Zum Inhalt

Wie du dieses Buch nutzt

Mindset: Warum IT-Sicherheit vernachlässigt wird – und wie Sie das ändern

Bevor die Technologie kommt, kommt die Haltung. Und die richtige Haltung ist der Anfang für alles andere.

Die drei Irrtümer im Praxisalltag

In Ihrem Arbeitsalltag werden Sie regelmäßig mit diesen Sätzen konfrontiert:

Irrtum 1: "Das macht unser IT-Dienstleister. Der kümmert sich darum."

Das ist beruhigend. Es ist aber falsch. Ja, ein guter IT-Dienstleister setzt die Sicherheitsmaßnahmen technisch um. Aber er trägt nicht die Verantwortung für die Praxis. Sie tun das. Die Ärztliche Schweigepflicht nach § 203 StGB ist eine persönliche Pflicht – Sie als Praxisinhaber oder Leitender Arzt haften dafür, dass Patientendaten geschützt sind. Das gilt auch, wenn Sie die technische Umsetzung outgesourct haben. Wenn Ihr IT-Dienstleister schlecht arbeitet und das zu einem Datenleck führt, können Sie nicht sagen: "Der ist schuld." Sie sind schuld – weil Sie die Verantwortung haben zu überprüfen, dass er gut arbeitet.

Ein Vergleich hilft: Wenn Sie Ihr Auto zur Reparatur geben und der Mechaniker macht einen Fehler, der zu einem Unfall führt, können Sie nicht sagen: "Das ist sein Problem." Nein – Sie haften, weil Sie die Kontrolle haben.

Irrtum 2: "Uns passiert das nicht. Kleine Praxen werden nicht gehackt."

Das ist einer der gefährlichsten Irrtümer. Es ist auch statistisch falsch. Die Zahl der Ransomware-Angriffe auf Arztpraxen ist in den letzten Jahren dramatisch gestiegen – gerade auf mittlere und kleine Praxen. Warum? Weil große Unternehmen oft gut geschützt sind. Kleine Praxen wirken wie ein leichtes Ziel. Ein unverschlüsselter Server, ein schwaches Passwort, veraltete Software – und schon ist eine Praxis ein Ransomware-Opfer.

Das heißt nicht, dass Sie paranoid werden sollen. Es heißt nur: Der Gedanke, Ihnen könne das nicht passieren, ist naiv. Es kann jeder passieren.

Irrtum 3: "Wir haben schon immer so gemacht – und es ist gut gegangen."

Das ist ein Überlebensirrtum. Ja, es ist gut gegangen – bisher. Das bedeutet aber nicht, dass es sicher ist. Ein Auto ohne Airbags ist auch 50 Jahre gut gegangen – bis zum ersten ernsthaften Unfall. Die Digitalisierung in Arztpraxen ist noch neu. Die Angriffe werden raffinierter. Die rechtlichen Anforderungen verschärfen sich. "Das haben wir immer so gemacht" ist keine Sicherheitsstrategie.

Die wahren Gründe, warum IT-Sicherheit vernachlässigt wird

Wenn diese drei Irrtümer so verbreitet sind, liegt das nicht daran, dass Ärzte dumm sind. Es liegt an realen Gründen:

Zeitmangel: Sie haben einen vollen Praxisalltag. Patienten sehen, Dokumentation, Administration. IT-Sicherheit fühlt sich wie noch eine Aufgabe an, für die Sie keine Zeit haben. Das ist verständlich.

Abstrakte Gefahr: Sie können das Risiko nicht anfassen. Ein Patient mit Herzinfarkt ist eine konkrete Gefahr. Ein mögliches Datenleck ist etwas, das vielleicht passiert, vielleicht nicht. Das menschliche Hirn reagiert auf unmittelbare Bedrohungen, nicht auf statistische Wahrscheinlichkeiten.

Verantwortung delegiert: Sie haben einen IT-Dienstleister. Sie haben eine Praxissoftware. Sie vertrauen darauf, dass diese sich kümmern. Das ist menschlich – und teilweise sinnvoll. Aber es ist auch gefährlich, wenn Sie dabei Ihre eigene Verantwortung aus den Augen verlieren.

Kein unmittelbarer Nutzen: Wenn Sie einen neuen EKG-Monitor kaufen, können Sie sehen, dass die Patienten davon profitieren. Wenn Sie Ihre Festplatte verschlüsseln, passiert erst mal nichts – außer dass alles langsamer wird. Der Nutzen ist unsichtbar.

Kostengefühl: Sicherheitsmaßnahmen kosten Geld. Oft ist unklar, welche Maßnahmen notwendig sind und welche rausgeworfen Geld sind. Hinzu kommt, dass manche IT-Dienstleister mit Angst verkaufen und überdimensionierte Lösungen anbieten.

