👥 Personal (1-7)
1. Geregelte Einarbeitung neuer Mitarbeitender
Werden neue Mitarbeitende systematisch in IT-Systeme und Sicherheitsregeln eingewiesen?
💡 Umsetzung: Erstellen Sie eine Einarbeitungs-Checkliste mit allen IT-Systemen, Zugängen und Sicherheitsregeln. Schulen Sie neue Mitarbeitende systematisch.
Sind Ansprechpartner für Informationssicherheit und Datenschutz bekannt?
💡 Umsetzung: Benennen Sie einen IT-Sicherheitsbeauftragten und einen Datenschutzbeauftragten. Kommunizieren Sie die Kontaktdaten an alle Mitarbeitende.
Werden Sicherheitsziele und Verhaltensregeln bei Sicherheitsvorfällen erklärt?
💡 Umsetzung: Entwickeln Sie ein Notfallhandbuch mit klaren Handlungsanweisungen bei Sicherheitsvorfällen und schulen Sie alle Mitarbeitende.
2. Geregelte Verfahrensweise beim Weggang von Mitarbeitenden
Gibt es ein dokumentiertes Verfahren für ausscheidende Mitarbeitende?
💡 Umsetzung: Erstellen Sie eine Austrittscheckliste mit allen zurückzugebenden Gegenständen und durchzuführenden Maßnahmen.
Werden alle Unterlagen, Schlüssel, Geräte und Ausweise zurückgefordert?
💡 Umsetzung: Führen Sie eine Inventarliste aller ausgegebenen Gegenstände und prüfen Sie diese systematisch bei Austritt.
Werden alle Zugangsdaten und Berechtigungen gelöscht/geändert?
💡 Umsetzung: Dokumentieren Sie alle IT-Zugänge pro Mitarbeiter und deaktivieren/löschen Sie diese sofort bei Austritt.
Wird auf fortdauernde Verschwiegenheitsverpflichtungen hingewiesen?
💡 Umsetzung: Lassen Sie sich die Verschwiegenheitsverpflichtung schriftlich bestätigen und weisen Sie auf Nachvertragspflichten hin.
3. Festlegung von Regelungen für den Einsatz von Fremdpersonal
Werden externe Mitarbeitende auf Gesetze und interne Regelungen verpflichtet?
💡 Umsetzung: Erstellen Sie einen Verhaltenskodex für externes Personal und lassen Sie diesen unterschreiben.
Wird kurzfristiges Fremdpersonal in sicherheitsrelevanten Bereichen beaufsichtigt?
💡 Umsetzung: Definieren Sie eine Begleitpflicht für externe Personen in sensiblen Bereichen.
Werden Zugangsberechtigungen so restriktiv wie möglich gehalten?
💡 Umsetzung: Vergeben Sie nur temporäre, eingeschränkte Zugänge mit automatischem Ablauf.
4. Vertraulichkeitsvereinbarungen für den Einsatz von Fremdpersonal
Werden schriftliche Vertraulichkeitsvereinbarungen mit externen Personen geschlossen?
💡 Umsetzung: Verwenden Sie standardisierte NDAs für alle externen Personen.
5. Aufgaben und Zuständigkeiten von Mitarbeitenden
Sind Aufgaben und Zuständigkeiten dokumentiert?
💡 Umsetzung: Erstellen Sie Stellenbeschreibungen mit klaren IT-Verantwortlichkeiten.
Sind Berechtigungen und Zugänge für Mitarbeitende dokumentiert?
💡 Umsetzung: Führen Sie eine Berechtigungsmatrix für alle IT-Systeme.
Werden Mitarbeitende über rechtliche Rahmen und interne Nutzung informiert?
💡 Umsetzung: Schulen Sie regelmäßig zu DSGVO und anderen rechtlichen Anforderungen.
6. Qualifikation des Personals
Werden Mitarbeitende regelmäßig geschult und weitergebildet?
💡 Umsetzung: Planen Sie jährliche IT-Sicherheitsschulungen für alle Mitarbeitende.
