Ein Router ist keine Firewall. Dieser Satz klingt technisch, hat aber konkrete Konsequenzen für jede Arztpraxis in Deutschland. Ein Router verbindet Netzwerke und leitet Datenpakete weiter – er prüft sie nicht. Er kontrolliert eingehende Verbindungen rudimentär, aber ausgehende Verbindungen praktisch gar nicht. Das bedeutet: Wenn Schadsoftware einmal in der Praxis aktiv ist, kann sie ungehindert nach außen kommunizieren, Daten abfließen lassen und im schlimmsten Fall die gesamte Praxis verschlüsseln – während der Router weiterhin seinen Dienst tut, als wäre nichts.
Seit der verpflichtenden TI-Anbindung hat sich das Problem verschärft. Arztpraxen sind seither an eine sensible digitale Infrastruktur angebunden, die eigene Sicherheitsanforderungen stellt – darunter die Empfehlung der gematik und des BSI, Praxisnetz und TI-Netz sauber zu trennen. In der Praxis wird diese Trennung häufig nicht oder unvollständig umgesetzt, weil die dafür notwendige Hardware fehlt oder zu komplex zu konfigurieren wäre.
Linogate hat mit dem Praxiswächter eine Antwort auf genau dieses Problem entwickelt: Eine hardwarebasierte Firewall-Lösung, die exakt auf die Anforderungen von Arztpraxen zugeschnitten ist – TI-kompatibel, mit vordefinierten Praxis-Presets, als Bridge-Firewall installierbar ohne Umkonfiguration bestehender Geräte. Als zertifizierter Fachhandelspartner installieren und betreuen wir den Praxiswächter fachgerecht.
STARC medical ist seit über 20 Jahren auf digitale Archiv- und Kommunikationslösungen für Arztpraxen, MVZ und Kliniken spezialisiert. Die Produkte sind in Deutschland entwickelt, als Medizinprodukte zertifiziert und auf die spezifischen Anforderungen niedergelassener Medizin ausgerichtet.
Als lokaler Installationspartner richten wir STARC-Produkte ein, integrieren diese in Ihre bestehende IT-Infrastruktur und sorgen für stabilen, dokumentierten Betrieb.
Der Praxiswächter analysiert den gesamten Datenverkehr – eingehend und ausgehend. Das ist der entscheidende Unterschied zu einem Consumer-Router: Nicht nur unerwünschte eingehende Verbindungen werden blockiert, sondern auch verdächtiger ausgehender Datenverkehr wird erkannt und gestoppt.
Das integrierte IDS/IPS (Intrusion Detection System/Intrusion Prevention System) arbeitet mit aktuellen Signaturen und Angriffsmustern: Es erkennt Schadsoftware, Ransomware-Kommunikation, Datenexfiltration und Angriffsmuster in Echtzeit und blockiert sie, bevor Schaden entsteht. Signaturen werden regelmäßig aktualisiert – automatisiert, ohne manuellen Aufwand.
Die gematik empfiehlt die serielle Installation des Konnektors – mit einer sicherheitsrelevanten Trennung zwischen Praxisnetz und TI-Netz. Der Praxiswächter setzt diese Trennung konsequent und gematik-konform um: Praxisnetz und TI-Konnektor werden in getrennten Netzwerksegmenten betrieben, ohne dass bestehende Geräte umkonfiguriert werden müssen.
Das funktioniert, weil der Praxiswächter als Bridge-Firewall installiert wird: Er wird zwischen Router und Praxisnetz geschaltet und ist für bestehende Geräte transparent – keine neuen IP-Adressen, keine geänderten Netzwerkeinstellungen, keine Unterbrechung laufender Systeme.
Konnektor und VPN werden über einen Software-Assistenten konfiguriert – auch im laufenden Betrieb, ohne tiefes Netzwerkwissen. Der Assistent führt Schritt für Schritt durch die relevanten Einstellungen und stellt sicher, dass die TI-Konfiguration korrekt ist. Das reduziert Konfigurationsfehler und macht Änderungen – etwa bei einem Konnektortausch oder einem TI-Gateway-Wechsel – handhabbar.
VPN-Zugang für Heimarbeitsplätze: Ärztinnen und Ärzte, die von zuhause aus auf das Praxissystem zugreifen müssen, tun das über eine verschlüsselte VPN-Verbindung, die der Praxiswächter bereitstellt. Kein unsicherer Direktzugriff über das Internet, kein ungeregelter Remote-Desktop. Zusätzlich kann das Praxis-WLAN segmentiert und abgesichert werden – Patienten-WLAN getrennt vom Praxisnetz, ohne zusätzliche Hardware.
Die Standardversion des Praxiswächters ist für Praxen mit bis zu zehn Benutzern ausgelegt – geeignet für Einzelpraxen und kleinere Gemeinschaftspraxen. Für größere Praxen, MVZ und Kliniken gibt es die DEFENDO-Varianten von Linogate, die bis zu 250 Arbeitsplätze abdecken und erweiterte Management-Funktionen für zentrale Verwaltung mehrerer Standorte bieten.