Das alles ist nachvollziehbar. Aber es ist kein Grund, es nicht zu ändern.

Die richtige Haltung: IT-Sicherheit ist Teil der ärztlichen Sorgfaltspflicht

Hier ist der Perspektivwechsel: IT-Sicherheit in der Arztpraxis ist kein IT-Problem. Es ist ein ärztliches Problem.

Sie sind Arzt oder Ärztin. Das bedeutet, Sie haben Patienten, die Ihnen ihre Geheimnisse anvertrauen. Sie vertrauen Ihnen mit ihrer Gesundheit, mit ihren Diagnosen, mit vertraulichen Informationen. Sie vertrauen Ihnen – und im Gegenzug haben Sie die Pflicht, dieses Vertrauen zu schützen.

Das ist nicht nur eine moralische Pflicht. Es ist eine rechtliche Pflicht, verankert in § 203 StGB: Die ärztliche Schweigepflicht ist Strafrecht. Und sie gilt nicht nur für aktive Handlungen – sie gilt auch für Unterlassen. Wenn Sie fahrlässig zulassen, dass Patientendaten nach außen dringen, weil Sie Ihre IT-Infrastruktur nicht geschützt haben, haben Sie gegen die Schweigepflicht verstoßen. Das ist eine Straftat.

Das bedeutet: IT-Sicherheit ist nicht optional. Sie ist ein essentieller Teil der ärztlichen Sorgfaltspflicht.

Es ist, als würde Ihnen jemand sagen: "Sie könnten ja Ihre Sprechstunde ohne Handschuhe machen – und es ist wahrscheinlich OK." Es ist zwar wahr, dass es häufig OK gehen würde. Aber als Arzt wissen Sie, dass es nicht OK ist – weil es gegen Ihre Standards verstößt und Ihre Patienten gefährdet.

Genauso ist es mit IT-Sicherheit. Ja, Sie könnten die Praxis ohne verschlüsselte Server betreiben. Ja, Sie könnten unsichere Passwörter verwenden. Ja, Sie könnten auf Backups verzichten. Technisch ist das alles möglich. Aber ethisch und rechtlich ist es nicht in Ordnung.

Merksatz: IT-Sicherheit ist nicht eine technische Zusatzaufgabe. Sie ist ein Teil Ihrer Sorgfaltspflicht als Ärzte oder Ärztin, genauso wie die medizinische Fachliteratur auf dem neusten Stand zu halten oder mit Instrumenten steril zu arbeiten.

Die praktischen Konsequenzen – und warum das Ändern sich lohnt

Was passiert, wenn Sie diese Haltung verankern?

Erst mal passiert wahrscheinlich nicht viel im täglichen Arbeitsalltag. Ihre Patientenversorgung wird nicht besser. Ihre Abrechnungsquoten ändern sich nicht.

Aber längerfristig passiert Folgendes: Sie schlafen besser, weil Sie wissen, dass Sie Ihre Verantwortung erfüllen. Wenn eine Datenpanne vorkommt – und statistisch wird sie irgendwann kommen –, sind Sie nicht völlig unvorbereitet. Sie wissen, welche Maßnahmen getroffen wurden, welche Daten wie geschützt sind. Sie können schneller reagieren. Und Sie können einem Staatsanwalt oder einer Datenschutzbehörde gegenüber überzeugend darlegen, dass Sie alles Notwendige getan haben.

Noch wichtiger: Sie sind nicht von Ihrem IT-Dienstleister abhängig. Sie verstehen, was er tut. Sie können überprüfen, ob er gut arbeitet. Und wenn nicht – können Sie das ändern.

Die Bestandsaufnahme: Der erste konkrete Schritt

Der Perspektivwechsel ist wichtig. Aber dann braucht es konkrete Schritte. Der erste ist eine ehrliche Bestandsaufnahme: Was habe ich? Wovon hänge ich ab?

Das klingt langweilig. Es ist aber der wertvollste Schritt, den Sie tun können.

Mit einer Bestandsaufnahme beantworten Sie für Ihre Praxis folgende Fragen:

Welche Systeme und Geräte habe ich? Wo laufen die Patientendaten? Auf einem lokalen Server? In der Cloud? Auf dem Laptop des Praxismanagers? Auf mobilen Geräten?

Welche Dienstleister sind involviert? Wer hostet Ihre Praxissoftware? Wer macht die Backups? Wer sitzt beim IT-Support vor Ort? Wer hat Zugriff zu Ihren Systemen?

Wo sind meine Patientendaten wirklich? Das ist eine einfache Frage mit oft sehr komplizierter Antwort. Sie werden überrascht sein, an wie vielen Orten gleichzeitig Ihre Patientendaten liegen – manche Kopien sind verschlüsselt, manche nicht. Manche sind gesichert, manche nicht.

