Fachbeiträge & Kommentare zu IT-Sicherheit

Klare Regelungen für die Arbeit im Homeoffice helfen, die Abläufe strukturiert und sicher zu gestalten. Eine sinnvolle Auflistung von Maßnahmen und Ansprechpartnern schützt Ihre Unternehmensdaten, die Daten der Partnerunternehmen und die personenbezogenen Daten, die Ihre Mitarbeitenden verarbeiten. ⇒ Gibt es klare Regelungen in Ihrem Unternehmen für das Homeoffice? Die aktuell...mehr

Cloud Computing ist heute im Alltag der Unternehmen angekommen. Waren es 2016 noch nur 65 % der Unternehmen, die angaben, Cloud Services zu nutzen, waren es 2022 bereits 84 % und 2024 98 % der Befragten, die angeben, in der Cloud zu sein.[1] Cloud Computing bietet den nachfragenden Unternehmen eine Vielzahl an Vorteilen. Während noch 2022 die Reduzierung der Kosten das Hauptz...mehr

Rz. 32 Das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) hat ein bundesweites Verzeichnis der Leistungserbringer und Fachkräfte in der Pflege anzulegen (Satz 1). Das Verzeichnis ist bis zum 31.12.2021 zu errichten und durch das BfArM zu führen. Dazu hat sich das BfArM mit dem GKV-Spitzenverband, dem Spitzenverband Bund der Pflegekassen und den für die Wahrnehmung ...mehr

Arbeiten mit einer offenen IT-Struktur, E-Mail-Verkehr, Online-Banking, Kundenportale, Internetrecherche etc. machen das Unternehmen angreifbar (Cyber-Attacke auf Hard- und Software, Malware, Cyber-Hacking und Pishing). Eine wirksame IT-Sicherheit ist kosten- und personalintensiv und stellt kleinere und mittlere Unternehmen vor Finanzierungsprobleme. Neben Eigenschäden sowie ...mehr

0 Rechtsentwicklung Rz. 1 Die Vorschrift wurde durch das Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz-DigiG) v. 22.3.2024 (BGBl. I Nr. 101) mit Wirkung zum 26.3.2024 aufgehoben.mehr

Ein Fachinformatiker kann praktisch in allen Branchen eingesetzt werden. Entsprechend seiner Ausbildung in den Fachrichtungen Anwendungsentwicklung und Systemintegration ist das Aufgabenspektrum von Fachinformatikern wie folgt zu differenzieren: Generelle Aufgaben: Analyse von Anforderungen des Kunden, themenorientierte Beratung und Schulung der Kunden über Nutzungsmöglichkeite...mehr

0 Rechtsentwicklung Rz. 1 Art. 1 Nr. 90 des Gesetzes zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz – DigiG) v. 22.3.2024 (BGBl. I Nr. 101) hat die Vorschrift mit Wirkung zum 26.3.2024 in das SGB eingefügt. Die Vorschrift basiert auf § 75b (alt). Neben einer redaktionellen Überarbeitung wird die Security-Awareness im Gesundheitswesen gestärkt, in...mehr

Rz. 5 Zum Pflichtinhalt der Richtlinie gehören aufgrund der Formulierung "umfasst insbesondere" Anforderungen an die sichere Installation und Wartung von Komponenten und Diensten der Telematikinfrastruktur, die in der vertragsärztlichen und -zahnärztlichen Versorgung eingesetzt werden, und Maßnahmen zur Sensibilisierung von Mitarbeiterinnen und Mitarbeitern zur Informationssic...mehr

Rz. 7 Die in der Richtlinie festzulegenden Anforderungen müssen geeignet sein, die primären Schutzziele der Informationssicherheit (Verfügbarkeit, Integrität und Vertraulichkeit) zu gewährleisten und Störungen der informationstechnischen Systeme, Komponenten oder Prozesse der vertragsärztlichen und vertragszahnärztlichen Leistungserbringer zu vermeiden. Dabei sind das Gefährdun...mehr

Rz. 3 Die KBV legen in einer für die Betreiber vertragsärztlicher, vertragspsychotherapeutischer und vertragszahnärztlicher Praxen sowie Medizinischer Versorgungszentren verbindlichen Richtlinie die Anforderungen an die IT-Sicherheit in der vertragsärztlichen und -zahnärztlichen Versorgung fest. Die KBV sind damit ermächtigt und verpflichtet, entsprechend zu beschließen und ...mehr

