Sichere Kommunikation jenseits von HIN: Zahlungsverkehr, CEO-Fraud, Telefon & Fax in der Arztpraxis
CEO-Fraud, Zahlungsbetrug und Vishing treffen auch Arztpraxen. So sichern Sie Zahlungsverkehr, prüfen Anrufer und positionieren das Fax richtig.
Auf einen Blick (TL;DR): Sichere medizinische Kommunikation endet nicht bei HIN. Die teuersten Vorfälle in Praxen passieren heute beim Geld: eine gefälschte Mail der «Praxisleitung», ein Anruf mit täuschend echter Stimme, eine angeblich neue Kontonummer des Labors. Das Bundesamt für Cybersicherheit (BACS, vormals NCSC) zählt CEO-Fraud zu den am häufigsten gemeldeten Betrugsformen von Unternehmen, 2025 vermehrt mit KI-generierten Stimmen. Dieser Beitrag zeigt, wie Sie Zahlungsverkehr, Telefon und Fax so organisieren, dass ein einzelner Klick oder Anruf nicht zum Schaden führt. Er ergänzt den IT-Grundschutz, konkret die FMH-Empfehlung 9 zur sicheren Kommunikation jenseits der Verschlüsselung.
> Hinweis: Die meisten Zahlungsbetrugsfälle scheitern nicht an der Technik, sondern an einer Sekunde Routine. Wer ungewöhnliche Zahlungs- oder Kontoänderungen *immer* über einen zweiten, bekannten Kanal verifiziert, fängt den Grossteil dieser Angriffe ab, ganz ohne neue Software.
Warum schützt HIN allein die Praxis nicht?
HIN (Health Info Net) verschlüsselt den Weg zwischen Praxis, Labor und Spital, die Pflicht, im Beitrag zur HIN-Anbindung ausführlich beschrieben. Aber HIN sichert den *Inhalt einer medizinischen Nachricht*, nicht den Moment, in dem eine MPA eine ganz normale Outlook-Mail öffnet, in der die Chefin um eine dringende Überweisung bittet. Genau dort setzen die Angreifer an.
Die FMH-Empfehlungen behandeln Kommunikation deshalb breiter als nur «verschlüsselte E-Mail». Es geht auch um organisatorische Regeln: Wer darf Zahlungen freigeben? Wie wird eine Konto- oder Stammdatenänderung geprüft? Was sagt das Team am Telefon, und was nicht? Klingt nach Buchhaltung, nicht nach IT. Das ist der Punkt.
Was ist CEO-Fraud, und trifft das wirklich Arztpraxen?
Beim CEO-Fraud (auch «Chefbetrug» oder Business E-Mail Compromise) geben sich Betrüger als Vorgesetzte, Praxisinhaber oder vertraute Geschäftspartner aus und beauftragen eine Zahlung. Die Mail kommt von einer leicht verfälschten Absenderadresse (`praxis-leitung@` statt `praxisleitung@`) oder, schlimmer, aus einem gehackten Konto. Typische Merkmale:
Trifft das Arztpraxen? Ja. Das BACS hält fest, dass CEO-Fraud zu den am häufigsten von Unternehmen gemeldeten Betrugsdelikten gehört, und die Zahl der Meldungen steigt: «Bei den am häufigsten von Unternehmen gemeldeten Betrugsdelikten ist bei CEO-Betrug auch in diesem Jahr eine Zunahme zu verzeichnen (2025: 970 / 2024: 719)», hält das BACS in seinem Jahresrückblick 2025 fest. Insgesamt gingen 2025 knapp 65'000 Meldungen zu Cybervorfällen beim BACS ein; allein im ersten Halbjahr waren es 35'727, davon laut Halbjahresbericht 2025/1 58 Prozent unter «Betrug». Zur verwandten Rechnungsmanipulation verzeichnet das BACS für 2025 ebenfalls eine Zunahme, 132 Meldungen gegenüber 114 im Vorjahr. Eine Praxis ist dafür kein zu kleines Ziel, im Gegenteil: Hier fehlt oft die formalisierte Vier-Augen-Freigabe, die ein grösserer Betrieb längst hat. Die FMH-Empfehlungen zum IT-Grundschutz adressieren genau diese Lücke.
