Netzwerk für die Arztpraxis: KBV-Anforderungen, TI-Anschluss und Verkabelung (2026)

Wenn wir in eine Praxis kommen, die umziehen, umbauen oder digitalisieren will, ist das Netzwerk meistens das Thema, das am schnellsten abgeräumt wird. Patienten merken es nicht, die Mitarbeiter merken es als „der Computer lädt heute wieder so langsam", und die Geschäftsführerin merkt es erst, wenn die KV anruft. Dabei ist das Netzwerk in einer Arztpraxis 2026 kein reines IT-Thema mehr, sondern eine regulierte Infrastruktur. KBV, TI, gematik, DSGVO, alle haben ihre Anforderungen, und keine davon ist optional.

Warum das Arztpraxis-Netzwerk mehr ist als WLAN

Eine typische Arztpraxis in Bonn oder Köln hat 2026 zwischen drei und zehn Netzwerk-Welten, die sich nicht mischen dürfen:

• Das Praxisnetz mit der Praxisverwaltungssoftware (PVS), auf dem die Patientenakten laufen
• Der TI-Anschluss für eRezept, eAU, VSDM und KIM
• Das Patientennetz für Wartezimmer-WLAN oder Anmeldungs-Tablets
• Das Gästenetz, falls Patienten Internet bekommen sollen
• Die medizinischen Geräte (Röntgen-PACS, Labor-Interfaces, Ultraschall mit DICOM)
• Das Überwachungsnetz für Videoüberwachung und Zutrittskontrolle

Wer das alles in ein flaches Netz wirft, verletzt mindestens die KBV-Richtlinie und riskiert bei einer DSGVO-Prüfung echte Bußgelder. Der Leitfaden WLAN in der Arztpraxis zeigt, warum die Trennung von Patientendaten und Gäste-WLAN nicht verhandelbar ist. Hier geht es um die Ebene darunter: die physische und logische Netzstruktur.

Was die KBV vom Netzwerk fordert

Die KBV-IT-Sicherheitsrichtlinie nach § 75b SGB V ist seit dem 1. April 2021 bindend. Sie unterscheidet drei Praxisgrößen (bis 5, 6 bis 20, über 20 Personen) und verlangt je nach Stufe mehr oder weniger. Die wichtigsten netzwerkrelevanten Punkte, die wir in jeder Installation umsetzen:

1. Netzwerksegmentierung. Patientendaten, TI und Gästeverkehr müssen getrennt sein, logisch über VLAN oder physisch. Wir nutzen VLAN, weil physische Trennung bei vier Netzen in einer Praxis praktisch nicht umsetzbar ist.
2. Firewall am Internetübergang. Keine reinen Router-NAT-Lösungen mehr. Eine Sophos XGS 107, Fortinet FortiGate 40F oder pfSense-Hardware gehört zwischen Provider-Router und Praxisnetz.
3. Updates und Patchmanagement. Switches, Firewalls und Access Points brauchen einen dokumentierten Update-Plan. Wir liefern das als Wartungsvertrag mit.
4. Protokollierung. Wer sich wann im Netz angemeldet hat, muss nachvollziehbar sein. Managed Switches und ein RADIUS-Server reichen für die meisten Praxen.
5. Backups. Nicht im Netzwerk-Scope direkt, aber die Backup-Infrastruktur muss ebenfalls segmentiert sein, damit ein Ransomware-Befall im Praxisnetz nicht auf die Sicherung überschwappt.

Honorarkürzungen von bis zu 1 % sind seit 2023 möglich, wenn eine Praxis die Richtlinie nicht umsetzt. Die KVen prüfen stichprobenartig. Bei einer Bonner Gemeinschaftspraxis haben wir Anfang 2026 eine komplette Neuverkabelung samt VLAN-Struktur gemacht, weil die Praxisinhaber eine Mahnung der KVWL bekommen hatten. Das Ganze kostete weniger als die drohende Honorarkürzung eines Quartals.

