Reicht ein einfaches VPN für eine Zweipraxis-Verbindung?

Für eine ruhige Fachpraxis mit wenigen gleichzeitigen Nutzern und ohne Bildgebung reicht ein site-to-site VPN über Glasfaser meist aus. Sobald regelmäßig Bilder übertragen werden oder mehr als acht Nutzer gleichzeitig auf den Hauptstandort zugreifen, empfehlen wir eine Bandbreitenanalyse, bevor Sie die Verbindung in Betrieb nehmen.

Was kostet ein LTE-Backup monatlich?

Businesstarife mit ausreichend Datenvolumen für einen Praxis-Backup kosten je nach Anbieter zwischen 30 und 80 Euro monatlich. Der Router mit automatischem Failover ist eine einmalige Investition. Das ist gemessen am Ausfall-Schaden bei einem mehrstündigen Praxisstillstand eine sehr überschaubare Versicherung.

Muss der Fernzugriff für Ärzte zwingend mit Zwei-Faktor abgesichert sein?

Ab §75b Klasse 2 ist Zwei-Faktor-Authentifizierung für Fernzugriffe auf das PVS Pflicht. Klasse 2 gilt ab sechs Mitarbeitenden mit ständigem PVS-Zugang. Die meisten Fachpraxen mit Mehrstandort-Betrieb fallen in diese Klasse.

Kann ich SD-WAN selbst einrichten?

SD-WAN-Appliances haben eine Konfigurationsoberfläche, die sich benutzerfreundlich anfühlt. Die eigentliche Komplexität steckt in der Policy-Konfiguration: Welcher Datenverkehr bekommt welche Priorität, wann schaltet das System auf die Backup-Leitung, wie werden Verbindungen überwacht. Fehler in diesen Einstellungen fallen oft erst im Fehlerfall auf.

Ist MPLS noch zeitgemäß?

Für Arztpraxen selten sinnvoll. MPLS war vor zehn Jahren die Standardlösung für dedizierte Standleitungen. Heute erreichen Glasfaser-VPN-Verbindungen mit guter QoS-Konfiguration vergleichbare Stabilität zu einem Bruchteil der Kosten. MPLS lohnt sich nur bei sehr hohem Datenvolumen oder sehr engen Latenz-Anforderungen, beides kommt in typischen Praxisverbünden selten vor.

Mehrstandort-Praxis vernetzen: VPN, SD-WAN, Redundanz

Aktualisiert am 12.05.2026Lesezeit 4 Min.

Die kurze Antwort

Wer zwei oder mehr Praxisstandorte betreibt, braucht eine Netzwerkverbindung, die mehr kann als ein einfacher DSL-Anschluss. Drei Technologien stehen zur Wahl: VPN über das bestehende Internet (günstig, bewährt, abhängig von Provider-Qualität), SD-WAN mit aktiver Leitungssteuerung (teurer, aber stabiler bei mehreren parallelen Verbindungen), und MPLS als dedizierte Standleitung (teuer, stabil, für Arztpraxen selten notwendig). Redundanz ist keine Option, sondern Pflicht: eine ausgefallene Leitung darf den klinischen Betrieb nicht stoppen. LTE als automatischer Fallback ist die kostengünstigste Lösung. Bandbreite richtet sich nach dem PVS-Datenvolumen, der Zahl gleichzeitiger Nutzer und dem Einsatz von Bildgebung oder Video. Als Orientierung: ab zehn gleichzeitigen Nutzern an einem Standort sind 50 Mbit/s symmetrisch Minimum. Fernzugriff für Ärzte muss mit Zwei-Faktor-Authentifizierung abgesichert sein, das ist seit der KBV-Richtlinie §75b Klasse 2 keine Kür mehr.

Wann sich Standort-Vernetzung lohnt

Die Frage stellt sich meist nicht theoretisch. Sie entsteht, wenn eine zweite Praxis dazukommt, wenn ein Standort zu einer Filiale wird, oder wenn Ärzte beginnen, an beiden Standorten zu arbeiten und die Patientenakten nicht doppelt pflegen wollen.

