IT-Sicherheit in Arztpraxen. Hoffentlich gut vorbereitet.
von Miriam Mirza
Cyberangriffe sind längst Teil des medizinischen Alltags, auch wenn sie in Arztpraxen erst dann sichtbar werden, wenn ein System ausfällt, Daten unzugänglich werden oder Patientinnen nicht mehr vollständig versorgt werden können. Gleichzeitig herrscht Unsicherheit darüber, welche Maßnahmen heute wirklich notwendig sind, wie die IT-Sicherheitsrichtlinie einzuordnen ist und wie Praxen im Ernstfall richtig reagieren. Dabei ist Informationssicherheit zur grundlegenden organisatorischen Aufgabe geworden. Praxen benötigen durchdachte Strukturen, um für Angriffe gewappnet zu sein.
Leiser Beginn, große Wirkung
Cyberangriffe beginnen selten mit einem dramatischen Ereignis. Oft kündigen sie sich leise an. Ein System verhält sich ungewohnt, ein Fenster öffnet sich ohne ersichtlichen Anlass oder ein Gerät reagiert minimal verzögert. Im eng getakteten Praxisbetrieb wirken solche Beobachtungen harmlos. Doch häufig markieren sie den Beginn eines sicherheitsrelevanten Vorfalls. Ein großer Teil aktueller Angriffe nutzt genau diese kleinen Unstimmigkeiten als Einfallstor, das im Stress des Versorgungsalltags leicht übersehen wird.
Gesundheitsdaten zählen zu den sensibelsten Informationen überhaupt. Sie sind für die Versorgung unverzichtbar und können von Betroffenen nicht einfach reproduziert werden. Wenn Dokumentationen fehlen, Diagnostik nicht zugänglich ist oder die Praxissoftware ausfällt, entstehen Lücken, die unmittelbare Auswirkungen auf die Behandlung haben.
Verantwortung bleibt in der Praxis
Die Verantwortung für den Schutz personenbezogener Daten liegt rechtlich immer bei der Praxis. Sie kann nicht vollständig abgegeben werden, auch wenn moderne Dienstleistungsmodelle es ermöglichen, zentrale Aufgaben an externe Anbieter auszulagern. Gleichzeitig gilt für Praxen die Pflicht, sorgfältig zu prüfen, ob externe Dienstleisterinnen über die notwendigen Qualifikationen und Zertifizierungen verfügen. Wo Hosting, Monitoring, Systempflege oder Wiederherstellung ausgelagert werden, muss nachvollziehbar sein, dass die Dienstleisterin den Stand der Technik erfüllt und die Sicherheit der Verarbeitung gewährleisten kann. Die Verantwortung für die Auswahl und Kontrolle bleibt damit stets bei der Praxis.
Von zentraler Bedeutung ist außerdem die Trennung sensibler Rollen. Die Leitung einer Praxis kann nicht zugleich Datenschutzbeauftragte oder IT-Leiterin sein und kann auch nicht die Funktion der Informationssicherheitsbeauftragten übernehmen. Die Landesdatenschutzbeauftragte Schleswig-Holstein, Marit Hansen, sagt: „Vorsorge ist besser als Nachsorge. Und dafür müssen Zuständigkeiten klar definiert sein.“ Diese Trennung verhindert Interessenkonflikte. Sie stellt sicher, dass diejenigen, die Entscheidungen treffen, nicht gleichzeitig diejenigen sind, die diese Entscheidungen unabhängig prüfen sollen. Praxen müssen daher entweder intern qualifizierte Mitarbeiterinnen benennen oder externe Fachpersonen einsetzen, die diese Rollen übernehmen.
Eine wirksame Sicherheitsstruktur entsteht außerdem durch eine gelebte Fehlerkultur. Mitarbeiterinnen müssen Auffälligkeiten ohne Zögern ansprechen können, selbst wenn sie nicht sicher sind, ob ein Vorfall tatsächlich sicherheitsrelevant ist.
Von zentraler Bedeutung ist die Trennung sensibler Rollen
Handlungsfähig in den ersten Stunden
Wenn ein Angriff sichtbar wird, entscheiden die Maßnahmen in den folgenden Stunden darüber, ob er sich begrenzen lässt oder sich womöglich noch verschärft. Fallen plötzlich Systeme aus, lassen sich Dateien nicht mehr öffnen oder sind Arbeitsabläufe ohne erkennbaren Grund gestört, dann beginnt eine Phase, in der Unsicherheit und Zeitdruck zusammentreffen. Improvisation ist an dieser Stelle riskant. Die Schritte müssen im Vorfeld festgelegt sein, damit nicht erst überlegt werden muss, wem etwas gemeldet wird oder was in welcher Reihenfolge zu tun ist.