Rz. 2 Die Kassenärztlichen Bundesvereinigungen der Ärzte und Zahnärzte (KBV) legen in einer verbindlichen Richtlinie die Anforderungen zur Gewährleistung der IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung fest (www.kbv.de/html/it-sicherheit.php; abgerufen: 18.10.2024). Die Richtlinie begegnet der aktuellen Situation und Entwicklung, in der info...mehr

2.1 Richtlinie (Abs. 1) Rz. 3 Die KBV legen in einer für die Betreiber vertragsärztlicher, vertragspsychotherapeutischer und vertragszahnärztlicher Praxen sowie Medizinischer Versorgungszentren verbindlichen Richtlinie die Anforderungen an die IT-Sicherheit in der vertragsärztlichen und -zahnärztlichen Versorgung fest. Die KBV sind damit ermächtigt und verpflichtet, entsprech...mehr

Rz. 1 Art. 1 Nr. 90 des Gesetzes zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz – DigiG) v. 22.3.2024 (BGBl. I Nr. 101) hat die Vorschrift mit Wirkung zum 26.3.2024 in das SGB eingefügt. Die Vorschrift basiert auf § 75b (alt). Neben einer redaktionellen Überarbeitung wird die Security-Awareness im Gesundheitswesen gestärkt, indem Mitarbeitende f...mehr

Rz. 14 Bundesamt für Sicherheit in der Informationstechnik, Hinweise zur IT-Sicherheitsrichtlinie nach § 75b SGB V.mehr

Rz. 11 Die informationstechnischen Systeme der Ärzte, Psychotherapeuten und Zahnärzte (Praxisinformationssysteme, PIS) werden überwiegend von Dienstleistern hergestellt und gewartet. Die KBV sind verpflichtet, die Mitarbeitenden der Dienstleister zu zertifizieren (Satz 1, www.kbv.de/html/it-sicherheit.php; abgerufen: 18.10.2024). Das Zertifikat ist zu beantragen (www.kbv.de/...mehr

Rz. 8 Die in der Richtlinie festzulegenden Anforderungen müssen dem Stand der Technik entsprechen, sind jährlich inhaltlich zu überprüfen und zu korrigieren sowie spätestens alle 2 Jahre an den Stand der Technik und an das Gefährdungspotenzial anzupassen. Die dynamische Vorgabe ("Stand der Technik") erfordert bereits eine laufende Fortschreibung der Richtlinie an eine sich ständ...mehr

Rz. 10 Die Richtlinie ist für die an der vertragsärztlichen und vertragszahnärztlichen Versorgung teilnehmenden Leistungserbringer verbindlich (Satz 1). Die Regelung erfasst auch vertragspsychotherapeutische Leistungserbringer oder Medizinische Versorgungszentren. Die Richtlinie ist nicht für die ambulante vertragsärztliche und vertragszahnärztliche Versorgung im Krankenhaus...mehr

Rz. 9 Die in der Richtlinie festzulegenden Anforderungen sowie deren Anpassungen erfolgen im Einvernehmen (Zustimmung) mit dem BSI sowie im Benehmen (Anhörung, Erwägung) mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), der Bundesärztekammer, der Bundeszahnärztekammer, der Deutschen Krankenhausgesellschaft und den für die Wahrnehmung der Interess...mehr

mehr

mehr

Zusammenfassung Knapp ein Jahr nach dem "ersten Cyber-Urteil" des LG Tübingen entschied das LG Kiel am 23.5.2024, dass der Cyberversicherer eine Police wirksam wegen arglistiger Täuschung anfechten kann, wenn der Versicherungsnehmer die vorvertraglichen Risikofragen "ins Blaue hinein" falsch beantwortet. Sachverhalt Die Klägerin schloss im März 2020 bei der Beklagten eine Cybe...mehr

