Digitale Diagnostik, cloudbasierte Patientenakten, vernetzte Medizingeräte: Das Gesundheitssystem durchläuft einen tiefgreifenden technologischen Wandel. Gleichzeitig steigt das Risiko, Opfer von Cyberangriffen zu werden.

Kliniken, Praxen und IT-Dienstleister im Gesundheitssektor werden gezielt attackiert, weil ihre Daten hohes Lösegeldpotenzial besitzen.

(Bild: © by-studio – stock.adobe.com)

Kliniken, Praxen und IT-Dienstleister im Gesundheitssektor werden heute gezielt attackiert, weil ihre Systeme unverzichtbar sind und ihre Daten ein hohes Lösegeldpotenzial besitzen. Ransomware, Datenexfiltration und Angriffe auf kritische Infrastruktur bedrohen nicht nur Geschäftsprozesse, sondern potenziell auch Menschenleben. So legte etwa 2024 ein Cyberangriff auf das medizinische Labor Synnovis in London große Teile der IT lahm, mit der Folge, dass mehrere Krankenhäuser Operationen und Behandlungen verschieben mussten; der Vorfall wird sogar mit einem Todesfall in Verbindung gebracht.

In kaum einer Branche ist die Abhängigkeit von stabilen IT-Systemen größer. Wenn Laborsoftware ausfällt, Intensivstationen auf Papierdokumentation zurückfallen oder Rettungsleitstellen offline gehen, entstehen Risiken, die weit über wirtschaftliche Schäden hinausreichen.

Trotzdem ist die Cybersicherheitslage vieler Einrichtungen weiterhin lückenhaft. Zwar ist regulatorischer Druck hoch, von GDPR über HIPAA bis zu branchenspezifischen Sicherheitsanforderungen, doch der Weg zu einer belastbaren Gesamtstrategie ist oft unklar. Die Bedrohungslage verschärft sich dynamisch, während Personal, Ressourcen und Expertise vielerorts fehlen.

Identität statt Firewall

Der klassische Perimeter existiert im vernetzten Klinikalltag längst nicht mehr. Telemedizin, mobile Pflege, Heimmonitoring und die Zusammenarbeit mit externen Laboren oder Forschungsinstitutionen haben die Angriffsfläche vervielfacht. Entscheidend ist die Frage, wer wann worauf zugreifen darf. Identitätsmanagement, Multi-Faktor-Authentifizierung und ein striktes Berechtigungsmodell sind daher Grundpfeiler moderner Schutzkonzepte. Dabei geht es nicht um technische Spielereien, sondern um den realen Schutz sensibler Gesundheitsinformationen. Jede unautorisierte Identität ist ein Risiko, jede überprivilegierte Rolle ein potenzielles Einfallstor.

In Estland wird eine sichere digitale ID verwendet, ein Plattformdienst, der von der estnischen Regierung bereitgestellt wird. Zusätzlich gibt es, um den Anforderungen an personenbezogene Daten gerecht zu werden, eine weitere Sicherheitsebene namens „Consent Service”. Damit können Einzelpersonen dem Staat die Erlaubnis erteilen, ihre personenbezogenen Daten (aus staatlichen Registern) an einen bestimmten Drittanbieter weiterzugeben.

Die drei zentralen Zero-Trust-Prinzipien sind dabei:

• Identitätsbasierter Zugriff statt netzwerkbasierten Zugriffes: Die Informationssysteme sind so konzipiert, dass sie verstehen, wer sich hinter der digitalen Identität verbirgt, die sich anmeldet und Aktivitäten ausführt.

• Multi-Faktor-Authentifizierung als Standard: ein zentrales Designelement moderner „Secure by Design”-Informationssysteme.

• Zero-Trust-Anwendungszugriff: Nutzerinnen und Nutzer erhalten nur Zugriff auf die Anwendung, die sie benötigen, und niemals auf andere Ressourcen.

Viele Einrichtungen tun sich schwer damit, Zero-Trust-Ansätze in ihren Praxisalltag zu übersetzen. Doch gerade hier zeigt sich, wie wichtig eine klare Architektur ist: Vertrauen wird nicht vorausgesetzt, sondern bei jedem Zugriff neu geprüft. Das ist die logische Antwort auf ein Ökosystem, in dem Gesundheitsdaten zwischen Kliniken, Laboren, Pflegeeinrichtungen und Versicherern fließen.

