Alle Karten
🖨️ Alle Fragen & Antworten am Stück — zum Ausdrucken oder Querlesen. Zum echten Lernen „Heute lernen" nutzen (dort wird abgerufen statt gelesen).
01 · §390 SGB V — Überblick & Anlagen-Systematik
02 · Anlage 1 — Basis für alle Praxen (50)
Geregelte Einarbeitung neuer Mitarbeitender
Verfahrensweise beim Weggang von Mitarbeitenden
Regelungen für den Einsatz von Fremdpersonal
Vertraulichkeitsvereinbarungen für Fremdpersonal
Aufgaben und Zuständigkeiten von Mitarbeitenden
Qualifikation des Personals
Überprüfung der Vertrauenswürdigkeit
Sensibilisierung der Praxisleitung
Einweisung des Personals in sicheren IT-Umgang
Durchführung von Schulungen
Absicherung der Netzübergangspunkte
Dokumentation des Netzes
Authentisierung für den Netzmanagement-Zugriff
Installation von Updates
Verantwortlichkeit für Updates
Identifizierung ausbleibender Updates
Ausmusterung oder Separierung
Mikrofon- und Kamera-Nutzung verhindern
Abmelden nach Aufgabenerfüllung
Einsatz von Viren-Schutzprogrammen
Regelmäßige Datensicherung
Schutz der Datensicherung
Art der Datensicherung
Verantwortliche der Datensicherung
Test der Datensicherung
Zugriff auf Geräte und Software absichern
Konfiguration von Synchronisationsmechanismen
Datei- und Freigabeberechtigungen
Datensparsamkeit
Verwendung der SIM-Karten-PIN
Sichere Grundkonfiguration
Verwendung eines Zugriffschutzes
Datenschutz-Einstellungen
Sperrmaßnahmen bei Verlust
Nutzung der Sicherheitsmechanismen
Schutz vor Schadsoftware
Kennzeichnung beim Versand
Sichere Versandart und Verpackung
Sicheres Löschen der Datenträger
Sichere Konfiguration der E-Mail-Clients
Umgang mit Spam durch Benutzende
Sichere Apps nutzen
Sichere Speicherung lokaler App-Daten
Verhinderung von Datenabfluss
Authentisierung bei Webanwendungen
Schutz vertraulicher Daten
Einsatz von Web Application Firewalls
Schutz vor automatisierter Nutzung
Kryptografische Sicherung vertraulicher Daten
Sicherheit von Cloud-Dienstleistern
03 · Anlage 2 — Zusätzlich mittlere Praxen (10)
Alarmierung und Logging
Verschlüsselte Kommunikationsverbindungen
Restriktive Rechtevergabe
Sichere zentrale Authentisierung in Windows-Netzen
Richtlinie zur Benutzung mobiler Geräte
Verwendung von Sprachassistenten
Sicherheitsrichtlinie für Mobiltelefone
Sichere Datenübertragung
Regelung zur Mitnahme
Minimierung von App-Berechtigungen
04 · Anlage 3 — Zusätzlich Großpraxen (17)
Messung und Auswertung des Lernerfolgs
Planung des internen Netzwerkes
Absicherung schützenswerter Informationen
Richtlinie für Smartphones/Tablets
Auswahl und Freigabe von Apps
Erlaubte Informationen definieren
Sichere Anbindung der mobilen Endgeräte
Berechtigungsmanagement im MDM
Verwaltung von Zertifikaten
Fernlöschung und Außerbetriebnahme
Auswahl und Freigabe von Apps
Festlegung erlaubter Informationen
Datenträgerverschlüsselung
Integritätsschutz
Sicherer Betrieb von E-Mail-Servern
Datensicherung und Archivierung von E-Mails
Spam- und Virenschutz
05 · Anlage 4 — Medizinische Großgeräte (6)
Zugriff auf Konfig-/Wartungsschnittstellen einschränken
Nutzung sicherer Protokolle
Protokollierung
Deaktivierung nicht genutzter Dienste
Deaktivierung nicht genutzter Benutzerkonten
Netzsegmentierung
06 · Anlage 5 — Dezentrale TI-Komponenten (9)
Planung und Durchführung der Installation
Betrieb
Schutz vor unberechtigtem physischem Zugriff
Internetverbindung parallel zur TI-Anbindung
Verbindung absichern
Vorgaben des TI-Gateway-Anbieters beachten
Geschützte Kommunikation mit Konnektor/TI-Gateway
Zeitnahes Installieren von Aktualisierungen
Sicheres Aufbewahren von Administrationsdaten
07 · BSI 200-1 — ISMS
08 · BSI 200-2 — IT-Grundschutz-Methodik
09 · BSI 200-3 — Risikoanalyse
10 · Szenarien S1–S5 — Anwendungsfälle
- Klein = Anlage 1 + 5 (Anlage 5/TI gilt immer).
- Anlage 4 nur bei echten Großgeräten — Ultraschall/Röntgen zählen nicht.
- Anlage 2/3 erst ab mittlerer bzw. Großpraxis.
- „Erheblicher Umfang“ schlägt die Personenzahl.
- Großpraxis = 1 + 2 + 3 + 5.
- Groß-Labor mit IVD-Analysegeräten → zusätzlich Anlage 4.
