Zum Inhalt

Krisenszenarien

Krisenszenarien und Handlungsanweisungen

Szenario 1: Ransomware-Angriff

Das PVS ist verschlüsselt. Alle Patientendaten sind nicht zugänglich. Der Bildschirm zeigt eine Nachricht mit einer Erpresser-Adresse.

Sofortmaßnahmen (Erste 30 Minuten):

  1. Gerät sofort vom Netzwerk trennen
  2. Netzwerkkabel ziehen (nicht nur WLAN deaktivieren, sondern physisch trennen)

  3. Das verhindert die Ausbreitung auf andere Geräte

  4. Externe Festplatten und USB-Geräte trennen

  5. Falls noch nicht verschlüsselt, schnell entfernen

  6. Gerät ausschalten – nicht neu starten

  7. Starten Sie nicht neu und versuchen Sie nicht zu beheben

  8. Backup-Status prüfen

  9. Liegt ein sauberes Backup vor, das VOR dem Angriff erstellt wurde?

  10. Das ist Ihre Rettung

  11. IT-Fachmann hinzuziehen – sofort

  12. Ransomware-Entfernung braucht Expertise
  13. Kontakt aus dem Notfalldokument

In den nächsten Stunden:

  1. Einfallstor identifizieren
  2. Wie kam die Ransomware rein?
  3. Phishing-Mail? Unsicherer RDP-Zugang? Ungepatche Software?

  4. Das muss gefixt werden, sonst kommt der nächste Angriff

  5. Alle Passwörter ändern

  6. Ransomware klaut oft auch Zugangsdaten

  7. Alle Dienste, die sensibel sind (PVS, E-Mail, Banking)

  8. Anzeige erstatten

  9. Ransomware ist eine Straftat
  10. Polizei anrufen, Anzeige aufgeben

  11. Aktenzeichen notieren

  12. Datenschutzbehörde informieren

  13. Wenn das betroffene Gerät NICHT verschlüsselt war: 72-Stunden-Meldepflicht nach DSGVO Art. 33

  14. Kontakt aus dem Notfalldokument

  15. Versicherung informieren

    • Cyber-Versicherung überprüfen
    • Manche decken Wiederherstellungskosten ab

Wiederherstellung:

  1. Gerät von Grund auf neu aufsetzen

    • Formatieren und Betriebssystem neu installieren
    • Niemals versuchen, Ransomware zu "bereinigen"

  2. Backup wiederherstellen

    • NUR von einem Backup, das eindeutig VOR dem Angriff liegt
    • Schrittweise testen, ob Daten korrekt sind

Wichtig: Zahlen Sie nicht Die häufigste Frage ist: "Sollen wir Lösegeld zahlen?" Die Antwort ist nein. - Die Zahlung garantiert keine Entschlüsselung - Sie machen sich zum wiederholten Ziel - Sie finanzieren Kriminelle - Die Polizei rät davon ab

Ihre beste Hoffnung ist ein gutes Backup – nicht die Zahlung.

Szenario 2: Datenpanne – Patientendaten versehentlich weitergegeben

Eine E-Mail mit Patientendaten wurde versehentlich an die falsche Person gesendet. Oder: Ein USB-Stick mit Patientenakten wurde gefunden.

Das ist eine Datenpanne. Sie haben eine Meldepflicht.

Sofortmaßnahmen (Erste 24 Stunden):

  1. Umfang klären
  2. Welche Daten waren betroffen? (Names, Diagnose, Versichertennummern?)
  3. Wie viele Patienten betroffen?

  4. Ist das Risiko "hoch" oder "niedrig"?

  5. Betroffene Daten zurückfordern

  6. Bei E-Mail: Die Empfängerin anrufen und um Löschung bitten

  7. Bei USB-Stick: Mit Polizei arbeiten, Stick sichern

  8. Datenschutzbehörde informieren

  9. Frist: 72 Stunden ab Kenntnis
  10. Meldepflicht nach DSGVO Art. 33
  11. Kontakt im Notfalldokument

  12. Was melden: Umfang der Panne, betroffene Daten, Maßnahmen

  13. Betroffene Patienten benachrichtigen – WENN hohes Risiko

  14. Wenn es wahrscheinlich ist, dass Daten missbracht werden

  15. Information sollte Datenschützer-freundlich sein und was Patienten tun können

  16. Interne Untersuchung

  17. Wie ist das passiert?
  18. Fehler des Mitarbeiters? Mangelnde Kontrolle? Zu permissive Berechtigungen?
  19. Was muss sich ändern?

