Protokollierung & Monitoring in der Arztpraxis: Sicherheitsvorfälle früh erkennen und nachweisen

Auf einen Blick (TL;DR): Protokollierung (Logging) zeichnet auf, wer wann was an der Praxis-IT getan hat, Monitoring wertet das laufend aus und schlägt Alarm. Die FMH-Empfehlung 7 verlangt, dass sicherheitsrelevante Aktivitäten wie Login-Versuche, Login, Logout, Datenmutationen und Systemabstürze protokolliert, zentral gesammelt und mindestens rund drei Monate manipulationssicher aufbewahrt werden. Der Nutzen ist doppelt: Sie erkennen Angriffe früher und können nach dem revidierten Datenschutzgesetz nachweisen, wer auf Patientendaten zugegriffen hat. Den Gesamtrahmen finden Sie im Hub IT-Grundschutz.

> Hinweis: Dieser Beitrag ordnet ein, was eine Praxis protokollieren und überwachen sollte. Die technische Umsetzung, also zentrales Logging einrichten, Aufbewahrung absichern und das Monitoring betreiben, übernimmt Ihr IT-Partner, nicht Sie selbst.

Was bedeutet Protokollierung und Monitoring in der Arztpraxis?

Die Protokollierung, oft Logging genannt, schreibt mit, welche Ereignisse in Ihren Systemen passieren: wer sich anmeldet, wer einen Patientendatensatz öffnet oder ändert, wann ein Server abstürzt. Das Monitoring beobachtet diese Aufzeichnungen laufend und meldet sich, wenn etwas nicht stimmt. Das eine sammelt Beweise, das andere weckt jemanden auf.

In der Arztpraxis erfüllt das einen doppelten Zweck. Erstens erkennen Sie Sicherheitsvorfälle früher, etwa wenn nachts hundertfach falsche Passwörter durchprobiert werden. Zweitens halten Sie nachvollziehbar fest, wer wann auf besonders schützenswerte Patientendaten zugegriffen hat, was bei einer Datenschutzverletzung oder einer Auskunftsanfrage zählt.

Die FMH regelt das in Empfehlung 7 ihres IT-Grundschutz unter dem Titel «ICT-Umgebung konfigurieren und warten». Wörtlich sollen Systeme so konfiguriert werden, «dass sicherheitsrelevante Aktivitäten wie Login-Versuche, Login, Logout und Mutationen an Daten sowie System- oder Anwendungsabstürze protokolliert werden».

Vergrössern

Welche Aktivitäten sollte eine Praxis protokollieren?

Es geht nicht darum, jeden Mausklick zu speichern, sondern jene Ereignisse, die einen Angriff verraten oder einen Zugriff auf Patientendaten belegen. Die FMH nennt dafür eine klare Auswahl.

Wichtig ist die Systemzeit: Nur wenn alle Geräte synchron laufen, lassen sich Ereignisse später zu einer schlüssigen Zeitlinie zusammensetzen. Auch das verlangt die FMH-Empfehlung 7 ausdrücklich («Die Systemzeit aller Systeme ist gleichzuschalten»).

Besonders der Fernzugriff verdient Beachtung. Wartet ein externer Dienstleister Ihre Systeme, sollen laut FMH die Aktivitäten dieser Konten «zur Erkennung von atypischem Verhalten und zur Sicherstellung der Nachvollziehbarkeit aufzuzeichnen und zu überwachen» sein. Wer wann wie auf welche Konten zugreifen darf, regeln Sie im Berechtigungskonzept.

Wo und wie lange müssen Logs aufbewahrt werden?

Logs nützen nur, wenn sie zentral, geschützt und manipulationssicher liegen. Lokal auf jedem Gerät verstreut sind sie im Ernstfall wertlos, denn ein Angreifer löscht als Erstes die Spuren auf dem System, das er kompromittiert hat. Deshalb gehören die Protokolle an einen separaten Ort mit wenigen Zugriffsberechtigten.

Die FMH formuliert das so: «Die Protokolle sollten zentral gesammelt und aufbewahrt werden und nur mit eingeschränkten Benutzerrechten einsehbar sein.» Zur Dauer hält die Empfehlung fest, die Protokolldaten sollten «mindestens drei Monate aufbewahrt und bei Bedarf (z. B. Verdacht auf Sicherheitsvorfall) für Auswertungen zugänglich gemacht werden». Drei Monate sind das Minimum, je nach Bedarf darf es länger sein.

> Hinweis: Drei Monate sind die FMH-Mindestempfehlung. Wo das revDSG eine Protokollierung verlangt, gilt eine längere Frist (siehe nächster Abschnitt). Im Zweifel bewahren Sie länger auf, denn Angriffe bleiben oft Wochen oder Monate unbemerkt.

In Microsoft-365-Umgebungen übernimmt das integrierte Audit-Log diese Rolle. Microsoft beschreibt dessen Zweck so: «Your organization's unified audit log captures, records, and retains thousands of user and admin operations.» In der Standardvariante werden Audit-Einträge laut Microsoft Learn 180 Tage aufbewahrt, in der Premium-Variante zentrale Protokolle bis zu einem Jahr. Welcher Speicher für Ihre Praxis passt, richtet Ihr IT-Partner ein.

Verlangt das revDSG eine Protokollierung von Patientendaten-Zugriffen?

In bestimmten Fällen ja, und diese Unterscheidung wird oft falsch dargestellt. Eine generelle, ausnahmslose Protokollierungspflicht für jede Praxis lässt sich aus dem revidierten Datenschutzgesetz nicht ableiten. Eine konkrete Pflicht ergibt sich aber aus der Datenschutzverordnung (DSV), wenn besonders schützenswerte Daten in grossem Umfang automatisiert bearbeitet werden.