Der Praxiswächter kann modular erweitert werden: Antivirenschutz auf Netzwerkebene für zusätzliche Filterung des Datenverkehrs, URL-Filter für die Kontrolle von Webzugriffen aus dem Praxisnetz, S/MIME-Verschlüsselung für sichere E-Mail-Kommunikation. Welche Erweiterungen sinnvoll sind, hängt von der Praxissituation und dem bestehenden Sicherheitskonzept ab – wir beraten konkret.
Eine Firewall, die falsch konfiguriert ist, schützt nicht – sie gibt nur das Gefühl von Sicherheit. Die Installation des Praxiswächters erfordert Kenntnisse in Netzwerkarchitektur, TI-Konfiguration und den spezifischen Anforderungen medizinischer Umgebungen. Als zertifizierter Fachhandelspartner installieren wir den Praxiswächter korrekt: Netzwerksegmentierung nach gematik-Vorgaben, TI-Konfiguration über den Assistenten, Dokumentation der Konfiguration für Nachweiszwecke.
Der Praxiswächter sitzt an der Schnittstelle zwischen Praxisnetz und TI – einem Bereich, der technisches Verständnis beider Seiten erfordert. Wir kennen die TI-Anforderungen der gematik, die Konfiguration von Konnektoren und TI-Gateways und die typischen Netzwerkarchitekturen in Arztpraxen. Das ermöglicht eine Integration des Praxiswächters, die wirklich funktioniert – nicht nur auf dem Papier.
Ein Wartungsvertrag ist beim Praxiswächter nicht optional, sondern notwendiger Teil des Schutzes. Signaturen und Erkennungsmuster müssen aktuell gehalten werden, damit der Schutz gegen neue Bedrohungen wirksam bleibt. Wir übernehmen diese Wartung im Rahmen unserer Managed Services: automatisierte Signatur-Updates, Firmware-Pflege und regelmäßige Überprüfung der Konfiguration.
Der Praxiswächter ist ein zentraler Baustein – aber kein alleiniger. Ein vollständiges Sicherheitskonzept für eine Arztpraxis umfasst mehrere Schichten: Die Firewall als Netzwerkschutz, Endpunkt-Schutz mit EDR-Funktionalität auf jedem Arbeitsplatz, E-Mail-Filterung mit ATP gegen Phishing und Ransomware, verifizierte Backups für den Ernstfall und Mitarbeitersensibilisierung als menschliche Schutzlinie. Wir beraten Sie, welche Kombination für Ihre Praxis sinnvoll und verhältnismäßig ist.
Nicht nach aktuellem Stand der Technik und nicht nach den Empfehlungen von gematik und BSI. Für einfache Heimnetzwerke ohne Patientendaten und TI-Anbindung mag ein Router ausreichen. Für Arztpraxen mit verpflichtender TI-Anbindung, DSGVO-Pflichten und dem Risiko von Ransomware-Angriffen gilt das nicht. Im Ernstfall – einer Datenpanne mit Patientendaten – ist der Praxisinhaber in der Pflicht, angemessene Schutzmaßnahmen nachzuweisen. Ein Consumer-Router ist kein gutes Argument.
Nein. Der Praxiswächter wird als Bridge-Firewall zwischen Router und Praxisnetz geschaltet. Bestehende Geräte behalten ihre IP-Adressen und Einstellungen. Der Eingriff in den laufenden Betrieb ist minimal – die Installation ist in der Regel in einem halben Arbeitstag abgeschlossen.
Der Standard-Praxiswächter deckt Praxen mit bis zu zehn Benutzern ab. Die DEFENDO-Varianten sind für größere Strukturen ausgelegt – Großpraxen und MVZ mit bis zu 250 Arbeitsplätzen, mit erweiterten Management-Funktionen für zentrale Verwaltung mehrerer Standorte. Wir empfehlen die passende Variante auf Basis Ihrer Praxisgröße und Netzwerkstruktur.
Ja – und das ist keine Verkaufsargumentation, sondern technische Notwendigkeit. Eine Firewall ohne aktuelle Signaturen ist wie ein Schloss mit veralteter Schlüsselliste: Sie erkennt bekannte Angriffe, aber neue Bedrohungen passieren ungehindert. Signaturen müssen regelmäßig aktualisiert werden. Das übernehmen wir automatisiert im Rahmen unserer Managed Services.
Der Praxiswächter schützt auf Netzwerkebene – er filtert Datenverkehr und blockiert bekannte Schad-URLs und Angriffsmuster. Phishing-Mails, die über E-Mail-Clients geöffnet werden, sind primär eine Aufgabe für E-Mail-Sicherheitslösungen wie Hornetsecurity. Wir empfehlen beide Schichten kombiniert – Netzwerkschutz und E-Mail-Schutz ergänzen sich.