- Anlage 5 Nr. 9: Admin-Daten dem Leistungserbringer auch ohne Dienstleister bekannt.
- Sichere Aufbewahrung UND Verfügbarkeit für den LE — kein Lock-in.
- Anlage 2 gilt für mittlere Praxen (6–20).
- Nr. 4: ausschließlich Kerberos für SSO im reinen Windows-Netz.
- Anlage 1 Nr. 50 — gilt für jede Praxis (Basis-Anlage).
- C5-Testat des Anbieters ist Pflicht, nicht optional.
- Rechtsbezug: §393 iVm §384 SGB V.
11 · Prüfungsrahmen — Gebühr, Gültigkeit, Zulassung
12 · Prüfungsablauf — Online-Prüfung (Praxis)
13 · Kryptographie Grundlagen
- A) AES-256
- B) ChaCha20
- C) DES
- D) RSA-4096
- A) MD5
- B) SHA-1
- C) SHA-256
- D) CRC32
14 · PKI, Zertifikate & TLS
- A) Public Key Absender
- B) Private Key Absender
- C) Public Key Empfänger
- D) Private Key Empfänger
- A) Client sendet Cipher Suites
- B) Server sendet Zertifikat
- C) Austausch Session Key
- D) Server sendet Private Key
15 · Firewalls, IDS & Netzwerksicherheit
- A) Paketfilter
- B) Stateful Inspection
- C) WAF
- D) Router-ACL
- A) AES
- B) TKIP
- C) RC4
- D) ChaCha20
16 · Angriffsmethoden & Social Engineering
- A) Rootkit
- B) Trojaner
- C) Ransomware
- D) Wurm
- A) Phishing
- B) Pretexting
- C) Baiting
- D) Tailgating
17 · Mobile Security & BYOD
- A) App-Whitelisting
- B) Remote Wipe
- C) Containerisierung
- D) MAC-Filterung
- A) Kein Problem
- B) Verstoss gegen Anlage 1
- C) Nur bei grossen Praxen relevant
- D) Erlaubt wenn Virenscanner installiert
- A) BYOD
- B) COPE
- C) COBO
- D) Alle gleich
18 · Content Security & DLP
- A) Firewall
- B) IDS
- C) DLP
- D) VPN
- A) Nur E-Mails filtern
- B) USB-Ports und Drucker überwachen
- C) Nur Netzwerkverkehr prüfen
- D) Nur Cloud-Uploads blockieren
19 · Anwendungssicherheit & OWASP
- A) Firewall
- B) Prepared Statements
- C) Virenscanner
- D) VPN
- A) Injection
- B) Broken Access Control
- C) XSS
- D) CSRF
20 · Windows- & Linux-Sicherheit
- A) Starkes Passwort
- B) BitLocker-Verschlüsselung
- C) Virenscanner
- D) Bildschirmsperre
- A) /etc/passwd
- B) /etc/shadow
- C) /etc/sudörs
- D) /etc/ssh/sshd_config
21 · E-Mail-Sicherheit & KIM
- A) Virenscanner
- B) SPF + DMARC
- C) Festplattenverschlüsselung
- D) VPN
22 · BCM & Notfallmanagement (BSI 200-4)
- A) Täglich
- B) Alle 12h
- C) Alle 2h
- D) Wöchentlich
- A) 200-1
- B) 200-2
- C) 200-3
- D) 200-4
23 · Physische Sicherheit
- A) Umweltverschmutzung
- B) Verstoß gegen DIN 66399 und DSGVO
- C) Kein Problem wenn formatiert
- D) Nur bei SSD
24 · Authentisierung & Autorisierung
- A) 2x Wissen
- B) Wissen + Besitz
- C) Wissen + Biometrie
- D) Besitz + Biometrie
- A) Alle 30 Tage
- B) Alle 90 Tage
- C) Nur bei Kompromittierungsverdacht
- D) Jährlich
25 · ISO 27001 & Incident Response
- A) Wiederherstellung
- B) Nachbereitung
- C) Eindämmung
- D) Beseitigung
- A) 24 Stunden
- B) 72 Stunden
- C) 7 Tage
- D) 30 Tage
- A) Weniger konkret
- B) Konkreter mit Bausteinen und Checklisten
- C) International anerkannter
- D) Nur für Grossunternehmen
26 · DSGVO im Praxiskontext
- A) Nichts wenn keine Daten exportiert werden
- B) AVV nach Art. 28 DSGVO
- C) Nur mündliche Absprache
- D) Nur bei Cloud-Diensten
27 · Cloud Security & Datenschutz vertieft
- A) Der Cloud-Anbieter
- B) Der Praxisinhaber
- C) Geteilte Verantwortung
- D) Die KV
- A) Nie
- B) Bei Einführung neuer IT-Systeme für Gesundheitsdaten
- C) Nur bei Krankenhäusern
- D) Nur bei Cloud-Nutzung
- A) Art. 28, 48h
- B) Art. 32, 24h
- C) Art. 33, 72h
- D) Art. 34, 7 Tage
28 · Betriebswirtschaftliche Aspekte
- A) Keine, Richtlinie ist freiwillig
- B) Verschlechterte Haftung + mögliches DSGVO-Bußgeld
- C) Nur wenn Daten veröffentlicht wurden
- D) Nur strafrechtlich