Das Wartezimmer ist voll, aber das Praxisverwaltungssystem fährt nicht hoch — die Akten sind verschlüsselt. TULPAR sieht Ihr Praxisnetz mit Ihrer Freigabe an und zeigt im Klartext, über welchen Weg jemand an die Patientendaten käme und welcher eine Handgriff ihn abschneidet. Offline im Haus, keine Cloud.
Keine seitenlange Mängelliste — sondern die zusammenhängende Kette, die am Empfangs-Terminal beginnt und am Server mit den Patientenakten endet. Jede einzelne Station wirkt harmlos; erst aneinandergereiht ergeben sie den Stillstand. Tippen Sie auf einen Schritt und sehen Sie, wie er sich schließen lässt.
Beispielhafter Angriffspfad · so liest TULPAR ein Praxisnetz
Sind die Akten verschlüsselt, fährt morgens das Praxisverwaltungssystem nicht hoch. Anamnese, Medikation, Termine und Abrechnung sind weg — Sie müssen Patienten vertrösten, während die Wiederherstellung Tage frisst.
Diagnosen sind Daten besonderer Kategorie nach Art. 9 DSGVO und durch die Schweigepflicht (§203 StGB) gedeckt. Fließen sie ab, ist das mehr als ein IT-Ausfall — es berührt das ärztliche Berufsgeheimnis selbst.
Automatisierte Angriffe suchen ungezielt nach veralteten Systemen — Praxisgröße egal. Laut BSI treffen rund 80 % der gemeldeten Angriffe kleine und mittlere Einrichtungen, von denen viele keinen geübten Notfallplan haben.
TULPAR läuft mit Ihrer Freigabe im Praxisnetz mit und geht es vom Empfangs-Terminal über den Konnektor bis zum Akten-Server Gerät für Gerät durch — ohne je einen Akteninhalt zu lesen. Es betrachtet die Technik, nicht die Diagnose, und sagt Ihnen verständlich, wo der Weg zu den Patientendaten offensteht und welche Stelle Sie zuerst dichtmachen sollten.
TULPAR wird im Praxisnetz eingerichtet — neben der laufenden Sprechstunde, in wenigen Minuten.
🟢 Nur ansehen (Standard) oder 🟡 aktiv nachstellen — Letzteres nur mit Ihrer Freigabe, gern abends.
Ein Zeugnis mit Schulnote und Ampel, das auch die Praxisleitung ohne IT in Minuten liest.
Kein Tool-Protokoll, sondern eine Seite Klartext: Schulnote, Ampel und die wenigen Maßnahmen, die zwischen „läuft weiter" und „Wartezimmer voll, Systeme tot" entscheiden — in der Reihenfolge, in der Sie sie angehen sollten.
Schulnote und Ampel statt Fachchinesisch — gemacht für die Praxisleitung, nicht für die IT-Abteilung.
Technische Nachweise zum Ist-Zustand Richtung KBV-IT-Sicherheitsrichtlinie (04/2025) & DSGVO Art. 32 — keine Garantie, kein Ersatz für Beratung.
Läuft offline, liest keine Akteninhalte — die Gesundheitsdaten und die Schweigepflicht bleiben unangetastet.
Wir fassen nichts an, was Sie nicht ausdrücklich freigeben — der Praxisbetrieb läuft normal weiter.
Dann läuft der Betrieb auf Sicht weiter, aber blind: Das Wartezimmer füllt sich, doch ohne das Praxisverwaltungssystem fehlen Anamnese, Vormedikation, Allergien, Termine und Abrechnungsdaten. Rezepte und AU-Bescheinigungen lassen sich nicht sauber erstellen, eBefunde nicht abrufen, und die Wiederherstellung aus dem Backup dauert oft Tage statt Stunden — währenddessen müssen Sie Patienten vertrösten oder wegschicken. Genau dieser Stillstand bei vollem Wartezimmer ist der teuerste Teil eines Vorfalls. TULPAR setzt davor an: Es zeigt Ihnen im Voraus, über welche Kette jemand überhaupt an den PVS-Server käme, und welcher eine Handgriff diese Kette unterbricht, bevor es so weit kommt.
Ein Backup hilft nur, wenn es bei einem Angriff nicht miterwischt wurde und wenn der Wiederanlauf vorher geübt ist. In der Praxis liegt die Sicherung oft auf einem dauerhaft verbundenen Netzlaufwerk und wird bei einer Verschlüsselung gleich mit unbrauchbar; und selbst ein sauberes Backup nützt wenig, wenn das Zurückspielen des kompletten PVS Stunden bis Tage dauert, in denen die Sprechstunde steht. TULPAR prüft genau diese Punkte mit — ob die Sicherung vom Praxisnetz getrennt ist und ob ein Wiederanlauf je getestet wurde — und macht im Klartext-Bericht sichtbar, wo der Notfallplan beim ersten echten Vorfall reißen würde.