Gibt es betriebliche Regelungen für aktuellen Kenntnisstand?
💡 Umsetzung: Erstellen Sie einen Weiterbildungsplan mit verpflichtenden Mindestschulungen.
7. Überprüfung der Vertrauenswürdigkeit von Mitarbeitenden
Wird bei der Einstellung auf Vertrauenswürdigkeit geachtet?
💡 Umsetzung: Führen Sie Referenzgespräche mit vorherigen Arbeitgebern.
Werden Referenzen und Lebensläufe auf Vollständigkeit geprüft?
💡 Umsetzung: Prüfen Sie Zeugnisse und Zertifikate auf Echtheit.
🎓 Sensibilisierung und Schulung zur Informationssicherheit (8-10)
8. Sensibilisierung der Praxisleitung für Informationssicherheit
Ist die Praxisleitung ausreichend für Sicherheitsfragen sensibilisiert?
💡 Umsetzung: Besuchen Sie Fortbildungen zur IT-Sicherheit im Gesundheitswesen.
Unterstützt die Praxisleitung aktiv Sicherheitskampagnen und Schulungsmaßnahmen?
💡 Umsetzung: Kommunizieren Sie regelmäßig über Sicherheitsthemen im Team.
9. Einweisung des Personals in den sicheren Umgang mit IT
Werden alle Mitarbeitende in den sicheren Umgang mit IT-Komponenten eingewiesen?
💡 Umsetzung: Erstellen Sie Bedienungsanleitungen für alle IT-Geräte mit Sicherheitshinweisen.
Ist dokumentiert, welche Sicherheitsmaßnahmen zu ergreifen sind?
💡 Umsetzung: Führen Sie praktische Übungen zum sicheren Umgang mit IT durch.
10. Durchführung von Sensibilisierungen und Schulungen zur Informationssicherheit
Werden Mitarbeitende entsprechend ihren Aufgaben zu Informationssicherheit geschult?
💡 Umsetzung: Implementieren Sie rollenspezifische Schulungsprogramme (Ärzte, MFA, Verwaltung).
🔒 Netzwerksicherheit (11-13) KRITISCH
11. Absicherung der Netzübergangspunkte HÖCHSTE PRIORITÄT
Ist der Übergang zum Internet durch eine Firewall geschützt?
💡 SOFORT umsetzen: Installieren Sie eine professionelle Firewall (SonicWall, Fortinet, pfSense).
Sind nur erlaubte Kommunikationsziele und -protokolle zugelassen?
💡 Umsetzung: Konfigurieren Sie Whitelist-basierte Regeln für ausgehenden Traffic.
12. Dokumentation des Netzes
Ist das interne Netz inklusive Netzplan dokumentiert?
💡 Umsetzung: Erstellen Sie einen aktuellen Netzplan mit allen Geräten und IP-Adressen.
Werden Netzwerkänderungen dokumentiert?
💡 Umsetzung: Führen Sie ein Änderungslog für alle Netzwerkmodifikationen.
13. Grundlegende Authentisierung für den Netzmanagement-Zugriff KRITISCH
Wird für Management-Zugriff auf Netzkomponenten eine geeignete Authentisierung verwendet?
💡 Umsetzung: Implementieren Sie Zwei-Faktor-Authentisierung für alle Admin-Zugänge.
Wurden alle Default-Passwörter auf Netzkomponenten geändert?
💡 SOFORT ändern: Verwenden Sie einen Passwort-Manager für starke, einzigartige Passwörter (mind. 12 Zeichen).
Sind die neuen Passwörter ausreichend stark (mind. 12 Zeichen, 3 Zeichenarten)?
💡 Umsetzung: Dokumentieren Sie alle geänderten Passwörter sicher.
🔄 Patch- und Änderungsmanagement (14-17)
14. Installation von Updates
Werden Updates zeitnah nach Veröffentlichung installiert?
💡 Umsetzung: Aktivieren Sie automatische Updates, kritische Updates binnen 48h installieren.
Ist festgelegt, wie Update-Funktionen in verschiedenen Produkten konfiguriert werden?
