DMEA 2026 - Erleben Sie die CGM Lösungswelt vom 21.04. - 23.04.26 in Berlin.
Vertrieb:+49 261 8000 8000
Deutschland

Lokale Webseiten

Kundensupport
Deutschland
Menü
Lokale Webseiten
Schließen
FAQ
Inhalte
Allgemeines
Öffnen von Dateien
Passwörter
E-Mails
Virenscanner und Firewalls
Allgemeines
Öffnen von Dateien
Passwörter
E-Mails
Virenscanner und Firewalls
FAQ

IT-Sicherheit in der Arztpraxis – häufige Fragen kurz erklärt

In Arztpraxen werden täglich hochsensible Daten verarbeitet. Ein guter Schutz vor Cyberangriffen ist deshalb nicht nur technisch wichtig, sondern auch Voraussetzung für Datenschutz und einen verlässlichen Praxisbetrieb.

Allgemeines

Öffnen von Dateien (Anhänge, USB-Sticks, ePA-Dokumente)

Passwörter (sichere Passwörter, Passwortmanager)

E-Mails (Phishing, verschlüsselte Kommunikation)

Virenscanner & Firewalls (Schutzprogramme, Online-Scanner)

Die Antworten sind bewusst praxisnah gehalten und sollen Ihnen helfen, im Alltag schnell die richtige Entscheidung zu treffen.
Für technische Details oder individuelle Lösungen wenden Sie sich bitte an Ihren IT-Dienstleister, Ihren Vertriebs- und Servicepartner oder Ihre/n Datenschutzbeauftragte/n.

Allgemeines
 Wann treten die neuen IT-Sicherheitsrichtlinien in Kraft und welche sind das genau?

Diese sind bereits in Kraft getreten und sollten bis spätestens 1.10.2025 umgesetzt sein, siehe https://www.kbv.de/praxis/digitalisierung/it-sicherheit

Wird die CGM ihren Kunden Musterdokumente für die Erfüllung/Dokumentation der KBV-Richtlinien zur Verfügung stellen?

Die KBV stellt Musterdokumente auf Ihrer Website https://www.kbv.de/praxis/digitalisierung/it-sicherheit bereit. 

Wenn Kollegen bei uns anrufen, wie kann ich sicher gehen, dass der Anruf sicher aus einer Praxis kommt und kein Fake ist? Gibt es spezielle Wörter/Sätze, auf die man hier achten kann?

Fragen Sie am Telefon gezielt nach Details, die nur echte Kollegen wissen. Vorsicht bei ungewöhnlichen Anfragen oder Druck. Im Zweifel immer über die offiziell bekannte Nummer zurückrufen.

Wo soll der Angriff noch einmal gemeldet werden?

IT-Dienstleister/Administrator,  Landesdatenschutzbehörde (DSGVO Art. 33), Kassenärztliche Bundesvereinigung (KBV)

Wo finde ich die CGM-Dokumente/Flyer zum Vorgehen bei Ransomware-Angriffen?

Diese finden Sie auf unserer Website unter www.cgm.com/it-sicherheit

Gibt es offizielle Meldepflichten? BSI? Datenschutzbehörde?

Sobald Sie betroffen sind, müssen Sie dies an die entsprechenden Stellen weitermelden. Mehr Infos finden Sie unter www.cgm.com/it-sicherheit

Wie sicher sind unsere Heimarbeitsplätze?

Die Sicherheit von Heimarbeitsplätzen hängt von den technischen Maßnahmen und dem Verhalten der Nutzer ab. Mit sicheren Verbindungen (z. B. VPN), aktuellen Updates, Virenschutz und geschultem Umgang mit IT-Risiken sind Heimarbeitsplätze grundsätzlich sicher – aber nur, wenn alle Vorgaben eingehalten werden.

Öffnen von Dateien
Sind ZIP-Dateien so schlecht oder nur ein Mythos? Kann man diese bedenkenlos öffnen?

ZIP-Dateien sind nicht per se gefährlich, werden aber häufig für Cyberangriffe genutzt. Öffnen Sie ZIP-Dateien daher immer mit Vorsicht: 

  • Öffnen Sie Anhänge nicht direkt aus der E-Mail, sondern speichern Sie sie zuerst ab. 
  • Lassen Sie die Datei von einem Virenscanner prüfen. 
  • Öffnen Sie ZIP-Dateien nur, wenn Absender und Inhalt plausibel sind. 

Im Zweifel lieber beim Absender nachfragen oder die Datei nicht öffnen.

Von unserer IT-Sicherheit wurde uns empfohlen, nur PDF zu öffnen und keine Word-Dokumente. Sehen Sie dies ähnlich?