Ein realistisches Szenario
Freitagnachmittag, 16:30 Uhr. Die MPA bekommt eine Mail, die aussieht, als käme sie von der Praxisinhaberin: «Offene Rechnung beim neuen Röntgen-Wartungspartner, Frist läuft heute ab. Bitte CHF 8'400 überweisen, IBAN im Anhang. Ich bin bis Montag im Kongress, melde dich nicht extra, danke!» Der Ton stimmt, die Signatur stimmt. Zehn Minuten später klingelt das Telefon: eine Stimme, die genau wie die Chefin klingt, bestätigt die Überweisung. Genau hier kommt 2025 die KI ins Spiel, dazu gleich mehr.
Wie sichert man den Zahlungsverkehr ab?
Die wirksamste Massnahme gegen Zahlungsbetrug ist keine Software, sondern eine klare Regel: Keine Zahlung über einem definierten Betrag wird von einer einzelnen Person allein ausgelöst. Das ist das Vier-Augen-Prinzip, und im E-Banking heisst seine technische Umsetzung Kollektivunterschrift, eine Zahlung wird erfasst, aber erst nach Freigabe durch eine zweite berechtigte Person ausgeführt.
Für eine Praxis lässt sich das pragmatisch staffeln:
| Zahlungstyp | Freigabe-Regel |
|---|---|
| Wiederkehrende Lieferanten, bekannte IBAN | Einzelfreigabe, im Dauerauftrag/Vorlage hinterlegt |
| Neue Zahlungsempfänger oder neue IBAN | Vier-Augen-Prinzip, Kontodaten zweitkanal-verifiziert |
| Beträge über definiertem Schwellenwert (z. B. CHF 2'000) | Kollektivunterschrift, zweite Person |
| Auslandszahlungen / Eilzahlungen ausserhalb Routine | Immer Rückfrage bei der angeblich auftraggebenden Person |
Den Schwellenwert legen Sie selbst fest, eine Einzelpraxis vielleicht CHF 1'000, eine Gruppenpraxis CHF 5'000. Wichtig ist nicht die Höhe, sondern dass die Regel schriftlich existiert und alle sie kennen. Sprechen Sie es einmal mit Ihrer Hausbank durch: Die Kollektivunterschrift im E-Banking ist meist kostenlos einzurichten und kostet im Alltag nur ein paar Klicks mehr.
Ein oft übersehener Nebeneffekt: Das Vier-Augen-Prinzip entlastet auch das Team. Wer eine ungewöhnliche Zahlung weiterreichen *muss*, gerät gar nicht erst unter Druck, allein falsch zu entscheiden.
Wie prüft man Stamm- und Kontoänderungen sicher?
Die zweite grosse Masche ist der Rechnungsbetrug (Invoice Fraud): Kriminelle geben sich als bekannter Lieferant aus, Labor, Wartungsfirma, Materialhändler, und melden per Mail eine «neue Bankverbindung». Die nächste echte Rechnung landet auf dem falschen Konto. Weil die Geschäftsbeziehung real ist, fällt der Wechsel oft erst beim Mahnlauf des echten Lieferanten auf. Das BACS beobachtet, dass Cyberkriminelle dafür zunehmend öffentlich verfügbare Daten, etwa aus dem Handelsregister, nutzen, um gefälschte Rechnungen im Namen echter Firmen täuschend echt aussehen zu lassen.
Das BACS formuliert die Gegenmassnahme unmissverständlich: «Verifizieren Sie die Richtigkeit des Auftrages bei ungewöhnlichen Aufforderungen durch telefonische oder persönliche Rücksprache und in keinem Fall, indem Sie auf die erhaltene E-Mail antworten», heisst es auf der BACS-Seite zum CEO-Betrug. Für die Praxis heisst das: Jede Änderung von Konto- oder Stammdaten wird über einen zweiten, unabhängigen Kanal bestätigt. Konkret:
Das gilt genauso für interne Stammdaten: eine geänderte Lohn-IBAN, eine angepasste Patientenadresse. Wer jede Datenänderung kurz gegenprüft, schliesst eine ganze Angriffsklasse aus.
