Praxisnachricht
  • Serie IT-Sicherheit

Darauf sollten Praxen bei Passwörtern und Sperrcodes achten

Passwörter und Sperrcodes sind unverzichtbar für die IT-Sicherheit in der Praxis. Aber sie bringen auch Aufwand mit sich. In den Fokus rücken daher immer häufiger Passwort-Manager. Eine solche Software kann den Aufwand reduzieren und zugleich die Sicherheit erhöhen. Worauf Praxen bei Passwörtern, Sperrcodes und Passwort-Managern achten sollten, stellen wir im siebten Teil unserer Serie zur IT-Sicherheit vor.

Passwörter gehören nach wie vor zu den gängigsten Authentisierungsmechanismen und auch viele Praxen verwenden sie – sei es bei der Anmeldung der Praxisangestellten am Betriebssystem oder der Terminvermittlung, bei der Bestellung beispielsweise von Sprechstundenbedarf, der Übermittlung von Befunden oder der Quartalsabrechnung, beim Online-Banking oder der Nutzung von Kommunikationsdiensten wie einem E-Mail-Programm.

Dabei gibt es immer wieder Berichte, dass bereits mehr als eine Milliarde E-Mail-Adressen und das dazu jeweils verwendete Passwort kompromittiert sind. Solche Warnungen zeigen, dass zahlreiche Passwörter, die verwendet werden, nicht sicher sind.

Praxen, die Passwörter nutzen und weiterhin nutzen wollen, sollten daher zumindest einige Regeln beachten, zum Beispiel eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen zu wählen und die Passwörter zu ändern, wenn beispielsweise eine Kollegin, der sie bekannt sind, aus der Praxis ausscheidet.

Selbst ein sicheres Passwort ist keine Garantie

Aber auch die Verwendung eines so genannten starken Passwortes schützt nicht davor, dass es bei einem Sicherheitsvorfall abhandenkommen kann. Wird dasselbe Passwort sogar für verschiedene Anwendungen und Dienste verwendet, wächst die Wahrscheinlichkeit, dass es kompromittiert wird. Die Schadensauswirkung kann sich vervielfachen, wenn Angreifer mit einem Passwort die gesamten digitalen Dienste einer Praxis übernehmen können.

Auch Sperrcodes sind anfällig

Nicht nur Passwörter, auch Sperrcodes sind ein Sicherheitsrisiko. Bei ihnen besteht das Problem, dass sie in der Regel nur aus vier, fünf oder wenig mehr Ziffern bestehen dürfen. Eine Möglichkeit, hier für mehr Sicherheit zu sorgen, ist das Nutzen des Fingerabdrucks als Alternative zum Code. Allerdings hat dann nur die Person Zugang, deren Fingerabdruck gespeichert ist – bei Teamaufgaben ist dies also keine echte Alternative.

Grundsätzlich lässt sich festhalten, dass sowohl Passwörter als auch Sperrcodes Herausforderungen mit sich bringen, im Arbeitsalltag Aufwand verursachen können und nicht immer sicher sind.

Passwort-Manager bieten mehr Sicherheit

Immer häufiger rücken daher Passwort-Manager in den Fokus. Hierbei handelt es sich um eine spezielle Software, die Passwörter und andere Zugangsdaten zugleich sichert und verwaltet.

Ein Passwort-Manager kann somit den Aufwand reduzieren, der mit dem eigenständigen Erstellen und Aktualisieren von Zugangsdaten verbunden ist, und dabei sogar für mehr Sicherheit sorgen.

Ein weiterer Vorteil: Praxisinhaber können festlegen, wer im Praxisteam welche Passwörter sehen oder nutzen darf. So kann beispielsweise festgelegt werden, dass der Empfang nur Zugriff auf die Terminbuchung hat, nicht aber auf die Behandlungsergebnisse oder Laborbefunde. Doch auch wenn eine Praxis nur wenige Angestellte beschäftigt, bietet der Passwort-Manager ein Mehr an Sicherheit.

Auf aktuelle Standards achten

Wichtig ist darauf zu achten, dass der Passwort-Manager den aktuellen Datenschutz- und Sicherheitsstandards entspricht. Dazu gehören eine starke Verschlüsselung, regelmäßige Updates und die Möglichkeit zur Zwei-Faktor-Authentifizierung beziehungsweise Multi-Faktor-Authentifizierung. Die Software sollte außerdem benutzerfreundlich sein, damit alle Teammitglieder sie problemlos nutzen können.

Vor der Einführung empfiehlt sich eine Schulung der Praxisangestellten, um den sicheren Umgang mit dem Passwort-Manager zu gewährleisten. So wird nicht nur die Passwortverwaltung vereinfacht, sondern auch das Risiko von Datenverlust oder unbefugtem Zugriff deutlich reduziert.