Ja, diese Empfehlung ist sinnvoll. Word-Dokumente können schädliche Makros oder eingebetteten Code enthalten, über die Schadsoftware eingeschleust wird. PDF-Dateien sind zwar auch nicht völlig ungefährlich, aber in der Regel weniger anfällig dafür. 

Daher gilt: 

  • Wenn möglich, lieber PDF-Dateien öffnen. 
  • Word-Dokumente nur, wenn der Absender bekannt ist und Sie die Datei erwartet haben. 
  • Bei Warnhinweisen (z.B. „Makros aktivieren?“) grundsätzlich abbrechen und IT fragen.
Oft werden uns Daten von Patienten per USB-Stick gegeben. Wie soll ich damit umgehen?

USB-Sticks von außen können Schadsoftware enthalten und sind ein häufiges Einfallstor. Deshalb: 

Wenn möglich, den USB-Stick zuerst an einem separaten, dafür vorgesehenen Rechner prüfen, nicht direkt im Praxisnetz. 

  • Den Inhalt mit einem aktuellen Virenscanner prüfen. 
  • Wenn sich der Stick automatisch öffnet und anbietet, ein Programm auszuführen („Setup“, „Viewer“ o.Ä.): nicht ausführen, sondern nur den Ordner mit den Dateien öffnen oder die IT fragen. 
  • Übernehmen Sie keine sensiblen Daten ohne vorherige Prüfung.

Das gilt auch für andere Datenträger wie CDs oder externe Festplatten, die Sie von Patienten oder Kliniken erhalten. 

Im Zweifel wenden Sie sich bitte an Ihren Vertriebs- und Servicepartner bzw. Ihre IT-Abteilung.

Wie ist es mit der Versicherungskarte bzgl. jetzt auch ePA?

Die ePA ist primär dokumentenbasiert. Das vorgegebene Format für Dokumente ist PDF/A. Dieses standardisierte Format erschwert das Einschleusen von Viren oder Makros. Die gesamte Datenübertragung und Speicherung erfolgt verschlüsselt und nach hohen Sicherheitsstandards. 

Bitte beachten Sie: 

  • Auch ein PDF/A-Dokument kann z.B. Links enthalten. Prüfen Sie Links, bevor Sie sie öffnen. 
  • Weitere medizinische Informationen in der ePA werden als strukturierte medizinische Informationsobjekte definiert. 
  • Bildbefunde müssen aktuell ebenfalls in ein PDF/A umgewandelt werden, bevor sie in die ePA eingestellt werden können.
Sind PDF-Dateien sicher oder können auch sie infiziert sein?

PDF-Dateien gelten grundsätzlich als sicherer als Word-Dokumente, können aber ebenfalls Schadsoftware enthalten. Seien Sie vorsichtig bei PDF-Dateien: 

  • aus unbekannten oder unerwarteten Quellen, 
  • mit eingebetteten Links, 
  • wenn beim Öffnen zusätzliche Inhalte, Skripte oder Plugins „zugelassen“ werden sollen. 

Klicken Sie in solchen Fällen nicht auf „Zulassen/Aktivieren“, sondern brechen Sie ab und fragen Sie Ihre IT. 

Wenn Sie sich bei einer Datei unsicher sind, öffnen Sie sie nicht und klären Sie die Herkunft (z.B. Rückruf beim Absender).

Mit welchem Programm kann ich Daten vor dem Öffnen überprüfen?

Zur Überprüfung von Dateien vor dem Öffnen empfehlen wir unsere Lösung CGM Endpoint Security 360°

Bitte installieren Sie keine zusätzlichen privaten Virenscanner, Viewer oder „Converter“-Programme aus dem Internet, um Dateien zu öffnen, ohne dies mit Ihrer IT abzustimmen.

Weitere Informationen und Beratung erhalten Sie auf unserer Website.

Wie prüfe ich die Daten eines Backups?

Die Überprüfung Ihrer Backups sollte durch einen IT-Dienstleister erfolgen. So wird sichergestellt, dass: 

  • die Daten vollständig und fehlerfrei gesichert wurden und 
  • im Ernstfall zuverlässig wiederhergestellt werden können. 

Empfehlung: Lassen Sie regelmäßig Test-Wiederherstellungen durchführen und kurz protokollieren (Datum, Ergebnis).

Wie sieht es mit der weiteren Nutzung von Betriebssystemen mit Windows 10 aus?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät dringend davon ab, Windows 10 nach dem Supportende weiter zu nutzen. Ohne Sicherheitsupdates steigt das Risiko für erfolgreiche Angriffe deutlich. 

Um Sicherheitsrisiken zu vermeiden und den Praxisbetrieb zu gewährleisten, wird empfohlen, rechtzeitig auf Windows 11 umzusteigen. 

Weitere Informationen finden Sie in der BSI-Pressemitteilung zum Supportende von Windows 10: BSI - Presse - BSI empfiehlt Upgrade oder Wechsel des Betriebssystems nach Supportende von Windows 10 

Passwörter
Was ist ein Passwortmanager und können Sie einen nennen?

