Zum Inhalt

Krisenmanagement Deep Dive

Die Krisenszenarien in Teil 7 geben konkrete Handlungsanweisungen für die ersten Stunden nach einem Vorfall. Dieser Deep Dive geht tiefer: Welche Strategien gibt es für das Krisenmanagement insgesamt? Wie gestalten Sie die Kommunikation mit Patienten professionell? An wen wenden Sie sich zur Unterstützung? Wann und wie melden Sie Datenpannen? Wie informieren Sie die KV bei laufenden Kassenabrechnung? Wie schalten Sie alternative Kommunikationskanäle, wenn Ihre primären Kanäle ausgefallen oder kompromittiert sind? Wie stellen Sie Ihr PVS-System sicher wieder her, ohne erneut infiziert zu werden? Und: Wie gehen Sie mit Ransomware-Erpressung und der Drohung um, Patientendaten im Darknet zu veröffentlichen?

Krisenmanagement als Haltung – nicht als Checkliste

Der häufigste Fehler im Krisenmanagement ist nicht das Fehlen eines Plans – sondern das Fehlen der Haltung, die einen Plan überhaupt nutzbar macht. Wer unter Stress in Panik verfällt, trifft schlechte Entscheidungen, macht Fehler und kommuniziert unklar. Wer gelernt hat, eine Krise als Problem zu behandeln, das lösbar ist, bleibt handlungsfähig.

Zwei Grundprinzipien helfen dabei:

Erstens: Trennung von Erkennen und Handeln. Die ersten Minuten nach einem Vorfall sind für Diagnose, nicht für Aktionismus. Netzwerkkabel ziehen ist eine Ausnahme – das sollte sofort passieren. Alles andere: erst verstehen, was passiert ist, bevor Sie handeln. Wer überstürzt handelt, zerstört möglicherweise Beweise, verschlimmert die Situation oder rennt in die falsche Richtung.

Zweitens: Dokumentation von Beginn an. Halten Sie von der ersten Minute an fest, was Sie wann getan haben, was Sie vorgefunden haben und welche Entscheidungen Sie getroffen haben. Diese Dokumentation ist dreifach wertvoll: für die Datenschutzbehörde (72-Stunden-Meldepflicht), für die Polizei (Strafanzeige), und für Sie selbst (Wiederanlauf, Versicherung, Nachbereitung).

Strategien im Krisenmanagement

Es gibt kein universelles Krisenmanagement-Modell – aber es gibt bewährte Phasen, die sich auf fast jeden IT-Vorfall in der Arztpraxis anwenden lassen.

Phase 1: Eindämmung (Containment)

Das erste Ziel ist nicht Wiederherstellung – sondern Schadensbegrenzung. Was nicht kompromittiert ist, muss es auch nicht werden.

  • Betroffenes Gerät/System sofort vom Netzwerk trennen (Ethernet-Kabel, WLAN, Bluetooth)
  • NAS und externe Backup-Festplatten trennen, sofern noch nicht verschlüsselt oder kompromittiert
  • Cloud-Synchronisation pausieren – damit lokal verschlüsselte Dateien nicht in die Cloud synchronisiert werden und dort die guten Versionen überschreiben
  • Zugangsdaten zu Cloud-Diensten und PVS von einem sauberen Gerät aus sofort ändern
  • TI-Konnektor: Physisch vom Netzwerk trennen (bei Bedarf mit IT-Dienstleister besprechen – kann Notfall-Auswirkungen haben)

Erst wenn die Ausbreitung gestoppt ist, beginnt die Analyse.

Phase 2: Analyse

Was ist passiert? Wie ist es passiert? Was ist betroffen?

  • Welche Systeme sind betroffen? (Arbeitsstation, Server, NAS, Cloud-Speicher, PVS?)
  • Welche Patientendaten lagen auf diesen Systemen – und sind darunter besonders sensible Daten (Befunde, Diagnosen, Medikationen)?
  • Gibt es Anzeichen für Datenabfluss (Exfiltration) – nicht nur Verschlüsselung, sondern auch Diebstahl?
  • Was ist das wahrscheinliche Einfallstor? (Phishing-Mail, unsichere RDP-Verbindung, veraltetes Plugin, infizierter USB-Stick, schwaches Passwort?)
  • War der Zugriff über den TI-Konnektor, über VPN, oder lokal?

Diese Fragen müssen nicht sofort vollständig beantwortet werden – aber sie müssen gestellt werden. Die Antworten bestimmen die nächsten Schritte und ob eine Datenschutz-Meldepflicht entsteht.

