Cybersecurity für Arztpraxen: Ransomware-Schutz, nDSG & IT-Sicherheit in der Schweiz
Arztpraxen sind Hauptziele für Ransomware-Angriffe. Wie Sie Ihre Praxis mit EDR, Firewalls, Backups und Mitarbeiterschulung wirksam schützen — und was das nDSG verlangt.
Auf einen Blick (TL;DR): Arztpraxen gehören zu den bevorzugten Zielen von Cyberkriminellen — wegen hochsensibler Patientendaten, oft veralteter IT-Infrastruktur und begrenzter IT-Ressourcen. Ein Ransomware-Angriff kann eine Praxis tagelang lahmlegen, Lösegeldforderungen von CHF 50'000 bis über CHF 500'000 auslösen und schwere nDSG-Konsequenzen nach sich ziehen. Die wichtigsten Schutzmassnahmen: Endpoint Detection & Response (EDR), Next-Gen-Firewall, 3-2-1-Backup-Strategie, regelmässiges Patch-Management und gezieltes Mitarbeiter-Training gegen Phishing. Kein einzelnes Tool reicht — wirksamer Schutz besteht aus mehreren Sicherheitsschichten (Defense-in-Depth).
Warum Arztpraxen bevorzugte Angriffsziele sind
Die Zahlen sind alarmierend: Laut dem Schweizer Nationalen Zentrum für Cybersicherheit (NCSC) ist das Gesundheitswesen seit 2020 der am stärksten attackierte Sektor in der Schweiz. Ransomware-Gruppen wie LockBit, BlackCat und Cl0p haben Spitäler und Arztpraxen gezielt angegriffen — nicht zufällig, sondern strategisch.
Warum Arztpraxen?
*Wertvolle Daten:* Patientendaten sind auf dem Darknet deutlich mehr wert als Kreditkartendaten. Ein vollständiger Gesundheitsdatensatz erzielt bis zu USD 1'000 — gegenüber USD 1–5 für eine Kreditkarte. Diagnosen, Medikamente, psychische Erkrankungen, HIV-Status — diese Informationen sind für Erpressung, Versicherungsbetrug und Identitätsdiebstahl wertvoll.
*Bereitschaft zur Zahlung:* Im Gegensatz zu Unternehmen, die auf eine gesperrte CRM-Datenbank warten können, kann eine Arztpraxis ohne IT-Zugang buchstäblich keine Patienten mehr behandeln. Der Druck zu zahlen ist enorm — und das wissen Kriminelle.
*Schwache Verteidigung:* Kleine und mittlere Arztpraxen investieren historisch wenig in IT-Sicherheit. Veraltete Windows-Versionen, fehlende Firewall-Konfigurationen, keine Backup-Tests — all das macht sie zur leichten Beute.
*Vernetzung als Risiko:* Praxen sind mit Laboren, Spitälern, Apotheken und Krankenkassen vernetzt. Ein kompromittiertes Gerät kann als Einfallstor für das gesamte Netzwerk dienen.
Anatomie eines Ransomware-Angriffs auf eine Arztpraxis
Um sich zu schützen, muss man verstehen, wie ein Angriff abläuft. Der typische Ablauf:
Tag 1–14: Initiale Kompromittierung (unbemerkt)
In 90 % der Fälle beginnt ein Angriff mit einer Phishing-E-Mail. Eine MPA klickt auf einen vermeintlichen Laborauftrag oder eine gefälschte Rechnungs-E-Mail. Malware installiert sich still im Hintergrund — keine sichtbaren Symptome.
Tag 2–21: Lateral Movement (unbemerkt)
Die Angreifer erkunden das Netzwerk, eskalieren Berechtigungen, stehlen Zugangsdaten und identifizieren wertvolle Systeme. Backup-Server werden gezielt deaktiviert oder verschlüsselt.
Tag 14–28: Datenexfiltration (unbemerkt)
Bevor die Verschlüsselung beginnt, werden Patientendaten ins Ausland kopiert. Das ermöglicht die doppelte Erpressung: «Zahlen Sie, oder wir veröffentlichen Ihre Patientendaten.»
