Wir verwenden auf unserer Website Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unsere Website zu analysieren. Um Ihnen ein komfortables Online-Erlebnis zu ermöglichen und unsere Kommunikation zu verbessern, klicken Sie auf „ALLE AKZEPTIEREN“. Damit stimmen Sie der Verarbeitung und der Weitergabe Ihrer Daten an unsere Partner für soziale Medien, Werbung und Analysen zu. Sie können Ihre Einwilligungen jederzeit in den Einstellungen widerrufen.
Datenschutzerklärung | Impressum
Datenschutz-Einstellungen

Gesundheitswesen: Mit digitaler Hygiene gegen Cyber-Infektionen

17. Nov. 2025 Audit

Die digitale Vernetzung des Gesundheitssektors und der ambulanten Versorgung fordert die Informationssicherheit in den Behandlungsketten heraus. Die IT-Systeme werden für den Austausch von Patientendaten offener und durchlässiger. Gleichzeitig nehmen die Gefahren komplexer Cyber-Angriffe deutlich zu. Wie können Sicherheitsmaßnahmen Schritt halten?

Seit Einzug der elektronischen Datenverarbeitung in Deutschlands Rentenversicherung vor 60 Jahren ist die Digitalisierung des Gesundheitssektors der zweite große Strukturwandel in der Sozialverwaltung. Mehr als 1.850 Krankenhäuser, 140.000 ärztliche und zahnärztliche Praxen und 17.000 Apotheken sind an die Plattform für digitale Gesundheitsanwendungen – die Telematikinfrastruktur (TI) der gematik GmbH – angebunden. Seit Januar 2025 läuft der Roll-out zur Einführung der elektronischen Patientenakte (ePA), initiiert durch das Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz DigiG). Bereits 70 Millionen ePA-Konten sind angelegt. Gesetzlich Versicherte können medizinische Dokumente beispielsweise in der App ihrer Krankenkasse hochladen, Medikationslisten einsehen oder persönliche Gesundheitsdaten an autorisierte Personen weitergeben.
Das elektronische Rezept für verschreibungspflichtige Medikamente treibt den digitalen Strukturwandel weiter voran. Im ersten Jahr der Einführung wurden 2024 bereits 500 Millionen E-Rezepte eingelöst. Zudem forciert das 2025 in Kraft getretene Krankenhausreform-Gesetz (KHVVG) den Ausbau ambulanter Versorgungsformen, wodurch sich die Informationssysteme weiter vernetzen werden.

Datenaustausch sensibler, personenbezogener Informationen

Ob über die Telematikinfrastruktur (TI), die Krankenhaus-Informationssysteme (KIS), die Systeme zur Praxisverwaltung (PVS) oder die Anbindung von medizinischen Geräten an den ambulanten Strukturen: künftig basiert die Patientenversorgung im hohen Maße auf dem Datenaustausch sensibler, personenbezogener Informationen. Damit rückt das Gesundheitswesen weiter in den Fokus von Cyber-Kriminellen, die gezielt in die Dateninfrastruktur eingreifen und beispielsweise zur Erpressung hoher Lösegeldforderungen verschlüsseln. Nach solchen Attacken entstehen meist massive Kosten zur Wiederherstellung der IT-Systeme. Das Bundesinnenministerium des Innern beziffert sie branchenübergreifend bereits bei Kleinunternehmen mit zehn Beschäftigten auf durchschnittlich 250.000 Euro.

Prävention durch digitale Hygiene

Organisierte Cyber-Kriminelle agieren hochprofessionell. Sie spüren mit KI-Modellen massenhaft Schwachstellen auf, um Schadsoftware über sicherheitskritische Knotenpunkte in den betroffenen IT-Systemen zu verbreiten. Krankenhäuser, Labore oder Praxen sind besonders gefährdet. Ihre eingesetzten Rechner und Softwarelösungen sind meist historisch gewachsene (Alt-) Systeme (Legacy Systeme). Die Anwendungen bewähren sich seit Jahren, sind lange eingeübt und für den Betrieb unerlässlich. Doch bergen sie erhebliche Sicherheitslücken, wenn Hersteller sie nicht mehr ausreichend mit Updates versorgen. Hinzu kommen personelle Engpässe, die eine Modernisierung der datenverarbeitenden Systeme erschweren.
Um mit den Cyber-Gefahren Schritt halten zu können, ist die Strategie einer digitalen Hygiene zur Sicherheit, Verfügbarkeit und Resilienz von Patientendaten unerlässlich. Sie sollte denselben präventiven Stellenwert bekommen wie die medizinische Hygiene. So dient digitale Hygiene nicht nur der Sicherheit von Geräten und Daten, sondern durch die störungsfreien Abläufe der IT-Systemarchitektur vor allem dem Patientenschutz. Die Frankfurter Universitätsklinik war nach einem vergleichsweise früh aufgedeckten Angriffsversuch noch in der Lage, ihre Patientendaten zu schützen, musste aber dennoch mehr als sechs Monate vom Netz gehen und die gesamte IT-Landschaft neu aufsetzen.

