Unterstützt eine Hardware-Firewall VPN?

Ja, eine Hardware-Firewall kann VPN-Verbindungen unterstützen. Damit lässt sich ein geschützter Fernzugriff für autorisierte Benutzer einrichten — etwa für die externe IT-Betreuung oder den Zugriff auf den Praxis-Server aus dem Homeoffice.

Entscheidend ist dabei nicht nur die technische Verfügbarkeit von VPN, sondern die saubere Einrichtung: starke Zugangsdaten, klar definierte Benutzerrechte und eine Konfiguration, die zum tatsächlichen Praxisbetrieb passt. Ein schlecht konfiguriertes VPN kann sonst selbst zur Schwachstelle werden.

Schützt eine Hardware-Firewall auch die Praxissoftware?

Eine Hardware-Firewall sichert nicht die Praxissoftware selbst im Sinne einer internen Programmabsicherung. Sie kann aber dazu beitragen, das Netzwerk vor unerwünschten oder riskanten Verbindungen abzuschirmen und damit die Angriffsfläche für Server, Arbeitsplätze und angebundene Systeme zu verringern.

Gerade in Arzt- und Psychotherapiepraxen ist das relevant, weil Praxissoftware selten isoliert läuft. Sie ist meist mit Servern, Arbeitsplätzen, Remote-Zugängen, Druckern und eventuell Laboranbindungen vernetzt. Die vorgelagerte Netzwerkkontrolle kann helfen, verdächtige Kommunikation frühzeitig einzugrenzen.

Für welche Praxisgrößen ist die Lösung geeignet?

Eine dedizierte Hardware-Firewall kann sowohl für kleinere als auch für größere Praxen sinnvoll sein. Entscheidend ist weniger die Anzahl der Behandlungszimmer als die Frage, wie viele Geräte, Benutzer, Schnittstellen und externe Zugriffe im Alltag tatsächlich vorhanden sind.

Auch eine kleinere Praxis kann ein relevantes Risikoprofil haben, wenn mehrere Arbeitsplätze, Homeoffice-Zugriffe, E-Mail-Kommunikation und sensible Patientendaten zusammenkommen. Größere Praxen profitieren zusätzlich von der Möglichkeit, Zugriffe und Netzwerksegmente strukturierter abzubilden.

Was ist eine Hardware-Firewall?

Eine Hardware-Firewall ist ein eigenständiges Gerät, das zwischen Internetverbindung und internem Netzwerk arbeitet. Sie kontrolliert den Datenverkehr nach definierten Regeln und kann helfen, riskante Verbindungen frühzeitig zu begrenzen oder auffällige Kommunikationsmuster sichtbar zu machen.

Im Unterschied zur Standard-Router-Konfiguration ist eine dedizierte Firewall darauf ausgelegt, Sicherheitsregeln gezielter umzusetzen. Dazu gehören je nach Aufbau unter anderem VPN, Filterregeln, Protokollierung und die Trennung einzelner Netzwerkbereiche.

Reicht ein Router wie eine FritzBox aus?

Ein Router kann grundlegende Sicherheitsfunktionen mitbringen und ist für einfache Szenarien im Privatbereich oft ausreichend. In einer Praxis mit Server, mehreren Arbeitsplätzen, Fernzugriffen und sensiblen Daten stoßen diese Standardfunktionen jedoch schnell an Grenzen.

Ein Router prüft in der Regel nur eingehenden Datenverkehr. Verdächtige ausgehende Kommunikation — etwa wenn ein Gerät mit einem Schadsoftware-Server Kontakt aufnimmt — bleibt dabei unbemerkt. Eine dedizierte Hardware-Firewall kontrolliert gezielt auch den ausgehenden Datenverkehr.

Wie läuft die Installation ab?

Die Einführung einer Hardware-Firewall beginnt mit der Prüfung der vorhandenen Infrastruktur: Internetanschluss, bestehender Router, Serverstruktur, Praxissoftware, vorhandene Fernzugriffe und besondere Anforderungen des laufenden Betriebs.