Phase 3: Kommunikation

Parallel zur Eindämmung und Analyse beginnt die Kommunikation – intern (mit dem Praxis-Team, mit Ihrem IT-Dienstleister, mit Ihrer Cyber-Versicherung) und extern (Behörden, Patienten, KV). Mehr dazu in den folgenden Abschnitten.

Phase 4: Wiederherstellung

Wiederherstellung beginnt erst, wenn Eindämmung und Analyse abgeschlossen sind und das Einfallstor geschlossen ist. Überstürzter Wiederanlauf auf einem nicht bereinigten System ist eine der häufigsten Ursachen für Folgeinfektionen. Mehr dazu im Abschnitt Sichere Wiederherstellung aus Backups.

Besonderheit Arztpraxis: Klären Sie mit Ihrem IT-Dienstleister und mit der KV, welche Systeme Priorität haben (Notfall-Funktionen der PVS, TI-Verbindung für Kassenabrechnung).

Phase 5: Nachbereitung

Nach jeder Krise – auch einer kleineren – lohnt sich eine ehrliche Retrospektive: Was hat funktioniert? Was hat versagt? Was wäre fast schiefgelaufen? Welche Lücken im Notfallplan hat die Krise aufgedeckt? Diese Erkenntnisse fließen in eine Aktualisierung des Notfallplans ein.

Unterstützung von außen – wer hilft wann?

Als Arztpraxis haben Sie – anders als größere Krankenhäuser – keine IT-Abteilung und kein Incident-Response-Team. Das bedeutet nicht, dass Sie auf Unterstützung verzichten müssen. Es bedeutet, dass Sie wissen müssen, wen Sie rufst.

BSI – Bundesamt für Sicherheit in der Informationstechnik

Das BSI ist die zentrale Behörde für IT-Sicherheit in Deutschland. Es bietet kostenloses Informationsmaterial, Handlungsempfehlungen und im Fall größerer Vorfälle auch direkte Unterstützung.

Was das BSI für Sie tun kann: - Informationen und Handlungsempfehlungen zu aktuellen Bedrohungen (bsi.bund.de) - Der BSI-Leitfaden „IT-Grundschutz" – zwar primär für Behörden und Unternehmen konzipiert, enthält aber auch für Praxen nützliche Prüfrahmen - Bei Ransomware: bsi.bund.de/ransomware enthält aktuelle Hinweise und Verweise auf Entschlüsselungstools

Was das BSI nicht tut: Das BSI kommt nicht in Ihre Praxis und hilft Ihnen, Ihr System zu bereinigen. Für operative Unterstützung brauchen Sie einen IT-Dienstleister.

Tipp: Registrieren Sie sich für den BSI-Newsletter und die Warnmeldungen – so erfahren Sie zeitnah von aktuellen Bedrohungen und Sicherheitslücken, die auch Ihr PVS-System betreffen können.

Polizei / Landeskriminalamt (LKA)

Jeder IT-Sicherheitsvorfall, bei dem ein Angriff von außen stattgefunden hat, ist eine Straftat. Ransomware, Datendiebstahl, Account-Übernahme – das sind keine Pechfälle, sondern Verbrechen. Eine Strafanzeige ist sinnvoll, auch wenn die Täter selten gefasst werden.

Warum Anzeige trotzdem wichtig ist: - Voraussetzung für Versicherungsleistungen (Cyber-Versicherung verlangt in der Regel eine Strafanzeige) - Erzeugt eine Dokumentation des Vorfalls mit Aktenzeichen - Trägt zur Statistik bei, die für die Ressourcenplanung der Behörden genutzt wird - In seltenen Fällen werden Täter gefasst und Daten wiederhergestellt

Wohin: Zunächst zur nächsten Polizeidienststelle für die Anzeigenerstattung. Für Cyberkriminalität spezialisiert sind die Zentralen Ansprechstellen Cybercrime (ZAC) der Landeskriminalämter – jedes Bundesland hat eine eigene ZAC. Die Kontaktdaten findest du über die Website Ihres Landeskriminalamts.

Was mitbringen: Zeitpunkt der Entdeckung, betroffene Systeme, Screenshot oder Foto der Ransomware-Nachricht (falls vorhanden), alle technischen Hinweise auf das Einfallstor, betroffene Patientenzahl und Art der Daten.

KV – Kassenärztliche Vereinigung

Die KV muss bei längeren IT-Ausfällen informiert werden, die die Kassenabrechnung betreffen – insbesondere wenn die PVS nicht erreichbar ist.

