kvt Kassenärztliche
Vereinigung Thüringen

Ärzte & Psychotherapeuten

Verantwortlicher Umgang mit Informationssicherheitsvorfällen

Die Informationen auf dieser Seite sind für Sicherheitsforscher bestimmt, die uns einen Informationssicherheitsvorfall melden möchten. Falls Sie Mitglied der Kassenärztlichen Vereinigung Thüringen (KVT) sind und Ihr Passwort für das Mitgliederportal KVTop ändern möchten, verwenden Sie bitte das Formular Antrag auf Nutzung von Onlinediensten/Einwilligungserklärung. Probleme in der Telematik Infrastruktur melden Sie bitte direkt der gematik.

Anwendungsbereich/Abgrenzung

Diese Richtlinie deckt die Tätigkeiten aus den gesetzlichen Aufträgen der KVT zur Sicherstellung und der Gewährleistung der ambulanten haus- und fachärztlichen sowie die psychotherapeutische Versorgung ab. Weitere Tätigkeiten werden ebenfalls abgedeckt, wie im Rahmen der Interessenvertretung unserer Mitglieder im Besonderen die Honorarverhandlungen mit Krankenkassen, Abrechnung und Auszahlung der Honorare, Service und Beratung für Mitglieder und das Berufs- und gesundheitspolitisches Engagement.

Nicht eingeschlossen sind alle Tätigkeiten der KVT oder deren Tochterfirmen im Rahmen von Kooperationen mit anderen Kassenärztlichen Vereinigungen sowie gemeinsamen Ausschüssen mit Kostenträgern (u.a. Krankenkassen) sowie Dienstleistungen, welche Dritte für die KVT erbringen.

Falls Sie Fragen zu diesem Anwendungsbereich haben, wenden Sie sich bitte an informationssicherheit@kvt.de.

Um eine Enttäuschung bei der Kontaktaufnahme mit uns zu vermeiden, bitten wir Sie ausschließlich für diesen Anwendungsbereich relevante und konkrete Informationssicherheitsvorfälle zu melden. Insbesondere bitten wir Sie auf Hinweise wie in den folgenden Beispielen zu verzichten:

  • Sicherheitsprobleme von IT-Dienstleistern unserer Mitglieder
  • Probleme, die aus der Nichteinhaltung der IT-Sicherheitsrichtlinie der Kassenärztlichen Bundesvereinigung nach §75b SGB V entstehen
  • fehlende oder nicht scharf genug eingestellte HTTP-Header unserer Webseiten und Diensten
  • Nichteinhaltung von Best-Practices in der eMail-Kommunikation unserer Mitarbeiter
  • Nichteinhaltung von Best-Practices bei den Inhalten unserer Webseiten
  • Ergebnisse von automatisierten Sicherheitstools ohne Nachweis oder Demonstration der Schwachstelle (PoC)
  • Theoretische Sicherheitslücken ohne PoC
  • Bereits bekannte Schwachstellen in der verwendeten Software, Dienstleistungen oder Bibliotheken
  • (D)DoS
  • Sicherheitslücken, die nur einmalig aufgetreten sind und die Sie selbst nicht mehr nachvollziehen können

Was Sie von uns erwarten können

Falls Sie sich in den Grenzen dieser Richtlinie bewegen, können Sie von uns erwarten:

  1. Diskretion bezüglich Ihrer persönlichen Daten
  2. eine zeitnahe (zwei Büroarbeitstage) erste Antwort auf Ihre Meldung sowie unser Bemühen, Ihren Bericht zu verstehen und nachzuvollziehen
  3. eine erkannte Schwachstelle zu beheben
  4. die Meldung der Schwachstelle an unsere Aufsichtsbehörde sowie die ggf. betroffenen Mitglieder oder Angestellten
  5. die mit Ihnen koordinierte Veröffentlichung Ihrer Arbeit

Wir betrachten die Suche nach Schwachstellen im Rahmen dieser Richtlinie als von uns autorisiert und hilfreich für die allgemeine Sicherheit unserer Kommunikationsnetze.

Was wir von Ihnen erwarten

Um das Auffinden und Beheben von Sicherheitslücken zu unterstützen und um diese Arbeit von böswilligen Angriffen zu unterscheiden, bitten wir Sie:

  • Halten Sie sich an die einschlägigen gesetzlichen Vorschriften.
  • Arbeiten Sie nur mit eigenen Daten (z.B. mit Testzugängen o.Ä) oder Daten bei denen Sie die explizite Erlaubnis eines unserer Mitglieder oder Angestellten haben.
  • Versuchen Sie Datenschutzverletzungen, Manipulation und Löschung von Daten sowie die Unterbrechung bzw. Zerstörung unserer Dienste zu vermeiden.
  • Falls eine Demonstration durch einen PoC die Verletzung des Datenschutzes bedingt, dann begrenzen Sie bitte den Umfang der Daten auf das absolut Notwendigste.
  • Beenden Sie bitte Ihre Arbeit und melden Sie Ihren Stand, falls Ihnen dabei personenbezogene Gesundheitsdaten, finanzielle Daten oder durch Urheberrecht geschützte Programme oder Daten in die Hände fallen.
  • Melden Sie Ihre Erkenntnisse bitte umgehend, da es sonst zu Missverständnissen kommen kann, falls wir bei der Analyse einer Schwachstelle Ihre Zugriffe nachweisen können.
  • Vermeiden Sie den Anschein einer Erpressung durch das Zurückhalten von Informationen.
  • Verzichten Sie auf (D)DoS.
  • Verzichten Sie auf social engineering (psychische Manipulation) bei unseren Mitgliedern und Angestellten.
  • Benutzen Sie ausschließlich offizielle Kanäle, um mit uns Informationssicherheitsvorfälle zu besprechen.

Belohnungen

Obwohl wir für jede Meldung von Informationssicherheitsvorfällen dankbar sind und wir uns gerne auch in diesem Bereich jeden Tag verbessern möchten, bieten wir weder Geld oder geldwerte Belohnungen für Hinweise, die unsere Informationssicherheit verbessern. Je nachdem welche Risiken oder Schäden von unseren Mitgliedern abgewendet wurden, behalten wir uns vor, Ihnen ein kleines Zeichen unserer Wertschätzung anzubieten.

Ansprechpartner

Informationssicherheitsbeauftragter (ISB)

Sven Dickert