Gesundheitswesen: Cyber-Sicherheit – Anspruch vs. Technikstau

Zwar befindet sich das Gesundheitswesen hinsichtlich seiner Gefährdungslage in „guter Gesellschaft“ – man denke an die vielfach attackierte öffentliche Verwaltung, doch gerade am Beispiel medizinischer Einrichtungen wie Krankenhäuser und Arztpraxen wird deutlich, dass Cyberangriffe über finanzielle Risiken hinaus eine unmittelbare Gefahr für Patientinnen und Patienten darstellen können. Es überrascht daher nicht, dass Gesundheitseinrichtungen zu den Organisationen zählen, bei denen Cyberkriminelle eine hohe Zahlungsbereitschaft für Lösegeld vermuten – und die Branche daher regelrecht unter Beschuss steht.

Allein in Deutschland stieg laut HPI-Studie die Zahl erfolgreicher Angriffe auf Krankenhäuser zwischen 2020 und 2024 um 74 %. Auch 2025 setzt sich dieser Trend fort: Laut einem unabhängigen Analyst, der bei der Auswahl von Softwarelösungen für IT-Sicherheit sowie für Governance, Risk & Compliance (GRC) unterstützt, waren bereits Kliniken in Ludwigslust und Hagenow, ein Medizinprodukteanbieter (Februar), der Offenbacher Apothekerverband (April) sowie die Ärztekammer Dresden (Mai) betroffen. Cyberattacken gefährden nicht nur Finanzen und Reputation, sondern können lebenswichtige Systeme lahmlegen. Ein IT-Ausfall infolge einer Cyberattacke kann im Extremfall Leben kosten – eine schmerzhafte Realität, auch in Deutschland.

Hinzu kommt: Mit dem Start der elektronischen Patientenakte für alle gesetzlich Versicherten in Deutschland stellt sich auch die Frage nach dem Schutz der Vertraulichkeit sensibler Gesundheitsdaten mit neuer Dringlichkeit. Neben bekannten Bedrohungen wie Ransomware und Datendiebstahl gewinnen zunehmend komplexe Angriffe auf vernetzte medizinische Geräte (IoMT) sowie die Ausnutzung menschlicher Schwachstellen an Bedeutung. Dies gilt insbesondere vor dem Hintergrund verstärkter Aktivitäten staatlich unterstützter Akteure in kritischen Infrastrukturen.

Regelungen und Realität

Mit dem im Oktober 2020 verabschiedeten Krankenhauszukunftsgesetz wollte die damalige Bundesregierung finanzielle Mittel bereitstellen, um Digitalisierungsprojekte im Gesundheitswesen voranzutreiben. Dies hat in Teilen zu Verbesserungen geführt – nicht jedoch im Bereich Cybersicherheit: Noch immer sind veraltete Hard- und Software aufgrund von Zertifizierungsauflagen weit verbreitet. Die IT- und Netzinfrastruktur wird in Silos abgesichert, mit OT-Protokollen gesteuerte Gebäudemanagementsysteme sind unzureichend geschützt. Im Übrigen wird menschliches Versagen – eines der größten Einfallstore für Cyberangriffe – stark unterschätzt. Unter solchen Bedingungen ist die Anfälligkeit der Branche nahezu programmiert.

Angesichts der wachsenden Komplexität und Dynamik der Bedrohungslage ist ein umfassender, proaktiver Sicherheitsansatz unerlässlich. Dieser muss über klassische Perimeterverteidigung hinausgehen und beispielsweise eine konsequente Netzwerksegmentierung zur Begrenzung lateraler Bewegungen von Angreifern, strenge Zugriffskontrollen nach dem Zero-Trust-Prinzip, den Einsatz von VPN-Infrastrukturen und Multi-Faktor-Authentifizierung sowie klare Sicherheitsrichtlinien im Umgang mit sensiblen Daten und veralteter Technik umfassen.

Essenziell sind obendrein Mechanismen zur frühzeitigen Erkennung (Threat-Detection) und zur schnellen Reaktion auf Sicherheitsvorfälle (Incident-Response). Angesichts der zunehmenden Vernetzung medizinischer Geräte sind auch spezifische Schutzmaßnahmen für diese Systeme erforderlich – insbesondere angesichts ihrer oftmals hohen Obsoleszenz. Und nicht zuletzt sollten kontinuierliche Schulungen und Sensibilisierungsmaßnahmen für das gesamte Personal auf der Agenda stehen.

Weichenstellung

Ein absolut zentraler Pfeiler einer strategischen Neuausrichtung im Sinne höherer Cybersicherheit ist die konsequente Etablierung und Instandhaltung einer umfassenden Sicherheitsarchitektur. Diese muss den gesamten Lebenszyklus aller beteiligten IT-Systeme und insbesondere der hochsensiblen medizinischen Geräte von Anfang an berücksichtigen. Das bedeutet, dass das Prinzip des „Security by Design“ nicht nur proklamiert, sondern bereits bei der initialen Beschaffung und Entwicklung neuer Hard- und Software kompromisslos angewendet werden muss. Es ist von entscheidender Bedeutung, sicherzustellen, dass Sicherheitsfunktionen nicht als nachträgliche Add-ons betrachtet werden, sondern von Grund auf in alle Prozesse integriert sind. Dies erfordert eine beispiellos enge und vertrauensvolle Zusammenarbeit zwischen IT-Verantwortlichen, spezialisierten Medizintechnikern, dem Einkauf sowie dem klinischen Personal. Nur so kann gewährleistet werden, dass technologische Lösungen nicht nur den komplexen operativen Anforderungen gerecht werden, sondern auch den aller höchsten Sicherheitsstandards entsprechen, ohne den Arbeitsfluss zu behindern.