💡 Umsetzung: Erstellen Sie einen monatlichen Update-Plan für alle Systeme.
15. Verantwortlichkeit für Updates
Ist festgelegt, wer Updates installiert?
💡 Umsetzung: Benennen Sie einen IT-Verantwortlichen oder IT-Dienstleister.
Ist das ausgewählte Personal geschult und berechtigt?
💡 Umsetzung: Schulen Sie die verantwortliche Person in Update-Verfahren.
16. Identifizierung ausbleibender Updates
Werden Hardware/Software ohne Sicherheitsupdates identifiziert?
💡 Umsetzung: Führen Sie eine Inventarliste mit End-of-Life-Daten aller Systeme.
17. Ausmusterung oder Separierung bei ausbleibenden Updates
Werden Systeme ohne Updates ausgemustert oder separiert betrieben?
💡 Umsetzung: Isolieren Sie veraltete Systeme in einem separaten Netzwerksegment.
💻 Endgeräte (18-29) KRITISCH
18. Verhinderung der unautorisierten Nutzung von Rechner-Mikrofonen und Kameras
Sind Mikrofon und Kamera grundsätzlich deaktiviert?
💡 Umsetzung: Deaktivieren Sie Mikrofon und Kamera in den Geräte-Einstellungen.
Werden sie nur bei Bedarf temporär aktiviert?
💡 Umsetzung: Verwenden Sie physische Abdeckungen für Kameras.
19. Abmelden nach Aufgabenerfüllung
Wird nach Ende der Nutzung immer der Zugang gesperrt oder abgemeldet?
💡 Umsetzung: Aktivieren Sie automatische Bildschirmsperren nach 5-10 Minuten.
20. Einsatz von Viren-Schutzprogrammen HÖCHSTE PRIORITÄT
Werden aktuelle Virenschutzprogramme eingesetzt?
💡 SOFORT installieren: Installieren Sie Enterprise-Antivirus (Bitdefender, Kaspersky Business, ESET) auf ALLEN Geräten.
Ist konfiguriert, welche Daten wann gescannt werden?
💡 Umsetzung: Konfigurieren Sie Echtzeit-Scans und tägliche Vollscans.
21. Regelmäßige Datensicherung HÖCHSTE PRIORITÄT
Werden sämtliche relevante Daten regelmäßig gesichert?
💡 SOFORT einrichten: Implementieren Sie die 3-2-1-Backup-Regel (3 Kopien, 2 verschiedene Medien, 1 offline).
Ist festgelegt, in welchen Intervallen die Datensicherung erfolgt?
💡 Umsetzung: Führen Sie tägliche inkrementelle und wöchentliche Vollsicherungen durch.
22. Schutz der Datensicherung
Ist die Datensicherung vor unbefugtem Zugriff gesichert (physisch oder verschlüsselt)?
💡 Umsetzung: Verschlüsseln Sie alle Backup-Daten mit AES-256.
23. Art der Datensicherung
Ist festgelegt, wie die Daten gesichert werden (Software, Medien, Art)?
💡 Umsetzung: Nutzen Sie professionelle Backup-Software (Veeam, Acronis).
24. Verantwortliche der Datensicherung
Ist festgelegt, wer für die Datensicherung zuständig ist?
💡 Umsetzung: Benennen Sie einen Backup-Verantwortlichen mit Vertretungsregelung.
25. Test der Datensicherung WICHTIG
Wird getestet, ob gesicherte Daten funktionsfähig und vollständig sind?
💡 Umsetzung: Führen Sie monatliche Restore-Tests durch.
26. Zugriffssicherung auf Geräte und Software
Sind Benutzer und Rollen in der Praxissoftware eingerichtet?
💡 Umsetzung: Implementieren Sie rollenbasierte Zugriffskontrollen.
Werden Zugriffe auf Patientendaten gesteuert?
💡 Umsetzung: Führen Sie regelmäßige Berechtigungs-Reviews durch.
