Cybersecurity für Arztpraxen: Ransomware-Schutz, nDSG & IT-Sicherheit in der Schweiz

Schnellantwort: Wie schützt sich eine Arztpraxis wirksam vor Ransomware?

Arztpraxen sind das meistangegriffene Ziel im Schweizer Gesundheitswesen (BACS Lagebericht 2024). Wirksamer Schutz erfordert mehrere Sicherheitsschichten — kein Einzelprodukt reicht aus (Defense-in-Depth).

Ein erfolgreicher Ransomware-Angriff verursacht erhebliche Kosten durch Ausfallzeit, Wiederherstellung und nDSG-Meldepflichten. Das nDSG verpflichtet zur Meldung innerhalb von 72 Stunden beim EDÖB (edoeb.admin.ch).

*Quellen: BACS Lagebericht Cybersicherheit 2024 (bacs.admin.ch); avenios GmbH Erfahrungswerte (2026).*

Auf einen Blick (TL;DR): Arztpraxen gehören zu den bevorzugten Zielen von Cyberkriminellen — wegen hochsensibler Patientendaten, oft veralteter IT-Infrastruktur und begrenzter IT-Ressourcen. Ein Ransomware-Angriff kann eine Praxis tagelang lahmlegen und schwere nDSG-Konsequenzen nach sich ziehen. Die wichtigsten Schutzmassnahmen: Endpoint Detection & Response (EDR), Next-Gen-Firewall, 3-2-1-Backup-Strategie, regelmässiges Patch-Management und gezieltes Mitarbeiter-Training gegen Phishing. Kein einzelnes Tool reicht — wirksamer Schutz besteht aus mehreren Sicherheitsschichten (Defense-in-Depth).

Warum Arztpraxen bevorzugte Angriffsziele sind

Vergrössern

Die Zahlen sind alarmierend: Laut dem Bundesamt für Cybersicherheit (BACS) ist das Gesundheitswesen seit 2020 der am stärksten attackierte Sektor in der Schweiz. Ransomware-Gruppen wie LockBit, BlackCat und Cl0p haben Spitäler und Arztpraxen gezielt angegriffen — nicht zufällig, sondern strategisch.

Warum Arztpraxen?

*Wertvolle Daten:* Patientendaten sind auf dem Darknet deutlich mehr wert als Kreditkartendaten. Ein vollständiger Gesundheitsdatensatz erzielt bis zu USD 1'000 — gegenüber USD 1–5 für eine Kreditkarte. Diagnosen, Medikamente, psychische Erkrankungen, HIV-Status — diese Informationen sind für Erpressung, Versicherungsbetrug und Identitätsdiebstahl wertvoll.

*Bereitschaft zur Zahlung:* Im Gegensatz zu Unternehmen, die auf eine gesperrte CRM-Datenbank warten können, kann eine Arztpraxis ohne IT-Zugang buchstäblich keine Patienten mehr behandeln. Der Druck zu zahlen ist enorm — und das wissen Kriminelle.

*Schwache Verteidigung:* Kleine und mittlere Arztpraxen investieren historisch wenig in IT-Sicherheit. Veraltete Windows-Versionen, fehlende Firewall-Konfigurationen, keine Backup-Tests — all das macht sie zur leichten Beute.

*Vernetzung als Risiko:* Praxen sind mit Laboren, Spitälern, Apotheken und Krankenkassen vernetzt. Ein kompromittiertes Gerät kann als Einfallstor für das gesamte Netzwerk dienen.

Anatomie eines Ransomware-Angriffs auf eine Arztpraxis

Um sich zu schützen, muss man verstehen, wie ein Angriff abläuft. Der typische Ablauf:

Tag 1–14: Initiale Kompromittierung (unbemerkt)

In 90 % der Fälle beginnt ein Angriff mit einer Phishing-E-Mail. Eine MPA klickt auf einen vermeintlichen Laborauftrag oder eine gefälschte Rechnungs-E-Mail. Malware installiert sich still im Hintergrund — keine sichtbaren Symptome.