Zusammenfassung Die IT-Sicherheit ist in Unternehmen aller Art und Größe von elementarer Bedeutung. Mit geeigneten Schutzvorkehrungen und Sicherheitsmaßnahmen muss gewährleistet sein, dass die Verarbeitung, Archivierung und Übermittlung von Daten allen internen und externen Risiken und Gefahren zum Trotz stets sicher und regelkonform erfolgt. Anhand der 11 Checklisten, die in...mehr

Die IT-Sicherheit ist in Unternehmen aller Art und Größe von elementarer Bedeutung. Mit geeigneten Schutzvorkehrungen und Sicherheitsmaßnahmen muss gewährleistet sein, dass die Verarbeitung, Archivierung und Übermittlung von Daten allen internen und externen Risiken und Gefahren zum Trotz stets sicher und regelkonform erfolgt. Anhand der 11 Checklisten, die in diesem Beitrag...mehr

IT-Sicherheit muss sein: Nicht nur in börsennotierten Unternehmen, sondern auch in GmbHs, AGs und anderen Kapitalgesellschaften sind Vorstände und Geschäftsführer für die IT-Sicherheit persönlich haftbar. Der Gesetzgeber schreibt außerdem die Rechtskonformität sämtlicher Unternehmensabläufe vor. Und dann sind da ja auch noch die Banken und die ISO-Zertifizierung, die auch an...mehr

Das IT-Sicherheitsbewusstsein und der Wille zur IT-Compliance auch in den Geschäftsleitungen kleinerer Unternehmen sind deutlich gestiegen. Was allerdings häufig fehlt, ist eine Infrastruktur, die die IT-Sicherheits- und Compliance-Maßnahmen nachhaltig macht. Viel zu oft bleibt es beim Einsatz von Einzelmaßnahmen, die auf Dauer nur einen sehr geringen Schutzfaktor haben. So ...mehr

Die drei Grundfragen, die sich den meisten Unternehmen in Bezug auf die IT-Sicherheit stellen, lauten: Welches Sicherheitsniveau ist angemessen? Wie lässt es sich erreichen? Wie kann man es aufrechterhalten? Das größte Problem dabei sind nicht die konkreten Sicherheitsmaßnahmen, sondern deren Angemessenheit. Mit einem großen personellen und finanziellen Aufwand lässt sich beinah...mehr

Grundlage aller IT-Sicherheitsmaßnahmen muss die genaue Feststellung des Schutzbedarfs sein. Nur wer weiß, was geschützt werden soll, kann adäquate Schutzmaßnahmen treffen. Der Aufwand des Schutzes muss sich aber immer am Wert der Daten orientieren, die geschützt werden müssen. Bei der Feststellung des Schutzbedarfs müssen immer auch die eigentlichen Schutzziele mit bedacht w...mehr

mehr

Im betriebswirtschaftlichen Jargon werden gerne Anglizismen verwendet. Ein Begriff, der mittlerweile nicht mehr wegzudenken ist, lautet Compliance. Gemeint ist damit die Rechtskonformität, also die Umsetzung und das Befolgen aller gesetzlichen und vertraglichen Regelungen und Verpflichtungen. Betroffen vom Compliance-Gebot sind alle Kapitalgesellschaften – also auch kleine G...mehr

Eine eindeutige gesetzliche Haftung für die IT-Sicherheit in Unternehmen folgt aus gesetzlichen Regelungen, die greifen, wenn Unternehmensdaten an die Öffentlichkeit gelangen, schwere wirtschaftliche Schäden durch die mutwillige oder fahrlässige Zerstörung von Unternehmensdaten entstehen oder z. B. vom E-Mail-Server des Unternehmens Massen-Mails mit Viren verschickt werden. O...mehr

Auf den ersten Blick eindeutiger ist die Haftung bei Fällen mangelnder IT-Sicherheit geregelt, die unter das Strafgesetzbuch ( StGB) fallen. Dort gibt es etwa im § 203 für Ärzte, Rechtsanwälte und andere bestimmte Berufsgruppen Sonderregelungen, die auch Freiheitsstrafen vorsehen, wenn vertrauliche Angaben von Patienten, Mandanten oder Klienten ohne deren Einwilligung in die ...mehr