Ein Passwortmanager ist ein Programm, das Ihre Passwörter verschlüsselt speichert und verwaltet. 

Sie müssen sich nur ein einziges, starkes Master-Passwort merken – der Passwortmanager übernimmt den Rest (Erstellen, Speichern, automatisches Ausfüllen).

Beispiele: KeePass, 1Password, Bitwarden.

Welchen Passwortmanager empfehlen Sie?

Wir empfehlen einen professionell verwalteten Passwortmanager, der mit Ihrer IT-Umgebung abgestimmt ist. 

Im Praxisalltag werden häufig genutzt:

  • KeePass (und Varianten wie KeePassXC), 
  • oder kommerzielle Lösungen wie 1Password** oder Bitwarden.

 Wichtig: Klären Sie mit Ihrer IT bzw. Praxisleitung, welche Lösung in Ihrer Praxis offiziell freigegeben ist.

Gibt es KeePass für alle Geräte?

Ja, KeePass ist für fast alle Betriebssysteme verfügbar, zum Beispiel:

  • Windows 
  • macOS 
  • Linux 
  • sowie als App für iOS und Android (über kompatible Apps wie KeePassXC, KeePassX, Strongbox u.a.).

 Fragen Sie im Zweifel Ihre IT, welche KeePass-Variante für Ihre Praxis unterstützt wird.

 Was ist mit den einfachen, fest einprogrammierten Standardkennwörtern in den AIS der CGM?

 Die Standardkennwörter wechseln stetig und sind nur einem eingeschränkten Personenkreis bekannt. 

Wichtig für Sie in der Praxis: 

  • Jedes personenbezogene Benutzerkonto in Ihrem AIS sollte ein eigenes, individuelles Passwort haben. 
  • Teilen Sie Ihr persönliches Passwort nie mit anderen und verwenden Sie es nicht für private Dienste (z.B. E-Mail, Online-Shops). 

Die Verwaltung von technischen Standardkennwörtern sollte ausschließlich durch Ihren IT-Dienstleister erfolgen.

Wie sollte ein sicheres Passwort aussehen?

Ein sicheres Passwort ist lang, schwer zu erraten und eindeutig. Orientieren Sie sich an folgenden Regeln:

  • Mindestens 12 Zeichen, besser mehr
  • Kombination aus Groß- und KleinbuchstabenZahlen und Sonderzeichen
  • Keine Namen, Geburtsdaten, Praxisnamen oder einfache Reihen wie 123456, Passwort, Sommer2026
  • Für jeden Zugang ein eigenes Passwort verwenden

Merksatz: Lieber einen Passwortsatz als ein Wort, z.B. ein Satz mit Anfangsbuchstaben und Zeichen (nicht aus diesem Beispiel übernehmen, sondern eigenes bilden).

Darf ich mein Passwort irgendwo aufschreiben?

Passwörter sollten möglichst nicht aufgeschrieben werden. Wenn es gar nicht anders geht, beachten Sie unbedingt:

  • Schreiben Sie Passwörter nicht sichtbar auf Zettel am Arbeitsplatz oder unter die Tastatur.
  • Verwenden Sie keine Hinweise, die andere leicht verstehen (z.B. „Praxis-EDV“, „KIS-PW“, Name des Programms).
  • Bewahren Sie Notizen zu Passwörtern nur verschlossen auf (z.B. abschließbarer Schrank).

Besser: Nutzen Sie einen Passwortmanager, dann müssen Sie sich nur ein starkes Master-Passwort merken und vermeiden Zettelwirtschaft.

E-Mails
E-Mail löschen oder in Spam verschieben?

Verdächtige E-Mails sollten Sie am besten direkt löschen, ohne sie zu öffnen. 

Bei Phishing-Verdacht (z.B. angebliche Banken, Paketdienste, KV, „Passwort abgelaufen“) gilt: 

  • E-Mail nicht beantworten, 
  • keine Anhänge öffnen, 
  • nicht auf Links klicken, 
  • die E-Mail an Ihre IT oder zuständige Ansprechperson melden.
Macht es Sinn, Mailverkehr über einen separaten Standalone-Rechner zu bearbeiten, der nicht mit dem Praxisnetz verbunden ist?

Ein separater Rechner nur für E-Mails kann die Sicherheit erhöhen, ist im Praxisalltag aber meist unpraktisch. 

Effektiver sind: 

  • sichere E-Mail-Einstellungen, 
  • aktuelle Virenschutz- und Spamschutz-Lösungen, 
  • keine Anhänge direkt aus der E-Mail öffnen (immer erst speichern und prüfen), 
  • regelmäßige Schulungen für das Praxisteam, um Phishing-Mails zu erkennen.
Gibt es eine Möglichkeit, aus CGM MEDISTAR BLACK verschlüsselte E-Mails zu versenden?

