Anspruch vs. Technikstau

Cybersicherheit im Gesundheitswesen

Aufgrund sensibler Patientendaten, wichtiger Forschungsergebnisse und ihrer kritischen Dienstleistungen, sind Krankenhäuser und Gesundheitseinrichtungen ein attraktives Ziel für Cyberkriminelle.

Jüngste Analysen zur Cybersicherheitslage im Gesundheitswesen, etwa die Studie des Hasso-Plattner-Instituts „Alarmsignal Cybersicherheit“, zeichnen ein Bild einer sich zuspitzenden Bedrohungslage.

Anzeige

Allein in Deutschland stieg laut HPI-Studie die Zahl erfolgreicher Angriffe auf Krankenhäuser zwischen 2020 und 2024 um 74 Prozent. Auch 2025 setzt sich dieser Trend fort: Laut KonBriefing waren bereits Kliniken in Ludwigslust und Hagenow, ein Medizinprodukteanbieter (Februar), der Offenbacher Apothekerverband (April) sowie die Ärztekammer Dresden (Mai) betroffen. Cyberattacken gefährden nicht nur Finanzen und Reputation, sondern können lebenswichtige Systeme lahmlegen. Ein IT-Ausfall infolge einer Cyberattacke kann im Extremfall Leben kosten – eine schmerzhafte Realität, auch in Deutschland.

Hinzu kommt: Mit dem Start der elektronischen Patientenakte für alle gesetzlich Versicherten in Deutschland stellt sich auch die Frage nach dem Schutz der Vertraulichkeit sensibler Gesundheitsdaten mit neuer Dringlichkeit. Neben bekannten Bedrohungen wie Ransomware und Datendiebstahl gewinnen zunehmend komplexe Angriffe auf vernetzte medizinische Geräte (IoMT) sowie die Ausnutzung menschlicher Schwachstellen an Bedeutung. Dies gilt insbesondere vor dem Hintergrund verstärkter Aktivitäten staatlich unterstützter Akteure in kritischen Infrastrukturen.

Regelungen und Realität

Mit dem im Oktober 2020 verabschiedeten Krankenhauszukunftsgesetz wollte die damalige Bundesregierung finanzielle Mittel bereitstellen, um Digitalisierungsprojekte im Gesundheitswesen voranzutreiben. Dies hat in Teilen zu Verbesserungen geführt – nicht jedoch im Bereich Cybersicherheit: Noch immer sind veraltete Hard- und Software aufgrund von Zertifizierungsauflagen weit verbreitet. Die IT- und Netzinfrastruktur wird in Silos abgesichert, mit OT-Protokollen gesteuerte Gebäudemanagementsysteme sind unzureichend geschützt. Im Übrigen wird menschliches Versagen – eines der größten Einfallstore für Cyberangriffe – stark unterschätzt. Unter solchen Bedingungen ist die Anfälligkeit der Branche nahezu programmiert.

Anzeige

Angesichts der wachsenden Komplexität und Dynamik der Bedrohungslage ist ein umfassender, proaktiver Sicherheitsansatz unerlässlich. Dieser muss über klassische Perimeterverteidigung hinausgehen und beispielsweise eine konsequente Netzwerksegmentierung zur Begrenzung lateraler Bewegungen von Angreifern, strenge Zugriffskontrollen nach dem Zero-Trust-Prinzip, den Einsatz von VPN-Infrastrukturen und Multi-Faktor-Authentifizierung sowie klare Sicherheitsrichtlinien im Umgang mit sensiblen Daten und veralteter Technik umfassen.

Essenziell sind obendrein Mechanismen zur frühzeitigen Erkennung (Threat-Detection) und zur schnellen Reaktion auf Sicherheitsvorfälle (Incident-Response). Angesichts der zunehmenden Vernetzung medizinischer Geräte sind auch spezifische Schutzmaßnahmen für diese Systeme erforderlich – insbesondere angesichts ihrer oftmals hohen Obsoleszenz. Und nicht zuletzt sollten kontinuierliche Schulungen und Sensibilisierungsmaßnahmen für das gesamte Personal auf der Agenda stehen.

Strategische Weichenstellungen

Ein absolut zentraler Pfeiler einer strategischen Neuausrichtung im Sinne höherer Cybersicherheit ist die konsequente Etablierung und Instandhaltung einer umfassenden Sicherheitsarchitektur. Diese muss den gesamten Lebenszyklus aller beteiligten IT-Systeme und insbesondere der hochsensiblen medizinischen Geräte von Anfang an berücksichtigen. Das bedeutet, dass das Prinzip des «Security by Design» nicht nur proklamiert, sondern bereits bei der initialen Beschaffung und Entwicklung neuer Hard- und Software kompromisslos angewendet werden muss.

