Internetzugang

Internetzugang absichern¶

Der kritische Kanal – vom WLAN bis zur Telematik-Infrastruktur¶

Der Internetzugang einer Arztpraxis ist nicht nur eine Verbindung zum Surfen. Er ist der Kanal zu:

Der TI (Telematik-Infrastruktur) – für E-Rezepte, KIM, Notfalldaten
Der PVS-Cloud (falls die Software in der Cloud läuft)
Der Laborschnittstelle
Der E-Mail
Der Videokonferenz (Telemedizin, Sprechstunde)

Ein Internetzugang-Ausfall paralysiert eine Praxis. Das passiert häufiger, als man denkt: Ein Baggerunfall trifft das Glasfaserkabel. Der Router wird defekt. Der Provider führt Wartungsarbeiten durch. Die DSL-Leitung wird instabil.

Auf all das haben Sie keinen Einfluss. Auf Vorbereitung haben Sie sehr wohl Einfluss.

Die Grundlage: Router-Sicherheit¶

Ein Router ist nicht nur ein Gerät – er ist ein konfiguriertes System. Und wie jedes System braucht auch ein Router Sicherheit und Wartung.

Router-Admin-Zugang:

Der Standard-Admin-Zugang (oft Admin/12345 oder ähnlich) ist ein Sicherheitsproblem. Der erste Schritt ist: Passwort ändern unter fritz.box → System → Fritz!Box-Benutzer (bei AVM Fritz!Box). Ein starkes, einzigartiges Passwort, gespeichert im Passwort-Manager.

Danach: Der Router sollte nur aus dem eigenen Netz administrierbar sein. Fernzugriff (von außen) ist standardmäßig deaktiviert – und sollte es bleiben, solange Sie ihn nicht bewusst aktivieren.

Firmware aktualisieren:

Die Router-Firmware sollte mindestens jährlich geprüft werden. Sicherheitslücken in Router-Software werden aktiv ausgenutzt. Bei Fritz!Box unter fritz.box → System → Update. Falls ein Update verfügbar ist, einspielen – am besten nachts, wenn die Praxis nicht arbeitet.

WLAN-Sicherheit:

Das WLAN sollte WPA3 (oder mindestens WPA2) nutzen – nicht WEP oder offenes WLAN. Das WLAN-Passwort sollte starker sein als typische Patient-Passwörter – mindestens 16 Zeichen, Großbuchstaben, Kleinbuchstaben, Zahlen.

Wichtig: Die Standard-SSID (der Name des WLANs) sollte geändert werden – nicht einfach „FRITZ!Box 7590" nennen, sondern etwas Generisches wie „Praxis_WLAN" oder ähnlich.

Praxisnetz ≠ Patientennetz – WLAN-Trennung ist Pflicht¶

Eine Arztpraxis hat oft ein WLAN für Mitarbeiter und ein WLAN für Patienten. Das ist kein Luxus – das ist eine Sicherheitsnotwendigkeit.

Ein Patient, der im WLAN sitzt, sollte nicht in der Lage sein, auf die Patientenakten aller anderen Patienten zuzugreifen. Dafür braucht es eine WLAN-Trennung – entweder durch zwei separate WLANs (von zwei verschiedenen Access Points) oder durch eine Gäste-WLAN-Funktion des Routers.

Praktisch:

Praxis-WLAN (intern): Zugriffsschutz, starkes Passwort, Zugang zu Praxis-Servern, zu Cloud-Services, zur TI. Nur Mitarbeiter kennen das Passwort.
Gäste-WLAN (extern): Offenes oder schwach gesichertes WLAN, nur Internetzugang, keine Verbindung zu Praxis-Systemen. Patienten können das nutzen, wenn sie möchten.

Die Fritz!Box hat eine Gäste-WLAN-Funktion unter System → Gäste-WLAN. Das ist ausreichend für viele Praxen. Größere Praxen können zwei separate Geräte einsetzen.

Wichtig: Ein Patient im Gäste-WLAN sollte nicht in der Lage sein, auf Systeme im Praxis-Netz zuzugreifen. Das ist ein Netzwerk-Segmentierungs-Problem, das ein IT-Dienstleister konfigurieren muss.

TI-Verbindung – stabil und mit Fallback¶

Der TI-Konnektor ist das Gerät, das Ihre Praxis mit der Telematik-Infrastruktur verbindet. Ein Ausfall des Internets bedeutet kein Zugriff auf E-Rezepte, KIM oder Notfalldaten.

Die Anforderung: Eine stabile, durchgehende Internetverbindung.

Die Realität: Das Internet fällt manchmal aus.

Die Lösung: Ein Fallback – eine Backup-Verbindung, wenn die Hauptverbindung weg ist.

Praktische Optionen:

Zwei verschiedene Internet-Anschlüsse. DSL von Anbieter A und Glasfaser von Anbieter B. Falls der DSL ausfällt, läuft die TI noch über Glasfaser. Das ist teuer und nicht immer verfügbar, aber am sichersten.