Aktuell nicht mehr: Die frühere Softwarelösung CGM CLICKBOX wurde mangels Nachfrage eingestellt. 

Künftig soll der TI-Messenger eine sichere digitale Kommunikation zwischen Arztpraxen und Patienten sowie anderen Leistungserbringern ermöglichen. Bitte sprechen Sie mit Ihrem Vertriebs- und Servicepartner, welche sicheren Kommunikationswege heute bereits empfohlen werden.

Was macht geschützte E-Mails aus?

Geschützte E-Mails sind verschlüsselt, sodass nur Absender und Empfänger den Inhalt lesen können. Häufig kommen zusätzlich Sicherheitsmaßnahmen zum Einsatz, z.B.: 

  • Passwortschutz oder zweiter Faktor, 
  • zeitlich begrenzte Zugriffsrechte, 
  • gesicherte Webportale, über die die Nachricht abgerufen wird. 

Ziel ist, Inhalte und Anhänge vor unbefugtem Zugriff zu schützen.

Wie sicher ist die E-Mail-Kommunikation mit Patienten?

Normale E-Mail-Kommunikation ist in der Regel nicht ausreichend geschützt, insbesondere wenn keine Verschlüsselung verwendet wird. 

Daher gilt: 

  • Vertrauliche oder sensible medizinische Daten möglichst nicht unverschlüsselt per E-Mail versenden. 
  • Wenn E-Mail unvermeidbar ist, nur das Nötigste übermitteln und – wenn möglich – auf sichere Kommunikationswege (z.B. TI-Messenger oder Patientenportale) ausweichen. 

Im Zweifel: Datenschutzbeauftragte oder IT-Dienstleister fragen, welche Verfahren in Ihrer Praxis eingesetzt werden sollen.

Virenscanner & Firewall
Was bringt eine Firewall?

Eine Firewall kontrolliert den Datenverkehr zwischen Ihrem Praxisnetz und dem Internet und schützt so vor vielen Cyberangriffen. Sie kann z.B.:

  • unerwünschte Zugriffe von außen blockieren, 
  • riskante Verbindungen nach außen verhindern, 
  • bestimmte Dienste oder Ports sperren.

Wichtig: Eine Firewall ersetzt nicht einen Virenscanner auf den einzelnen Rechnern, sondern ergänzt ihn.

War diese Antwort hilfreich?
JaNein
Wir haben den Bitdefender. Ist das auch in Ordnung?

Ja, Bitdefender ist ein anerkannter und leistungsfähiger Virenschutz. 

Wichtig ist: 

  • das Programm muss immer aktuell gehalten werden (Updates), 
  • automatische Scans sollten regelmäßig laufen, 
  • Warnmeldungen dürfen nicht einfach weggeklickt werden. 

Kein Virenschutz bietet 100 % Sicherheit, aber Bitdefender ist eine gute Wahl, wenn er korrekt eingerichtet und gepflegt wird.

Früher hat mir CGM als Virenprogramm Panda empfohlen. Gilt das noch?

Wir nutzen weiterhin die Nachfolgetechnologie von Panda, die heute unter dem Namen CGM Endpoint Security 360° bereitgestellt wird. 

Damit erhalten Sie eine moderne Lösung auf Basis der früher empfohlenen Technologie, integriert in das aktuelle CGM-Sicherheitskonzept.

Ist VirusTotal DSGVO-konform?

Online-Scanner wie VirusTotal sind aus DSGVO-Sicht problematisch, weil:

  • hochgeladene Dateien auf Server außerhalb der EU gelangen können, 
  • die Dateien dort gespeichert und von Dritten eingesehen bzw. analysiert werden können.

Daher gilt: 

  • Keine sensiblen oder personenbezogenen Daten (z.B. Arztbriefe, Befunde, Patientendaten) bei VirusTotal oder ähnlichen Diensten hochladen. 
  • Stattdessen die Datei lokal mit einem aktuellen Virenscanner prüfen.
Kann man auch den Hash der Datei zu VirusTotal senden?

Ja. Sie können statt der kompletten Datei auch nur den Hash (eine Art digitaler Fingerabdruck der Datei) bei VirusTotal prüfen lassen. 

Vorteile: 

  • Es werden keine Inhalte übertragen, 
  • es wird nur geprüft, ob diese Datei bereits als schädlich bekannt ist. 

Das ist deutlich datenschutzfreundlicher und in der Regel DSGVO-konform, solange der Hash keine Rückschlüsse auf personenbezogene Daten zulässt. Im Zweifel sollten Sie die Nutzung solcher Dienste mit Ihrem Datenschutzbeauftragten oder IT-Dienstleister abstimmen.

Zurück zur Hauptseite