Die Zahl gezielter Cyberangriffe auf medizinische Einrichtungen steigt kontinuierlich – das zeigen nicht nur Statistiken, sondern auch die wachsende Zahl an konkreten Vorfällen, mit denen ich in meiner täglichen Arbeit konfrontiert werde.
Als Externer Datenschutzbeauftragter mit Spezialisierung auf Gesundheitsdatenschutz beobachte ich seit einiger Zeit eine deutliche Zunahme der Bedrohungslage, insbesondere für niedergelassene Arztpraxen.
Warum gerade Arztpraxen?
Praxen verfügen über eine Vielzahl besonders sensibler personenbezogener Daten. Diese Daten sind für Kriminelle besonders attraktiv: Sie lassen sich im Darknet verkaufen, zur Erpressung nutzen oder gezielt manipulieren. Gleichzeitig sind viele Praxen nicht ausreichend geschützt – sei es aufgrund technischer Versäumnisse, fehlender Schulungen oder mangelnder Ressourcen.
Was mich in der Praxis häufig überrascht: Das Risikobewusstsein ist zwar grundsätzlich vorhanden, aber die konkrete Bedrohung wird im eigenen Betrieb häufig unterschätzt. Viele Ärztinnen und Ärzte gehen davon aus, dass „so etwas bei uns nicht passiert“. Leider ist das ein Irrtum. Gerade kleinere Einrichtungen sind besonders gefährdet – weniger wegen ihrer Größe, sondern wegen oft unzureichender technischer und organisatorischer Schutzmaßnahmen.
Fragen zum Datenschutz und Cybersicherheit?
Wir beraten Sie gerne!
Welche Angriffsarten treten auf?
Die Angreifer gehen mit professionellen Mitteln vor. Besonders häufig sind:
- Phishing: Gefälschte E-Mails mit angeblichen Rechnungen, Arztbriefen oder Bewerbungen.
- Social Engineering: Täuschungsversuche per Telefon oder E-Mail, z. B. durch angebliche Dienstleister.
- Ransomware: Schadsoftware, die Daten verschlüsselt und erst gegen Lösegeld wieder freigibt – oft ohne Erfolgsgarantie.
Ein erfolgreicher Angriff kann den Praxisbetrieb tagelang oder sogar wochenlang lahmlegen. Die finanziellen Folgen sind erheblich, hinzu kommen mögliche Bußgelder, Schadensersatzforderungen von Patienten und ein langfristiger Reputationsverlust.
Neue Anforderungen – aber reicht das?
Seit April 2025 gilt die überarbeitete IT-Sicherheitsrichtlinie der Kassenärztlichen Bundesvereinigung (KBV). Sie definiert erstmals klare technische Anforderungen nach Praxisgröße und IT-Struktur. Grundsätzlich ist das ein wichtiger Schritt – aber aus meiner Sicht bei weitem nicht ausreichend.
Technische Vorgaben helfen nur dann, wenn sie mit Leben gefüllt werden. Dazu gehören klare Zuständigkeiten, regelmäßige Schulungen aller Mitarbeitenden und ein funktionierendes Incident-Response-Konzept. Es reicht nicht, die Anforderungen „auf dem Papier“ zu erfüllen. Sicherheitsmaßnahmen müssen im Alltag funktionieren – auch unter Stress.
Was sollte jetzt konkret geschehen?
Ich empfehle allen Praxen, unabhängig von ihrer Größe:
- Eine realistische Einschätzung der eigenen Risiken
- Klare interne Abläufe für den Fall eines Angriffs
- Regelmäßige Mitarbeiterschulungen und Sensibilisierung
- Aktualisierung von Technik und Software (Patchmanagement, Backup, E-Mail-Sicherheit)
- Dokumentation der Maßnahmen zur Nachweisführung gegenüber Aufsichtsbehörden
Fazit
Cyberkriminalität ist längst kein abstraktes Risiko mehr. Sie ist real, organisiert und professionell. Jede Praxis – ob groß oder klein – kann betroffen sein. IT-Sicherheit und Datenschutz sind keine Nebenthemen, sondern zentrale Aufgaben der Praxisführung. Wer heute Patientendaten verarbeitet, muss diese aktiv schützen. Alles andere ist grob fahrlässig. Wenn Sie Fragen zur Umsetzung haben oder Ihre Strukturen überprüfen lassen möchten, stehe ich Ihnen gerne beratend zur Seite. Sicherheit ist kein Zustand, sondern ein fortlaufender Prozess.
Beratung im Datenschutz
Gerne beraten wir Sie hierzu und zu weiteren Themen im Datenschutz in der Arztpraxis. Sprechen Sie uns als externe Datenschutzbeauftragte für Arztpraxen an. Sie erreichen uns unter 0511/37388134 oder per Mail über datenschutzbeauftragter@datenschutzundgesundheit.de. Wir freuen auf Ihre Anfrage.
