Praxisnachricht

Aktualisierungsdatum: 04.06.2026
Serie IT-Sicherheit

Personelle Veränderungen im Team: Tipps für die IT-Sicherheit

Eine Kollegin geht in Ruhestand, ein Kollege startet seinen ersten Arbeitstag: Bei personellen Veränderungen im Praxisteam ist immer auch an die IT Sicherheit zu denken, damit sensible Patientendaten lückenlos geschützt sind und Arbeitsabläufe weiter funktionieren. Worauf Praxen achten können, zeigt der zwölfte Teil unserer Serie.

Der letzte Arbeitstag endet, die Mitarbeiterin verabschiedet sich, doch ihr Benutzerkonto wird nicht sofort deaktiviert. Wochen später testen Angreifer automatisiert typische Benutzernamen und Passwortvarianten. Da keine zusätzliche Absicherung besteht, etwa eine Multi-Faktor-Authentifizierung, gelingt der Zugriff auf das verwaiste Konto und bleibt tagelang unbemerkt.

Durch ihren Zugriff auf ein verwaistes Konto können Cyberkriminelle erheblichen Schaden verursachen. Möglich sind unter anderem der Zugriff auf sensible Patientendaten, das Einschleusen von Schadsoftware, beispielsweise zur Datenverschlüsselung, und die Forderung von Lösegeld für die Freigabe der verschlüsselten Daten.

Möglich ist auch, dass Cyberkriminelle die Identität der ehemaligen Mitarbeiterin vortäuschen und in ihrem Namen Kollegen, Patienten oder Dienstleister kontaktieren. Diese könnten auf gefälschte E-Mails hereinfallen und sensible Informationen preisgeben oder Zahlungen leisten.

Das Beispiel zeigt, wie leicht eine Sicherheitslücke entsteht und zunächst unbemerkt bleiben kann. Es zeigt auch, dass das Risiko nicht primär von der ehemaligen Mitarbeiterin ausgeht, sondern von unzureichenden Schutzmaßnahmen bei ihrem Ausscheiden aus der Praxis. Verantwortlich für die IT-Sicherheit und entsprechende Schutzmaßnahmen ist der Praxisinhaber oder die Praxisinhaberin.

Schwachstelle fehlendes „Offboarding“

Eine Schwachstelle ist fehlendes „Offboarding“. Gemeint ist damit alles, was geregelt werden muss, wenn eine Mitarbeiterin oder ein Mitarbeiter der Praxis dauerhaft oder längerfristig „von Bord geht“. Dazu gehören das Zurückgeben der Zugangskarte oder das Entziehen von Zugriffsrechten, aber auch die Deaktivierung des Benutzerkontos der ausgeschiedenen Mitarbeiterin und das Ändern von Passwörtern und Zugangsdaten, die ihr bekannt waren.

KBV unterstützt mit Musterdokument

Die KBV stellt ein Muster Austrittsformular bereit, das Praxisinhaberinnen und Praxisinhaber als Vorlage nutzen und individuell anpassen können. Es listet beispielhaft einige wichtige Maßnahmen auf, an die beim Austritt zu denken ist, zum Beispiel das Löschen von Benutzerkonten (Accounts). Das Muster-Austrittsformular steht im Hub der KBV bereit, einer Online-Plattform, die alles Wichtige zur IT-Sicherheitsrichtlinie enthält (siehe unten).

Sicherheit von Anfang an beachten

Kommt ein neuer Kollege ins Team, sollten Zugriffsrechte sparsam vergeben werden. Denn hier stellt sich die Frage, ob jemand gleich am ersten Tag vollen Zugriff auf sensible Daten und Systeme erhalten muss.

Strukturierte Einarbeitung

Zu Beginn der Beschäftigung muss der neue Kollege in die Praxis-IT eingearbeitet und über bestehende Regelungen, Handlungsanweisungen und Verfahrensweisen informiert werden.
Auch hier Musterdokument nutzen

Die KBV bietet auch ein Muster Eintrittsformular an, das Praxisinhaberinnen und Praxisinhaber individuell anpassen und direkt im Alltag einsetzen können. Es steht ebenfalls im Hub bereit.

