IT-Sicherheit für Arztpraxen & MVZ · von Buzzard AI

IT-Sicherheit für Arztpraxen: Wenn Patientendaten verschlüsselt sind, steht die Versorgung still.

Das Wartezimmer ist voll, aber das Praxisverwaltungssystem fährt nicht hoch — die Akten sind verschlüsselt. TULPAR sieht Ihr Praxisnetz mit Ihrer Freigabe an und zeigt im Klartext, über welchen Weg jemand an die Patientendaten käme und welcher eine Handgriff ihn abschneidet. Offline im Haus, keine Cloud.

Läuft im Haus · keine Cloud · Patientendaten bleiben Ihre Nur ansehen — aktiver Test nur mit Ihrer Freigabe Klartext-Report: Schulnote & Ampel
Das Besondere

Wir zeigen den Weg bis zu Ihren Patientendaten.

Keine seitenlange Mängelliste — sondern die zusammenhängende Kette, die am Empfangs-Terminal beginnt und am Server mit den Patientenakten endet. Jede einzelne Station wirkt harmlos; erst aneinandergereiht ergeben sie den Stillstand. Tippen Sie auf einen Schritt und sehen Sie, wie er sich schließen lässt.

Beispielhafter Angriffspfad · so liest TULPAR ein Praxisnetz

🖨️
Rezept-Drucker am Empfang
PRINT-EMPF · 10.10.10.50
Bekannte Druckspooler-Lücke · CVE-2021-34527
✅ So schließen Sie es: Druckdienst auf Servern abschalten oder das fehlende Sicherheitsupdate nachziehen — bereits an dieser ersten Station endet der Weg zu den Patientendaten.
💻
Anmeldungs-Terminal
WS-ANMELD · 10.10.10.42
Weitergereichte Praxis-Anmeldung im Netz
✅ So schließen Sie es: SMB-Signing verpflichtend machen und die Weiterleitung von Anmeldungen im Praxisnetz unterbinden — die abgefangene Empfangs-Anmeldung lässt sich dann nicht mehr weiterreichen.
🔑
Dienstkonto der Praxissoftware
svc_pvs
Schwaches Dienstkonto → Rechteausweitung
✅ So schließen Sie es: dem PVS-Dienstkonto ein langes, zufälliges Passwort (über 25 Zeichen) geben und seine Rechte auf das Nötigste beschränken — ohne dieses Konto gibt es keinen Sprung auf den Akten-Server.
👑
Patientenakten · Praxisverwaltungssystem
PVS-SERVER · Akten verschlüsselbar
Wartezimmer voll, Systeme tot
✅ Wäre nur eine der Stationen davor geschlossen, erreicht hier niemand die Akten — kein Verschlüsseln, kein Stillstand am Morgen, die Versorgung läuft weiter.
Vom Rezept-Drucker am Empfang bis zu den verschlüsselten Akten — ein einziger Handgriff durchtrennt die Kette. TULPAR sagt Ihnen, welcher zuerst dran ist.
Das Problem

In der Praxis trifft ein Vorfall die Versorgung selbst.

🚪

Volles Wartezimmer, totes System

Sind die Akten verschlüsselt, fährt morgens das Praxisverwaltungssystem nicht hoch. Anamnese, Medikation, Termine und Abrechnung sind weg — Sie müssen Patienten vertrösten, während die Wiederherstellung Tage frisst.

⚖️

Gesundheitsdaten unter Sonderschutz

Diagnosen sind Daten besonderer Kategorie nach Art. 9 DSGVO und durch die Schweigepflicht (§203 StGB) gedeckt. Fließen sie ab, ist das mehr als ein IT-Ausfall — es berührt das ärztliche Berufsgeheimnis selbst.

🎯

Praxen sind ein dankbares Ziel

Automatisierte Angriffe suchen ungezielt nach veralteten Systemen — Praxisgröße egal. Laut BSI treffen rund 80 % der gemeldeten Angriffe kleine und mittlere Einrichtungen, von denen viele keinen geübten Notfallplan haben.