Was die KV für Sie tun kann: - Information über Notfallproceduren bei PVS-Ausfall - Klärung von Abrechnung und Fristen bei längerer Ausfallzeit - Ggf. Genehmigung von Ausnahmeregelungen (z. B. handschriftliche Aufzeichnungen statt PVS)

Wann Sie die KV informieren sollten: - Ausfallzeit länger als 24 Stunden und Kassenabrechnung betroffen - Sicherheitsvorfall mit möglichem Datendiebstahl von Patientendaten - Notwendigkeit von Ausnahme-Abrechnungsregeln

Datenschutzbehörde (Landesdatenschutzbeauftragte)

Wenn personenbezogene Daten – also praktisch alle Patientendaten – von einem Vorfall betroffen sind, greift die Meldepflicht nach Art. 33 DSGVO. Mehr dazu im Abschnitt Datenschutzmeldepflichten im Krisenfall.

IT-Dienstleister / Incident-Response-Spezialisten

Für die operative Bereinigung und Wiederherstellung brauchen Sie einen IT-Fachmann oder -frau, der Erfahrung mit Sicherheitsvorfällen hat – besonders im Gesundheitswesen. Das ist nicht jeder IT-Dienstleister – ein normaler IT-Techniker, der Drucker einrichtet, ist für Ransomware-Bereinigung nicht ausgerüstet.

Worauf Sie achten sollten: - Erfahrung mit Incident Response, besonders bei PVS-Systemen - Vertrautheit mit TI-Infrastruktur und gematik-Standards - Referenzen von anderen Arztpraxen oder MVZ - Festpreis oder Stundensatz im Voraus klären - Im Krisenfall ist der Preisdruck groß – gute Entscheidungen brauchen ein ruhiges Gespräch

Idealfall: Sie haben einen IT-Dienstleister Ihres Vertrauens, bevor die Krise eintritt. Er kennt Ihre Infrastruktur und kann im Ernstfall schnell handeln.

Cyber-Versicherung

Falls Sie eine Cyber-Versicherung haben – informieren Sie sie sofort. Die meisten Cyber-Versicherungen bieten als Teil der Versicherungsleistung eine 24/7-Hotline und vermitteln Incident-Response-Dienstleister. Das ist einer der Hauptvorteile einer Cyber-Versicherung: nicht nur die finanzielle Absicherung, sondern der sofortige Zugang zu Experten.

Datenschutzmeldepflichten im Krisenfall

Eine vollständige Erklärung der DSGVO-Meldepflichten findet sich in Teil 4. Hier die praxisrelevante Kurzfassung für den Krisenfall.

Die zentrale Frage: Sind personenbezogene Daten – insbesondere Gesundheitsdaten – von dem Vorfall betroffen?

Wenn ja: Es ist eine Datenpanne im Sinne von Art. 33 DSGVO – unabhängig davon, ob die Daten gestohlen wurden oder „nur" verloren gegangen oder unzugänglich sind.

72-Stunden-Frist (Art. 33 DSGVO): Meldung an die zuständige Landesdatenschutzbehörde (der Bundesland, in dem sich Ihre Praxis befindet), wenn die Datenpanne voraussichtlich ein Risiko für betroffene Personen (Patienten) darstellt. Die Frist beginnt mit dem Zeitpunkt, zu dem Sie von der Panne Kenntnis erlangt haben – nicht mit dem Zeitpunkt des Angriffs. Die Meldung kann stufenweise erfolgen, wenn nicht alle Informationen sofort vorliegen.

Was in die Meldung gehört: - Art des Vorfalls (Ransomware, Datendiebstahl, Hardwareausfalk, etc.) - Betroffene Datenkategorien (z. B. Diagnose-Codes, Medikationshistorie, Patientenstammdaten) und geschätzte Anzahl betroffener Patienten - Wahrscheinliche Folgen für die Patienten - Ergriffene und geplante Gegenmaßnahmen - Kontaktdaten des Verantwortlichen (Sie/Ihre Praxis) und ggf. des Datenschutzbeauftragten

Besonderheit für Gesundheitsdaten: Art. 9 DSGVO klassifiziert Gesundheitsdaten als besondere Kategorien. Eine Datenpanne mit Gesundheitsdaten wird behördenübergreifend ernster genommen.

Meldung an Betroffene (Art. 34 DSGVO): Wenn ein hohes Risiko für die betroffenen Patienten besteht – etwa weil unverschlüsselte Gesundheitsdaten, Bankverbindungen oder umfangreiche Patientendaten abgeflossen sind –, müssen Sie die Patienten direkt informieren. Formulierung: klar, verständlich, ohne Verharmlosung, mit konkreten Hinweisen, was die Patienten selbst tun können.

