IT-Inventar für die Arztpraxis: Geräte, Software und Zertifikate
IT-Inventar für die Arztpraxis: welche ICT-Mittel Sie erfassen, welche Attribute jeder Eintrag braucht und wie das Inventar Patch-Management und revDSG stützt.
Auf einen Blick (TL;DR): Ein IT-Inventar ist die vollständige, gepflegte Liste aller ICT-Mittel Ihrer Praxis, von der Workstation über den Switch bis zum Röntgengerät und zur Praxissoftware. Die FMH-Empfehlung 2 des IT-Grundschutz, die zweite von 11 Empfehlungen, bringt den Grund auf den Punkt: «Es kann nur geschützt werden, was bekannt ist.» Jeder Eintrag braucht festgelegte Attribute, von System-ID und Standort über Garantie bis zum Ablaufdatum der SSL/TLS-Zertifikate. Gepflegt wird laufend, überprüft mindestens einmal jährlich. Mehr zum gesamten Rahmen im Hub IT-Grundschutz.
> Hinweis: Dieser Artikel ordnet das Inventar organisatorisch ein. Das Erfassen, das automatisierte Auslesen von Geräten und das Nachführen übernimmt in der Regel Ihr IT-Partner, nicht Sie selbst. Welche Werkzeuge dabei sinnvoll sind, hängt von Ihren Geräten und Ihrer Praxissoftware ab.
Warum braucht eine Arztpraxis überhaupt ein IT-Inventar?
Weil man nur schützen kann, was man kennt. Wer nicht weiss, welche Geräte im Netz hängen, welche Software in welcher Version läuft und wann das nächste Zertifikat abläuft, kann weder Lücken schliessen noch im Ernstfall schnell reagieren. Die FMH formuliert es in der Empfehlung 2 so: «Es kann nur geschützt werden, was bekannt ist. Deshalb sind alle schützenswerten ICT-Systeme, alle Bestandteile von ICT-Systemen, alle Datenträger, alle medizinischen Geräte sowie alle Anwendungen zu identifizieren, entsprechend der Sensitivität der Daten zu klassifizieren und mit zuvor festgelegten Attributen in einer Inventarliste zu dokumentieren.»
Das ist kein Selbstzweck. Das Inventar ist das Fundament unter drei Dingen, die jede Praxis ohnehin braucht: einem funktionierenden Patch-Management, einem belastbaren Notfallplan und dem Verzeichnis der Bearbeitungstätigkeiten nach revDSG. Fehlt die Liste, hängen alle drei in der Luft. Und der Hintergrund ist real: Das Bundesamt für Cybersicherheit (BACS) verzeichnete 2024 über 63'000 gemeldete Cybervorfälle, rund 13'000 mehr als im Vorjahr.
Die FMH bringt den Nutzen knapp auf den Punkt: «Die Inventarliste dient als Hilfsmittel bei der Planung von Sicherheitsmassnahmen und verbessert die Reaktionsfähigkeit bei einem Sicherheitsvorfall.» Wenn nachts ein Erpressungstrojaner zuschlägt, ist die Frage «Welche Geräte haben wir, wo stehen sie, wer ist zuständig?» keine, die man dann erst recherchieren will.
Welche ICT-Mittel gehören ins Inventar?
Kurz: alles, was Daten verarbeitet, speichert oder transportiert. Die FMH zählt fünf Gruppen auf, und es lohnt sich, sie der Reihe nach durchzugehen, weil gerade die letzten beiden gerne vergessen werden.
Jedes Gerät, das nicht auf der Liste steht, fällt durch jedes Raster: Es wird nicht gepatcht, beim Backup nicht berücksichtigt und im Notfall nicht gesucht. Erfahrungsgemäss sind es fast immer die Medizingeräte und die Netzwerk-Hardware, die in selbstgestrickten Listen fehlen.
Welche Attribute muss jeder Inventar-Eintrag haben?
Hier wird die FMH konkret. Die Empfehlung 2 nennt eine Liste von Mindest-Attributen, die für jedes ICT-Mittel zu dokumentieren sind. Wer diese Felder sauber pflegt, hat gleichzeitig die Datengrundlage für Patch-Management, Notfallplan und Datenschutz-Verzeichnis erschlagen.