Was sind Vishing und Deepfake-Anrufe?
2025 hat eine neue Qualität bekommen. Das BACS berichtet, dass Betrüger bei CEO-Fraud zunehmend KI-generierte Stimmen einsetzen: «Dabei wird die Stimme des Chefs oder eines Geschäftspartners durch künstliche Intelligenz täuschend echt imitiert», hält das Amt zu den Deepfake-Audioanrufen fest. Die Stimme einer Vorgesetzten wird aus wenigen Sekunden Audiomaterial geklont. Diese Variante des Telefonbetrugs heisst Vishing (Voice Phishing) und macht den «das klingt doch genau wie die Chefin»-Reflex unbrauchbar, als Gegenmittel empfiehlt das BACS ausdrücklich das Vier-Augen-Prinzip und die Verifizierung über einen zweiten Kanal.
Was hilft, wenn man der eigenen Wahrnehmung nicht mehr trauen kann? Ein vereinbartes Verfahren statt Bauchgefühl:
Anrufer-Identifikation vor jeder Auskunft
Vishing zielt nicht nur auf Zahlungen, sondern auch auf Daten. Ein Anrufer gibt sich als Versicherung, Kasse, IT-Dienstleister oder gar Patient aus und versucht, Auskünfte oder Zugänge zu erschleichen. Hier braucht die MPA am Empfang eine klare Linie:
Das ist kein Misstrauen gegenüber Patienten, sondern Datenschutz nach dem revidierten Datenschutzgesetz (revDSG/nDSG, SR 235.1), das Gesundheitsdaten als besonders schützenswerte Personendaten einstuft. Saubere Telefon-Disziplin gehört genauso zur sicheren Praxis wie die Passwort- und MFA-Hygiene. Wer seine Telefonanlage ohnehin modernisiert, kann Rufnummern-Anzeige und interne Verzeichnisse als Hilfe nutzen, wobei die angezeigte Nummer allein nie als Beweis taugt, sie lässt sich fälschen.
Wie geht man mit Fax in der Praxis um?
Das Fax ist in vielen Praxen noch da, für Überweisungen, Rezepte, Spitalkommunikation. Es ganz abzuschaffen ist unrealistisch, solange Gegenstellen es verlangen. Aber man kann es sicher *positionieren*:
Das Ziel ist nicht Fax-Verzicht um jeden Preis, sondern bewusster Umgang: so wenig Fax wie möglich, das verbleibende sauber abgesichert.
Sicher kommunizieren, über HIN hinaus. Lassen Sie Zahlungsfreigaben, Telefon-Disziplin und Fax-Handling einmal sauber aufsetzen. Kostenloses Erstgespräch · FMH IT-Grundschutz im Überblick
Was tun bei einem Betrugsverdacht?
Wenn eine Zahlung bereits ausgelöst wurde oder ein Verdacht besteht: schnell und in dieser Reihenfolge handeln.
Das Wichtigste in Kürze
Häufig gestellte Fragen (FAQ)
Achten Sie auf die Kombination aus Dringlichkeit, Geheimhaltung und Abweichung vom Normalablauf: eine unerwartete Zahlung, oft ins Ausland, mit der Bitte, niemanden zu fragen und sofort zu handeln. Die Mail kann täuschend echt aussehen, bis zur korrekten Signatur. Entscheidend ist nicht, ob sie «echt wirkt», sondern ob der *Vorgang* den vereinbarten Regeln folgt. Jede Zahlung, die das Vier-Augen-Prinzip umgehen soll, ist verdächtig.