Artikel 4 DSV hält fest, dass private Verantwortliche dann «zumindest das Speichern, Verändern, Lesen, Bekanntgeben, Löschen und Vernichten der Daten protokollieren» müssen, sofern präventive Massnahmen den Datenschutz nicht gewährleisten. Gesundheitsdaten sind besonders schützenswert, weshalb dieser Massstab für viele Praxen relevant ist. Ob «grosser Umfang» auf Ihre Praxis zutrifft, klären Sie im Einzelfall mit Ihrer Rechtsberatung.

Wo die Pflicht greift, gibt die DSV auch zwei harte Vorgaben vor: Die Protokolle sind «mindestens ein Jahr getrennt vom System» aufzubewahren, in dem die Daten bearbeitet werden, und sie dürfen «ausschliesslich» jenen Personen zugänglich sein, die die Einhaltung der Datenschutzvorschriften überprüfen oder die Vertraulichkeit und Nachvollziehbarkeit der Daten wahren. Der EDÖB hat dazu eigene technische Empfehlungen zur Protokollierung nach Art. 4 DSV veröffentlicht.

Damit fügt sich beides zusammen: Die FMH-Empfehlung 7 nennt mindestens drei Monate als guten IT-Grundschutz, Art. 4 DSV verlangt dort, wo er greift, mindestens ein Jahr für die Zugriffsprotokolle auf Patientendaten. Die längere Frist gewinnt.

Wie erkennt Monitoring einen Sicherheitsvorfall früh?

Protokollieren allein reicht nicht. Ein Logfile, das niemand ansieht, verhindert keinen Schaden, es dokumentiert ihn nur im Nachhinein. Den Unterschied macht das Monitoring: die laufende Auswertung der Logs und Systemzustände samt Alarmierung. Genau das fordert die FMH in Massnahme M-7.05, wonach Systeme «die Aktivität der Benutzenden aufzeichnen und auswerten sowie bei einem Ausfall eines ICT-Systems eine Alarmierung auslösen» sollen.

Warum das zählt, zeigt die Bedrohungslage. Das Bundesamt für Cybersicherheit (BACS, ehemals NCSC) erhielt allein im zweiten Halbjahr 2025 nach eigenen Angaben «29'006 freiwillige Meldungen sowie 145 meldepflichtige Cybervorfälle», im ersten Halbjahr 2025 waren es 35'727 Meldungen. Arztpraxen sind wegen ihrer sensiblen Daten ein lohnendes Ziel, und wer Auffälligkeiten erst Wochen später bemerkt, hat oft schon verloren.

So läuft der Weg vom rohen Log zum erkannten Vorfall in fünf Schritten:

Vergrössern

Für grössere Umgebungen bündeln SIEM-Systeme (Security Information and Event Management) diese Schritte. Eine typische Hausarzt- oder Facharztpraxis braucht selten ein eigenes SIEM, sondern ein sauber eingerichtetes zentrales Logging mit klaren Alarmregeln, das Ihr IT-Partner betreibt. Das verbindet sich eng mit der Systemhärtung und dem Patch-Management: Gehärtete, aktuelle Systeme erzeugen weniger Fehlalarme und klarere Spuren.

Wer darf die Protokolle einsehen?

So wenige wie möglich. Protokolle enthalten selbst sensible Informationen, etwa wer wann welchen Patientendatensatz geöffnet hat. Würden alle Mitarbeitenden die Logs lesen können, entstünde ein neues Datenschutzproblem statt einer Schutzmassnahme. Deshalb verlangen sowohl die FMH («nur mit eingeschränkten Benutzerrechten einsehbar») als auch Art. 4 DSV einen eng begrenzten Zugriff.

In der Praxis heisst das: Zugriff auf die Protokolle haben nur die für Datenschutz und IT-Sicherheit zuständigen Personen, also etwa der DSDS-Verantwortliche und der beauftragte IT-Partner. Der Zugriff selbst wird wiederum protokolliert. Wer welche Rolle hat, halten Sie in Ihrem Berechtigungskonzept fest, das auch festlegt, wer überhaupt auf Patientendaten zugreifen darf.

Was passiert mit den Logs im Notfall?

Im Ernstfall werden aus Protokollen Beweise. Nach einem Verdacht auf einen Sicherheitsvorfall, etwa einem Ransomware-Angriff, rekonstruiert man aus den Logs, wie der Angreifer ins System kam und ob Patientendaten betroffen waren. Ohne brauchbare Protokolle bleibt diese Frage unbeantwortbar, und genau sie müssen Sie bei einer Meldung an Behörden beantworten können.

Das Monitoring ist deshalb der erste Baustein eines funktionierenden IT-Notfallplans: Es löst den Alarm aus, der den Notfallprozess startet. Die nachgelagerte Reaktion, also Eindämmung, Wiederherstellung und Meldung, beschreibt das BACS in seinen Checklisten zum Vorgehen nach einem Cybervorfall. Wie Sie sich gegen Verschlüsselungsangriffe wappnen, lesen Sie im Ratgeber Cybersecurity und Ransomware-Schutz.

Häufig gestellte Fragen (FAQ)

Key Takeaways

---

*Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechts- oder Medizinberatung. Ob und in welchem Umfang eine Protokollierungspflicht auf Ihre Praxis zutrifft, klären Sie im Einzelfall mit Ihrer Rechtsberatung.*