Die IT-Sicherheitsrichtlinie nach §75b SGB V macht für Vertragsarztpraxen verbindliche technische und organisatorische Mindestanforderungen — von Updates und Datensicherung über Zugriffsschutz bis zur Anbindung medizinischer Großgeräte. In der aktualisierten Fassung von April 2025 sind diese Punkte geschärft worden. TULPAR ersetzt diese Vorgaben nicht, sondern liefert nachvollziehbare technische Belege zum Ist-Zustand Ihres Praxisnetzes, die Sie und Ihr IT-Dienstleister für die Umsetzung und Dokumentation heranziehen können. TULPAR ist ausdrücklich keine Zertifizierung und keine Rechtsberatung und stellt die Erfüllung der Richtlinie nicht automatisch her — die organisatorische Umsetzung bleibt Aufgabe der Praxis.
Diagnosen, Befunde und Medikation sind Gesundheitsdaten besonderer Kategorie nach Art. 9 DSGVO und zusätzlich durch die ärztliche Schweigepflicht (§203 StGB) geschützt. Deshalb läuft TULPAR bewusst offline direkt im Praxisnetz: Es wird kein Akteninhalt gelesen und nichts in eine Cloud hochgeladen. TULPAR betrachtet die technische Struktur — welche Geräte es gibt, wie sie verbunden sind, wo Schwächen liegen — nicht den medizinischen Inhalt. Standardmäßig wird nur angesehen (read-only); auch der Bericht bleibt bei Ihnen im Haus. So bleibt die Datenhoheit über die Patientendaten vollständig in der Praxis.
Ein guter Dienstleister hält Systeme am Laufen — aber wer mit Patientendaten in Berührung kommt, muss nach §203 Abs. 3 StGB ausdrücklich und strafrechtlich wirksam zur Verschwiegenheit verpflichtet werden; ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO allein deckt diese strafrechtliche Seite nicht ab. Davon unabhängig sieht laufende Betreuung selten neutral, wie angreifbar das Gesamtnetz aus Sicht eines Eindringlings wirklich ist. TULPAR liefert genau diese unabhängige Außensicht als nachvollziehbaren Bericht — gut geeignet, um mit dem eigenen Dienstleister Klartext zu reden. Das ist eine sachliche Einordnung und keine Rechtsberatung; die rechtliche Bewertung für Ihre Praxis klären Sie individuell.
Nein, im Normalfall nicht. TULPAR sieht sich Ihr eigenes Praxisnetz im Modus „nur ansehen“ an und greift dabei nicht aktiv in Geräte, in den TI-Konnektor oder in das Praxisverwaltungssystem ein — Sprechstunde, Kartenlesegeräte und eBefund-Abruf laufen normal weiter. Ein aktiver Test, der eine Schwachstelle wirklich nachstellt, geschieht ausschließlich nach Ihrer ausdrücklichen Freigabe, nur in Ihrem eigenen Netz und auf Wunsch außerhalb der Sprechzeiten. Es wird nichts angefasst, was Sie nicht freigegeben haben.
Gerade kleine Praxen sind attraktiv, weil Angriffe heute breit und automatisiert laufen: Schadsoftware sucht ungezielt nach offenen Diensten und veralteten Systemen, egal ob dahinter eine Hausarztpraxis oder ein Klinikverbund steht. Laut BSI treffen rund 80 % der gemeldeten Angriffe kleine und mittlere Einrichtungen, und viele kleine Häuser haben für den Ernstfall keinen geübten Notfallplan. Die sensiblen Gesundheitsdaten und der hohe Druck, schnell wieder versorgen zu müssen, machen Praxen zu einem lohnenden Erpressungsziel. TULPAR zeigt Ihnen in verständlicher Sprache, wo genau Ihre Praxis aus dieser automatisierten Perspektive angreifbar wäre.
Der Umfang richtet sich nach der Größe Ihres Praxisnetzes — Einzelpraxis, Gemeinschaftspraxis oder MVZ — und nach Ihren Anforderungen; daraus erstellen wir ein individuelles Angebot. Einsteigen können Sie mit einem ersten Sicherheitscheck, der Ihnen im Klartext mit Schulnote und Ampel zeigt, wo Ihre Praxis steht und welcher Schritt zuerst die Patientendaten absichert.
Finden wir es heraus, bevor es jemand anderes tut. In einem kurzen Gespräch schauen wir uns Ihr Praxisnetz an und zeigen, wie der Sicherheitscheck neben dem laufenden Betrieb abläuft — offline im Haus, nur ansehen als Standard, das Klartext-Zeugnis inklusive.