Für Sie gelesen

Sehr geehrte Ärzte,
hier ist der vollständige Text für Sie:

DocSecur® Nachrichten - APOTHEKE:

APOTHEKE | Medienspiegel & Presse |

NIS-2 macht IT-Sicherheit zur Chefsache, Cyberangriffe treffen Apothekenbetrieb, Versicherung wird zum Sicherheitsnetz.

Wenn E-Rezept, Warenwirtschaft, Abrechnung und Patientendaten ausfallen, müssen Apotheken digitale Risiken führen und Cyberversicherung richtig einordnen.

Stand: Freitag, 12. Juni 2026, um 19:35 Uhr

Apotheken-News: Bericht von heute

NIS-2 verschiebt IT-Sicherheit aus der technischen Ecke in die Verantwortung der Apothekenleitung. Für große Einzelapotheken, Filialverbünde und digital stark abhängige Betriebe geht es nicht mehr nur um Firewalls, Updates oder Dienstleister. Es geht um Warenwirtschaft, E-Rezept, Abrechnung, Rezeptdaten, Kassenplätze, Botendienst, Kühlung, Notdienstfähigkeit und die Frage, ob der Betrieb bei Angriff, Ausfall oder Datenverlust handlungsfähig bleibt. Cyberversicherung kann dabei Kosten für Forensik, Wiederherstellung, Betriebsunterbrechung und Krisenkommunikation abfedern. Sie ersetzt aber keine Vorsorge: Zugriffsschutz, Backups, Mitarbeiterschulung, Dienstleisterkontrolle und Notfallabläufe müssen im Betrieb wirklich tragen.

IT-Sicherheit war in Apotheken lange ein Thema, das irgendwo zwischen Dienstleister, Warenwirtschaft und gelegentlichen Passwortregeln lag. Mit NIS-2 verschiebt sich dieser Blick endgültig. Die neue Sicherheitslogik trifft nicht nur Serverräume, Firewalls und Updates, sondern die Leitung eines Betriebs. Wer eine große Einzelapotheke, einen Filialverbund oder eine besonders digital abhängige Struktur führt, muss künftig genauer wissen, welche digitalen Prozesse tragen, welche Ausfälle den Betrieb lahmlegen können und welche Verantwortung nicht einfach an einen externen Anbieter weitergereicht wird.

Für Apotheken ist diese Verschiebung besonders empfindlich, weil digitale Abläufe längst nicht mehr neben der Versorgung stehen. Sie sind ein Teil der Versorgung. Warenwirtschaft, E-Rezept, Abrechnung, Rezeptdaten, Kassenplätze, Botendienst, Bestellwege, Kommunikationssysteme, Kühlung, Notdienstfähigkeit und Dokumentation hängen an funktionierenden technischen Verbindungen. Ein Cyberangriff trifft deshalb nicht nur ein Gerät oder eine Software. Er kann die Fähigkeit einer Apotheke treffen, Arzneimittel rechtzeitig zu beschaffen, Rezepte korrekt zu bearbeiten, Patientendaten zu schützen und den Betrieb überhaupt geordnet fortzuführen.

NIS-2 zwingt Betreiber, diese Abhängigkeit nicht mehr als allgemeines Risiko zu behandeln. Es reicht nicht, darauf zu vertrauen, dass der IT-Dienstleister schon alles im Griff hat. Die eigene Betroffenheit muss geprüft werden. Kritische Abläufe müssen benannt sein. Zugriffe müssen begrenzt und geschützt werden. Datensicherungen müssen nicht nur vorhanden, sondern auch wiederherstellbar sein. Updates, Rechteverwaltung, Mehrfaktor-Authentifizierung, Notfallkontakte, Meldewege und Dienstleisterverträge müssen so geführt werden, dass sie im Ernstfall tragen. Die Leitung bleibt dabei der Ort, an dem Verantwortung zusammenläuft.

Für viele Apotheken wird genau das zur eigentlichen Zumutung. Der Alltag ist bereits voll: Personalengpässe, Lieferprobleme, Retaxrisiken, Kostendruck, neue Leistungen, Dokumentationspflichten und immer neue digitale Vorgaben. Trotzdem lässt sich IT-Sicherheit nicht mehr als Zusatzaufgabe nebenbei erledigen. Sie gehört in die betriebliche Vorsorge. Wer nicht weiß, welche Systeme im ersten Ausfalltag zwingend gebraucht werden, wird im Angriff improvisieren. Wer nicht geübt hat, wie der Betrieb ohne Warenwirtschaft, ohne Mail, ohne Kasse oder ohne Zugriff auf bestimmte Daten weiterläuft, verliert Zeit in einem Moment, in dem jede Stunde zählt.

