Security-Awareness in der Arztpraxis: Mitarbeitende für Datenschutz und Cybergefahren sensibilisieren
Security-Awareness in der Arztpraxis: So sensibilisieren Sie Ihr Team gegen Phishing und Social Engineering, Schulungskonzept, Häufigkeit und Merkblatt.
Auf einen Blick (TL;DR): Die teuerste Firewall nützt wenig, wenn am Empfang jemand auf eine gefälschte HIN-Mail klickt. Genau deshalb ist die Sensibilisierung der Mitarbeitenden, Security-Awareness, fester Bestandteil der FMH-Empfehlung 4 zum IT-Grundschutz. Sie trägt im Originaldokument den Titel «Praxismitarbeitende für Datensicherheit sensibilisieren». Dieser Ratgeber zeigt, wie Sie ein realistisches Schulungskonzept aufbauen: Sensibilisierung beim Eintritt, mindestens zweimal jährlich danach, ein Merkblatt am Arbeitsplatz und klare Regeln für die private Nutzung.
Warum ist der Mensch das grösste Sicherheitsrisiko in der Praxis?
Fragen Sie eine MPA, was sie an einem normalen Dienstagvormittag macht, und Sie hören: Telefon, Anmeldung, Rezepte, Laborwerte einscannen, zwischendurch eine E-Mail von der «Krankenkasse». In diesem Tempo passieren Fehler, nicht aus Nachlässigkeit, sondern weil Angreifer es gezielt darauf anlegen.
Das nennt man Social Engineering: die Manipulation von Menschen statt von Technik. Die FMH beschreibt es in ihren Minimalanforderungen zum IT-Grundschutz nüchtern: Social-Engineering-Angriffe «haben den Menschen als Ziel und versuchen, durch manipulative E-Mails, Anrufe oder Instant Messages, Kreditkarteninformationen oder Passwörter herauszufinden, um so den Zugang zum Endgerät zu erhalten». Der Angreifer sucht nicht die Lücke in der Firewall, er sucht den Moment, in dem jemand unter Zeitdruck nicht genau hinschaut.
Wie verbreitet das ist, zeigt die Statistik des Bundesamts für Cybersicherheit (BACS, vormals NCSC): 2025 gingen beim Bund knapp 65'000 Meldungen zu Cybervorfällen ein, Phishing machte davon 19 Prozent aus und war damit die zweithäufigste gemeldete Kategorie, gleich hinter den «Anrufen im Namen von Fake-Behörden» mit 26 Prozent, die beiden meistgemeldeten Bedrohungen zielen also nicht auf die Technik, sondern auf den Menschen. Dasselbe Bild zeigt der internationale Branchenstandard: Laut dem Verizon Data Breach Investigations Report 2025 ist «das menschliche Element» weiterhin an rund 60 Prozent aller untersuchten Datenschutzverletzungen beteiligt, durch Fehler, Manipulation oder Missbrauch.
Im Gesundheitswesen ist die Beute besonders wertvoll: schützenswerte Personendaten nach Art. 5 revDSG. Genau deshalb verpflichtet Art. 8 des revidierten Datenschutzgesetzes (DSG, SR 235.1) die Praxis dazu, durch «geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit» zu gewährleisten. Was das konkret heisst, präzisiert die FMH-Empfehlung 4: Zu diesen organisatorischen Massnahmen gehört ausdrücklich die Sensibilisierung der Mitarbeitenden, die «über verschiedene Kanäle, beispielsweise Schulungen, Merkblätter, Ereigniskommunikation oder Weiterbildung, erfolgen» kann. Den allgemeinen Rahmen dazu liefert der Leitfaden des EDÖB zu den technischen und organisatorischen Massnahmen.
Ein paar typische Maschen, die in Praxen tatsächlich vorkommen:
Technik allein fängt das nicht ab. Die menschliche Verteidigungslinie gehört ins Sicherheitskonzept, geplant, nicht zufällig.
> Hinweis: Security-Awareness ersetzt keine technischen Massnahmen, und umgekehrt. Eine gut geschulte Mitarbeiterin, die eine verdächtige Mail meldet, ist nur so wirksam wie der Prozess dahinter. Mensch und Technik müssen zusammenspielen.
Wie sieht ein realistisches Schulungskonzept aus?
