Cyberversicherung für Arztpraxen: Ransomware, KIM-Ausfall und DSGVO sauber absichern
Eine Arztpraxis ist heute ein voll digitalisierter Betrieb: Praxisverwaltungssystem, KIM-Kommunikation, eAU, ePA, Röntgendaten, Patientendaten. Ein einziger erfolgreicher Ransomware-Angriff legt all das innerhalb von Stunden lahm. Die Cyberversicherung trägt die Folgen – Forensik, Wiederherstellung, Krisenkommunikation, Bussgeld-Verteidigung und Ertragsausfall – und ist heute neben Berufshaftpflicht, Praxisinhalt und Praxisausfall die vierte tragende Säule der Praxisabsicherung.
Kurzüberblick – Cyberversicherung Arztpraxis in 60 Sekunden
Die Cyberversicherung deckt drei Risikobereiche ab: Eigenschäden (IT-Forensik, Datenwiederherstellung, Ertragsausfall, Krisenkommunikation), Drittschäden (Schadenersatz an Patienten, DSGVO-Verfahrenskosten, Vertragsstrafen) und Lösegeldzahlungen nach freigegebener Prüfung.
Für Arztpraxen besonders relevant: Ausfall des Praxisverwaltungssystems, gestörte KIM-Anbindung, beeinträchtigte Telematik-Infrastruktur, Datenleck mit Patientenakten. Die Police muss diese arzt-spezifischen Vorfälle ausdrücklich nennen, sonst wird im Schadenfall geüber geredet als geleistet.
Pflichtgrundlage: § 75b SGB V verpflichtet vertragsärztliche Praxen zur Einhaltung der KBV-IT-Sicherheitsrichtlinie. Wer diese Mindeststandards nicht einhält, riskiert nicht nur Honorarkürzung – sondern auch Verweigerung der Cyber-Leistung wegen Verletzung der Obliegenheiten.
Die Anatomie eines Cyber-Vorfalls in der Arztpraxis
§ 75b SGB V – die KBV-IT-Sicherheitsrichtlinie als Pflichtboden
Seit 2021 verpflichtet § 75b SGB V vertragsärztliche Praxen, die IT-Sicherheitsrichtlinie der KBV einzuhalten. Sie definiert Mindeststandards für Praxis-IT – gestaffelt nach Praxisgrösse (Einzelpraxis, mittlere Praxis, groß/Apps-Bezug):
- Aktualität von Betriebssystem, Anwendungen und Schutzsoftware
- Sichere Passwörter, 2-Faktor-Authentifizierung wo möglich
- Verschlüsselung mobiler Datenträger
- Regelmässige Backups mit dokumentiertem Wiederherstellungstest
- Schulung der Mitarbeitenden zur IT-Sicherheit
- Sichere Konfiguration Praxisnetzwerk, getrennte Netze für Gäste-WLAN
- Sicherer Umgang mit mobilen Endgeräten und BYOD-Geräten
- Dokumentation und regelmäßige Aktualisierung der Richtlinie selbst
Versicherungstechnisch wichtig: Cyber-Versicherer prüfen im Schadenfall, ob diese Mindeststandards eingehalten waren. Wer keine Backups hatte, kein Antivirenprogramm, kein Mitarbeiter-Schulungsnachweis – bei dem kann die Leistung wegen Obliegenheitsverletzung gekürzt oder verweigert werden. § 75b ist nicht nur KV-Honorar-relevant, sondern Versicherungsvoraussetzung.
Was eine Cyberversicherung für die Arztpraxis konkret leistet
1IT-Forensik und Soforthilfe
24/7-Hotline mit spezialisierten Forensikern, die innerhalb von Stunden eingreifen, Schadens- und Lecksuche durchfuehren, Beweise sichern und Empfehlungen zur Wiederherstellung geben. Standard-Element in Heilberufe-Tarifen.
2Datenwiederherstellung
Kosten der Wiederherstellung verschlüsselter oder beschädigter Datenbestände – Patientenakten, Röntgenbilder, Abrechnungsdaten, KIM-Speicher. Bei Praxen mit aufwendiger Bildgebung schnell fünf- bis sechsstellig.
3Cyber-Ertragsausfall
Ersatz für ausgefallene Praxiseinnahmen während der IT-Unterbrechung, inklusive Mehraufwand (manuelle Abrechnung, Vertretungsservice, Auslagerung KIM). Typische Karenzzeit 8–24 Stunden.
4DSGVO-Verfahrenskosten
Anwaltskosten für die Verteidigung im Bussgeldverfahren der Aufsichtsbehörde (BfDI / Landesdatenschutzbehörde), Verfahrenskosten und je nach Tarif teilweise das Bussgeld selbst – soweit gesetzlich versicherbar.
