Was tun bei einem Cyberangriff auf die Arztpraxis?

Zuerst Ruhe bewahren, betroffene Geräte vom Netz trennen statt auszuschalten, den IT-Dienstleister alarmieren und den Vorfall dokumentieren. Danach die Meldepflichten erfüllen, auf ein Ersatzverfahren umstellen und erst nach geschlossener Sicherheitslücke aus einer geprüften, getrennten Sicherung wiederherstellen.

Muss ein Cyberangriff auf die Praxis gemeldet werden?

Ja. Sind personenbezogene Daten betroffen, ist der Vorfall der zuständigen Datenschutzaufsicht zu melden, in der Regel binnen 72 Stunden. Zusätzlich sind eine Anzeige bei der Polizei und die Information der Cyberversicherung sinnvoll. Die IT-Sicherheitsrichtlinie der KBV verlangt zudem einen Notfallplan.

Soll man bei Ransomware das Lösegeld zahlen?

Sicherheitsbehörden raten davon ab. Eine Zahlung garantiert keine saubere Wiederherstellung und finanziert weitere Angriffe. Der verlässliche Weg führt über eine getrennte, geprüfte Datensicherung und die fachliche Aufarbeitung des Vorfalls.

Cyberangriff in der Arztpraxis: der Notfallplan in 8 Schritten

Ein Cyberangriff trifft Arztpraxen selten zur passenden Zeit. Häufig fällt morgens auf, dass sich das Praxisverwaltungssystem nicht mehr öffnet, Dateien verschlüsselt sind oder eine Lösegeldforderung auf dem Bildschirm steht. Ransomware legt dann Karteikarte, Terminplanung und Abrechnung gleichzeitig lahm. Wer in diesem Moment einen klaren Plan hat, verliert weniger Zeit, weniger Daten und weniger Nerven. Die folgenden acht Schritte führen durch den IT-Notfall in der Arztpraxis.

Warum die ersten Minuten entscheiden

Bei einem aktiven Angriff arbeitet die Schadsoftware weiter, solange die Systeme verbunden bleiben. Jede Minute kann weitere Geräte und Sicherungen erfassen. Gleichzeitig sitzen Patienten im Wartezimmer und die Versorgung muss weitergehen. Beides zugleich zu steuern gelingt nur mit einer festen Reihenfolge, die vorher feststeht und nicht erst im Schreck improvisiert wird.

Der Notfallplan in 8 Schritten

Ruhe bewahren und nichts überstürzen. Schalten Sie betroffene Geräte nicht vorschnell aus. Ein hartes Abschalten kann Spuren vernichten, die später für die Aufklärung und für die Versicherung wichtig sind. Verschaffen Sie sich zuerst einen Überblick, welche Bildschirme betroffen sind.
Betroffene Systeme vom Netz trennen. Ziehen Sie das Netzwerkkabel und trennen Sie das WLAN, um die Ausbreitung zu stoppen. Trennen Sie auch externe Festplatten und USB-Sicherungen, damit die Schadsoftware nicht auf die Backups übergreift. Das Gerät bleibt eingeschaltet, aber isoliert.
Den IT-Dienstleister sofort alarmieren. Rufen Sie den Dienstleister an, der Ihre Praxis-IT betreut, bevor Sie selbst an den Systemen herumprobieren. Wer die Umgebung kennt, schätzt das Ausmaß schneller ein und verhindert, dass durch eigene Versuche weitere Spuren verloren gehen.
Den Vorfall dokumentieren. Halten Sie Uhrzeit, betroffene Geräte und sichtbare Meldungen fest und fotografieren Sie den Bildschirm. Diese Aufzeichnung brauchen Sie für die Meldung an die Datenschutzaufsicht, für die Anzeige und für die Cyberversicherung.
Meldepflichten erfüllen. Sind personenbezogene Daten betroffen, ist der Vorfall der zuständigen Datenschutzaufsicht zu melden, in der Regel binnen 72 Stunden. Erstatten Sie Anzeige bei der Zentralen Ansprechstelle Cybercrime der Polizei und informieren Sie Ihre Cyberversicherung. Auch die zuständige Kassenärztliche Vereinigung sollte vom Ausfall erfahren.
Auf ein Ersatzverfahren umstellen. Die Versorgung läuft weiter, auch ohne System. Greifen Sie auf Papierdokumentation, Ersatzbescheinigungen und das TI-Ausfallkonzept zurück, halten Sie dringende Termine und verschieben Sie planbare. Notieren Sie alles, was später nachgetragen werden muss.
Kein Lösegeld zahlen. Eine Zahlung garantiert keine saubere Wiederherstellung und finanziert die nächste Angriffswelle. Sicherheitsbehörden raten davon ab. Setzen Sie stattdessen auf die geprüfte Datensicherung und die forensische Bewertung durch den Dienstleister.
Sauber wiederherstellen statt schnell. Spielen Sie Systeme erst zurück, wenn die Lücke gefunden und geschlossen ist. Andernfalls verschlüsselt der gleiche Weg die Praxis erneut. Setzen Sie betroffene Geräte neu auf und stellen Sie die Daten aus einer getrennten, geprüften Sicherung wieder her. Erst danach gehen die Systeme wieder ans Netz.

Meldepflichten kennen, bevor der Ernstfall kommt

Ein Cyberangriff auf eine Arztpraxis ist fast immer auch ein Datenschutzvorfall, weil Patientendaten betroffen sein können. Die Meldung an die Aufsichtsbehörde, möglichst binnen 72 Stunden, gehört deshalb zum Pflichtprogramm und nicht zur Kür. Wer Fristen und Ansprechpartner schon vor dem Ernstfall kennt und schriftlich im Notfallplan stehen hat, verliert im Stress keine Zeit mit Recherche. Die IT-Sicherheitsrichtlinie der KBV verlangt einen solchen Notfallplan ausdrücklich.

Vorbeugen kostet weniger als wiederherstellen

Die meisten Angriffe scheitern an solider IT-Hygiene. Eine getestete Datensicherung, die vom Hauptsystem getrennt liegt, entscheidet darüber, ob aus einem Vorfall ein Tag Ausfall oder ein Datenverlust wird. Dazu kommen aktuelle Updates, eine Firewall am Netzübergang, getrennte Netze für Praxis, Gäste-WLAN und TI sowie ein Team, das Phishing erkennt. Genau diese Punkte fordert auch die IT-Sicherheitsrichtlinie der KBV. Als Teil eines Wartungsvertrags laufen Monitoring, Patch-Management und Sicherungskontrolle im Hintergrund, sodass eine Lücke auffällt, bevor sie ausgenutzt wird.

Jupitec betreut die IT von Arztpraxen bundesweit und kennt den Healthcare-Alltag mit Telematikinfrastruktur, Praxisverwaltungssystem und KV-Abrechnung. Wenn Sie einen Notfallplan aufstellen oder Ihre Sicherung und Ihren Schutz prüfen lassen möchten, rufen wir in der Regel innerhalb von zwei Stunden zurück, montags bis freitags.