Ein Schulungskonzept klingt nach grossem Apparat. In einer Einzelpraxis mit drei Mitarbeitenden darf es schlank sein, aber es muss existieren, schriftlich, damit Sie im Ernstfall Ihre Sorgfaltspflicht belegen können. Drei Fragen strukturieren jedes brauchbare Konzept: Wer wird wie oft zu welchen Themen geschult, und über welchen Kanal?
| Element | Empfehlung für die Praxis |
|---|---|
| Häufigkeit | Beim Eintritt + mindestens 2× jährlich (Auffrischung) |
| Themen | Phishing, Social Engineering, Passwörter/MFA, Umgang mit Patientendaten, Meldewege |
| Kanäle | E-Learning, Kurz-Schulung im Teammeeting, Phishing-Simulation, Merkblatt |
| Nachweis | Teilnahmeliste, unterschriebene Einverständniserklärung |
| Zielgruppen | Alle: MPA, Lernende, Ärztinnen und Ärzte, Reinigungs-/Aushilfspersonal mit IT-Zugang |
Sensibilisierung beim Eintritt
Der erste Arbeitstag ist der richtige Moment. Wer neu anfängt, bekommt ohnehin Zugänge, Passwörter und Abläufe erklärt, Security-Awareness gehört in dasselbe Onboarding. Konkret: eine kurze Einführung in die Hausregeln, das Merkblatt ausgehändigt und die Einverständniserklärung zum Umgang mit IT und Daten unterschrieben, die FMH-Empfehlung 4 verlangt diese Bestätigung ausdrücklich. Sie hält fest, dass die Person die Regeln verstanden hat.
Mindestens zweimal pro Jahr
Einmalig reicht nicht. Wissen verblasst, Maschen ändern sich, neue Mitarbeitende kommen dazu. Die FMH-Empfehlung 4 wird hier ungewohnt konkret: Datenschutz und Datensicherheit seien «mindestens zweimal jährlich zu thematisieren, beispielsweise an Teammeetings» (Massnahme M-4.03). Zwei kurze Termine pro Jahr, jeweils 30 bis 45 Minuten im Teammeeting genügen oft, halten das Thema präsent. Bewährt hat sich: im Frühjahr eine Auffrischung zu Phishing, im Herbst ein aktueller Fall aus der Region oder Branche. Solche Beispiele wirken stärker als jede abstrakte Regel.
Die inhaltliche Grundlage müssen Sie nicht selbst erfinden. Das HIN Awareness Portal stellt E-Learning-Module bereit, die speziell für das Schweizer Gesundheitswesen entwickelt wurden; HIN selbst beschreibt das Angebot als «Sensibilisierung und Schulung medizinischer Teams in bewährten Verfahren zur Minimierung von Cyberrisiken» und richtet es an den FMH-Empfehlungen aus. Es eignet sich gut als Basismodul beim Eintritt, die praxisnahen Termine im Team ersetzt es aber nicht.
Wie erkennen Mitarbeitende eine Phishing-Mail, und was tun sie dann?
«Woran erkenne ich eigentlich eine Phishing-Mail?», das ist die Frage, die in jeder Schulung als Erstes kommt. Die ehrliche Antwort: An mehreren Signalen gleichzeitig, selten an einem einzigen. Geben Sie dem Team eine Routine an die Hand, die in fünf Sekunden durchläuft.
Die wichtigsten Warnsignale, die ans Merkblatt gehören:
Mindestens ebenso wichtig wie das Erkennen ist das Melden. Eine gelöschte Mail lehrt niemanden etwas; eine gemeldete Mail warnt das ganze Team. Legen Sie einen einfachen Weg fest: «Verdächtige Mail nicht anklicken, nicht an Kolleginnen weiterleiten, sondern an die interne Ansprechperson oder den IT-Dienstleister melden.» Gravierende Fälle lassen sich zusätzlich beim NCSC unter `report.ncsc.admin.ch` melden.
Und entscheidend für die Kultur: Wer auf etwas hereinfällt, soll es *sofort* melden dürfen, ohne Angst vor Vorwürfen. Die schlimmsten Schäden entstehen, wenn jemand aus Scham zwei Stunden schweigt.
Der Anruf der angeblichen «IT»
Phishing läuft längst nicht nur per Mail, beim BACS waren betrügerische Anrufe 2025 sogar das meistgemeldete Phänomen überhaupt. Beim Fake-Support-Betrug ruft jemand an, gibt sich als Microsoft, als «Ihr IT-Partner» oder als HIN-Support aus und will Fernzugriff oder ein Passwort. Die Regel fürs Team ist denkbar einfach und sollte am Empfangstresen hängen: Niemand von der echten IT verlangt am Telefon ein Passwort oder die Installation von Fernwartungssoftware. Im Zweifel auflegen und über die bekannte Nummer zurückrufen, gerade dann, wenn der Anrufer freundlich und unter Zeitdruck klingt.
Wie regelt man private Nutzung und das Arbeitsplatz-Merkblatt?
Hand aufs Herz: Kaum eine Praxis verbietet die private Nutzung der Geräte vollständig, und ein Totalverbot wäre schwer durchzusetzen. Sinnvoller ist es, sie klar zu *regeln*, zwei Bausteine haben sich bewährt.
