Netzwerksicherheit Praxis

Netzwerksicherheit in der Praxisumgebung¶

Das Hauptkapitel hat den Internetzugang als Grundvoraussetzung behandelt – Zugangsdaten, Router-Backup, Fallback-Lösungen. Dieser Deep Dive geht einen Schritt weiter: Was passiert in Ihrem Praxisnetzwerk? Wer hat Zugang? Welche Angriffsflächen entstehen durch schlecht konfigurierte Router, unsichere WLAN-Einstellungen oder ungeschützte Geräte – und wie schließen Sie sie? Mit spezieller Berücksichtigung des TI-Konnektors, medizinischer Geräte und des Patienten-WLAN.

Der Router: Das Tor zu allem¶

Der Router ist das wichtigste Sicherheitsgerät in Ihrem Netz – und gleichzeitig das am häufigsten vernachlässigte. Er ist rund um die Uhr eingeschaltet, direkt mit dem Internet verbunden und kontrolliert den gesamten Datenverkehr zwischen Ihren Geräten und der Außenwelt.

Ein schlecht konfigurierter Router ist ein offenes Tor. Die häufigsten Schwachstellen:

Standard-Zugangsdaten für das Router-Interface Viele Router werden mit voreingestellten Passwörtern für die Administrationsoberfläche ausgeliefert – oder mit einem Passwort, das auf dem Gerät aufgedruckt ist und das jeder kennt, der das Gerät in der Hand hatte. Wer Zugang zum Router-Interface hat, kann das gesamte Praxisnetzwerk kontrollieren: WLAN-Passwörter auslesen, Portweiterleitungen einrichten, den DNS-Server umleiten. Ändern Sie das Admin-Passwort des Routers – auf ein starkes, einzigartiges Passwort, das Sie im Passwort-Manager speichern.

Fernzugriff von außen deaktivieren Viele Router bieten die Möglichkeit, das Admin-Interface aus dem Internet erreichbar zu machen. Das ist eine erhebliche Angriffsfläche. Deaktivieren Sie den Fernzugriff auf das Router-Interface vollständig, sofern Sie ihn nicht aktiv benötigen. Bei einer Fritz!Box: fritz.box → System → Fritz!Box-Benutzer → Zugang aus dem Internet erlauben → deaktivieren.

Firmware-Updates Router-Firmware enthält wie jede Software Sicherheitslücken. Hersteller wie AVM (Fritz!Box) liefern regelmäßig Updates, die bekannte Lücken schließen. Aktivieren Sie automatische Firmware-Updates oder prüfen Sie regelmäßig manuell auf neue Versionen. Ein Router, der seit Jahren nicht aktualisiert wurde, ist ein bekanntes Angriffsziel.

UPnP deaktivieren Universal Plug and Play (UPnP) erlaubt Geräten in Ihrem Netz, automatisch Portweiterleitungen im Router einzurichten – ohne dass Sie das bestätigen. Das klingt praktisch, ist aber ein Sicherheitsrisiko: Schadsoftware kann UPnP nutzen, um sich selbst nach außen erreichbar zu machen. Deaktivieren Sie UPnP, sofern Sie keine spezifische Anwendung kennen, die es benötigt.

WLAN-Sicherheit: WPA3, Passwörter und versteckte Netzwerke¶

Verschlüsselungsstandard Das WLAN sollte mit WPA3 verschlüsselt sein – dem aktuellen Standard, der erheblich sicherer ist als das veraltete WPA2. WPA2 ist noch weit verbreitet und für die meisten Praxisanwendungen ausreichend, wenn das Passwort stark ist – aber WPA3 ist vorzuziehen, wenn Router und Endgeräte es unterstützen. WEP und WPA (ohne Versionsnummer) sind veraltet und unsicher; kein modernes Netz sollte sie noch verwenden.

WLAN-Passwort Das WLAN-Passwort sollte lang und zufällig sein – mindestens 16 Zeichen. Da es in der Regel nur einmalig pro Gerät eingegeben wird, spielt Merkbarkeit keine Rolle; nutzen Sie einen Passwort-Generator. Das Passwort gehört in den Passwort-Manager.

Versteckte SSIDs sind kein Schutz Ein verbreiteter Irrtum: Wer den WLAN-Namen (SSID) versteckt, glaubt damit unsichtbar zu sein. In der Praxis ist ein verstecktes WLAN für Tools, die den Funkverkehr abhören, leicht sichtbar – und verursacht zusätzliche Verbindungsprobleme auf Endgeräten. Versteckte SSIDs sind kein Sicherheitsmerkmal, sondern eine Illusion.