Nein. HIN sichert die verschlüsselte Übermittlung medizinischer Inhalte zwischen Gesundheitsfachpersonen. CEO-Fraud und Rechnungsbetrug laufen über normale E-Mail, Telefon oder gefälschte Rechnungen und haben mit der HIN-Strecke nichts zu tun. Schutz bieten organisatorische Regeln, Zahlungsfreigaben, Zweitkanal-Verifikation, Telefon-Disziplin, nicht die Verschlüsselung an sich.
Über einen zweiten, unabhängigen Kanal: Rufen Sie den Lieferanten unter der bekannten Telefonnummer an, niemals unter der Nummer aus der Mail, die die Änderung meldet. Gleichen Sie die neue IBAN mündlich Ziffer für Ziffer ab und halten Sie fest, wer wann bestätigt hat. Erst danach wird die Bankverbindung im System hinterlegt.
Verlassen Sie sich nicht auf die Stimme, KI kann sie überzeugend klonen. Etablieren Sie ein Verfahren: bei ungewöhnlichen telefonischen Zahlungsaufträgen auflegen und über die gespeicherte Nummer zurückrufen, ein internes Codewort für dringende Freigaben vereinbaren, nichts unter Zeitdruck freigeben. Das BACS berichtet für 2025 vermehrt KI-Stimmen bei CEO-Fraud, der Rückruf über einen bekannten Kanal hebelt diese Masche aus. Auch die unabhängige Plattform «eBanking, aber sicher!» der Hochschule Luzern empfiehlt, Zahlungsaufforderungen vor der Ausführung über einen anderen Kanal direkt bestätigen zu lassen.
Eine Zahlung wird von einer Person erfasst, aber erst nach Freigabe durch eine zweite berechtigte Person ausgeführt. Im E-Banking heisst die Umsetzung Kollektivunterschrift. Gestaffelt für die Praxis: Routinezahlungen einzeln, neue Empfänger und Beträge über einem Schwellenwert nur zu zweit. So richtet ein einzelner Klick, auch unter Druck, keinen Schaden an.
Nicht zwingend. Solange Gegenstellen Fax verlangen, ist es kaum vermeidbar. Sinnvoll ist, es zu minimieren und abzusichern: alles, was über HIN laufen kann, dorthin verlagern, eingehende Faxe als PDF in ein zugriffsgeschütztes Postfach leiten statt offen auf den Gang, geprüfte Kurzwahlen pflegen, Sendeprotokolle aufbewahren. Ziel ist bewusster Umgang, nicht Symbolpolitik.
Verwandte Ratgeber
FMH IT-Grundschutz Arztpraxis Schweiz: Checkliste & Umsetzung 2026
FMH IT-Grundschutz Arztpraxis Schweiz 2026: 20-Punkte-Checkliste und 8 Kernbereiche. Umsetzung in 4–8 Wochen, Kosten ab CHF 3'000 für Einzelpraxen.
HIN-Anbindung für Arztpraxen: Einrichtung, Kosten & Pflichten in der Schweiz
HIN-Anbindung Arztpraxis Schweiz: Einrichtung, Kosten ab CHF 300/Jahr, EPD-Zugang und HIN-Mail Schritt für Schritt erklärt, für alle Praxissysteme.
Cybersecurity für Arztpraxen: Ransomware-Schutz, nDSG & IT-Sicherheit in der Schweiz
Ransomware-Schutz für Arztpraxen: EDR, Firewalls, Backups und Mitarbeiterschulung, was das nDSG verlangt und wie Sie Ihre Praxis wirksam schützen.
Haben Sie Fragen zu diesem Thema?
Wir beraten Sie gerne unverbindlich zu Ihren individuellen Anforderungen.
Kontakt aufnehmenChristoph Kuling
Gründer & IT-Berater, avenios GmbH
Über 10 Jahre Erfahrung in IT-Infrastruktur und Managed Services für medizinische Einrichtungen in der Deutschschweiz.
LinkedInDieser Beitrag dient der allgemeinen Information und ersetzt keine Rechts- oder Medizinberatung. Angaben zu Gesetzen (etwa dem nDSG), Preisen und Funktionen können sich ändern; für den konkreten Einzelfall ziehen Sie bitte eine Fachperson oder die zuständige Behörde bei.