IT-Sicherheit in der Arztpraxis: Pflichten, Patches und Altgeräte

IT fällt erst auf, wenn sie ausfällt

In einer Praxis steht die IT nicht im Vordergrund, und das ist auch richtig so. Sie soll laufen, während das Team sich um Patienten kümmert. Genau dieser Anspruch wird zum Problem, sobald die Pflichten wachsen und niemand zuständig ist. Eine Praxis hat keine IT-Abteilung. Sie hat ein Praxisverwaltungssystem, ein paar Geräte, einen Telematik-Konnektor und sehr sensible Daten.

Der regulatorische Rahmen ist in den letzten Jahren dichter geworden. Gleichzeitig nehmen Angreifer kleine Einrichtungen gezielter ins Visier. Dieser Text ordnet ein, was eine ambulante Praxis technisch tun muss: was die IT-Sicherheitsrichtlinie verlangt, warum Patch-Management der Punkt ist, der am häufigsten liegen bleibt, und was mit Geräten passiert, die sich gar nicht aktualisieren lassen.

Aus § 75b wird § 390

Die verbindliche Grundlage heißt IT-Sicherheitsrichtlinie. Kassenärztliche und Kassenzahnärztliche Bundesvereinigung erlassen sie im Einvernehmen mit dem BSI. Lange stand sie im § 75b SGB V. Mit dem Digitalgesetz wurde die Norm umnummeriert: Heute ist es der § 390 SGB V (KBV 2025). Inhaltlich gilt sie unverändert für alle vertragsärztlichen und vertragszahnärztlichen Praxen.

Die Richtlinie staffelt ihre Anforderungen nach Praxisgröße, gemessen an der Zahl der Personen, die mit der Datenverarbeitung betraut sind. Eine kleine Einzelpraxis erfüllt Grundpflichten. Mittlere und große Praxen sowie MVZ kommen zu zusätzlichen Maßnahmen, darunter ein geregeltes Update- und Patch-Management und ein bewusster Umgang mit Schwachstellen. Die in Anlage 1 ergänzten Anforderungen gelten seit dem 1. Oktober 2025 (BSI 2025). Wer Medizingeräte oder mobile Anwendungen einsetzt, fällt unter weitere Anlagen mit eigenen Vorgaben.

Das Wesentliche dahinter ist simpel. Systeme müssen aktuell gehalten werden, und jemand muss dafür verantwortlich sein. Beides ist in einer Praxis ohne externe Unterstützung selten gegeben.

Patch-Management ist die Pflicht, die liegen bleibt

Veraltete, ungepatchte Software ist das häufigste Einfallstor überhaupt. Das ist keine Praxis-Besonderheit, aber in der Praxis fehlt der Mechanismus, der Updates verlässlich einspielt. Das Praxisverwaltungssystem aktualisiert der Hersteller. Das Betriebssystem, die Browser, die PDF-Programme, die Treiber am Kartenterminal, der Router: darum kümmert sich oft niemand systematisch.

Das BSI fordert kein blindes Auto-Update, sondern kontrolliertes, getestetes Patchen (BSI 2025). Updates sollen geplant, geprüft und nachvollziehbar eingespielt werden, nicht im laufenden Sprechstundenbetrieb durchrauschen und im Zweifel ein Gerät lahmlegen. Das ist genau der Unterschied zwischen „Windows aktualisiert sich schon irgendwann” und einem Prozess.

So setzen wir das auf:

• Zentrale Verteilung. Updates für Betriebssystem und Drittsoftware werden gesteuert ausgerollt, in definierten Wartungsfenstern außerhalb der Sprechzeiten. Für gemischte Landschaften nutzen wir opsi und NinjaOne, je nach Umgebung.
• Schwachstellen sichtbar machen. Ein kontinuierliches Scanning mit Lywand oder Enginsight zeigt, wo etwas offen ist, bevor es jemand anders findet. Lywand erreicht auch die Geräte ohne Agent: Switches, Drucker, NAS, Kartenterminals.
• Nachweise. Was gepatcht wurde und was offen ist, lässt sich dokumentieren. Bei einer Prüfung nach § 390 SGB V oder gegenüber einem Cyber-Versicherer ist das der Unterschied zwischen Behauptung und Beleg.

Patch-Management klingt nach Routine. Es ist Routine. Aber es ist die Routine, die am meisten verhindert und am ehesten ausfällt, wenn sie niemand übernimmt. Mehr dazu unter Patch Management.

