Zugänge für Dritte

Zugänge für Dritte – sicher teilen, sauber trennen¶

Das versteckte Sicherheitsrisiko¶

Eine Arzthelferin bleibt für zwei Wochen im Urlaub. Der IT-Dienstleister braucht schnell Zugang zum Server, um ein Problem zu beheben. Er bekommen das Admin-Passwort per WhatsApp. Er loggt sich ein, macht die Arbeit, und das Passwort wird nicht geändert.

Das Labor sendet täglich Befunde elektronisch in die Praxis. Das Login für diese Schnittstelle ist ein generisches Konto – „labor" / „labor2024". Der Labortechniker kennt es (weil der IT-Dienstleister es ihm gesagt hat) und technisch ununterscheidbar von den Praxis-Mitarbeitern.

Ein Subunternehmer bearbeitet ein Projekt und braucht Zugang zur Praxis-Cloud. Die Arzt-Helferin schickt ihm die Anmeldedaten für ihr Konto. Nach drei Monaten endet das Projekt – aber der Subunternehmer hat immer noch die gleichen Zugangsdaten und loggt sich manchmal noch ein.

All das ist normal. Und all das ist ein Sicherheitsproblem.

Merksatz: Jeder geteilte Zugang ist eine potenzielle Hintertür. Die Frage ist nicht, ob Sie jemandem vertrauen – sondern ob Sie wissen, wer gerade Zugang hat und ob dieser Zugang noch nötig ist.

Grundprinzip: Getrennte Zugänge statt geteilter Passwörter¶

Das oberste Gebot beim Zugang für Dritte: Geben Sie niemals Ihre eigenen Zugangsdaten weiter.

Wenn Sie einem IT-Dienstleister Ihr Admin-Passwort geben, ist er aus Sicht des Systems nicht mehr vom Admin zu unterscheiden. Wer hat was gemacht? Nachvollziehen unmöglich. Können Sie den Zugang entziehen, ohne selbst das Passwort zu ändern? Nein – das können Sie nur, wenn Sie das Admin-Passwort selbst ändern, und dann kennt der Dienstleister das neue Passwort auch nicht mehr.

Die Lösung: Der IT-Dienstleister hat seinen eigenen Account.

Praktisch heißt das:

In der PVS: Der Dienstleister bekommt einen Tech-Support-Account mit Admin-Rechten – sein Login, sein Passwort. Nur er kennt sein Passwort. Nach der Arbeit wird der Account deaktiviert (nicht gelöscht).

Auf dem Server/NAS: Ein separates Konto für den IT-Dienstleister, mit den Rechten, die er braucht. Nicht das Root-Passwort.

Im Router: Ein separates Benutzer-Konto, wenn möglich.

Das Prinzip der minimalen Rechte¶

Das gleiche Prinzip wie bei Mitarbeitern: Wer Zugang bekommt, sollte nur die Rechte haben, die er für seine konkrete Aufgabe braucht.

Praktische Fragen:

Der Steuerberater prüft Belege – braucht er Schreibrecht in der Buchhaltungssoftware? Nein, Lesezugriff reicht.
Der Lab-Techniker sendet Befunde – braucht er einen manuellen Login? Nein, ein automatisierter Schnittstellen-Account ohne manuellen Zugang ist besser.
Der Webdesigner aktualisiert die Praxis-Website – braucht er Zugang zum E-Mail-System? Nein.
Der IT-Dienstleister macht Wartung am Router – braucht er auch Zugang zur PVS? Nein.

Jeder erhält nur das Minimum. Das ist nicht bürokratisch – es ist eine Sicherheits-Grundregel.

Temporäre Zugänge und Ablaufdaten¶

Manche Zugänge sind dauerhaft (Steuerberater, Labor-Schnittstelle). Andere sind zeitlich begrenzt (Subunternehmer für ein Projekt, IT-Konsultant für eine einmalige Aufgabe).

Für temporäre Zugänge: Legen Sie beim Einrichten fest, wann der Zugang endet. Idealerweise hat das System eine Ablauf-Funktion (Gastlinks mit Ablaufdatum, temporäre Einladungen). Wenn nicht, tragen Sie sich im Kalender ein: Am X. Tag wird dieser Zugang wieder entfernt.

Das ist wichtig: Warten Sie nicht auf den anderen. Wenn ein Projekt endet oder eine Zusammenarbeit ausläuft, entziehen Sie den Zugang aktiv am Tag der Beendigung – nicht irgendwann. Die meisten Zugänge werden nicht bösartig missbraucht – aber wenn das Konto des anderen später kompromittiert wird, haben Sie das Risiko ausgeschlossen.

Fernwartung – sicher und kontrolliert¶

Wenn ein IT-Dienstleister Wartungsarbeiten durchführt, braucht er manchmal Fernzugriff auf den Praxis-Computer oder den Server. Das ist normal.