Tag 2–21: Lateral Movement (unbemerkt)

Die Angreifer erkunden das Netzwerk, eskalieren Berechtigungen, stehlen Zugangsdaten und identifizieren wertvolle Systeme. Backup-Server werden gezielt deaktiviert oder verschlüsselt.

Tag 14–28: Datenexfiltration (unbemerkt)

Bevor die Verschlüsselung beginnt, werden Patientendaten ins Ausland kopiert. Das ermöglicht die doppelte Erpressung: «Zahlen Sie, oder wir veröffentlichen Ihre Patientendaten.»

Angriffstag: Verschlüsselung und Lösegeldforderung

Alle erreichbaren Dateien werden verschlüsselt. Die Praxis ist komplett lahmgelegt — keine Patientenakten, keine Terminverwaltung, kein Laborzugang. Eine Lösegeldforderung erscheint auf dem Bildschirm.

Folgen eines ungeschützten Angriffs:

- Vollständige Datenverschlüsselung, kein Zugriff auf Patientenakten

- Praxisausfall über mehrere Tage

- nDSG-Meldepflicht beim EDÖB innerhalb von 72 Stunden

- Reputationsschaden, Patientenabgänge

Die Kosten sind erheblich — eine professionelle Cybersecurity-Lösung kostet dagegen nur CHF 200–500/Monat.

Die 6 Sicherheitsschichten für Arztpraxen

Vergrössern

Wirksamer Schutz funktioniert nur durch mehrere aufeinander abgestimmte Massnahmen — kein einzelnes Produkt schützt vollständig. Das Prinzip heisst Defense-in-Depth.

Schicht 1: Endpoint Detection & Response (EDR)

EDR ist der Nachfolger des klassischen Antivirenprogramms — und ein fundamentaler Unterschied. Während traditionelles Antivirus bekannte Malware anhand von Signaturen erkennt, analysiert EDR das *Verhalten* von Prozessen in Echtzeit.

Was EDR leistet:

- Erkennt unbekannte Ransomware anhand von Verhaltensmustern (abnormale Dateiverschlüsselung, verdächtige Prozesse)

- Isoliert ein kompromittiertes Gerät automatisch vom Netzwerk

- Ermöglicht forensische Analyse: Welche Dateien wurden angefasst? Welche Prozesse waren beteiligt?

- Rollback-Funktion: Verschlüsselte Dateien können aus Shadow-Copies wiederhergestellt werden

Empfehlungen für Arztpraxen: CrowdStrike Falcon Go, SentinelOne Singularity, oder Bitdefender GravityZone. Wichtig: EDR muss zentral verwaltet werden — ein selbst installiertes EDR ohne Monitoring ist wertlos.

Schicht 2: Next-Generation-Firewall (NGFW)

Eine professionelle Business-Firewall ist nicht verhandelbar. Consumer-Router (Fritzbox, Zyxel-Heimgeräte) bieten keine ausreichende Sicherheit für eine Arztpraxis.

Was eine NGFW leistet:

- Deep Packet Inspection: Prüft den Inhalt von Datenpaketen, nicht nur die Absenderadresse

- Application Control: Blockiert riskante Anwendungen und Protokolle

- Intrusion Prevention System (IPS): Erkennt und blockiert bekannte Angriffsmuster

- SSL-Inspection: Entschlüsselt und prüft auch HTTPS-Traffic auf Malware

- DNS-Filterung: Blockiert bekannte Malware-Domains bevor eine Verbindung hergestellt wird

Empfehlungen: Fortinet FortiGate oder Sophos XGS — beide bieten speziell angepasste Modelle für kleine Unternehmen ab CHF 400/Jahr.

Netzwerksegmentierung: Medizinische Geräte (Ultraschall, EKG, Röntgen) sollten in einem eigenen VLAN isoliert sein. Kompromittiert ein Angreifer die Verwaltungs-IT, kann er nicht automatisch auf die Geräte zugreifen.

