IT-Sicherheits-Audit für Radiologien (KBV & NIS-2)

Die aktuellen gesetzlichen Vorgaben (KBV-Richtlinie Anlage 5 / NIS-2) definieren klare Standards für die IT-Sicherheit in radiologischen Praxen. Die Einhaltung dieser Vorgaben liegt in der Verantwortung der Geschäftsführung. Um sicherzustellen, dass Ihre Praxis technisch und rechtlich optimal aufgestellt ist, empfehlen wir einen regelmäßigen, strukturierten Abgleich mit Ihrer IT-Betreuung.

Nutzen Sie diesen Fragenkatalog als Leitfaden für Ihr nächstes IT-Meeting. Sollten einzelne Punkte derzeit noch nicht vollständig erfüllt sein, bitten Sie Ihren IT-Dienstleister darum, Ihnen einen konkreten Handlungsplan zur zeitnahen Umsetzung zu erstellen.

"Sind unsere Steuerungs-PCs für MRT und CT in einem separaten, isolierten Netzwerk (VLAN) untergebracht, sodass sie logisch vom restlichen Praxisnetzwerk (Empfang, Office) getrennt sind?"

Der Hintergrund: Diese PCs dürfen aufgrund der Medizinprodukte-Zulassung in der Regel nicht von der internen IT gepatcht werden und nutzen oft ältere Windows- Versionen. Um Risiken zu minimieren, fordert die KBV eine strikte netzwerktechnische Trennung (Segmentierung).

"Werden unsere Systeme durch ein Security Operations Center (SOC) überwacht, das bösartiges Verhalten im Netzwerk erkennt und notfalls auch außerhalb der regulären Betriebszeiten (z. B. am Wochenende) isolierend eingreifen kann?" 

Der Hintergrund: Die KBV fordert den Einsatz von Systemen zur Angri􀆯serkennung. Ein klassischer, signaturbasierter Virenscanner erfüllt diese Anforderung bei modernen Bedrohungsszenarien allein oft nicht mehr.

"Gibt es ein zentrales System, mit dem jederzeit nachgewiesen werden kann, dass alle regulären Praxis-Rechner auf dem aktuellen Sicherheitsstand sind? Und ist sichergestellt, dass die MRT/CT-Steuerungs-PCs von automatischen Updates ausgeschlossen sind?"

Der Hintergrund: Bei einer Prüfung muss nachgewiesen werden, dass Sicherheitslücken zeitnah geschlossen wurden. Gleichzeitig darf ein unkontrolliertes Update niemals die Betriebssicherheit der Großgeräte gefährden.

"Ist unser Backup 'logisch' vom restlichen Netzwerk getrennt (z. B. durch WORM-Technologie / Unveränderbarkeit), sodass es bei einem Vorfall im Hauptnetzwerk nicht manipuliert oder mitverschlüsselt werden kann?"

Der Hintergrund: Wenn das Backup lediglich auf einem anderen Laufwerk innerhalb derselben Windows-Umgebung liegt, besteht die Gefahr, dass es bei einem Krypto- Trojaner-Angriff ebenfalls unbrauchbar wird.

"Ist sichergestellt, dass Sammel-Logins (wie 'Anmeldung', 'Röntgen1') vermieden werden und jeder Mitarbeiter über ein eigenes, persönliches Nutzerkonto verfügt?"

Der Hintergrund: Die KBV-Richtlinie schreibt vor, dass Zugri􀆯e auf sensible Daten und Systeme einer eindeutigen Person zugeordnet werden können.

"Erfolgen externe Zugri􀆯e von Herstellern (z. B. Siemens, Philips) auf unsere Großgeräte ausschließlich über von der Praxis kontrollierte, verschlüsselte VPN-Tunnel?"

Der Hintergrund: Externe Zugriffe benötigen eine sichere, zeitgemäße Anbindung, über die die Praxis jederzeit die Kontrolle und Protokollierung behält.

"Liegen uns folgende Dokumente in einer aktuellen Version vor, sodass wir sie bei einer behördlichen Prüfung jederzeit vorlegen können?"

• Detaillierter Netzstrukturplan 
• Vollständige IT-Inventarliste (Hard- und Software)
• Schriftliches Berechtigungskonzept
• Ein konkretes Notfallhandbuch für IT-Ausfälle/Sicherheitsvorfälle

Stand: 25.03.2026, Jean-Marc Lempp (IT-Leiter Curagita)

Lesen Sie mehr im Praxis-Leitfaden zur NIS2-Richtlinie sowie zu KBV-Vorgaben und IT-Sicherheit.

Zum Artikel