Was TULPAR ist

Der Blick aufs Praxisnetz, den sonst nur ein Angreifer hat.

TULPAR läuft mit Ihrer Freigabe im Praxisnetz mit und geht es vom Empfangs-Terminal über den Konnektor bis zum Akten-Server Gerät für Gerät durch — ohne je einen Akteninhalt zu lesen. Es betrachtet die Technik, nicht die Diagnose, und sagt Ihnen verständlich, wo der Weg zu den Patientendaten offensteht und welche Stelle Sie zuerst dichtmachen sollten.

  • Offline im Haus. Kein Upload, keine Cloud — Akteninhalte werden nicht gelesen, die Gesundheitsdaten verlassen die Praxis nicht.
  • Im Normalfall nur ansehen. Ein aktiver Test wird nur nach Ihrer ausdrücklichen Freigabe und auf Wunsch außerhalb der Sprechzeiten gefahren.
  • Pfad statt Mängelliste. Sie sehen die durchgehende Kette bis zum Praxisverwaltungssystem und den einen Handgriff, der sie durchtrennt.
So läuft es in der Praxis

Drei Schritte ohne Praxisstillstand.

1

Anstöpseln

TULPAR wird im Praxisnetz eingerichtet — neben der laufenden Sprechstunde, in wenigen Minuten.

2

Mitschauen lassen

🟢 Nur ansehen (Standard) oder 🟡 aktiv nachstellen — Letzteres nur mit Ihrer Freigabe, gern abends.

3

Klartext bekommen

Ein Zeugnis mit Schulnote und Ampel, das auch die Praxisleitung ohne IT in Minuten liest.

4Ausreichend
Sicherheits-Zeugnis
Beispiel-Auswertung · Praxisnetz „Hausarztpraxis am Markt"
Rezept-Drucker am Empfang mit bekannter Lückekritisch
Dienstkonto der Praxissoftware mit schwachem Passwortkritisch
Befund-Workstations: Windows-Updates überfälligmittel
Akten-Backup nicht vom Netz getrennt, Wiederanlauf ungetestetmittel
Firewall & Virenschutz aktivok
Ihre wichtigste Maßnahme: Rezept-Drucker absichern — schneidet allein den gefährlichsten Weg zu den Patientenakten ab. Illustratives Beispiel.
Warum TULPAR

Ein Zeugnis, das die Praxisleitung versteht.

Kein Tool-Protokoll, sondern eine Seite Klartext: Schulnote, Ampel und die wenigen Maßnahmen, die zwischen „läuft weiter" und „Wartezimmer voll, Systeme tot" entscheiden — in der Reihenfolge, in der Sie sie angehen sollten.

📋

Eine Seite Klartext

Schulnote und Ampel statt Fachchinesisch — gemacht für die Praxisleitung, nicht für die IT-Abteilung.

⚖️

Belege für die KBV-Richtlinie

Technische Nachweise zum Ist-Zustand Richtung KBV-IT-Sicherheitsrichtlinie (04/2025) & DSGVO Art. 32 — keine Garantie, kein Ersatz für Beratung.

🔒

Akten bleiben im Haus

Läuft offline, liest keine Akteninhalte — die Gesundheitsdaten und die Schweigepflicht bleiben unangetastet.

🛡️

Nichts ohne Freigabe

Wir fassen nichts an, was Sie nicht ausdrücklich freigeben — der Praxisbetrieb läuft normal weiter.

Anlässe

Wann ein Sicherheitscheck jetzt sinnvoll ist.

Preis

Erst sehen, wo Ihre Praxis steht. Individuell für Ihr Praxisnetz.

