Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
Security Awareness-Training - mehr Sicherheit für Ihre Praxis.

Security Awareness-Training

Mehr Sicherheit für Ihre Praxis

Schützen Sie Ihre Praxis - durch Training Ihrer Mitarbeitenden.

Schützen Sie Ihre Praxis –
durch Awareness Ihrer Mitarbeitenden

Arztpraxen stehen heute mehr denn je im Fokus von Cyberkriminellen. Patientendaten sind äußerst sensibel – und ihr Schutz ist nicht nur eine Frage der Verantwortung, sondern wird auch eingefordert.

Die Sicherheitsrichtlinie der Kassenärztlichen Vereinigung (KBV) verpflichtet Praxen dazu, technische und organisatorische Maßnahmen zur IT-Sicherheit umzusetzen. Dazu gehört ausdrücklich auch, dass alle Mitarbeitenden regelmäßig im sicheren Umgang mit digitalen Systemen geschult und für Gefahren sensibilisiert werden.

Cyberangriffe beginnen meist mit einem Klick.

Die meisten Sicherheitsvorfälle entstehen nicht durch Technik, sondern durch menschliche Unachtsamkeit: Ein unbedachter Klick auf einen E-Mail-Anhang oder eine gefälschte Nachricht genügt oft, um Systeme lahmzulegen oder Patientendaten zu gefährden.

Das Awareness-Training hilft, diese Risiken erheblich zu reduzieren: Durch die Online Schulunsgmodule werden Mitarbeitende Schritt für Schritt zu einem aktiven Teil Ihres Sicherheitskonzepts.

Häufige Fragen zum Awareness-Training für Arztpraxen

Arztpraxen verarbeiten besonders schützenswerte personenbezogene Daten.

Die KBV-IT-Sicherheitsrichtlinie schreibt vor, dass Mitarbeitende regelmäßig zu IT-Sicherheits- und Datenschutzthemen geschult werden müssen.

Ein Awareness-Training sensibilisiert das gesamte Team für Gefahren wie Phishing, Social Engineering oder Datenmissbrauch – und trägt so aktiv zum Schutz der Patientendaten bei.

Ein Online-Awareness-Training ist eine digitale Schulung, die IT-Sicherheitswissen in leicht verständlichen, interaktiven Modulen vermittelt. Mitarbeitende lernen in kurzen Einheiten z. B., wie sie gefälschte E-Mails erkennen, sichere Passwörter verwenden oder verdächtige Aktivitäten melden.

Die Schulung kann zeit- und ortsunabhängig absolviert werden – ideal für den Praxisalltag.

Die KBV fordert ausdrücklich, dass alle Mitarbeitenden regelmäßig über IT-Sicherheitsmaßnahmen informiert und geschult werden.

Ein Awareness-Training ist somit ein geeigneter Weg, diese Verpflichtung zu erfüllen – und gleichzeitig das Sicherheitsniveau in der Praxis zu erhöhen.

Die KBV empfiehlt, Schulungen mindestens einmal jährlich durchzuführen und bei personellen Veränderungen (z. B. neue Mitarbeitende) sofort eine Einweisung vorzunehmen.

Ein kontinuierliches Online-Training mit wiederkehrenden Lerneinheiten sorgt dafür, dass Wissen langfristig gefestigt wird.

