Zum Inhalt

Passwörter & Zwei-Faktor

Passwörter & Zwei-Faktor-Authentifizierung in der Arztpraxis

Das Passwort-Dilemma: Wer arbeitet an welchem Gerät?

Eine typische Szene: Die Praxis-Rezeption sitzt an zwei PCs. Der erste PC ist für die Terminverwaltung zuständig. Der zweite für Abrechnung und Dokumentation. Morgens kommt Petra an, mittags kommt Simone. Beide brauchen Zugriff auf die Patientenakten, aber auf unterschiedliche Funktionen der Software.

Wenn Sie beide Arzthelferinnen mit dem gleichen Passwort ausstatten, können Sie später nicht mehr nachvollziehen, wer welche Änderung vorgenommen hat. Das ist ein Dokumentations- und Kontrollproblem – aber auch aus datenschutzrechtlicher Sicht problematisch, denn die DSGVO verlangt, dass Zugriffe auf Patientendaten protokollierbar sind.

Die Lösung heißt: Jede Person hat ihren eigenen Login. Das ist nicht optional, sondern Pflicht. Das bedeutet:

Jede Arzthelferin, jede Ärztin, jeder Arzt hat einen eigenen Benutzer-Account im Betriebssystem. Sie sperren den PC nach sich ab oder nutzen eine automatische Sperrung nach fünf bis zehn Minuten Inaktivität. Wenn die nächste Person den PC nutzen möchte, meldet sie sich mit ihren eigenen Anmeldedaten an.

Das klingt aufwändig. In der Praxis funktioniert es, wenn es zur Routine wird – und es ist unverzichtbar, weil es die einzige Möglichkeit ist, zu dokumentieren, wer wann auf welche Patientendaten zugegriffen hat.

Wichtig: Ein Praxis-PC, der öffentlich zugänglich ist, muss durch eine automatische Sperrung nach kurzer Inaktivität geschützt werden. Sonst liest jeder Patient mit, der nach dem Arzt im Wartezimmer sitzt.

Der eHBA und seine PIN – die medizinische Identität

Der eHBA (elektronischer Heilberufsausweis) ist kein gewöhnlicher USB-Stick. Er ist das digitale Äquivalent Ihres Arztstempels. Mit dem eHBA signieren Sie digitale Rezepte, greifen auf die TI zu, und bei manchen Systemen auch auf kritische Patientenfunktionen.

Die PIN des eHBA ist das Passwort zu dieser Identität. Eine schwache PIN ist gleichbedeutend damit, dass jemand, der die PIN kennt, in Ihrem Namen handeln kann – Rezepte ausstellen, Befunde ansehen, oder technische Operationen durchführen.

Das Problem ist klassisch: Die PIN wird aufgeschrieben. Und wo wird sie aufgeschrieben? Oft auf dem Post-it, das am Monitor über dem eHBA-Leser klebt. Das ist auch pragmatisch verständlich – niemand kann sich mehrere verschiedene PINs merken. Aber es ist nicht sicher.

Die beste Lösung: Ein Passwort-Manager. Dieser speichert die eHBA-PIN verschlüsselt und ermöglicht es Ihnen, die PIN zu nutzen, ohne sie zu merken. Welche Passwort-Manager für die Praxis infrage kommen, klären wir gleich.

Alternativ – und das ist kein Ersatz für einen Manager, sondern nur als Notfall-Backup – die PIN an einem sicheren Ort aufbewahren, der nicht am Monitor klebt. Ein verschlossener Tresor, ein Schlüsselsafe, getrennt vom eHBA.

Merksatz: Ein eHBA ohne Passwort-Manager ist wie ein Rezeptpad ohne Schloss. Schreiben Sie Ihre PIN nicht auf Post-its auf.

Die Praxisverwaltungssoftware (PVS) – Richtlinien des Herstellers nutzen

Die meisten Praxen setzen eine spezialisierte Praxisverwaltungssoftware ein – Titanium, MEDI, MEDISTAR, oder eine andere Lösung. Diese Software hat fast immer ein eingebautes Benutzer- und Recht-Management-System. Die PVS kann festlegen, welche Benutzerin welche Funktionen nutzen darf. Die Arzthelferin kann die Abrechnung vielleicht nicht einsehen, während der Arzt Zugang zu allen Funktionen hat.

Nutzen Sie diese Möglichkeiten – aber verlassen Sie sich nicht allein darauf.

Warum die PVS allein nicht reicht: In vielen Praxen liegen Daten nicht nur in der PVS. Es gibt Netzlaufwerke, auf denen Briefe, Befunde, Laborergebnisse oder eingescannte Dokumente abgelegt werden – am PVS vorbei. Außerdem sind viele PVS-Systeme so aufgebaut, dass ihre Datenbanken und Dateien auf Betriebssystemebene erreichbar sind. Wer Zugang zum Windows-Explorer oder zum Dateiserver hat, kann unter Umständen direkt auf die PVS-Datenbank zugreifen – ganz ohne PVS-Login.

