top of page
Suche

IT-Sicherheit in der Arztpraxis: Die 11 FMH-Anforderungen einfach erklärt

  • vor 12 Stunden
  • 9 Min. Lesezeit

Was Praxisinhaberinnen und Praxisinhaber wirklich umsetzen müssen – ein Praxis-Leitfaden auf Basis der FMH-Empfehlungen und des revidierten Datenschutzgesetzes (revDSG).


Kurz gesagt

Die FMH hat 11 Minimalanforderungen zum IT-Grundschutz für Arztpraxen definiert. Sie sind formell Empfehlungen, durch das revidierte Datenschutzgesetz (revDSG, in Kraft seit 1. September 2023) aber faktisch verpflichtend – Patientendaten gelten als besonders schützenswerte Personendaten. Wer eine Praxis betreibt, ist persönlich für deren Schutz verantwortlich. Eine saubere Umsetzung gelingt mit einem auf Praxen spezialisierten IT-Partner, der die FMH-Dokumente D1, D2 und D3 kennt und die technischen Massnahmen nachvollziehbar dokumentiert.


Auf einen Blick:

  • Grundlage: FMH-Empfehlungen zum IT-Grundschutz (Dokumente D1, D2 und D3)

  • Gesetzlich: revDSG, seit 1. September 2023 in Kraft – Patientendaten sind besonders schützenswert

  • Verantwortung: Die Praxisinhaberin oder der Praxisinhaber persönlich – nicht delegierbar an den IT-Dienstleister

  • Empfehlung: Externer IT-Partner mit nachweisbarer Praxis-Erfahrung und dokumentierten Massnahmen

  • Realität: Cyberangriffe auf Schweizer Arztpraxen nehmen jährlich zu – Ransomware ist die häufigste Bedrohung


Warum dieses Thema heute kritisch ist

«Hacker veröffentlichen erneut sensible Schweizer Gesundheitsdaten» – solche Schlagzeilen sind in den letzten Jahren häufiger geworden. Arztpraxen, Zahnarztpraxen und kleinere Gesundheitsinstitutionen sind für Cyberkriminelle attraktiv: Sie verarbeiten hochsensible Personendaten und verfügen häufig über weniger ausgeprägte Sicherheitssysteme als Spitäler oder Versicherungen.


Compu-Trade betreut seit über 20 Jahren Praxen im Schweizer Gesundheitswesen – aktuell mehr als 50 Praxen in der ganzen Deutschschweiz, vom Hausarzt über die Zahnarztpraxis und Spezialärzte bis hin zu Physiotherapie und weiteren Gesundheitsberufen. Aus dieser Erfahrung wissen wir: Die FMH-Anforderungen klingen abstrakt, lassen sich aber gut umsetzen, wenn man sie systematisch angeht und die richtigen technischen Bausteine wählt.

Dieser Artikel führt durch die 11 Minimalanforderungen der FMH – mit Erklärungen, warum jede einzelne Massnahme wichtig ist, und Hinweisen, wie wir sie in der täglichen Praxis-IT-Betreuung umsetzen.


Die drei FMH-Dokumente: D1, D2 und D3

Die FMH hat ihre Empfehlungen zum IT-Grundschutz in drei Dokumenten strukturiert:

  • D1: Grafische Übersicht der wichtigsten Schutzbereiche – ideal für die Wandtafel im Praxis-Sekretariat

  • D2: Das 11-Punkte-Programm mit den Minimalanforderungen – die Grundlage dieses Artikels

  • D3: Detaillierte technische Massnahmen für ICT-Dienstleister – die Arbeitsgrundlage für den IT-Partner

Die folgenden 11 Punkte folgen der FMH-Strukturierung in D2. Wir erklären jeden Punkt aus drei Perspektiven:

  • Was die FMH konkret fordert

  • Warum die Anforderung sinnvoll ist (Bedrohungslage)

  • Wie in der Praxis: die Umsetzung in einer typischen Schweizer Arztpraxis aussieht


Die 11 FMH-Anforderungen im Detail


1. Verantwortlichkeiten bestimmen und Vorgaben erlassen

Was: Wer in der Praxis ist wofür zuständig? Wer ist Ansprechperson für Datenschutz, wer für IT? Welche Regeln gelten für den Umgang mit Patientendaten, mit privaten Geräten, mit Passwörtern?

Warum: Ohne klare Verantwortlichkeiten fühlt sich niemand wirklich zuständig. Im Ernstfall – etwa bei einer Phishing-Mail – weiss niemand, wen zu informieren. Zudem verlangt das revDSG explizit dokumentierte Prozesse.

