Wie Sie Ihre Arztpraxis gegen Cybercrime schützen: Praktische Tipps
Cybercrime ist nicht nur ein theoretisches Risiko – es betrifft auch Sie als Praxisinhaber oder -inhaberin. Jeden Tag erleben Arztpraxen in ganz Deutschland Cyberangriffe mit teilweise schwindelerregenden Schäden. Schützen Sie sich und Ihre Praxis mit unseren Tipps.
Kein Unternehmen ist zu klein und unwichtig, um vor einem Cyberangriff geschützt zu sein. Leider nimmt das Risiko dafür immer mehr zu, die Zahl dieser Attacken steigt seit Jahren rasant an. Allein in Berlin gab es im letzten Jahr hunderte Vorfälle, von denen viele nicht einmal an die Öffentlichkeit gelangen.
Cyberkriminalität ist ein lukratives Geschäft für Kriminelle – und für viele davon ihr Hauptgeschäft. Auch wenn das Thema IT-Sicherheit für Sie als Praxisinhaberin oder -inhaber ein Nebenthema von vielen ist: IT-Sicherheit ist Praxissicherheit. Darum sollten Sie es professionell angehen.
In diesem Blogbeitrag erfahren Sie, wie Sie Ihre Praxis IT-sicher machen, welche Maßnahmen wirklich helfen und was Sie tun können, um sich vor Cyberangriffen zu schützen.
Was ist das Besondere an Cyberangriffen in Arztpraxen?
Bei einer Cyberattacke sind oft nicht nur Patientendaten betroffen, sondern auch Passwörter, die wichtige Zugänge zu Ihren Systemen sind, Daten und Informationen von Mitarbeitenden und Ihnen selbst, E-Mails, Kalender und vieles mehr. Häufig werden Sie bei einer Cyberattacke komplett aus Ihren eigenen Systemen ausgeschlossen, sodass Sie keinen Zugang zu beispielsweise Patientenakten, Ihrem PVS, E-Mail etc. mehr haben. Das kann Ihren Praxisbetrieb teilweise bis vollständig lahmlegen, und das über Wochen. Auch können wichtige Daten verlorengehen.
Ein Angriff betrifft in der Regel nicht nur Ihre Praxis allein. Sobald Cyberkriminelle es geschafft haben, in Ihre Systeme einzudringen, versuchen sie oft, darüber auch andere Praxen zu gefährden. Besonders verlockend ist für sie die Datenlage in Arztpraxen: Sie haben Zugang zu äußerst sensiblen Patientendaten, die einen hohen Wert auf dem Schwarzmarkt haben.
Was sind die Risiken?
Besonders gefährlich sind die vielen Schnittstellen, über die Sie mit der Außenwelt in Kontakt treten – genau dort lauern die Gefahren. Einige potenzielle Risikofaktoren sind:
- E-Mail und Anhänge von Patienten: Diese können als Einfallstor für Schadsoftware dienen. Das gleiche gilt für normale Office-Programme. Lesen Sie hier, wie Sie auch heute noch Schadsoftware über Word und Excel vermeiden können.
- Tablets für Patienten: Wird das Gerät nicht ausreichend gesichert, besonders der Internetzugang, können Angreifer von dort aus auf Ihre Praxissysteme oder sensible Daten zugreifen.
- Terminbuchungssysteme und digitale Kalender: Sie müssen regelmäßig auf Sicherheitslücken überprüft werden.
- Praxisinformationssysteme: Ohne aktuelle Sicherheitsupdates sind diese Systeme ein leichtes Ziel für Cyberkriminelle.
- Neue Rechner: Auch neue Hardware kann anfällig sein, wenn sie nicht richtig konfiguriert wird.
- Telematikinfrastruktur (TI): Hierbei handelt es sich um ein besonders sensibles System, das streng überwacht und sicher konzipiert sein muss.
- Soziale Medien: Nicht nur Ihre Praxishomepage und die Praxissoftware, auch Ihr Umgang mit sozialen Medien muss sicherheitsbewusst gestaltet werden.
Wie Sie sich konkret schützen
Sicherheitsmaßnahmen sind kein Hexenwerk, die Schutzempfehlungen sind immer wieder die gleichen. Auch wenn Cyberkriminelle stets einen Schritt voraus sind, sind diese Tipps eine sehr gute Basis für Abwehr und Schadensbegrenzung.
1. Setzen Sie auf starke Zugangskontrollen
Verwenden Sie unterschiedliche Kennwörter für interne und externe Systeme. So vermeiden Sie, dass ein Sicherheitsvorfall auf mehreren Ebenen gleichzeitig Schaden anrichtet.
Zwei-Faktor-Authentifizierung (2FA) ist ein Muss. Das bedeutet, dass für den Zugriff auf Ihre Systeme nicht nur das Passwort erforderlich ist, sondern auch ein zusätzliches Authentifizierungsmerkmal, wie eine SMS oder – bedeutend sicherer – ein Code über eine Authentifizierungs-App.
