Soll ich das Lösegeld bei einem Ransomware-Angriff bezahlen?

Nein. Das BSI und das BKA raten ausdrücklich davon ab, Lösegeld zu zahlen. Es gibt keine Garantie, dass die Angreifer nach Zahlung tatsächlich entschlüsseln. Mit einer Cyberversicherung erhalten Sie IT-Forensiker, die versuchen, Daten ohne Zahlung wiederherzustellen.

Was zahlt eine Cyberversicherung bei einem Ransomware-Angriff auf eine Arztpraxis?

Eine gute Cyberversicherung übernimmt: IT-Forensik und Systemwiederherstellung, Betriebsunterbrechungsschaden, DSGVO-Rechtsbeistand und Behördenkommunikation, Krisenmanagement sowie ggf. Lösegeldzahlungen als letzten Ausweg.

Ransomware Arztpraxis: Was tun in 24 Stunden?

Es ist Montagmorgen, 7:14 Uhr. Ihre MFA-Software startet nicht. Das Praxisverwaltungssystem zeigt nur einen schwarzen Bildschirm. Auf einem der Rechner erscheint eine Nachricht in rotem Text: „Ihre Dateien wurden verschlüsselt. Zahlen Sie 18.000 € in Bitcoin innerhalb von 48 Stunden."

Das ist kein Szenario aus einem Thriller. Laut BSI-Lagebericht 2024 ist das Gesundheitswesen die am dritthäufigsten angegriffene Branche in Deutschland. Arztpraxen sind besonders gefährdet: Patientendaten sind wertvoll, die IT ist oft veraltet, und der Druck zur schnellen Rückkehr zum Betrieb ist enorm.

Was Sie in den nächsten 24 Stunden tun — oder nicht tun — entscheidet darüber, ob Ihre Praxis in wenigen Tagen wieder läuft oder ob Sie wochenlang im Ausnahmezustand sind. Dieser Leitfaden gibt Ihnen einen klaren Handlungsplan.

⚠ WICHTIG

Die DSGVO-Meldepflicht läuft ab dem Moment, in dem Sie von dem Angriff erfahren. Die 72-Stunden-Frist beginnt jetzt. Lesen Sie diesen Artikel zügig und handeln Sie parallel.

Stunde 0–1: Sofortmaßnahmen — Ruhe bewahren, Systeme isolieren

Der erste Impuls ist verständlich: neu starten, Kabel ziehen, alles ausschalten. Tun Sie das nicht blindlings. Ein unkontrolliertes Abschalten kann forensische Spuren vernichten, die später für die Versicherung und die Strafverfolgung entscheidend sind.

1 Netzwerkverbindung trennen, nicht ausschalten: Ziehen Sie das LAN-Kabel am betroffenen Rechner und deaktivieren Sie WLAN — aber lassen Sie den Rechner an. So bleiben Speicherinhalte und laufende Prozesse für die Forensik erhalten.
2 Alle anderen Geräte vom Netz trennen: Tablets, Drucker, der TI-Konnektor, das WLAN-Gerät der Empfangsdame — alles offline. Ransomware verbreitet sich lateral im Netz, während Sie noch schlafen.
3 Lösegeld-Bildschirm fotografieren: Machen Sie ein Foto der Lösegeldforderung mit Ihrem Smartphone. Notieren Sie den genauen Wortlaut, die geforderte Summe und alle sichtbaren Wallet-Adressen.
4 Nicht zahlen: Das BSI und das BKA raten ausdrücklich davon ab. Zahlung garantiert keine Entschlüsselung und macht Sie zum wiederholten Angriffsziel.

Stunde 1–3: Die richtigen Anrufe tätigen

Jetzt beginnt das Krisenmanagement. Wen Sie in welcher Reihenfolge anrufen, ist entscheidend.

1. Ihre Cyberversicherung — Notfall-Hotline

Wenn Sie eine Cyberversicherung haben: Das ist Ihr erster Anruf, noch vor dem IT-Dienstleister. Gute Policen beinhalten eine 24/7-Notfall-Hotline, die sofort einen IT-Forensiker koordiniert. Der Versicherer übernimmt die Steuerung des Krisenmanagements — das ist sein Job, dafür zahlen Sie die Prämie.