Nächster Teil am 5. Februar

Im achten Teil unserer Serie am 5. Februar geht es um die sichere Datenlöschung.

Passwort-Manager: Funktionen und Vorteile

Erstellen sicherer Passwörter

Der Passwort-Manager erstellt automatisch starke, komplexe und zufällige Passwörter, die schwer zu knacken sind. So vermeiden Praxen unsichere oder doppelt verwendete Passwörter.

Sichere Verwahrung

Alle Passwörter werden in einem verschlüsselten Tresor abgelegt.

Der Zugriff erfolgt über ein einziges Master-Passwort. Der Zugriff sollte zusätzlich über eine Multi-Faktor-Authentifizierung abgesichert werden.

Automatisches Ausfüllen

Der Passwort-Manager trägt Benutzernamen und Passwörter automatisch in die entsprechenden Felder ein. Das spart Zeit und vermeidet Tippfehler.

Synchronisieren und aktualisieren auf allen Geräten

Die Zugangsdaten sind auf allen Geräten verfügbar, sei es PC, Smartphone oder Tablet. Änderungen werden überall aktualisiert.

Sicheres Teilen im Team

Neben Passwörtern können auch PIN, Lizenzschlüssel und sichere Notizen gespeichert werden. Außerdem ermöglicht der Passwort-Manager das sichere Teilen von Zugangsdaten mit Teammitgliedern, ohne das Passwort sichtbar zu machen.

Überwachen und Warnen

Der Passwort-Manager erkennt schwache oder kompromittierte Passwörter, warnt bei Datenlecks und schlägt Änderungen vor.

info

Passwörter doch lieber selbst erstellen? Darauf sollten Praxen achten

Mindestanforderungen einhalten

  • Länge: Mindestens 12 Zeichen (je länger, desto sicherer)
  • Komplexität: Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen
  • Einzigartigkeit: Für jeden Zugang ein eigenes Passwort – keine Wiederverwendung
  • Keine Standardpasswörter: Werkseinstellungen sofort ändern

Risiken kennen und vermeiden

  • Passwörter niemals teilen – auch nicht „nur kurz“ im Praxisalltag
  • Passwörter nicht auf Zetteln oder unverschlüsselt speichern (z. B. im Browser)

Regelmäßig aktualisieren

  • Passwörter regelmäßig ändern, insbesondere nach Sicherheitsvorfällen oder wenn ein Verdacht auf Kompromittierung besteht
  • Alte Passwörter nicht erneut verwenden

Multi-Faktor-Authentifizierung (MFA) verwenden

  • Wenn möglich, zusätzliche Sicherheitsfaktoren aktivieren (z. B. SMS-TAN, Authenticator-App)
  • MFA ist inzwischen die Standardempfehlung für alle Systeme mit Patientendaten

Zugriff kontrollieren

  • Individuelle Benutzerkonten für alle Mitarbeitenden anlegen, keine gemeinsamen Accounts
  • Rollenbasierte Rechtevergabe: Nur Zugriff auf Daten, die für die jeweilige Tätigkeit nötig sind

Schulung des Praxispersonals

  • Sensibilisierung für Passwortsicherheit ist Pflicht laut KBV-Richtlinie (seit Oktober 2025)
  • Schulungen müssen regelmäßig stattfinden, um Risiken wie Phishing zu minimieren

Technische Ergänzungen vornehmen

  • Nur verschlüsselte Verbindungen (HTTPS, TLS) für alle Online-Dienste nutzen
  • Aktuelle Sicherheitssoftware nutzen und regelmäßig Updates durchführen

Passwort-Richtlinie für die Praxis erstellen

  • In einer Passwort-Richtlinie für die eigene Praxis alle wichtigen Punkte und Zuständigkeiten festlegen und regelmäßig prüfen, ob die Vorgaben umgesetzt werden und gegebenenfalls zu aktualisieren sind
info

Sperrcodes aus wenigen Ziffern: So vermeiden Praxen Sicherheitsrisiken

  • Der Sperrcode oder PIN sollte so lang wie möglich sein und kein einfaches Muster haben, zum Beispiel 1111 oder 123456 oder die eigenen Geburtsdaten.
  • Jedes Gerät sollte einen eigenen Sperrcode oder PIN haben.
  • Nach kurzer Inaktivität sollte sich das Gerät selbst sperren.
  • Zusätzliche Schutzmaßnahmen sollten genutzt werden, zum Beispiel Biometrie (Fingerabdruck, Gesichtserkennung) oder eine Kombination aus PIN und Passwort.
  • Sperrcodes sollten bei Personalwechsel oder einem Sicherheitsvorfall sofort geändert werden.
info

Weitere Informationen

link-allgemein

PraxisNachrichten zur IT-Sicherheit