Ein gemeinsames Netz lohnt sich immer dann, wenn mindestens eine dieser Bedingungen gilt: Ärzte wechseln zwischen Standorten. Patientendaten werden an beiden Standorten benötigt. Ein gemeinsames PVS soll an mehreren Orten laufen. Abrechnung oder Verwaltung sind zentralisiert.

Was sich nicht lohnt: eine Verbindung einrichten, ohne vorher zu klären, welches PVS wie mit mehreren Standorten umgeht. Nicht jedes PVS ist für Mehrstandort-Betrieb konzipiert. Turbomed unterstützt es, iSynet auch, bei Medistar gibt es Varianten. Wer eine Verbindung in Betrieb nimmt, ohne das PVS-Verhalten zu kennen, erlebt Überraschungen bei der ersten gemeinsamen Abrechnung.

VPN, SD-WAN und MPLS im Vergleich

VPN (Site-to-Site)	SD-WAN	MPLS (Standleitung)
Pro Günstigste Lösung, läuft über vorhandene Internet-Anschlüsse Bewährt, von allen gängigen Praxis-Routern unterstützt Verschlüsselung nach aktuellem Standard (IPsec, WireGuard) Einfach skalierbar auf weitere Standorte	Pro Aktive Steuerung: kritischer Datenverkehr bekommt Vorrang Automatisches Failover zwischen mehreren Leitungen Gut geeignet für Praxen mit Bildgebung oder Videokonsultation Zentrale Verwaltung aller Standorte aus einer Oberfläche	Pro Dedizierte Bandbreite, nicht geteilt mit anderem Datenverkehr Garantierte Latenz durch Service Level Agreement Höchste Stabilität für zeitkritische Anwendungen
Contra Qualität abhängig vom Internet-Provider an beiden Standorten Kein garantiertes Latenz- oder Bandbreiten-Niveau Probleme bei schlechter DSL-Qualität an einem Standort Keine automatische Lastverteilung zwischen mehreren Leitungen	Contra Höhere Hardware- und Lizenzkosten Komplexere Konfiguration, braucht IT-Betreuung Überdimensioniert für kleine Zweipraxis-Verbünde	Contra Deutlich teurer als VPN oder SD-WAN Lange Bereitstellungszeiten (oft 6 bis 12 Wochen) Für typische Praxisverbünde fast immer überdimensioniert Selten noch neue Angebote von Providern

Für die meisten Praxisverbünde mit zwei bis vier Standorten ist ein gut konfiguriertes site-to-site VPN über Glasfaser die richtige Wahl. SD-WAN lohnt sich, sobald Bilder oder Video regelmäßig übertragen werden oder mehr als zwei Leitungen koordiniert werden müssen.

Redundanz: Internet und Hardware

Eine Praxis-Vernetzung ohne Redundanzplanung ist eine Vernetzung mit einem geplanten Ausfalltermin.

Internet-Redundanz: Jeder Standort braucht mindestens zwei Wege ins Netz. Die erste Wahl ist Glasfaser, die zweite ist LTE. Ein Router mit Dual-WAN-Unterstützung überwacht beide Verbindungen dauerhaft und schaltet innerhalb von 30 bis 60 Sekunden auf LTE um, wenn die Glasfaser ausfällt. LTE-Backup erreicht in städtischen Gebieten 50 bis 150 Mbit/s, für den Notbetrieb ausreichend.

Hardware-Redundanz: Router und Switches an zentralen Standorten sollten redundant ausgelegt oder zumindest als Ersatzgerät vorrätig sein. Ein Switch, der ausfällt und dessen Ersatz eine Woche Lieferzeit hat, kostet mehr als eine vorgehaltene Ersatz-Hardware.

VPN-Redundanz: Bei site-to-site VPN sollte das Backup-Gerät am Hauptstandort automatisch einspringen, wenn der primäre VPN-Endpunkt ausfällt. Das konfigurieren wir als Hot-Standby: Gerät B übernimmt sofort, ohne manuelle Eingriffe.

