Schneller Service
Kostenlose Rückmeldung innerhalb von 24 Stunden
Erfolg durch Erfahrung
Aus über 15.000 Projekten im Jahr wissen wir, worauf es ankommt
Der digitale Marktführer
Unsere Kunden sprechen für uns:
4,9 von 5 Sternen auf Google
Abstract – Firewall-Pflicht in der Arztpraxis nach § 390 SGB V
- Anlage 1, Nummer 11 der IT-Sicherheitsrichtlinie nach § 390 SGB V verpflichtet jede Arztpraxis mit Internetanschluss zum Einsatz einer Firewall am Netzübergang – unabhängig von Praxisgröße, seit der ursprünglichen Fassung von 2021 unverändert gültig.
- Die Richtlinie ist technologieneutral formuliert und schreibt weder Hardware noch Software vor; ergänzende KBV-Hinweise empfehlen jedoch bei paralleler TI-Anbindung (Anlage 5, Nummer 4) eine dedizierte Firewall mit UTM-Funktionen statt einer reinen Consumer-Lösung.
- Die Kosten reichen von rund 150 € für Consumer-Gateways im Eigenbetrieb bis zu 3.000 € plus Wartungspauschale für professionelle UTM-Firewalls mit Managed Service; die KV-Pauschale für die TI-Ausstattung deckt die Firewall nur ab, wenn der gewählte Anbieter sie explizit einschließt.
- Verantwortlich für die Einhaltung bleibt stets der Praxisinhaber, auch bei Delegation an einen IT-Dienstleister; ein Verstoß begründet gleichzeitig ein Datenschutzdefizit nach Art. 32 DSGVO mit entsprechendem Bußgeldrisiko nach Art. 83 DSGVO.
Inhaltsverzeichnis
Ist eine Firewall in der Arztpraxis gesetzlich Pflicht?
§ 390 SGB V verpflichtet die Kassenärztlichen Bundesvereinigungen, eine Richtlinie zur IT-Sicherheit in der vertragsärztlichen Versorgung festzulegen. Diese IT-Sicherheitsrichtlinie ersetzt seit ihrem Inkrafttreten die bisherige Fassung nach § 75b SGB V vom 16. Dezember 2020 vollständig. Die KBV erstellt die Richtlinie im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und setzt damit den Stand der Technik der technisch-organisatorischen Datenschutz-Maßnahmen nach Art. 32 DSGVO für Arztpraxen um.
Anlage 1, Nummer 11 der Richtlinie fordert eine Firewall ausdrücklich: Der Übergang zu anderen Netzen, insbesondere zum Internet, muss durch eine Firewall geschützt werden. Primäres Ziel ist der Schutz vor unerlaubten Verbindungen von außen. Zusätzlich sollen nur erlaubte Verbindungen aus dem geschützten Netz nach außen möglich sein. Diese Anforderung gilt bereits seit der ursprünglichen Fassung von 2021 unverändert fort — sie zählt nicht zu den zum 1. Oktober 2025 neu hinzugekommenen Pflichten.
Einordnung nach Praxisgröße: Anlage 1, 2, 3 und 5
Die Richtlinie unterscheidet drei Praxisgrößen nach der Anzahl der ständig mit der Datenverarbeitung betrauten Personen. Eine Praxis mit bis zu fünf solchen Personen setzt die Anforderungen aus Anlage 1 und Anlage 5 um. Eine mittlere Praxis mit sechs bis zwanzig Personen ergänzt Anlage 2. Eine Großpraxis mit über zwanzig Personen oder eine Einrichtung mit Datenverarbeitung im erheblichen Umfang — etwa ein Groß-MVZ oder ein Groß-Labor — erfüllt zusätzlich Anlage 3. Praxen mit medizinischen Großgeräten wie Computertomographen oder Linearbeschleunigern setzen ergänzend Anlage 4 um.
Die Firewall-Pflicht aus Anlage 1, Nummer 11 betrifft damit jede Praxisgröße gleichermaßen — unabhängig von Mitarbeiterzahl oder Fachrichtung.
Verantwortung liegt beim Praxisinhaber
Der Praxisinhaber trägt die Verantwortung für die IT-Sicherheit der Praxis und für die Einhaltung der Richtlinie. Er kann die Umsetzung einzelner Anforderungen an IT-Dienstleister delegieren — die Verantwortung selbst bleibt jedoch bei ihm. Diese Zuordnung entspricht dem Grundsatz der DSGVO, wonach der Verantwortliche technische Schutzmaßnahmen nicht durch bloße Beauftragung Dritter abgeben kann.