Wie in der Praxis: Wir helfen Praxen, eine einseitige IT-Sicherheitsrichtlinie zu erstellen, die rollenbezogen ist (Inhaber, MPA, Auszubildende). Diese wird einmal pro Jahr aktualisiert und vom ganzen Team gegengezeichnet.


2. Mitarbeitende sensibilisieren und schulen

Was: Regelmässige Schulungen zu Themen wie Phishing-E-Mails, sicheres Passwort-Management, sicherer Umgang mit USB-Sticks und Patientendaten im Pausenraum.

Warum: Über 80 Prozent der erfolgreichen Cyberangriffe beginnen mit einer Phishing-Mail. Die beste Firewall hilft nichts, wenn eine MPA versehentlich auf einen schadhaften Link klickt. Das menschliche Element ist die wichtigste Verteidigungslinie.

Wie in der Praxis: Wir bieten unseren Praxis-Kunden jährliche 60-Minuten-Schulungen direkt in der Praxis an, mit echten Phishing-Beispielen aus dem Schweizer Gesundheitswesen. Zusätzlich simulieren wir gelegentlich Phishing-Mails – als Lernhilfe, ohne Blossstellung.


3. Zugriffe auf Daten regeln

Was: Wer darf welche Patientendaten sehen? Hat die Reinigungskraft Zugang zum gleichen Computer wie der Praxisinhaber? Wer kann nach Feierabend noch auf die Praxis-Software zugreifen?

Warum: Das Bundesgesetz zum Datenschutz verlangt, dass nur Personen Zugang zu Patientendaten haben, die diese für ihre Arbeit zwingend benötigen («need to know»-Prinzip).

Wie in der Praxis: Jede Person bekommt einen eigenen Benutzer-Account mit individuellem Passwort. Berechtigungen werden rollenbasiert vergeben (Arzt sieht alles, MPA nur den Tagesplan, Auszubildende nur Stammdaten). Bei Austritten werden Konten sofort deaktiviert – nicht nur das Passwort geändert.


4. Passwörter und Authentifizierung sichern

Was: Starke, eindeutige Passwörter für jede Anwendung. Wo immer möglich Zwei-Faktor-Authentifizierung (2FA) – besonders für E-Mail, Praxis-Software und Cloud-Zugänge.

Warum: Schwache oder mehrfach verwendete Passwörter sind das häufigste Einfallstor für Angreifer. Ein einziges geknacktes Passwort kann den Zugang zu allen Systemen öffnen.

Wie in der Praxis: Wir installieren in jeder Praxis einen Passwort-Manager (z.B. Bitwarden oder 1Password). 2FA wird mindestens für die Praxis-Software, E-Mail und Cloud-Dienste aktiviert. Wo möglich, ersetzen wir Passwörter durch Passkeys oder biometrische Verfahren.


5. Schutz vor Schadsoftware (Antivirus)

Was: Aktuelle, professionelle Antivirus-Lösung auf allen Geräten – nicht der Windows-Standard, sondern eine zentral verwaltete Business-Lösung mit Echtzeit-Schutz und Ransomware-Erkennung.

Warum: Ransomware ist die häufigste Cyberbedrohung für Schweizer Praxen. Sie verschlüsselt sämtliche Patientendaten und fordert Lösegeld. Ein erfolgreicher Angriff legt eine Praxis tagelang lahm und kann die Existenz bedrohen.

Wie in der Praxis: Wir setzen auf Lösungen wie Bitdefender – zentral verwaltet, automatisch aktualisiert. Der Schutz ist im Hintergrund aktiv und wird von uns jeweils für die Praxen verlängert.


6. Firewall und Netzwerk schützen

Was: Eine professionelle Firewall am Internet-Übergang, getrennte Netze für Praxis-Computer, Patienten-WLAN und medizinische Geräte. Externe Zugriffe (Homeoffice, Wartung) nur über sichere VPN-Verbindungen.

Warum: Das Patienten-WLAN, der vernetzte Drucker und der ungesicherte Smart-TV im Wartezimmer können Einfallstore werden. Wenn alle Geräte im gleichen Netz hängen, kann ein kompromittiertes Gerät die ganze Praxis-IT gefährden.