TULPAR Sicherheitscheck
Individuell
Erster Sicherheitscheck schnell startklar · Angebot auf Anfrage
  • Durchleuchtung des Praxisnetzes — vom Empfang bis zum PVS-Server
  • Der Weg zu den Patientenakten als Kette — plus der eine Handgriff, der ihn abschneidet
  • Zeugnis in Klartext: Schulnote, Ampel, Maßnahmen in der richtigen Reihenfolge
  • Technische Belege Richtung KBV-IT-Sicherheitsrichtlinie (04/2025) & DSGVO Art. 32
  • Offline im Haus, nur ansehen als Standard — aktiver Test nur mit Ihrer Freigabe
Sicherheitscheck anfragen →
Häufige Fragen

Häufige Fragen zur IT-Sicherheit in der Arztpraxis.

Dann läuft der Betrieb auf Sicht weiter, aber blind: Das Wartezimmer füllt sich, doch ohne das Praxisverwaltungssystem fehlen Anamnese, Vormedikation, Allergien, Termine und Abrechnungsdaten. Rezepte und AU-Bescheinigungen lassen sich nicht sauber erstellen, eBefunde nicht abrufen, und die Wiederherstellung aus dem Backup dauert oft Tage statt Stunden — währenddessen müssen Sie Patienten vertrösten oder wegschicken. Genau dieser Stillstand bei vollem Wartezimmer ist der teuerste Teil eines Vorfalls. TULPAR setzt davor an: Es zeigt Ihnen im Voraus, über welche Kette jemand überhaupt an den PVS-Server käme, und welcher eine Handgriff diese Kette unterbricht, bevor es so weit kommt.

Ein Backup hilft nur, wenn es bei einem Angriff nicht miterwischt wurde und wenn der Wiederanlauf vorher geübt ist. In der Praxis liegt die Sicherung oft auf einem dauerhaft verbundenen Netzlaufwerk und wird bei einer Verschlüsselung gleich mit unbrauchbar; und selbst ein sauberes Backup nützt wenig, wenn das Zurückspielen des kompletten PVS Stunden bis Tage dauert, in denen die Sprechstunde steht. TULPAR prüft genau diese Punkte mit — ob die Sicherung vom Praxisnetz getrennt ist und ob ein Wiederanlauf je getestet wurde — und macht im Klartext-Bericht sichtbar, wo der Notfallplan beim ersten echten Vorfall reißen würde.

Die IT-Sicherheitsrichtlinie nach §75b SGB V macht für Vertragsarztpraxen verbindliche technische und organisatorische Mindestanforderungen — von Updates und Datensicherung über Zugriffsschutz bis zur Anbindung medizinischer Großgeräte. In der aktualisierten Fassung von April 2025 sind diese Punkte geschärft worden. TULPAR ersetzt diese Vorgaben nicht, sondern liefert nachvollziehbare technische Belege zum Ist-Zustand Ihres Praxisnetzes, die Sie und Ihr IT-Dienstleister für die Umsetzung und Dokumentation heranziehen können. TULPAR ist ausdrücklich keine Zertifizierung und keine Rechtsberatung und stellt die Erfüllung der Richtlinie nicht automatisch her — die organisatorische Umsetzung bleibt Aufgabe der Praxis.

Diagnosen, Befunde und Medikation sind Gesundheitsdaten besonderer Kategorie nach Art. 9 DSGVO und zusätzlich durch die ärztliche Schweigepflicht (§203 StGB) geschützt. Deshalb läuft TULPAR bewusst offline direkt im Praxisnetz: Es wird kein Akteninhalt gelesen und nichts in eine Cloud hochgeladen. TULPAR betrachtet die technische Struktur — welche Geräte es gibt, wie sie verbunden sind, wo Schwächen liegen — nicht den medizinischen Inhalt. Standardmäßig wird nur angesehen (read-only); auch der Bericht bleibt bei Ihnen im Haus. So bleibt die Datenhoheit über die Patientendaten vollständig in der Praxis.