Die Geräte, die sich nicht patchen lassen

Hier wird es unbequem. Viele Medizingeräte und ältere Fachanwendungen laufen auf eingebetteten Betriebssystemen, die der Hersteller nicht mehr aktualisiert. Manchmal verbietet die Zulassung sogar eigene Updates. Ein Röntgen- oder Ultraschallarbeitsplatz mit einem alten Windows im Bauch ist kein Einzelfall, sondern Alltag. Das BSI rät klar von nicht mehr gewarteten Systemen ab. Windows 7 etwa erhält seit dem 14. Januar 2020 keine Sicherheitsupdates mehr (BSI 2025). Abschalten lässt sich das Gerät trotzdem nicht. Und ersetzen kostet einen fünfstelligen Betrag.

Wenn ein System nicht aktuell zu halten ist, lautet die anerkannte Antwort: kapseln. Das BSI empfiehlt, solche Geräte in ein eigenes, abgeschottetes Netzsegment zu legen, den Datenverkehr strikt zu regeln und zu überwachen (BSI 2025). Kein vollständiges Abklemmen, das nimmt dem Gerät die Funktion. Sondern eine kontrollierte Umgebung, in der ein kompromittiertes Altgerät nicht das ganze Praxisnetz mitreißt.

Praktisch heißt das: ein sauber geplantes Netzwerk mit getrennten Zonen, umgesetzt mit Hardware wie Ubiquiti, und ein Monitoring, das anschlägt, wenn sich ein Gerät anders verhält als sonst. Wie so eine Segmentierung konkret aussieht, haben wir am Beispiel durchgespielt: Netzwerk-Segmentierung in der Praxis.

Telematikinfrastruktur: kein Selbstläufer

Konnektor, Kartenterminals und die Anbindung an eRezept, ePA und elektronische Patientenakte sind Teil Ihres Praxisnetzes. Sie müssen gepflegt werden, und die Pflege hat Termine. Konnektor-Zertifikate haben eine begrenzte Laufzeit und müssen rechtzeitig verlängert oder die Geräte getauscht werden (gematik 2025). Ältere Konnektoren mit reiner RSA-Verschlüsselung sind ausgelaufen und mussten gegen ECC-fähige Geräte ersetzt werden; rund 10.000 Stück waren betroffen (KBV 2025). Die Fristen für Heilberufs- und Praxisausweise (eHBA, SMC-B) wurden bis zum 30. Juni 2026 verlängert (KBV 2025). Solche Stichtage kommen wieder.

Mit der TI 2.0 ändert sich die Architektur grundsätzlich. Ein physischer Konnektor im Rack ist dann nicht mehr zwingend, die Anbindung verlagert sich auf ein TI-Gateway (gematik 2025). Der Übergang erfordert Updates und Umstellungen, die der jeweilige Anbieter liefert. Versäumt man sie, steht am Ende die Abrechnung.

Wir betreiben die TI nicht für Sie, das tun die dafür zugelassenen Anbieter. Wir sorgen für alles drumherum: ein Netz, in dem die TI-Komponenten sicher und segmentiert eingebunden sind, eine Überwachung ihrer Verfügbarkeit und eine Planung, die Zertifikatsabläufe und Updates auf dem Schirm hat, bevor sie zum Notfall werden.

Ransomware trifft auch die kleine Praxis

Lange galt die Annahme, kleine Einrichtungen seien zu unbedeutend für Angreifer. Das stimmt nicht mehr. Der BSI-Lagebericht hält fest, dass Cyberkriminelle gezielt auch kleine Praxen angreifen (BSI 2025). Der Grund ist nüchtern: Patientendaten sind erpressbar, und die IT-Abwehr ist oft dünn. Angriffe laufen zudem selten gezielt auf eine einzelne Praxis. Sie treffen Dienstleister. Als ein Hersteller von Praxissoftware kompromittiert wurde, waren auf einen Schlag zehntausende Ärzte betroffen (t-online). Bei einem Angriff auf eine Apotheke standen die Daten tausender Patienten zur Disposition (apotheke-adhoc).

