Zwischen regulatorischem Aufbruch und technischer Stagnation

Digitale Angriffe, reale Folgen: Sicherheitskrise im Gesundheitssektor

Gesundheitswesen, Security
LinkedInRedditWhatsAppPocket

Während viele öffentliche Einrichtungen bereits Opfer von Cyberangriffen wurden, rückt der Gesundheitssektor zunehmend in den Fokus der Täter.

Besonders Krankenhäuser und Arztpraxen sind nicht nur wegen ihres finanziellen Potenzials für Lösegeldforderungen interessant, sondern auch wegen der sensiblen und lebenswichtigen Infrastrukturen, die sie betreiben. Die Folgen von IT-Ausfällen in medizinischen Einrichtungen reichen weit über wirtschaftliche Schäden hinaus – sie können direkt das Leben von Patientinnen und Patienten gefährden.

Anzeige

„Ein IT-Ausfall infolge einer Cyberattacke kann im Extremfall Leben kosten“, so der nüchterne Befund aus dem aktuellen Lagebild – ein Szenario, das auch in Deutschland bereits bittere Realität geworden ist.

Angriffe nehmen drastisch zu

Die Zahlen zeichnen ein alarmierendes Bild: Zwischen 2020 und 2024 stieg laut einer Studie des Hasso-Plattner-Instituts die Zahl erfolgreicher Cyberangriffe auf Krankenhäuser in Deutschland um 74 %. Und auch im laufenden Jahr setzt sich dieser Trend fort. Betroffen waren unter anderem Kliniken in Ludwigslust und Hagenow, ein Anbieter für Medizinprodukte, der Apothekerverband in Offenbach sowie die Ärztekammer Dresden.

Cyberkriminalität trifft das Gesundheitswesen also nicht vereinzelt, sondern systematisch – mit erheblichen Konsequenzen für den Betrieb und die Patientensicherheit.

Anzeige

Die digitale Schwachstelle: Vernetzte Medizin und menschliches Versagen

Mit der Einführung der elektronischen Patientenakte für alle gesetzlich Versicherten gewinnt der Schutz persönlicher Gesundheitsdaten an neuer Dringlichkeit. Doch die Herausforderungen gehen über den Datenschutz hinaus. Moderne medizinische Geräte – oft Teil des „Internet of Medical Things“ (IoMT) – sind häufig unzureichend gesichert und ein lohnendes Ziel für Angreifer.

Hinzu kommt: So technisch fortgeschritten viele Angriffe sind, ein großer Teil des Risikos bleibt menschlich. Unachtsamkeit, unzureichende Schulungen und fehlerhafte Handhabung sensibler IT-Systeme öffnen Tür und Tor für Cyberbedrohungen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Zwischen Anspruch und Wirklichkeit: Der Stand der Cybersicherheit

Zwar wurde mit dem Krankenhauszukunftsgesetz von 2020 ein Impuls zur Digitalisierung gesetzt, doch in puncto Cybersicherheit blieb vieles Stückwerk. Veraltete Hard- und Software sind in vielen Einrichtungen noch immer im Einsatz, teilweise aus regulatorischen Gründen. Gleichzeitig fehlt es oft an grundlegenden Sicherheitskonzepten: Netzwerke werden isoliert betrachtet, Gebäudetechnik bleibt ungeschützt, und Zugangskontrollen sind häufig lückenhaft.

„Die IT- und Netzinfrastruktur wird in Silos abgesichert“, heißt es weiter, während „Gebäudemanagementsysteme unzureichend geschützt“ sind. Der Umgang mit Risiken zeigt: Es fehlt vielerorts an einem durchdachten, strategischen Sicherheitsansatz.

Sicherheitsstrategie: Vom Flickenteppich zur Resilienz

Was braucht es also? Die Antwort ist klar: Ein umfassendes, proaktives Sicherheitskonzept, das über klassische Schutzmaßnahmen hinausgeht. Dazu zählen unter anderem:

  • Netzwerksegmentierung, um die Ausbreitung von Angriffen zu verhindern
  • Zero-Trust-Prinzipien, die jedem Zugriff ein strenges Prüfverfahren unterwerfen
  • Multi-Faktor-Authentifizierung und sichere VPN-Infrastrukturen
  • Klare Richtlinien für den Umgang mit alten Systemen und sensiblen Daten
  • Frühwarnsysteme (Threat Detection) und schnelle Reaktionsmechanismen (Incident Response)

Darüber hinaus ist eine kontinuierliche Sensibilisierung und Schulung aller Mitarbeitenden unerlässlich, denn technische Maßnahmen allein reichen nicht aus.

Neue Gesetzgebung: Cybersicherheit wird Chefsache

Ein Wandel in der Priorisierung bahnt sich an: Die neue EU-Richtlinie NIS2 wird voraussichtlich im Herbst 2025 in deutsches Recht überführt. Mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) rückt Cybersicherheit vom Randthema zur zentralen Führungsaufgabe. Geschäftsleitungen werden künftig in die Pflicht genommen, angemessene Schutzmaßnahmen zu ergreifen und Vorfälle unverzüglich zu melden.

„Cybersicherheit wird zur unternehmerischen Kernaufgabe“, heißt es in der Richtlinie – und damit auch zur Verantwortung der Führungsetagen in Kliniken, Praxen und Verbänden.

Strategische Umkehr statt punktueller Maßnahmen

Die zunehmenden Bedrohungen zeigen: Ein „Weiter so“ kann sich das Gesundheitswesen nicht leisten. Nur durch ganzheitliche Schutzkonzepte, regelmäßige Schulungen, moderne Technologien und gesetzlich verankerte Pflichten kann eine belastbare Cybersicherheitsstrategie entstehen. Die NIS2-Richtlinie könnte hierbei als Katalysator wirken – vorausgesetzt, sie wird konsequent umgesetzt.

Der Schutz kritischer Infrastrukturen im Gesundheitswesen ist nicht nur eine technische oder juristische Notwendigkeit, sondern eine ethische Verpflichtung gegenüber Patientinnen und Patienten.


Pauline Dornig

Pauline

Dornig

Online-Redakteurin

IT Verlag GmbH

Pauline Dornig verstärkt seit Mai 2020 das Team des IT Verlags als Online-Redakteurin. (pd)
Anzeige

Artikel zu diesem Thema

Gesundheitswesen: Zeitgemäßer Datenschutz und Datensicherheit

Weitere Artikel

Endpoint Security im Wandel
Vernetzte Sicherheitsprozesse sind dringend notwendig
Cyber Insurance Assessment erklärt
Enthüllung von 5 weit verbreiteten Irrtümern über die Sicherheit von eSIM-Karten
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.