Je nach Setup kann die Einrichtung per Fernwartung vorbereitet und begleitet werden. Wichtig ist, dass die Umstellung so geplant wird, dass die Arbeitsabläufe der Praxis möglichst wenig gestört werden — und alle notwendigen Verbindungen danach weiterhin zuverlässig funktionieren.

Für wen ist PraxSECURE gedacht?

PraxSECURE richtet sich an Arzt- und Psychotherapiepraxen, die ihre bestehende Praxis-IT um eine zusätzliche, spezialisierte Netzwerksicherheitslösung ergänzen möchten. Im Mittelpunkt stehen Praxen, die eine nachvollziehbare, planbare und im Alltag handhabbare Lösung suchen.

Typische Einsatzfälle sind Praxen mit Praxis-Server, mehreren Arbeitsplätzen, Fernwartungsbedarf, VPN-Anforderungen oder dem Wunsch nach mehr Kontrolle im eigenen Netzwerk — besonders dort, wo Ausfälle oder Sicherheitsvorfälle schnell spürbare organisatorische und wirtschaftliche Folgen haben.

Was unterscheidet eine Hardware-Firewall vom Router?

Eine FritzBox oder ein vergleichbarer DSL-Router übernimmt NAT (Network Address Translation) und sperrt unerwünschte eingehende Verbindungen aus dem Internet. Das ist ein sinnvoller Basisschutz — aber er endet genau dort, wo moderne Angriffe beginnen: im ausgehenden Datenverkehr.

Eine Hardware-Firewall wie PraxSECURE prüft auch den ausgehenden Verkehr. Sie erkennt, wenn ein Gerät in Ihrem Praxis-Netzwerk versucht, mit einem Command-and-Control-Server einer Schadsoftware zu kommunizieren — und blockt diese Verbindung, bevor Schaden entsteht.

Grund 1: Ransomware trifft Arztpraxen besonders hart

Ransomware — Verschlüsselungstrojaner — ist die häufigste und folgenreichste Bedrohung für Arztpraxen. Die Angreifer verschlüsseln Patientendaten, Befunde und Abrechnungsdaten und fordern Lösegeld. Ohne Backup und ohne Firewall ist die Praxis im schlimmsten Fall wochenlang nicht arbeitsfähig.

Eine Hardware-Firewall kann die Ausbreitung von Ransomware im Netzwerk verlangsamen oder ganz verhindern, indem sie verdächtige Kommunikationsmuster erkennt und den infizierten Rechner vom restlichen Praxis-Netzwerk isoliert.

Grund 2: Patientendaten sind besonders schutzwürdig

Gesundheitsdaten gehören nach Art. 9 DSGVO zu den besonderen Kategorien personenbezogener Daten und unterliegen dem höchsten Schutzniveau. Ein Datenschutzverstoß durch mangelnde technische Schutzmaßnahmen kann Bußgelder in erheblicher Höhe nach sich ziehen — zusätzlich zum Reputationsschaden gegenüber Patienten.

Eine Hardware-Firewall ist eine der technisch-organisatorischen Maßnahmen (TOM), die Praxen gemäß Art. 32 DSGVO ergreifen müssen. Sie dokumentiert aktiv, dass Sie Ihren Schutzpflichten nachkommen.

Grund 3: Praxissoftware ist ein attraktives Angriffsziel

Praxisverwaltungssysteme wie T2med, Medistar, x.isynet oder Turbomed laufen oft auf älteren Windows-Versionen und werden nicht täglich aktualisiert — das ist systembedingt. Diese bekannten Schwachstellen machen sie für Angreifer interessant.

Eine Hardware-Firewall schützt die Praxissoftware nicht durch Patches, aber sie verhindert, dass eine verwundbare Software von außen erreichbar ist oder im Falle einer Kompromittierung unkontrolliert nach außen kommunizieren kann.

