Arztpraxen sind zunehmend Ziel von Cyberangriffen, insbesondere Ransomware und Phishing, da sie hochsensible Gesundheitsdaten verarbeiten und oft über veraltete IT-Infrastruktur verfügen. Die gesetzliche Pflicht zur IT-Sicherheit ergibt sich aus der DSGVO, dem SGB V und den Vorgaben der gematik für die Telematikinfrastruktur (TI). Ein Cyberangriff kann den Praxisbetrieb vollständig lahmlegen und erhebliche Bußgelder sowie Haftungsrisiken auslösen.
Das Wichtigste auf einen Blick
- DSGVO-Verstöße durch unzureichende IT-Sicherheit können Bußgelder von bis zu 4 Prozent des Jahresumsatzes oder 20 Millionen Euro auslösen
- Die gematik schreibt technische Mindeststandards für TI-Konnektoren und Praxis-IT vor (BSI-Richtlinien)
- Regelmäßige Backups (mind. täglich, mindestens eines offline), aktuelle Antivirensoftware und Mitarbeiterschulungen sind Basismaßnahmen
Ausführliche Antwort
Die Basis-Cybersicherheit einer Arztpraxis umfasst vier Bereiche: technische Schutzmaßnahmen, organisatorische Prozesse, Mitarbeiterschulung und Notfallplanung. Technisch sind aktuelle Betriebssysteme, regelmäßige Sicherheitsupdates, eine Firewall mit regelmäßiger Konfigurationsprüfung, Antivirensoftware und segmentierte Netzwerke (Trennung von Patienten-WLAN und Praxis-IT) die wichtigsten Maßnahmen. Für die TI-Anbindung schreibt die gematik spezifische Sicherheitsanforderungen vor, die beim Kauf zertifizierter Konnektoren automatisch erfüllt sind.
Backups sind die wichtigste Schutzmaßnahme gegen Ransomware: Täglich automatisierte Backups der Patientendaten und der PVS-Datenbank sollten auf mindestens zwei Medien gespeichert sein, davon eines offline (externe Festplatte oder Bandlaufwerk) oder in einer zertifizierten Cloud. Im Fall eines Ransomware-Angriffs ist ein sauberes Backup der einzige Weg zur Wiederherstellung ohne Lösegeldzahlung. Die gesetzliche Aufbewahrungspflicht für Patientenakten (10 Jahre nach § 630f BGB) macht die Backup-Sicherheit zu einer Rechtspflicht.
Mitarbeiter sind das größte Einfallstor für Cyberangriffe: Phishing-E-Mails, die vorgeben, von Krankenkassen, der KV oder dem Gesundheitsamt zu kommen, sind die häufigste Angriffsform. Regelmäßige Schulungen (mind. einmal jährlich) und klare Richtlinien für den Umgang mit verdächtigen E-Mails und Anhängen reduzieren das Risiko erheblich. Ein schriftliches IT-Sicherheitskonzept ist in Praxen mit mehr als 5 Mitarbeitern empfehlenswert.
Worauf Ärzte besonders achten sollten
Technische Schutzmaßnahmen reichen allein nicht aus: Im Schadenfall entstehen Kosten für IT-Forensik, Systemwiederherstellung, Benachrichtigung betroffener Patienten (Pflicht nach DSGVO Art. 34) und ggf. Bußgelder. Ärzteversichert empfiehlt Praxisinhabern eine Cyber-Versicherung, die Betriebsunterbrechung, Drittschäden, Krisenmanagement und Kosten der DSGVO-Meldepflichten absichert.
Quellen und weiterführende Informationen
- Bundesamt für Sicherheit in der Informationstechnik – IT-Sicherheit im Gesundheitswesen
- gematik – Sicherheitsanforderungen Telematikinfrastruktur
- Ärzteversichert – Versicherungsmakler für Mediziner
Persönliche Beratung zu diesem Thema?
Kostenfreie Erstberatung anfragen →