| Attribut | Was gemeint ist | Wozu es dient |
|---|---|---|
| Name und Bezeichnung | sprechender Gerätename, z. B. «Empfang-PC-01» | Wiedererkennung im Alltag und im Notfall |
| Identifikationsdaten (System-ID) | Seriennummer, Asset-Tag, eindeutige ID | eindeutige Zuordnung, Garantieabwicklung |
| Verwendungszweck | wofür das Gerät dient (Empfang, Labor, Server) | Schutzbedarf einschätzen, Priorisierung |
| Standort der Hardware | Raum, Schrank, ggf. Aussenstandort | physische Sicherung, schnelles Auffinden |
| Verantwortliche Person | wer betreut das Gerät (intern oder IT-Partner) | klare Zuständigkeit ohne Lücken |
| Zugriffsrechte | wer darf darauf zugreifen, mit welchen Rechten | Berechtigungen prüfen, Datenschutz |
| Adressierung (DNS-Name, IP-Adresse) | Netzwerkadresse des Geräts | Fehlersuche, Segmentierung, Monitoring |
| Garantie und Wartung | Garantieablauf, Wartungsvertrag, Lieferant | Lebenszyklus planen, Ausfälle vermeiden |
| Software-Versionen | Betriebssystem, Antivirus, Applikationen | Patch-Management, End-of-Life erkennen |
| SSL/TLS-Zertifikate | Aussteller und Ablaufdatum | rechtzeitige Erneuerung, keine Ausfälle |
Diese zehn Felder sind das Minimum, nicht die Obergrenze. Zwei davon werden im Alltag unterschätzt. Die Software-Versionen: Nur wer weiss, welches Betriebssystem auf welchem Gerät läuft, erkennt rechtzeitig End-of-Life-Systeme, der Support für Windows 10 endete am 14. Oktober 2025, und ein vergessenes Altgerät ist dauerhaft verwundbar. Und das Ablaufdatum der Zertifikate: Ein abgelaufenes SSL/TLS-Zertifikat legt im schlechtesten Fall ein Portal oder eine Schnittstelle lahm, mitten im Praxisbetrieb.
Wie baut man ein IT-Inventar Schritt für Schritt auf?
Ein Inventar entsteht nicht an einem Nachmittag, aber es ist auch kein Grossprojekt. Bewährt hat sich ein Vorgehen in fünf Schritten, in der Regel zusammen mit dem IT-Partner, der die Geräte technisch ausliest.
Als Werkzeug genügt für die meisten Praxen eine strukturierte Tabelle, die FMH nennt als Beispiel ausdrücklich eine «Excel-Liste». Grössere Praxen profitieren von einer Lösung, die Hardware- und Software-Inventar automatisiert ausliest, Microsoft Intune etwa erfasst Seriennummer, Betriebssystem und installierte Apps je Gerät selbsttätig.
> Tipp: HIN stellt für Mitglieder eine fertige IT-Inventarvorlage als Excel-Datei bereit. Sie enthält je einen Reiter für Hardware und Software und führt Sie durch Felder wie Betriebssystem und Antivirus. Wer bei null startet, muss das Rad also nicht neu erfinden.
Wie oft muss das Inventar aktualisiert werden?
Zwei Rhythmen greifen ineinander, und beide stehen so in der FMH-Empfehlung. Laufend: «Neue ICT-Mittel sind unmittelbar in das Inventar aufzunehmen und nicht mehr verwendete ICT-Mittel sind umgehend aus dem Inventar zu löschen.» Jedes neue Notebook, jeder ersetzte Switch wandert sofort in die Liste, jedes ausgemusterte Gerät sofort heraus. Und periodisch: «Das Inventar der ICT-Mittel soll mindestens einmal jährlich überprüft und aktualisiert werden.»
Beim jährlichen Review gleicht man die Liste mit der Realität ab: Stimmen die Software-Versionen noch? Läuft ein Zertifikat demnächst ab? Steht ein Gerät noch dort, wo es laut Inventar stehen sollte? Sinnvoll koppelt man das Review an die ohnehin fällige jährliche Sicherheitsüberprüfung, dann wird aus zwei Terminen einer. Wichtig ist das Ende des Lebenszyklus: Wird ein Gerät ausgemustert, verlangt die FMH, dass «alle Daten unmittelbar nach der Ausserbetriebnahme und vor der Entsorgung vollständig und unwiderruflich zu löschen» sind, und dass die Weitergabe oder der Verkauf von ICT-Mitteln zu unterlassen ist. Das alte Notebook landet also nicht auf dem Flohmarkt.
Wofür ist das Inventar die Grundlage?
Das Inventar ist selten der Zweck, fast immer das Mittel. Drei Aufgaben bauen direkt darauf auf, und ohne saubere Liste werden sie alle wackelig.
Zum Verzeichnis ein einordnendes Wort, denn hier herrscht oft Unsicherheit: Art. 12 DSG nimmt zwar Unternehmen mit weniger als 250 Mitarbeitenden und «geringem Risiko» von der Verzeichnispflicht aus. Weil eine Praxis aber besonders schützenswerte Gesundheitsdaten bearbeitet, läuft diese Befreiung in der Regel ins Leere. Ein schlankes Verzeichnis zu führen, gestützt auf das Inventar, ist deshalb der sichere Weg, mehr dazu im nDSG-Massnahmenkatalog. Welche Schutzmassnahmen das Gesetz meint, beschreibt der EDÖB im TOM-Leitfaden.