Schicht 3: Die 3-2-1-Backup-Strategie

Backups sind die letzte Verteidigungslinie. Aber nicht jedes Backup schützt gegen Ransomware.

Das 3-2-1-Prinzip:

- 3 Kopien der Daten (1 × Produktion, 2 × Backup)

- 2 verschiedene Speichermedien (z.B. lokale NAS + Cloud)

- 1 Kopie offline oder «air-gapped» (vom Netzwerk getrennt, unerreichbar für Ransomware)

Kritische Fehler, die viele Praxen machen:

- Backup läuft auf demselben Server wie die Produktivdaten → Ransomware verschlüsselt beides

- Backup ist dauerhaft mit dem Netzwerk verbunden → ebenfalls verschlüsselbar

- Backup wird nie getestet → Im Ernstfall unbrauchbar (Wiederherstellungszeit 48+ Stunden)

Best Practice für Arztpraxen:

- Tägliches automatisches Backup auf lokale NAS (Synology mit Versionierung)

- Wöchentliches Backup in Schweizer Cloud (Acronis, Veeam, Microsoft Azure Backup)

- Monatlicher Backup-Test: Tatsächlich eine Datei wiederherstellen und die Zeit messen

- Backup-Dokumentation im IT-Notfallplan festhalten

Recovery Time Objective (RTO) definieren: Wie lange darf die Praxis maximal ausfallen? 4 Stunden? 24 Stunden? Diese Zahl bestimmt die Backup-Frequenz und die Investition in Wiederherstellungssysteme.

Schicht 4: Patch-Management

Ungepatchte Software ist der zweitgrösste Einfallsvektor nach Phishing. Die Ransomware-Gruppe WannaCry nutzte eine bekannte Windows-Schwachstelle aus — für die Microsoft drei Monate zuvor einen Patch veröffentlicht hatte. Trotzdem wurden 200'000 Computer in 150 Ländern infiziert.

Was professionelles Patch-Management bedeutet:

- Alle Windows-Geräte erhalten Security-Updates innerhalb von 72 Stunden nach Release (kritische Patches sofort)

- Praxissoftware wird regelmässig aktualisiert — auch wenn das kurze Wartungsfenster erfordert

- Netzwerkgeräte (Router, Switches, Access Points) werden in den Patch-Zyklus einbezogen

- Software-Inventar: Überblick über alle installierten Programme und deren Versionsstände

- End-of-Life-Software (Windows 7, Office 2013) wird konsequent ersetzt

Mit einem Managed-Service-Vertrag übernimmt avenios das vollständige Patch-Management automatisch — Sie müssen sich darum nicht kümmern.

Schicht 5: Multi-Faktor-Authentifizierung (MFA)

Gestohlene Passwörter sind wertlos, wenn ein zweiter Faktor erforderlich ist. MFA ist heute Standard — und für Microsoft 365-Konten, VPN-Zugänge und Remote-Desktop-Verbindungen zwingend erforderlich.

MFA-Pflichten für Arztpraxen:

- Microsoft 365 / E-Mail: MFA aktivieren (Authenticator App, nicht SMS)

- Remote-Desktop (RDP): Nie ohne MFA exponieren — RDP ist der häufigste Einfallsvektor für externe Angriffe

- VPN-Zugang für Homeoffice: MFA für alle Remote-Verbindungen

- Praxissoftware-Webzugang: MFA wo verfügbar

Passwort-Hygiene: Jeder Account braucht ein einzigartiges, starkes Passwort. Ein Passwort-Manager (Bitwarden, 1Password Business) löst dieses Problem für das gesamte Praxisteam.

Schicht 6: Mitarbeiter-Training gegen Phishing

Technische Massnahmen schützen gegen automatisierte Angriffe. Gegen gezieltes Phishing ist das trainierte Urteilsvermögen Ihrer Mitarbeitenden die wichtigste Waffe.