Zwei getrennte Benutzerkonten. Das berufliche Arbeiten am Praxissystem läuft über ein Konto mit Zugriff auf die Patientendaten; privates Surfen, falls erlaubt, über ein separates Konto ohne diese Rechte. So landet ein über eine private Website eingefangener Schädling nicht direkt im Praxisverwaltungssystem.
Whitelisting statt Blacklisting. Statt mühsam zu definieren, was alles verboten ist, gibt man frei, was gebraucht wird: HIN, Praxissoftware, Labor-Portale, ein paar definierte Seiten. Alles andere ist gesperrt. Das reduziert die Angriffsfläche, die Liste entscheidet, nicht das Bauchgefühl.
| Erlaubt (Beispiel) | Nicht erlaubt (Beispiel) |
|---|---|
| Berufliche Portale (HIN, Labor, PVS) | Software aus unbekannter Quelle installieren |
| Definierte, freigegebene Webseiten | Private USB-Sticks am Praxisrechner |
| Privates Surfen am separaten Konto (falls geregelt) | Patientendaten an private Mailadressen senden |
| Dienst-Mail mit MFA | Passwörter notieren oder teilen |
Das Arbeitsplatz-Merkblatt fasst all das auf einer Seite zusammen und hängt sichtbar, am Empfangstresen, neben dem Bildschirm. Auch die FMH-Empfehlung 4 sieht ein solches «Merkblatt mit Tipps» an gut sichtbaren Orten vor. Es ersetzt keine Schulung, erinnert aber im Alltag an das Wesentliche: Bildschirm sperren beim Verlassen des Platzes (Windows-Taste + L), keine Passwörter am Monitor, verdächtige Mails melden, im Zweifel nachfragen. Kurz, konkret, ohne Fachjargon.
Verschwiegenheit, auch nach dem Austritt
Die ärztliche Schweigepflicht endet nicht am Empfang, und auch nicht am letzten Arbeitstag. Wer die Praxis verlässt, bleibt zur Verschwiegenheit über alles verpflichtet, was er über Patientinnen und Patienten erfahren hat. Das gehört in den Arbeitsvertrag und sollte beim Austritt noch einmal bestätigt werden, zusammen mit dem Entzug aller Zugänge, der Rückgabe von Schlüsseln und Geräten und dem Sperren des HIN-Zugangs. Dieser «Offboarding»-Moment wird gern vergessen, ein aktiver Zugang einer längst ausgeschiedenen Person ist ein offenes Tor.
Sie möchten Ihr Team praxisnah sensibilisieren? avenios bietet Awareness-Trainings und Phishing-Simulationen für Arztpraxen an, zugeschnitten auf den Alltag von MPA und Ärzteschaft. Kostenloses Erstgespräch · FMH IT-Grundschutz im Überblick
Häufig gestellte Fragen (FAQ)
Die meisten erfolgreichen Angriffe beginnen beim Menschen, etwa durch eine angeklickte Phishing-Mail. Geschulte Mitarbeitende erkennen solche Versuche und reagieren richtig. Damit ist Awareness eine der wirksamsten und günstigsten Schutzmassnahmen überhaupt.
Sinnvoll sind eine Grundschulung beim Eintritt und danach kurze Auffrischungen mehrmals pro Jahr, ergänzt durch simulierte Phishing-Tests. Kurze, regelmässige Impulse wirken besser als eine einmalige lange Schulung.
Typische Zeichen sind erzeugter Zeitdruck, eine fast, aber nicht ganz korrekte Absenderadresse, unerwartete Anhänge oder Links sowie Aufforderungen zur Eingabe von Passwörtern. Im Zweifel nicht klicken und über einen bekannten Kanal nachfragen.
Ruhe bewahren und sofort die zuständige Stelle oder den IT-Partner informieren, das Gerät bei Verdacht vom Netz trennen und betroffene Passwörter ändern. Schnelles Melden begrenzt den Schaden, Schuldzuweisungen helfen nicht.
Die Verantwortung liegt bei der Praxisleitung. Sie sollte Schulungen ermöglichen, klare Regeln vorgeben und das Thema vorleben. Ein IT-Partner kann Schulungen, Phishing-Tests und Unterlagen beisteuern.
Das Wichtigste in Kürze
Häufig gestellte Fragen
Wie oft müssen Mitarbeitende in einer Arztpraxis zum Datenschutz geschult werden?
Eine starre gesetzliche Frequenz nennt das revDSG nicht, aber die FMH-Empfehlung 4 wird konkret: Sensibilisierung beim Eintritt und «mindestens zweimal jährlich», beispielsweise an Teammeetings. In der Praxis hat sich genau dieser Rhythmus bewährt: eine Einführung beim Eintritt und danach zwei Auffrischungen pro Jahr. Dokumentieren Sie die Teilnahme, im Ernstfall müssen Sie Ihre Sorgfaltspflicht belegen können.