Die praktische Prüfung beginnt bei einfachen, aber unbequemen Fragen. Wer hat Zugriff auf welche Systeme? Welche Passwörter werden geteilt? Welche Geräte sind noch im Einsatz, obwohl sie technisch überholt sind? Wo liegen Sicherungen? Sind sie getrennt vom Hauptsystem? Wurde eine Wiederherstellung jemals getestet? Wer ruft den Dienstleister an, wenn am Samstagabend im Notdienst die Systeme ausfallen? Welche Daten müssen gemeldet werden, wenn ein Datenschutzvorfall möglich ist? Wer entscheidet, ob der Betrieb geöffnet bleibt, eingeschränkt weiterläuft oder geschlossen werden muss? Solche Fragen klingen trocken. Im Schadenfall entscheiden sie über Ordnung oder Kontrollverlust.

Die Mitarbeiterseite ist dabei genauso wichtig wie die Technik. Viele Angriffe beginnen nicht mit hochkomplexen Methoden, sondern mit einer Mail, einem falschen Link, einer scheinbar harmlosen Datei, einem Telefonanruf oder einer unachtsamen Freigabe. Apothekenteams müssen deshalb nicht zu IT-Spezialisten werden. Aber sie müssen wissen, woran verdächtige Nachrichten erkennbar sind, welche Rückfragen erlaubt sind, welche Anhänge nicht geöffnet werden, wie mit ungewöhnlichen Zahlungs- oder Datenanforderungen umzugehen ist und wann sofort gemeldet werden muss. Sicherheitskultur entsteht nicht durch Angst, sondern durch Routine.

Für Filialverbünde und große Einzelapotheken wird die Lage zusätzlich anspruchsvoll, weil mehrere Standorte, mehrere Teams und mehrere Dienstleister die Angriffsfläche erhöhen. Ein schwaches Gerät, ein altes Benutzerkonto oder eine nicht sauber getrennte Verbindung kann reichen, um größere Teile des Betriebs zu treffen. Gerade Verbünde müssen deshalb nicht nur jede einzelne Apotheke betrachten, sondern auch die Verbindung zwischen ihnen: gemeinsame Systeme, zentrale Datenhaltung, Fernzugriffe, Administratorrechte, Vertretungsregelungen, Backupwege und Krisenkommunikation.

Die Cyberversicherung wird in diesem Umfeld wichtiger, aber sie darf nicht falsch verstanden werden. Sie ersetzt keine saubere Vorsorge. Sie kann nicht verhindern, dass Systeme verschlüsselt, Daten abgegriffen oder Abläufe unterbrochen werden. Ihr Wert liegt dort, wo nach einem Angriff Kosten entstehen: IT-Forensik, Wiederherstellung, Krisenkommunikation, Datenschutzberatung, mögliche Haftungsfragen, Betriebsunterbrechung, externe Spezialisten und gegebenenfalls Lösegeldverhandlungen, soweit rechtlich und vertraglich überhaupt vorgesehen. Gerade kleinere und mittlere Betriebe können solche Kosten kaum aus laufender Liquidität auffangen.

Gleichzeitig wird eine Cyberversicherung nur dann belastbar sein, wenn die Voraussetzungen stimmen. Versicherer fragen zunehmend genauer nach Sicherheitsstandards, Updates, Zugriffsschutz, Datensicherung, Mehrfaktor-Authentifizierung, Schulung, Notfallplanung und Dienstleistersteuerung. Wer bei Antragstellung Dinge zusagt, die im Betrieb nicht gelebt werden, riskiert später Streit. Für Apothekenbetreiber heißt das: Cyberversicherung und IT-Organisation müssen zueinander passen. Die Police darf nicht als Beruhigungsmittel dienen, während die Praxis unsicher bleibt.

Besonders sensibel ist die Verbindung zu Patientendaten und Rezeptdaten. Eine Apotheke arbeitet nicht mit beliebigen Kundendaten, sondern mit Gesundheitsinformationen, Medikationshistorien, Abrechnungsdaten und teilweise besonders schutzbedürftigen Umständen. Ein Datenabfluss ist deshalb nicht nur peinlich oder teuer. Er kann Vertrauen zerstören. Wer in einer Apotheke ein Rezept einlöst, erwartet Diskretion. Wenn dieser Schutz beschädigt wird, trifft das den Kern der Beziehung zwischen Patient und Betrieb. NIS-2 verschärft damit nicht nur technische Pflichten, sondern erinnert an eine alte pharmazeutische Verantwortung: Vertraulichkeit muss auch digital gesichert werden.