Wann entfällt die Meldepflicht an Betroffene: Wenn die kompromittierten Daten vollständig verschlüsselt waren und der Schlüssel nicht kompromittiert wurde. Das ist das konkrete Argument dafür, alle Daten zu verschlüsseln – es schützt nicht nur die Daten, sondern auch Sie vor einer aufwendigen Benachrichtigungspflicht.

Kontaktdaten der Behörden: Die zuständige Datenschutzbehörde richtet sich nach Ihrem Praxissitz. Eine Übersicht aller Landesdatenschutzbehörden findet sich unter bfdi.bund.de. Diese Kontaktdaten gehören in Ihr Notfalldokument – nicht erst im Krisenfall suchen.

Patienten-Kommunikation in der Krise

Schlechte Patienten-Kommunikation in einer Krise richtet oft mehr Schaden an als die Krise selbst. Patienten, die zu spät, zu vage oder gar nicht informiert werden, verlieren das Vertrauen dauerhaft. Patienten, die früh, ehrlich und klar informiert werden, reagieren in der Regel verständnisvoll.

Grundprinzipien

Proaktiv, nicht reaktiv. Informieren Sie Patienten, bevor Sie selbst merken, dass etwas nicht stimmt. Wer von einem Patienten angerufen wird, weil dessen Daten im Darknet auftauchen, hat die Initiative verloren.

Ehrlich, nicht verharmlosend. „Wir haben einen technischen Vorfall" ist keine ausreichende Information. Patienten verdienen zu wissen, was passiert ist, was das für sie bedeutet und was Sie dagegen tun.

Konkret, nicht allgemein. Welche Daten könnten betroffen sein? Welche nicht? Was sollen die Patienten konkret tun? Klare Antworten auf diese Fragen schaffen Vertrauen.

Schnell, nicht perfekt. Im Krisenfall ist eine schnelle, ehrliche Erstinformation besser als eine perfekt formulierte Nachricht, die zwei Tage zu spät kommt.

Was in die erste Patientenmitteilung gehört

  1. Was ist passiert – sachlich und ohne übertriebene technische Details
  2. Welche Patientendaten könnten betroffen sein – konkret benennen, was Sie wissen und was Sie (noch) nicht wissen
  3. Was Sie bereits unternommen haben – welche Schritte Sie eingeleitet haben
  4. Was der Patient tun sollte – falls seine eigene Handlung erforderlich ist (z. B. auf verdächtige Aktivitäten achten, verdächtige Zahlungen prüfen)
  5. Wie er sich informieren kann – wo er Updates bekommt, wen er bei Fragen kontaktieren kann
  6. Wann Sie das nächste Update geben – konkrete Zeitangabe, auch wenn Sie dann nur mitteilen können, dass die Situation noch andauert

Ton und Formulierung

Kein Juristendeutsch. Kein Kleinreden. Kein Abschieben von Verantwortung. Patienten spüren, ob jemand die Verantwortung übernimmt oder sich duckt. Ein klares „Ich übernehme die Verantwortung für diesen Vorfall und arbeite an der Lösung" wirkt besser als zehn Seiten mit Haftungsausschlüssen.

Wenn Patienten-Daten möglicherweise im Darknet gelandet sind: Sagen Sie das. Nicht mit Panik, aber klar. Informieren Sie die Patienten, was sie konkret tun können – Passwörter bei anderen Diensten ändern, falls sie dasselbe Passwort auch dort nutzen, Kontoauszüge auf unbekannte Transaktionen prüfen.

Ausfallmanagement – wenn Ihre PVS nicht erreichbar ist

Eines der gefährlichsten Szenarien für eine Arztpraxis: Ihre PVS ist nicht erreichbar – sei es durch Ransomware, durch Hardwareausfall, oder durch Netzwerkprobleme. Patienten stehen vor der Tür. Die Kassenabrechnung läuft. Sie müssen entscheiden: Wie läuft die Praxis weiter?