Das bedeutet: Sie brauchen mehrere Verteidigungsebenen. Die PVS-Zugriffskontrolle ist eine davon. Aber genauso wichtig sind die Absicherung auf Betriebssystemebene (eigene Benutzerkonten, Dateiberechtigungen auf Netzlaufwerken) und auf Netzwerkebene (wer darf auf welche Freigaben zugreifen). Erst wenn alle drei Ebenen zusammenspielen, ist der Zugriff auf Patientendaten wirklich kontrolliert.

Konkret heißt das:

  1. Jede Person in der Praxis hat einen eigenen Benutzer-Account in der PVS – mit einem starken Passwort, das nur diese Person kennt.

  2. Das Passwort wird in einem Passwort-Manager gespeichert. Der Passwort-Manager läuft auf dem Praxis-Netzwerk (mehr dazu unten).

  3. Die Passwort-Richtlinien der PVS sind aktiviert: mindestens 12 Zeichen, Großbuchstaben, Kleinbuchstaben, Zahlen, Sonderzeichen. Passwort-Wiederverwendung ist nicht erlaubt. Passwörter werden regelmäßig geändert (mindestens alle 90 Tage, besser alle 30 Tage).

  4. Die Admin-Konten werden besonders behandelt: Der Admin-Account der PVS hat ein besonders starkes Passwort, das nur eine Person (meistens der IT-Dienstleister) kennt. Im Notfall kann der Arzt oder die Arztin dieses Passwort vom IT-Dienstleister anfordern, es wird aber danach sofort geändert.

Welche weiteren Passwort-Einstellungen die PVS hat, hängt vom Hersteller ab. Ihr IT-Dienstleister sollte ein Dokument haben, das diese Einstellungen dokumentiert.

Passwort-Manager für die Praxis – Sicherheit und Komfort

Das Kernproblem: Sie können sich nicht für jeden Account ein einzigartiges, starkes Passwort merken. Ein Passwort-Manager macht dieses Problem lösbar.

Für eine Arztpraxis gelten aber spezielle Anforderungen:

Erstens: Der Manager muss datenschutzkonform sein. Das bedeutet konkret: Das Master-Passwort ist lokal verschlüsselt, bevor es in irgendeine Cloud geht. Nur so haben Sie volle Kontrolle über die Daten. Cloud-Synchronisierung kann optional sein (praktisch für mehrere Geräte), aber nicht erzwungen.

Zweitens: Mehrere Praxis-Mitarbeiter brauchen Zugriff – aber nicht auf alle Passwörter. Ein Passwort-Manager braucht ein Team-Feature, mit dem Sie Passwörter oder Passwort-Kategorien für bestimmte Personen freigeben können.

Drittens: Der Manager muss selbst gut dokumentiert sein. Wer kümmert sich um den Master-Passwort des Managers? Wer hat diese Verwaltungs-Rechte? Im Notfall – wenn der Passwort-Manager-Admin nicht erreichbar ist – muss ein zweiter Weg existieren, die kritischen Passwörter abzurufen.

Empfehlenswerte Passwort-Manager für Praxen:

Bitwarden – Open Source, kostenlose Version reicht oft, es gibt auch Enterprise-Versionen. Bitwarden kann selbst gehostet werden (das stellt mancher IT-Dienstleister zur Verfügung, was vollständige Kontrolle über die Daten gibt). Mit Team-Features können Sie Passwörter zwischen Mitarbeitern teilen. Dezentral, gut für Praxen, die maximale Kontrolle wünschen.

heylogin – Deutsches Unternehmen, passwortlos: Anmeldungen werden nicht mit Passwörtern bestätigt, sondern über Biometrie auf einem gekoppelten Smartphone. Das ist aus Sicherheitssicht sehr stark (kein Passwort kann gestohlen werden). Für Teams geeignet, da die Verwaltung zentralisiert ist. Kostet etwas, ist aber für Praxen eine saubere Lösung.

KeePassXC – Lokal, kein Cloud-Zwang. Die Passwort-Datei liegt auf der Praxis-Festplatte oder auf dem NAS und wird lokal mit einem Master-Passwort geschützt. Sie müssen sich um Updates und Sicherung selbst kümmern, haben aber maximale Kontrolle. Für Praxen mit IT-Unterstützung eine Option.

1Password – Kommerziell, sehr bedienungsfreundlich, kostenpflichtig. Für Praxen mit mehreren Mitarbeitern gibt es Business-Pläne. Gut, wenn Sie sich um die Technik nicht kümmern wollen und jemand das für Sie übernimmt.

Welchen Manager Sie wählen, ist weniger wichtig als das, dass Sie überhaupt einen nutzen. Sprechen Sie mit Ihrem IT-Dienstleister – er kennt wahrscheinlich schon die beste Lösung für Ihre Situation.

Zwei-Faktor-Authentifizierung – Besonders für KIM und Admin-Zugänge

Zwei-Faktor-Authentifizierung (2FA) bedeutet: Ein Passwort allein reicht nicht. Sie brauchen zusätzlich einen zweiten Faktor – typischerweise einen Code, den eine App oder ein Hardware-Schlüssel erzeugt.