Biometrische Verfahren (wie Fingerabdruck oder Gesichtserkennung) sind äußerst sicher und erschweren Hackern den Zugriff. Der Vorteil: Diese Methoden werden momentan noch selten von Cyberkriminellen angegriffen, da sie eine höhere technische Hürde darstellen.
Internetzugänge für Patienten müssen immer vom Praxisnetz abgetrennt sein. Lesen Sie auch, wie Sie ein sicheres WLAN fürs Wartezimmer einrichten.
2. Verwenden Sie einen Passwortmanager
Gerade im hektischen Praxisalltag kann es leicht passieren, dass Passwörter einerseits nicht sicher genug aufbewahrt, andererseits leicht vergessen werden – besonders, da ja für jedes System ein anderes Passwort empfohlen wird. Ein Passwortmanager wie das Open-Source-Programm „KeePass“ hilft dabei, alle Passwörter sicher zu speichern und für Sie jederzeit zugänglich zu machen.
Open-Source-Software hat darüber hinaus den Vorteil, dass durch den für jeden einsehbaren Code Sicherheitslücken häufig schneller bemerkt und geschlossen werden können.
3. Sichern Sie Ihre Passwörter analog
In Zeiten von Digitalisierung und KI mag der folgende Rat anachronistisch wirken, aber analoge Vorgänge sind im Zweifelsfall oft die sichereren und datenschutzfreundlicheren Lösungen. Notieren Sie Ihre Passwörter und Zugänge z. B. in einem physischen Passwortbuch und lagern Sie dieses so, dass esfür die entsprechenden Mitarbeitenden zugänglich ist, für Patientinnen und Patienten jedoch nicht einsehbar. Zudem können Sie einen Passwortsafe nutzen.
4. Sorgen Sie für regelmäßige Datensicherungen
Erstellen Sie regelmäßig Backups Ihrer Daten, sowohl kleine als auch umfassende. Idealerweise erfolgt dies automatisiert und in kurzen Abständen, sodass bei einem Angriff nur wenige Daten verloren gehen.
Sprechen Sie mit Ihrem IT-Dienstleister darüber, wie die Datensicherungen selbst optimal geschützt werden können. Lassen Sie sich zudem beraten, wie Sie die Daten außerhalb der Praxis sicher aufbewahren – besonders bei externen Datenträgern, deren Herkunft und Sicherheit Sie nicht immer überprüfen können.
5. Achten Sie auf regelmäßige Updates
Sicherheitsupdates sind der Schlüssel zur Abwehr von Angriffen. Sorgen Sie dafür, dass alle Ihre Systeme regelmäßig mit den neuesten Updates versorgt werden, um potenzielle Schwachstellen zu schließen. Das gilt nicht nur für Updates Ihres Betriebssystems, sondern auch Ihres Praxisverwaltungssystems und weiterer Programme, die Sie nutzen.
Zudem sollten Sie immer auf aktuelle Systeme setzen. Schon nach 1-2 Jahren sind die Systeme hochinteressant für Hacker, da sie „löcherig“ werden.
6. Schulen Sie Ihre Mitarbeitenden
Cybersicherheit geht alle an. Lassen Sie IhreMitarbeitenden regelmäßig schulen oder schulen Sie sie selbst. Dazu gehört das Bewusstsein für Phishing-Mails, unsichere Webseiten und die ordnungsgemäße Handhabung digitaler Geräte.
Besuchen Sie z. B. am 25.06.2025 das Virchowbund-Webinar „IT-Sicherheit: So sichern Sie Ihre Praxis gegen Hacker und Cybercrime“. Hier können Sie sich als Mitglied im Virchowbund kostenlos anmelden.
7. Verteilen Sie Rollen und Rechte klug
Nicht jede und jeder Mitarbeitende in Ihrer Praxis muss dieselben Rechte und Erlaubnisse innerhalb Ihrer Systeme haben. Ein Beispiel: Während möglicherweise Ihre Praxismanagerin die Terminvermittlung auf Ihrer Praxishomepage bearbeiten darf, benötigt eine andere MFA vielleicht nur eine Berechtigung zum Einblick in die Terminvermittlung – oder überhaupt keinen Zugang. Hier benötigen Sie eine durchdachte Strategie, die zu Ihren Praxisabläufen passt.
8. Setzen Sie auf einen externen IT-Dienstleister
Schon die oben genannten Schritte 1-5 können komplex werden, besonders in Kombination. Dies gehört nicht zu den Aufgaben, die Sie allein erledigen sollten. Setzen Sie daher auf einen externen IT-Dienstleister, der sich um die gesamte Praxis-IT kümmert. Ein professioneller IT-Dienstleister sorgt nicht nur für die Absicherung Ihrer Praxis, sondern steht Ihnen auch im Ernstfall schnell zur Seite.