  • Alle Mitarbeitenden müssen im sicheren Umgang mit der Praxis-IT eingewiesen werden. Dazu gehört auch, dass sie für Themen rund um IT-Sicherheit sensibilisiert werden – jeweils so weit, wie es für ihre tägliche Arbeit wichtig ist (Anlage 1, Nr. 9).
  • Regelmäßige Schulungen sind Pflicht. Sie sollten sich besonders auf die in der Praxis genutzte Technik und IT-Systeme beziehen (Anlage 1, Nr. 6). Dabei ist wichtig, dass die Inhalte zu den jeweiligen Aufgaben passen – wer mehr Verantwortung für IT hat, braucht auch mehr Wissen zu Sicherheitsthemen (Anlage 1, Nr. 10).
  • Neue Kolleginnen und Kollegen müssen bei ihrem Start in der Praxis in die IT-Systeme eingearbeitet werden (Anlage 1, Nr. 1).
    Tipp: Im Hub zur IT-Sicherheitsrichtlinie gibt es ein Musterdokument, das diese Einarbeitung erleichtert.
  • Wenn jemand die Praxis verlässt, muss die Praxisleitung alle Passwörter und Zugangsdaten, die diese Person kannte oder genutzt hat, ändern oder löschen (Anlage 1, Nr. 2).
    Hinweis: Auch hierfür steht ein Musterdokument im Hub zur Verfügung.
  • Wird externes Personal – zum Beispiel von einem IT-Dienstleister – eingesetzt, muss sichergestellt sein, dass dieses alle relevanten Gesetze, Vorschriften und internen Regeln beachtet. Bei kurzfristigen oder einmaligen Einsätzen sollte das externe Personal beaufsichtigt werden (Anlage 1, Nr. 3).
  • In der Praxis ist außerdem festgelegt, wie mit Spam-E-Mails umgegangen wird: Alle Mitarbeitenden, die E-Mails bearbeiten, sollen Spam grundsätzlich ignorieren und sofort löschen (Anlage 1, Nr. 41).
  • In der Praxis werden aktuelle Virenschutzprogramme eingesetzt, um Schadsoftware frühzeitig zu erkennen und zu blockieren (Anlage 1, Nr. 20).
  • Apps dürfen nur aus den offiziellen App-Stores heruntergeladen werden. Wenn eine App nicht mehr benötigt wird, muss sie vollständig gelöscht werden (Anlage 1, Nr. 42).
  • Über Apps dürfen keine vertraulichen Daten versendet werden (Anlage 1, Nr. 44).
  • Nur Apps, die Dokumente verschlüsselt und lokal abspeichern, dürfen genutzt werden (Anlage 1, Nr. 43).
  • Smartphones und Tablets müssen mit einem komplexen Sperrcode geschützt sein (Anlage 1, Nr. 32).
  • Geht ein Diensthandy verloren, muss die SIM-Karte sofort gesperrt werden (Anlage 1, Nr. 34).
  • Nach der Nutzung eines Geräts – etwa eines Praxisrechners – meldet sich die jeweilige Person immer ab (Anlage 1, Nr. 19).
  • Das interne Praxisnetzwerk ist in einem Netzplan dokumentiert, damit Aufbau und Verbindungen nachvollziehbar bleiben (Anlage 1, Nr. 12). Tipp: Ein Musterdokument hierfür steht im Hub zur IT-Sicherheitsrichtlinie bereit.
  • Für Internet-Anwendungen wie die Praxis-Homepage oder Online-Terminvergaben wird eine Web Application Firewall (WAF) eingesetzt, um Angriffe von außen zu verhindern (Anlage 1, Nr. 47). Automatisierte Zugriffe oder Aufrufe solcher Webanwendungen sind nicht erlaubt (Anlage 1, Nr. 48).
  • Auf allen Endgeräten, z. B. Praxisrechnern, wird regelmäßig eine Datensicherung durchgeführt. Ein Sicherungsplan legt fest, welche Daten in welchen Abständen gesichert werden (Anlage 1, Nr. 21).
  • Wechseldatenträger (z. B. USB-Sticks oder externe Festplatten) werden bei jeder Verwendung mit einem aktuellen Schutzprogramm auf Schadsoftware überprüft (Anlage 1, Nr. 36).
  • Für die dezentralen Komponenten der Telematikinfrastruktur (TI) gilt:
    • Updates müssen zeitnah installiert werden, um Sicherheitslücken zu vermeiden (Anlage 5, Nr. 8).
    • Administrationsdaten sind sicher und vor unbefugtem Zugriff aufzubewahren (Anlage 5, Nr. 9).

Das Training besteht aus drei Modulen mit insgesamt rund vier Stunden Lerninhalten. Für die Beantwortung der Fragen nach jedem Modul benötigen Sie zusätzlich ca. 1 Stunde insgesamt.
Die Module können innerhalb eines Jahres flexibel bearbeitet werden.
Jedes Modul ist in kurze Kapitel gegliedert und enthält kompakte Lernvideos, um das Verständnis zu fördern und die Aufmerksamkeit zu unterstützen.

Level 1 – Grundlagen der Informationssicherheit und Compliance

Ziel dieses Moduls ist es, grundlegendes Wissen zum sicheren Umgang mit Informationen und digitalen Risiken zu vermitteln.

