Braucht ein Mac in der Arztpraxis einen Arbeitsplatzschutz?

Die Antwort ist nicht eindeutig. Technisch ist macOS deutlich seltener von Viren und Malware betroffen als Windows — dennoch existieren auch für macOS gezielte Angriffe (Atomic Stealer, EvilQuest, KandyKorn). Plattformunabhängig sind Phishing-Mails und bösartige Skripte, die jeden Rechner erreichen, egal welches Betriebssystem darauf läuft. Die KBV-IT-Sicherheitsrichtlinie nach § 75b SGB V fordert eindeutig einen Arbeitsplatzschutz für niedergelassene Praxen — ohne Plattform-Ausnahme. praxisANSATZ empfiehlt deshalb klar, Arbeitsplatzschutz auch auf Mac-Praxen zu installieren.

Verlangt die KBV-IT-Sicherheitsrichtlinie nach § 75b SGB V Arbeitsplatzschutz?

Ja, eindeutig. § 75b SGB V verlangt für jede niedergelassene Praxis einen Schutz vor Schadsoftware auf allen Arbeitsplätzen — unabhängig vom Betriebssystem. Eine reine Berufung auf „wir nutzen Macs" reicht im Audit oder bei einem Vorfall nicht aus. Bei einem dokumentierten Sicherheits-Vorfall ohne Arbeitsplatzschutz kann das ein Haftungs-Risiko für die Praxis-Inhaber:innen darstellen — zusätzlich zu Versicherungs- und DSGVO-Folgen.

Welche macOS-Malware ist 2026 wirklich relevant?

Aktive Bedrohungen für macOS 2026 umfassen Atomic Stealer (Info-Stealing), Cuckoo (Spyware), KandyKorn (Crypto-/Daten-Diebstahl, Nordkorea-Zuschreibung), RustBucket und ObjCShellz (gezielte Angriffe). Plus Drive-by-Downloads über kompromittierte Werbe-Netzwerke und gezielte Phishing-Wellen gegen Healthcare-Praxen. macOS-Malware ist seltener als Windows-Malware, aber die existierenden Familien sind oft hochgezielt und für Erpressung oder Datenexfiltration ausgelegt — beides ist im Praxis-Kontext besonders relevant (Patientendaten, DSGVO-Bußgelder).

Was kann EDR-Schutz, was Apples eingebaute Schutzfunktionen nicht können?

Apple bringt Sicherheits-Bausteine mit (FileVault, SIP, Gatekeeper, XProtect) — die reichen für Standard-Konsumenten-Geräte. Modernes EDR (Endpoint Detection and Response) geht darüber hinaus: verhaltensbasierte Erkennung statt nur Signaturen, Threat-Intelligence aus der Cloud, Forensik („was hat der Angreifer getan, welche Dateien wurden berührt"), automatische Quarantäne, Rollback bei Verschlüsselung, Audit-fähige Reports. XProtect ist reaktiv und signaturbasiert — bei Zero-Day-Angriffen oder neuen Varianten dauert es Tage, bis Apple eine Erkennung nachlegt. EDR erkennt verdächtiges Verhalten sofort.

Was kostet Arbeitsplatzschutz für eine Arztpraxis?

Marktüblich liegen die monatlichen Kosten für eine moderne EDR-Lösung bei etwa 5–10 € pro Endgerät und Monat. Eine kleine Praxis mit 5 Arbeitsplätzen liegt also bei rund 30–50 €/Monat, eine größere mit 25 Arbeitsplätzen entsprechend höher. praxisANSATZ rechnet die Lizenzen entweder in die Servicevereinbarung mit ein oder weist sie transparent als separate Position aus. Im Vergleich zu einem realen Ransomware-Vorfall mit Schadens-, DSGVO-Bußgeld- und Reputations-Folgen ist diese Größenordnung gering.

Was passiert, wenn unsere Cyber-Versicherung einen Vorfall meldet, wir aber keinen Arbeitsplatzschutz hatten?

Viele Cyber-Versicherungen verlangen ausdrücklich aktiven Endpoint-Schutz als Voraussetzung. Bei einem Schadensfall ohne dokumentierten Arbeitsplatzschutz kann die Versicherung die Leistung verweigern oder erheblich kürzen — analog zu einer Hausratversicherung ohne Sicherheitsschlösser. Die Police pro Praxis ist individuell; vor Verzicht auf Arbeitsplatzschutz lohnt sich ein Anruf bei der eigenen Versicherung mit der konkreten Frage „Was verlangt unsere Police bezüglich Endgeräteschutz?".