Sensibilisierung und Schulung

Generell gilt: Neue Mitarbeiterinnen und Mitarbeiter müssen von Anfang an verpflichtet werden, geltende Gesetze und Vorschriften wie die IT-Sicherheitsrichtlinie der KBV einzuhalten. Sie sind darauf hinzuweisen, dass während der Arbeit erhaltene Informationen nur für den internen Gebrauch vorgesehen sind.

Auch müssen sie in den sicheren Umgang mit der Praxis-IT eingewiesen und sensibilisiert werden, soweit dies für ihre Arbeit relevant ist. Neue Kolleginnen und Kollegen sollten entsprechend ihrer Aufgaben und Verantwortlichkeiten zu Themen der Informationssicherheit geschult werden. Solche Schulungen sollten keine einmalige Angelegenheit bleiben, sondern regelmäßig erfolgen.

Neben den Musterdokumenten steht im Hub der KBV auch Schulungsmaterial für Praxisangestellte zur IT-Sicherheit bereit (siehe unten).

Checkliste, Beispiele und Serviceheft

Auf welche Punkte Praxen achten können, fasst eine Checkliste zusammen. Sie soll Orientierung bieten und ist nicht abschließend. Was bei personellen Veränderungen getan werden kann, zeigen auch einige Beispiele (siehe unten).

Für den Einstieg ins Thema bietet die KBV das Serviceheft „PraxisWissen IT-Sicherheit“. Darin ist auch eine Übersicht zu finden, welche Schutzmaßnahmen die IT-Sicherheitsrichtlinie der KBV für Praxispersonal enthält (Seite 5 im Heft).

Nächster Teil der Serie am 2. Juli

Der dreizehnte Teil unserer Serie zur IT-Sicherheit erscheint am 2. Juli. Dann geht es um Virenschutz.

Praxisnahe Beispiele und Tipps zur IT-Sicherheit

Beispiel 1: Ausbildungsbeginn

Eine Auszubildende beginnt in der Praxis und arbeitet zunächst am Empfang.

Mögliche Sicherheitslücke:

Ihr werden zu umfangreiche Zugriffsrechte erteilt (z. B. voller Zugriff auf Abrechnung oder sensible Patientendaten), obwohl diese für die Aufgaben nicht erforderlich sind.

Tipps für Praxisinhaber und Praxisinhaberinnen:

Zugriffsrechte strikt nach „Need to know“-Prinzip vergeben
Nur Systeme freischalten, die tatsächlich benötigt werden
Regelmäßig überprüfen, ob die Rechte noch passend sind

Beispiel 2: Aushilfe am Anmeldetresen

Eine Aushilfe unterstützt für einige Wochen bei der Anmeldung und arbeitet mit Terminvergabe und Patientendaten.
Mögliche Sicherheitslücke:
Die Aushilfe nutzt ein gemeinsames Benutzerkonto oder behält nach Ende der Tätigkeit weiterhin Zugriff auf Systeme.
Tipps für Praxisinhaber und Praxisinhaberinnen:

Für die Aushilfe ein eigenes, individuelles Benutzerkonto anlegen
Dieses Konto von vornherein befristen
Nur notwendige Funktionen freischalten (z. B. keine Abrechnung)

Beispiel 3: Externe Mitarbeit

Ein externer Techniker erhält Zugriff auf die IT der Praxis, um Wartungsarbeiten oder Updates für das Praxisverwaltungssystem durchzuführen.
Mögliche Sicherheitslücke:
Der Zugriff bleibt nach Abschluss der Arbeiten bestehen oder ist zu umfangreich (z. B. dauerhafte Adminrechte).
Tipps für Praxisinhaber und Praxisinhaberinnen:

Zugriff zeitlich begrenzen und nur für den konkreten Zweck vergeben
Nach Abschluss der Arbeiten Zugänge wieder entziehen
Nachvollziehen, welche Änderungen durchgeführt wurden

Beispiel 4: Wechselnde Aufgabe

Eine medizinische Fachangestellte wechselt von der Anmeldung in die Abrechnung.