Ein verschlüsselter Praxisserver legt alles gleichzeitig lahm: Terminbuch, Karteikarten, Abrechnung. Die Versorgung steht still. Dagegen hilft nur Vorbereitung:

• Backup nach der 3-2-1-Regel mit regelmäßigen Restore-Tests. Drei Kopien, zwei Medien, eine außer Haus. Ein Backup, das nie zurückgespielt wurde, zählen wir nicht als Backup. Werkzeuge dafür: Acronis Cyber Protect und der Proxmox Backup Server.
• Endpoint-Schutz auf jedem Gerät, signatur- und verhaltensbasiert, etwa mit ESET.
• Schnelle Wiederherstellung als geübter Vorgang, nicht als Improvisation am Schadenstag.

Was im Ernstfall passiert und worauf es bei der Vorbereitung ankommt, steht ausführlich hier: Ransomware: was passiert, was hilft.

Schweigepflicht endet nicht beim Dienstleister

Patientendaten gehören zu den am strengsten geschützten Daten überhaupt. Über die DSGVO hinaus, die Gesundheitsdaten in Artikel 9 als besondere Kategorie führt, bindet die ärztliche Schweigepflicht nach § 203 StGB. Wer einen externen IT-Dienstleister einbindet, muss das vertraglich und technisch sauber regeln. Der Gesetzgeber hat die Einbindung externer Dienstleister ausdrücklich geregelt, damit Wartung und Support überhaupt rechtssicher möglich sind (Ärzteblatt). Ohne diese Grundlage ist schon der Fernzugriff ein Problem.

Daraus folgt eine klare Linie bei der Werkzeugwahl. Wo es geht, setzen wir auf Lösungen, deren Daten die Praxis nicht verlassen: Nextcloud statt einer US-Cloud für die gemeinsame Ablage, RustDesk statt TeamViewer für die Fernwartung. Self-hosted oder im EU-Rechenzentrum, mit einem Auftragsverarbeitungsvertrag, der die Schweigepflicht abbildet. Warum diese Frage für Berufsgeheimnisträger eine rechtliche und nicht nur eine technische ist, haben wir am Beispiel der Kanzleien ausgeführt; die Logik gilt für die Praxis genauso: souverän statt US-Cloud.

NIS2: für die meisten Praxen nicht direkt

Seit Dezember 2025 gilt das deutsche NIS-2-Umsetzungsgesetz. Daraus entsteht regelmäßig die Sorge, jede Praxis falle nun unter ein neues Pflichtenregime. Für die einzelne ambulante Praxis trifft das in aller Regel nicht zu. Direkt erfasst sind im Gesundheitssektor vor allem Krankenhäuser und Betreiber kritischer Infrastruktur. Große MVZ und Praxisverbünde können bei entsprechender Größe hineinwachsen (KBV 2025). Die kleine Praxis bleibt außen vor.

Das ist aber kein Freibrief. Für jede Praxis gelten unabhängig von NIS2 weiterhin die IT-Sicherheitsrichtlinie nach § 390 SGB V, die DSGVO und die Schweigepflicht nach § 203 StGB. Diese drei genügen, um die hier beschriebenen Maßnahmen verbindlich zu machen. Wo NIS2 im Einzelfall greift, schauen wir uns die Schwellen und Pflichten gesondert an. Die technischen Bausteine bleiben dieselben, das haben wir für KMU allgemein durchdekliniert: ISO 27001 und NIS2 umsetzen.

Wie wir Praxis-IT betreiben

Die einzelnen Maßnahmen sind keine Heldentaten. Patchen, segmentieren, sichern, überwachen: das ist solides Handwerk. Der Unterschied liegt darin, dass es jemand kontinuierlich tut, statt erst dann, wenn etwas brennt.

Wir betreiben Praxis-IT als Managed Service zum planbaren Festpreis. Systeme werden proaktiv überwacht, Updates laufen in Randzeiten, und wir sind erreichbar, bevor aus einer Störung ein Stillstand wird. Das Praxisteam kümmert sich um die Patienten, wir um die Technik. Was das für Arztpraxen, MVZ und Apotheken konkret umfasst, steht gebündelt auf der Branchenseite: IT für das Gesundheitswesen.

Wenn Sie wissen wollen, wo Ihre Praxis-IT steht, fangen wir mit einer nüchternen Bestandsaufnahme an: welche Systeme laufen, was ist aktuell, was lässt sich nicht patchen, wie steht es um Backup und Telematik. Daraus wird eine Empfehlung, keine Angstverkaufsliste. Sprechen Sie uns an.