72 | BEKANNTMACHUNGEN zm115 Nr. 13, 01.07.2025, (1146) ANFORDERUNGEN FÜR PRAXEN Nr Zielobjekt Anforderung Erläuterung 45. Internet-Anwendungen – Anbieter Authentisierung bei Webanwendungen Sollten Sie als Praxis einen Webdienst anbieten: Der IT-Betrieb muss Webanwendungen und Webservices so konfigurieren, dass sich Clients gegenüber der Webanwendung oder dem Webservice authentisieren müssen, wenn diese auf geschützte Ressourcen zugreifen wollen. Dafür muss eine angemessene Authentisierungsmethode ausgewählt werden. Der Auswahlprozess sollte dokumentiert werden. Der IT-Betrieb muss geeignete Grenzwerte für fehlgeschlagene Anmeldeversuche festlegen. 46. Internet-Anwendungen – Anbieter Schutz vertraulicher Daten Sollten Sie als Praxis einen Webdienst anbieten: Der IT-Betrieb muss sicherstellen, dass Zugangsdaten zur Webanwendung oder zum Webservice serverseitig mithilfe von sicheren kryptografischen Algorithmen vor unbefugtem Zugriff geschützt werden. Dazu müssen Salted Hash-Verfahren verwendet werden. Die Dateien mit den Quelltexten der Webanwendung oder des Webservices müssen vor unerlaubten Abrufen geschützt werden. 47. Internet-Anwendungen – Anbieter Einsatz von Web Application Firewalls Sollten Sie als Praxis einen Webdienst anbieten: Institutionen sollten eine Web Application Firewall (WAF) einsetzen. Die Konfiguration der eingesetzten WAF sollte auf die zu schützende Webanwendung oder den Webservice angepasst werden. Nach jedem Update der Webanwendung oder des Webservices sollte die Konfiguration der WAF geprüft werden. 48. Internet-Anwendungen – Anbieter Schutz vor unerlaubter automatisierter Nutzung von Webanwendungen Sollten Sie als Praxis einen Webdienst anbieten: Der IT-Betrieb muss sicherstellen, dass Webanwendungen und Webservices vor unberechtigter automatisierter Nutzung geschützt werden. Dabei muss jedoch berücksichtigt werden, wie sich die Schutzmechanismen auf die Nutzungsmöglichkeiten berechtigter Clients auswirken. Wenn die Webanwendung RSS-Feeds oder andere Funktionen enthält, die explizit für die automatisierte Nutzung vorgesehen sind, muss dies ebenfalls bei der Konfiguration der Schutzmechanismen berücksichtigt werden. 49. Internet-Anwendungen – Anwender Kryptografische Sicherung vertraulicher Daten Bei der Nutzung von Webanwendungen ist darauf zu achten, dass eine verschlüsselte Kommunikation zum Einsatz kommt (z.B. https statt http). 50. Cloud-Anwendungen – Anbieter Sicherheit von CloudDienstleistern Soweit Sozial- oder Gesundheitsdaten im Wege des Cloud-Computing verarbeitet werden sollen, muss der Anbieter der eingesetzten Cloud-Anwendung über ein aktuelles C5-Testat entsprechend §393 SGB V in Verbindung mit §384 SGB V verfügen. Anlage 2 ZUSÄTZLICHE ANFORDERUNGEN FÜR MITTLERE PRAXEN Nr Zielobjekt Anforderung Erläuterung 1. Netzwerksicherheit Alarmierung und Logging Wichtige Ereignisse auf Netzkomponenten und auf den NetzmanagementWerkzeugen sollten automatisch an ein zentrales Management-System übermittelt und dort protokolliert werden. 2. Endgeräte Nutzung von verschlüsselten Kommunikationsverbindungen Benutzende sollten darauf achten, dass zur Verschlüsselung von Kommunikationsverbindungen kryptografische Algorithmen nach dem Stand der Technik wie z.B. TLS verwendet werden. 3. Endgeräte Restriktive Rechteergabe Rechte sollten so restriktiv wie möglich nach dem Need-to-know Prinzip vergeben werden. 4. Endgeräte mit dem Betriebssystem Windows Sichere zentrale Authentisierung in Windows-Netzen In reinen Windows-Netzen sollte zur zentralen Authentisierung für Single Sign On (SSO) ausschließlich Kerberos eingesetzt werden.
RkJQdWJsaXNoZXIy MjMxMzg=