Cyberangriffe: warum Arztpraxen ins Visier geraten, und wie Sie sich schützen
Oft stellt man sich Cyberangriffe als etwas vor, das grossen Unternehmen vorbehalten ist. Die Realität 2026 ist das Gegenteil: kleine Gesundheitsstrukturen sind bevorzugte Ziele. Sie besitzen hochsensible Daten und sind oft weniger geschützt als eine grosse Organisation. Die gute Nachricht: Die Cybersicherheit einer Praxis ist keine Frage des Budgets, sondern der Hygiene. Dieser Leitfaden erklärt, warum Sie betroffen sind, welches die häufigsten Angriffe sind, und die einfachen Massnahmen, die den Grossteil des Risikos abdecken.
Das Wichtigste in Kürze
- Praxen geraten ins Visier, weil Gesundheitsdaten wertvoll sind, der Betrieb nicht stillstehen kann und die Abwehr oft begrenzt ist.
- Die häufigsten Angriffe: Phishing (gefälschte E-Mail), Ransomware, schwache Passwörter und gestohlene Geräte.
- Der Grossteil des Risikos wird mit einfachen, günstigen Gewohnheiten abgedeckt. Perfekte Sicherheit gibt es nicht; eine «vernünftige und aktuelle» Sicherheit schreckt die überwiegende Mehrheit der Angriffe ab.
- Wenn Sie nur zwei Dinge tun: die doppelte Anmeldesicherheit und getestete Backups.
- Eine gut gewartete Website ist kein Schwachpunkt; eine vernachlässigte schon.
1. Warum das Gesundheitswesen ein bevorzugtes Ziel ist
Drei Gründe kommen zusammen:
- Gesundheitsdaten sind wertvoll. Auf dem Schwarzmarkt bringt eine Krankenakte weit mehr als eine blosse Kreditkartennummer, weil sie eine vollständige und dauerhafte Identität enthält, die sich nicht «zurücksetzen» lässt.
- Eine Praxis kann nicht stillstehen. Wenn Agenda und Akten blockiert sind, ist der Druck enorm, ein Lösegeld zu zahlen und den Betrieb wieder aufzunehmen. Die Angreifer wissen das.
- Wenige Strukturen haben ein eigenes IT-Team. Das Trio «wertvolle Daten, hoher Druck, begrenzte Abwehr» ist genau das, was ein opportunistischer Angreifer sucht.
Wichtig: Die meisten Angriffe sind nicht gezielt. Es sind automatische Kampagnen, die breit streuen und treffen, wer nicht geschützt ist. Sie müssen nicht «interessant» sein, um getroffen zu werden, nur verwundbar.
2. Die häufigsten Angriffe, ohne Jargon
- Phishing. Eine E-Mail, die einen Lieferanten, eine Bank, eine Kasse oder eine Behörde nachahmt, um Ihre Zugangsdaten zu stehlen oder Sie einen gefährlichen Anhang öffnen zu lassen. Es ist das Einfallstor Nummer eins, und es zielt auf den Menschen, nicht auf die Maschine.
- Ransomware. Eine Software, die Ihre Dateien verschlüsselt und ein Lösegeld für die Entsperrung fordert. Ohne Backup ist das eine Katastrophe: Agenda, Akten, alles wird unzugänglich.
- Schwache oder wiederverwendete Passwörter. Ein einziges erratenes oder aus einem Leck wiedergewonnenes Passwort, und es ist der Zugang zu allem anderen, wenn Sie es überall verwenden.
- Diebstahl oder Verlust von Geräten. Ein unverschlüsselter Laptop oder USB-Stick ist die Patientenakte im Freien.
Zum Merken: Der Grossteil des Risikos wird mit einfachen, kostengünstigen Gewohnheiten abgedeckt. Perfekte Sicherheit gibt es nicht, aber eine «vernünftige und aktuelle» Sicherheit genügt, um die überwiegende Mehrheit der Angriffe, die opportunistisch sind, abzuschrecken.
3. Die Massnahmen, die wirklich zählen
- Die doppelte Anmeldesicherheit (ein Code zusätzlich zum Passwort) bei allem, was Patientendaten betrifft. Es ist die Massnahme mit dem besten Verhältnis von Aufwand zu Schutz: Selbst ein gestohlenes Passwort genügt dann nicht mehr zum Eindringen.
- Automatische und getestete Backups. Ein Backup, das man noch nie wiederhergestellt hat, ist kein echtes Backup. Es ist Ihr Sicherheitsnetz gegen Ransomware.
- Die Updates. Software, Website, Browser, System. Die meisten Angriffe nutzen bereits behobene Lücken, die niemand installiert hat.
- Einzigartige Passwörter, idealerweise mit einem Passwortmanager (der sie erstellt, sich merkt und für Sie ausfüllt).
- Die Verschlüsselung der Geräte. Auf neueren Macs und PCs standardmässig aktiviert, man sollte es aber überprüfen. Ein gestohlenes, verschlüsseltes Gerät bleibt unlesbar.
- Ein seriöses und konformes Hosting (siehe revDSG): zu wissen, wo die Daten sind und wer darauf zugreift.