Dies erfordert eine beispiellos enge und vertrauensvolle Zusammenarbeit zwischen IT-Verantwortlichen, spezialisierten Medizintechnikern, dem Einkauf sowie dem klinischen Personal. Nur so kann gewährleistet werden, dass technologische Lösungen nicht nur den komplexen operativen Anforderungen gerecht werden, sondern auch den allerhöchsten Sicherheitsstandards entsprechen, ohne den Arbeitsfluss zu behindern.

Die Einführung adäquater Schutzmaßnahmen und eines effektiven Risikomanagements ist künftig nicht mehr nur Sache chronisch unterfinanzierter IT-Abteilungen, sondern Pflicht und Priorität auf C-Level.

Uwe Gries, Stormshield SAS

Darüber hinaus muss die Resilienz der gesamten Lieferkette im Gesundheitswesen substanziell und nachweislich gestärkt werden, denn die Verwundbarkeit von Krankenhäusern erstreckt sich ebenfalls auf die Integrität und Sicherheit der Produkte und Dienstleistungen ihrer zahlreichen Zulieferer. Eine umfassende und kontinuierliche Risikobewertung der gesamten Lieferkette ist daher absolut unerlässlich. Diese Bewertung muss die detaillierte Überprüfung der Cybersicherheitsstandards von Drittanbietern, die Implementierung von Verträgen, die eindeutig definierte Sicherheitsanforderungen festlegen, sowie die Etablierung von Prozessen zur permanenten Überwachung der Lieferketten auf potenzielle Schwachstellen oder erfolgte Kompromittierungen umfassen. Hierbei spielt auch die Fähigkeit zur schnellen Reaktion auf Vorfälle bei Lieferanten eine immer größere Rolle.

Ein weiterer kritischer Erfolgsfaktor ist die kontinuierliche Investition in qualifiziertes Personal und der Aufbau einer tief verwurzelten, proaktiven Sicherheitskultur. Angesichts des eklatanten Fachkräftemangels im hochspezialisierten Segment der Cybersicherheit müssen Gesundheitseinrichtungen verstärkt in die systematische Aus- und Weiterbildung ihrer eigenen Mitarbeiter investieren. Eine proaktive Sensibilisierung für die ständig neuen Formen von Phishing-Angriffen, Social Engineering-Taktiken und den sicheren Umgang mit IT-Ressourcen kann die menschliche Fehlerquote signifikant reduzieren und die Mitarbeiter effektiv zur ersten Verteidigungslinie gegen Cyberbedrohungen ausbilden.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Vom Ausnahmezustand zur strategischen Priorität

All diese Maßnahmen mögen auf den ersten Blick überfordernd erscheinen – das Ziel einer umfassenden Absicherung wirkt nahezu unerreichbar. Doch die kommende EU-NIS2-Richtlinie, die voraussichtlich Ende Oktober 2025 durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in deutsches Recht überführt wird, verankert die Verantwortung für Cybersicherheit explizit in der Führungsebene – einschließlich der Geschäftsleitung. Damit wird Cybersicherheit zur unternehmerischen Kernaufgabe: Die Einführung adäquater Schutzmaßnahmen und eines effektiven Risikomanagements ist künftig nicht mehr nur Sache chronisch unterfinanzierter IT-Abteilungen, sondern Pflicht und Priorität auf C-Level.

Es bleibt zu hoffen, dass die NIS2-Vorgaben einen proaktiven, ganzheitlichen Sicherheitsansatz fördern, der die Resilienz der Branche gegenüber wachsenden Bedrohungen nachhaltig stärkt. Denn auf passende technische Lösungen für die Gewährleistung maximaler Absicherung und Gesetzeskonformität können das Gesundheitswesen und KRITIS allgemein jederzeit zugreifen.

Uwe

Gries

Country Manager DACH

Stormshield

Uwe Gries ist seit Januar 2018 als Country Manager DACH bei Stormshield tätig. Mit über 20 Jahren Erfahrung in Führungs- und Managementpositionen im Vertrieb von Soft- und Hardware, verfügt er über umfangreiche Kenntnisse der IT/ITC-Märkte und leitet erfolgreich die Aktivitäten des Unternehmens im gesamten deutschsprachigen Raum.
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.