Wovon bin ich abhängig? Was passiert morgen, wenn Ihr Server nicht hochfährt? Wenn der Cloud-Anbieter der Praxissoftware überfallen wird? Wenn Ihr IT-Dienstleister unerwartet die Zusammenarbeit beendet? Wenn Ihr Praxismanager ausfällt?

Habe ich einen Notfallplan? Wie lange kann die Praxis ohne ihre IT-Systeme funktionieren? Was ist Plan B? Wo sind die Notfalldaten? Wer weiß, wo kritische Passwörter stehen?

Die Bestandsaufnahme: Konkrete Checklisten

Gehen Sie die folgenden Fragen durch. Sie brauchen keine Perfektion – aber eine ehrliche Antwort. Drucken Sie diese Seite aus und halten Sie fest, wo es noch Lücken gibt.

Teil A: Ihre Systeme

  • Ich weiß, wo meine Praxissoftware läuft – lokal, Cloud, Hybrid.
  • Ich kenne den Anbieter meiner Praxissoftware und weiß, wie Daten gespeichert werden.
  • Ich weiß, ob meine Systeme verschlüsselt sind.
  • Ich weiß, wo meine Backups liegen – und wann sie das letzte Mal getestet wurden.
  • Ich verstehe, wer von meinem Team auf welche Systeme Zugriff hat.
  • Ich kenne alle Passwörter für kritische Systeme – oder weiß zumindest, wo sie sicher verwahrt sind.

Teil B: Ihre Dienstleister

  • Ich habe eine Liste aller IT-Dienstleister, die Zugriff auf meine Systeme haben.
  • Ich weiß, welche Auftragsverarbeitungsverträge (AVV) mit meinen Dienstleistern bestehen.
  • Ich kenne die Reaktionszeiten meines IT-Supports bei Notfällen.
  • Ich weiß, wie lange die Behebung eines Systemausfalls typischerweise dauert.
  • Ich habe in den letzten sechs Monaten mit meinem IT-Dienstleister ein Gespräch über Sicherheit geführt.

Teil C: Ihre Abhängigkeiten

  • Ich weiß, wie lange die Praxis ohne Praxissoftware arbeiten kann.
  • Ich habe einen Plan für den Fall, dass die Praxissoftware einen Tag ausfällt.
  • Ich habe einen Plan für den Fall, dass alle Daten auf dem Server gelöscht werden (Ransomware, Hardwaredefekt).
  • Ich weiß, wer in der Praxis notfallmäßig entscheidungsfähig ist, wenn ich ausfalle.
  • Ich habe Zugang zu kritischen Kontoinformationen dokumentiert und sicher verwahrt.

Teil D: Ihre Anforderungen

  • Ich habe die KBV IT-Sicherheitsrichtlinie gelesen oder zumindest überflogen.
  • Ich weiß, welche Anforderungen für meine Praxisgröße gelten.
  • Ich habe überprüft, ob meine Praxis diese Anforderungen erfüllt.
  • Falls Lücken bestehen: Ich habe eine Prio-Liste, was ich zuerst beheben will.

Ihr persönlicher nächster Schritt

Sie müssen nicht alles heute klären. Aber wenn Sie diese Checkliste durchgehen und feststellen, dass Sie auf mindestens fünf Fragen keine gute Antwort haben, dann ist das Ihr Signal: Es ist Zeit, genauer hinzuschauen.

Ihr nächster Schritt:

  1. Drucken Sie diese Checkliste aus. Nicht nur mental – physisch ausdrucken, auf den Schreibtisch legen.

  2. Blockieren Sie sich zwei Stunden Zeit – gerne mit Ihrem Praxismanager oder Ihrem IT-Dienstleister – und gehen Sie diese Fragen durch.

  3. Schreiben Sie die Antworten auf. Nicht im Kopf, nicht vage – sondern konkret. "Praxissoftware läuft bei Anbieter XYZ auf deren Servern in Frankfurt, mit täglichem Backup, Backup wird jährlich getestet" statt "Irgendwo in der Cloud".

  4. Schreiben Sie auch die Lücken auf. "Ich weiß nicht, ob die Backups verschlüsselt sind. Ich weiß nicht, wie lange ein Systemausfall dauert. Ich habe kein Notfallpapier für den Fall, dass ich ausfalle."

  5. Sortieren Sie: Was ist kritisch? Was sind die drei Dinge, bei denen Sie am wenigsten sicher sind und die am meisten Schaden machen könnten?

Das ist Ihre persönliche Aufgabenliste für die nächsten Wochen. Und damit Sie in den folgenden Kapiteln dieses Ratgebers nicht verloren sind: Jedes Kapitel wird Ihnen helfen, mindestens einen dieser Punkte besser zu verstehen und zu verbessern.