Cybersicherheit im Gesundheitswesen
Gastbeitrag von Uwe Gries, Country Manager DACH bei Stormshield
Zwischen regulatorischem Aufbruch und technischer Stagnation
Krankenhäuser und Gesundheitseinrichtungen sind aufgrund sensibler Patientendaten, wertvoller Forschungsergebnisse und ihrer kritischen Dienstleistungen ein attraktives Ziel für Cyberkriminelle. Jüngste Analysen zur Cybersicherheitslage im Gesundheitswesen, etwa die Studie des Hasso-Plattner-Instituts „Alarmsignal Cybersicherheit“, zeichnen ein Bild einer sich zuspitzenden Bedrohungslage.
Paris | Zwar befindet sich das Gesundheitswesen hinsichtlich seiner Gefährdungslage in „guter Gesellschaft“ – man denke an die vielfach attackierte öffentliche Verwaltung. Doch gerade am Beispiel medizinischer Einrichtungen wie Krankenhäuser und Arztpraxen wird deutlich, dass Cyberangriffe über finanzielle Risiken hinaus eine unmittelbare Gefahr für Patientinnen und Patienten darstellen können. Es überrascht daher nicht, dass Gesundheitseinrichtungen zu den Organisationen zählen, bei denen Cyberkriminelle eine hohe Zahlungsbereitschaft für Lösegeld vermuten – und die Branche daher regelrecht unter Beschuss steht.
Uwe Gries betont: „Die IT- und Netzinfrastruktur wird in Silos abgesichert, mit OT-Protokollen gesteuerte Gebäudemanagementsysteme sind unzureichend geschützt. Im Übrigen wird menschliches Versagen – eines der größten Einfallstore für Cyberangriffe – stark unterschätzt. Unter solchen Bedingungen ist die Anfälligkeit der Branche nahezu programmiert.“
Allein in Deutschland stieg laut HPI-Studie die Zahl erfolgreicher Angriffe auf Krankenhäuser zwischen 2020 und 2024 um 74 %. Auch 2025 setzt sich dieser Trend fort: Laut KonBriefing waren bereits Kliniken in Ludwigslust und Hagenow, ein Medizinprodukteanbieter (Februar), der Offenbacher Apothekerverband (April) sowie die Ärztekammer Dresden (Mai) betroffen. Cyberattacken gefährden nicht nur Finanzen und Reputation, sondern können lebenswichtige Systeme lahmlegen. Ein IT-Ausfall infolge einer Cyberattacke kann im Extremfall Leben kosten – eine schmerzhafte Realität, auch in Deutschland.
Hinzu kommt: Mit dem Start der elektronischen Patientenakte für alle gesetzlich Versicherten in Deutschland stellt sich auch die Frage nach dem Schutz der Vertraulichkeit sensibler Gesundheitsdaten mit neuer Dringlichkeit. Neben bekannten Bedrohungen wie Ransomware und Datendiebstahl gewinnen zunehmend komplexe Angriffe auf vernetzte medizinische Geräte (IoMT) sowie die Ausnutzung menschlicher Schwachstellen an Bedeutung. Dies gilt insbesondere vor dem Hintergrund verstärkter Aktivitäten staatlich unterstützter Akteure in kritischen Infrastrukturen.
Regelungen und Realität
Mit dem im Oktober 2020 verabschiedeten Krankenhauszukunftsgesetz wollte die damalige Bundesregierung finanzielle Mittel bereitstellen, um Digitalisierungsprojekte im Gesundheitswesen voranzutreiben. Dies hat in Teilen zu Verbesserungen geführt – nicht jedoch im Bereich Cybersicherheit: Noch immer sind veraltete Hard- und Software aufgrund von Zertifizierungsauflagen weit verbreitet. Die IT- und Netzinfrastruktur wird in Silos abgesichert, mit OT-Protokollen gesteuerte Gebäudemanagementsysteme sind unzureichend geschützt. Im Übrigen wird menschliches Versagen – eines der größten Einfallstore für Cyberangriffe – stark unterschätzt. Unter solchen Bedingungen ist die Anfälligkeit der Branche nahezu programmiert.
Angesichts der wachsenden Komplexität und Dynamik der Bedrohungslage ist ein umfassender, proaktiver Sicherheitsansatz unerlässlich. Dieser muss über klassische Perimeterverteidigung hinausgehen und beispielsweise eine konsequente Netzwerksegmentierung zur Begrenzung lateraler Bewegungen von Angreifern, strenge Zugriffskontrollen nach dem Zero-Trust-Prinzip, den Einsatz von VPN-Infrastrukturen und Multi-Faktor-Authentifizierung sowie klare Sicherheitsrichtlinien im Umgang mit sensiblen Daten und veralteter Technik umfassen.
Essenziell sind obendrein Mechanismen zur frühzeitigen Erkennung (Threat-Detection) und zur schnellen Reaktion auf Sicherheitsvorfälle (Incident-Response). Angesichts der zunehmenden Vernetzung medizinischer Geräte sind auch spezifische Schutzmaßnahmen für diese Systeme erforderlich – insbesondere angesichts ihrer oftmals hohen Obsoleszenz. Und nicht zuletzt sollten kontinuierliche Schulungen und Sensibilisierungsmaßnahmen für das gesamte Personal auf der Agenda stehen.
Vom Ausnahmezustand zur strategischen Priorität
All diese Maßnahmen mögen auf den ersten Blick überfordernd erscheinen – das Ziel einer umfassenden Absicherung wirkt nahezu unerreichbar. Doch die kommende EU-NIS2-Richtlinie, die voraussichtlich Ende Oktober 2025 durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in deutsches Recht überführt wird, verankert die Verantwortung für Cybersicherheit explizit in der Führungsebene – einschließlich der Geschäftsleitung. Damit wird Cybersicherheit zur unternehmerischen Kernaufgabe: Die Einführung adäquater Schutzmaßnahmen und eines effektiven Risikomanagements ist künftig nicht mehr nur Sache chronisch unterfinanzierter IT-Abteilungen, sondern Pflicht und Priorität auf C-Level.
Die neue Richtlinie verlangt robuste Sicherheitsmaßnahmen und eine verpflichtende Meldung von Sicherheitsvorfällen. Sensible Daten und kritische Infrastrukturen zu schützen sowie das Vertrauen der Patientinnen und Patienten und die Kontinuität der Versorgung zu sichern, muss zur zentralen Mission jeder Gesundheitseinrichtung – einschließlich ihrer Lieferketten – werden.
Es bleibt zu hoffen, dass die NIS2-Vorgaben einen proaktiven, ganzheitlichen Sicherheitsansatz fördern, der die Resilienz der Branche gegenüber wachsenden Bedrohungen nachhaltig stärkt. Denn auf passende technische Lösungen für die Gewährleistung maximaler Absicherung und Gesetzeskonformität, wie die von Stormshield, können das Gesundheitswesen und KRITIS allgemein jederzeit zugreifen.
Aufmachermotiv:
| Katalogbild. Quelle: AdobeStock. Autor: dinastya, Lizenz: SAB Communications |