Themenüberblick:

  • Informationssicherheit am Arbeitsplatz
    • Wie werden Informationen sicher verwaltet?
    • Welche Risiken bestehen in der digitalen Welt?
    • Verhalten im Falle eines Sicherheitsvorfalls
  • Moderne Arbeitsweise und mobile Sicherheit
    • Sicheres Arbeiten zu Hause, unterwegs und an flexiblen Arbeitsplätzen
  • Informationsklassifizierung
    • Was ist eine Klassifizierung von Informationen?
    • Warum ist sie wichtig?
    • Wie werden Informationen korrekt klassifiziert und behandelt?
  • Phishing und digitale Täuschung
    • Erkennungsmerkmale von Phishing
    • Informationsbeschaffung durch Angreifer
    • Unterschiede zwischen E-Mail- und Social-Media-Phishing
    • Schutzmaßnahmen gegen Phishing-Angriffe
  • Ethisches und regelkonformes Verhalten
    • Ehrliches Verhalten im Berufsalltag
    • Umgang mit Geschenken und Interessenkonflikten
    • Erkennen und Vermeiden korrupter Praktiken
    • Nutzung von Firmeneigentum
    • Informationsweitergabe und Vertraulichkeit
    • Grundkenntnisse zu Preisabsprachen
  • Datenschutz und EU-DSGVO
    • Grundlagen der Datenschutz-Grundverordnung
    • Definition personenbezogener Daten
    • Verarbeitung personenbezogener Daten
    • Rechte betroffener Personen
    • Verantwortlichkeiten im Datenschutzprozess
    • Praktische Maßnahmen zum Schutz personenbezogener Daten

Level 2 – Vertiefung: IT-Sicherheit und Risikomanagement

Dieses Modul erweitert das Basiswissen um physische und organisatorische Sicherheitsaspekte.

Themenüberblick:

  • Physische Sicherheit
    • Bedeutung und Umsetzung physischer Sicherheitsmaßnahmen
    • Persönlicher Beitrag zur Sicherheit
  • Risikomanagement
    • Ziel und Rolle des Risikomanagements
    • Aufgaben des Risikomanagers
    • Identifikation, Bewertung und Kontrolle von Risiken
    • Maßnahmen und Eskalationswege
  • Cloud Computing
    • Arbeiten in der Cloud: Grundlagen und Sicherheitsaspekte
    • Öffentliche vs. private Cloud-Dienste (Vor- und Nachteile)
    • Sicheres Arbeiten in Cloud-Umgebungen
  • Mobile Sicherheit
    • Schutz mobiler Geräte (Smartphones, Tablets, Laptops)
    • Risiken durch Apps und öffentliche WLAN-Netzwerke
    • Sicherer Umgang mit sensiblen Daten auf mobilen Endgeräten
    • Maßnahmen bei Verlust oder Diebstahl

Level 3 – Fortgeschrittenes Wissen zur Cybersicherheit

Im dritten Level wird technisches und strategisches Wissen vertieft, um Sicherheitsrisiken aktiv zu erkennen und zu verhindern.

Themenüberblick:

  • Cyber-Sicherheit allgemein
    • Grundlagen und Ziele der Cybersicherheit
    • Erkennen und Reagieren auf Phishing-E-Mails
    • Schutz von Login-Daten und Benutzerkonten
    • Sichere Informationsspeicherung
  • Internet und vernetzte Systeme
    • Sicherer Umgang mit dem Internet der Dinge (IoT)
    • Schutz vor Social Engineering
    • Sicheres Verhalten im Internet
  • Malware und Angriffserkennung
    • Definition und Arten von Malware
    • Erkennungsmerkmale und Auswirkungen
    • Präventive Maßnahmen gegen Schadsoftware
    • Ransomware: Warnsignale und Schutzmaßnahmen
  • Social Engineering und menschlicher Faktor
    • Typische Taktiken von Angreifern
    • Beispiele für Social-Engineering-Aktionen
    • Verhalten in verdächtigen Situationen
  • Sicherheitsmanagement und technische Maßnahmen
    • Arten von Sicherheitsbewertungen
    • Bedeutung des Patch-Managements
    • Coordinated Vulnerability Disclosure
    • Rolle der OWASP (Open Worldwide Application Security Project)
    • Prinzip der „Verteidigung in der Tiefe“ (Defense in Depth)

Zusatzmodule: Awareness Booster

Zur nachhaltigen Wissenssicherung werden 5-minütige Kurztrainings angeboten.
Diese Wiederholungseinheiten dienen dazu, die Kernbotschaften der einzelnen Level zu festigen und das Sicherheitsbewusstsein langfristig zu stärken.

Zielgruppe:

  • Ärztinnen und Ärzte
  • Medizinisches Fachpersonal
  • IT-Verantwortliche im Gesundheitswesen
  • Mitarbeitende mit Zugang zu sensiblen Daten

Der Aufwand ist minimal.

Da das Training webbasiert ist, benötigen Sie nur einen Internetverbindung und Endgeräte (PC, Laptop oder Tablet) sowie einen Web-Browser. Jeder Benutzer erhält individuellen Zugangsdaten. Es ist keine zusätzliche Softwareinstallation nötig. Mitarbeitende können die Module flexibel in Pausen oder außerhalb der Sprechzeiten absolvieren.