Darüber hinaus muss die Resilienz der gesamten Lieferkette im Gesundheitswesen substanziell und nachweislich gestärkt werden. Krankenhäuser sind heutzutage nicht mehr nur von der Sicherheit ihrer eigenen internen Systeme abhängig. Vielmehr erstreckt sich ihre Verwundbarkeit auf die Integrität und Sicherheit der Produkte und Dienstleistungen ihrer zahlreichen Zulieferer. Das reicht von spezialisierten medizinischen Geräten über Software-Anwendungen bis hin zu externen Dienstleistern für Wartung und Support. Eine umfassende und kontinuierliche Risikobewertung der gesamten Lieferkette ist daher absolut unerlässlich. Diese Bewertung muss die detaillierte Überprüfung der Cybersicherheitsstandards von Drittanbietern, die Implementierung von Verträgen, die eindeutig definierte Sicherheitsanforderungen festlegen, sowie die Etablierung von Prozessen zur permanenten Überwachung der Lieferketten auf potenzielle Schwachstellen oder erfolgte Kompromittierungen umfassen. Hierbei spielt auch die Fähigkeit zur schnellen Reaktion auf Vorfälle bei Lieferanten eine immer größere Rolle.

Ein weiterer kritischer Erfolgsfaktor ist die kontinuierliche Investition in qualifiziertes Personal und der Aufbau einer tief verwurzelten, proaktiven Sicherheitskultur. Angesichts des eklatanten Fachkräftemangels im IT-Bereich und insbesondere im hochspezialisierten Segment der Cybersicherheit müssen Gesundheitseinrichtungen verstärkt in die systematische Aus- und Weiterbildung ihrer eigenen Mitarbeiter investieren. Dies betrifft nicht nur dezidierte Cybersicherheitsexperten, sondern ausdrücklich das gesamte Klinikpersonal, das im täglichen Umgang mit sensiblen Daten und vernetzten Geräten umfassend geschult werden muss. Eine proaktive Sensibilisierung für die ständig neuen Formen von Phishing-Angriffen, Social Engineering-Taktiken und den sicheren Umgang mit IT-Ressourcen kann die menschliche Fehlerquote signifikant reduzieren und die Mitarbeiter effektiv zur ersten und oft entscheidenden Verteidigungslinie gegen Cyberbedrohungen ausbilden. Hierfür ist eine offene und transparente Kommunikationskultur, in der Mitarbeiter ermutigt werden, verdächtige Aktivitäten ohne Angst vor Repressalien zu melden, von fundamentaler Bedeutung.

Vom Ausnahmezustand zur strategischen Priorität

All diese Maßnahmen mögen auf den ersten Blick überfordernd erscheinen – das Ziel einer umfassenden Absicherung wirkt nahezu unerreichbar. Doch die kommende EU-NIS2-Richtlinie, die voraussichtlich Ende Oktober 2025 durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in deutsches Recht überführt wird, verankert die Verantwortung für Cybersicherheit explizit in der Führungsebene – einschließlich der Geschäftsleitung. Damit wird Cybersicherheit zur unternehmerischen Kernaufgabe: Die Einführung adäquater Schutzmaßnahmen und eines effektiven Risikomanagements ist künftig nicht mehr nur Sache chronisch unterfinanzierter IT-Abteilungen, sondern Pflicht und Priorität auf C-Level.

Die neue Richtlinie verlangt robuste Sicherheitsmaßnahmen und eine verpflichtende Meldung von Sicherheitsvorfällen. Sensible Daten und kritische Infrastrukturen zu schützen sowie das Vertrauen der Patientinnen und Patienten und die Kontinuität der Versorgung zu sichern, muss zur zentralen Mission jeder Gesundheitseinrichtung – einschließlich ihrer Lieferketten – werden.

Die digitale Souveränität gewinnt in diesem hochkompetitiven und bedrohlichen Kontext zunehmend an Bedeutung und stellt für das europäische Gesundheitswesen einen nicht verhandelbaren strategischen Imperativ dar. Dies bedeutet konkret, die Abhängigkeit von außereuropäischen Anbietern in kritischen Bereichen der Cybersicherheit systematisch zu reduzieren. Die Auswahl und bevorzugte Implementierung von Lösungen, die innerhalb der Europäischen Union entwickelt, gehostet und von europäischen Sicherheitsbehörden zertifiziert werden, trägt maßgeblich zur Stärkung der europäischen digitalen Autonomie bei. Dies gewährleistet nicht nur die strikte Einhaltung europäischer Datenschutzstandards und Werte, sondern minimiert auch das inhärente Risiko von unkontrollierten Zugriffen Dritter auf sensible Gesundheitsdaten und kritische Infrastrukturen, die außerhalb des europäischen Rechtsrahmens liegen. Die gezielte Förderung eines starken und innovativen europäischen Ökosystems für Cybersicherheit ist somit nicht allein eine politische Forderung, sondern eine existenzielle Notwendigkeit für die Zukunftsfähigkeit des Gesundheitswesens.

Es bleibt zu hoffen, dass die NIS2-Vorgaben einen proaktiven, ganzheitlichen Sicherheitsansatz fördern, der die Resilienz der Branche gegenüber wachsenden Bedrohungen nachhaltig stärkt. Denn auf passende technische Lösungen für die Gewährleistung maximaler Absicherung und Gesetzeskonformität können das Gesundheitswesen allgemein jederzeit zugreifen.