Kurzer Hinweis an den Kreis der Leserschaft im Umfeld von Arztpraxen. Die Kassenärztliche Vereinigung von Rheinland-Pfalz weist am 8. Mai 2026 auf einen Sicherheitsvorfall in einer Arztpraxis in Rheinland-Pfalz hin. Dort wurde eine medizinische Fachangestellte wohl Opfer einer Phishing-Attacke, worauf das E-Mail-Konto übernommen werden konnte.
Ein Blog-Leser hat im Diskussionsbereich auf den Eintrag "Sicherheitsvorfall in einer rheinland-pfälzischen Praxis Wichtige Hinweise für alle Praxen" der Kassenärztliche Vereinigung von Rheinland-Pfalz weist am 8. Mai 2026 auf den Vorfall hin. Das Postfach einer Praxis-Mitarbeiterin konnte von einem Angreifer über eine gefälschte E-Mail (sogenanntes Phishing) kompromittiert werden.
Dieser erhielt Zugang zum E-Mail-Postfach der Mitarbeiterin, so dass unbefugte Dritte E-Mails mitlesen, Inhalte kopieren sowie Nachrichten verfälschen konnten. Letzteres diente wohl dazu, Empfängerinnen und Empfänger zu betrügerischen Zahlungen zu verleiten (Spear Phishing). Der unbefugte Zugriff war bis zum 30. April 2026 möglich. In diesem Zeitraum konnten personenbezogene Daten wie Name, Vorname und E-Mail-Adresse eingesehen werden.
Nach Bekanntwerden des Vorfalls wurden in der betroffenen Praxis folgende Schritte eingeleitet:
- Sperrung und Zurücksetzung des betroffenen Zugangs
- forensische IT-Analyse, um Ursache und Umfang zu klären
- Meldung an die Datenschutzbehörde
- Meldung an das Bundesamt für Sicherheit in der Informationstechnik (BSI)
- Anzeige bei der Polizei, Zentrale Ansprechstelle Cybercrime (ZAC) Rheinland Pfalz
Um welches Postfach es genau ging und was ggf. sonst noch kompromittiert wurde, geht aus der Meldung nicht hervor. Es könnte ein separates Postfach bei einem E-Mail-Anbieter gewesen sein, oder ein über KIM laufendes Postfach (wobei letztere eigentlich besonders gesichert sein sollten).
Die KV RLP weist in ihrer Warnung daher nochmals auf die Risiken hin, und merkt an, dass auch "andere Praxen" in diesem Zusammenhang gefälschte E-Mails erhalten können, die scheinbar von bekannten Personen der Einrichtung stammen. Angreifende nutzen oft echte Gesprächsverläufe oder bekannte Namen, um Vertrauen zu erzeugen, heißt es. Es sei daher besonders wichtig, dass Sie aufmerksam bleiben und verdächtige Nachrichten kritisch prüfen. Der Artikel enthält noch Hinweise auf Vorsichtsmaßnahmen in Praxen, die auf "noch mehr aufpassen" hinauslaufen.
MVP: 2013 – 2016
Relativ sinnlos ohne Nennung der Praxis. Außerdem passiert so etwas sicherlich andauernd.
Der Phishing-Angriff erfolgte mit ziemlicher Sicherheit NICHT via KIM. Via KIM können (bislang) nur entsprechende medizinische Leistungsträger kommunizieren, und es werden vorwiegend eArztbriefe, Untersuchungsergebnisse etc. versandt. KIM Nachrichten sind S/MIME-verschlüsselt/signiert und durch die (teilweise nervigen ‚sicheren Antrags-/Bestellketten' inkl. PostIdent, KV-Prüfung für die Zertifikate (SMC-B bzw. eHBA)) zumindest nicht beliebig fälschbar.
Zudem verschickt (bislang) niemand Rechnungen per KIM.
Daher wird der Vorgang höchstwahrscheinlich ein normales eMail-Postfach der Praxis betreffen – in das aber natürlich die ganze Patientenkommunikation inkl. Terminbuchungsanbindung usw. eingespült wird.
Macht das alles nicht unkritischer, aber würde hier eh die Dunkelziffer sehr groß schätzen.
Beispiel aus der Praxis: hier fallen wöchentlich ca. 10-15 eMails auf durch konkret schadhaften Anhang, schadhafte Phishinglinks, oder irgendwelche Trackingpixel auf. Neben den Automatismen ist laufende Sensibilisierung der Mitarbeitenden notwendig, da teilweise Fake-Mails gut gemacht.
Da werden E-Mails vermutlich nicht vorher durch Sicherheitssysteme geprüft?
Ich denke nicht, dass es 2026 jemanden gibt, der E-Mail ohne Filter betreibt. Aber Firmen die eben viel mit Endkunden zu tun haben, bekommen auch viel Schrott. Klassisches Beispiel.. wäre mit Passkeys oder 2MFA nicht passiert.
Da hilft dir auch kein Sicherheitssystem.
Wir hatten vor kurzem eine Phisingmail eines großen Kunden, korrekte DKIM Signatur also definitv vom Kundenserver. Zusätzlich mit einem gültigen persönlichen Zertifikat signiert.
Ehrlich gesagt hat uns nur unsere FW davon abgehalten drauf reinzufallen, da die Zieldomain relativ neu registriert war und daher bei uns geblocked wurde.
Wie das funktioniert?
Exchange online, das dabei auch die persönlichen Zertifikate dort landen wusste ich ehrlich noch nicht. :-(
Nicht nur in Arztpraxen passiert so etwas, sondern auch bei einer Kreisverwaltung in Rheinland-Pfalz:
Die Ratschläge von KBV und den anderen KVen sind sicherlich gut gemeint:
Gleichzeitig kann ich durchaus nachvollziehen, wie es zu erfolgreichen Angriffen kommt. In den Praxen herrscht oft Hochbetrieb. Eine Medizinische Fachangestellte kann nicht bei jeder E-Mail zwei Minuten überlegen, ob diese echt oder gefälscht ist. Ich gehe auch von einer hohen Dunkelziffer aus.
Ein Angriff über KIM (Kommunikation in der Medizin) ist zwar prinzipiell denkbar, lag in diesem Fall sicherlich nicht vor. Ein verifizierter erfolgreicher Angriff über KIM hätte sehr schwerwiegende Konsequenzen gehabt, die sich auch in den Meldungen widergespiegelt hätten.
Das ist in Arztpraxen eher Normalzustand als Ausnahme, dass Systeme nicht gepatcht, aktualisiert und gewartet werden!
Was wir bislang in der täglichen Praxis erlebt haben und weiterhin erleben, würde viele Patienten veranlassen nicht mehr zu Praxis XY zu gehen.
Bestes Beispiel, große Radiologie betreibt einen Exchange Server 2019, seit letztem Jahr aus dem Support raus, vorsätzlich weiter und sieht keinen Grund auf den Nachfolger oder eine andere Lösung wechseln. Das tägliche Risiko nimmt man billigend in Kauf, weil einem das Geld zu schade ist. Dell Server-Festplatten werden gebraucht gekauft um 20 € zu sparen, dafür mit über 70.000 Betriebsstunden. Support für Server, Firewall usw. werden selbstredend nicht verlängert. Firewall ebenfalls EoL… egal.
Bei anderen Praxis ist es das selbe in grün.
Notwendige Vorkehrungen sieht man schlichtweg als unnötig an.