Mögliche Sicherheitslücke:

Bisherige Zugriffsrechte bleiben, dadurch entstehen zu umfangreiche Berechtigungen.

Tipps für Praxisinhaber und Praxisinhaberinnen:

Die Berechtigungen an die neue Rolle anpassen
Nicht mehr benötigte Zugriffe konsequent entfernen
Regelmäßig prüfen, ob die Rechte noch passend sind

Beispiel 5: Ärztlicher Kollege geht

Ein angestellter Arzt wechselt in eine andere Praxis, er hatte umfangreiche Zugriffsrechte (PVS, TI, KIM, ggf. Administratorrechte).

Mögliche Sicherheitslücke:

Nicht entzogene Rechte ermöglichen weiterhin Zugriff auf sensible Patientendaten.

Tipps für Praxisinhaber und Praxisinhaberinnen:

Alle Konten und Zugänge vollständig deaktivieren
Besonders Adminrechte und TI-Zugänge prüfen
KIM-Kommunikation und Postfächer sichern bzw. übergeben
Ändern bekannter Passwörter

Beispiel 6: Praktikant in der Praxis

Ein Schüler darf Praxisluft schnuppern und nutzt sein eigenes Smartphone während der Arbeit, um Informationen schnell festzuhalten, mal als Foto und mal als Sprachaufnahme.

Mögliche Sicherheitslücke:

Es werden unabsichtlich sensible Informationen erfasst, zum Beispiel Patientendaten auf einem nahe stehenden Bildschirm oder Arzt-Patienten-Gespräche.

Tipps für Praxisinhaber und Praxisinhaberinnen:

Bild- und Tonaufnahmen mit privaten Geräten im Praxisbereich untersagen (sofern nicht ausdrücklich erlaubt, zum Beispiel für ein Erinnerungsfoto/-film mit dem Praxisteam)
Praktikanten gezielt für Datenschutz und Vertraulichkeit sensibilisieren
Sichtschutz und Bildschirmsperren nutzen

Beispiel 7: MFA geht in Rente

Eine langjährige MFA verlässt die Praxis, ihr letzter Arbeitstag ist bekannt und geplant.

Mögliche Sicherheitslücke:

Ihr Benutzerkonto bleibt aktiv oder bekannte Passwörter werden nicht geändert – ein späterer unberechtigter Zugriff bleibt möglich (z. B. über alte Zugangsdaten).

Tipps für Praxisinhaber und Praxisinhaberinnen:

Alle Benutzerkonten am letzten Arbeitstag deaktivieren (PVS, TI, KIM, E Mail usw.)
Geteilte oder bekannte Passwörter sofort ändern
Postfächer prüfen und wichtige Inhalte archivieren oder übergeben

Sicherheitsmaßnahmen bei personellen Veränderungen

Ende einer Beschäftigung

1. Geräte

Geräte am Praxis-Arbeitsplatz prüfen
Mobil genutzte Geräte (Laptops, Smartphones, Datenträger) zurückfordern
Geräte vor der weiteren Verwendung bereinigen oder neu aufsetzen

2. Benutzerkonten

Zugriff sofort beenden
- Benutzerkonten deaktivieren oder entfernen (PVS, TI, KIM, E-Mail, Cloud, VPN)
  Sicherstellen, dass kein Login mehr möglich ist (auch kein VPN-Zugriff)
  Umsetzung so zeitnah wie praktikabel
Berechtigungen entziehen
- Zugriffsrechte auf Systeme, Anwendungen, Cloud-Dienste und Laufwerke entfernen
  Rollen und Gruppenmitgliedschaften prüfen und entfernen
  Prüfen, ob Sonderrechte (z. B. Adminrechte) vergeben waren
  Geteilte oder bekannte Passwörter ändern
  API-Keys, Tokens und gespeicherte Zugänge widerrufen
Kommunikation prüfen
- KIM-Zugang deaktivieren und ggf. neu zuweisen
  E Mail-Zugriff sperren
  Inhalt wichtiger Postfächer archivieren oder übergeben

Tipp: Muster-Austrittsformular nutzen und individuell anpassen (hier im Hub)