Häufige Frage · KBV § 75b · macOS-Bedrohungen · 6 Einwände · Versicherung · Unternehmerische Entscheidung

Braucht ein Mac in der Praxis einen Arbeitsplatzschutz?

Die Antwort ist nicht eindeutig. macOS ist seltener betroffen als Windows — aber nicht immun. Die KBV-Richtlinie fordert Schutz, die Versicherung verlangt ihn, und Phishing kommt plattformunabhängig. Unsere Empfehlung steht.

Kurz beantwortet

praxisANSATZ ist der DACH-Spezialist für die Installation und den Betrieb von tomedo® in Arztpraxen und tomedo® Professional Partner. Auf die häufige Frage „Braucht ein Mac Arbeitsplatzschutz?" ist die Antwort nicht eindeutig: macOS hat weniger Viren als Windows, gezielte Angriffe und Phishing-Skripte existieren aber genauso. Die KBV-IT-Sicherheitsrichtlinie nach § 75b SGB V fordert eindeutig einen Arbeitsplatzschutz — ohne Plattform-Ausnahme. Letztlich ist es eine unternehmerische Entscheidung der Praxis — wir empfehlen klar, Arbeitsplatzschutz auch auf Mac- Praxen einzusetzen.

Die häufige Frage: Brauche ich Arbeitsplatzschutz für Apple?

In nahezu jedem Erstgespräch mit Apple-affinen Praxen kommt diese Frage. Und die ehrliche Antwort heißt: nicht eindeutig. Wir geben sie offen weiter, weil sich daraus eine bewusste Entscheidung ableiten lässt — nicht ein pauschales „muss man halt".

Drei Beobachtungen, die zusammen die Lage einrahmen:

macOS hat objektiv weniger Viren und Malware als Windows. Das ist nicht Marketing, sondern Markt-Realität — Angreifer-Ökonomie folgt der Nutzer-Anzahl.
Aber Malware für macOS existiert — und wird gezielter. Die Familien sind oft auf Erpressung oder Daten-Exfiltration ausgelegt, also genau das, was in einer Arztpraxis Schaden macht.
Phishing trifft plattformunabhängig. Eine bösartige Mail mit Anhang oder Link wirkt auf einem Mac genauso wie auf einem Windows-PC. Ein Skript, das nach dem Öffnen Patientendaten ausliest, fragt nicht nach dem Betriebssystem.

Aus diesen drei Beobachtungen folgt: Die Gefahr ist da. Sie ist statistisch kleiner als auf einem Windows-PC, aber sie ist nicht null. Und in einer Arztpraxis sind die Konsequenzen eines Vorfalls überproportional groß.

Was 2026 wirklich auf Macs läuft

Wer „Mac-Malware" sagt, denkt oft an einen Witz aus den frühen 2000ern. Die Realität 2026 ist anders. Eine Auswahl aktiver Bedrohungen für macOS:

Atomic Stealer (AMOS) — sammelt Browser-Passwörter, Kryptowährungs-Wallets, Keychain-Inhalte. Verbreitet über gefälschte Software-Updates.
Cuckoo — Spyware, getarnt als populäre Mac-Tools, exfiltriert Daten in die Cloud.
KandyKorn — gezielte Angriffe (Nordkorea-Zuschreibung) auf wirtschaftlich interessante Ziele.
RustBucket / ObjCShellz — modulare Backdoors, eingesetzt bei gezielten Angriffs-Kampagnen.
EvilQuest / KeRanger — Ransomware-Familien für macOS (zwar älter, zeigen aber: das Konzept existiert).
Drive-by-Downloads über kompromittierte Werbe-Netzwerke auf legitimen Websites.

Und dann sind da die plattformunabhängigen Vektoren: Phishing-Mails mit Office-Anhängen, die Skripte ausführen. Drive-by-Skripte im Browser, die per JavaScript-Lücke Berechtigungen erlangen. Browser-Extensions als Malware- Träger. All das funktioniert auf macOS so gut wie auf Windows — der Schutz dagegen muss am Endgerät sitzen, nicht nur an der Firewall.

Was die KBV-Sicherheitsrichtlinie verlangt

Die KBV-IT-Sicherheitsrichtlinie nach § 75b SGB V ist seit 2021 für niedergelassene Praxen verbindlich. Sie verlangt ausdrücklich einen Schutz vor Schadsoftware auf allen Endgeräten — ohne Plattform-Ausnahme, ohne „Mac-Bonus".