💡 TIPP

Bewahren Sie die Notfall-Nummer Ihrer Cyberversicherung ausgedruckt in der Praxis auf — nicht nur digital. Im Ernstfall sind Ihre digitalen Geräte möglicherweise nicht nutzbar.

2. IT-Forensiker (falls keine Versicherung)

Ohne Versicherung müssen Sie selbst einen spezialisierten IT-Forensiker beauftragen. Rufen Sie nicht Ihren regulären IT-Dienstleister an — dieser ist für Ransomware-Fälle in der Regel nicht ausgebildet und kann durch falsche Maßnahmen Beweise vernichten. Das Allianz für Cybersicherheit-Portal des BSI listet zertifizierte Dienstleister.

3. Polizei — Strafanzeige erstatten

Erstatten Sie Strafanzeige bei der Cybercrime-Abteilung Ihres Landeskriminalamts (nicht beim normalen Revier). Die Anzeige ist Voraussetzung für manche Versicherungsleistungen und für eine mögliche Strafverfolgung. Viele LKA-Stellen haben Bereitschaftsdienste rund um die Uhr.

Stunde 3–72: DSGVO-Meldepflicht — die Uhr tickt

Als Arztpraxis verarbeiten Sie besonders sensible Gesundheitsdaten nach Art. 9 DSGVO. Ein Ransomware-Angriff ist in nahezu allen Fällen ein meldepflichtiger Datenschutzvorfall.

Meldung an	Frist	Ohne Versicherung	Mit Cyberversicherung
Landesdatenschutzbehörde	72 Stunden	Sie selbst + Anwalt	Versicherer übernimmt
Kassenärztliche Vereinigung	Unverzüglich	Sie selbst	Krisenmanager koordiniert
Betroffene Patienten (wenn hohes Risiko)	Ohne Verzug	Sie selbst + Anwalt	Versicherer übernimmt
BSI (ab 50 Mitarbeiter)	Unverzüglich	Sie selbst	Versicherer koordiniert

Was passiert, wenn Sie die Meldung versäumen? Die Datenschutzbehörden haben in den letzten Jahren deutlich schärfer sanktioniert. Bußgelder von 10.000–50.000 € für verspätete oder unterlassene Meldungen sind bei Arztpraxen keine Seltenheit mehr. Eine Cyberversicherung übernimmt sowohl die Kommunikation als auch — bis zu einem vertraglich festgelegten Betrag — etwaige Bußgelder.

Was ein Ransomware-Angriff eine Arztpraxis wirklich kostet

Die Lösegeldforderung ist oft der kleinste Posten. Die wahren Kosten entstehen durch Betriebsunterbrechung, Forensik, Wiederherstellung und rechtliche Beratung.

Kostenposition	Typische Spanne	Cyberversicherung
IT-Forensik & Analyse	8.000 – 25.000 €	Gedeckt
Systemwiederherstellung	5.000 – 40.000 €	Gedeckt
Betriebsunterbrechung (7–21 Tage)	15.000 – 80.000 €	Gedeckt
DSGVO-Rechtsbeistand	3.000 – 15.000 €	Gedeckt
Behördenbuße (bei Versäumnis)	10.000 – 50.000 €	Gedeckt (je nach Police)
Lösegeld (letzter Ausweg)	5.000 – 100.000 €	Gedeckt (je nach Police)
Gesamtschaden (Mittelwert)	∅ 75.000 €	Gedeckt

Dem gegenüber steht eine jährliche Prämie für eine Cyberversicherung einer Einzelarztpraxis von typischerweise 600–1.800 € — je nach Umsatz, Patientenanzahl und vorhandenen Sicherheitsmaßnahmen.

Nach dem Angriff: Was Sie jetzt ändern sollten

Wenn die Systeme wiederhergestellt sind, beginnt die eigentliche Arbeit. Praxen, die einmal angegriffen wurden, sind ohne Maßnahmen erneut gefährdet — oft schneller als gedacht.