Mobiler Internet-Router als Fallback. Ein 5G/LTE-Router (auch MiFi genannt) mit eigener SIM-Karte als Backup. Falls die Hauptverbindung ausfällt, schaltet man schnell um. Diese Router kosten 100–200 Euro und eine SIM-Karte mit wenig Datenvolumen kostet 10–20 Euro monatlich.

Smartphone-Hotspot als Not-Notfall. Das ist nicht ideal (begrenzte Bandbreite, Akku wird schnell leer), funktioniert aber für E-Mail und KIM kurzfristig.

Welche Variante sinnvoll ist, hängt von Ihrer Praxis-Situation ab. Ein IT-Dienstleister kann das einschätzen.

WLAN-Internetzugang absichern – die Fritz!Box-Härtung¶

Eine gut konfigurierte Fritz!Box ist bereits ein guter Schutz. Einige zusätzliche Maßnahmen reduzieren das Risiko weiter:

UPnP deaktivieren: Universal Plug and Play erlaubt Geräten, selbstständig Portfreigaben einzurichten – ohne Ihre Zustimmung. Schadsoftware kann das nutzen. Deaktivieren unter fritz.box → Heimnetz → Netzwerk → Heimnetzfreigaben (je nach Firmware).

Netzwerkfilter aktivieren: - NetBIOS-Filter schützt vor älteren Windows-Netzwerk-Anfragen (fritz.box → Internet → Filter) - DNS-Rebinding-Schutz verhindert Misdirect-Attacken - IPv6-Firewall sollte aktiv sein (fritz.box → Internet → Zugangsdaten → IPv6)

Portfreigaben überprüfen: Jede aktive Portfreigabe (fritz.box → Internet → Freigaben) ist ein potentieller Eingangskanal für Angreifer. Alles, was nicht aktiv gebraucht wird, sollte entfernt werden.

Fernzugriff – wenn überhaupt, dann sicher¶

Es gibt Szenarien, in denen ein Arzt von außerhalb auf die Praxis-Systeme zugreifen muss – Notfall nachts, Frage zum Patienten im Urlaub, oder generell mobiles Arbeiten.

Unsicher: Ein direkter Zugriff auf die Administrationsoberfläche des Routers oder auf Praxis-Systeme aus dem Internet.

Sicherer: Ein VPN (Virtual Private Network), das Ihren externen Zugriff verschlüsselt.

Die Fritz!Box hat VPN-Funktionen (WireGuard, IPSec). Ein VPN-Zugang funktioniert so: Sie bauen von außen eine verschlüsselte Verbindung in Ihr Praxis-Netz auf – danach sind Sie im Netz, als würden Sie am Router selbst sitzen.

Zwei-Faktor-Authentifizierung für VPN ist wichtig – das Passwort allein ist nicht genug.

Öffentliche WLANs im mobilen Arbeitsalltag¶

Ärzte und Arzthelfer arbeiten nicht nur in der Praxis. Sie sind in Kliniken, im Homeoffice, im Cafe – überall mit WLAN.

Öffentliche WLANs sind das unsicherste Netzwerk, in dem Sie regulär arbeiten. Ein Angreifer im gleichen WLAN kann den Datenverkehr anderer Geräte mitlesen – besonders kritisch bei sensiblen Daten wie Patientenakten oder Passwörtern.

Schutz: Ein VPN auf dem mobilen Gerät, das den gesamten Internetverkehr verschlüsselt. Empfehlenswerte VPN-Anbieter: Mullvad (5 Euro monatlich), ProtonVPN (auch kostenlose Basis-Version), oder ein WireGuard-VPN, das Sie selbst betreiben.

Nicht nutzen: Kostenlose VPN-Anbieter von fragwürdiger Herkunft – viele davon finanzieren sich durch Weiterverkauf von Nutzerdaten.

Regel für die Praxis: Wenn Sie sich mit Patientendaten in einem öffentlichen WLAN anmelden müssen, nutzen Sie ein VPN. Besser noch: Nutzen Sie für sensible Arbeit den mobilen Hotspot des Praxis-Smartphones – das ist ein Netzwerk, das nur Sie kontrollieren.

Zugangsdaten und Router-Backup – für den Notfall¶

Wenn der Router kaputt geht, brauchen Sie schnell einen Ersatz. Das Problem: Wie richtet man den neuen Router ein, ohne die Zugangsdaten zu kennen?

Was Sie dokumentieren sollten:

Zugangsdaten des Internetanschlusses (DSL/Glasfaser) – Benutzername und Passwort
Das aktuelle Router-Backup (Export unter fritz.box → System → Sicherung)
Das WLAN-Passwort (backup)
Die Telefonnummer des Providers

Diese Daten gehören in Ihr Notfalldokument – an einem sicheren Ort, nicht im Router selbst.

Ein Router-Backup ist wertvoll, weil Sie damit auf einem neuen Gerät die gleiche Konfiguration einspielen können – WLAN-Einstellungen, Portfreigaben, VPN-Konfiguration, alles ist wiederhergestellt.

Merksatz: Der Internetzugang ist so kritisch wie der Strom. Planen Sie für Ausfälle. Ein Fallback und dokumentierte Zugangsdaten kosten wenig und sparen im Notfall Stunden.