Der wichtigste Schritt zu Beginn besteht darin, die Situation bewusst wahrzunehmen, Ruhe zu bewahren und nicht durch Aktionismus zu verschlimmern. Versuche, verdächtige Dateianhänge zu öffnen oder Systeme mehrfach neu zu starten, können die Ausbreitung des Angriffs beschleunigen. Entscheidend ist die schnelle Einschätzung, welche Teile der Infrastruktur betroffen sind, ob noch auf medizinische Dokumentation zugegriffen werden kann und welche Systeme bereits beeinträchtigt sind. In dieser Phase helfen klare Strukturen, die Orientierung geben.
Zentral ist in diesem Zusammenhang die IT-Notfallkarte des Bundesamts für Sicherheit in der Informationstechnik. Sie enthält die Informationen, die im Ernstfall unmittelbar benötigt werden: interne und externe Ansprechpersonen, definierte Meldewege, grundlegende Maßnahmen sowie die Reihenfolge der erforderlichen Schritte. Da ein Angriff häufig mit dem Ausfall digitaler Systeme einhergeht, muss diese Karte ausgedruckt und physisch zugänglich sein. Sie ist ein Instrument, das im Ausnahmezustand Sicherheit bietet, weil es ohne technische Infrastruktur nutzbar bleibt.
Parallel zur technischen Analyse muss die datenschutzrechtliche Bewertung beginnen. Hansen beschreibt die Grundregel: „Immer, wenn ein Sicherheitsvorfall mit personenbezogenen Daten zu tun hat und nicht schon von vornherein das Risiko für die Betroffenen ausgeschlossen ist, muss man das melden.“ Das gilt auch dann, wenn Daten nicht nach außen gelangt sind, aber vorübergehend nicht zugänglich waren. Wenn Behandlungen verzögert werden, Diagnosen nicht vollständig nachvollziehbar sind oder Untersuchungen wiederholt werden müssen, entsteht ein Risiko, das eine Meldung erforderlich macht. Die Meldung muss innerhalb von 72 Stunden erfolgen. Die Datenschutzbeauftragte weist darauf hin, dass nicht alle Informationen in dieser Zeit vorliegen müssen: „Nicht alle Details sind von Anfang an klar. Dann gilt es, trotzdem eine erste Meldung einzureichen und Informationen nachzuliefern.“
Die Absicht der Angreiferinnen
Ransomware-Angriffe folgen einer klaren Logik. In der ersten Phase infiltrieren die Angreiferinnen unauffällig das System, oft über präparierte Anhänge oder über Schwachstellen in Fernzugängen. Sie bewegen sich anschließend in einer stillen Phase im Hintergrund, analysieren die Struktur, passen den Angriff an und bereiten die Verschlüsselung vor. Erst in der dritten Phase wird der Angriff sichtbar, wenn Daten oder ganze Systeme mit einem Schlag unzugänglich werden. Für Praxen bedeutet dies, dass ein Angriff häufig lange unbemerkt bleibt, bevor er sich schlagartig in einen vollständigen Systemausfall verwandelt.
Auffällig ist die ökonomische Struktur vieler dieser Angriffe. Die Angreiferinnen treten mitunter als vermeintlich rational handelnde Akteurinnen auf und kalkulieren ihre Forderungen auf Grundlage des geschätzten oder aus den gestohlenen Daten ermittelten Umsatzes der betroffenen Einrichtung. Es sind Szenarien bekannt, in denen vier Prozent des jährlichen Praxisumsatzes gefordert wurden. Während die Forderung den Eindruck vermittelt, eine pragmatische Lösung anzubieten, bleibt ungewiss, ob die Kriminellen tatsächlich die Entschlüsselung ermöglichen oder ob Daten dauerhaft verloren gehen. Die Entscheidung, ob gezahlt wird, ist deshalb für jede Praxis ein Dilemma, bei dem ethische und wirtschaftliche Aspekte zusammenkommen.
Der wirksamste Schutz gegen Cyberangriffe ist eine durchdachte Strategie im Informationssicherheitskonzept. Ein Teil des Konzeptes ist das Back-up. Back-ups sind jedoch nur dann wirksam, wenn sie sich im Ernstfall tatsächlich wiederherstellen lassen. Es genügt nicht, Sicherungen regelmäßig anzulegen. Sie müssen dokumentiert getestet werden, idealerweise mit mindestens einer Kopie, die offline oder unveränderbar gesichert ist, also nicht mehr gelöscht oder verändert werden kann. Ransomware-Angriffe sind darauf ausgelegt, angeschlossene Sicherungen zu kompromittieren, weshalb nur eine durchdachte und überprüfte Back-up-Strategie echten Schutz bietet.
Interview: „Man muss für den ernstfall vorbereitet sein.“
Jonas Pattberg, IT-Experte aus dem Bereich Digitalisierung und IT bei der Kassenärztlichen Bundesvereinigung (KBV), erklärt im Gespräch mit dem x.press-Magazin, welche Anforderungen Ärztinnen in Sachen Informationssicherheit erfüllen müssen.
