Firewall und Netzwerk in der Arztpraxis: die IT-Sicherheits-Grundlagen
Inhalt
Wenn die IT in einer Arztpraxis Ärger macht, fällt der Blick zuerst auf die Praxissoftware oder die Telematikinfrastruktur. Die eigentliche Grundlage liegt eine Ebene tiefer: im Netzwerk und an der Firewall. Auf dieser Schicht entscheidet sich, ob Patientendaten geschützt sind, ob die TI stabil läuft und ob Ihre Praxis die Anforderungen der KBV-IT-Sicherheitsrichtlinie überhaupt erfüllen kann. Dieser Beitrag erklärt, warum eine saubere Netzwerkstruktur und eine echte Hardware-Firewall die Basis jeder IT-Sicherheit in der Praxis sind und worauf es bei der Einrichtung ankommt.
Warum der Router vom Anbieter nicht genügt
Viele Praxen hängen mit einem gewöhnlichen Anschlussrouter am Internet, wie ihn der Provider mitliefert. Für einen Privathaushalt reicht das. Eine Arztpraxis verarbeitet besonders schützenswerte Gesundheitsdaten und steht damit unter anderen Anforderungen. Die IT-Sicherheitsrichtlinie der KBV nennt den Schutz des Netzübergangs ausdrücklich, und der Router vom Anbieter allein erfüllt das nicht. Eine dedizierte Hardware-Firewall sitzt am Übergang zwischen Praxisnetz und Internet und kontrolliert, welcher Datenverkehr hinein- und hinausgeht. Moderne Geräte arbeiten als UTM-Firewall (Unified Threat Management) und bündeln mehrere Schutzfunktionen an einer Stelle: Filterung des Datenverkehrs, Abwehr bekannter Angriffsmuster und eine kontrollierte Trennung der Netze.
Netzsegmentierung: Praxisnetz, TI und Gäste-WLAN gehören getrennt
Ein flaches Netz, in dem alle Geräte nebeneinanderliegen, ist bequem und riskant zugleich. Wird ein einziges Gerät kompromittiert, etwa über eine Phishing-Mail, steht der Weg zu allen anderen offen. Eine saubere Segmentierung zieht Grenzen ein. Getrennt gehören mindestens:
- Das Praxisnetz mit Arbeitsplätzen, Server und Praxissoftware.
- Die Telematikinfrastruktur mit ihren Komponenten für eRezept, eAU, KIM und ePA.
- Das Gäste-WLAN für Patienten und praxisfremde Geräte, das keinen Zugriff auf das Praxisnetz haben darf.
- Medizingeräte mit Netzwerkanschluss, die sich oft nicht wie ein PC absichern lassen und deshalb isoliert gehören.
Diese Trennung verlangt auch die KBV-IT-Sicherheitsrichtlinie. Sie sorgt dafür, dass ein Vorfall in einem Bereich nicht sofort die ganze Praxis erfasst, und sie macht das Netzwerk überhaupt erst überschaubar und prüfbar.
Firewall ist Betrieb, kein einmaliges Gerät
Eine Firewall zu kaufen und anzuschließen ist der erste Schritt, nicht der letzte. Ihren Wert entfaltet sie im laufenden Betrieb. Dazu gehören drei Dinge. Erstens das Patch-Management: Firewall, Router, Server und Arbeitsplätze brauchen regelmäßig Sicherheitsupdates, sonst bleiben bekannte Lücken offen. Zweitens das Monitoring: Wer den Zustand der Systeme laufend überwacht, bemerkt einen Ausfall oder eine Auffälligkeit, bevor die Praxis stillsteht. Drittens die Dokumentation: Im Prüfungsfall zählt der Nachweis, dass Firewall, Netztrennung und Updates vorhanden und gepflegt sind. Diese Aufgaben laufen am besten im Hintergrund als Teil eines Wartungsvertrags, damit niemand im Team daran denken muss.