Die folgenden Checklisten fassen in kurzen Fragen, die Sie nur mit Ja, Nein oder Prüfen zu beantworten brauchen, die wichtigsten Sicherheitsanforderungen und -maßnahmen zusammen. Anhand Ihrer Antworten erhalten Sie ein genaues Bild über den aktuellen Zustand sowie über die Schwachstellen der IT-Sicherheit und der IT-Compliance in Ihrem Unternehmen. Hinweis Die Checklisten ent...mehr

Anhand der folgenden Checklisten, die in die zuvor genannten Bereiche unterteilt sind, können Sie eine Bestandsaufnahme und Bedarfsanalyse vornehmen, die Sie zur Grundlage Ihres IT-Sicherheitskonzepts machen können. 9.1 Checkliste 1: Sicherheitsmanagementmehr

mehr

mehr

mehr

mehr

mehr

Die EU-Datenschutzrichtlinie für elektronische Kommunikation (E-Privacy-Richtlinie) enthält grundlegende Bestimmungen, die die Sicherheit und Vertraulichkeit der Kommunikation über elektronische Netze in der EU – einschließlich des Internets und mobiler Dienste – gewährleisten sollen. Die Richtlinie enthält ein EU-weites Spam-Verbot, gestattet E-Mail-Werbung nur mit vorherig...mehr

mehr

mehr

mehr

mehr

mehr

Die Aufrechterhaltung des Sicherheitsniveaus ist genauso wichtig wie die Einführung angemessener Sicherheitsmaßnahmen. Eine ganz besonders wichtige Rolle spielt dabei das Sicherheitsbewusstsein der Mitarbeiter. Nur wenn Mitarbeiter positiv motiviert sind und einsehen, warum bestimmte Sicherheitsmaßnahmen sie in der Nutzung des lokalen Netzwerks einschränken oder von ihnen se...mehr

Bestehen angesichts des Verdachts strafbarer Handlungen Anhaltspunkte für Verdunkelungsgefahr, sollte regelmäßig – ggf. in Abstimmung mit Rechtsanwälten und/oder den Ermittlungsbehörden – geprüft werden, ob und inwieweit der zugrundeliegende Sachverhalt überhaupt durch unternehmensinterne Untersuchungen (vor-)geklärt werden sollte. Zwar besteht i. d. R. keine Pflicht zur Inf...mehr

Rz. 63 Gemäß Tz. 2.2 BAIT ist die Geschäftsleitung dafür verantwortlich, dass auf Basis der IT-Strategie die Regelungen zur IT-Aufbau- und IT-Ablauforganisation festgelegt und bei Veränderungen der Aktivitäten und Prozesse zeitnah angepasst werden. Es ist sicherzustellen, dass diese Regelungen wirksam umgesetzt werden. Rz. 64 Laut Tz. 4.4 BAIT hat die Geschäftsleitung die Fun...mehr

Hinweis zur Benutzung des Literaturverzeichnisses: Sofern es sich bei den Autoren bzw. Herausgebern um Organisationen handelt, sind die aufgeführten Werke i. d. R. auf der Internetseite der jeweiligen Organisation verfügbar. Achtelik, Olaf, in: Herzog, Felix (Hrsg.), Geldwäschegesetz, 5. Auflage, München, 2023, § 24c KWG, § 25h KWG und § 6 GwG. ACI Deutschland e. V. – Arbeitsg...mehr

Rz. 208 Vor diesem Hintergrund wurden die Anforderungen an IDV-Anwendungen konkretisiert. So sind laut Tz. 1.2 lit. f BAIT bereits in der IT-Strategie Aussagen zu IDV-Anwendungen zu treffen. Als Teil der Anwendungsentwicklung sind gemäß Tz. 7.6 BAIT auch für IDV-Anwendungen angemessene und risikoorientiert ausgestaltete Prozesse festzulegen, die Vorgaben zur Anforderungsermi...mehr

Rz. 42 Grundsätzlich sind für sämtliche Geschäftsabschlüsse außerhalb der Geschäftsräume interne Vorgaben erforderlich, aus denen insbesondere die Berechtigten, der Zweck, der Umfang und die Erfassung hervorgehen. Das gilt also nicht nur für die klassischen Außer-Haus-Geschäfte, sondern ebenso für die Geschäftsabschlüsse an häuslichen Arbeitsplätzen. Allerdings dienen die in...mehr