5Drittschadenersatz Patienten
Schadenersatzansprüche von Patienten wegen Datenleck oder Verletzung des Persönlichkeitsrechts (Art. 82 DSGVO). Massenklage-Risiko bei grösseren Datenpannen.
6Krisenkommunikation
PR-Beratung, Patienten-Benachrichtigung, Presse-Antworten, Information der Kassenärztlichen Vereinigung. Wichtig fuer die Wiederherstellung des Patientenvertrauens nach öffentlich gewordenen Sicherheitsvorfällen.
7Lösegeldzahlung (Ransomware)
Nach freigegebener Prüfung durch den Versicherer Erstattung des gezahlten Lösegelds, plus Vermittlung der Verhandlungen mit den Angreifern. Politisch heikel – nicht jeder Versicherer bietet das an.
8Vertragsstrafen / SLA-Bussgelder
Ansprüche von Vertragspartnern (z. B. KIM-Provider, Praxis-IT-Dienstleister) wegen Vertragsverletzung infolge des Vorfalls. Kleiner, aber relevanter Annex.
Abgrenzung zu Berufshaftpflicht und Praxisinhalt
| Schadenfall | Cyber-Police | Berufshaftpflicht | Praxisinhalt |
|---|---|---|---|
| Praxis-Server durch Ransomware verschlüsselt | ersetzt (IT-Forensik, Wiederherstellung, Ertragsausfall) | nein | nein (kein äusserer Sachschaden) |
| Praxis-Server brennt physisch | nein | nein | ersetzt (Brand) |
| Falscher Laborbefund per Post verschickt – DSGVO-Klage | ersetzt (DSGVO-Verfahren, Patientenschaden) | begrenzt mitversichert (DSGVO-Annex) | nein |
| Behandlungsfehler im Beratungsgespraech | nein | ersetzt (Pflichtkern BHV) | nein |
| KIM-Provider berechnet Vertragsstrafe wegen verp. Meldung | ersetzt (Vertragsstrafen-Annex) | nein | nein |
| MFA verliert dienstliches Notebook mit Patientendaten | ersetzt (Datenleck-Folgen) | nein | oft Aussenversicherung Notebook-Sache, NICHT DSGVO-Folgen |
Faustregel: Cyber-Police greift, wenn der Schaden digital ausgelöst wird (Angriff, Datenleck, Systemausfall). Praxisinhalt greift bei physischen Sachschäden. BHV deckt Behandlungsfehler. Drei verschiedene Risikoachsen, drei verschiedene Policen.
Versicherungssummen und Beitragsspannen 2025
| Konstellation | Typische VS Cyber | Jahresbeitrag |
|---|---|---|
| Hausarztpraxis Einzel, 1–3 MFA, Standard-PVS | 250.000–500.000 EUR | 400–800 EUR |
| Hausarztpraxis mit erweiterter Diagnostik, 4–6 MFA | 500.000–1 Mio. EUR | 800–1.400 EUR |
| Fachpraxis Internist mit Endoskopie / Röntgen | 1–2 Mio. EUR | 1.400–2.500 EUR |
| BAG / kleines MVZ (5–8 Ärzte) | 2–3 Mio. EUR | 2.500–4.500 EUR |
| Praxis mit ePA-Vollnutzung + ZollSoft-/PVS-Spezial | +25 % Aufschlag | +150–500 EUR |
Hinweis: Spannen sind Marktwerte 2025 fuer Allgemeinmedizin und Innere. Beiträge schwanken mit Schadenfreiheit, IT-Reifegrad (Risikofragebogen), Versicherer und Pandemie-/KRITIS-Spezialklauseln. Praxen mit nächweisbarer KBV-IT-Sicherheitsrichtlinie bekommen typisch 10–20 Prozent Beitragsvorteil.
Drei Schadenbeispiele aus dem Praxisalltag
Beispiel 1: Ransomware auf der Praxis-EDV (Hausarztpraxis)
Eine MFA klickt auf einen Phishing-Anhang in einer scheinbar legitimen KBV-Mail. Die Ransomware verschlüsselt über Nacht den Praxisserver, alle Patientenakten sind unzugänglich, KIM-Anbindung tot. Die Praxis muss sechs Tage geschlossen bleiben.
| Posten | Schadenhöhe |
|---|---|
| IT-Forensik und Wiederherstellung | 18.500 EUR |
| Ersatz-Server-Konfiguration und Datenwiederherstellung Backup | 9.800 EUR |
| Ertragsausfall 6 Tage Praxis-Schließung | 32.000 EUR |
| Krisenkommunikation, Patienten-Benachrichtigung | 4.200 EUR |
| DSGVO-Verfahren (Anwalts- und Beratungskosten) | 11.500 EUR |
| Gesamtschaden | 76.000 EUR |
Bei vorhandener Cyber-Police mit VS 500.000 EUR und Schadenfrei-Rabatt: 100 Prozent Ersatz nach Prüfung der KBV-IT-Compliance.