Notfall-Funktionen bewahren

Papiergebundene Workflows: Halten Sie im Krisenfall Papierformulare bereit: - Patientenstammdatenblatt (Name, Geburtsdatum, Versicherungsdaten) - Behandlungsnotizen-Vorlage (Datum, Symptome, Befunde, Diagnose, Therapie) - Rezept-Vorlagen (Muster 16 oder manuell ausgestellt) - Arbeitsunfähigkeits-Bescheinigung (Muster 1)

Notfall-Telefonnummern: Halten Sie Kontaktdaten bereit für: - Labore (für Anforderungen und Befundrückfragen) - Überweisungs-Partner und Fachkliniken - Apotheken (für Notfall-Verordnungen) - KV des Bundeslandes (für Abrechnung und Genehmigungen)

Offline-Patientenliste: Exportieren Sie regelmäßig eine Liste Ihrer regelmäßigen Patienten – Name, Geburtsdatum, Versicherungsdaten, Allergien, Dauermedikation. Speichern Sie diese Liste offline: ausgedruckt oder auf einem verschlüsselten USB-Stick, der nicht mit Ihrem Primärsystem verbunden ist. Im Krisenfall, wenn Ihre PVS nicht erreichbar ist, ist diese Liste Gold wert.

Kassenabrechnung bei Ausfall

Wenn Ihre PVS länger als 24 Stunden nicht erreichbar ist, müssen Sie die KV informieren:

  • Kontaktieren Sie die KV – teilen Sie mit, dass Sie einen technischen Ausfall haben und voraussichtlich nicht rechtzeitig abrechnen können
  • Klären Sie mit der KV, wie Sie vorgehen: Manche KVen akzeptieren handschriftliche Aufzeichnungen oder eine Verzögerung der Abrechnung
  • Dokumentieren Sie Ihre Leistungen analog: Datum, Patientenstammdaten, Diagnose-Code (ICD-10), durchgeführte Leistungen (KODI), Behandlungsgrund. Diese Dokumentation ist notwendig für die spätere elektronische Abrechnung
  • Beachten Sie Abrechnungsfristen: Kassenabrechnung muss regelmäßig erfolgen – eine längere Ausfallzeit kann zu Einnahmeausfällen führen

Notfall-Therapie

Für Patienten mit laufender Dauermedikation: - Rezepte werden weiterhin ausgestellt – notfalls handschriftlich (Muster 16) - Dauermedikationen weitergeben, wo möglich (unter Dokumentation für spätere Abrechnung) - Absprache mit Apotheken: Informieren Sie Ihre Apotheken-Partner, dass Sie eventuell vorübergehend manuell verschreiben

Alternative Kommunikationskanäle wenn die primären Kanäle ausgefallen sind

Eines der gefährlichsten Szenarien: Ihre E-Mail ist kompromittiert oder gesperrt. Ihre Website ist nicht erreichbar. Ihre PVS ist offline. Sie können Ihre Patienten nicht kontaktieren – und sie können Sie nicht erreichen.

Vorbereitungsmaßnahmen

Eine zweite E-Mail-Adresse bei einem anderen Anbieter. Sie kostet nichts (Posteo ab 1 €/Monat, oder eine kostenlose Adresse bei mailbox.org) und liegt bei einem vollständig anderen Anbieter. Im Krisenfall ist sie sofort verfügbar.

Eine Notfall-Telefonnummer auf Ihrer Website und in Ihren Aushängen. Wenn alles andere ausfällt, funktioniert das Telefon noch. Patienten, die Ihre Nummer haben, können Sie erreichen.

Offline-Patientenliste. Siehe oben.

Offline-Kontaktliste für Partner: Überweisungs-Ärzte, Labore, Kliniken – mit Telefonnummern und Ansprechpersonen. Im Krisenfall, wenn Ihre E-Mail nicht funktioniert, ist eine Telefonnummer Gold wert.

Im Krisenfall: Kanal-Alternativen

SMS oder Messenger. Wenn E-Mail nicht funktioniert, ist eine SMS oder eine Nachricht über Signal/WhatsApp der schnellste Weg. Patienten reagieren auf direkte Nachrichten schneller als auf E-Mails.

Telefonische Direktkommunikation. Für die wichtigsten Patienten und laufende Behandlungen: direkter Anruf. Unbequem, aber wirkungsvoll. Und er signalisiert Ernsthaftigkeit.

Temporäre Ersatz-Website. Wenn Ihre Hauptdomain ausgefallen ist, können Sie innerhalb von Minuten eine einfache statische Seite unter einer anderen Domain aufsetzen – bei Diensten wie GitHub Pages oder einem einfachen Hoster. Eine Seite mit Ihrer Notfall-E-Mail-Adresse, Ihrer Telefonnummer und einer kurzen Erklärung reicht. Die Adresse dieser Ersatzseite vorab kommunizieren – auf Ihrer normalen Website verlinken und in der E-Mail-Signatur erwähnen.

Praxis-Aushang. Ein Papier-Aushang vor der Praxis mit Ihrer Notfall-Telefonnummer kann vielen Patienten in der Sofort-Information helfen.