Angriffstag: Verschlüsselung und Lösegeldforderung
Alle erreichbaren Dateien werden verschlüsselt. Die Praxis ist komplett lahmgelegt — keine Patientenakten, keine Terminverwaltung, kein Laborzugang. Eine Lösegeldforderung erscheint auf dem Bildschirm.
Kosten eines ungeschützten Angriffs:
- Lösegeldforderung: CHF 50'000–500'000+
- Datenwiederherststellung: CHF 20'000–80'000
- Praxisausfall (5–14 Tage): CHF 30'000–150'000
- nDSG-Meldepflicht, mögliche Bussen
- Reputationsschaden, Patientenabgänge
Total: Mehrere Hunderttausend Franken. Zum Vergleich: Eine professionelle Cybersecurity-Lösung kostet CHF 200–500/Monat.
Die 6 Sicherheitsschichten für Arztpraxen
Wirksamer Schutz funktioniert nur durch mehrere aufeinander abgestimmte Massnahmen — kein einzelnes Produkt schützt vollständig. Das Prinzip heisst Defense-in-Depth.
Schicht 1: Endpoint Detection & Response (EDR)
EDR ist der Nachfolger des klassischen Antivirenprogramms — und ein fundamentaler Unterschied. Während traditionelles Antivirus bekannte Malware anhand von Signaturen erkennt, analysiert EDR das *Verhalten* von Prozessen in Echtzeit.
Was EDR leistet:
- Erkennt unbekannte Ransomware anhand von Verhaltensmustern (abnormale Dateiverschlüsselung, verdächtige Prozesse)
- Isoliert ein kompromittiertes Gerät automatisch vom Netzwerk
- Ermöglicht forensische Analyse: Welche Dateien wurden angefasst? Welche Prozesse waren beteiligt?
- Rollback-Funktion: Verschlüsselte Dateien können aus Shadow-Copies wiederhergestellt werden
Empfehlungen für Arztpraxen: CrowdStrike Falcon Go, SentinelOne Singularity, oder Bitdefender GravityZone. Wichtig: EDR muss zentral verwaltet werden — ein selbst installiertes EDR ohne Monitoring ist wertlos.
Schicht 2: Next-Generation-Firewall (NGFW)
Eine professionelle Business-Firewall ist nicht verhandelbar. Consumer-Router (Fritzbox, Zyxel-Heimgeräte) bieten keine ausreichende Sicherheit für eine Arztpraxis.
Was eine NGFW leistet:
- Deep Packet Inspection: Prüft den Inhalt von Datenpaketen, nicht nur die Absenderadresse
- Application Control: Blockiert riskante Anwendungen und Protokolle
- Intrusion Prevention System (IPS): Erkennt und blockiert bekannte Angriffsmuster
- SSL-Inspection: Entschlüsselt und prüft auch HTTPS-Traffic auf Malware
- DNS-Filterung: Blockiert bekannte Malware-Domains bevor eine Verbindung hergestellt wird
Empfehlungen: Fortinet FortiGate oder Sophos XGS — beide bieten speziell angepasste Modelle für kleine Unternehmen ab CHF 400/Jahr.
Netzwerksegmentierung: Medizinische Geräte (Ultraschall, EKG, Röntgen) sollten in einem eigenen VLAN isoliert sein. Kompromittiert ein Angreifer die Verwaltungs-IT, kann er nicht automatisch auf die Geräte zugreifen.
Schicht 3: Die 3-2-1-Backup-Strategie
Backups sind die letzte Verteidigungslinie. Aber nicht jedes Backup schützt gegen Ransomware.