Unsicher, ob Ihr Inventar vollständig und FMH-konform geführt ist? Wir nehmen Ihre ICT-Mittel auf, ergänzen die Mindest-Attribute und richten den Pflegeprozess ein, damit nichts mehr durchs Raster fällt. Kostenloses Erstgespräch · FMH IT-Grundschutz im Überblick
Das Wichtigste in Kürze
Häufig gestellte Fragen (FAQ)
Ein IT-Inventar ist die vollständige, dokumentierte Liste aller ICT-Mittel einer Praxis: Workstations, Server, Netzwerk-Hardware, Datenträger, medizinische Geräte und alle Anwendungen. Jeder Eintrag trägt festgelegte Attribute wie Standort, Verantwortlichen und Software-Version. Die FMH verlangt es in Empfehlung 2 ihres IT-Grundschutzes als Grundlage für alle weiteren Sicherheitsmassnahmen.
Alles, was Daten verarbeitet, speichert oder überträgt. Konkret: Endgeräte und Workstations, der Praxisserver, Netzwerk-Hardware wie Firewall, Router und Switches, Datenträger und Backup-Medien, medizinische Geräte wie Labor- und Röntgengeräte oder Sterilisatoren sowie sämtliche Anwendungen samt Praxissoftware. Gerade Medizingeräte und Netzwerk-Hardware werden in selbstgeführten Listen häufig vergessen.
Die FMH nennt zehn Mindest-Attribute: Name, Identifikationsdaten (System-ID), Verwendungszweck, Standort, verantwortliche Person, Zugriffsrechte, Adressierung (DNS/IP), Angaben zu Garantie und Wartung, eingesetzte Software-Versionen sowie Aussteller und Ablaufdatum der SSL/TLS-Zertifikate. Diese Felder bilden zugleich die Datengrundlage für Patch-Management, Notfallplan und das Datenschutz-Verzeichnis.
Laufend und jährlich. Neue ICT-Mittel werden laut FMH unmittelbar eingetragen, ausgemusterte umgehend gelöscht. Zusätzlich soll das gesamte Inventar mindestens einmal pro Jahr überprüft und aktualisiert werden. Sinnvoll koppelt man dieses Review an die ohnehin fällige jährliche Sicherheitsüberprüfung der Praxis.
Ja. HIN stellt Mitgliedern eine fertige IT-Inventarvorlage als Excel-Datei unter hin.ch/inventar bereit, mit Reitern für Hardware und Software und Feldern wie Betriebssystem und Antivirus. Die FMH nennt eine Excel-Liste ausdrücklich als zulässiges Mittel. Grössere Praxen können das Inventar mit Werkzeugen wie Microsoft Intune automatisiert auslesen lassen.
Die Verantwortung dafür liegt bei der Praxis, das Erfassen und Nachführen übernimmt meist der IT-Partner, der die Geräte technisch ausliest. Wichtig ist, dass pro Eintrag eine verantwortliche Person hinterlegt ist und ein fester Pflegeprozess bestimmt, wer neue Geräte einträgt und das jährliche Review durchführt. Ohne klare Zuständigkeit veraltet jede Liste rasch.
Verwandte Ratgeber
FMH IT-Grundschutz Arztpraxis Schweiz: Checkliste & Umsetzung 2026
FMH IT-Grundschutz Arztpraxis Schweiz 2026: 20-Punkte-Checkliste und 8 Kernbereiche. Umsetzung in 4–8 Wochen, Kosten ab CHF 3'000 für Einzelpraxen.
System-Härtung & Patch-Management in der Arztpraxis 2026
System-Härtung und Patch-Management in der Arztpraxis: Updates, End-of-Life-Ersatz (Windows 10) und Härtungsmassnahmen nach FMH-Grundschutz.
IT-Notfallplan für die Praxis
IT-Notfallplan für Arztpraxen: Backup, RTO/RPO, Kommunikationsplan und Checkliste, damit Ihre Praxis auch bei IT-Ausfall handlungsfähig bleibt.
nDSG für Arztpraxen: Konkrete IT-Massnahmen, Checkliste & Bussgelder 2026
Das nDSG verpflichtet Arztpraxen zu konkreten IT-Massnahmen: Verzeichnis, technische Schutzmassnahmen und Meldepflicht bei Datenpannen, Leitfaden 2026.
Datensicherung & Backup für Arztpraxen: 3-2-1-Regel, nDSG & Kosten 2026
Datensicherung in der Arztpraxis: die 3-2-1-Regel, nDSG-konformes Backup, Schutz vor Ransomware und realistische Kosten, der Praxis-Leitfaden 2026.
Haben Sie Fragen zu diesem Thema?
Wir beraten Sie gerne unverbindlich zu Ihren individuellen Anforderungen.
Kontakt aufnehmenChristoph Kuling
Gründer & IT-Berater, avenios GmbH
Über 10 Jahre Erfahrung in IT-Infrastruktur und Managed Services für medizinische Einrichtungen in der Deutschschweiz.
LinkedInDieser Beitrag dient der allgemeinen Information und ersetzt keine Rechts- oder Medizinberatung. Angaben zu Gesetzen (etwa dem nDSG), Preisen und Funktionen können sich ändern; für den konkreten Einzelfall ziehen Sie bitte eine Fachperson oder die zuständige Behörde bei.