Beispiel 2: KIM-Ausfall durch Konfigurationsfehler
Die Praxis erhält nach einem Software-Update keine eAU und eRezept-Rückmeldungen mehr. Drei Tage Stillstand, weil der KIM-Provider keine Schuld erkennt und der IT-Dienstleister erst spät reagiert. Patienten erhalten Rezepte verzögert; Vertragsstrafen des KIM-Providers wegen verpäter Meldungen.
- Ertragsausfall: 12.000 EUR
- Mehraufwand manueller Abrechnung: 4.500 EUR
- Vertragsstrafen KIM-Provider: 2.800 EUR
- Gesamt: 19.300 EUR – durch Cyber-Police gedeckt, sofern KIM-Ausfall als Schadenereignis im Tarif genannt ist.
Beispiel 3: Datenleck mit DSGVO-Klage
Ein gestohlenes MFA-Notebook enthält unverschlüsselt einen Auszug von 1.200 Patientenstammdaten. Meldepflicht an BfDI, Patienten-Benachrichtigung, anschließend zivilrechtliche Sammelklage nach Art. 82 DSGVO mit 800 EUR Forderung je Klagepartei.
- BfDI-Verfahren, Anwalt: 9.000 EUR
- Patienten-Benachrichtigung (Brief, Hotline): 6.500 EUR
- Sammelklage 320 Klageführer à 800 EUR Schmerzensgeld: 256.000 EUR
- Gesamt: 271.500 EUR – Cyber-Police mit VS 500.000 EUR oder mehr ist hier existenzrettend.
Diese drei Beispiele zeigen, warum die Cyber-Police im Heilberufe-Cluster kein Nice-to-have ist, sondern Pflichtbaustein wie Praxisinhalt und BHV.
Typische Stolperfallen bei Cyber-Verträgen
Fehler 1: KBV-IT-Sicherheitsrichtlinie nicht umgesetzt
Im Schadenfall prüft der Versicherer die IT-Hygiene. Fehlende Backups, fehlende Mitarbeiter-Schulung oder veraltete Software werden als Obliegenheitsverletzung gewertet. Leistung wird gekürzt oder verweigert.
Fehler 2: KIM-Ausfall nicht explizit eingeschlossen
Standard-Cyber-Tarife decken Ransomware, aber nicht jeden TI- oder KIM-Ausfall. Für Heilberufe-Praxen sollten KIM-, TI- und Praxisverwaltungssystem-Ausfall ausdrücklich als Schadenereignis genannt sein.
Fehler 3: Versicherungssumme zu klein bei Massenklage-Risiko
Bei Datenleck mit mehreren hundert Patientenstammdaten erreicht eine DSGVO-Sammelklage sechsstellige Summen. VS 100.000 EUR reicht nicht. Für Praxen mit Vollnutzung ePA / KIM mindestens 500.000 EUR, besser 1 Mio. EUR.
Fehler 4: Lösegeldzahlung ausgeschlossen
Manche Versicherer schließen Ransomware-Lösegeld komplett aus. In Praxis-Realität ist die Lösegeldzahlung manchmal der schnellste Weg zur Daten-Wiederherstellung. Vorab im Vertrag prüfen.
Fehler 5: Cyber-Ertragsausfall hat längere Karenzzeit als gedacht
Karenzzeiten von 24–72 Stunden machen für eine Hausarztpraxis viel aus. Bei 8 Stunden Karenz greift die Ertragsausfall-Komponente schon am ersten Arbeitstag.
Fehler 6: Social Engineering / Fake-President-Schaden separat
Zahlungsbetrug durch gefälschte Mails (z. B. „Überweisung zur neuen Lieferantenkontonummer") ist oft separater Baustein. Bei kleineren Praxen seltener relevant, in BAG/MVZ wichtig.
Makler-Einschätzung
Cyberrisiken sind für Arztpraxen heute der am schnellsten wachsende Schadenbereich. In Beratungen erlebe ich zwei Muster: Entweder ist gar keine Cyber-Police vorhanden – mit dem Argument „Wir haben doch einen guten IT-Dienstleister". Oder es gibt eine Standard-Gewerbe-Cyber, die KIM, PVS und Telematik-Ausfall nicht ausdrücklich als Schadenereignis nennt. Beides ist im Ernstfall ein Problem.