Für eine Arztpraxis ist 2FA nicht überall nötig. Aber es gibt kritische Bereiche, wo 2FA Pflicht sein sollte:

KIM (Kommunikation im Medizinwesen). Der KIM-Zugang ist Ihre sichere E-Mail über die TI. Mit KIM können Sie vertrauliche Patienten-Mitteilungen austauschen. Der KIM-Account sollte 2FA haben – entweder TOTP (Time-based One-Time Password) oder – noch besser – über den eHBA selbst.

Administrations-Zugänge. Wer Admin-Rechte auf der PVS, dem Server oder dem Router hat, sollte 2FA nutzen.

E-Mail-Konto der Praxis. Das E-Mail-Konto ist oft der Schlüssel zu allem anderen – über E-Mail lassen sich andere Passwörter zurücksetzen. 2FA hier ist wichtig.

Praxis-Cloud-Dienste. Falls Sie Terminkalender, Buchhaltung oder andere Dienste in einer Cloud laufen haben, sollten diese 2FA haben – besonders wenn mehrere Mitarbeiter darauf zugreifen.

2FA funktioniert typischerweise über eine App auf dem Smartphone – Google Authenticator, Authy, oder integriert in einen Passwort-Manager. Alle 30 Sekunden erzeugt diese App einen neuen sechsstelligen Code. Bei der Anmeldung geben Sie das Passwort ein und dann noch den Code aus der App.

Das Problem: Was passiert, wenn das Smartphone weg ist? Hier kommt wieder die Frage nach Backup-Codes: Fast jeder Dienst, der 2FA anbietet, erzeugt beim Einrichten eine Liste mit Notfall-Codes. Diese müssen sicher aufbewahrt werden – nicht im selben Smartphone, das die 2FA-App hat.

Eine pragmatische Lösung für Praxen: Die Backup-Codes werden ausgedruckt, in einem verschlossenen Umschlag aufbewahrt und dem Tresor der Praxis vertraut. Wenn jemand sein Smartphone verliert und nicht mehr in seinen Account kommt, gibt es einen Weg, sich selbst wieder herein zu lassen.

Passwort-Hygiene im Alltag – praktische Regeln

Mehrere Menschen, mehrere Systeme, mehrere Passwörter. Wie bringt man Struktur rein?

Regel 1: Kein doppeltes Passwort. Jedes System hat ein eigenes Passwort. Besonders wichtig: Das Passwort der PVS ist nicht das gleiche wie das des Praxis-PCs, das nicht das gleiche wie das des Passwort-Managers.

Regel 2: Admin-Passwörter sind anders gelagert. Das Admin-Passwort der PVS, des Servers, des Praxis-Routers – diese kennt idealerweise nur der IT-Dienstleister. Wenn die Arztin es wissen muss: gespeichert im Passwort-Manager, nicht aufgeschrieben.

Regel 3: Passwort-Änderungen protokollieren. Wenn ein Passwort gewechselt wird, wird der neue Passwort-Manager aktualisiert. Alte Passwörter werden nicht wiederverwendet – zumindest nicht in absehbarer Zeit.

Regel 4: Beim Arbeitsumsatz (Urlaub, Kündigung) sofort handeln. Wenn eine Arzthelferin in den Urlaub geht, wird ihr Account deaktiviert (nicht gelöscht!). Wenn jemand die Praxis verlässt, werden alle ihre Zugänge entfernt.

Merksatz: Ein Passwort-Manager ist die Basis. Zwei-Faktor-Authentifizierung ist ein Plus. Aber beide funktionieren nur, wenn die Passwörter selbst regelmäßig aktualisiert und systematisch verwaltet werden.

Checkliste: Passwörter & 2FA in der Arztpraxis

  • Jede Person in der Praxis hat ihren eigenen Benutzer-Account auf den Praxis-PCs – nicht geteilt, nicht mit Standard-Passwort.
  • Die automatische Sperrung nach Inaktivität ist aktiviert (5–10 Minuten).
  • Ein Passwort-Manager ist installiert und wird für kritische Passwörter genutzt.
  • Die eHBA-PIN ist im Passwort-Manager gespeichert – nicht auf einem Post-it am Monitor.
  • Die PVS hat eigene Benutzer-Konten pro Person mit individuellen Passwörtern.
  • Die Passwort-Richtlinien der PVS sind aktiviert (Mindestlänge, Komplexität, Ablauf).
  • Der Admin-Account der PVS hat ein besonders starkes Passwort, das nicht leichtfertig weitergegeben wird.
  • 2FA ist mindestens für KIM, Admin-Zugänge und das Praxis-E-Mail-Konto aktiviert.
  • Für alle 2FA-Konten existieren Backup-Codes, die sicher aufbewahrt sind.
  • Es gibt eine Offboarding-Checkliste für Mitarbeiter, die die Praxis verlassen – Passwörter werden geändert, Zugänge entzogen.
  • Mindestens eine weitere Person in der Praxis kennt den Master-Passwort des Passwort-Managers (für Notfallzugriff).
  • Regelmäßig (alle 90 Tage) werden kritische Passwörter geändert, besonders Admin-Passwörter.