Nach Abschluss jedes Moduls wird der Lernfortschritt automatisch gespeichert.
Teilnehmende erhalten nach Abschluss eines Module ein Zertifikat – die Praxisleitung kann über ein Dashboard jederzeit Berichte und Nachweise abrufen – wichtig für KBV-Prüfungen und Datenschutz-Audits.

  • Erfüllung der Anforderungen der KBV
  • Reduziertes Risiko von Datenpannen oder Cyberangriffen
  • Nachweisbare Schulungen für Audits oder Prüfungen
  • Stärkere Sicherheitskultur im gesamten Team
  • Mehr Vertrauen von Patienten und Partnern

Im Vergleich zu möglichen Schäden durch Datenverlust oder Betriebsunterbrechung sind die Kosten sehr gering – und eine lohnende Investition in den sicheren Praxisbetrieb. Die Abrechnung erfolgt als Lizenzmodell monatlich je Nutzer bei einer Mindestlaufzeit von einem Jahr. Den Nutzungspreis erfahren Sie über unsere Kollegen aus dem tbs-Vertrieb.

Die Vorteile des Online-Trainings:

  • Entspricht den Vorgaben der KBV-IT-Sicherheitsrichtlinie zur regelmäßigen Schulung des Praxispersonals
  • Ermöglicht nachweisbare Dokumentation von Schulungen und Sensibilisierungsmaßnahmen
  • Unterstützt beim Nachweis gegenüber der KV, Datenschutzbeauftragten oder Prüfinstanzen

  • Verhindert Cyberangriffe durch frühzeitige Erkennung verdächtiger Aktivitäten
  • Trainiert den richtigen Umgang mit Phishing-Mails, Social Engineering und Schadsoftware
  • Stärkt die Reaktionsfähigkeit des Teams im Ernstfall

  • Automatische Zertifikate und Reports für alle Teilnehmenden
  • Übersicht über Lernfortschritte und Teilnahmequoten
  • Ideal für Audits und interne Nachweise gemäß KBV-Anforderungen

  • Webbasiertes System – keine Installation oder IT-Vorkenntnisse nötig
  • Zentrale Verwaltung und Auswertung über ein Dashboard
  • Einfach in bestehende Praxisprozesse integrierbar

  • Deutlich günstiger und flexibler als Präsenzschulungen
  • Keine Reisezeiten oder externe Trainer erforderlich
  • Lernfortschritte bleiben dauerhaft verfügbar

  • Sensibilisiert Mitarbeitende im Umgang mit vertraulichen Gesundheitsdaten
  • Verringert das Risiko von Datenpannen, Datenschutzverstößen oder Ransomware-Angriffen
  • Fördert ein stärkeres Bewusstsein für Schweigepflicht und Datensicherheit

  • Kurze, verständliche Lerneinheiten (z. B. 10–15 Minuten) – ideal für den Praxisalltag
  • Schulungen können zeitlich flexibel durchgeführt werden – kein Ausfall von Sprechzeiten
  • Inhalte sind auf die typischen IT-Risiken zugeschnitten

  • Wiederkehrende Trainings fördern eine dauerhafte Sicherheitskultur
  • Mitarbeitende werden vom „Sicherheitsrisiko“ zum aktiven Schutzfaktor

  • Signalisiert Ihren Patienten, dass Datenschutz und IT-Sicherheit ernst genommen werden
  • Reduziert Reputationsschäden im Falle eines Cyberangriffs
  • Trägt zu einem professionellen und verantwortungsbewussten Praxisauftritt bei

  • Vorbereitung auf neue IT-Sicherheitsstandards und Datenschutzanforderungen
  • Integration in bestehende Sicherheitskonzepte (z. B. Notfallplan, Datenschutzkonzept)
  • Beitrag zu einem resilienten Praxisbetrieb – auch bei wachsenden Cyberrisiken

Fazit: Ihre Praxis bleibt digital gesund

Eine sensibilisierte Praxis ist eine sichere Praxis – und das Awareness-Training ist der einfachste Weg, dieses Ziel nachhaltig zu erreichen.

Mit dem Awareness-Training erfüllen Sie die Anforderungen der KBV-Sicherheitsrichtlinie, reduzieren aktiv Sicherheitsrisiken und machen Ihr Team zum wichtigsten Schutzfaktor gegen Cybergefahren.

Wir beraten Sie gerne!

Name
Telefon Ort
Sie haben Fragen? Wir helfen gerne! tbs - IT-Lösungen für Ärzte