Netzwerksegmentierung in der Praxis: Gäste-WLAN, Patienten-WLAN und medizinische Geräte¶

Eines der wirkungsvollsten Sicherheitsprinzipien im Praxisnetzwerk ist die Trennung: Nicht alle Geräte sollen miteinander kommunizieren können. Die meisten modernen Router – auch einfache Fritz!Box-Modelle – unterstützen die Einrichtung mehrerer WLAN-Netzwerke.

Gäste-WLAN Richten Sie ein separates WLAN für Gäste ein. Wer sich ins Gäste-WLAN einloggt, hat Internetzugang – aber keinen Zugriff auf Ihre Arbeitsgeräte, Ihren NAS, Ihre PVS-Systeme oder medizinischen Geräte. Das schützt Sie vor versehentlicher oder absichtlicher Kompromittierung durch ein Gerät, das ein Besucher mitbringt. Die Einrichtung dauert wenige Minuten.

Patienten-WLAN (optional) Wenn Sie Patienten in Ihrer Praxis WLAN zur Verfügung stellen, nutzen Sie ein eigenes, vom medizinischen Netzwerk völlig getrenntes Patienten-WLAN. Dies hat dieselben Isolationseigenschaften wie das Gäste-WLAN.

Netzwerk für medizinische Geräte Smart-Home-Geräte, Netzwerkkameras, smarte Lautsprecher, Fernseher mit Internetanschluss, aber auch medizinische Geräte wie Blutdruckmessgeräte mit Netzwerkverbindung – all das sind potenzielle Schwachstellen. Viele IoT- und Medizingeräte werden jahrelang nicht mit Firmware-Updates versorgt, haben schwache Standardpasswörter und kommunizieren mit externen Servern, über die Sie keine Kontrolle haben. Isolieren Sie diese Geräte in einem eigenen WLAN-Segment, das keinen Zugriff auf Ihr Medizin-Netzwerk (PVS, TI-Konnektor, eHBA) hat.

TI-Konnektor-Netzwerk Der TI-Konnektor und die damit verbundenen eHBA-Systeme sollten in einem eigenen, besonders gesicherten Netzwerksegment betrieben werden – getrennt von allgemeinen Arbeitsgeräten und auf keinen Fall mit Gäste- oder Patienten-WLAN verbunden. Die KBV-Richtlinien und die Telematikinfrastruktur-Sicherheitsrichtlinien verlangen diese Segmentierung.

Bei einer Fritz!Box lässt sich das über separate Gastnetzwerke oder – für technisch Versiertere – über VLANs umsetzen. Das Prinzip ist einfach: Was nicht kommunizieren muss, soll nicht kommunizieren können.

Merksatz: Ihre medizinischen Geräte und der TI-Konnektor dürfen keinen Zugang zu Patientenwifi oder Gastnetzwerken haben. Trennen Sie die Netzwerke physisch und logisch.

DNS-Sicherheit: Wer beantwortet Ihre Anfragen?¶

Jedes Mal, wenn Sie eine Website aufrufen, stellt Ihr Gerät eine DNS-Anfrage: „Welche IP-Adresse hat diese Domain?" Die Antwort kommt in der Regel vom DNS-Server Ihres Internetproviders.

Das hat zwei Schwachstellen: Erstens sind herkömmliche DNS-Anfragen unverschlüsselt – ein Angreifer im Netz kann mitlesen, welche Domains Sie aufrufen. Zweitens kann ein kompromittierter oder manipulierter DNS-Server Sie auf eine gefälschte Website umleiten – auch wenn die URL in Ihrem Browser korrekt ist (DNS-Spoofing).

DNS-over-HTTPS (DoH) und DNS-over-TLS (DoT) Diese Protokolle verschlüsseln DNS-Anfragen, sodass sie für Dritte nicht lesbar sind. Viele moderne Browser (Firefox, Chrome) unterstützen DoH nativ. Alternativ können Sie auf Router-Ebene einen verschlüsselten DNS-Dienst eintragen:

Cloudflare (1.1.1.1): Schnell, datenschutzfreundliche Richtlinien, keine Protokollierung von Nutzer-IPs nach kurzer Zeit.
Quad9 (9.9.9.9): Gemeinnütziger Betreiber, Sitz in der Schweiz, blockt bekannte Schadsoftware-Domains automatisch.

DNS-Filtering als kostenloser Schutz Quad9 und ähnliche Dienste blocken automatisch DNS-Anfragen an bekannte Malware- und Phishing-Domains. Das ist ein einfacher, wartungsfreier Schutzlayer, der auf Router-Ebene für das gesamte Netz gilt – ohne Software auf jedem Gerät installieren zu müssen. Besonders für Praxen mit älteren oder verwalteten Geräten sinnvoll.

VPN: Schutz im fremden Netz und Zugriff auf Praxissysteme¶

Ein VPN (Virtual Private Network) verschlüsselt den gesamten Internetverkehr Ihres Geräts und leitet ihn über einen Zwischenserver. Das schützt Sie vor Abhören im lokalen Netz – besonders wichtig in öffentlichen WLANs (Cafés, Hotels, Coworking-Spaces).

