Welche Firewall ist für eine Arztpraxis sinnvoll?

In der Arztpraxis ist eine dedizierte Hardware-Firewall Pflicht (KBV §75b SGB V) — eine Fritz!Box oder Provider-Router reicht nicht. praxisANSATZ setzt einen einheitlichen Firewall-Stack ein, den wir zentral konfigurieren und warten. Welche Hardware konkret in Ihre Praxis kommt, hängt von Praxisgröße, Multi-Standort-Bedarf und vorhandener Infrastruktur ab — wir besprechen das im Erstgespräch. Wichtig ist nicht die einzelne Marke, sondern wie sie eingerichtet und gewartet wird.

Erfüllt eine moderne Praxis-Firewall die KBV-IT-Sicherheitsrichtlinie nach § 75b SGB V?

Ja. § 75b SGB V verlangt eine Hardware-Firewall mit aktivem Stateful-Inspection und definierten Regelwerken. Unser Standard-Firewall-Setup bringt das mit, plus zusätzliche Module wie IDS/IPS, DNS-Filter, VPN-Server (WireGuard, OpenVPN, IPsec) und detailliertes Logging. Die praxisANSATZ-Standardkonfiguration ist auf KBV-Anforderungen zugeschnitten — Sie müssen keine Compliance-Regeln selbst zusammenstellen.

Wie funktioniert die TI-Anbindung über die Praxis-Firewall?

Die Telematikinfrastruktur wird per IPsec-Tunnel an die Praxis-Firewall angebunden — die Firewall terminiert den Tunnel direkt. Vorteil: TI-Routen werden zentral über das Routing-Konzept gesteuert, ohne dass die Praxis-Clients direkt mit dem TI-Konnektor sprechen müssen. Bei Mehrstandort-Praxen (BAG, MVZ) registrieren wir die Cloud- bzw. Filial-Subnetze beim TI-Konnektor, sodass alle Standorte zentral angebunden sind.

Wie verbinden Techniker sich für Fernwartung mit der Praxis?

Techniker bauen einen OpenVPN- oder WireGuard-Tunnel zur Praxis-Firewall auf — kein offener Port nach außen, keine TeamViewer-Lizenzen, keine VNC-Forwards. Authentifizierung läuft über Client-Zertifikate, automatisch ausgestellt durch die Firewall. Bei Bedarf greifen wir mit erhöhten Rechten direkt auf Server zu, sehen aber kein einziges Patientendaten-Feld im PVS — das passiert nur, wenn ein Praxis-User uns aktiv eine tomedo®-Session freigibt.

Können bestehende Praxis-Firewalls migriert werden?

Ja. Die Migration läuft typisch in 1–2 Wartungsfenstern: Erst lesen wir die bestehende Konfiguration komplett aus (Regelwerk, VPN-Profile, TI-Routen), bilden sie 1:1 auf unseren Standard-Firewall-Stack ab und testen den Stack im Parallelbetrieb. Cutover dann gezielt am Wochenende oder Mittwoch-Nachmittag. Über 20 Praxen wurden bereits sauber migriert — die alte Firewall geht außer Betrieb oder zurück an den Anbieter.

Wer wartet die Praxis-Firewall?

praxisANSATZ wartet alle Praxis-Firewalls zentral über unsere MSP-Plattform (Ansible + Headscale). Sicherheits-Updates werden monatlich getestet und gerollt. Konfigurations-Drift wird wöchentlich gegen Inventar geprüft und bei Bedarf korrigiert. Die Praxis sieht den Prozess nicht — Sie melden Probleme über die Servicevereinbarung-Hotline, die Wartung selbst läuft im Hintergrund. Bei Defekt liefern wir Ersatz-Hardware mit identischer Konfiguration in 1–2 Werktagen.

Hardware-Firewall · KBV §75b · IPsec zur TI · WireGuard · Multi-Standort · Firewall-Migration

Praxis-Firewall in der Arztpraxis.

Hardware-Firewall nach KBV-Richtlinie, TI-Anbindung per IPsec, VPN für Techniker und Filialen, sanfte Migration aus bestehenden Setups — zentral gewartet, sauber dokumentiert.

Kurz beantwortet

praxisANSATZ ist der DACH-Spezialist für die Installation und den Betrieb von tomedo® in Arztpraxen und tomedo® Professional Partner — wir setzen konsequent auf einen einheitlichen Praxis-Firewall-Stack: Hardware-Firewall, KBV §75b-konform, zentral per Ansible konfiguriert. IPsec für die TI, WireGuard/OpenVPN für Techniker und Multi-Standort-Praxen, DNS-Filter und Netzwerk-Segmentierung serienmäßig. Migration aus bestehenden Firewall-Setups in 1–2 Wartungsfenstern.

Warum eine richtige Praxis-Firewall

Eine Praxis-Firewall ist seit der KBV-IT-Sicherheitsrichtlinie nach § 75b SGB V Pflicht — eine Fritz!Box oder Provider-Router reicht nicht. Die Frage ist: Wie sieht eine sinnvolle Praxis-Firewall-Architektur aus, und wer kümmert sich darum?