27. Konfiguration von Synchronisationsmechanismen (Windows)
Ist die Synchronisierung mit Microsoft-Cloud-Diensten deaktiviert?
💡 Umsetzung: Deaktivieren Sie OneDrive über Gruppenrichtlinien.
Ist OneDrive deinstalliert?
💡 Umsetzung: Unterbinden Sie die OneDrive-Installation über Gruppenrichtlinien.
28. Datei- und Freigabeberechtigungen (Windows)
Sind Berechtigungen nach dem Need-to-know-Prinzip geregelt?
💡 Umsetzung: Erstellen Sie eine Berechtigungsmatrix für alle Ordner.
29. Datensparsamkeit (Windows)
Wird die Verwendung personenbezogener Daten minimiert?
💡 Umsetzung: Deaktivieren Sie Telemetrie und Diagnosedaten in Windows.
Ist ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO erstellt?
💡 Umsetzung: Erstellen Sie ein Verfahrensverzeichnis nach DSGVO-Anforderungen.
📱 Smartphone und Tablet (30-35)
30. Verwendung der SIM-Karten-PIN
Sind SIM-Karten durch eine PIN geschützt?
💡 Umsetzung: Aktivieren Sie die SIM-PIN für alle Geschäftshandys.
Wird die Super-PIN/PUK nur von Verantwortlichen angewendet?
💡 Umsetzung: Verwahren Sie PUK-Codes sicher im Tresor.
31. Sichere Grundkonfiguration für mobile Geräte
Sind mobile Endgeräte mit strengsten/sichersten Einstellungen konfiguriert?
💡 Umsetzung: Verwenden Sie Mobile Device Management (MDM).
Sind nicht benötigte Funktionen deaktiviert?
💡 Umsetzung: Deaktivieren Sie Bluetooth, NFC, WiFi-Hotspot wenn nicht benötigt.
32. Verwendung eines Zugriffschutzes
Sind Geräte mit einem komplexen Gerätesperrcode geschützt?
💡 Umsetzung: Verwenden Sie 6-stellige PINs oder biometrische Verfahren.
Ist die Anzeige vertraulicher Informationen auf dem Sperrbildschirm deaktiviert?
💡 Umsetzung: Deaktivieren Sie Benachrichtigungsvorschauen auf dem Sperrbildschirm.
33. Datenschutz-Einstellungen
Ist der Zugriff von Apps auf Daten restriktiv eingeschränkt?
💡 Umsetzung: Prüfen Sie regelmäßig App-Berechtigungen und entziehen Sie unnötige Zugriffe.
34. Sperrmaßnahmen bei Verlust eines Mobiltelefons
Können SIM-Karten bei Verlust zeitnah gesperrt werden?
💡 Umsetzung: Hinterlegen Sie alle SIM-Karten-Nummern und Sperr-Hotlines.
Sind die notwendigen Mobilfunkanbieter-Informationen hinterlegt?
💡 Umsetzung: Aktivieren Sie Remote-Wipe-Funktionen für alle Geschäftsgeräte.
35. Nutzung der Sicherheitsmechanismen von Mobiltelefonen
Werden alle verfügbaren Sicherheitsmechanismen genutzt?
💡 Umsetzung: Aktivieren Sie Verschlüsselung, automatische Updates und App-Verifizierung.
Sind Benutzer über diese Sicherheitsmechanismen informiert?
💡 Umsetzung: Schulen Sie Mitarbeitende zu mobilen Sicherheitsfeatures.
💾 Wechseldatenträger / Speichermedien (36-39)
36. Schutz vor Schadsoftware
Werden Wechseldatenträger bei jeder Verwendung auf Schadsoftware überprüft?
💡 Umsetzung: Konfigurieren Sie automatische Scans bei USB-Anschluss.
37. Angemessene Kennzeichnung der Datenträger beim Versand
Werden Datenträger beim Versand eindeutig aber diskret gekennzeichnet?
💡 Umsetzung: Verwenden Sie neutrale Beschriftungen ohne Hinweis auf Inhalte.
