäßig zufällige Dateien aus dem Backup wieder her und prüft die Integrität. Das fordert die DSGVO eh – jetzt passiert’s einfach von alleine.

Website-Integrität: Täglicher Security-Check der Praxis-Website. Ist sie noch so konfiguriert wie ich sie eingerichtet habe? Ich erfahre es sofort.

Das Ergebnis: Digitale Gesundheit für die Praxis-IT

Das Ergebnis nach einigen Wochen Arbeit:

Rechtssicherheit: Lückenloser, manipulationssicherer Audit Trail über Git. Jede Änderung ist nachvollziehbar.

Proaktive Warnungen: SSL-Zertifikat läuft ab? Backup fehlgeschlagen? Ich bekomme eine Nachricht, bevor es zum Problem wird.

Prüfer-Glück: Bei einer Kontrolle drücke ich einen Knopf und generiere ein PDF mit aktuellem Sicherheitsstatus inklusive historischer Nachweise.

Patientensicherheit: Sicherer als mit Maßnahmen die auf dem Papierordner im Schrank stehen. Die Checks werden täglich automagisch gelebt.

Warum der Aufwand?

Natürlich hätte es auch ein Ordner mit Papier getan. Aber das Setup lohnt sich:

  • Skalierbarkeit: Einmal aufgesetzt, funktioniert es für jede Praxis
  • Aktualität: Die Dokumentation bleibt automatisch aktuell
  • Compliance: KBV-Anforderungen werden nicht nur erfüllt, sondern übertroffen
  • Effizienz: Weniger manuelle Arbeit, mehr Zeit für Patienten

Es ist wie bei meiner Telenot Bridge: Wenn man Technik richtig einsetzt, wird aus einer lästigen Pflicht was, das tatsächlich Spaß macht.

Cyberversicherung im Blick

Noch ein Punkt: Diese Dokumentation hilft auch bei Cyberversicherungen. Versicherer wollen vor Vertragsabschluss Belege für IT-Sicherheitsmaßnahmen sehen.

Meine IT-Sicherheitsrichtlinie Vorlage gibt Ihnen einen soliden Grundstein. Während andere Praxen wochenlang Unterlagen zusammensuchen, haben Sie schon mal einen professionellen Ausgangspunkt.

Schnellere Dokumentation, schnellere Versicherung.

KBV IT-Sicherheitsrichtlinie Vorlage: Kostenloser Download

Das IT-Sicherheitsdokumentation Template ist frei verfügbar auf GitHub.

Hinweis: Unabhängiges Community-Projekt. Die Vorlage ist ein Startpunkt - prüfen Sie die Inhalte sorgfältig auf Anwendbarkeit für Ihre Praxis-Infrastruktur.

Download Links:

Die Automatisierungskomponenten entwickle ich gerade weiter. Wer Interesse hat oder Feedback loswerden will: LinkedIn oder E-Mail.

Häufige Fragen zur KBV IT-Sicherheitsrichtlinie

Was ist die KBV IT-Sicherheitsrichtlinie?

Die KBV IT-Sicherheitsrichtlinie nach § 390 SGB V (früher § 75b) ist eine verbindliche Vorgabe der Kassenärztlichen Bundesvereinigung für alle Arztpraxen und Psychotherapeuten. Sie definiert Mindestanforderungen an die IT-Sicherheit zum Schutz von Patientendaten.

Gibt es eine kostenlose Vorlage für die KBV IT-Sicherheitsrichtlinie?

Ja, auf dieser Seite finden Sie eine kostenlose Mustervorlage mit über 70 Seiten professioneller Dokumentation. Das Template deckt alle Anforderungen der Anlage 1 (41/41 Punkte) und Anlage 2 (8/10 Punkte) ab und ist auf GitHub frei verfügbar.

Für wen gilt die IT-Sicherheitsrichtlinie nach § 390 SGB V?

Die Richtlinie gilt für alle vertragsärztlichen und vertragspsychotherapeutischen Praxen in Deutschland. Je nach Praxisgröße und Ausstattung (z.B. mit medizinischen Großgeräten) gelten unterschiedliche Anforderungsstufen.

Was muss in einer IT-Sicherheitsdokumentation für Arztpraxen enthalten sein?

Eine vollständige Dokumentation umfasst: Technisch-organisatorische Maßnahmen (TOMs), Geräte- und Softwareverzeichnis, Netzwerkplan, Backup-Konzept, Notfallplan, Schulungsnachweise und Regelungen zur Telematikinfrastruktur (TI).

Wann trat die neue KBV IT-Sicherheitsrichtlinie in Kraft?

Die überarbeitete IT-Sicherheitsrichtlinie trat am 1. April 2025 in Kraft und wurde im Oktober 2025 nochmals aktualisiert. Sie ersetzt die vorherige Fassung nach § 75b SGB V.

Tags
Teilen

Related Posts