Woran erkennt man eine Phishing-Mail in der Praxis?
An mehreren Signalen zusammen: künstlicher Zeitdruck, ein Absender, der fast stimmt (etwa `hin-service.ch` statt `hin.ch`), ein Link-Ziel, das nicht zum Text passt, ein unerwarteter Anhang oder die Aufforderung, Zugangsdaten einzugeben. HIN, Banken und seriöse IT-Dienstleister fragen Passwörter nie per E-Mail ab. Im Zweifel nicht klicken, nicht weiterleiten, sondern an die festgelegte Ansprechperson melden.
Was ist Social Engineering und warum sind Arztpraxen betroffen?
Social Engineering ist die gezielte Manipulation von Menschen, um an Daten oder Zugänge zu kommen, etwa durch eine gefälschte Mail, einen vorgetäuschten Support-Anruf oder eine angebliche Chef-Anweisung. Arztpraxen sind attraktiv, weil sie besonders schützenswerte Gesundheitsdaten verarbeiten und der Praxisalltag oft hektisch ist. Genau diese Kombination aus wertvollen Daten und Zeitdruck nutzen Angreifer aus.
Was bringt das HIN Awareness Portal?
Das HIN Awareness Portal bietet E-Learning-Module zu IT-Sicherheit und Datenschutz, die speziell für das Schweizer Gesundheitswesen entwickelt wurden. Es eignet sich gut als Basismodul, etwa beim Eintritt neuer Mitarbeitender, und sensibilisiert medizinische Teams für den sicheren Umgang mit Daten. Die praxisnahen Schulungstermine im eigenen Team und Phishing-Simulationen ersetzt es allerdings nicht.
Sollte private Internetnutzung am Praxis-PC verboten werden?
Ein Totalverbot ist selten praktikabel. Besser ist eine klare Regelung: zwei getrennte Benutzerkonten (eines fürs Praxissystem, eines ohne Zugriff auf Patientendaten für privates Surfen) und Whitelisting, das nur benötigte Seiten freigibt. So bleibt das Praxisverwaltungssystem geschützt, falls über eine private Website ein Schädling eingefangen wird. Halten Sie die Regeln im Arbeitsplatz-Merkblatt und in der Einverständniserklärung fest.
Was passiert mit den Zugängen, wenn eine Mitarbeiterin die Praxis verlässt?
Beim Austritt sollten alle Zugänge sofort deaktiviert werden, Praxissoftware, E-Mail, HIN, Fernzugriff, und Schlüssel sowie Geräte zurückgegeben werden. Die Verschwiegenheitspflicht über Patientendaten bleibt auch nach dem Austritt bestehen und sollte schriftlich bestätigt sein. Dieser Offboarding-Schritt wird häufig übersehen, ist aber sicherheitsrelevant: Ein aktiver Zugang einer ausgeschiedenen Person ist ein vermeidbares Risiko.
Verwandte Ratgeber
FMH IT-Grundschutz Arztpraxis Schweiz: Checkliste & Umsetzung 2026
FMH IT-Grundschutz Arztpraxis Schweiz 2026: 20-Punkte-Checkliste und 8 Kernbereiche. Umsetzung in 4–8 Wochen, Kosten ab CHF 3'000 für Einzelpraxen.
Passwort-Sicherheit & MFA für Arztpraxen: Passwortmanager & 2FA 2026
Passwort-Sicherheit in der Arztpraxis: starke Passwörter, Passwortmanager, Zwei-Faktor-Authentifizierung (MFA) und persönliche Logins, nDSG-konform.
Cybersecurity für Arztpraxen: Ransomware-Schutz, nDSG & IT-Sicherheit in der Schweiz
Ransomware-Schutz für Arztpraxen: EDR, Firewalls, Backups und Mitarbeiterschulung, was das nDSG verlangt und wie Sie Ihre Praxis wirksam schützen.
Haben Sie Fragen zu diesem Thema?
Wir beraten Sie gerne unverbindlich zu Ihren individuellen Anforderungen.
Kontakt aufnehmenChristoph Kuling
Gründer & IT-Berater, avenios GmbH
Über 10 Jahre Erfahrung in IT-Infrastruktur und Managed Services für medizinische Einrichtungen in der Deutschschweiz.
LinkedInDieser Beitrag dient der allgemeinen Information und ersetzt keine Rechts- oder Medizinberatung. Angaben zu Gesetzen (etwa dem nDSG), Preisen und Funktionen können sich ändern; für den konkreten Einzelfall ziehen Sie bitte eine Fachperson oder die zuständige Behörde bei.