TI-Anschluss: Konnektor, VPN, Zertifikate

Die Telematikinfrastruktur ist die digitale Autobahn des deutschen Gesundheitswesens. Jede vertragsärztliche Praxis muss seit 2019 dran sein, und die Anforderungen wachsen jedes Jahr. Was im Netzwerk konkret passiert:

Der Konnektor ist die Hardware in der Praxis, die einen verschlüsselten VPN-Tunnel in die TI aufbaut. Er sitzt zwischen Provider-Router und Praxisnetz, bekommt eigene IP-Adressen und wird über SMC-B (Security Module Card Betriebsstätte) identifiziert. Jede Praxis hat genau eine SMC-B-Karte, sie ist quasi der Ausweis der Betriebsstätte.

Die Ärzte selbst authentifizieren sich über den Heilberufsausweis (HBA), eine persönliche Chipkarte. Damit werden eRezepte signiert, eAUs ausgestellt und KIM-Nachrichten verschlüsselt.

Netzwerktechnisch kritisch: Der Konnektor gehört in ein eigenes VLAN. Er darf kein Rückverkehr ins offene Internet machen, aber er muss ins Praxisnetz erreichbar sein, damit die PVS ihn findet. Wir konfigurieren das typischerweise als:

• VLAN 10 Praxisnetz (PVS, Workstations, Drucker)
• VLAN 20 TI (Konnektor, SMC-B-Terminal)
• VLAN 30 Medizinische Geräte (Röntgen, Labor, DICOM)
• VLAN 90 Gäste-WLAN (Patienten, isoliert)

Wichtig für 2026: Die Konnektoren der ersten Generation laufen wegen ablaufender Sicherheitszertifikate aus. Der Umstieg auf TI 2.0 mit cloudbasiertem TI-Gateway ist in vollem Gange. Praxen, die jetzt neu bauen, sollten direkt die neue Variante einplanen, sonst bauen sie für zwei Jahre.

Strukturierte Verkabelung: Cat6a, Leerrohre, Patchfeld

Für eine Praxis empfehlen wir seit Jahren konsequent Cat6a. Die Gründe haben wir im Detail im Cat6a vs Cat7-Vergleich erklärt: Cat6a reicht für 10 Gbit/s auf 100 Meter, das ist genug für jedes sinnvolle Praxis-Szenario inklusive Labor-Datentransfers. Cat7 hat ein Stecker-Problem, das im Alltag nervt.

Was in jeder Praxisverkabelung drinsein muss:

• Mindestens zwei Dosen pro Raum, auch wenn heute nur ein Rechner geplant ist. Drucker, zweites Terminal, Laborinterface kommen später und Nachrüsten kostet das Fünffache.
• Leerrohre statt Unterputz ohne Rohr, sonst ist jede Erweiterung ein Aufbruch. 32-mm-Leerrohr kostet 3 € pro Meter Material, erspart Ihnen zehn Jahre später drei Wochen Trockenbau.
• Patchschrank im Serverraum oder einem abschließbaren Schrank. Keine Patches im Kopierzimmer, das ist ein DSGVO-Thema.
• Dokumentation jeder Dose mit Bezeichnung und Messprotokoll. Wir messen jede Strecke mit einem Fluke DSX auf Cat6a-Norm. Das Protokoll geht an die Praxis, wenn wir fertig sind.

Für eine typische Praxis mit sechs Behandlungsräumen landen wir bei 40 bis 60 Dosen. Der Materialwert liegt bei 800 bis 1.500 €, Installation und Messung kommen dazu. Grundlegende Kostenbeispiele für Verkabelung finden Sie im Artikel zu Netzwerkverkabelung-Kosten.

Switches und VLAN-Trennung in der Praxis

Die Switches sind der Punkt, an dem viele Praxen sparen und es später bereuen. Ein ungemanagter 50-€-Switch aus dem Elektronikmarkt kann kein VLAN. Damit scheitert schon Punkt 1 der KBV-Richtlinie.

