Cyberangriff auf die Arztpraxis: Warum „bisher nichts passiert“ trügt

Mann mit erhobener Hand warnt vor Cyberangriff: Bisher nichts passiert, das täuscht!

Moderne Angriffe suchen ihre Opfer automatisiert - keine Ausreden!

Ein Freitagnachmittag, ein merkwürdig reagierender Server – und am Montagmorgen startet das Praxisverwaltungssystem nicht mehr. Stattdessen prangt eine Erpressernachricht auf dem Bildschirm. Was wie ein Horrorszenario aus einem IT-Thriller klingt, ist für immer mehr deutsche Arzt- und Zahnarztpraxen bittere Realität. Sicherheitsbehörden warnen seit Jahren:

Das Gesundheitswesen gehört zu den am häufigsten angegriffenen Branchen überhaupt. Und die unbequeme Wahrheit ist: Viele Praxen wären einem gezielten Angriff heute schutzlos ausgeliefert. Dieser Artikel erklärt dir, warum das so ist – und was du konkret dagegen tun kannst.

Warum Praxen zur leichten Beute werden

Drei Faktoren machen Praxen für Angreifer besonders attraktiv. Wer das versteht, versteht auch, warum Wegschauen keine Option mehr ist.

Die Beute ist Gold wert. Gesundheitsdaten lassen sich – anders als Kreditkarten – nicht einfach sperren. Das macht sie auf illegalen Märkten wertvoller und öffnet Angreifern gleich zwei Erpressungswege: gegen die Praxis selbst und gegen die betroffenen Patienten.

Die Verwundbarkeit ist strukturell. Eine Praxis kann sich keinen tagelangen Stillstand leisten. Genau diesen Druck nutzen Kriminelle gezielt aus, um Lösegeldforderungen durchzusetzen.

Die Verteidigung ist oft ein Wunschdenken. Während Konzerne eigene Sicherheitsabteilungen unterhalten, verlässt sich so manche Praxis auf einen Virenscanner und die Hoffnung, „zu klein zu sein, um interessant zu sein".

Der reale Zustand in vielen Praxen

Wer Praxis-IT regelmäßig prüft, sieht immer wieder dasselbe erschreckende Muster:

  • Server, die seit Jahren keine Sicherheitsupdates mehr erhalten haben, weil „danach immer irgendwas nicht funktioniert"
  • Fernwartungszugänge, die dauerhaft offenstehen – manchmal noch vom vorletzten IT-Dienstleister
  • Ein einziges Admin-Passwort für alles, bekannt im gesamten Team, unverändert seit der Praxisgründung oder alle Benutzer haben Admin-Rechte.
  • Patienten-WLAN im selben Netz wie Server und Röntgengerät
  • Backups, die entweder fehlschlagen, mitverschlüsselbar am Server hängen oder nie auf Wiederherstellbarkeit getestet wurden
  • und vieles mehr...

Keines dieser Probleme entsteht aus bösem Willen – sie sind das Ergebnis jahrelanger fehlender Zuständigkeit oder schlichten Unwissens. Für einen Angreifer macht das keinen Unterschied: Er findet eine offene Tür mit Begrüßungsschild.

Ein gesperrter Computer in einer Arztpraxis zeigt ein Warnsymbol wegen Cyberangriff.

Während die Praxis schläft, arbeiten die Scanner der Angreifer weiter – ungepatchte Server und offene Fernzugänge sind eine offene Tür mit Begrüßungsschild.

Wenn der Ernstfall eintritt

Der typische Ablauf beginnt unspektakulär und eskaliert schnell: Notbetrieb auf Papier, Meldung an die Datenschutzaufsicht innerhalb von 72 Stunden, forensische Aufklärung, im schlimmsten Fall die Information aller betroffenen Patienten.

Die alles entscheidende Frage lautet dabei immer: Gibt es ein sauberes, nicht mitverschlüsseltes Backup? Genau diese Frage entscheidet, ob eine Praxis wenige Tage oder mehrere Monate ausfällt – und die Antwort steht schon lange vor dem Angriff fest.

Was du jetzt konkret tun solltest

Der Satz „bisher ist nichts passiert" ist die teuerste Fehlannahme überhaupt. Er verwechselt Glück mit Sicherheit. Dass noch nichts passiert ist, beweist nicht, dass deine Praxis geschützt ist – es zeigt nur, dass der automatisierte Scan deine Schwachstelle noch nicht gefunden hat.

Rechtlich gibt es hier ohnehin keinen Spielraum: Die IT-Sicherheitsrichtlinie nach § 390 SGB V ist verbindlich, die DSGVO fordert Schutz nach dem Stand der Technik.

Fazit: Nicht ob, sondern ob du vorbereitet bist

Die Bedrohungslage ist real, die Rechtslage eindeutig – und der Zustand vieler Praxen macht beides brandgefährlich. An der Bedrohung selbst kannst du nichts ändern, an deiner Verwundbarkeit aber alles.