Sicherheit bei alternativen Kanälen

Ein wichtiger Aspekt: Kriminelle nutzen Krisen aus. Wenn bekannt wird, dass Sie Opfer eines Angriffs geworden sind, versuchen Angreifer manchmal, sich als Sie auszugeben und Ihre Patienten zu kontaktieren – mit gefälschten Zahlungsaufforderungen, mit der Bitte um Datenbestätigung, oder mit Schadsoftware-Links.

Informieren Sie Ihre Patienten deshalb ausdrücklich darüber, über welche Kanäle Sie sie kontaktieren – und dass sie misstrauisch sein sollen, wenn sie über andere Kanäle von jemandem kontaktiert werden, der vorgibt, Sie/Ihre Praxis zu sein.

Sichere Wiederherstellung aus Backups – ohne erneute Infektion

Das größte Risiko beim Zurückspielen von Backups: Sie spielen das Backup ein – und holen dabei die Schadsoftware gleich mit zurück.

Das Zeitfenster-Problem

Ransomware und andere Schadsoftware ist oft tagelang oder wochenlang auf einem System aktiv, bevor sie sich bemerkbar macht. Die Schadsoftware liegt still, erkundet das System, stiehlt Daten – und schlägt erst dann zu, wenn der Angriff strategisch optimal ist. Das bedeutet: Ein Backup vom Vortag kann bereits infiziert sein.

Wie weit zurückgehen? Als Faustregel: mindestens 2–4 Wochen vor dem ersten Anzeichen der Infektion. Falls Sie nicht wissen, wann die Infektion begann, müssen Sie das Einfallstor analysieren – Systemlogs, E-Mail-History – um den frühestmöglichen Infektionszeitpunkt einzuschätzen.

Der sichere Wiederherstellungsprozess

Schritt 1: Gerät/System vollständig neu aufsetzen Kein „Bereinigen" des infizierten Systems. Kein Antivirus-Scan, der die Schadsoftware „entfernt". Das einzige sichere Vorgehen ist: Festplatte formatieren, Betriebssystem neu installieren, alle Updates einspielen, bevor irgendwelche Daten zurückgespielt werden.

Schritt 2: PVS-System neu aufsetzen und aktualisieren Falls das PVS-System betroffen war: Vollständige Neuinstallation vom Hersteller (Backup der Installation vom bekannt-guten Stand). Alle Patches und Updates des PVS einspielen. Von Ihrem PVS-Anbieter bestätigen lassen, dass das System sauber ist.

Schritt 3: Backup vor dem Zurückspielen prüfen Bevor Backup-Daten auf das neu aufgesetzte System kopiert werden, prüfen Sie sie auf einem isolierten System oder mit einem aktuellen Virenscanner, der nicht Teil des kompromittierten Systems war. Ein Virenscanner auf einem infizierten System kann die Schadsoftware nicht zuverlässig erkennen – er könnte selbst kompromittiert sein.

Schritt 4: Daten schrittweise zurückspielen, nicht en bloc Spielen Sie zuerst die Daten zurück, die Sie dringend brauchen. Prüfen Sie das System nach jedem Schritt. Wenn Sie alles auf einmal zurückspielten und die Infektion erneut auftritt, wissen Sie nicht, welche Datei die Ursache war.

Schritt 5: Einfallstor schließen, bevor Sie online gehen Bevor das neu aufgesetzte System mit dem Internet verbunden wird: Das Einfallstor muss bekannt und geschlossen sein. Wenn der Angriff über veraltete Software kam – diese Software entweder aktualisieren oder nicht wieder installieren. Wenn der Angriff über kompromittierte Zugangsdaten kam – alle Passwörter ändern, bevor das System online geht.

Schritt 6: TI-Verbindung neu authentifizieren Falls Ihr System über die TI (Telematik-Infrastruktur) mit eHBA oder Konnektor verbunden war: Authentifizierung neu überprüfen und ggf. neu konfigurieren. Mit Ihrem IT-Dienstleister und mit dem TI-Betreiber absprechen.

Schritt 7: Passwörter auf einem anderen Gerät ändern Die Zugangsdaten, die auf dem infizierten System gespeichert waren, müssen als kompromittiert gelten – auch wenn Ransomware „nur" verschlüsselt hat und nicht sichtbar gestohlen hat. Moderne Ransomware exfiltriert in der Regel Daten, bevor sie verschlüsselt. Ändern Sie alle Passwörter von einem sauberen Gerät aus, bevor das wiederhergestellte System zum Einsatz kommt.