Fernzugriff sicher gestalten

Ärzte, die von zuhause oder zwischen Standorten auf das PVS zugreifen, sind eine legitime Anforderung. Aber ein schlecht gesicherter Fernzugriff ist einer der häufigsten Einstiegspunkte für Angreifer in Praxisnetze.

VPN-Client statt offene Ports
Der Zugriff auf das PVS läuft ausschließlich über einen VPN-Client, nicht über offene RDP-Ports ins Internet. Offene RDP-Ports werden von automatisierten Scannern weltweit innerhalb von Minuten gefunden.
Zwei-Faktor-Authentifizierung einrichten
Jeder Fernzugriff auf das VPN benötigt neben Passwort einen zweiten Faktor, entweder ein TOTP-App-Code oder ein Hardware-Token. Das ist ab §75b Klasse 2 Pflicht.
Gerätezertifikat oder Geräteliste
Nur vorab registrierte Geräte (Laptops, Tablets) erhalten eine VPN-Verbindung. Ein gestohlenes Passwort allein reicht dann nicht aus.
Zugriffsprotokoll führen
Jeder Fernzugriff wird protokolliert: wer, wann, von welcher IP. Das Protokoll liegt 90 Tage vor und ist bei einer §75b-Prüfung auf Anfrage vorzulegen.

Quelle: KBV IT-Sicherheitsrichtlinie (§75b SGB V)KBV IT-Sicherheitsrichtlinie §75b: Anforderungen an Fernzugriff und Authentifizierung.

Typische Bandbreiten-Anforderungen

Bandbreite ist keine Konstante. Was ausreicht, hängt davon ab, wie viele Nutzer gleichzeitig aktiv sind und welche Daten übertragen werden.

Kostenrahmen, Orientierungswerte

Praxis	Setup einmalig	Pauschale monatlich
Kleine Außenstelle VDSL oder schwaches Glasfaser reicht als Primärleitung	2 bis 4 Nutzer, kein Bild, PVS-Daten	25 Mbit/s symmetrisch
Mittlerer Standort Glasfaser empfohlen, LTE als Backup	5 bis 15 Nutzer, gelegentlich Bildgebung	50 bis 100 Mbit/s symmetrisch
Großer Standort oder Hauptsitz MVZ Glasfaser Pflicht, SD-WAN prüfen	mehr als 15 Nutzer, regelmäßig Bildgebung, Videokonferenz	200 Mbit/s oder mehr symmetrisch
Dialysezentrum oder OP-Zentrum QoS-Konfiguration für Gerätedaten-Traffic notwendig	Gerätedaten-Echtzeitübertragung, Monitoring	Je nach Gerätezahl, mindestens 100 Mbit/s

Orientierungswerte. Die tatsächliche Pauschale berechnet ITCC nach Infrastrukturanalyse.

Die Werte sind Orientierungswerte. Die tatsächlich benötigte Bandbreite messen wir im Rahmen der Standort-Analyse mit einem Netzwerk-Monitor, der den realen Datenverkehr über eine bis zwei Wochen aufzeichnet. Das Ergebnis ist belastbarer als jede Faustformel.

Mehrstandort-Praxis vernetzen: VPN, SD-WAN, Redundanz

Wann sich Standort-Vernetzung lohnt

VPN, SD-WAN und MPLS im Vergleich

Redundanz: Internet und Hardware

Fernzugriff sicher gestalten

Typische Bandbreiten-Anforderungen

Häufige Fragen

Der nächste Schritt ist ein 30-Minuten-Gespräch.

Wann sich Standort-Vernetzung lohnt

VPN, SD-WAN und MPLS im Vergleich

Redundanz: Internet und Hardware

Fernzugriff sicher gestalten

Typische Bandbreiten-Anforderungen

Häufige Fragen

Reicht ein einfaches VPN für eine Zweipraxis-Verbindung?

Was kostet ein LTE-Backup monatlich?

Muss der Fernzugriff für Ärzte zwingend mit Zwei-Faktor abgesichert sein?

Kann ich SD-WAN selbst einrichten?

Ist MPLS noch zeitgemäß?

Verwandte Themen

Der nächste Schritt ist ein 30-Minuten-Gespräch.