Kurzer Hinweis an den Kreis der Leserschaft im Umfeld von Arztpraxen. Die Kassenärztliche Vereinigung von Rheinland-Pfalz weist am 8. Mai 2026 auf einen Sicherheitsvorfall in einer Arztpraxis in Rheinland-Pfalz hin. Dort wurde eine medizinische Fachangestellte wohl Opfer einer Phishing-Attacke, worauf das E-Mail-Konto übernommen werden konnte.
Ein Blog-Leser hat im Diskussionsbereich auf den Eintrag "Sicherheitsvorfall in einer rheinland-pfälzischen Praxis Wichtige Hinweise für alle Praxen" der Kassenärztliche Vereinigung von Rheinland-Pfalz weist am 8. Mai 2026 auf den Vorfall hin. Das Postfach einer Praxis-Mitarbeiterin konnte von einem Angreifer über eine gefälschte E-Mail (sogenanntes Phishing) kompromittiert werden.
Dieser erhielt Zugang zum E-Mail-Postfach der Mitarbeiterin, so dass unbefugte Dritte E-Mails mitlesen, Inhalte kopieren sowie Nachrichten verfälschen konnten. Letzteres diente wohl dazu, Empfängerinnen und Empfänger zu betrügerischen Zahlungen zu verleiten (Spear Phishing). Der unbefugte Zugriff war bis zum 30. April 2026 möglich. In diesem Zeitraum konnten personenbezogene Daten wie Name, Vorname und E-Mail-Adresse eingesehen werden.
Nach Bekanntwerden des Vorfalls wurden in der betroffenen Praxis folgende Schritte eingeleitet:
- Sperrung und Zurücksetzung des betroffenen Zugangs
- forensische IT-Analyse, um Ursache und Umfang zu klären
- Meldung an die Datenschutzbehörde
- Meldung an das Bundesamt für Sicherheit in der Informationstechnik (BSI)
- Anzeige bei der Polizei, Zentrale Ansprechstelle Cybercrime (ZAC) Rheinland Pfalz
Um welches Postfach es genau ging und was ggf. sonst noch kompromittiert wurde, geht aus der Meldung nicht hervor. Es könnte ein separates Postfach bei einem E-Mail-Anbieter gewesen sein, oder ein über KIM laufendes Postfach (wobei letztere eigentlich besonders gesichert sein sollten).
Die KV RLP weist in ihrer Warnung daher nochmals auf die Risiken hin, und merkt an, dass auch "andere Praxen" in diesem Zusammenhang gefälschte E-Mails erhalten können, die scheinbar von bekannten Personen der Einrichtung stammen. Angreifende nutzen oft echte Gesprächsverläufe oder bekannte Namen, um Vertrauen zu erzeugen, heißt es. Es sei daher besonders wichtig, dass Sie aufmerksam bleiben und verdächtige Nachrichten kritisch prüfen. Der Artikel enthält noch Hinweise auf Vorsichtsmaßnahmen in Praxen, die auf "noch mehr aufpassen" hinauslaufen.
MVP: 2013 – 2016
Der Phishing-Angriff erfolgte mit ziemlicher Sicherheit NICHT via KIM. Via KIM können (bislang) nur entsprechende medizinische Leistungsträger kommunizieren, und es werden vorwiegend eArztbriefe, Untersuchungsergebnisse etc. versandt. KIM Nachrichten sind S/MIME-verschlüsselt/signiert und durch die (teilweise nervigen ‚sicheren Antrags-/Bestellketten' inkl. PostIdent, KV-Prüfung für die Zertifikate (SMC-B bzw. eHBA)) zumindest nicht beliebig fälschbar.
Zudem verschickt (bislang) niemand Rechnungen per KIM.
Daher wird der Vorgang höchstwahrscheinlich ein normales eMail-Postfach der Praxis betreffen – in das aber natürlich die ganze Patientenkommunikation inkl. Terminbuchungsanbindung usw. eingespült wird.
Macht das alles nicht unkritischer, aber würde hier eh die Dunkelziffer sehr groß schätzen.
