Digitale Datenflut im Gesundheitswesen

Die Digitalisierung im Gesundheitswesen nimmt weiter zu, verspricht mehr Effizienz im Arbeitsalltag und bei der Kommunikation zwischen Einrichtungen und Patienten.

Jedoch birgt diese Entwicklung auch die Gefahr, dass im Fall eines erfolgreichen Hackerangriffs der gesamte digitale Betrieb und wesentliche operative Prozesse der medizinischen Einrichtung stark beeinträchtigt werden.

Insbesondere Krankenhäuser stehen als kritische Infrastruktur im Visier von Angreifern, ob als Opfer von Cybersabotage im Auftrag feindlicher Staaten oder zur Erpressung lukrativer Lösegelder. Wenn Menschenleben bedroht sind, setzen Cyberkriminelle darauf, dass die Opfer eher bereit sind, Lösegeld zu zahlen.

Darüber hinaus verfügen medizinische Einrichtungen über viele sensible, personenbezogene Daten, die von Angreifern verkauft und beispielsweise für Identitätsdiebstahl, weitere Erpressungsversuche und andere kriminelle Zwecke missbraucht werden können. Hinzu kommt, dass bei vielen Gesundheitseinrichtungen der Investitionsschwerpunkt traditionell auf der medizinischen Versorgung und wegen enger Budgets weniger auf der IT-Sicherheit lag, was den Sektor gegenwärtig noch verletzlicher für Angriffe macht als andere Branchen.

Dabei sind für Cyberkriminelle Phishing und gestohlene Zugangsdaten die häufigste Einstiegsmethode, da sie hierdurch oft direkten Zugriff auf kritische Anwendungen erhalten. Zudem führen ungeprüfte Dateien und Datenströme aus Praxen, Laboren oder von Dienstleistern regelmäßig zu Infektionen, wenn sie ohne Sicherheitskontrollen in Arbeitsabläufe integriert werden. Auch veraltete und nicht segmentierte Medizingeräte dienen Hackern häufig als Türöffner, da sie selten gepatcht werden und somit einfache Angriffspunkte bieten.

Jüngste Sicherheitsvorfälle im Gesundheitswesen zeigen, wie weitreichend deren Folgen sein können. So folgte im Februar 2025 auf einen erfolgreichen Cybersabotageakt auf die IT-Infrastruktur der LuP-Kliniken in Ludwigslust und Hagenow, bei dem personenbezogene Daten entwendet wurden, eine Lösegeldforderung in Millionenhöhe. Wenige Monate später, im Juli 2025, führte ein Hackerangriff auf den Krankenhaus-Konzern Ameos zu einem Komplettausfall des E-Mail-Verkehrs in verschiedenen Kliniken und legte die digitale Kommunikation mit Hausärzten, Apotheken, Pflegediensten sowie der Röntgen-Abteilungen und Labore lahm.  Der Angriff beeinträchtigte auch den Rettungsdienst. So konnte eine Ameos-Klinik im Harz nicht mehr angefahren werden, da wegen der gestörten Kommunikation mit der Einsatz-App unklar war, ob ausreichend Kapazitäten für schwere Fälle vorlagen. Darüber hinaus erbeuteten die Angreifer personenbezogene Daten von Patienten und Mitarbeitern.

Die Folgen eines erfolgreichen Angriffs im Gesundheitswesen können also weitreichend sein: verschobene und abgesagte Operationen, kein zeitnaher Zugriff auf Medikamente oder die Umleitung von Krankenfahrten können sich im schlimmsten Fall fatal auf Patienten auswirken. Zusätzlich kann die Isolation der IT-Infrastruktur aufgrund infizierter Systeme drastische finanzielle Folgen haben. Da Krankenkassen in diesem Fall jegliche digitale Verbindung mit den betroffenen Einrichtungen abbrechen, können diese keine Behandlungskosten mehr abrechnen, was im schlimmsten Fall zur Insolvenz führen kann.

KIM und ePA: Herausforderungen der Digitalisierung

Um die Vertraulichkeit sensibler Gesundheitsdaten zu gewährleisten, setzen sowohl das geschützte E-Mail-Verfahren Kommunikation im Medizinwesen (KIM) als auch die elektronische Patientenakte (ePA), die nun flächendeckend in Deutschland eingeführt wird, auf eine Ende-zu-Ende-Verschlüsselung. Diese schützt die Inhalte auf dem gesamten Übertragungsweg – vom Sender bis zum Empfänger – und ist aus Datenschutzsicht zwingend erforderlich.