1 Offline-Backups einrichten: Das 3-2-1-Prinzip: 3 Kopien, auf 2 verschiedenen Medien, 1 davon offline (nicht mit dem Netzwerk verbunden). Nur so sind Backups vor Ransomware sicher.
2 Multi-Faktor-Authentifizierung (MFA) aktivieren: Für alle Systeme, insbesondere Remote-Zugänge und den TI-Konnektor-Administrationszugang. MFA verhindert über 99 % der credential-basierten Angriffe.
3 Netzwerksegmentierung prüfen: Empfangsnetz, Praxisnetz und TI-Netz sollten physisch oder per VLAN getrennt sein. Ein Angreifer, der ins Empfangssystem kommt, darf nicht automatisch ins Patientenverwaltungssystem gelangen.
4 Mitarbeiterschulung: Über 90 % aller Cyberangriffe beginnen mit Phishing-E-Mails. Eine jährliche 30-minütige Schulung des Praxisteams reduziert das Risiko signifikant.
5 Cyberversicherung abschließen: Nicht weil Sie alles verhindern können — sondern weil Sie für den Fall der Fälle einen Partner benötigen, der die Krise für Sie managt.

✓ FAZIT

Ein Ransomware-Angriff auf eine Arztpraxis ist kein unwahrscheinliches Szenario mehr — es ist eine Frage des Wann, nicht des Ob. Die gute Nachricht: Mit der richtigen Vorbereitung und einer spezialisierten Cyberversicherung ist der Schaden beherrschbar. Ohne Vorbereitung kann ein einziger Angriff die Existenz einer Praxis gefährden.

Markus Kopka

Versicherungsmakler (§34d GewO) · Cyberversicherung-Spezialist

Markus Kopka berät seit über 10 Jahren Arztpraxen, Kanzleien und KMU zu Cyberversicherungen. Als produktneutraler Makler vergleicht er Tarife von über 40 Versicherern — unabhängig und kostenlos.

LinkedIn (25.000+ Kontakte) Mehr erfahren →

Häufige Fragen zum Ransomware-Angriff auf Arztpraxen

Muss ich einen Ransomware-Angriff auf meine Arztpraxis melden?

Ja. Wenn Patientendaten betroffen sind, besteht nach Art. 33 DSGVO eine Meldepflicht bei der zuständigen Landesdatenschutzbehörde innerhalb von 72 Stunden. Zusätzlich muss die Kassenärztliche Vereinigung informiert werden. Die Cyberversicherung übernimmt die Kommunikation mit allen Behörden.

Soll ich das Lösegeld bezahlen?

Nein. Das BSI und das BKA raten ausdrücklich davon ab. Es gibt keine Garantie, dass die Angreifer nach Zahlung tatsächlich entschlüsseln — in ca. 40 % der Fälle werden die Daten auch nach Zahlung nicht vollständig wiederhergestellt. Mit einer Cyberversicherung erhalten Sie sofort IT-Forensiker, die Datenwiederherstellung ohne Zahlung versuchen.

Was zahlt eine Cyberversicherung bei einem Ransomware-Angriff?

Eine spezialisierte Cyberversicherung übernimmt: IT-Forensik und Systemwiederherstellung, den Betriebsunterbrechungsschaden (Umsatzausfall), DSGVO-Rechtsbeistand und Behördenkommunikation, Krisenmanagement, Patientenbenachrichtigung sowie — als letzten Ausweg — Lösegeldzahlungen. Die genauen Leistungen hängen von der gewählten Police ab.

Wie lange ist eine Arztpraxis nach einem Ransomware-Angriff außer Betrieb?

Ohne Cyberversicherung und professionelle Forensik: typischerweise 2–6 Wochen. Mit sofortiger Reaktion durch den Versicherer und spezialisierten Forensikern: oft 3–10 Tage bis zur Wiederaufnahme des Betriebs, je nach Schwere des Angriffs und Qualität der Backups.