Schritt 8: Offline-Backup für die Wiederherstellung verwenden Backups, die mit dem kompromittierten System synchronisiert wurden, könnten ebenfalls Schadsoftware enthalten. Das ist der konkrete Grund für die 3-2-1-1-0-Regel mit einer Offline-Kopie: Ein Backup, das nie mit dem infizierten System verbunden war, ist das einzige, dem Sie im Wiederherstellungsfall wirklich vertrauen können.

Ransomware und Erpressung – die kritischen Entscheidungen

Zahlen oder nicht zahlen?

Die klare Empfehlung aller Behörden – BSI, BKA, Europol, FBI – lautet: Nicht zahlen.

Die Gründe: - Zahlung garantiert keine Entschlüsselung. Kriminelle sind nicht vertragsgebunden. - Zahlung macht Sie zum bekannten Zahler und damit zum wiederholten Ziel. - Zahlung finanziert weitere kriminelle Aktivitäten. - In manchen Fällen ist der Entschlüsselungsschlüssel ohnehin defekt – selbst nach Zahlung bleiben die Dateien unlesbar. - Manche Ransomware-Varianten haben kostenlose Entschlüsselungstools – prüfen Sie nomoreransom.org, bevor Sie irgendeine Entscheidung treffen.

Es gibt Ausnahmesituationen, in denen größere Einrichtungen zahlen – etwa wenn Menschenleben auf dem Spiel stehen (Krankenhäuser) oder wenn die Aufgabe die einzige Alternative wäre. Für eine Arztpraxis ist das in der Regel nicht der Fall, wenn Backups existieren.

Der Kontakt mit den Erpressern

Kommunizieren Sie nicht mit den Erpressern, ohne vorher rechtlichen Rat eingeholt zu haben. Jede Kommunikation kann Ihre rechtliche Position beeinflussen. Insbesondere: Keine Zahlungszusagen, keine Verhandlungen über die Lösegeldhöhe, keine Preisgabe von Informationen über Ihre Datenlage oder Versicherungssituation.

Falls Sie doch kommunizieren: Dokumentieren Sie jeden Austausch vollständig. Diese Dokumentation ist für Strafverfolgungsbehörden wertvoll.

Die Drohung mit Veröffentlichung im Darknet

Moderne Ransomware-Angriffe folgen oft einem doppelten Erpressungsschema (Double Extortion): Die Dateien werden verschlüsselt und gestohlen. Die Erpresser drohen dann, die gestohlenen Patientendaten im Darknet zu veröffentlichen, wenn nicht gezahlt wird. Das ist eine andere Qualität als reine Dateiverschlüsselung – weil sie nicht durch Backup-Wiederherstellung gelöst werden kann.

Was tun, wenn mit Darknet-Veröffentlichung gedroht wird:

Erstens: Die Drohung ernst nehmen, aber nicht in Panik verfallen. Nicht alle Drohungen werden umgesetzt – Erpresser haben ein Interesse daran, dass Sie zahlen, nicht daran, Ihre Daten zu veröffentlichen.

Zweitens: Sofort rechtlichen Rat einholen. Ein auf IT-Recht und Datenschutz spezialisierter Anwalt kann einschätzen, welche rechtlichen Optionen bestehen und wie die Kommunikation mit den Erpressern gestaltet werden sollte.

Drittens: Die Datenschutz-Meldepflicht auslösen. Wenn Patientendaten gestohlen wurden – und eine glaubhafte Drohung zur Veröffentlichung das nahelegt –, greift Art. 33 DSGVO. Die 72-Stunden-Frist läuft ab dem Zeitpunkt, zu dem Sie Kenntnis von der möglichen Datenpanne hatten.

Viertens: Betroffene Patienten informieren, wenn ein hohes Risiko besteht. Das ist rechtlich geboten (Art. 34 DSGVO) und auch im eigenen Interesse – Patienten, die durch eine Nachricht von Ihnen informiert werden, reagieren anders als Patienten, die ihre Daten selbst im Darknet entdecken.

Fünftens: Die Strafanzeige erstatten. Die ZAC der Landeskriminalämter hat Erfahrung mit Double-Extortion-Fällen. Eine Anzeige verhindert zwar nicht die Veröffentlichung, schafft aber eine offizielle Dokumentation und kann in manchen Fällen zu einer Festnahme der Täter führen.

Sechstens: Zahlung ist auch hier keine verlässliche Lösung. Es gibt keine Garantie, dass gestohlene Daten nach Zahlung tatsächlich gelöscht werden. Erpresser, die einmal zahlende Opfer gefunden haben, kommen erfahrungsgemäß zurück.