Was Phishing-Training beinhaltet:

- Erkennen von gefälschten Absendern (Domain-Spoofing: «labor-risch@labor-risch.net» vs. echte Domain)

- Verdächtige Links vor dem Klicken hover-prüfen

- Unerwartete Anhänge (PDFs mit Makros, ZIP-Dateien) niemals ohne Rückfrage öffnen

- CEO-Fraud erkennen: Gefälschte Überweisungsanfragen von «der Ärztin» via E-Mail

- Meldeweg: Wie und wo wird ein verdächtiger Vorfall gemeldet?

Simulierte Phishing-Tests: Professionelle IT-Partner versenden kontrollierte Test-Phishing-Mails an das Praxisteam und messen die Klickrate. Kein Vorwurf — aber Lerneffekt. Praxen, die regelmässig trainieren, reduzieren ihre Klickrate von durchschnittlich 33 % auf unter 5 %.

nDSG-Pflichten bei einem Cyberangriff

Das revidierte Schweizer Datenschutzgesetz (nDSG), in Kraft seit September 2023, hat konkrete Auswirkungen auf den Umgang mit Cybervorfällen:

Meldepflicht bei Datenschutzverletzungen:

Wenn bei einem Ransomware-Angriff Patientendaten kompromittiert wurden (verschlüsselt, exfiltriert oder beides), besteht eine Meldepflicht gegenüber dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) — innert «nützlicher Frist», interpretiert als 72 Stunden nach Bekanntwerden.

Was gemeldet werden muss:

- Art der Verletzung (Verschlüsselung, Diebstahl, Verlust)

- Betroffene Datenkategorien (Diagnosen, Medikamente, etc.)

- Geschätzte Anzahl betroffener Personen

- Bereits getroffene und geplante Massnahmen

Pflicht zur Benachrichtigung der Betroffenen:

Wenn die Datenschutzverletzung voraussichtlich zu einem hohen Risiko für die betroffenen Personen führt, müssen diese direkt informiert werden. Bei Patientendaten ist das fast immer der Fall.

Dokumentationspflicht:

Alle Datenschutzverletzungen müssen intern dokumentiert werden — auch solche, die nicht gemeldet werden müssen. Ein Verarbeitungsverzeichnis und ein Vorfalls-Log sind Pflicht.

Technische und organisatorische Massnahmen (TOM):

Das nDSG verlangt, dass Praxen nachweislich geeignete Schutzmassnahmen implementiert haben. «Ich dachte, das reicht» ist keine Verteidigung — dokumentierte Sicherheitsmassnahmen schon.

Cybersecurity-Audit: Der erste Schritt

Bevor Massnahmen implementiert werden, braucht jede Praxis einen Überblick über ihren aktuellen Sicherheitsstatus. Ein professioneller IT-Sicherheits-Audit deckt auf:

- Netzwerk-Scan: Offene Ports, falsch konfigurierte Dienste, exponierte Remote-Desktop-Zugänge

- Software-Inventar: End-of-Life-Software, ungepatchte Systeme, überflüssige Dienste

- Backup-Test: Tatsächliche Wiederherstellungszeit unter realistischen Bedingungen

- Phishing-Simulation: Klickrate des Praxisteams auf simulierte Angriffs-Mails

- Passwort-Audit: Prüfung auf schwache oder wiederverwendete Passwörter

- Zugriffsberechtigungen: Wer hat Zugriff auf was? Least-Privilege-Prinzip eingehalten?

Das Ergebnis ist ein priorisierter Massnahmenplan — mit konkreten Handlungsempfehlungen, geschätzten Kosten und einem Umsetzungs-Zeitplan.

Was kostet Cybersecurity für eine Arztpraxis?

Die Investition in Prävention rentiert bereits beim ersten verhinderten Vorfall — ein Sicherheitsvorfall verursacht ein Vielfaches der jährlichen Schutzkosten.

Häufig gestellte Fragen (FAQ)