Beginn einer Beschäftigung

1. Geräte

Geräte bereitstellen und prüfen
Laptops, Smartphones und Datenträger sicher einrichten
Sicherstellen, dass nur freigegebene und geprüfte Geräte verwendet werden

2. Benutzerkonten

Zugänge einrichten
- Neues Benutzerkonto anlegen (keine Weiterverwendung alter Konten)
  Befristete Konten für kurzfristig beschäftigte Personen (z. B. Aushilfen oder Externe) nutzen
Berechtigungen vergeben
- Zugriffsrechte auf Systeme, Anwendungen, Cloud-Dienste und Laufwerke nach Bedarf einräumen („Need to know“-Prinzip / „Least Privilege“-Prinzip)
  Rollen und Gruppenmitgliedschaften passend vergeben
Zugangsdaten absichern
- Sichere Passwörter festlegen
  Wenn möglich Zwei-Faktor-Authentifizierung nutzen
  Keine Speicherung von Passwörtern im Klartext oder auf Zetteln
Kommunikation einrichten
- KIM-Zugang einrichten und zuweisen
  E Mail-Zugang einrichten
  Postfächer und Kommunikationswege korrekt zuordnen
  Sicherstellen, dass der neue Mitarbeiter erreichbar ist und Anfragen bearbeiten kann

Tipp: Muster-Eintrittsformular nutzen und individuell anpassen (hier im Hub)

Sensibilisierung und Schulung von Anfang an

Gleich am ersten Arbeitstag sollten neue Kolleginnen und Kollegen auf Informationssicherheit und die IT-Sicherheitsregeln der Praxis hingewiesen werden. Wichtig ist, dass die Sensibilisierung und Schulung regelmäßig wiederholt beziehungsweise aufgefrischt wird.

Unterstützung bietet auch hier der Hub der KBV. Auf der Online-Plattform stehen zwei Fortbildungen zur IT-Sicherheit bereit, um Praxisangestellte zu schulen.

(Disclaimer: Dies ist ein optionales Angebot, selbstverständlich können Praxisinhaber auch andere Angebote nutzen oder selbst Schulungen für ihre Mitarbeiterinnen und Mitarbeiter erstellen.)

Lerninhalt Basis-Schulung: Darin geht es um sichere Passwörter und einen sicheren Arbeitsplatz – Stichwort „Clean Desk“. Der Schutz vor Cyberangriffen und der Umgang mit Sicherheitsvorfällen sind weitere Themen.
Lerninhalt Phishing-Schulung: Was Phishing ist und wie ich es erkenne, wird in dieser Schulung thematisiert. Dazu werden verschiedene Varianten vorgestellt: E-Mail-Phishing, Spear-Phishing, Smishing, Vishing, Quishing.

Die Lerninhalte stehen als PDF bereit. Im Hub ist auch eine Anleitung zum Fortbildungsportal der KBV für medizinische Fachangestellte zu finden.

Schulungsmaterial für Praxisangestellte nutzen (hier im Hub)

Abonnieren Sie unsere kostenlosen Newsletter

Bitte wählen Sie mindestens ein Thema aus

PraxisNachrichten - Wöchentliche News für den Praxisalltag

Ich habe die Hinweise zum Datenschutz gelesen und erkläre mich damit einverstanden. Diese Zustimmung kann ich jederzeit widerrufen.

Bitte lesen Sie unsere Datenschutzhinweise sowie unsere Infos zum Newsletter-Abo.

Personelle Veränderungen im Team: Tipps für die IT-Sicherheit

Schwachstelle fehlendes „Offboarding“

KBV unterstützt mit Musterdokument

Sicherheit von Anfang an beachten

Strukturierte Einarbeitung

Sensibilisierung und Schulung

Checkliste, Beispiele und Serviceheft

Nächster Teil der Serie am 2. Juli

Praxisnahe Beispiele und Tipps zur IT-Sicherheit

Sicherheitsmaßnahmen bei personellen Veränderungen

Serie in den PraxisNachrichten

Abonnieren Sie unsere kostenlosen Newsletter