Haftungsrisiko: Fehlt die Firewall am Netzübergang, verletzt die Praxis sowohl § 390 SGB V als auch die Pflicht zu angemessenen technisch-organisatorischen Maßnahmen nach Art. 32 DSGVO — mit entsprechendem Haftungsrisiko im Schadensfall. Selbst eine vollständig richtlinienkonforme Firewall schließt das finanzielle Restrisiko eines erfolgreichen Angriffs nicht aus; hier greift eine Cyberversicherung für Arztpraxen als ergänzende Absicherung.
Welche Anforderungen stellt die IT-Sicherheitsrichtlinie konkret an eine Firewall?
Schutz von Internetanbindung, Telematikinfrastruktur und Praxisnetz
Anlage 5 der Richtlinie regelt zusätzlich die dezentralen Komponenten der Telematikinfrastruktur. Nummer 4 dieser Anlage verlangt zusätzliche Schutzmaßnahmen auf Netzebene, sobald der Konnektor parallel zu einer bestehenden Internetverbindung betrieben wird. In dieser Konfiguration — dem in der Praxis häufigsten Fall — schützt die Firewall gleichzeitig den allgemeinen Internetzugang und die TI-Anbindung.
Betreibt die Praxis einen gehosteten Konnektor, verlangt Anlage 5, Nummer 5 zusätzlich einen VPN-Tunnel zwischen Praxis und Konnektor-Rechenzentrum. Die Firewall muss diesen Tunnel technisch zulassen und gleichzeitig unautorisierte Zugriffe blockieren.
Netzsegmentierung und Dokumentationspflicht
Anlage 1, Nummer 12 verpflichtet jede Praxis, das interne Netz einschließlich eines Netzplans zu dokumentieren. Dieser Netzplan bildet die Grundlage für eine sinnvolle Netzsegmentierung: Praxisverwaltungssystem, TI-Komponenten und ein etwaiges Gäste-WLAN sollten getrennte Netzsegmente bilden. So kann ein kompromittiertes Gästenetz nicht auf Patientendaten zugreifen. Für den Management-Zugriff auf die Firewall selbst schreibt Nummer 13 zusätzlich eine geeignete Authentisierung vor — Standard-Passwörter der Werkseinstellung reichen nicht aus.
Zusammenhang mit der DSGVO
Die Präambel der Richtlinie ordnet die Firewall-Pflicht ausdrücklich als Konkretisierung von Art. 32 DSGVO ein. Eine fehlende oder falsch konfigurierte Firewall begründet damit nicht nur einen Verstoß gegen § 390 SGB V. Sie begründet gleichzeitig ein Datenschutzdefizit nach der DSGVO — mit möglichen Bußgeldern nach Art. 83 DSGVO als zusätzlichem Risiko.
Bietet die Praxis eigene Webanwendungen an, etwa einen Online-Terminkalender, verlangt Anlage 1, Nummer 47 ergänzend eine Web Application Firewall (WAF). Diese schützt die Webanwendung selbst und ersetzt die Netzwerk-Firewall am Internetübergang nicht.
Hardware-Firewall oder Software-Firewall — was passt zur Praxisgröße?
Der Wortlaut der Richtlinie ist technologieneutral: Anlage 1, Nummer 11 fordert eine Firewall, ohne Hardware oder Software vorzuschreiben. Eine Fritz!Box mit aktivierter Firewall-Funktion verstößt damit nicht automatisch gegen die Richtlinie. Ergänzende technische Hinweise der KBV empfehlen für Praxen mit dediziertem Internetzugang und paralleler TI-Anbindung dennoch eine dedizierte Firewall — insbesondere, wenn mehrere Endgeräte gleichzeitig geschützt werden müssen.
| Kriterium | Hardware-Firewall | Software-Firewall |
|---|---|---|
| Schutzumfang | Gesamtes Praxisnetz zentral | Nur das jeweilige Endgerät |
| Eignung bei TI-Parallelbetrieb | Empfohlen (Anlage 5, Nr. 4) | Meist nicht ausreichend |
| UTM-Funktionen (IPS, Malwarescanner) | Häufig integriert | Selten vorhanden |
| Administrationsaufwand | Zentral, ggf. durch Dienstleister | Dezentral, je Arbeitsplatz |
| Typische Anschaffungskosten | Höher, einmalig plus Lizenz | Niedrig bis kostenlos |
Warum die Richtlinie in der Praxis meist eine dedizierte Lösung nahelegt
Software-Firewalls schützen ausschließlich das Gerät, auf dem sie installiert sind. Eine Praxis mit mehreren Arbeitsplätzen, Kartenlesegeräten und einem Konnektor benötigt dagegen einen zentralen Schutzpunkt am Netzübergang. Nur eine dedizierte Firewall erfüllt diese Anforderung vollständig und lässt sich sauber für die in Anlage 1, Nummer 12 geforderte Netzdokumentation abbilden.