Beispiel aus der Praxis: hier fallen wöchentlich ca. 10-15 eMails auf durch konkret schadhaften Anhang, schadhafte Phishinglinks, oder irgendwelche Trackingpixel auf. Neben den Automatismen ist laufende Sensibilisierung der Mitarbeitenden notwendig, da teilweise Fake-Mails gut gemacht.
Da werden E-Mails vermutlich nicht vorher durch Sicherheitssysteme geprüft?
Ich denke nicht, dass es 2026 jemanden gibt, der E-Mail ohne Filter betreibt. Aber Firmen die eben viel mit Endkunden zu tun haben, bekommen auch viel Schrott. Klassisches Beispiel.. wäre mit Passkeys oder 2MFA nicht passiert.
Wenn man sich mit dem 2FA auf der Phishingseite anmeldet und diese Anmeldung im Hintergrund an den eigentichen Server durchreicht (und dann dort weiterhin Zugriff hat), schon.
Da hilft dir auch kein Sicherheitssystem.
Wir hatten vor kurzem eine Phisingmail eines großen Kunden, korrekte DKIM Signatur also definitv vom Kundenserver. Zusätzlich mit einem gültigen persönlichen Zertifikat signiert.
Ehrlich gesagt hat uns nur unsere FW davon abgehalten drauf reinzufallen, da die Zieldomain relativ neu registriert war und daher bei uns geblocked wurde.
Wie das funktioniert?
Exchange online, das dabei auch die persönlichen Zertifikate dort landen wusste ich ehrlich noch nicht. :-(
Evtl. helfen Secure DNS und Threat Feeds.
Nutzt man Exchange Online, können die S/MIME-Zertifikate per Entra Connect in die Cloud gesynct werden.
Hat man dann einen ExO-Account gekapert, kann man gültige, signierte Emails versenden.
Eine Email von einem gehackten Account kann man ja nicht mehr an den Email-Metadaten erkennen, sondern nur noch am Inhalt (Links, Text …)
Wenn das gut gemacht ist, dann droht Gefahr …
Nicht nur in Arztpraxen passiert so etwas, sondern auch bei einer Kreisverwaltung in Rheinland-Pfalz:
Die Ratschläge von KBV und den anderen KVen sind sicherlich gut gemeint:
Gleichzeitig kann ich durchaus nachvollziehen, wie es zu erfolgreichen Angriffen kommt. In den Praxen herrscht oft Hochbetrieb. Eine Medizinische Fachangestellte kann nicht bei jeder E-Mail zwei Minuten überlegen, ob diese echt oder gefälscht ist. Ich gehe auch von einer hohen Dunkelziffer aus.
Ein Angriff über KIM (Kommunikation in der Medizin) ist zwar prinzipiell denkbar, lag in diesem Fall sicherlich nicht vor. Ein verifizierter erfolgreicher Angriff über KIM hätte sehr schwerwiegende Konsequenzen gehabt, die sich auch in den Meldungen widergespiegelt hätten.
Das ist in Arztpraxen eher Normalzustand als Ausnahme, dass Systeme nicht gepatcht, aktualisiert und gewartet werden!
Was wir bislang in der täglichen Praxis erlebt haben und weiterhin erleben, würde viele Patienten veranlassen nicht mehr zu Praxis XY zu gehen.
Bestes Beispiel, große Radiologie betreibt einen Exchange Server 2019, seit letztem Jahr aus dem Support raus, vorsätzlich weiter und sieht keinen Grund auf den Nachfolger oder eine andere Lösung wechseln. Das tägliche Risiko nimmt man billigend in Kauf, weil einem das Geld zu schade ist. Dell Server-Festplatten werden gebraucht gekauft um 20 € zu sparen, dafür mit über 70.000 Betriebsstunden. Support für Server, Firewall usw. werden selbstredend nicht verlängert. Firewall ebenfalls EoL… egal.
Bei anderen Praxis ist es das selbe in grün.
Notwendige Vorkehrungen sieht man schlichtweg als unnötig an.
Eigentlich sollten normale E-Mail Konten in Arztpraxen gar nicht zur Kommunikation mit Patienten genutzt werden. Ebenso z.B. Whatsup.
Schon die Tatsache, dass ein Patient mit einer Praxis kommuniziert, wäre schützenswert. Wir will das der Arzt sicherstellen?
Naja… sollen die Pat lieber faxen?