Wann ein VPN sinnvoll ist: - Bei Arbeit in öffentlichen WLAN-Netzen - Beim Zugriff auf sensible Systeme (PVS, TI-Konnektor-Daten, Patientendaten) außerhalb des eigenen Praxisnetzes - Bei Nutzung von Hotspot-Verbindungen über fremde Netzwerke - Für Ärzte, die mobil oder an mehreren Standorten arbeiten

Wann ein VPN im Praxisnetzwerk weniger relevant ist: Im eigenen, gut gesicherten Praxisnetzwerk bringt ein kommerzieller VPN-Dienst wenig zusätzliche Sicherheit – der Verkehr ist bereits durch HTTPS verschlüsselt, und der VPN-Anbieter selbst ist eine neue Vertrauensstelle. Im Praxisnetzwerk ist die direkte Verbindung zum Provider in der Regel vertrauenswürdiger als die Weiterleitung über einen VPN-Anbieter.

VPN für den Zugriff auf das eigene Praxisnetz Eine andere VPN-Nutzung ist der verschlüsselte Fernzugriff auf das eigene Praxisnetzwerk – zum Beispiel auf den NAS, interne Systeme oder PVS-Daten von zu Hause. Hier betreiben Sie Ihren eigenen VPN-Server auf dem Router oder NAS (Fritz!Box unterstützt WireGuard, viele NAS-Systeme ebenfalls). Das ist sicherer als der Direktzugriff über offene Ports.

Kommerzielle VPN-Anbieter Wer einen kommerziellen VPN-Dienst nutzen möchte, sollte auf Anbieter mit nachgewiesener No-Log-Politik, transparenten Eigentümerstrukturen und unabhängigen Audits achten. Mullvad VPN (schwedischer Betreiber) und ProtonVPN (Schweiz, Betreiber von ProtonMail) gehören zu den in der Datenschutz-Community angesehenen Optionen. Viele günstige oder kostenlose VPN-Anbieter finanzieren sich durch den Verkauf von Nutzerdaten – das ist das Gegenteil von Schutz.

Portfreigaben und Angriffsfläche reduzieren¶

Jede offene Portweiterleitung im Router ist ein potenzieller Eintrittspunkt für Angreifer. Prüfen Sie regelmäßig, welche Portweiterleitungen in Ihrem Router eingerichtet sind, und entfernen Sie alle, die Sie nicht aktiv benötigen.

Bei einer Fritz!Box: fritz.box → Internet → Freigaben → Portfreigaben. Jeder Eintrag dort bedeutet: Anfragen aus dem Internet an diesem Port werden an ein Gerät in Ihrem Praxisnetz weitergeleitet. Wenn Sie nicht wissen, wozu eine Freigabe dient, ist das ein Zeichen, dass sie möglicherweise nicht mehr benötigt wird.

Besonders kritisch: Direkter RDP-Zugriff (Windows Remote Desktop) über das Internet ist eine der meistmissbrauchten Angriffsflächen. Wenn Sie Remote-Zugriff auf einen PVS-Rechner oder andere Praxiscomputer benötigen, nutzen Sie stattdessen einen VPN-Tunnel – und stellen RDP nur innerhalb des VPN zur Verfügung, nicht direkt aus dem Internet.

TI-Konnektor-Ports: Überprüfen Sie besonders sorgfältig, ob Ports für TI-Konnektor-Systeme weitergeleitet sind. Diese sollten unter keinen Umständen direkt aus dem Internet erreichbar sein.

Netzwerk-Inventar: Wissen Sie, was in Ihrem Netz ist?¶

Ein unterschätztes Sicherheitsproblem: Geräte, die im Netz aktiv sind, obwohl niemand mehr weiß, dass sie dort sind. Ein alter Drucker mit veralteter Firmware, ein Smart-TV, der seit Jahren keine Updates mehr bekommt, eine vergessene NAS-Box, ein altes PVS-Terminal.

Die meisten Router zeigen eine Liste aller verbundenen Geräte – bei der Fritz!Box unter fritz.box → Heimnetz → Netzwerk. Schauen Sie sich diese Liste einmal an: Erkennen Sie alle Geräte? Geräte, die Sie nicht kennen oder nicht mehr benötigen, sollten vom Netz genommen oder zumindest in das isolierte IoT-Segment verschoben werden.

Für Praxen mit PVS und medizinischen Geräten: Führen Sie ein Inventar aller Netzwerkgeräte und dokumentieren Sie, welche kritisch sind. Dies ist oft auch eine Anforderung von Praxis-Management-Systemen oder Datenschutz-Audits.