Sicherheitskonzepte im Alltag
Informationssicherheit ist auf den ersten Blick ein Widerstand gegen Bequemlichkeit. Viele wirksame Maßnahmen erschweren den Arbeitsalltag bewusst, weil einfache und schnelle Abläufe oft genau jene Einfallstore öffnen, durch die Angriffe erfolgreich werden. Sicherheitsmechanismen wie Zwei-Faktor-Authentifizierung, strenge Rechtevergabe oder die konsequente Trennung sensibler Systeme verlangen zusätzliche Schritte. Auch das Zusammenspiel technischer und organisatorischer Maßnahmen ist ein wichtiger Aspekt. Dazu gehören sichere Netzwerke, aktuelle Systeme, kontrollierte Zugänge und eindeutige Verantwortlichkeiten. Ebenso entscheidend ist die Organisation des Praxisalltags. Sie betrifft den Umgang mit Patientendaten im Empfangsbereich, die korrekte Ablage und die Frage, ob Computer in Behandlungszimmern unbeaufsichtigt bleiben können.
Praxen benötigen benannte Ansprechpersonen für Datenschutz und Informationssicherheit, die fachlich in der Lage sind, Risiken einzuschätzen und Maßnahmen zu definieren. Die Schulung des gesamten Teams ist unverzichtbar. Nur wenn alle Mitarbeiterinnen wissen, wie Vorfälle erkannt und gemeldet werden, entsteht ein Sicherheitsniveau, das im Ernstfall trägt.
Mit der IT-Sicherheitsrichtlinie nach Paragraf 390 SGB V verfügt Deutschland über einen verbindlichen Mindeststandard für die IT-Sicherheit in Vertragsarztpraxen. Die Richtlinie regelt sowohl technische als auch organisatorische Anforderungen und differenziert nach Praxisgrößen. Der Bundesverband Gesundheits-IT (bvitg e.V.) hat in seiner Stellungnahme bemängelt, dass sie nicht verbindlich auf etablierte Standards wie den BSI-Grundschutz verweist. Auch wird die Einteilung der Anforderungen nach Praxisgrößen kritisiert, da der Schutzbedarf sensibler Gesundheitsdaten unabhängig von der Größe der Einrichtung immer gleich sei. Die Kritik verdeutlicht, dass die Richtlinie Orientierung bietet, aber kein vollständiges Sicherheitskonzept darstellt.
Die IT-Sicherheitsrichtlinie schafft eine notwendige Grundlage, reicht aber nicht aus, um moderne Angriffe abzuwehren: Wer sich allein auf den Mindeststandard verlässt, bleibt verwundbar. Informationssicherheit ist ein fortlaufender Prozess, der technische Entwicklungen ebenso berücksichtigt wie Veränderungen im Praxisalltag. Wenn Zuständigkeiten klar definiert sind, die Notfallkarte griffbereit hängt, Back-ups regelmäßig getestet werden und das Team weiß, wie es im Ernstfall handeln muss, entsteht eine tragfähige Struktur. Informationssicherheit ist damit keine technische Zusatzaufgabe, sondern integraler Bestandteil moderner medizinischer Versorgung.
Info Auslagerung der IT-Sicherheit
Cybersicherheit. Die meisten Praxen, die Software von medatixx nutzen, betreiben ihre Systeme auf eigenen Servern innerhalb der Praxisräume. Alternativ bietet medatixx für die Praxissoftware medatixx mit der „medatixx Private Cloud“ einen zentral gehosteten Betrieb an, der bereits von einer Reihe von Praxen genutzt wird. Im Zentrum dieses Betriebsmodells stehen Monitoring, automatisierte Updates, Anomalieerkennung (abweichendes Verhalten der IT-Systeme) und strukturierte Back-up-Prozesse, die unabhängig vom jeweiligen Praxisstandort ausgeführt werden. Praxen, die sich für diesen Weg entscheiden, arbeiten nicht mehr ausschließlich mit einer lokalen IT-Infrastruktur, sondern betreiben ihre Praxissoftware in der zentral betriebenen Umgebung der „medatixx Private Cloud“, in der die IT-Sicherheit nach dem aktuellen Stand der Technik von medatixx gewährleistet wird.
Ein großer Teil der technischen IT-Sicherheitsaufgaben wird dadurch professionell übernommen, während die Praxis weiterhin für organisatorische und datenschutzrechtliche Anforderungen verantwortlich bleibt. Ziel ist eine stabile und gut abgesicherte Arbeitsumgebung, die auch im Ernstfall schnell wieder verfügbar ist. Auch Praxen, die ihre IT-Infrastruktur innerhalb der Praxisräume betreiben, unterstützt medatixx bei der Umsetzung von IT-Sicherheitsanforderungen, etwa durch zentral bereitgestellte Updates und Sicherheitspatches, standardisierte Back-up-Vorgaben sowie technische und organisatorische Empfehlungen. Ergänzend stehen Service- und Supportangebote zur Verfügung, um sicherheitsrelevante Systemzustände zu überwachen und Praxen bei der Einhaltung regulatorischer Anforderungen zu unterstützen.
Der Artikel erschien erstmals am 24. März 2026 im x.press 26.2.