Halten Sie Kunden- und Kontaktdaten für IT-Dienstleister und alle anderen Dienstleister separat bereit, das heißt: außerhalb Ihrer Praxisgeräte und -systeme. Richten Sie sich so ein, dass Sie auch im Ernstfall – also ohne Zugang zu Ihren E-Mails, Ihrem PVS etc. – immer handlungsfähig sind, um z. B. Termine absagen zu können.
Achten Sie bei der Auswahl darauf, dass Ihr IT-Dienstleister im Zweifelsfall schnell persönlich erreichbar ist. Wenn Sie stundenlang in einer Support-Hotline festhängen oder Ihr Dienstleister Sie erst nach 3 Tagen zurückruft, stehen Sie mit dem Chaos eines Cyberangriffs erst einmal allein da, während sich die Katastrophe weiter ausbreitet.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat für Cyberangriffe in Unternehmen einen Leitfaden zusammengestellt. Auch wenn dieser nicht exakt auf die Besonderheiten Ihrer Praxis zutrifft: Ihr seriöser IT-Dienstleister sollte die Hilfsangebote des BSI unbedingt kennen und soweit wie möglich befolgen und nutzen.
9. Entwickeln Sie einen Krisenplan
Bereiten Sie sich auf den Ernstfall vor: Was passiert, wenn Ihre Systeme kompromittiert wurden und Sie auf nichts mehr zugreifen können? Es ist wichtig, einen Notfallplan zu haben, der festlegt, wie Sie schnell reagieren können.
Diesen Plan sollten Sie gleich gemeinsam mit Ihrem IT-Dienstleister und Ihrem Datenschutzbeauftragten erstellen, am besten in einem ersten Gespräch zu dritt. Für alle Seiten sollte klar sein, was passieren muss, welche Schritte im Ernstfall Priorität haben, wer in welchem Fall zu kontaktieren ist und wer welche Aufgaben übernimmt.
Stellen Sie sicher, dass Sie in dem Plan alle wichtigen Kontakte (IT-Dienstleister, Datenschutzbeauftragter, Polizei, etc.) griffbereit haben und dass Sie bei einem Vorfall nicht nur sofort Ihrem IT-Dienstleister Bescheid geben, sondern innerhalb von 72 Stunden auch die zuständige Landesdatenschutzbehörde informieren.
- Was ist vorsorglich zu tun?
- Wie wird kontrolliert, dass alles eingehalten wird?
- Welche Schritte werden im Ernstfall gegangen?
Gehen Sie dabei vom schlimmstem Szenario aus, in dem Sie auf keins Ihrer Praxissysteme zugreifen können. - Wer sind die notwendige Ansprechpartner und ihre Kontaktdaten?
z. B. IT-Dienstleister, gematik, Landesdatenschutzbeauftragte – für eine Meldung des Vorfalls binnen 3 Tagen. - Wo ist die Datensicherung und wie kommen Sie daran?
Konsultieren Sie zur Entwicklung des Notfallplans auch den BSI-Leitfaden und nutzen Sie unsere Vorlage für Notfallpläne in der gleichnamigen Praxisinfo.
Konkrete Hilfe zur Vorbereitung auf den Notfall erhalten Sie auch in unserem nächsten Online-Seminar zur IT-Sicherheit in der Praxis in Kooperation mit dem Landeskriminalamt Berlin. Lesen Sie außerdem unsere Tipps zum Thema „Praxisausfall: So schützen Sie sich“ und unsere Praxisinfo „IT-Sicherheit und Cybercrime“.
Alles Wichtige zum Datenschutz in der Arztpraxis finden Sie auch in unserer Praxisinfo „Datenschutz“. Holen Sie sich auch Tipps zur Umsetzung und Einrichtung der digitalen Arztpraxis unserer Seite.
Die IT-Sicherheit Ihrer Praxis beginnt bei Ihnen als Praxisinhaberin oder -inhaber. Der Schutz Ihrer Praxis vor Cyberangriffen sollte für Sie hohe Priorität haben. Gehen Sie das Thema buchstäblich „paranoid“ an, rechnen Sie mit den drastischsten Folgen eines Cyberangriffs und setzen Sie auf Sorgfalt.
Aktuell gehen immer mehr Versicherungen dazu über, Cyberrisiken nicht mehr zu versichern. Prüfen Sie am besten, ob Cyber-Unfälle von Ihrer aktuellen Versicherung abgedeckt sind oder ob möglicherweise eine Cyberhaftpflichtversicherung für Sie sinnvoll ist.
Noch Fragen zu IT-Sicherheit? Als Mitglied im Virchowbund können Sie sich kostenfrei zu unserem nächsten Webinar anmelden! Bei konkreten Fragen zur Praxisorganisation steht Ihnen unsere Praxisberatung zur Verfügung. Außerdem profitieren Sie von unseren rechtlich geprüften Praxisinfos und Musterverträgen zum Herunterladen.
Kommentare
Keine Kommentare