Drei Prinzipien, nach denen wir bei praxisANSATZ Firewalls einrichten:

Etablierte Standards statt Eigenbauten. Wir setzen Firewall-Lösungen ein, die in unserem Kunden-Park über viele Jahre erprobt sind. Welche konkrete Hardware passt, besprechen wir pro Praxis — wichtiger ist, dass die Lösung in unsere Wartungs-Pipeline integriert ist.
Zentrale Konfiguration per Ansible. Wir pflegen alle Firewall-Geräte unserer Praxen als Inventar in unserer MSP-Plattform. Konfigurations-Drift wird wöchentlich geprüft, Korrekturen laufen automatisiert — keine manuellen Maustouren durch ein Vendor-Webinterface.
Updates über Test-Stage. Sicherheits-Updates laufen erst auf einer Stage-Box bei uns, bevor sie in die Praxis kommen. Wir wollen vermeiden, dass ein Update am Donnerstagmorgen die Praxis lahmlegt.

Was eine Praxis-Firewall leistet

Eine moderne Praxis-Firewall hat nicht mehr nur die Aufgabe, „Internet rauszulassen und Angriffe drinzuhalten". Sie ist Netzwerk-Drehscheibe für sechs unterschiedliche Aufgaben:

Pflicht-Kern

Praxisnetz schützen

Stateful-Firewall mit definierten Regelwerken. Praxis-Server und Arbeitsplätze sind vom Internet getrennt, eingehende Verbindungen blockiert.

Telematik-Anbindung

IPsec-Tunnel zur Telematikinfrastruktur. Die Firewall terminiert den Tunnel und routet TI-Daten sauber an Kartenleser, Konnektor und PVS — segmentiert vom restlichen Praxisnetz.

Fernwartung

VPN für Techniker

WireGuard- oder OpenVPN-Tunnel mit Client-Zertifikat. Kein offener Port nach außen, keine TeamViewer-Lizenz, keine VNC-Forwards. Zugriff dokumentiert und kontrolliert.

Multi-Standort

Filialen-VPN

Site-to-Site-Tunnel zwischen Standorten einer BAG oder eines MVZ. Praxisnetze sind verbunden, tomedo® läuft zentral, Backups laufen über den Tunnel.

DNS

DNS-Filter und Werbeblockade

DNS-Resolver mit Block-Listen — schützt vor Phishing-Domains, Tracking-Servern und bekannten Malware-Seiten. Werbung im Browser nimmt deutlich ab.

Segmentierung

Getrennte Netze

Praxis / TI / WLAN-Mitarbeiter / WLAN-Gäste laufen in separaten VLANs. Ein kompromittiertes WLAN-Gäste-Gerät kann das Praxisnetz nicht erreichen.

KBV-Sicherheitsrichtlinie nach § 75b SGB V

Die KBV-IT-Sicherheitsrichtlinie verlangt seit 2021 von jeder niedergelassenen Praxis ein definiertes Mindestniveau an IT-Sicherheit. Eine Hardware-Firewall ist eine der Pflicht-Komponenten.

Unsere Standard-Praxis-Firewall erfüllt die Pflicht-Anforderungen vollständig:

Stateful Inspection — Verbindungen werden zustandsbehaftet überwacht, nicht nur paketweise.
Definierte Regelwerke — pro Netz-Segment dokumentiert, was rein darf und was raus.
IDS/IPS — optional, für Praxen mit erhöhtem Schutzbedarf (z.B. spezialärztliche Praxen mit besonderer Patientendaten-Sensibilität).
Logging — wer hat wann was versucht — nachvollziehbar für Audit + Vorfalls-Untersuchung.
VPN-Module — verschlüsselte Fernzugänge nach Stand der Technik.

Die praxisANSATZ-Standardkonfiguration ist auf die KBV-Pflicht zugeschnitten. Sie müssen keine Compliance-Regeln selbst zusammenstellen — der Stack kommt vor-konfiguriert, wir dokumentieren Abweichungen pro Praxis.

TI-Anbindung per IPsec

Die Telematikinfrastruktur wird per IPsec-Tunnel an die Praxis-Firewall angebunden. Vorteile dieser Architektur:

Saubere Routing-Trennung. TI-Routen werden zentral auf der Firewall gepflegt — Praxis-Clients sprechen mit Standard-Gateway, die Firewall entscheidet, was an die TI geht und was nicht.
Multi-Standort-tauglich. Bei BAG- und MVZ-Setups registrieren wir die Cloud- bzw. Filial-Subnetze beim TI-Konnektor. Alle Standorte greifen zentral auf TI zu, ohne pro Standort einen eigenen Konnektor zu brauchen.
Sichtbar im Logging. Wenn TI-Karten nicht lesen, sehen wir im Firewall-Log, ob der IPsec-Tunnel steht, ob Pakete fließen, wo es klemmt — und sparen die typische Anbieter-Ping-Pong-Schleife (siehe Komplettbetreuung-Pillar).