Das 3-2-1-Prinzip:
- 3 Kopien der Daten (1 × Produktion, 2 × Backup)
- 2 verschiedene Speichermedien (z.B. lokale NAS + Cloud)
- 1 Kopie offline oder «air-gapped» (vom Netzwerk getrennt, unerreichbar für Ransomware)
Kritische Fehler, die viele Praxen machen:
- Backup läuft auf demselben Server wie die Produktivdaten → Ransomware verschlüsselt beides
- Backup ist dauerhaft mit dem Netzwerk verbunden → ebenfalls verschlüsselbar
- Backup wird nie getestet → Im Ernstfall unbrauchbar (Wiederherstellungszeit 48+ Stunden)
Best Practice für Arztpraxen:
- Tägliches automatisches Backup auf lokale NAS (Synology mit Versionierung)
- Wöchentliches Backup in Schweizer Cloud (Acronis, Veeam, Microsoft Azure Backup)
- Monatlicher Backup-Test: Tatsächlich eine Datei wiederherstellen und die Zeit messen
- Backup-Dokumentation im IT-Notfallplan festhalten
Recovery Time Objective (RTO) definieren: Wie lange darf die Praxis maximal ausfallen? 4 Stunden? 24 Stunden? Diese Zahl bestimmt die Backup-Frequenz und die Investition in Wiederherstellungssysteme.
Schicht 4: Patch-Management
Ungepatchte Software ist der zweitgrösste Einfallsvektor nach Phishing. Die Ransomware-Gruppe WannaCry nutzte eine bekannte Windows-Schwachstelle aus — für die Microsoft drei Monate zuvor einen Patch veröffentlicht hatte. Trotzdem wurden 200'000 Computer in 150 Ländern infiziert.
Was professionelles Patch-Management bedeutet:
- Alle Windows-Geräte erhalten Security-Updates innerhalb von 72 Stunden nach Release (kritische Patches sofort)
- Praxissoftware wird regelmässig aktualisiert — auch wenn das kurze Wartungsfenster erfordert
- Netzwerkgeräte (Router, Switches, Access Points) werden in den Patch-Zyklus einbezogen
- Software-Inventar: Überblick über alle installierten Programme und deren Versionsstände
- End-of-Life-Software (Windows 7, Office 2013) wird konsequent ersetzt
Mit einem Managed-Service-Vertrag übernimmt avenios das vollständige Patch-Management automatisch — Sie müssen sich darum nicht kümmern.
Schicht 5: Multi-Faktor-Authentifizierung (MFA)
Gestohlene Passwörter sind wertlos, wenn ein zweiter Faktor erforderlich ist. MFA ist heute Standard — und für Microsoft 365-Konten, VPN-Zugänge und Remote-Desktop-Verbindungen zwingend erforderlich.
MFA-Pflichten für Arztpraxen:
- Microsoft 365 / E-Mail: MFA aktivieren (Authenticator App, nicht SMS)
- Remote-Desktop (RDP): Nie ohne MFA exponieren — RDP ist der häufigste Einfallsvektor für externe Angriffe
- VPN-Zugang für Homeoffice: MFA für alle Remote-Verbindungen
- Praxissoftware-Webzugang: MFA wo verfügbar
Passwort-Hygiene: Jeder Account braucht ein einzigartiges, starkes Passwort. Ein Passwort-Manager (Bitwarden, 1Password Business) löst dieses Problem für das gesamte Praxisteam.
Schicht 6: Mitarbeiter-Training gegen Phishing
Technische Massnahmen schützen gegen automatisierte Angriffe. Gegen gezieltes Phishing ist das trainierte Urteilsvermögen Ihrer Mitarbeitenden die wichtigste Waffe.
Was Phishing-Training beinhaltet:
- Erkennen von gefälschten Absendern (Domain-Spoofing: «labor-risch@labor-risch.net» vs. echte Domain)
- Verdächtige Links vor dem Klicken hover-prüfen
- Unerwartete Anhänge (PDFs mit Makros, ZIP-Dateien) niemals ohne Rückfrage öffnen
- CEO-Fraud erkennen: Gefälschte Überweisungsanfragen von «der Ärztin» via E-Mail
- Meldeweg: Wie und wo wird ein verdächtiger Vorfall gemeldet?