Was kostet eine Firewall für die Arztpraxis?
Einflussfaktoren
Die Kosten hängen von vier Faktoren ab: der Praxisgröße, der Anzahl der zu schützenden Arbeitsplätze, dem gewählten Betriebsmodell — Eigenbetrieb oder Managed Service — und dem Funktionsumfang der Firewall. Eine Einzelpraxis mit wenigen Arbeitsplätzen benötigt in der Regel weniger Durchsatzleistung als eine mittlere Praxis oder ein MVZ.
Praxisberichte in Fachforen für niedergelassene Ärzte nennen für einfache dedizierte Geräte wie ein UniFi-Gateway einmalige Kosten ab rund 150 Euro. Professionelle UTM-Firewalls mit mehrjährigem Lizenzpaket, etwa aus der Sophos-XG-Serie, werden dort mit rund 600 Euro beziffert. Für vollständig eingerichtete und gewartete Lösungen einzelner Praxen wurden in Fachforen auch Beträge im niedrigen vierstelligen Bereich zuzüglich einer monatlichen Wartungspauschale genannt. Diese Angaben stammen aus individuellen Praxisberichten und ersetzen kein Angebot.
| Modell | Größenordnung Anschaffung | Laufende Kosten | Bemerkung |
|---|---|---|---|
| Consumer-Gateway (Eigenbetrieb) | ab ca. 150 € | meist keine Lizenzgebühr | geringer UTM-Funktionsumfang |
| Professionelle UTM-Firewall | ca. 500–3.000 € | Lizenz- und Supportvertrag, oft jährlich | Umfang abhängig von Anbieter und Lizenzmodell |
| Managed-Firewall-Service | keine Kaufkosten | monatliche Servicegebühr | Einrichtung, Wartung, Updates im Preis enthalten |
| TI-Ausstattung über KV-Pauschale | anbieterabhängig | KV erstattet TI-Pauschale monatlich | Firewall nur enthalten, wenn im TI-Tarif inkludiert |
Die Kassenärztliche Vereinigung erstattet ausschließlich die Kosten für die TI-Ausstattung über eine monatliche Pauschale. Ob diese Pauschale die Firewall mit abdeckt, hängt vom gewählten TI-Tarif und Anbieter ab — prüfen Sie dies vor Vertragsabschluss direkt beim Anbieter. Für größere Investitionen in die Praxis-IT lohnt zudem ein Blick auf mögliche Fördermittel für die Digitalisierung.
Firewall einrichten: Ablauf für Praxen ohne eigene IT-Abteilung
Die Einrichtung folgt fünf Schritten, die sich unabhängig vom gewählten Anbieter wiederholen:
- [ ] Bedarfsanalyse: Anzahl Arbeitsplätze, Internetdienste und Art der TI-Anbindung (parallel oder seriell) erfassen
- [ ] Auswahl: Hardware-Firewall, Managed Service oder Kombination festlegen
- [ ] Einrichtung: Konfiguration durch zertifizierten IT-Dienstleister, Default-Deny-Regelwerk setzen
- [ ] Dokumentation: Netzplan gemäß Anlage 1, Nummer 12 erstellen und aktuell halten
- [ ] Wartung: Updates zeitnah einspielen (Anlage 1, Nummer 14) und Zuständigkeit klar festlegen (Nummer 15)
Netzwerkplan-Pflicht als Nachweis
Der Netzplan dient nicht nur der internen Übersicht. Er dokumentiert gegenüber der Kassenärztlichen Vereinigung oder im Prüfungsfall, dass die Praxis Anlage 1, Nummer 12 umgesetzt hat. Halten Sie den Plan nach jeder Änderung am Netzwerk aktuell — ein veralteter Netzplan gilt im Prüfungsfall als unzureichende Dokumentation.
Managed Firewall Service oder Eigenbetrieb — was ist praxistauglich?
Vor- und Nachteile für Praxen ohne IT-Fachpersonal
Ein Managed-Firewall-Service übernimmt Konfiguration, Updates und Monitoring vollständig. Für Praxisinhaber ohne IT-Fachpersonal reduziert das den eigenen Aufwand fast auf null, erhöht jedoch die Abhängigkeit vom gewählten Anbieter. Der Eigenbetrieb senkt die laufenden Kosten, verlangt aber kontinuierliches Fachwissen — insbesondere für das in Anlage 1, Nummer 14 geforderte zeitnahe Einspielen von Updates.