Wie in der Praxis: Wir installieren typischerweise eine Firewall der Marke Zyxel oder Sophos mit getrennten VLANs: eines für die Praxis-Computer (mit Patientendaten), eines für medizinische Geräte (oft nicht patchbar), eines für das öffentliche WLAN. So bleibt ein eventueller Angriff auf das Gäste-WLAN isoliert. Wichtig: Wir empfehlen, Gäste-WLAN in Arztpraxen nicht mehr zu verwenden bzw. diese auszuschalten.


7. Software aktuell halten (Patch-Management)

Was: Betriebssysteme, Praxis-Software, Browser und alle Anwendungen müssen regelmässig aktualisiert werden – idealerweise automatisch und überwacht.

Warum: Die meisten Cyberangriffe nutzen bekannte Sicherheitslücken aus, die der Hersteller längst gepatcht hat – aber der Patch wurde nie installiert. Der WannaCry-Angriff 2017 hätte mit aktuellen Windows-Updates verhindert werden können.

Wie in der Praxis: Wir empfehlen unseren Praxen einen Wartungsintervall von zweimal pro Jahr, bei dem ein Techniker on-site vor Ort in die Praxis kommt und sämtliche Wartungsarbeiten und Updates durchführt.


8. Daten regelmässig sichern (Backup)

Was: Tägliche, automatisierte Backups der Patientendaten – mindestens nach der 3-2-1-Regel: drei Kopien, auf zwei verschiedenen Medien, davon eine ausser Haus.

Warum: Bei einem Ransomware-Angriff sind die aktuellen Daten verschlüsselt. Ohne Backup bleibt nur, das Lösegeld zu zahlen (oft mehrere zehntausend Franken) oder die Praxis komplett neu aufzubauen. Auch ein Hardware-Defekt oder ein Wasserschaden im Serverraum macht ohne Backup alle Daten unzugänglich.

Wie in der Praxis: Wir setzen auf eine Kombination aus lokalem Synology-NAS mit Hyper Backup für die schnelle Wiederherstellung plus verschlüsseltes Cloud-Backup in einem Schweizer Rechenzentrum für den Worst Case. Achtung: Wiederherstellung regelmässig prüfen – ein Backup, das nicht getestet ist, ist kein Backup.


9. Verschlüsselung von Daten und Kommunikation

Was: Patientendaten müssen verschlüsselt gespeichert und übertragen werden – auf Laptops, USB-Sticks, in E-Mails und beim Versand an Labor, Krankenkasse oder Zuweiser.

Warum: Ein unverschlüsselter Laptop, der im Zug vergessen wird, ist eine Datenpanne mit Meldepflicht an den EDÖB. Eine unverschlüsselte E-Mail mit Patientendaten kann unterwegs abgefangen werden.

Wie in der Praxis: Wir aktivieren auf allen Geräten die Vollverschlüsselung (BitLocker für Windows, FileVault für Mac) und richten für die Praxis HIN-Mail oder eine vergleichbare Lösung für den verschlüsselten E-Mail-Versand ein. USB-Sticks für den Transport von Patientendaten werden grundsätzlich abgeschafft – die Daten gehen über sichere Cloud-Verbindungen bzw. über die Praxissoftware.


10. Externe Dienstleister vertraglich verpflichten

Was: Jeder Externe, der Zugang zu Patientendaten haben könnte (IT-Dienstleister, Software-Anbieter, Cloud-Provider, Wartungsfirmen), muss vertraglich auf Vertraulichkeit und Datenschutz verpflichtet werden – schriftlich, mit klaren Massnahmen.

Warum: Wenn der IT-Dienstleister gehackt wird, könnten auch die Praxisdaten betroffen sein. Die Praxisinhaberin bleibt aber rechtlich verantwortlich. Eine Auftragsdatenverarbeitungsvereinbarung (ADV) sichert ab.

Wie in der Praxis: Wir liefern allen unseren Praxis-Kunden eine vorbereitete ADV-Vorlage, die die FMH-Anforderungen erfüllt. Zusätzlich legen wir offen, welche unserer eigenen Subdienstleister Zugang haben könnten (z.B. Cloud-Provider) und welche Massnahmen dort gelten.


11. Notfallplan bereithalten

Was: Was tun, wenn die Praxis-IT morgens nicht mehr funktioniert? Wen anrufen? Welche Patiententermine müssen verschoben werden? Wie kommuniziert man mit den Patienten ohne Praxis-Software?

Warum: Im Ernstfall zählt jede Minute. Ein vorbereiteter Notfallplan reduziert den Schaden dramatisch – und nimmt der Praxisinhaberin in der ohnehin stressigen Situation die wichtigsten Entscheidungen ab.

