200 Praxen lahmgelegt – was Sie ab Montag anders machen müssen

4.800 Euro pro Tag. So viel kostet eine Berliner Hausarztpraxis der Durchschnitt, wenn die TI ausfällt. Nicht wegen Hardware, nicht wegen Software – sondern weil jemand auf ‚Rechnung.pdf.exe‘ geklickt hat. 2025 waren es 187 gemeldete Vorfälle in Berlin. 2026 sind es bisher 212 – und wir haben erst August.

Wo es bei Ihnen klemmt – und warum die MFA nichts dafür kann

Die meisten Angriffe kommen nicht über die PVS-Schnittstelle, sondern über den Empfangstresen. Drei typische Szenarien aus Berliner Praxen:

  • Der falsche KIM-Anhang: Eine MFA öffnet eine scheinbare Überweisung vom KV-Bezirksamt. Der Anhang installiert eine Schadsoftware, die alle TI-Zertifikate (eHBA, SMC-B) im Hintergrund kopiert. Am nächsten Morgen ist die Praxis offline – und die KV verlangt 500 Euro Gebühr für die Neuausstellung.
  • Das manipulierte Update: Die Praxissoftware zeigt ein dringendes Sicherheitsupdate an. Der Download kommt aber nicht vom PVS-Hersteller, sondern von einer gefälschten Domain. Nach der Installation verschlüsselt die Software alle Patientendaten. Lösegeldforderung: 8.000 Euro in Bitcoin – zahlbar innerhalb von 48 Stunden.
  • Der USB-Stick vom Pharmavertreter: Ein scheinbar harmloser Stick mit Impfstoffinformationen wird am Empfangspc eingesteckt. Der Stick enthält einen Keylogger, der alle Passwörter mitschneidet – inklusive des eHBA-PINs. Zwei Wochen später sind 300 Patientendatensätze bei einem Datenhändler in Osteuropa gelandet.

In 70% der Fälle war nicht die Technik das Problem, sondern ein einziger Klick. Und in 90% der Fälle hätte eine einfache Maßnahme den Schaden verhindert – ohne teure Firewalls oder IT-Berater.

Drei Dinge, die Sie ab Montag umsetzen – ohne Budget und ohne IT-Kenntnisse

1. Der 10-Minuten-Check für den Empfangstresen

  • Deaktivieren Sie die automatische Ausführung von USB-Sticks. Gehen Sie in die Systemsteuerung (Windows-Taste + ‚Systemsteuerung‘), suchen Sie ‚Automatische Wiedergabe‘ und setzen Sie alle Optionen auf ‚Keine Aktion‘.
  • Richten Sie ein separates Benutzerkonto für den Empfang ein – ohne Admin-Rechte. So kann keine Schadsoftware im Hintergrund installiert werden, selbst wenn jemand auf einen infizierten Anhang klickt.
  • Drucken Sie eine Liste mit allen offiziellen Domains Ihrer PVS-Hersteller und KV aus. Hängen Sie sie neben den PC. Jeder Download, der nicht von diesen Domains kommt, ist verdächtig.

2. Die KIM-Regel, die 80% der Angriffe stoppt

KIM-Nachrichten mit Anhängen müssen immer diese Struktur haben:

  • Absender: offizielle KV-Domain (z.B. @kvberlin.de) oder bekannter Praxispartner.
  • Betreff: Klare Kennzeichnung (z.B. ‚Überweisung Dr. Müller – Patient Mustermann‘).
  • Anhang: Nur PDF oder TI-konforme Formate. Alles andere (EXE, ZIP, DOCM) sofort löschen.

Richten Sie eine Whitelist für KIM-Absender ein. Fragen Sie Ihre KV nach der offiziellen Liste der berechtigten Absender. Jede Nachricht von außerhalb dieser Liste kommt in Quarantäne – auch wenn sie echt aussieht.

3. Der Notfallplan für den Tag X – den Sie heute erstellen

  • Legen Sie einen physischen Ordner mit allen wichtigen Kontakten an: TI-Hotline, PVS-Support, KV-Notdienst, Datenschutzbeauftragter. Nicht digital – auf Papier. Wenn die Systeme down sind, haben Sie keine digitalen Lesezeichen.
  • Erstellen Sie ein Backup-Protokoll: Tägliche Sicherung der Patientendaten auf eine externe Festplatte. Die Festplatte wird nach der Sicherung physisch vom Netzwerk getrennt. Kein Cloud-Backup – die sind im Ernstfall zu langsam wiederhergestellt.
  • Üben Sie den Ernstfall: Simulieren Sie einen Angriff mit Ihrem Team. Wie lange dauert es, bis alle Systeme offline sind? Wie lange, bis die KV informiert ist? Wo liegen die Passwörter für die Neuausstellung der Zertifikate? Notieren Sie die Zeiten und optimieren Sie.

Was die KV nicht sagt – aber Sie wissen müssen

Die offizielle TI-Hotline hilft bei technischen Problemen – aber nicht bei Cyberangriffen. Wenn Ihre Praxis lahmgelegt ist, sind Sie erstmal auf sich allein gestellt. Die KV übernimmt keine Haftung für Datenverluste und zahlt keine Entschädigung für Ausfallzeiten.

Die meisten Praxisversicherungen decken Cyberangriffe nicht ab. Prüfen Sie Ihre Police: Wenn dort ‚Betriebshaftpflicht‘ steht, aber nicht explizit ‚Cyber-Risiken‘, sind Sie nicht geschützt. Eine separate Cyber-Versicherung kostet etwa 30 Euro im Monat – und übernimmt im Schadensfall die Kosten für IT-Forensik, Neuausstellung der Zertifikate und sogar das Lösegeld (falls Sie sich dafür entscheiden).

Der größte Irrtum: ‚Bei uns passiert das nicht.‘ Die Angreifer suchen nicht nach großen Kliniken – die suchen nach kleinen Praxen mit schwachen Sicherheitsvorkehrungen. Und in Berlin gibt es davon genug. Die Frage ist nicht, ob es passiert, sondern wann. Und ob Sie dann 12.000 Euro Verlust verkraften – oder ob Sie vorbereitet sind.

Fangen Sie Montag an. Nicht mit einer teuren IT-Beratung, nicht mit einer neuen Firewall – sondern mit den drei Punkten von oben. Drucken Sie diese Liste aus. Hängen Sie sie neben den Empfangstresen. Besprechen Sie sie in der nächsten Teamsitzung. Und dann machen Sie weiter mit dem Tagesgeschäft – aber mit einem entscheidenden Unterschied: Sie sind nicht mehr das leichte Ziel.

Ähnliche Beiträge