Die betriebliche Folgenfrage ist ebenso hart. Was passiert mit Kühlware, wenn technische Überwachung ausfällt? Wie wird bestellt, wenn digitale Bestellwege blockiert sind? Wie werden Rezepte bearbeitet, wenn Systeme nicht erreichbar sind? Wie wird mit Patienten kommuniziert, wenn Telefonie, Mail oder Homepage betroffen sind? Welche Aushänge, Notfalllisten, Papierprozesse oder Ausweichkontakte sind vorbereitet? Eine Apotheke, die sich erst während eines Angriffs diese Fragen stellt, verliert Handlungsspielraum. Eine Apotheke, die sie vorher beantwortet, bleibt auch unter Druck eher versorgungsfähig.

Cyberrisiko gehört deshalb neben Retax, Sachschaden, Rechtsschutz, Betriebsunterbrechung und Standortfragen auf die Inhaberagenda. Es ist keine reine Technikfrage. Es ist eine Frage der Handlungsfähigkeit. Die beste Firewall nützt wenig, wenn niemand weiß, wer im Ernstfall entscheidet. Das beste Backup bleibt schwach, wenn niemand seine Wiederherstellung getestet hat. Die beste Versicherung hilft nur begrenzt, wenn grobe Lücken in der Vorsorge bestehen. Entscheidend ist die Verbindung aus Organisation, Technik, Schulung, Vertrag und finanzieller Absicherung.

Für Apotheken entsteht daraus ein klarer Arbeitsauftrag. Erstens: Betroffenheit und Pflichten prüfen. Zweitens: kritische Prozesse und Systeme benennen. Drittens: Zugriffsschutz, Sicherungen und Dienstleistervereinbarungen kontrollieren. Viertens: Mitarbeitende regelmäßig sensibilisieren. Fünftens: Notfallabläufe so vorbereiten, dass der Betrieb nicht im ersten Schock stehenbleibt. Sechstens: Cyberversicherung nicht isoliert abschließen, sondern als Teil der gesamten Risikovorsorge einordnen. Diese Reihenfolge ist nicht bequem. Aber sie ist näher an der Wirklichkeit als die Hoffnung, dass ein Dienstleister oder eine Police das Problem allein löst.

Die Lage verlangt keine Panik. Sie verlangt Ernsthaftigkeit. Apotheken mussten immer schon besonders sorgsam arbeiten, weil Fehler unmittelbare Folgen für Menschen haben können. Diese Sorgfalt endet heute nicht mehr am Rezept, am Lager oder an der Beratung. Sie reicht in Passwörter, Server, Backups, Zugriffe, Meldungen und Verträge hinein. Eine Apotheke bleibt nur dann verlässlich erreichbar, wenn auch ihre digitale Grundlage verlässlich geführt wird. Genau dort wird IT-Sicherheit zur Chefsache.

An dieser Stelle fügt sich das Bild.

Die digitale Apotheke ist längst kein Zusatz zum eigentlichen Betrieb mehr. Sie ist Teil der Versorgung. Wenn ein Angriff Bestellwege blockiert, Rezeptdaten trifft oder Systeme verschlüsselt, steht nicht nur Technik still. Es geraten Abläufe unter Druck, die Patientinnen und Patienten im Alltag brauchen. Deshalb wird IT-Sicherheit für Apotheken zur Führungsaufgabe: Die Leitung muss wissen, welche Systeme kritisch sind, wer Zugriff hat, welche Sicherungen funktionieren und wie der Betrieb im Ernstfall weiterarbeiten kann.

Dies ist kein Schluss, der gelesen werden will – sondern eine Wirkung, die bleibt. NIS-2 erinnert Apotheken daran, dass Verlässlichkeit heute auch digital geführt werden muss. Ein Betrieb bleibt nur dann erreichbar, wenn Zugriffe, Backups, Dienstleister, Meldungen, Mitarbeitende und Versicherungsschutz zusammenpassen. Cyberversicherung wird damit nicht zur Ausrede für schwache Vorsorge, sondern zum Baustein einer Apotheke, die auch im Angriff handlungsfähig bleiben soll.

Journalistischer Kurzhinweis: Themenprioritäten und Bewertung orientieren sich an fachlichen Maßstäben und dokumentierten Prüfwegen, nicht an Vertriebs- oder Verkaufszielen. Die Redaktion berichtet täglich unabhängig über Apotheken-Nachrichten und ordnet Risiken, Finanzen, Recht und Strukturfragen für Apotheker ein. Diese Einordnung verbindet NIS-2, IT-Sicherheit, E-Rezept, Warenwirtschaft, Patientendaten, Notfallabläufe und Cyberversicherung zu einer Lageanalyse für Apothekenbetreiber.

Zurück zur Übersicht