Grund 4: VPN für sicheren Fernzugriff auf den Praxis-Server

Viele Praxen benötigen Fernzugriff auf den Praxis-Server — für IT-Betreuung, Homeoffice oder den Notfalldienst. Ohne VPN läuft dieser Zugriff oft über unsichere Wege wie RDP (Remote Desktop Protocol), das regelmäßig von Angreifern aktiv gescannt wird.

PraxSECURE unterstützt VPN-Verbindungen, die den Fernzugriff auf den Praxis-Server verschlüsseln und nur autorisierten Geräten und Personen erlauben. Das ist sowohl sicherer als auch DSGVO-konformer.

Grund 5: Phishing erkennt keine reine Software-Firewall

Phishing-Mails sind nach wie vor der häufigste Einstiegsweg für Angriffe. Ein unbedachter Klick auf einen Link in einer täuschend echten E-Mail reicht aus, um Schadsoftware nachzuladen. Windows Defender und klassische Antivirenprogramme erkennen neue Varianten oft erst mit Verzögerung.

Eine Hardware-Firewall mit DNS-Filterung kann bekannte Schadsoftware-Domains und Phishing-Seiten blockieren, bevor der Download überhaupt beginnt — eine zusätzliche Verteidigungslinie, die rein softwarebasierte Lösungen nicht bieten.

Grund 6: Netzwerksegmentierung schützt den Praxis-Server

In vielen Praxen hängen Patientengeräte, Mitarbeiter-Smartphones und medizinische Geräte im gleichen Netzwerk wie die Praxissoftware. Das ist ein erhebliches Risiko: Ein kompromittiertes Gerät kann direkt auf den Praxis-Server zugreifen.

PraxSECURE mit WLAN-Option ermöglicht die Trennung in separate Netzwerksegmente — Praxisnetz, Gäste-WLAN und Gerätenetz — sodass ein Angriff aus einem Segment nicht auf die kritische Infrastruktur übergreifen kann.

Grund 7: Kalkulierbare Kosten statt unkalkulierbarer Folgeschäden

Ein erfolgreicher Ransomware-Angriff kostet eine Arztpraxis im Schnitt mehrere Wochen Ausfall, IT-Forensik, Wiederherstellungskosten und möglicherweise ein DSGVO-Bußgeld. Die Gesamtkosten übersteigen schnell 20.000 Euro — oft deutlich mehr.

PraxSECURE kostet ab 49,99 Euro netto pro Monat. Das ist eine Absicherung, die sich bereits nach einem einzigen verhinderten Vorfall rechnet — und das jeden Monat aufs Neue.

Checkliste: Ist Ihre Praxis ausreichend geschützt?

• Haben Sie eine dedizierte Hardware-Firewall — oder nur einen Router?
• Ist der Fernzugriff auf Ihren Praxis-Server per VPN abgesichert?
• Sind Praxisnetz und Gäste-WLAN voneinander getrennt?
• Haben Sie eine dokumentierte TOM-Liste gemäß Art. 32 DSGVO?
• Gibt es ein aktuelles, getestetes Backup Ihrer Praxisdaten?

Was ist Windows Recall überhaupt?

Windows Recall ist eine KI-Funktion, die seit Windows 11 24H2 auf sogenannten „Copilot+-PCs" verfügbar ist. Sie macht alle paar Sekunden Screenshots Ihres Bildschirms, analysiert die Inhalte mit einer lokalen KI und macht alles durchsuchbar — quasi eine Suchmaschine für alles, was Sie je auf dem PC gesehen haben.

Klingt praktisch. Ist es vielleicht auch für Privatanwender. Für eine Arztpraxis ist es ein Problem: Jeder Screenshot kann Patientenname, Diagnose, Medikation oder Befunde enthalten. Und wer Zugriff auf den PC hat — oder ihn stiehlt — hat Zugriff auf diese Datenbank.

Was ist Windows Copilot?

Windows Copilot ist der KI-Assistent, der in Windows 11 in die Taskleiste integriert wurde. Er kann auf Anfrage Bildschirminhalte analysieren, Text zusammenfassen und Aktionen ausführen. Dabei werden Daten — je nach Konfiguration — an Microsoft-Server übertragen.