Ransomware-Angriffe und Social Engineering

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet gerade bei ambulanten medizinischen Einrichtungen eine deutliche Verbreitung von Schadsoftware (Malware), um IT-Systeme zu verschlüsseln und anschließend Lösegelder zu erpressen (Ransomware-Angriffe). Laut Sophos Ransomware-Report 2025 können zwar die meisten der betroffenen Unternehmen etwa innerhalb einer Woche auf ihre Daten durch Backups wieder zurückgreifen. Doch knapp die Hälfte davon zahle Lösegelder von durchschnittlich einer Million US-Dollar.
Neben Ransomware-Angriffen verbreitet sich auch das sogenannte Social Engineering als eine immer bedrohlichere Form des Datendiebstahls. Dieser setzt direkt beim Menschen an. Cyber-Kriminelle manipulieren Beschäftigte beispielsweise in Karriereportalen, um über eine vertrauenserweckende Kontaktaufnahme entweder an sensible betriebliche Informationen zu gelangen, Sicherheitsschranken zu umgehen oder Schadsoftware zu installieren. Daten können so zunächst unerkannt ausgeleitet, verkauft oder auch für weitergehende Angriffe genutzt werden.

Robuste Schutzkonzepte berücksichtigen die betrieblichen Werte

Kritische Gefährdungslagen entstehen, wenn Betriebe ihre Beschäftigten nicht regelmäßig über wesentliche Sicherheitsrisiken und geeignete Sicherheitsmaßnahmen informieren. Folglich müssen Risikoanalysen, fachkundige Einweisungen und technische Maßnahmen Hand in Hand gehen. Die Grundlagen einer robusten Cyber-Sicherheit bilden die Daten und Prozesse, die für die medizinische Versorgung und Patientensicherheit besonders schutzwürdig sind. Hierfür werden alle sicherheitsrelevanten, datenverarbeitenden Systeme identifiziert und auch analysiert, inwiefern sie voneinander getrennt beziehungsweise segmentiert sind. Welche Abteilungen mit ihnen arbeiten, und ob die Daten lokal über eigene Rechner oder von externen Anbietern (Cloud-Services) zur Verfügung gestellt werden, sind weitere Leitfragen. Es gilt, sämtliche betrieblichen Werte (Assets) wie Daten, Komponenten, Speicherplätze und Räumlichkeiten zu erfassen, um sie aktiv zu überwachen und buchstäblich im Sinne der digitalen Hygiene die Ausbreitung von Infektionen zu verhindern.

Regulatorische Anforderungen zur Cyber-Sicherheit

Während Hygiene-Konzepte und ihre Sicherheitsroutinen zur Prävention von Infektionsrisiken essenziell sind, reichen Checklisten allein nicht aus, um der Komplexität der virulenten Cyber-Infektionen begegnen zu können. Zur Abwehr eignet sich vielmehr ein Managementsystem zur Informationssicherheit (ISMS). Der risikobasierte Managementansatz ist nicht auf die IT-Sicherheit der Systeme begrenzt, sondern umfasst alle kritischen Prozesse der Datenverarbeitung, Geschäftsabläufe sowie das Know-how der Mitarbeitenden bis hin zur Absicherung der physischen und virtuellen Standorte einschließlich der Arbeitsplätze. Somit können die technischen und organisatorischen Schutzziele ineinandergreifen.
Bislang verlangen die IT-Sicherheitsgesetze (IT-SiG) von 2015 (v1.0) und 2021 (v2.0) sowie die BSI-KRITIS-Verordnung von Betreibern Kritischer Infrastrukturen wie Großkliniken, Groß-Laboren oder Klinik-Apotheken ein ISMS zu etablieren und dies fortlaufend weiterzuentwickeln. Das IT-SiG 2.0 nennt hierzu Systeme zur Angriffserkennung (SzA) als „durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme“. KRITIS-Betreiber im Gesundheitssektor erfüllen die Auflagen, indem sie branchenspezifische Sicherheitsstandards wie beispielsweise den B3S Gesundheitsversorgung im Krankenhaus, B3S Pharma oder B3S Laboratoriumsdiagnostik anwenden sowie eine KRITIS-Prüfung durchlaufen. Anschließend wird der Prüfnachweis beim BSI eingereicht.