Ohne stabiles Netz keine zuverlässige TI
Die Telematikinfrastruktur hängt direkt an der Qualität Ihres Netzwerks. MEDICAL OFFICE bindet die TI über ein cloudbasiertes TI-Gateway aus einem zertifizierten Rechenzentrum ein, also ohne lokalen Konnektor im Technikraum. Das verlagert die Last vom Hardwarekasten ins Netz: eRezept, eAU, KIM und ePA laufen zuverlässig, wenn die Internetanbindung und die Firewall sauber eingerichtet sind. Wer ohnehin auf das cloudbasierte Modell wechselt, sollte den Moment nutzen, um Netzwerk und Firewall auf einen aktuellen Stand zu bringen. Nach den verstrichenen RSA-Fristen sollten Praxen Konnektor und Ausweise getrennt prüfen: RSA-only-Konnektoren sind seit dem 1. Januar 2026 ohne TI-Zugang, für RSA-SMC-B und RSA-eHBA endete die Austauschfrist am 30. Juni 2026. Wenn eine TI-Komponente erneuert werden muss, sollte die darunterliegende Netzwerkbasis gleich mitgeprüft werden.
Wie Jupitec Netzwerk und Firewall vor Ort einrichtet
Eine belastbare Netzwerkbasis lässt sich nicht aus der Ferne zusammenklicken. Wir nehmen die Praxis vor Ort auf, planen die Segmentierung, richten die Hardware-Firewall ein und verbinden mehrere Standorte sicher. Anschließend bleibt die Umgebung im Wartungsvertrag überwacht, gepatcht und dokumentiert, abgestimmt auf die KBV-IT-Sicherheitsrichtlinie. Jupitec betreut seit 1994 über 500 Kunden, von Messel bei Darmstadt aus und bundesweit. Wenn Sie wissen wollen, wie sicher Ihr Praxisnetz heute aufgestellt ist, nennen Sie uns kurz Ihre Ausgangslage. Ein Rückruf erfolgt in der Regel innerhalb von zwei Stunden (Mo bis Fr).
Häufige Fragen
Reicht der Router vom Internetanbieter als Firewall für die Arztpraxis?
Nein. Ein gewöhnlicher Anschlussrouter schützt den Netzübergang einer Praxis nicht ausreichend. Die IT-Sicherheitsrichtlinie der KBV verlangt einen wirksamen Schutz des Übergangs ins Internet, und dafür gehört eine dedizierte Hardware-Firewall ans Netz, idealerweise als UTM-Firewall, die Datenverkehr filtert, bekannte Angriffsmuster abwehrt und die Netze sauber trennt.
Was bedeutet Netzsegmentierung in der Praxis?
Segmentierung heißt, das Praxisnetz, die Telematikinfrastruktur, das Gäste-WLAN und vernetzte Medizingeräte in getrennte Bereiche aufzuteilen statt alles in ein flaches Netz zu hängen. So kann ein kompromittiertes Gerät nicht sofort auf alle anderen zugreifen, und ein Vorfall bleibt auf einen Bereich begrenzt. Auch die KBV-IT-Sicherheitsrichtlinie verlangt diese Trennung.
Was hat das Netzwerk mit der Telematikinfrastruktur zu tun?
Sehr viel. Das TI-Gateway von MEDICAL OFFICE arbeitet cloudbasiert aus einem zertifizierten Rechenzentrum, ohne lokalen Konnektor. eRezept, eAU, KIM und ePA laufen damit zuverlässig, wenn Internetanbindung und Firewall sauber eingerichtet sind. RSA-only-Konnektoren sind seit dem 1. Januar 2026 ohne TI-Zugang; für RSA-SMC-B und RSA-eHBA endete die Austauschfrist am 30. Juni 2026. Wenn eine dieser getrennt zu prüfenden Komponenten erneuert werden muss, sollte die Netzwerkbasis gleich mitgeprüft werden.
Kostenloser Selbst-Check (PDF)
IT-Sicherheitsrichtlinie der KBV: der 12-Punkte-Check
Haken Sie ab, was in Ihrer Praxis nachweisbar erfüllt ist, von Virenschutz bis Dokumentation. Eine Seite, per E-Mail.
Praxis-IT-Briefing
TI- und KBV-Fristen im Blick behalten
Einmal im Monat die wichtigsten Termine und Änderungen zu Telematikinfrastruktur, KBV-Sicherheit und Praxissoftware. Kompakt zusammengefasst, kein Spam, jederzeit abbestellbar.