Szenario 3: TI-Totalausfall

Der Konnektor ist nicht erreichbar. Die TI funktioniert nicht. Die Praxis kann keine Rezepte ausstellen, keine KIM-Nachrichten empfangen, keine eHBA-Funktionen nutzen.

Sofortmaßnahmen:

  1. KV-Hotline anrufen
  2. Kontakt im Notfalldokument

  3. Klären, ob es ein allgemeiner Ausfall ist oder nur bei der Praxis

  4. Praxis auf Offline-Betrieb wechseln

  5. Können Sie Rezepte auf Papier ausstellen? (Ja, das ist erlaubt)
  6. Können Sie Patienten über die Ausfalls informieren? (Telefonanrufe)

  7. Was kann die Praxis OHNE TI noch tun?

  8. Fallback-Verfahren anwenden

  9. Manuelle Dokumentation von Rezepten
  10. Kommunikation über Alternative (Telefon, Fax – wenn nötig)

  11. Informieren Sie Patienten ehrlich: "Die TI fällt aus, aber wir können Sie behandeln"

  12. IT-Dienstleister: Hardware überprüfen

  13. Ist der Konnektor selbst defekt?
  14. Ist es ein Netzwerk-Problem?
  15. Ist es ein Dienst-Ausfall bei der Telematik-Infrastruktur?

Trost: TI-Ausfälle passieren. Das ist eine bekannte Situation. Sie ist unangenehn, aber managebar. Mit einem Fallback-Plan ist die Praxis nicht völlig lahm.

Szenario 4: Gerätediebstahl – Laptop mit Patientendaten

Ein Mitarbeiter verlässt die Praxis, und der Laptop ist weg. Der Laptop war nicht verschlüsselt, und die Festplatte enthält gecachte Patientendaten.

Sofortmaßnahmen (Erste 2 Stunden):

  1. Polizei anrufen und Diebstahl anzeigen

  2. Aktenzeichen notieren

  3. Gerät remote löschen (wenn möglich)

  4. Findmeapp, Microsoft-Account-Geräte-Verwaltung

  5. Das ist nur möglich, wenn es aktiviert war

  6. PVS-Zugang des Mitarbeiters sperren

  7. Falls der Laptop mit gespeicherten Zugangsdaten hatte

  8. Backup überprüfen

  9. Wurden Daten lokal kopiert? (Das sollte nicht sein)

  10. Umfang klären

  11. Welche Patientendaten waren auf dem Laptop?
  12. Sind sie verschlüsselt? (Wenn ja: geringeres Risiko)

  13. Sind sie identifizierbar? (Name + Diagnose = hoch Risiko)

  14. Datenschutzbehörde informieren – WENN hohes Risiko

  15. 72-Stunden-Meldepflicht

  16. Aber: Wenn der Laptop verschlüsselt war, ist das Risiko gering – Meldung kann entfallen

  17. Versicherung informieren

  18. Hausrat oder Cyber-Versicherung

Lektion: Laptops sollten verschlüsselt sein (BitLocker, FileVault). Das macht solche Vorfälle viel weniger kritisch.

Szenario 5: Praxisbrand oder Wasserschaden

Physische IT-Katastrophe. Server, Netzwerk-Infrastruktur, Geräte sind zerstört.

Sofortmaßnahmen:

  1. Sicherheit zuerst – Evakuieren, Feuerwehr, Rettung
  2. Versicherung anrufen – Dokumentiere alles fotografisch
  3. Backup-Zugriff überprüfen – Ist das Backup physisch an einem anderen Ort?
  4. IT-Dienstleister: Recovery-Plan starten
  5. Notfall-Hardware beschaffen
  6. Backups spielen auf neuen Systemen ein
  7. Fallback-Betrieb einrichten – Extern, im Homeoffice, bei Kolleg*innen

Das ist die schlimmste Krise – aber mit cloudgestütztem Backup und einem guten Recovery-Plan ist die Wiederherstellung möglich.

Checkliste: Krisenszenarien

  • Ich kenne die wichtigsten Szenarien und ihre Sofortmaßnahmen.
  • Ein Notfalldokument mit Kontakten (IT-Dienstleister, Polizei, Datenschutzbehörde, KV) existiert.
  • Alle Mitarbeiter wissen, dass Ransomware ein Gerät sofort vom Netz trennt – nicht neu startet.
  • Backup-Tests sind dokumentiert und zeigen, dass Daten wiederhergestellt werden können.
  • Es gibt einen Fallback-Plan für den Fall, dass die TI ausfällt.
  • Versicherungen (Cyber, Betriebsunterbrechung) sind überprüft.