Simulierte Phishing-Tests: Professionelle IT-Partner versenden kontrollierte Test-Phishing-Mails an das Praxisteam und messen die Klickrate. Kein Vorwurf — aber Lerneffekt. Praxen, die regelmässig trainieren, reduzieren ihre Klickrate von durchschnittlich 33 % auf unter 5 %.
nDSG-Pflichten bei einem Cyberangriff
Das revidierte Schweizer Datenschutzgesetz (nDSG), in Kraft seit September 2023, hat konkrete Auswirkungen auf den Umgang mit Cybervorfällen:
Meldepflicht bei Datenschutzverletzungen:
Wenn bei einem Ransomware-Angriff Patientendaten kompromittiert wurden (verschlüsselt, exfiltriert oder beides), besteht eine Meldepflicht gegenüber dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) — innert «nützlicher Frist», interpretiert als 72 Stunden nach Bekanntwerden.
Was gemeldet werden muss:
- Art der Verletzung (Verschlüsselung, Diebstahl, Verlust)
- Betroffene Datenkategorien (Diagnosen, Medikamente, etc.)
- Geschätzte Anzahl betroffener Personen
- Bereits getroffene und geplante Massnahmen
Pflicht zur Benachrichtigung der Betroffenen:
Wenn die Datenschutzverletzung voraussichtlich zu einem hohen Risiko für die betroffenen Personen führt, müssen diese direkt informiert werden. Bei Patientendaten ist das fast immer der Fall.
Dokumentationspflicht:
Alle Datenschutzverletzungen müssen intern dokumentiert werden — auch solche, die nicht gemeldet werden müssen. Ein Verarbeitungsverzeichnis und ein Vorfalls-Log sind Pflicht.
Technische und organisatorische Massnahmen (TOM):
Das nDSG verlangt, dass Praxen nachweislich geeignete Schutzmassnahmen implementiert haben. «Ich dachte, das reicht» ist keine Verteidigung — dokumentierte Sicherheitsmassnahmen schon.
Cybersecurity-Audit: Der erste Schritt
Bevor Massnahmen implementiert werden, braucht jede Praxis einen Überblick über ihren aktuellen Sicherheitsstatus. Ein professioneller IT-Sicherheits-Audit deckt auf:
- Netzwerk-Scan: Offene Ports, falsch konfigurierte Dienste, exponierte Remote-Desktop-Zugänge
- Software-Inventar: End-of-Life-Software, ungepatchte Systeme, überflüssige Dienste
- Backup-Test: Tatsächliche Wiederherstellungszeit unter realistischen Bedingungen
- Phishing-Simulation: Klickrate des Praxisteams auf simulierte Angriffs-Mails
- Passwort-Audit: Prüfung auf schwache oder wiederverwendete Passwörter
- Zugriffsberechtigungen: Wer hat Zugriff auf was? Least-Privilege-Prinzip eingehalten?
Das Ergebnis ist ein priorisierter Massnahmenplan — mit konkreten Handlungsempfehlungen, geschätzten Kosten und einem Umsetzungs-Zeitplan.
Was kostet Cybersecurity für eine Arztpraxis?
| Massnahme | Einmalig | Jährlich |
|---|---|---|
| EDR (5 Geräte) | — | CHF 300–600 |
| NGFW (Fortinet/Sophos) | CHF 500–1'500 | CHF 300–600 |
| Backup-Lösung (lokal + Cloud) | CHF 800–2'000 | CHF 600–1'200 |
| MFA-Einrichtung | CHF 200–500 | — |
| Phishing-Training (Jahresabo) | — | CHF 200–500 |
| Security-Audit | CHF 1'000–3'000 | — |
| Managed Security (alles inkl.) | — | CHF 1'800–4'800 |
Zum Vergleich: Ein einziger Ransomware-Vorfall kostet im Durchschnitt CHF 200'000–400'000 — bei einer Praxisgrösse, die für Angreifer «interessant» ist. Die Investition in Prävention rentiert bereits beim ersten verhinderten Vorfall.
Häufige Fragen zur Cybersecurity in Arztpraxen
Reicht ein gutes Antivirusprogramm?