Natürlich ist die eMail in quasi allen Fällen nicht verschlüsselt – selbst wenn die Praxis PGP anbietet (und welche macht das schon) aber für eine kurze (nicht medizinische) Kommunikation, wg Termin o.ä. ist das ok – TIM (TI-Messenger, das auch in die KK-Apps rein soll) ist aktuell noch nicht wirklich verfügbar und ganz ehrlich, das wird ja dann noch schlimmer… sowohl von der „Chat-Bekastung" in den Praxen, wie auch der Erwartungshaltung umgehend informiert zu werden… zudem gehen dann auch medizinische Befunde darüber… 😩
Es wäre völlig hinreichend, wenn seitens der Praxis 49 Euro pro Jahr in ein Mailzertifikat investiert würde und schon könnte jeder verschlüsselte Mails hinsenden.
Falls man die Antwort ebenfalls verschlüsselt haben möchte, muss man die 49 Euro halt auch selbst in der Hand nehmen.
Leider sind die Praxen aber nicht einmal in der Lage eine verschlüsselte Mail zu versenden, obwohl ein Empfängerzertifikat vorliegt. Ob das Ignoranz oder Dummheit ist, vermag ich nicht zu sagen :-(
eher Akzeptanzrealität… wir bieten auf der Praxisseite sowohl den Public-Key als auch ein PHP-Formular (das dann ebenfalls den pubKey nutzend verschlüsselt versendet) für die Kommunikation an…
Das nutzen vielleicht 10 Pat…
Wenn ich mir den verlinkten Text der KV-Rlp. durchlese, bietet der Platz fuer vielerlei Spekulationen:
Wer sind "unbefugte Dritte"??? Dritte, die über Zweite den Fuss in die EDV bekommen???
Dienstleister, die fuer die Praxis (Mehrbehandler, Promis, Klinik auf dem platten Land oder BW-Krankenhaus in irgendeiner Landeshauptstadt….arbeiten???
Harrt-Ware support, Abrechnungsgesellschaft, Verwaltungsmittarbeiterin im Homeoffice, Softwaresupport, da ist ja sehr vieles denkbar und vieles …
Da ist zum einen von einer Praxis und später von einer"Einrichtung" die Rede.
Es gibt "Großpraxen" mit mehreren Standorten und Praxen, die das ambulante "Anhängsel" einer Klinik für die Nachsorge sind.
Dann ist da noch von Phishing und Spearphishing die Rede, das lässt auch Raum fuer mögliche Spekulationen, da ja nur das Postfach dieser einen Persona (manche haben ja ein Dienstpad) bis zum 30.04.2026…
Und welche AV-Lösung kann verschlüsselte Dateien analysieren (die potentionell Fähigen mit Zugangzwang zur national KI-Ausleitung; im realen zivilen Leben eher die wenigsten).
Beim öffnen mit Verhaltenserkennung (Heuristik oder irgendeiner anderen Marketingumschreibung) und schon ist man drinne…
Den Profi Cyber-Aktoer (m/w/d/multi diversity KI enabled) isse halt nichts zu schwoer).
Mein AV-Programm ist halt ehrlich, es wirft mir auch die Datein aus, die es wegen "passwortgeschützt" nicht überprüfen kann (PDF Dateien mit Passwortschutz;
Gang und Gäbe) und andere (schwaze Schwäne und Schnabeltiere / wenn nicht gesehen, bekannt…).
Denkbar sind noch andere potentielle Infektionswege:
Schadsoftware auf der "richtigen Versichertenkarte", oder das war ja meine alta aka fake Karte (schon ist man drin), und wenn "once upon a time" eine deutsche Forschungseinrichtung mal sich mit der akustische Analyse von Nadeldruckern z.B. Auslesen eines Rezeptes per Nadeldrucker-Geräuschs beschäftigte, wer könnte sich das (nun mal fuer Hinz und Kunz nicht und nimmer aber doch nur für spezielle Zielpersona vorstellbar)…
Es geht alles, wenn die Mittel und Fähigkeiten "unlimited" sind.