- Vorsicht bei E-Mails. Beim geringsten Zweifel klickt man nicht, sondern prüft über einen anderen Kanal (zum Beispiel einen Anruf).
4. Wo anfangen: die Massnahmen nach Aufwand-Schutz-Verhältnis
| Massnahme | Wovor sie schützt | Aufwand |
|---|---|---|
| Doppelte Anmeldesicherheit | Gegen gestohlene Passwörter | Gering |
| Automatische, getestete Backups | Gegen Ransomware und Datenverlust | Gering bis mittel |
| Regelmässige Updates | Gegen bekannte Lücken | Gering |
| Einzigartige Passwörter + Manager | Gegen den Dominoeffekt eines Lecks | Gering |
| Verschlüsselung der Geräte | Gegen Gerätediebstahl | Sehr gering (oft nur aktivieren) |
| Wachsamkeit bei E-Mails | Gegen Phishing | Gering (Gewohnheit) |
Alle diese Massnahmen sind in Ihrer Reichweite, ohne nennenswertes Budget. Beginnen Sie mit den ersten beiden: Sie allein decken den Grossteil des Risikos ab.
5. Und die Website in all dem?
Eine gut gebaute und gewartete Website (Sicherheitsupdates, aktuelles Hosting) ist kein Schwachpunkt. Eine seit drei Jahren vernachlässigte Website hingegen schon: Sie wird zum Einfallstor für automatische Angriffe. Und wenn Ihre Website einen Verwaltungsbereich oder eine Terminbuchung umfasst, sind die doppelte Sicherheit und die Backups nicht optional: Sie sind das Fundament.
6. Was tun, wenn Sie betroffen sind?
Einen kühlen Kopf zu bewahren, ändert alles. Die richtigen Reflexe:
- Das betroffene Gerät oder System vom Netzwerk trennen, um die Ausbreitung zu begrenzen.
- Nicht überstürzt zahlen im Fall von Ransomware: Zahlen garantiert nichts und ermutigt die Angreifer. Ihre Backups sind Ihre beste Option.
- Hilfe holen bei einer vertrauenswürdigen IT-Fachperson.
- Beurteilen, ob Patientendaten betroffen sind: Wenn ja, gelten die Pflichten des revDSG (allfällige Meldung an den EDÖB und die betroffenen Personen).
- Dokumentieren, was geschehen ist und welche Massnahmen ergriffen wurden.
Häufige Fragen
Meine Praxis ist klein, bin ich wirklich ein Ziel?
Ja. Die meisten Angriffe zielen auf niemanden im Besonderen: Sie streuen breit und treffen, wer nicht geschützt ist. Klein zu sein schützt nicht; aktuell zu sein schon.
Ist die doppelte Sicherheit kompliziert einzurichten?
Nein. Konkret ist es ein per App empfangener Code oder ein zweiter Faktor bei der Anmeldung. Einige Minuten Einrichtung, für einen beträchtlichen Schutzgewinn. Es ist die Massnahme, die man zuerst aktivieren sollte.
Sollte man im Fall von Ransomware das Lösegeld zahlen?
Davon wird dringend abgeraten: Zahlen garantiert nicht, dass Sie Ihre Daten zurückbekommen, und finanziert die Angreifer. Genau damit man sich die Frage nie stellen muss, braucht es getestete Backups.
Genügt ein Virenschutz?
Nein. Ein Virenschutz ist nützlich, ersetzt aber weder die doppelte Sicherheit, noch die Backups, noch die Updates, noch die Wachsamkeit bei E-Mails. Sicherheit ist eine Reihe von Reflexen, nicht eine einzige Software.
Was tun mit alten Computern und USB-Sticks?
Bevor Sie sie entsorgen, löschen Sie die Daten wirklich (ein blosses «Papierkorb leeren» genügt nicht). Und solange Sie sie verwenden, prüfen Sie, ob sie verschlüsselt sind.
Das Wichtigste zum Schluss
Die Cybersicherheit einer Praxis ist keine Frage des grossen Budgets, sondern eine Frage der Hygiene. Einige Gewohnheiten, ernsthaft angewandt, bringen Sie bereits ausser Reichweite der überwiegenden Mehrheit der Angriffe. Die richtige Frage ist nicht «kann mir das passieren», sondern «wäre ich bereit, wenn es passierte». Lautet die Antwort nein, beginnen Sie mit zwei Massnahmen: der doppelten Anmeldesicherheit und den Backups. Sie allein decken den Grossteil des Risikos ab.
Quellen
- Bundesamt für Cybersicherheit (NCSC) · Halbjahresberichte: Ein grosser Teil der gemeldeten Ransomware-Vorfälle betrifft KMU; Empfehlungen (Mehr-Faktor-Authentifizierung, Sensibilisierung des Personals).
- SWI swissinfo.ch · Gesundheitsbereich besser vor Cyberkriminellen schützen.
Ein Website-Projekt für Ihre Praxis?
Nehmen wir uns 20 Minuten. Persönliche Analyse und kostenloses Angebot, ohne Verpflichtung.
Sprechen wir über Ihr Projekt