Wie in der Praxis: Wir erstellen für jede Praxis ein einseitiges Notfall-Blatt (auf Papier, nicht im PC), das gut sichtbar im Sekretariat hängt: Kontaktnummern, erste Schritte, Vorlagen für Patienten-SMS, manueller Tages-Plan. Einmal pro Jahr üben wir das Szenario «Strom weg» oder «Server weg» im Trockenlauf.


Aus der Praxis: Ein Cyberangriff, der glimpflich ausging

Im vergangenen Jahr riefen uns Mitarbeiter einer Gemeinschaftspraxis morgens um acht Uhr an: «Wir können die Patientendaten nicht öffnen, überall stehen merkwürdige Texte auf dem Bildschirm.» Es war ein Ransomware-Angriff. Die Angreifer hatten über eine Phishing-Mail Zugang erhalten und die zentrale Praxis-Datenbank verschlüsselt.

Was uns half – und der Praxis den Tag rettete:

  • Unser nächtliches Cloud-Backup vom Vortag war intakt und nicht infiziert.

  • Das Patch-Management hatte die Ausbreitung auf weitere Geräte verhindert – nur der zentrale Server war betroffen.

  • Der Notfallplan lag bereit: Innerhalb von zwei Stunden waren die Tagestermine telefonisch umorganisiert.

  • Die Datenwiederherstellung dauerte einen halben Tag – die Praxis konnte am Nachmittag wieder normal arbeiten.

Kein Lösegeld bezahlt. Keine Patientendaten kompromittiert. Die Meldung an den EDÖB war Standard, da keine Daten abgeflossen waren. Der Vorfall wurde der Polizei gemeldet und führte zu einer laufenden Ermittlung. Dieser Fall hat uns bestätigt: Die FMH-Anforderungen sind kein bürokratisches Übel, sondern echte Lebensversicherung.


Die 5 häufigsten Fehler in Schweizer Arztpraxen

Nach über 50 betreuten Praxen sehen wir immer wieder die gleichen Probleme:

  1. Geteilte Passwörter: Das Praxis-WLAN-Passwort, das auch der Patient erfährt, ist gleichzeitig das Login für die Praxis-Software. Das passiert häufiger, als man denkt.

  2. Veraltete Windows-Versionen auf medizinischen Geräten. Hersteller liefern Ultraschall- oder Röntgengeräte oft mit Windows 7 oder älter. Diese gehören in ein separates Netz.

  3. «Backup» auf einer USB-Festplatte, die dauerhaft am Server hängt. Bei Ransomware wird auch das «Backup» mit-verschlüsselt.

  4. Praxis-E-Mails über privates Hotmail oder GMX. Datenschutzrechtlich heikel und technisch unsicher.

  5. Keine schriftliche Dokumentation der IT-Massnahmen. Im Audit oder im Schadenfall fehlt der Nachweis, was umgesetzt wurde.


Was kostet die FMH-konforme IT-Sicherheit?

Eine seriöse Praxis-IT-Sicherheit ist keine Frage von einigen hundert Franken, aber auch nicht im fünfstelligen Bereich. Erfahrungswerte aus unserer Kundschaft:

Praxisgrösse

Monatlicher Richtwert (inkl. Lizenzen, Support, Monitoring)

Einzelpraxis (1–2 Arbeitsplätze)

CHF 200 – 400

Kleinere Praxis (3–5 Arbeitsplätze)

CHF 400 – 700

Gemeinschaftspraxis (6–10 Arbeitsplätze)

CHF 700 – 1’200

Grössere Praxis / kleines Ärztezentrum (10+ Arbeitsplätze)

Ab CHF 1’200

Zum Vergleich: Eine durchschnittliche Ransomware-Wiederherstellung in einer KMU-Praxis kostet zwischen CHF 20’000 und 80’000 – ohne Berücksichtigung von Reputationsschäden und Praxis-Ausfallzeiten.


Häufige Fragen zur IT-Sicherheit in der Arztpraxis

Sind die FMH-Anforderungen gesetzlich verpflichtend?

Die FMH-Anforderungen selbst sind Empfehlungen, formell nicht bindend. Aber: Das revidierte Datenschutzgesetz (revDSG) verlangt «angemessene technische und organisatorische Massnahmen» zum Schutz besonders schützenswerter Daten. In der Praxis bedeutet das, dass eine Praxis, die die FMH-Anforderungen nicht erfüllt, im Schadenfall vor erheblichen rechtlichen Problemen steht.