Tipp: Klären Sie vor Vertragsabschluss, wer im Ernstfall — etwa bei einem Ransomware-Vorfall — innerhalb welcher Frist reagiert. Diese Reaktionszeit gehört vertraglich fixiert, nicht nur mündlich zugesagt.
KBV-zertifizierte Dienstleister als Auswahlkriterium
§ 390 SGB V, Absatz 7 verpflichtet die Kassenärztlichen Bundesvereinigungen, Mitarbeitende von IT-Anbietern auf Antrag zu zertifizieren, sofern diese die erforderliche Eignung nachweisen. Die KBV veröffentlicht eine Liste zertifizierter Dienstleister. Ein zertifizierter Anbieter ist keine Pflicht — die Zusammenarbeit mit einem gelisteten Dienstleister erleichtert jedoch den Nachweis, dass die Umsetzung fachgerecht erfolgt ist.
Firewall-Anbieter für Arztpraxen im Vergleich
| Anbieter/Lösung | Modell | Praxiseignung |
|---|---|---|
| redmedical RED protect | Managed Service, monatliche Gebühr plus Hardware | Kleine bis mittlere Praxen, enge Kopplung an RED-Telematik möglich |
| EPIKUR UTM-Hardware-Firewall | Im TI-Tarif inkludiert oder separat | Praxen mit EPIKUR-Praxisverwaltungssystem |
| Securepoint (z. B. Black Dwarf) | Kauf oder Managed Service über IT-Dienstleister | Kleine bis mittlere Praxen, deutscher Hersteller |
| Sophos XG-Serie | Kauf mit Lizenzvertrag | Praxen mit eigenem oder externem IT-Ansprechpartner |
| Ubiquiti UniFi Gateway | Kauf, Eigenbetrieb | Kleinere Praxen mit IT-affinem Personal |
| Fortinet (FortiGate) | Kauf oder Enterprise-Vertrag | Großpraxen, MVZ mit höherem Durchsatzbedarf |
Worauf bei der Anbieterwahl zu achten ist
Prüfen Sie drei Kriterien vor Vertragsabschluss: erstens die KBV-Zertifizierung der eingesetzten Techniker, zweitens die vertraglich zugesicherte Reaktionszeit bei Sicherheitsvorfällen und drittens die nachgewiesene Kompatibilität mit Ihrem TI-Konnektor. Ein Anbieter ohne dokumentierte Erfahrung mit dem parallelen TI-Betrieb nach Anlage 5, Nummer 4 birgt ein vermeidbares Risiko.
FAQ: Häufige Fragen zur Firewall in der Arztpraxis
Reicht die Firewall-Funktion einer haushaltsüblichen Fritzbox für die Praxis aus?
Rechtlich schließt die Richtlinie eine Fritz!Box nicht ausdrücklich aus, da Anlage 1, Nummer 11 technologieneutral formuliert ist. In der Praxis fehlen einer Fritz!Box jedoch UTM-Funktionen wie Intrusion Prevention oder Malware-Scanning, die ergänzende KBV-Hinweise für Praxen mit TI-Parallelbetrieb empfehlen. Für eine Einzelpraxis mit geringem Datenverkehr mag sie als Übergangslösung genügen — für dauerhaften Schutz reicht sie meist nicht aus.
Wie wird ein sicherer VPN-Zugang für Homeoffice oder externe Standorte eingerichtet?
Für einen gehosteten Konnektor schreibt Anlage 5, Nummer 5 ohnehin einen VPN-Tunnel zwischen Praxis und Rechenzentrum vor. Für Homeoffice-Zugänge gilt ergänzend die Anforderung aus Anlage 2, Nummer 2 für mittlere Praxen: Verschlüsselung nach dem Stand der Technik, etwa TLS. Die Firewall muss den VPN-Tunnel technisch zulassen und gleichzeitig alle nicht autorisierten Verbindungen weiterhin blockieren.
Welche Fristen gelten für die Umsetzung der aktualisierten IT-Sicherheitsrichtlinie 2025/2026?
Die Firewall-Pflicht selbst gilt unverändert seit der ursprünglichen Fassung von 2021. Neu hinzugekommene oder inhaltlich geänderte Anforderungen — etwa zu Mitarbeiterschulungen, Patch-Management, Endgeräten, E-Mail-Servern und Cloud-Diensten — sind laut Richtlinie seit dem 1. Oktober 2025 verbindlich umzusetzen.