Mein klarer Blick: Eine Cyber-Police für die Praxis muss heilberufe-spezifisch ausgestaltet sein, sonst kostet sie Beitrag und liefert im Schadenfall keine Leistung. Ich prüfe Bestandsverträge gezielt auf KIM-/TI-Klausel, Cyber-Ertragsausfall mit kurzer Karenz, Massenklage-Risiko und IT-Compliance-Anforderungen – und gleiche sie gegen die KBV-IT-Sicherheitsrichtlinie ab.
Häufige Fragen zur Cyberversicherung für Arztpraxen
Ist die Cyberversicherung für Arztpraxen Pflicht?
Nein, sie ist freiwillig. Verpflichtend ist die Einhaltung der KBV-IT-Sicherheitsrichtlinie nach § 75b SGB V – wer das nicht tut, riskiert Honorarkürzungen UND verliert im Schadenfall den Versicherungsschutz wegen Obliegenheitsverletzung.
Welche Versicherungssumme brauche ich?
Für eine Hausarzt-Einzelpraxis typisch 250.000–500.000 EUR, für Fachpraxen mit Bildgebung 1–2 Mio., für BAG / MVZ 2–3 Mio. Maßgeblich ist das Massenklage-Risiko: Je mehr Patientendaten verarbeitet werden, desto höher sollte die VS sein.
Sind KIM-Ausfall und Praxisverwaltungssystem-Ausfall mit drin?
Bei guten Heilberufe-Tarifen ja, bei Standard-Gewerbe-Cybertarifen oft nicht. Ausdrücklich im Vertrag prüfen lassen, weil das für Praxen einer der häufigsten Schadenauslöser ist.
Was ist mit DSGVO-Bussgeldern?
Verfahrenskosten (Anwalt, Gutachten) sind in fast allen Tarifen gedeckt. Das Bussgeld selbst ist je nach Tarif teilweise oder voll versichert, soweit gesetzlich zulässig – Vorsatz und grobe Fahrlässigkeit sind in der Regel ausgeschlossen.
Greift die Cyber-Police auch bei Ransomware-Lösegeld?
Bei vielen Heilberufe-Tarifen ja, nach freigegebener Prüfung durch den Versicherer (Plausibilität, Verhandlung, ggf. Vermittlung). Manche Versicherer schließen Lösegeldzahlungen komplett aus – vorab prüfen.
Wie schnell kommt im Schadenfall Hilfe?
Standard ist die 24/7-Sofortmeldung. IT-Forensiker sind typisch innerhalb von 2–6 Stunden remote zugeschaltet, bei grösseren Vorfällen auch vor Ort. Die schnelle Reaktion ist oft entscheidender als die Versicherungssumme.
Was kostet eine Cyber-Police konkret?
Hausarzt-Einzelpraxis 400–800 EUR Jahresbeitrag (VS 250–500k). Fachpraxis 1.400–2.500 EUR. MVZ 2.500–4.500 EUR. Mit dokumentierter KBV-IT-Sicherheitsrichtlinie typisch 10–20 Prozent Beitragsvorteil.
Cyber-Risiko der Praxis strukturiert prüfen
Wir prüfen Ihren bestehenden Cyber-Vertrag gegen den Heilberufe-Standard 2025 – KIM-/TI-Klausel, Cyber-Ertragsausfall, Massenklage-Deckung, Compliance mit § 75b SGB V. Ohne Vorabverpflichtung.
Stand: Mai 2026. Inhalte ersetzen keine individuelle Beratung. Maßgeblich sind die konkreten Vertragsbedingungen (AVB) des jeweiligen Versicherers.
Jetzt Angebot anfordern
In unserem Online-Fragebogen erfassen wir alle Daten für ein belastbares Angebot zu Ihren Praxisversicherungen – einzeln oder kombiniert. Am Ende erzeugen Sie ein PDF und senden es uns per E-Mail.
Mehrere Sparten in einer Anfrage prüfen lassen
Sie möchten nicht nur eine einzelne Versicherung prüfen, sondern Berufshaftpflicht, Praxisinhalt, Praxis-Elektronik, Cyber, Rechtsschutz und Praxisausfall in einem Schritt strukturiert anfragen? Unser Online-Tool für Ärzte und Zahnärzte führt Sie in 5 bis 15 Minuten durch die wichtigsten Fragen — Sie wählen selbst, welche Sparten geprüft werden sollen.
Zur strukturierten Angebotsanfrage → Lokale Speicherung im Browser · Versand per PDF · keine automatische Übermittlung