Für normale Praxis-PCs ohne „Copilot+"-Hardware ist Recall nicht verfügbar, aber Copilot selbst ist es. Der lässt sich per Gruppenrichtlinie oder Registry-Eintrag deaktivieren.

Anleitung: Recall deaktivieren

Recall ist nur auf Copilot+-PCs aktiv (ARM-Prozessoren wie Snapdragon X, oder neuere Intel/AMD mit NPU). Prüfen Sie zunächst, ob Recall auf Ihrem Gerät überhaupt vorhanden ist:

Disable-WindowsOptionalFeature -Online -FeatureName "Recall"

Anleitung: Windows Copilot deaktivieren

Copilot lässt sich auf zwei Wegen deaktivieren — über die Gruppenrichtlinie (für Profis) oder direkt in der Registry (für alle).

Weg 1: Gruppenrichtlinien-Editor (Windows Pro / Enterprise)

Weg 2: Registry-Eintrag (alle Windows 11 Editionen)

Öffnen Sie den Registrierungs-Editor (Win + R → regedit) und navigieren Sie zu:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsCopilot

Falls der Pfad WindowsCopilot nicht existiert: Rechtsklick auf Windows → Neu → Schlüssel → WindowsCopilot benennen. Dann im neuen Schlüssel:

Rechtsklick → Neu → DWORD-Wert (32-Bit)
Name:  TurnOffWindowsCopilot
Wert:  1

Anschließend neu starten. Das Copilot-Symbol verschwindet aus der Taskleiste und die Funktion ist inaktiv.

Copilot aus der Taskleiste entfernen (schnell & einfach)

Auch ohne Registry-Eingriff lässt sich Copilot aus der Taskleiste entfernen: Rechtsklick auf die Taskleiste → Taskleisteneinstellungen → Copilot-Schalter auf Aus. Das deaktiviert die Funktion jedoch nicht vollständig — sie ist nur ausgeblendet.

Checkliste: Was Sie noch prüfen sollten

• Telemetrie reduzieren: Einstellungen → Datenschutz & Sicherheit → Diagnose & Feedback → „Erforderliche Diagnosedaten" auswählen
• Aktivitätsverlauf deaktivieren: Einstellungen → Datenschutz & Sicherheit → Aktivitätsverlauf → beide Haken entfernen
• Microsoft-Werbung deaktivieren: Einstellungen → Datenschutz & Sicherheit → Allgemein → alle Schalter auf Aus
• OneDrive-Backup prüfen: Sicherstellen, dass keine Patientendaten automatisch in OneDrive synchronisiert werden
• Browser-Sync in Edge: Einstellungen → Profile → Synchronisierung → nur gewünschte Kategorien aktivieren oder Sync deaktivieren

Was ist Secure Boot — und warum ist das Zertifikat wichtig?

Secure Boot ist eine UEFI-Funktion, die beim Start des PCs prüft, ob das Betriebssystem von einem vertrauenswürdigen Hersteller signiert ist. Damit wird verhindert, dass Schadsoftware sich bereits vor Windows-Start in das System einnistet — sogenannte Bootkits.

Das neue Windows UEFI CA 2023-Zertifikat ist Microsofts Nachfolger des bisherigen Signaturzertifikats. Es muss in der UEFI-Datenbank des PCs hinterlegt sein, damit zukünftige Windows-Versionen und Updates weiterhin reibungslos starten. Auf älteren oder nicht aktualisierten Geräten fehlt es noch.

Schritt-für-Schritt-Anleitung

Confirm-SecureBootUEFI

([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

powershell -Command "Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update""

Nach dem zweiten Befehl wird das Zertifikat automatisch im Hintergrund aktualisiert. Starten Sie den Computer anschließend neu.

Nach dem Neustart: Erfolg kontrollieren

Öffnen Sie PowerShell erneut als Administrator und wiederholen Sie die Befehle aus Schritt 2 und Schritt 3. Erscheint bei Schritt 3 jetzt True, war das Update erfolgreich.

Schritt-für-Schritt