Konkret bedeutet das in einer Praxis:

Auf jedem Arbeitsplatz eine aktive Schutzsoftware (egal ob Mac, Windows-VM, Linux-Server-Frontend).
Definierte Erkennungs- und Reaktions-Logik — nicht nur Signaturen, sondern auch Verhaltens-Auffälligkeiten.
Dokumentation: bei Audit oder Vorfall muss nachweisbar sein, dass und welche Schutzsoftware aktiv war.
Updates der Schutzsoftware in regelmäßigem Rhythmus.

Eine reine Berufung auf „wir nutzen Macs" reicht im Audit nicht aus. Im Fall eines Vorfalls trägt die Praxis das Haftungs-Risiko — zusätzlich zu DSGVO-Bußgeldern und Versicherungs-Konsequenzen.

6 typische Einwände aus der Praxis — und unsere Sicht

Die häufigsten Argumente gegen Arbeitsplatzschutz auf Mac-Praxen, mit unserer Sicht dazu:

Einwand 1

„Mac ist sicher — wir brauchen keinen Schutz."

Macs sind sicherer, aber nicht sicher genug für eine regulierte Branche mit Patientendaten. „Weniger Vorfälle als Windows" ist kein „keine Vorfälle".

Einwand 2

„Wir haben doch schon eine Firewall."

Die Firewall schützt die Eingangsseite des Praxisnetzes. Sie schützt nicht das Klick-Verhalten Ihrer MFA, wenn eine bösartige Mail im Posteingang landet. Firewall + Arbeitsplatzschutz sind komplementär, nicht alternative.

Einwand 3

„Wir gehen nur auf seriöse Websites."

Moderne Angriffe brauchen keine zwielichtigen Seiten. Drive-by-Downloads über kompromittierte Werbe-Netzwerke treffen auch seriöse Sites. Phishing-Mails landen im ganz normalen Praxis-Posteingang.

Einwand 4

„Wir sind klein, niemand interessiert sich für uns."

Automatisierte Massen-Scans interessieren sich nicht für Praxisgröße. Für Ransomware ist eine kleine Praxis sogar attraktiv: zahlende Praxis-Inhaber mit Existenz-Druck, kleine IT-Mannschaft, schnelle Verhandlungen.

Einwand 5

„macOS hat doch eingebaute Schutzfunktionen."

FileVault, SIP, Gatekeeper, XProtect — alles gut und hilfreich, aber reaktiv und signaturbasiert. Zero-Day- Bedrohungen oder neue Malware-Varianten erkennt Apple oft erst Tage später. EDR erkennt auffälliges Verhalten sofort.

Einwand 6

„Es ist zu teuer."

Marktüblich 5–10 €/Endgerät/Monat. Eine 5-Arbeitsplatz- Praxis liegt bei 30–50 €/Monat. Im Vergleich zu Ransomware-Schaden + DSGVO-Bußgeld + Reputations-Risiko + Verlust der Cyber-Versicherungs-Leistung ist das eine sehr kleine Position.

Was moderner Arbeitsplatzschutz leistet

Klassische Antivirus-Lösungen prüften eine Datei gegen eine Datenbank bekannter Signaturen. Moderne EDR-Systeme (Endpoint Detection and Response) tun deutlich mehr:

Verhaltensbasierte Erkennung — ein Programm wird beobachtet, was es tut (auf welche Dateien greift es zu, welche Netzwerk-Verbindungen baut es auf, versucht es Berechtigungen zu eskalieren).
Cloud-basierte Threat-Intelligence — Erkennungs-Updates kommen kontinuierlich aus dem Anbieter-Backend, nicht nur als Tages-Datenbank.
Forensik — bei einem Vorfall sehen wir nachträglich, welche Schritte der Angreifer gegangen ist, welche Dateien betroffen waren.
Automatische Quarantäne — verdächtige Prozesse werden eingefroren, bevor sie Schaden anrichten.
Rollback-Funktionen — bei Verschlüsselungs-Trojanern können geänderte Dateien teilweise zurückgerollt werden.
Audit-fähige Reports — für KBV-Audits oder Vorfalls-Untersuchungen dokumentiert verfügbar.

praxisANSATZ rollt ein etabliertes EDR-Produkt (in der Regel SentinelOne) zentral über unsere MSP-Plattform aus. Lizenz-Verwaltung, Updates und Monitoring laufen im Rahmen der Servicevereinbarung.

Versicherung und Haftung — die unternehmerische Dimension

Über die KBV-Pflicht hinaus gibt es zwei Themen, die in der Diskussion oft fehlen — und im Schadensfall plötzlich groß werden:

Cyber-Versicherung

Police verlangt Endpoint-Schutz

Viele Cyber-Versicherungs-Policen verlangen ausdrücklich aktiven Endpoint-Schutz als Bedingung. Im Schadensfall ohne dokumentierten Arbeitsplatzschutz kann die Versicherung Leistungen verweigern oder kürzen — analog zur Hausratversicherung ohne Sicherheitsschlösser. Lohnt sich, die eigene Police konkret zu prüfen.

