Warum ein Router keine Firewall ist – und was das für Ihre Patientendaten bedeutet

Juni 17, 2026

Viele Arztpraxen glauben, ihr Router schütze sie. Das ist ein Irrtum – mit ernsthaften Folgen für Patientendaten. Was eine echte Firewall leistet und was Pflicht ist.

Wenn man Praxisinhaber:innen fragt, ob ihre Praxis geschützt ist, kommt häufig: „Ja, wir haben einen Router mit Firewall.“ Der Router ist da, das Netz läuft, die IT funktioniert. Was soll schiefgehen?

Leider: einiges.

Der Unterschied zwischen Router und Firewall

Ein Router verbindet Netzwerke miteinander. Seine Hauptaufgabe ist es, Datenpakete von A nach B weiterzuleiten. Er ist dafür gebaut, Verbindungen herzustellen – nicht, sie zu prüfen.

Eine echte Firewall tut etwas anderes. Sie analysiert den Datenverkehr: eingehend und – das ist der entscheidende Punkt – ausgehend. Sie entscheidet, was herein und was heraus darf. Sie erkennt verdächtige Muster und blockiert Angriffe, bevor sie Schaden anrichten können.

Die meisten Consumer-Router haben eine rudimentäre Paketfilter-Funktion, die als „Firewall“ bezeichnet wird. Sie blockt einige ungewünschte eingehende Verbindungen – aber prüft ausgehende Verbindungen praktisch nicht. Das bedeutet: Wenn Schadsoftware einmal in Ihrer Praxis aktiv ist, kann sie ungehindert nach außen kommunizieren. Daten können abfließen. Sie merken es nicht.

Was hat das mit der Telematikinfrastruktur zu tun?

Seit Arztpraxen verpflichtend an die TI angebunden sind, hat sich die Netzwerkarchitektur in vielen Praxen nicht grundlegend geändert. Router rein, Konnektor dran, fertig. Das Problem: Die gematik und das BSI empfehlen eine serielle Installation des Konnektors – mit einer sicherheitsrelevanten Trennung zwischen dem lokalen Praxisnetz und dem TI-Netz.

In der Praxis wird das häufig als parallele Installation umgesetzt: Router und Konnektor nebeneinander, ohne Trennung. Das ist technisch einfacher. Und es ist ein Sicherheitsproblem. Ein Angriff auf das lokale Praxisnetz kann so theoretisch auch die TI-Seite erreichen – und umgekehrt.

Der Linogate Praxiswächter wurde genau für dieses Problem entwickelt. Er wird zwischen Router und Praxisnetz als Bridge-Firewall geschaltet – ohne dass bestehende Geräte umkonfiguriert werden müssen. Er segmentiert das Netz gematik-konform, prüft den gesamten Datenverkehr und kommt mit einem Preset, das speziell auf die Anforderungen von Arztpraxen abgestimmt ist.

Was verlangt die DSGVO – und was verlangt die KBV?

Die DSGVO verlangt technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten. Was konkret ausreicht, ist nicht im Gesetz definiert – aber das BSI und seine IT-Grundschutz-Kataloge geben klare Orientierung. Ein Consumer-Router ohne echte Firewall-Funktion erfüllt diese Anforderungen nicht.

Hinzu kommt die IT-Sicherheitsrichtlinie der KBV, die konkrete technische Mindestanforderungen für Arztpraxen festlegt – darunter Netzwerksegmentierung, Firewall und Schutz vor unberechtigtem Zugriff. Diese Richtlinie gilt für alle Praxen, die an der vertragsärztlichen Versorgung teilnehmen.

Das Risiko liegt beim Praxisinhaber. Bei einer Datenpanne – durch Ransomware, Datenleck oder unbemerkte Exfiltration – ist er oder sie in der Pflicht, angemessene Schutzmaßnahmen nachzuweisen. Ein Router als einzige Schutzlinie ist in diesem Fall kein gutes Argument gegenüber der Datenschutzaufsichtsbehörde.

Was sollte ich konkret tun?

Schauen Sie sich Ihr Netzwerk einmal nüchtern an. Trennt irgendetwas Ihr Praxisnetz von der TI? Gibt es eine Lösung, die ausgehenden Datenverkehr aktiv prüft? Sind Ihre Endpunkte durch mehr als nur Windows Defender geschützt?

Drei Fragen, die Sie sich stellen sollten:

Erstens: Weiß ich, was gerade aus meinem Praxisnetz ins Internet geht? Ein Router gibt darauf keine Antwort. Eine Firewall mit IDS/IPS schon.

Zweitens: Ist mein Praxisnetz vom TI-Netz getrennt? Wenn Router und Konnektor ohne Segmentierung nebeneinander hängen, lautet die Antwort nein.

Drittens: Könnte ich im Fall einer Datenpanne belegen, dass ich angemessene Schutzmaßnahmen getroffen habe? Wenn nicht, ist das ein Problem – nicht erst dann, wenn etwas passiert.