Unsicher: Der Dienstleister bekommt das Admin-Passwort und loggt sich direkt ein. Sie sehen nicht, was er tut.

Sicherer: Verwendung einer Fernzugriffs-Software mit Sitzungs-ID.

Tools wie TeamViewer, AnyDesk, oder Windows Remote Assistance funktionieren so: 1. Sie starten das Tool auf Ihrem Praxis-PC 2. Das Tool generiert eine Sitzungs-ID (z. B. 12345-678-90) 3. Sie teilen diese ID dem Dienstleister mit 4. Er verbindet sich über die ID 5. Sie sehen auf Ihrem Monitor, was er tut (idealer Fall: Vier-Augen-Prinzip) 6. Nach der Sitzung wird die ID ungültig – der Dienstleister kann sich nicht mehr verbinden

Das ist transparent und zeitlich begrenzt. Und die Verbindung wird protokolliert – später können Sie sehen, wann der Dienstleister Zugriff hatte.

Am sichersten: Ein separates Admin-Konto für den Dienstleister, das nur aktiviert wird, wenn Wartung ansteht. Danach wird es deaktiviert.

Labore und externe Dienstleister – Datenvertrag und Hilfspersonenvereinbarung¶

Ein Labor sendet täglich Befunde in die Praxis – über eine Schnittstelle, per E-Mail, oder über einen Web-Login. Das Labor hat technisch Zugriff auf die Praxis-Datenbank (zumindest zum Einspielen von Befunden).

Aus datenschutzrechtlicher Perspektive ist das eine Auftragsverarbeitung. Das Labor verarbeitet Patientendaten (Befunde, möglicherweise Untersuchungsergebnisse) im Auftrag der Praxis.

Das muss vertraglich geregelt sein – mit einem Auftragsverarbeitungsvertrag (AVV). Dieser Vertrag verpflichtet das Labor:

Patientendaten nur nach Anweisung der Praxis zu verarbeiten
Daten nicht an Dritte weiterzugeben
Angemessene Sicherheitsmaßnahmen zu treffen
Die Praxis über Verletzungen zu benachrichtigen

Viele große Labore haben Standard-AVVs. Der IT-Dienstleister oder die Praxis selbst sollte das einfordern.

Zusätzlich kann es sinnvoll sein, eine Hilfspersonenvereinbarung (auch Geheimhaltungsvereinbarung genannt) zwischen Praxis und Labor zu treffen – dass das Labor die ärztliche Schweigepflicht einhält und Daten nicht leichtfertig weitergeben.

Das klingt formell – ist aber die rechtliche Grundlage dafür, dass externe Zugriffe auf Patientendaten überhaupt zulässig sind.

Der Steuerberater-Sonderfall¶

Der Steuerberater braucht regelmäßig Zugang zu Finanzdaten – Belege, Buchungen, möglicherweise direkt in der Buchhaltungssoftware. Das ist völlig normal.

Sicher organisiert:

Nutzen Sie die Freigabe-Funktion der Buchhaltungssoftware. Moderne Programme wie Lexoffice, sevDesk oder FastBill haben Steuerberater-Zugänge eingebaut. Der Steuerberater loggt sich ein, sieht nur die Daten, die Sie freigeben – keine Praxis-Geheimnisse außer der Finanzseite.

Das ist besser als: Dateien per E-Mail zu schicken (E-Mails sind nicht verschlüsselt und bleiben in der Historie). Der Zugriff ist dokumentiert, es gibt eine Audit-Log, und Sie können den Zugriff jederzeit entziehen.

Standard-Lösung in vielen Praxen: DATEV-Unternehmen-Online. Das ist ein Dienst, über den Praxis und Steuerkanzlei standardisiert Finanzdaten austauschen. Es gibt einen AVV, es ist rechtssicher, und Steuerkanzleien kennen das System.

Offboarding – der vergessene Schritt¶

Das Onboarding ist selbstverständlich: Neue Person kommt, Sie richten den Zugang ein. Das Offboarding passiert oft gar nicht oder zu spät.

Offboarding-Checkliste bei Beendigung einer Zusammenarbeit:

Alle Zugänge entziehen (PVS, Server, Cloud-Dienste, VPN)
Geteilte Passwörter sofort ändern (falls doch welche geteilt wurden)
Zugangslinks und Einladungen widerrufen
Cloud-Freigaben entfernen, nicht nur die Nachricht löschen
Dokumentieren: Wann wurde der Zugang entzogen, von wem, welche Systeme?

Falls Sie mehrere externe Partner haben, hilft eine einfache Liste: Wer hat aktuell Zugang zu was? Das sind fünf Minuten Arbeit, die im Ernstfall Stunden spart.

Zugänge für Dritte