Jedoch führt diese Sicherheitsvorkehrung an anderer Stelle zu einem neuen Sicherheitsproblem. Da die Inhalte bei der Ende-zu-Ende-Verschlüsselung erst im Zielsystem entschlüsselt werden, ist es nicht möglich, die übertragenen Dateien vorab auf Schadcode zu prüfen. Über das KIM-Verfahren können Anwender beliebige Dateientypen hochladen, wodurch das Risiko bösartiger Dateien steigt. Die ePA wandelt die Dokumente zwar in PDF/A um, mindert das Risiko aber nur teilweise, da auch dieses Format anfällig für Schadsoftware ist.

Während die Menge digitaler Daten im Gesundheitswesen wächst, reichen die Sicherheitsbudgets bisher nicht aus, um das erhöhte Risiko zu decken. Verantwortliche müssen sich deshalb auf besonders verletzbare Angriffsflächen wie bösartige Dateien konzentrieren, um die digitale Zusammenarbeit und den Datenfluss zwischen Patienten, Ärzten, Pflegeeinrichtungen, Krankenhäusern und Krankenkassen angemessen abzusichern.

Schutzmaßnahmen für das Gesundheitswesen

Aufgrund der erläuterten Ende-zu-Ende-Verschlüsselung durch das KIM-Verfahren gelangen Dateien ungeprüft direkt bis in das Zielsystem medizinischer Einrichtungen, wie etwa das zentrale Krankenhausinformationssystem (KIS) von Kliniken. Daher ist es entscheidend, eine tiefgehende Prüfung aller Dateien durchzuführen, bevor sie durch das Fachpersonal geöffnet werden.

Malware kann eine einzelne Antiviren-Engine (AV) leicht umgehen, da verschiedene Engines auf unterschiedliche Kategorien spezialisiert sind und bestimmte Arten von Bedrohungen nicht erkennen. Im Gegensatz zu herkömmlichem Single-Engine-Scanning kann eine Multiscanning-Lösung mehr als 30 AV-Engines kombinieren, um sowohl bekannte als auch neue Bedrohungen zu entdecken. Da jede Engine verschiedene Stärken und Schwächen hat und unterschiedliche, proprietäre Algorithmen verwendet, erhöht die Kombination mehrerer Engines die Erkennungsrate erheblich. Zudem besteht der Vorteil, dass Multiscanning auch die raschere Entdeckung neuester Bedrohungen ermöglicht, da verschiedene Anbieter unterschiedlich schnell in der Erkennung sind.

Als weitere Sicherheitsschicht kann eine emulative Sandbox verdächtige Dateien in Echtzeit ausführen und beobachten, um gängige Verschleierungstechniken polymorpher Malware zu enttarnen sowie noch unbekannte Zero-Day-Malware zu erkennen, die statische Schutzmaßnahmen umgeht. Ein sicheres File-Transfer-Gateway schützt zudem den Import externer Daten wie DICOM- und Laborbefunddaten, bevor diese in klinische Systeme gelangen.

Ein starkes Identitäts- und Zugriffsmanagement mit MFA (Multi-Faktor Authentifizierung) verhindert darüber hinaus, dass Unbefugte kritische Systeme wie KIS oder PACS missbrauchen. EDR und NDR (Endpoint/Network Detection and Response) überwachen Endpunkte sowie den Netzwerkverkehr kontinuierlich auf verdächtige Aktivitäten und helfen so, Angriffe schnell zu erkennen. Zudem ist eine konsequente Netzwerksegmentierung mit Zero Trust wichtig, um zu verhindern, dass sich Angreifer zwischen IT und Medizintechnik bewegen können.

Eine weitere wichtige Säule bleiben Mitarbeiterschulungen. Regelmäßige Trainings sind unabdingbar, damit Fachkräfte über aktuelle und typische Bedrohungen, insbesondere hinsichtlich Social Engineering, aufgeklärt sind und wissen, wie sie sich im Notfall verhalten sollten. Um dieses Wissen zu festigen und interne Schwachstellen zu erkennen, sind zudem Phishing-Simulationstrainings sinnvoll.

Der zunehmende Digitalisierungsgrad im Gesundheitswesen birgt großes Potenzial, stellt jedoch auch eine Herausforderung für den Schutz medizinischer Daten und kritischer operativer Prozesse dar. Vor dem Hintergrund enger Budgets und steigender Angriffsflut müssen deshalb besonders anfällige Angriffsflächen gehärtet werden, um Einrichtungen und sensible Patientendaten adäquat zu schützen.