Wenn Sie auf eine oder mehrere dieser Fragen kein klares Ja geben können, ist ein Gespräch mit einem spezialisierten IT-Dienstleister der richtige nächste Schritt.

Checkliste: Netzwerksicherheit Ihrer Praxis

[ ] Zwischen meinem Router und dem Praxisnetz steht eine echte Firewall – kein Consumer-Router.

[ ] Praxisnetz und TI-Netz sind sauber getrennt – gematik-konform segmentiert.

[ ] Ausgehender Datenverkehr wird aktiv geprüft.

[ ] Meine Firewall-Signaturen werden regelmäßig aktualisiert.

[ ] Alle Endpunkte sind durch modernen Virenschutz mit EDR-Funktionalität geschützt.

[ ] Ich könnte im Fall einer Datenpanne angemessene Schutzmaßnahmen nachweisen.

Häufige Fragen

Mein IT-Dienstleister sagt, der Router reicht. Stimmt das? Nicht nach aktuellem Stand der Technik und nicht nach den Empfehlungen von gematik, BSI und KBV-IT-Sicherheitsrichtlinie. Für ein einfaches Heimnetzwerk ohne Patientendaten und TI-Anbindung mag das gelten. Für eine Arztpraxis gilt es nicht. Wenn Ihr Dienstleister das anders sieht, lohnt ein zweites Gespräch – oder ein zweite Meinung.

Was ist ein IDS/IPS – und brauche ich das wirklich Ein Intrusion Detection System erkennt Angriffe anhand bekannter Muster und meldet sie. Ein Intrusion Prevention System erkennt und blockiert sie aktiv – in Echtzeit, bevor Schaden entsteht. Beide analysieren Datenpakete auf Angriffsmuster, die ein einfacher Paketfilter nicht sieht. Für Arztpraxen mit Patientendaten und TI-Anbindung ist IDS/IPS keine Überdimensionierung, sondern eine verhältnismäßige Schutzmaßnahme.

Muss ich die Firewall regelmäßig aktualisieren? Ja – und das ist keine Frage des guten Willens, sondern technische Notwendigkeit. Signaturen und Erkennungsmuster müssen aktuell gehalten werden, damit die Firewall gegen neue Bedrohungen wirksam bleibt. Beim Linogate Praxiswächter ist ein Wartungsvertrag deshalb obligatorisch – nicht als Zusatzleistung, sondern als notwendiger Teil des Schutzes.

Was kostet eine ordentliche Firewall-Lösung für eine Arztpraxis? Der Linogate Praxiswächter ist für Praxen bis zehn Arbeitsplätze ausgelegt und liegt in einer Größenordnung, die für die meisten Einzelpraxen verhältnismäßig ist – insbesondere wenn man sie dem Risiko gegenüberstellt, das ein Sicherheitsvorfall bedeutet. Wir nennen Ihnen im Erstgespräch konkrete Zahlen.

Weitere Inhalte

KV-Abrechnung optimieren: Welche Leistungen Ärzte häufig verschenken – und wie sie das ändern

Es gibt einen Satz, den man von Praxisinhaber:innen gelegentlich hört, wenn man sie auf ihre Abrechnung anspricht: „Ich vertraue darauf, dass mein PVS das schon richtig macht.“ Verständlich. Aber leider falsch. Das PVS dokumentiert, was eingegeben wird. Es optimiert nicht. Und es prüft nicht, ob das, was eingegeben wurde, vollständig und korrekt abrechenbar ist.

PVS wechseln: Wann lohnt sich ein Umstieg – und wie geht er ohne Datenverlust?

Es gibt Arztpraxen, die laufen seit zwölf Jahren auf derselben Software. Nicht weil sie begeistert sind, sondern weil ein Wechsel nach so langer Zeit wie ein Berg wirkt, den man lieber umgeht als besteigt. Dabei ist ein Systemwechsel in den allermeisten Fällen machbarer als befürchtet – wenn man weiß, was man tut.

ePA in der Arztpraxis: Was muss ich wissen – und was muss ich tun?

Die elektronische Patientenakte ist eine personenbezogene digitale Akte, in der medizinische Informationen gespeichert werden können: Befunde, Diagnosen, Arztbriefe, Medikationspläne, Impfungen, Laborwerte. Sie liegt nicht in einer Praxis, sondern bei der jeweiligen Krankenkasse des Patienten – technisch erreichbar über die Telematikinfrastruktur.

Was ist KIM – und warum ist der sichere Arztbrief für jede Praxis Pflicht?

Es gibt Themen in der Praxis-IT, die auf den ersten Blick wie technisches Fachchinesisch klingen, im Alltag aber längst angekommen sind. KIM ist eines davon. Wenn Sie schon einmal eine elektronische Arbeitsunfähigkeitsbescheinigung digital übermittelt haben, haben Sie KIM genutzt – vielleicht ohne es zu wissen.