Was wir in Arztpraxen 2026 typisch verbauen:

• Ubiquiti USW-Pro-24-PoE (24 Ports, PoE++, rund 600 €). Unser Standard für kleine bis mittlere Praxen. Verwaltung über UniFi-Controller, kein Lizenzabo.
• Aruba Instant On 1930-24G-PoE (24 Ports, rund 700 €). Solide, cloudverwaltet, zwei Jahre Instant-On-Lizenz inklusive.
• ZyXEL GS1920-24HPv2 (24 Ports PoE+, rund 450 €). Günstigere Alternative, ältere Cloud-Oberfläche, funktioniert aber stabil.
• HPE Aruba 6100 oder Cisco Catalyst 1300, falls Compliance-Vorgaben Enterprise-Hardware verlangen. Rechnen Sie mit 1.200 bis 2.500 € pro Switch.

Dazu kommt mindestens ein PoE-Budget, damit Access Points, Kameras und IP-Telefone ohne Extra-Netzteile laufen. Wie PoE funktioniert und was der Budget-Wert bedeutet, steht im separaten Artikel.

Eine Firewall gehört an den Internetübergang. Wir verbauen in Praxen überwiegend Sophos XGS 107 (rund 900 €) oder Fortinet FortiGate 40F (rund 700 €). Beide können VLAN-Routing, haben Deep Packet Inspection und kommen mit einer ordentlichen Log-Oberfläche für die KBV-Prüfung.

Was kostet ein Arztpraxis-Netzwerk?

Drei reale Beispiele aus NRW aus den letzten zwölf Monaten:

Hausarztpraxis in Bonn-Bad Godesberg, 5 Räume, 3 Ärzte, 6 MFA. Cat6a-Neuverkabelung im Altbau, 28 Dosen, Patchschrank 9HE, Sophos XGS 107, ein Ubiquiti USW-Pro-24, zwei UniFi-APs, VLAN-Konfiguration, KBV-Dokumentation. Gesamt: 6.800 € (Material 3.200 €, Installation 3.200 €, Planung und Doku 400 €). Plus laufende TI-Kosten 90 € pro Monat über den bestehenden Anbieter.

Zahnarztpraxis in Köln-Südstadt, 8 Behandlungsräume, Labor, 2 Praxischefs. Bestehende Cat5e-Verkabelung war teils unbrauchbar (eine Messung pro Strecke), partielle Neuverkabelung, neuer Patchschrank 12HE, FortiGate 40F, zwei 24-Port-Switches (einer nur für DICOM-Geräte), drei UniFi-U6-Pro-APs. Gesamt: 12.400 € inklusive der Migration der PVS ohne Patientenausfall (nachts und am Wochenende).

Gemeinschaftspraxis in Düsseldorf-Pempelfort, 14 Räume, 5 Ärzte, 14 MFA, MVZ-Struktur. Komplette Neuinstallation im Zuge eines Umbaus, 62 Dosen, 19"-Serverschrank 18HE, HPE-Switch-Stack (Redundanz), zwei Sophos-Firewalls im HA-Cluster, vier UniFi-U6-Enterprise, RADIUS-Server, strukturierte Dokumentation für das Qualitätsmanagement. Gesamt: 24.800 € plus Wartungsvertrag 180 € pro Monat.

Die Spannbreite ist groß, weil die Anforderungen es sind. Für eine Einzelpraxis mit 5 bis 8 Räumen planen Sie 3.500 bis 8.000 € als Korridor, für eine Gemeinschaftspraxis 10.000 bis 25.000 €. Kontaktieren Sie uns für ein konkretes Angebot, wir messen den Bestand zuerst und planen dann.