Nein. Moderne Ransomware umgeht klassische Antivirusprogramme routinemässig, weil sie keine bekannten Malware-Signaturen enthält. EDR mit verhaltensbasierter Erkennung ist notwendig. Antivirus kann eine Basisschicht bleiben, ersetzt aber kein EDR.
Sind wir sicher, weil wir «zu klein» sind?
Nein. Automatisierte Angriffswerkzeuge scannen das gesamte Internet nach verwundbaren Systemen — Grösse spielt keine Rolle. Arztpraxen werden gezielt angegriffen, weil sie zahlungsbereit sind und oft schwache Verteidigungen haben.
Müssen wir nach einem Angriff das Lösegeld zahlen?
Aus Sicherheitskreisen und von Behörden wird empfohlen, nicht zu zahlen. Gründe: Die Entschlüsselung funktioniert oft nicht vollständig, Kriminelle werden finanziert, und bezahlende Opfer landen auf Listen, die erneut attackiert werden. Wer ein funktionierendes Backup hat, muss nicht zahlen.
Was tun wir, wenn ein Angriff passiert ist?
Sofort: Gerät vom Netzwerk trennen (Netzwerkkabel ziehen, WLAN deaktivieren). Dann IT-Notfall-Hotline anrufen. Keinesfalls Lösegeld zahlen, bevor die Situation bewertet wurde. Die Schadensbegrenzung hängt von den ersten 30 Minuten ab. Der vollständige IT-Notfallplan erklärt das Vorgehen Schritt für Schritt.
Ist unsere Praxissoftware-Verbindung zum Labor sicher?
Das hängt vom Anbieter ab. Direkte Laborverbindungen über proprietäre Protokolle sind oft weniger gesichert als HIN-basierte Kommunikation. Lassen Sie Ihre Labor- und Geräteschnittstellen im Rahmen eines Security-Audits prüfen.
Fazit: Cybersecurity ist Patientenschutz
Cybersecurity in der Arztpraxis ist keine IT-Frage — es ist eine medizinethische Frage. Patientendaten gehören zu den intimsten Informationen, die Menschen einer anderen Person anvertrauen. Der Schutz dieser Daten vor kriminellem Zugriff ist Teil des ärztlichen Auftrags.
Die gute Nachricht: Wirksamer Schutz ist heute erschwinglich und muss keine Vollzeitstelle erfordern. Mit den richtigen Partnern, den richtigen Tools und einem klaren Notfallplan ist eine Arztpraxis erheblich besser geschützt als der Durchschnitt — und damit für die meisten automatisierten Angriffe kein attraktives Ziel mehr.
avenios unterstützt Arztpraxen in der Deutschschweiz mit einem vollständigen Cybersecurity-Paket: Audit, EDR, Firewall, Backup, MFA-Einrichtung, Phishing-Training und 24/7-Monitoring. Kontaktieren Sie uns für ein unverbindliches Sicherheitsgespräch.
Verwandte Ratgeber
Patientendaten sicher verwalten
Datenschutz und IT-Sicherheit in der Arztpraxis gemäss nDSG: technische Massnahmen, Backup-Strategien und Checkliste für den Praxisalltag.
IT-Notfallplan für die Praxis
IT-Notfallplan für Arztpraxen: Backup, RTO/RPO, Kommunikationsplan und Checkliste — damit Ihre Praxis auch bei IT-Ausfall handlungsfähig bleibt.
FMH IT-Grundschutz für Arztpraxen: Checkliste, Anforderungen & Umsetzung 2026
FMH IT-Grundschutz für Arztpraxen: alle Anforderungen verständlich erklärt, mit konkreter Checkliste und Umsetzungsempfehlungen für kleine und mittlere Praxen.
Haben Sie Fragen zu diesem Thema?
Wir beraten Sie gerne unverbindlich zu Ihren individuellen Anforderungen.
Kontakt aufnehmenChristoph Kuling
Gründer & IT-Berater, avenios GmbH
Über 10 Jahre Erfahrung in IT-Infrastruktur und Managed Services für medizinische Einrichtungen in der Deutschschweiz.
LinkedIn