Kann ich die IT-Sicherheit selbst machen oder brauche ich einen Spezialisten?

Die Grundlagen wie Passwort-Hygiene und Schulung der Mitarbeitenden kann die Praxisinhaberin selbst organisieren. Die technische Umsetzung (Firewall, Backup, Patch-Management, Verschlüsselung) braucht aber spezialisiertes Wissen – sowohl der Technik als auch der spezifischen Anforderungen im Gesundheitswesen. Ein IT-Partner ohne Praxis-Erfahrung wird viele Eigenheiten (z.B. Anbindung von Praxis-Software, medizinische Geräte mit alten Betriebssystemen) nicht kennen.


Wie finde ich heraus, ob meine aktuelle IT FMH-konform ist?

Mit einem strukturierten IT-Sicherheits-Check. Wir bieten unseren Praxis-Kunden einen rund zweistündigen Check vor Ort an, bei dem wir die 11 FMH-Punkte einzeln durchgehen und ein dokumentiertes Resultat erstellen. Das Resultat zeigt, welche Punkte erfüllt sind, welche teilweise und wo Handlungsbedarf besteht – inklusive Priorisierung.


Was passiert bei einer Datenpanne?

Das revDSG verlangt eine Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) «so rasch als möglich», sofern ein hohes Risiko für die betroffenen Personen besteht. Bei einem Verdacht auf eine Straftat (z.B. Erpressung durch Ransomware) sollte zudem die Polizei kontaktiert werden. Die FMH stellt Vorlagen für diese Meldungen zur Verfügung.


Wie oft sollten die Massnahmen überprüft werden?

Mindestens einmal pro Jahr im Rahmen einer dokumentierten Überprüfung – plus laufend bei Veränderungen (neue Mitarbeitende, neue Software, neue Geräte). Wir machen mit unseren Kunden einmal jährlich einen «IT-Sicherheits-Tag», an dem wir alle Massnahmen durchgehen, Schulungen aktualisieren und den Notfallplan testen.


Spielt die Grösse der Praxis eine Rolle?

Ja – aber anders, als viele denken. Kleinere Praxen sind nicht weniger gefährdet, sondern oft sogar attraktiver für Angreifer, weil sie als schwächer geschützt gelten. Die FMH-Anforderungen gelten für jede Praxis, unabhängig von der Grösse. Die konkrete Umsetzung kann allerdings einfacher und kostengünstiger sein bei einer Einzelpraxis als bei einem Ärztezentrum mit 20 Mitarbeitenden.


Fazit: Sicherheit ist machbar – mit dem richtigen Partner

Die 11 FMH-Anforderungen wirken auf den ersten Blick einschüchternd – elf Punkte, jeder mit eigenen Massnahmen, plus revDSG, plus Notfallplanung. Aus unserer Erfahrung mit über 50 betreuten Praxen wissen wir: Wenn die Punkte einmal sauber umgesetzt und dokumentiert sind, läuft die IT-Sicherheit weitgehend im Hintergrund. Die Praxisinhaberin kann sich auf die Patienten konzentrieren – mit der Gewissheit, dass die wichtigsten Risiken abgedeckt sind.

Wichtig ist der richtige Partner: einer, der nicht nur Computer reparieren kann, sondern die Eigenheiten einer Arztpraxis kennt – die Praxis-Software, die medizinischen Geräte, die FMH-Dokumente, das revDSG und die typischen Bedrohungslagen im Schweizer Gesundheitswesen.



Compu-Trade – IT-Partner für Praxen seit über 20 Jahren

Wir betreuen über 50 Praxen in der ganzen Deutschschweiz – vom Hausarzt über die Zahnarztpraxis und Spezialärzte bis zu Physiotherapie und weiteren Gesundheitsberufen. Standorte in Hettiswil und Burgdorf.

Erstberatung und IT-Sicherheits-Check vor Ort sind unverbindlich und für Praxen kostenlos.Termin: 034 411 11 33 oder info@compu-trade.ch



Hinweis: Dieser Artikel basiert auf den FMH-Empfehlungen zum IT-Grundschutz (Dokumente D1, D2 und D3) sowie auf dem revidierten Schweizer Datenschutzgesetz (revDSG, in Kraft seit 1. September 2023). Stand: Mai 2026. Die genannten Kostenrichtwerte und Erfahrungswerte basieren auf unseren eigenen Projekten und können je nach Praxis variieren.

Kommentare

Mit 0 von 5 Sternen bewertet.
Noch keine Ratings
Rating hinzufügen
bottom of page