Nr.ZielobjektAnforderungErläuterungGeltung abweitere Hinweise etc.
1.Medizinische GroßgeräteEinschränkung des Zugriffs für Konfigurations- und Wartungsschnittstellen

Es muss sichergestellt werden, dass nur zuvor festgelegte berechtigte Mitarbeiter auf Konfigurations- und Wartungsschnittstellen von medizinischen Großgeräten zugreifen können.
Standardmäßig eingerichtete bzw. herstellerseitig gesetzte Passwörter müssen gewechselt werden. Der Wechsel muss dokumentiert und das Passwort sicher hinterlegt werden.
Standardmäßig eingerichtete bzw. herstellerseitig gesetzte Benutzerkonten sollten gewechselt werden.

01.07.2021
  • Um unsichere Systemkonfigurationen zu vermeiden sollte die Konfigurations- und Wartungsschnittstellen auf einen festgelegten Personenkreis eingeschränkt werden.
2.Medizinische GroßgeräteNutzung sicherer Protokolle für die Konfiguration und WartungFür die Konfiguration und Wartung von medizinischen Großgeräte müssen sichere Protokolle genutzt werden. Die Daten müssen beim Transport vor unberechtigtem Mitlesen und Veränderungen geschützt werden.01.07.2021
  • Nutzen Sie für die Konfiguration und Wartung der medizinischen Großgeräte verschlüsselte und authentisierte Protokolle wie HTTPS. Dies gilt insbesondere falls externe Dienstleister die Konfiguration und Wartung durchführen.
3.Medizinische GroßgeräteProtokollierung

Es muss festgelegt werden:
• welche Daten und Ereignisse protokolliert werden sollen,
• wie lange die Protokolldaten aufbewahrt werden und
• wer diese einsehen darf.
Generell müssen alle sicherheitsrelevanten Systemereignisse protokolliert und bei Bedarf ausgewertet werden.

01.01.2022
  • Um Fehlfunktionen und mögliche Sicherheitsvorfälle erkennen zu können, müssen die Protokollfunktionalitäten der medizinischen Großgeräte entsprechend konfiguriert und ausgewertet werden.
  • Protokollieren Sie Systemereignisse - nicht die medizinischen Daten.
  • Bewahren Sie die Protokolldaten nicht zu lange aber auch nicht zu kurz auf, z.B. für ein halbes Jahr. Die Vorgaben der DSGVO sind dabei einzuhalten.
  • Bestimmen Sie, wer Zugriff auf die Protokolldaten erhält, z.B. die Administratoren.
  • Ab mittleren Praxen binden Sie die Protokollierung in die zentrale Protokollierung der Anlage 2, Anforderung 11 mit ein.
4.Medizinische GroßgeräteDeaktivierung nicht genutzter Dienste, Funktionen und SchnittstellenAlle nicht genutzten Dienste, Funktionen und Schnittstellen der medizinischen Großgeräte müssen soweit möglich deaktiviert oder deinstalliert werden.01.01.2022
  • Verifizieren Sie, dass auf die medizinischen Großgeräte nicht von außerhalb ihrer Praxis zugegriffen werden kann. Deaktivieren Sie ggf. ungewollte Dienste der vernetzten Medizintechnik oder passen Sie ihre Firewall-Konfiguration an.
5.Medizinische GroßgeräteDeaktivierung nicht genutzter BenutzerkontenNicht genutzte und unnötige Benutzerkonten müssen deaktiviert werden.01.07.2021
  • Nicht genutzte Benutzerkonten der medizinischen Großgeräte müssen deaktiviert werden.
  • Benutzerkonten zur Fernwartung sollten außerhalb der Wartungszeiten deaktiviert werden.
6.Medizinische GroßgeräteNetzsegmentierungMedizinische Großgeräte sollten von der weiteren IT getrennt werden.01.01.2022
  • Um die medizinischen Großgeräte - z.B. bei ausbleibenden Sicherheitsupdates der Hersteller -  zu schützen, sollten diese von der weiteren IT durch Netzwerksegmente oder -Zonen getrennt und die erlaubten Kommunikationsverbindungen auf das notwendige Maß beschränkt werden.