Darknet-Monitoring

Es gibt Dienste, die das Darknet nach gestohlenen Datensätzen durchsuchen und Alarm geben, wenn eigene Daten auftauchen. Für eine Arztpraxis ist das in der Regel kein regelmäßiges Monitoring wert – aber im Krisenfall, wenn ein Datendiebstahl vermutet wird, können spezialisierte Dienstleister einmalig prüfen, ob Daten bereits kursieren. Das BSI und die ZAC können entsprechende Hinweise geben.

Checkliste: Krisenmanagement für Arztpraxen

Vorbereitung (jetzt, nicht im Notfall)

  • Kontaktdaten der zuständigen Landesdatenschutzbehörde sind im Notfalldokument.
  • Kontaktdaten der ZAC meines Bundeslandes sind im Notfalldokument.
  • Kontaktdaten der KV meines Bundeslandes sind im Notfalldokument.
  • BSI-Warnmeldungen sind abonniert (bsi.bund.de).
  • Ein IT-Dienstleister mit Incident-Response-Erfahrung und PVS-Kenntnissen ist identifiziert und seine Nummer im Notfalldokument.
  • Ein auf Medizinrecht spezialisierter Anwalt ist identifiziert, falls Datenschutz-Fragen auftauchen.
  • Eine zweite E-Mail-Adresse bei einem anderen Anbieter ist eingerichtet.
  • Eine Offline-Patientenliste (Name, Geburtsdatum, Versicherungsdaten, Allergien, Dauermedikation) ist aktuell und offline verfügbar.
  • Offline-Kontaktliste für Partner (Überweisungs-Ärzte, Labore, Kliniken) mit Telefonnummern ist vorhanden.
  • Meine Praxis-Telefonnummer ist auf meiner Website und in Aushängen prominent platziert.
  • Papierformulare für Notfallbetrieb (Patientenerfassung, Rezepte, Arbeitsunfähigkeit) sind vorgehalten.
  • Mein aktuellstes Backup liegt offline – nicht synchronisiert mit dem Primärsystem.
  • Cyber-Versicherung ist vorhanden; Notfall-Hotline ist im Notfalldokument eingetragen.

Im Krisenfall – Sofortmaßnahmen

  • Betroffenes Gerät/System sofort vom Netz getrennt (Ethernet, WLAN, Bluetooth).
  • Bei Bedarf TI-Konnektor vom Netzwerk trennen (mit IT-Dienstleister absprechen).
  • Cloud-Synchronisation von anderen Geräten pausiert.
  • Dokumentation des Vorfalls gestartet (was, wann, was getan).
  • Analyse: Welche Patientendaten sind betroffen? (Diagnosen, Medikationen, Stammdaten?)
  • IT-Dienstleister informiert.
  • Datenschutzbehörde informiert, wenn Datenpanne vorliegt (72-Stunden-Frist, Art. 33 DSGVO).
  • KV informiert, falls PVS betroffen oder Kassenabrechnung beeinträchtigt.
  • Strafanzeige erstattet (Aktenzeichen notieren).
  • Cyber-Versicherung informiert.
  • Betroffene Patienten informiert – proaktiv, ehrlich, konkret.
  • Passwörter von einem sauberen Gerät aus geändert.
  • Notfallbetrieb mit Papierformularen gestartet.

Bei Ransomware zusätzlich

  • nomoreransom.org geprüft – gibt es ein kostenloses Entschlüsselungstool?
  • Nicht gezahlt ohne vorherigen rechtlichen Rat.
  • Kommunikation mit Erpressern dokumentiert.
  • Bei Double-Extortion-Drohung: Anwalt und ZAC kontaktiert.

Wiederherstellung

  • Einfallstor identifiziert und geschlossen, bevor das System wieder online geht.
  • System/PVS vollständig neu aufgesetzt – kein Bereinigen ohne Neuinstallation.
  • PVS vom Hersteller bestätigt „sauber" und aktuell.
  • Backup aus dem Zeitraum vor der Infektion verwendet (mindestens 2-4 Wochen zurück).
  • Backup vor dem Zurückspielen auf Schadsoftware geprüft.
  • TI-Authentifizierung (eHBA/Konnektor) neu überprüft und ggf. neu konfiguriert.
  • Alle Passwörter geändert, bevor das System produktiv genutzt wird.
  • Kassenpatienten und KV über Wiederaufnahme informiert.
  • Verspätete Abrechnungsdaten mit KV klären.