Der erste Schritt kostet weder Umbau noch Stillstand, sondern nur eine Entscheidung: den Ist-Zustand deiner Praxis ehrlich prüfen zu lassen, bevor es jemand anderes ungefragt tut. Alles Weitere ergibt sich aus diesem Befund. Nur der richtige Zeitpunkt ergibt sich nie von selbst – er ist immer jetzt. Denn jeder andere Zeitpunkt ist nur eine Wette darauf, dass der nächste automatisierte Scan deine offene Tür noch eine Weile übersieht.

Ist meine Praxis wirklich zu klein, um für Hacker interessant zu sein?

Nein. Moderne Angriffe erfolgen automatisiert und durchsuchen das Internet systematisch nach verwundbaren Systemen – die Größe deiner Praxis spielt dabei keine Rolle, nur die Erreichbarkeit und vorhandene Schwachstellen zählen.

Was ist der wichtigste erste Schritt, wenn ich noch gar nichts unternommen habe?

Eine ehrliche Bestandsaufnahme beziehungsweise ein Sicherheitscheck der bestehenden IT-Infrastruktur. Ohne diesen Befund lässt sich keine sinnvolle Schutzstrategie aufbauen.

Reicht ein normales Backup als Schutz vor Ransomware aus?

Nur, wenn es angriffssicher eingerichtet und regelmäßig auf Wiederherstellbarkeit getestet wird. Ein Backup, das am selben Server hängt, kann im Ernstfall mitverschlüsselt werden und ist dann wertlos. Besser wäre ein mehrstufiges Backup-Konzept mit regelmäßigen Wiederherstellungstests.

Welche rechtlichen Vorgaben muss meine Praxis erfüllen?

Maßgeblich sind die IT-Sicherheitsrichtlinie nach § 390 SGB V sowie die DSGVO, die Schutzmaßnahmen nach dem jeweils aktuellen Stand der Technik verbindlich vorschreibt. Doch Vorsicht: Diese Anforderungen sind das gesetzliche Minimum, nicht das Schutzniveau – wer nur sie erfüllt, ist regelkonform, aber noch lange nicht sicher vor Angreifern.

Wie lange dauert es, den Sicherheitszustand einer Praxis spürbar zu verbessern?

In der Regel deutlich kürzer als gedacht: Zwischen einer offenen Sicherheitslücke und einem solide geschützten System liegen meist nur wenige Tage bis Wochen konsequenter Umsetzung.

👉 Verlass dich nicht länger auf „bisher ist nichts passiert": Buche jetzt dein kostenloses Erstgespräch — in ca. 60 Minuten prüfen wir gemeinsam, wo deine Praxis wirklich steht, was sofort zu tun ist und wie eine Komplettbetreuung sie dauerhaft schützt - alles ganz unverbindlich. Hier vereinbaren!

Diese Webseite verwendet Cookies

Diese Webseite nutzt Cookies, um Ihnen das bestmögliche Erlebnis zu gewährleisten. Cookies helfen uns, die Webseite mit Analysen zu verbessern. Mit einem Klick auf „Zustimmen“, stimmen Sie der Verwendung von Cookies zu. Sie können Ihre Einwilligung jederzeit ändern, indem Sie unter "Optionen verwalten" Ihre getroffenen Einstellungen selbst rückgängig machen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

Privatsphäre-Einstellungen

Wir verwenden Cookies und ähnliche Technologien auf unserer Website und verarbeiten personenbezogene Daten von dir (z.B. IP-Adresse), um z.B. Inhalte und Anzeigen zu personalisieren, Medien von Drittanbietern einzubinden oder Zugriffe auf unsere Website zu analysieren.

Die Datenverarbeitung kann auch erst in Folge gesetzter Cookies stattfinden. Wir teilen diese Daten mit Dritten, die wir in den Privatsphäre-Einstellungen benennen.

Einige Services verarbeiten personenbezogene Daten in den USA. Indem du der Nutzung dieser Services zustimmst, erklärst du dich auch mit der Verarbeitung deiner Daten in den USA gemäß Art. 49 (1) lit. a DSGVO einverstanden. Die USA werden vom EuGH als ein Land mit einem unzureichenden Datenschutzniveau nach EU-Standards angesehen. Insbesondere besteht das Risiko, dass deine Daten von US-Behörden zu Kontroll- und Überwachungszwecken verarbeitet werden, unter Umständen ohne die Möglichkeit eines Rechtsbehelfs.

Du bist unter 16 Jahre alt? Dann kannst du nicht in optionale Services einwilligen. Du kannst deine Eltern oder Erziehungsberechtigten bitten, mit dir in diese Services einzuwilligen.


Ihre Einstellungen für Einwilligungen

Hier haben Sie die Möglichkeit, Ihre Einwilligung für die Datenverarbeitung durch Cookies zu erteilen oder zu widerrufen. Sie können Ihre Einstellungen jederzeit ändern. Weitere Informationen finden Sie in unserer Datenschutzerklärung.