38. Sichere Versandart und Verpackung
Werden sichere Nachweissysteme und manipulationssichere Verpackung verwendet?
💡 Umsetzung: Nutzen Sie Einschreiben oder Kurierservice mit Nachweis.
39. Sicheres Löschen der Datenträger vor und nach der Verwendung
Werden Datenträger nach Verwendung sicher und vollständig gelöscht?
💡 Umsetzung: Verwenden Sie Secure-Erase-Tools (DBAN, BleachBit).
📧 E-Mail-Client und -Server (40-41)
40. Sichere Konfiguration der E-Mail-Clients
Werden Dateianhänge vor dem Öffnen auf Schadsoftware geprüft?
💡 Umsetzung: Aktivieren Sie ATP (Advanced Threat Protection) für E-Mails.
Ist die automatische Interpretation von HTML-Code deaktiviert?
💡 Umsetzung: Deaktivieren Sie HTML-Darstellung und externe Inhalte.
Wird sichere Transportverschlüsselung eingesetzt?
💡 Umsetzung: Erzwingen Sie TLS-Verschlüsselung für E-Mail-Transport.
41. Umgang mit Spam durch Benutzende
Werden Benutzende angewiesen, Spam-E-Mails zu ignorieren und zu löschen?
💡 Umsetzung: Schulen Sie regelmäßig zu Phishing-Erkennung.
📱 Mobile Anwendungen (Apps) (42-44)
42. Sichere Apps nutzen
Werden Apps nur aus offiziellen Stores geladen?
💡 Umsetzung: Sperren Sie Installation aus unbekannten Quellen.
Werden Benutzerkonten gelöscht und Apps deinstalliert, wenn nicht mehr benötigt?
💡 Umsetzung: Führen Sie regelmäßige App-Audits durch.
43. Sichere Speicherung lokaler App-Daten
Werden nur Apps genutzt, die Dokumente verschlüsselt lokal abspeichern?
💡 Umsetzung: Prüfen Sie App-Datenschutzrichtlinien vor Installation.
44. Verhinderung von Datenabfluss
Ist der Zugriff von Apps auf vertrauliche Daten restriktiv eingeschränkt?
💡 Umsetzung: Implementieren Sie Data Loss Prevention (DLP) Lösungen.
🌐 Internet-Anwendungen - Anbieter (45-49)
45. Authentisierung bei Webanwendungen
Müssen sich Clients authentisieren für geschützte Ressourcen?
💡 Umsetzung: Implementieren Sie Single Sign-On (SSO) mit MFA.
Werden 2-Faktor-Authentisierung oder komplexe Passwörter eingefordert?
💡 Umsetzung: Erzwingen Sie starke Passwort-Richtlinien.
46. Schutz vertraulicher Daten
Werden Zugangsdaten mittels Salted Hash-Verfahren geschützt?
💡 Umsetzung: Verwenden Sie bcrypt oder Argon2 für Passwort-Hashing.
47. Einsatz von Web Application Firewalls
Wird eine Web Application Firewall (WAF) eingesetzt?
💡 Umsetzung: Implementieren Sie CloudFlare WAF oder AWS WAF.
48. Schutz vor unerlaubter automatisierter Nutzung
Sind Schutzmechanismen gegen automatisierte Nutzung implementiert?
💡 Umsetzung: Implementieren Sie CAPTCHA oder reCAPTCHA.
49. Kryptografische Sicherung vertraulicher Daten
Wird bei Webanwendungen auf verschlüsselte Kommunikation (HTTPS) geachtet?
💡 Umsetzung: Erzwingen Sie HTTPS mit HSTS-Headers und TLS 1.3.
☁️ Cloud-Anwendungen - Anbieter (50) KRITISCH
50. Sicherheit von Cloud-Dienstleistern HÖCHSTE PRIORITÄT
Verfügen Cloud-Anbieter über ein aktuelles C5-Testat nach § 393 SGB V?
💡 SOFORT prüfen: Fordern Sie C5-Zertifikate von ALLEN Cloud-Anbietern an und prüfen Sie die Gültigkeit regelmäßig.