Ein guter Dienstleister hält Systeme am Laufen — aber wer mit Patientendaten in Berührung kommt, muss nach §203 Abs. 3 StGB ausdrücklich und strafrechtlich wirksam zur Verschwiegenheit verpflichtet werden; ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO allein deckt diese strafrechtliche Seite nicht ab. Davon unabhängig sieht laufende Betreuung selten neutral, wie angreifbar das Gesamtnetz aus Sicht eines Eindringlings wirklich ist. TULPAR liefert genau diese unabhängige Außensicht als nachvollziehbaren Bericht — gut geeignet, um mit dem eigenen Dienstleister Klartext zu reden. Das ist eine sachliche Einordnung und keine Rechtsberatung; die rechtliche Bewertung für Ihre Praxis klären Sie individuell.

Nein, im Normalfall nicht. TULPAR sieht sich Ihr eigenes Praxisnetz im Modus „nur ansehen“ an und greift dabei nicht aktiv in Geräte, in den TI-Konnektor oder in das Praxisverwaltungssystem ein — Sprechstunde, Kartenlesegeräte und eBefund-Abruf laufen normal weiter. Ein aktiver Test, der eine Schwachstelle wirklich nachstellt, geschieht ausschließlich nach Ihrer ausdrücklichen Freigabe, nur in Ihrem eigenen Netz und auf Wunsch außerhalb der Sprechzeiten. Es wird nichts angefasst, was Sie nicht freigegeben haben.

Gerade kleine Praxen sind attraktiv, weil Angriffe heute breit und automatisiert laufen: Schadsoftware sucht ungezielt nach offenen Diensten und veralteten Systemen, egal ob dahinter eine Hausarztpraxis oder ein Klinikverbund steht. Laut BSI treffen rund 80 % der gemeldeten Angriffe kleine und mittlere Einrichtungen, und viele kleine Häuser haben für den Ernstfall keinen geübten Notfallplan. Die sensiblen Gesundheitsdaten und der hohe Druck, schnell wieder versorgen zu müssen, machen Praxen zu einem lohnenden Erpressungsziel. TULPAR zeigt Ihnen in verständlicher Sprache, wo genau Ihre Praxis aus dieser automatisierten Perspektive angreifbar wäre.

Der Umfang richtet sich nach der Größe Ihres Praxisnetzes — Einzelpraxis, Gemeinschaftspraxis oder MVZ — und nach Ihren Anforderungen; daraus erstellen wir ein individuelles Angebot. Einsteigen können Sie mit einem ersten Sicherheitscheck, der Ihnen im Klartext mit Schulnote und Ampel zeigt, wo Ihre Praxis steht und welcher Schritt zuerst die Patientendaten absichert.

TULPAR ist ein autorisiertes Selbstprüfungs-Werkzeug für das eigene Praxisnetz und wird von Buzzard AI angeboten. Aktive Tests erfolgen nur im eigenen Netz und ausschließlich mit ausdrücklicher Freigabe. TULPAR liefert technische Belege zur Schwachstellen-Dokumentation, ist aber keine Zertifizierung und keine Rechtsberatung und garantiert keine Konformität nach der KBV-IT-Sicherheitsrichtlinie, §203 StGB oder DSGVO. Angaben zu §203 StGB und zur KBV-IT-Sicherheitsrichtlinie sind eine sachliche Einordnung und ersetzen keine Rechtsberatung. Genannte Marken und CVE-Kennungen gehören ihren Inhabern und dienen der sachlichen Einordnung.
Kostenloses Erstgespräch

Wissen Sie, wie weit jemand bis zu Ihren Patientenakten käme?

Finden wir es heraus, bevor es jemand anderes tut. In einem kurzen Gespräch schauen wir uns Ihr Praxisnetz an und zeigen, wie der Sicherheitscheck neben dem laufenden Betrieb abläuft — offline im Haus, nur ansehen als Standard, das Klartext-Zeugnis inklusive.

Schritt 1 von 3
Was ist gerade Ihr größtes Thema?
Mustafa Sahinli
Mustafa Sahinli · Buzzard AI
Prozessarchitekt · 06183 / 909 99 92 · WhatsApp