IT-Sicherheitsrichtlinie: Ab heute gelten schärfere Regeln für Arztpraxen

Ab sofort müssen Arzt- und Zahnarztpraxen in Deutschland ihre IT-Sicherheit neu aufstellen. Die Übergangsfrist für die verschärfte IT-Sicherheitsrichtlinie ist ausgelaufen – gleichzeitig wurde der veraltete Kommunikationsstandard KIM 1.0 abgeschaltet. Diese doppelte Herausforderung trifft den Gesundheitssektor kurz nachdem Sicherheitsforscher auf dem 39. Chaos Communication Congress (39C3) in Hamburg anhaltende Schwachstellen in der Telematik-Infrastruktur aufzeigten.

Neue Pflichten: Die „menschliche Firewall“ wird Gesetz

Die größte Neuerung betrifft nicht die Technik, sondern das Personal. Die aktualisierte Richtlinie verlangt verbindliche organisatorische Maßnahmen. Jede Praxis muss für neue Mitarbeiter einen strukturierten IT-Sicherheitseinweisungsprozess einführen und dokumentieren. Erst nach dieser Unterweisung darf ein Mitarbeiter auf Patientendaten zugreifen.

Zudem sind regelmäßige, dokumentierte Sensibilisierungsmaßnahmen Pflicht. Dazu gehören verpflichtende Phishing-Simulationen und Schulungen zu Social-Engineering-Methoden. Aus Sicht von Branchenbeobachtern wandelt sich die IT-Sicherheit damit von einer einmaligen Einrichtung zu einer wöchentlichen Managementaufgabe. Ziel ist es, die wachsende Gefahr von Ransomware-Angriffen einzudämmen, die zunehmend über die Postfächer der Mitarbeiter statt über technische Lücken erfolgen.

Phishing‑Simulationen sind jetzt Pflicht – trotzdem gelingt es vielen Praxen noch, täuschenden E‑Mails zum Opfer zu fallen. Das kostenlose Anti‑Phishing‑Paket erklärt in vier klaren Schritten, wie Sie gefälschte Rechnungen und CEO‑Fraud erkennen, realistische Simulationsübungen für Ihr Team aufsetzen und Nachweise für Compliance‑Prüfungen dokumentieren. Inklusive Vorlagen, Checklisten und Praxisbeispielen speziell für kleine Praxen. Jetzt Anti‑Phishing‑Paket kostenlos herunterladen

Technische Zäsur: KIM 1.0 ist Geschichte

Parallel zu den organisatorischen Vorgaben ist seit dem 1. Januar 2026 eine technische Deadline in Kraft. Die gematik, die nationale Agentur für digitale Medizin, hat den alten Standard KIM 1.0 (Kommunikation im Medizinwesen) abgeschaltet.

Praxen, die nicht auf KIM 1.5 migriert haben, können seitdem keine elektronischen Arztbriefe, Rechnungen oder sicheren Praxisanbindungen mehr versenden. Der neue Standard setzt auf eine robustere Verschlüsselung (Elliptic Curve Cryptography). Während große Anbieter von Praxisverwaltungssystemen die Updates im vierten Quartal 2025 ausrollten, hatten kleinere Softwarehäuser laut Berichten mit der Zertifizierung zu kämpfen. Betroffene Praxen müssen sich jetzt direkt an ihren Systemanbieter wenden.

Kritischer Kontext: Forscher zeigen Schwachstellen auf

Die neuen Regeln treten in eine angespannte Debatte. Auf dem gerade zu Ende gegangenen 39C3 demonstrierten IT-Sicherheitsforscher, dass trotz neuerer Standards wie KIM 1.5 grundlegende Architekturschwächen im Telematiksystem bestehen bleiben.

Ihre Präsentation zeigte Angriffsvektoren auf, über die selbst „sichere“ E-Mails abgefangen werden könnten, wenn die Sicherheit in der Praxis kompromittiert ist. Ärzteverbände kritisieren deshalb, die Last der technischen Verteidigung werde einseitig auf die Praxen abgewälzt, während die zentrale Infrastruktur „hausgemachte“ Schwachstellen behalte. Die Aufsichtsbehörden halten dagegen: Genau gegen die in Hamburg gezeigten Angriffe seien die neuen Schulungspflichten die wirksamste Gegenmaßnahme.

Globale Trendwende: 2026 wird zum Jahr der Kontrollen

Die Verschärfung in Deutschland ist Teil eines weltweiten Trends zur Absicherung kritischer Gesundheitsinfrastrukturen.
* EU: Die Umsetzung der NIS2-Richtlinie beschleunigt sich in diesem Quartal in allen Mitgliedsstaaten. Die neuen Praxisstandards folgen der NIS2-Logik der „Lieferkettensicherheit“.
* USA: Das US-Gesundheitsministerium (HHS) treibt eigene „Cybersecurity Performance Goals“ für 2026 voran, die ähnliche Vorgaben zu Mehr-Faktor-Authentifizierung und Mitarbeiterschulung enthalten.

Experten sagen für 2026 ein Jahr der „Audits und Strafen“ voraus. Die Standards sind nun verbindlicher Teil von Abrechnungs- und Zulassungsvoraussetzungen. Wer nicht nachweist, dass seine Mitarbeiter geschult sind und Phishing-Simulationen durchlaufen, riskiert finanzielle Konsequenzen.

Was jetzt auf die Praxen zukommt

Im ersten Quartal 2026 müssen sich Praxen auf eine Welle von Compliance-Prüfungen einstellen. Krankenkassen und Kassenärztliche Vereinigungen werden die Dokumentation der neuen Schulungsprotokolle voraussichtlich in ihre Routinechecks aufnehmen.

Gleichzeitig entwickelt sich die Technik weiter. Nach der Einführung von KIM 1.5 ist die nächste Stufe die Integration KI-gestützter Bedrohungserkennung in die Praxissoftware. Führende Anbieter haben Roadmaps angekündigt, bis Mitte 2026 automatisierte „Anomalie-Erkennung“ einzuführen. Dies soll Praxen helfen, die neuen Überwachungsanforderungen zu erfüllen, ohne spezielles IT-Sicherheitspersonal einstellen zu müssen.

Die Priorität für heute ist klar: Die Funktion von KIM 1.5 überprüfen, die neuen Sicherheitsprotokolle sofort dokumentieren und jedem Mitarbeiter bewusst machen, dass er zur ersten Verteidigungslinie geworden ist.

PS: Neben Schulungen ist die technische Absicherung entscheidend – besonders für kleinere Praxen, die keine eigene IT‑Abteilung haben. Ein kostenloser Cyber‑Security‑Leitfaden erklärt praxisnah, wie Sie KIM‑Anbindungen prüfen, Mehr‑Faktor‑Authentifizierung einführen und einfache KI‑gestützte Erkennungsmaßnahmen nutzen, um Angriffe früh zu entdecken und Audit‑Risiken zu senken. Ideal für Praxisleitungen, die Compliance und Betriebssicherheit schnell verbessern wollen. Gratis Cyber‑Security‑Report anfordern