Häufige Fehler, die wir in Praxen sehen

Nach acht Jahren Praxis-Installationen immer wieder dieselben Muster:

• TI-Konnektor im Patientennetz. Passiert bei Selbst-Installationen, ist ein klarer Verstoß gegen die KBV-Richtlinie und ein DSGVO-Risiko.
• Consumer-Router als einzige Firewall. Die FRITZ!Box hat keine Deep Packet Inspection, kann keine VLANs vernünftig routen und keine Protokollierung, die vor der KV standhält.
• WLAN-Passwort steht auf einem Post-it am Empfang. Haben wir 2025 in einer Praxis in Köln-Ehrenfeld gesehen. Dasselbe WLAN war für Patienten UND Praxisnetz, weil keiner die Trennung eingerichtet hatte.
• Patchfeld im Kopierzimmer. Kein Schloss, für jede MFA zugänglich, DSGVO-technisch hochproblematisch. Gehört in einen abschließbaren Schrank oder einen separaten Raum.
• Keine Dokumentation. Wenn die KV prüft oder der Datenschutzbeauftragte anruft, muss in 30 Minuten klar sein, welche Dose welches Gerät versorgt und welches VLAN wo endet. Ohne Plan wird es teuer.

Ein letzter Punkt, der oft unterschätzt wird: die Zutrittskontrolle zum Serverraum und Behandlungsräumen gehört zum gleichen Compliance-Paket wie das Netzwerk selbst. Beides wird bei einer ernsthaften Prüfung gemeinsam angeschaut.

Wir planen und installieren Netzwerktechnik und WLAN-Infrastruktur für Arztpraxen, Zahnarztpraxen, Physiotherapien und MVZ in Bonn, Köln und Düsseldorf. Wenn Sie neu bauen, umziehen oder eine bestehende Praxis KBV-konform nachrüsten müssen, sprechen Sie uns an. Die Erstberatung vor Ort ist kostenlos und unverbindlich. Im Zweifel einen Datenschutzbeauftragten hinzuziehen.

Häufige Fragen

Ist die KBV-IT-Sicherheitsrichtlinie für jede Praxis Pflicht?

Ja. Seit dem 1. April 2021 ist die Richtlinie nach § 75b SGB V bindend für alle Vertragsärzte und Vertragspsychotherapeuten. Nichtumsetzung kann zu Honorarkürzungen von bis zu 1 % führen, die Krankenkassen prüfen zunehmend. Für Privatpraxen ohne KV-Zulassung gilt sie nicht, aber die DSGVO fordert faktisch dieselben Maßnahmen.

Brauche ich für die TI einen eigenen Internetanschluss?

Nein. Der TI-Konnektor baut über den bestehenden Internetanschluss einen separaten verschlüsselten VPN-Tunnel zur Telematikinfrastruktur auf. Wichtig ist, dass der Konnektor in einem eigenen VLAN hängt, nicht im Patienten- oder Gästenetz. Wir trennen das in jeder Praxisinstallation sauber.

Was kostet ein komplettes Praxis-Netzwerk 2026?

Für eine Einzelpraxis mit 5 bis 8 Räumen liegen Sie bei 3.500 bis 8.000 € für Verkabelung, Switches, Firewall und TI-Integration (ohne Konnektor-Miete). Eine Gemeinschaftspraxis mit 15 Räumen kostet 10.000 bis 20.000 €. Dazu kommen laufende TI-Kosten von 80 bis 140 € pro Monat.

Muss der Konnektor regelmäßig getauscht werden?

Ja. Konnektoren der ersten Generation (eGK-Modell) laufen 2025 und 2026 aus, weil ihre Sicherheitszertifikate ablaufen. Ab 2026 läuft der Umstieg auf den sogenannten TI-Gateway (TI 2.0), der cloudbasiert arbeitet. Praxen sollten den Wechsel mit ihrem TI-Anbieter planen, nicht abwarten, bis die KV anruft.

Kann ich alte Patches und Kabel weiter nutzen?

Wenn die bestehende Verkabelung Cat5e oder besser ist und sauber installiert wurde, ja. In Altbauten sehen wir aber regelmäßig verdrillte Consumer-Kabel oder defekte Dosen. Eine Vor-Ort-Messung klärt das in 30 Minuten. Lieber einen Tag Messtechnik als zwei Wochen Fehlersuche, wenn die TI streikt. Grundlagen dazu stehen im Leitfaden Netzwerktechnik für Unternehmen.