NIS-2-Richtlinie zur Stärkung der Cyber-Sicherheit

Mit weiterer digitaler Vernetzung der Behandlungsketten steigen die regulatorischen Anforderungen an die Informationssicherheit im Gesundheitswesen insgesamt. Der Kreis kritischer Infrastrukturen beschränkt sich nicht mehr auf den KRITIS-Sektor allein, sondern wird durch die neue NIS-2-Richtlinie zur Stärkung der Cyber-Sicherheit deutlich erweitert. Das EU-Rahmenwerk ist seit Oktober 2024 in Kraft – allerdings ist das deutsche Gesetzgebungsverfahren zur Umsetzung der Richtlinie in nationales Recht noch nicht abgeschlossen (Stand Oktober 2025). NIS-2 erweitert den Kreis kritischer Infrastrukturen um die sogenannten „wichtigen Einrichtungen“ (important entities) und „besonders wichtigen Einrichtungen“ (essential entities) auf insgesamt rund 30.000 Unternehmen in Deutschland. Zu ihnen zählen beispielsweise große Gesundheitsdienstleister mit Versorgungsauftrag der Krankenkasse, Laborverbünde sowie Diagnostikbetriebe.
Die von NIS-2 betroffenen Anwender müssen ihre IT-Systeme mit umfassenden Schutz-Konzepten absichern. Gemeint sind nicht nur technische Vorkehrungen, sondern auch die Integration von organisatorischen Maßnahmen. Dazu zählen die Risikoanalyse und Sicherheitsbewertung, die Meldung von Sicherheitsvorfällen, Risikomanagement- und Korrekturmaßnahmen sowie im Rahmen des ISMS als notwendig erachtete Schulungen von Führungskräften und Fachpersonal.

Cyber-Sicherheit ist nie vollständig. Best Practice:

Die Norm ISO/IEC 27001:2022 hat sich als systematisches Abwehrkonzept gegen Cybergefahren bewährt. Im Mittelpunkt des weltweit gültigen Standards für ein ISMS stehen die fortlaufende Risikoanalyse und die Risikobehandlung, um so die Vertraulichkeit, Integrität und Verfügbarkeit von Informationswerten auch bei sehr dynamischen Bedrohungslagen aufrecht zu erhalten. Hierfür enthält der Anhang A der Norm 93 mögliche technische und organisatorische Maßnahmen (Controls) einschließlich physischer Schutzmaßnahmen und Controls für den Schutz personenbezogener Daten.
Wird ein ISMS gemäß ISO/IEC 27001:2022 implementiert, können weitere Regelwerke mit ergänzenden Anforderungen, beispielsweise aus dem Gesundheitssektor, einfach aufgenommen werden. Daher eignet sich die Norm sowohl im KRITIS- als auch im NIS-2-Umfeld. Ihre Prüfgrundlagen setzen sich aus verschiedenen Normen, Quellen oder Regelwerken zusammen. Aus den so gewonnenen Erkenntnissen lassen sich wiederum neue, für die internen und externen Stakeholder relevante Sicherheitslagen ableiten.
Bevor der Anforderungskatalog von NIS-2 in Deutschland in Kraft tritt, können die in der ISO/IEC 27001:2022 sowie die im Referentenentwurf des NIS-2-Umsetzungsgesetzes (NIS-2-UmsuCG, Kapitel 2, §30 Abs. 2, Satz 2, Ziff. 1-10) beschriebenen Maßnahmen für ein belastbares Schutzkonzept herangezogen werden. Allerdings müssen nicht alle Maßnahmen des Anhang A der ISO/IEC 27001:2022 umgesetzt werden. Wieder geht es im Kern um angemessene organisatorische und technische Vorkehrungen, um Störungen zu vermeiden. So muss die Organisation eigenständig begründen können, warum sie welche Kontrollmaßnahmen anwendet, beziehungsweise nicht anwendet.
Cyber-Sicherheit ist niemals vollständig, auch nicht im Gesundheitssektor. Alle Leistungserbringenden sollten ihre getroffenen und geplanten Maßnahmen regelmäßig überprüfen, um etwaige neue Bedrohungslagen hinsichtlich ihrer datenverarbeitenden Systeme frühzeitig zu erkennen. Eine solche Strategie, die kritische Parameter und Merkmale für die Informationssicherheit regelmäßig aus dem laufenden Betrieb erfasst und auswertet, erfüllt somit nicht nur die Sorgfaltspflichten. Denn sollte es dennoch zu einer Cyber-Attacke kommen, leistet das ISMS einen entscheidenden Beitrag, um mögliche Beeinträchtigungen der Behandlungsqualität sowie finanzielle Folgen oder auch Haftungsrisiken auf ein Minimum zu begrenzen.
Alle Artikel anzeigen