Infektion per IP-Telephonie…; die ehemals german Fritte (halt ehemals: heiss und fettich in DACH; mit neuem Besitzer oder Gebieter…; dette is nur Kleinkram…
Ob es ein Rezept ist oder eine AU, wenn man das Geräusch (oder die Melodie kennt, beim Vorbeigehen am Empfang hoert, und kann mit der Melodie oder dem Morsecode…) es ist halt mit manche Vogelarten, die mich morgens rein analog aus dem Schlaf wecken); dafuer braucht es keinen Cyberaktoer sondern "premium geschaelt Sonnenblumenkerne…" without "Ambrosia"…
Wer die Melodie oder den Code richtig zu analysieren vermag…
Nun Ja…
@Bediener1 – aka "Systemkenner" ;)
Sie haben m. E. in vielem Recht.
Mich hat initial allerdings gewundert, das diesmal die Warnung / Information durch eine Regierungsbehörde in die Kollegenschaft über die offiziellen Webseite geteilt wurde.
Meine Befürchtung war, das diesmal eine Gefärdung für einen sehr großen Personenkreis gesehen worden sein könnte – und dies wäre z.B. KIM.
Hatte deshalb über die Rubrik "Diskussion" mal unschuldig bei Herrn Born angefragt, ob schon genauere Infornationen vorliegen.
@Günter Born: danke, das Sie durch diesen Artikel in der Fachöffentlichkeit eine größere Sichtbarkeit ermöglicht haben.
KIM war wohl auch ein Thema beim (39C3), (CCC), wenn ich mich recht erinnere.
Und es ist wie bei Signal-Nutzerkonten:
Die Alltagsprobleme im Nutzerbereich, (von mausgerutscht bis die falsche Spalte angeklickt (gleicher Name in der Kunden-Datenbank, telefonisch bestellt weil dringend, und schon landet die Lieferung von damals "Misco Germany Inc. heute Cancom an der falschen Adresse. Bekamen dann von einer Alarmanlagenfirma in Süddeutschland einen Anruf, dass unsere Lieferung bei Ihnen falsch zugestellt wurde. Auf der Internetseite der Firma gab es eine Doublette (Vornamen und Nachnamen identisch), wohl auch damals Kunde bei dem Lieferanten), Fake-Support-Sicherheitsmeldung etc, auch wenn das Programm an sich (nahezu) sicher ist.
Fehler wird es in dem Bereich immer geben. Und was nutzt es, wenn der Endanwender die Schalter auf der grafische Benutzeroberfläche richtig einstellt, diese aber auf der nächsten oder übernächsen Programmebene an die Hardware falsch oder gar nicht weitergeleitet werden: Es gab ja mal das Problem mit einem Router, der auch von der Telekom vertrieben wurde: Port in der GUI-Oberfläche per "Schiebeschalter" geschlossen, im real life offen wie ein Scheunentor.
Warum sollte eine Praxis überhaupt E-Mail als Kommunikation nutzen? Meiner Arztpraxis habe ich dafür nicht das Go gegeben, eben aus obigen Gründen. Wir bezahlen Unsummen für die ePa und den da verdrahten Chat-Funktionen…
Sie sollen erst einmal ein Programm richtig absichern. Was die Praxis-Software angeht, da haben die Praxen wenig Auswahl.
Aber Warum Exchange Online? Wer in Deutschland das empfiehlt gibt es die Verantwortung ab.
Sie haben vollkommen recht,
es ist wie mit dem Schlüsseldienszt-Mitarbeiter der meine metallerne Metalltuere nach dem (x-ten) Einbruchsversuch repariert, er verschweisst gerade den Mauerankerdübel mit dem Stahlrahmen neu. Ach ich sehe sie haben einen "Keso oder sososo Zylinder" aber ich kommen zu 80prozent "zerstoerungsfrei§konform" rein (ich denke fuer mich, gut dass ich den Schliesszylinder in einer anderen Grossstadt erworben habe, denn, bei Ihm als Kunde käme er mit seinen sebstgehosteten Keso oder sososoSchlüsseldienst-Daten zu 100% rein.
Ob er oder seine Firma auch zeitweise für lokale Ermittlungsbehörden arbeitet will ich gar nicht wissen. ER hat mir gerade mitgeteilt, dass er zu 80% Pareto-Fähigkeiten hat…; wie er diese umsetzt…
Zero trust (im analogen als auch im sogenannten "cyberspace").