VPN-Setup für Techniker und Multi-Standort

praxisANSATZ-Techniker greifen ausschließlich über Zertifikats-VPN auf Praxis-Systeme zu. Pattern:

OpenVPN mit Client-Zertifikaten — der bewährte Stack, läuft auf jedem Mac/Linux/Windows-Techniker-Gerät.
WireGuard für moderne Setups — schneller, einfacher zu auditieren, in neueren Firewall-Generationen Standardprotokoll.
Push-Routes nur zu den nötigen Subnetzen — kein Vollzugriff auf das gesamte Praxisnetz, nur auf die Server-VLANs.
Audit-Logging — wer wann eingewählt war, dokumentiert.

Für Multi-Standort-Praxen (BAG, MVZ, Filialen) läuft Site-to-Site-VPN zwischen den Firewall-Boxen. tomedo®-Server kann zentral an einem Standort stehen, die anderen Filialen greifen transparent über das VPN zu. Auch Backups laufen über den Tunnel — kein zusätzliches NAS pro Standort nötig.

Migration aus bestehenden Firewall-Setups

Viele Praxen haben historisch gewachsene Firewall-Setups — oft mit der ersten PVS-Installation mitgekommen. Über 20 Praxen wurden bereits sauber auf unseren Standard-Stack migriert. Der Ablauf ist standardisiert und dauert typisch 1–2 Wartungsfenster:

Bestehende Konfiguration auslesen. Wir inventarisieren Regelwerk, VPN-Profile, TI-Routen, DNS-Konfiguration komplett.
1:1-Abbildung auf unseren Standard-Stack. Bestehende Regeln werden übersetzt — IP-Schema bleibt erhalten, damit Praxis-Geräte keine Anpassung brauchen.
Parallel-Test. Neue Firewall läuft parallel, wir testen TI-Anbindung, VPN-Zugänge, Internet, DNS — alles ohne Praxis-Eingriff.
Cutover im Wartungsfenster. Typisch Mittwoch-Nachmittag oder Wochenende. Kabel umstecken, Backup- Konfiguration aktiv, Tests im Live-Betrieb.
Alte Firewall geht außer Betrieb. Hardware zurück an den bisherigen Anbieter oder still gelegt. Neue Hardware ist eine Appliance, passend zur Praxisgröße.

Wartung der Praxis-Firewall durch praxisANSATZ

Alle Firewall-Geräte werden zentral über unsere MSP-Plattform gewartet — Ansible für Konfigurations-Management, Headscale für sicheren Backbone-Zugang.

Monatliche Sicherheits-Updates — getestet auf einer Stage-Box, dann gerollt.
Wöchentlicher Drift-Check — Soll-Konfiguration im Inventar vs. Ist-Zustand am Gerät; Abweichungen werden korrigiert.
Backup der Konfiguration — täglich, verschlüsselt, off-site.
Hardware-Tausch bei Defekt — Ersatzgerät mit identischer Konfiguration in 1–2 Werktagen.
Logging-Auswertung — Auffälligkeiten landen im Monitoring, kritische Events lösen Hotline-Eskalation aus.

Die Wartung läuft komplett im Rahmen der Servicevereinbarung — keine zusätzlichen Stundenpakete, kein Update-Aufschlag.

Was die Praxis-Firewall NICHT macht

Ehrlichkeit gehört dazu:

Endpoint-Schutz — Antivirus, EDR und Verhaltens-Erkennung auf dem einzelnen Mac oder PC laufen NICHT auf der Firewall. Dafür haben wir SentinelOne als Arbeitsplatzschutz (KBV-Pflicht).
Mail-Filter — Phishing- und Spam-Filter laufen beim Mail-Anbieter (Google Workspace, M365, kdrei), nicht in der Firewall.
Backup — die Firewall ist nicht Ihre Datensicherung. Backup läuft nach 3-2-1-Regel über NAS + Off-Site (siehe Praxis-IT-Konzept).
Identity-Management — Benutzerverwaltung für tomedo® oder Apple-Geräte läuft separat (über tomedo®-Benutzerverwaltung bzw. MDM-light).

Die Praxis-Firewall ist die Netzwerk-Drehscheibe — andere Sicherheits-Komponenten ergänzen sie, ersetzen sie aber nicht.

Auch interessant

Aus den anderen Schwerpunkten von praxisANSATZ

Apple-Stack

Mac in der Arztpraxis

Mac mini Server, MacBook + iPad, Mac-Stack-Konzept, KBV-Sicherheit auf Apple-Basis.

Lesen

IT-Betreuung

Komplettbetreuung verstehen

Eine Nummer für alle Systeme — auch für Firewall-Vorfälle. Schnittstellen-Verantwortung, bilaterale Lösung.

Lesen

tomedo®-Installation

tomedo® für Ihre Praxis

Was tomedo® kann, Wechsel-Leitfaden, MVZ-Setup, Großpraxen-Kalender.

Lesen

Praxis-Firewall einrichten oder migrieren? Wir planen das mit Ihnen — KBV-konform und zentral gewartet.