Persönliche Haftung

Praxis-Inhaber:in im Audit

Bei einem Sicherheits-Vorfall mit Patientendaten-Abfluss prüft die Datenschutz-Aufsicht, ob der Stand der Technik eingehalten wurde. Fehlt der Arbeitsplatzschutz, kann das ein DSGVO-Bußgeld-Faktor werden — und im Worst Case persönliche Haftung der Praxis-Inhaber:innen anstoßen.

Letztlich eine unternehmerische Entscheidung

Auch wenn die KBV-Richtlinie klar ist und die Argumente deutlich für Arbeitsplatzschutz sprechen: Ob Sie Arbeitsplatzschutz kaufen oder nicht, ist und bleibt eine unternehmerische Entscheidung Ihrer Praxis. Wir drücken niemand etwas auf.

Was wir tun, ist:

Die Lage transparent darlegen — Risiken, Pflichten, Kosten.
Konkrete Produkte und Preise nennen.
Ihnen die Entscheidung lassen.
Wenn Sie ablehnen: das dokumentieren wir, ohne Drama.
Wenn Sie zustimmen: rollen wir den Schutz zentral aus und warten ihn.

Unsere Empfehlung ist klar: Arbeitsplatzschutz auch auf Mac-Praxen einzusetzen. Die Kombination aus KBV-Pflicht, Versicherungs-Anforderung, realer macOS-Bedrohung und plattformunabhängigem Phishing-Risiko sprechen überwältigend dafür.

Wie praxisANSATZ Arbeitsplatzschutz integriert

Wenn Sie sich für Arbeitsplatzschutz entscheiden, läuft das bei uns standardisiert:

Lizenz-Bezug — wir beziehen die EDR-Lizenzen zentral und reichen sie pro Endgerät durch. Lizenz-Verwaltung inkludiert in der Servicevereinbarung.
Roll-out via MDM-light — wir verteilen die Software zentral auf alle Geräte (Mac mini Server, iMacs, MacBooks). Keine manuelle Installation pro Arbeitsplatz.
Konfigurations-Profil — wir setzen die EDR-Richtlinien (Erkennungs-Tiefe, Quarantäne-Verhalten, Reporting) zentral nach Best-Practice für Arztpraxen.
Monitoring — auffällige Events landen in unserem MSP-Dashboard. Bei kritischen Funden eskalieren wir sofort an die Praxis.
Reporting — quartalsweise oder bei Bedarf ein Bericht für die Praxis-Inhaber:innen. Im KBV-Audit oder bei einem Vorfall ist die Dokumentation greifbar.

Was Arbeitsplatzschutz NICHT macht

Ehrlichkeit gehört dazu. EDR ist mächtig, aber kein Allheilmittel:

Kein Ersatz für Backup. Wenn Ransomware doch durchkommt, ist das 3-2-1-Backup der letzte Schutzwall.
Kein Ersatz für Mitarbeitenden-Sensibilisierung. Phishing-Mails erkennen MFA besser, wenn sie geschult sind. EDR ist die zweite Verteidigungslinie, nicht die erste.
Kein Ersatz für Updates. Wenn Apple-Updates Monate offen bleiben, hilft das beste EDR begrenzt.
Kein Ersatz für Firewall + Netzwerk-Segmentierung. Praxis-Firewall + WLAN-Trennung sind die erste Schicht.

Arbeitsplatzschutz ist eine Komponente in der KBV-Pflicht-Trias: Firewall + Backup + Endpoint-Schutz. Erst alle drei zusammen ergeben den Praxis-IT-Sicherheits- Stack — keine einzelne löst alles.

Auch interessant

Aus den anderen Schwerpunkten von praxisANSATZ

Firewall & Netzwerk

Praxis-Firewall

Hardware-Firewall, IPsec zur TI, VPN für Techniker und Filialen — die Eingangsseite Ihres Praxisnetzes.

Lesen

Backup & Datensicherung

Backup nach 3-2-1

Drei Kopien, zwei Medien, eine außer Haus — der letzte Schutzwall, wenn alles andere durchkommt.

Lesen

Apple-Stack

Mac in der Arztpraxis

Warum Apple? Mac mini Server, Mac-Stack-Konzept, Sicherheits-Bausteine — aber auch dort ist Endpoint-Schutz Pflicht.

Lesen

Arbeitsplatzschutz für Ihre Praxis prüfen? Wir auditieren bestehende Setups oder rollen den Schutz neu aus.