Regeln ohne Werkzeuge?

Strenge Vorgaben sollen die Datensicherheit erhöhen. In der Realität führen diese zu komplexen Anforderungen, ohne dass passende Werkzeuge oder ausreichende Ressourcen zur Verfügung stehen. Der medizinische Bereich ist besonders komplex, da er nicht nur Softwareanwendungen, sondern auch medizinische Geräte und Ausrüstung umfasst – von Bildgebungssystemen bis hin zu Maschinen, die in der Chirurgie eingesetzt werden.

Ein sinnvoller Ausgangspunkt ist die Befolgung eines übergreifenden Sicherheitsrahmens. In Estland ist dies der E-ITS-Rahmen, in Deutschland der BSI IT-Grundschutz. Beide sind weitgehend vergleichbar, entsprechen der Norm ISO 27001 und bieten einen risikobasierten Ansatz sowie Überprüfbarkeit. Bei medizinischen Geräten und Instrumenten erfordert jede Konfiguration eine separate Risikobewertung auf der Grundlage von ISO 14971, um gerätespezifische Gefahren und deren Auswirkungen auf die Patientensicherheit angemessen zu erfassen.

Fachverbände, Krankenkassen, öffentliche Institutionen und technologische Allianzen könnten hier eine wichtige Rolle übernehmen: durch branchenspezifische Leitfäden, standardisierte Risikoanalysen, Sicherheits-Audits und transparente Qualitätskriterien für IT-Dienstleister.

Formularbeginn

Formularende

Denkbar sind auch geförderte Programme, die den Einstieg in Sicherheitskonzepte erleichtern, etwa durch einen zentralen Pool geprüfter Lösungen oder Zuschüsse für kleinere Einrichtungen, die kein eigenes IT-Security-Team aufbauen können.

Ohne eine koordinierte Unterstützung besteht die Gefahr, dass regulatorische Anforderungen zwar dokumentiert, aber nicht wirksam umgesetzt werden. Sicherheitsarchitekturen entfalten nur dann Wirkung, wenn sie im Alltag bestehen und realistische Kapazitäten berücksichtigen.

Warum Sicherheitskultur der entscheidende Hebel ist

Technische Schutzmaßnahmen reichen nicht aus, wenn die Belegschaft unvorbereitet bleibt. Fehlklicks, ungesicherte Geräte oder unklare Verantwortlichkeiten gehören zu den häufigsten Ursachen schwerer Vorfälle. Cyberangriffe werden zunehmend automatisiert, KI-gestützt und schwerer zu erkennen. Umso wichtiger ist eine Sicherheitskultur, die Risiken ernst nimmt und Mitarbeitende handlungsfähig macht. Das bedeutet: Schulungen, die praxisnah sind. Klare Verantwortlichkeiten in allen Bereichen, von der Verwaltung bis zur Pflege. Und eine Führung, die IT-Sicherheit nicht als lästige Pflicht, sondern als strategischen Bestandteil der Versorgungsqualität versteht.

Eine moderne Organisation zeichnet sich dadurch aus, dass Sicherheitsfragen frühzeitig geklärt werden: Wie schützen wir IoT-Geräte wie Infusionspumpen und Patientenmonitore? Wie trennen wir besonders kritische Systeme von weniger kritischen? Wie stellen wir sicher, dass Diagnostik, Patientenversorgung und Verwaltung auch im Krisenfall arbeitsfähig bleiben? Wer diese Fragen erst stellt, wenn Systeme bereits kompromittiert wurden, verliert wertvolle Zeit.

Digitale Resilienz als neuer Standard

Andere Länder zeigen, wie ein koordiniertes Vorgehen aussehen kann. Zentral gesteuerte Sicherheitsarchitekturen, gemeinsame Plattformen und regelmäßige Stress-Tests schaffen Transparenz und Widerstandskraft. Estland hat erkannt, dass sich Sicherheitsherausforderungen in der Medizin und in anderen Branchen deutlich besser bewältigen lassen, wenn von Beginn an „Secure by Design“-Prinzipien gelten: Viele Probleme werden schon in der Architektur gelöst, sodass später nicht teuer nachgebessert werden muss, nur weil grundlegende Strukturen oder Regeln falsch angelegt wurden.

Für das deutsche Gesundheitswesen ergibt sich daraus ein klarer Auftrag: Angriffe werden nicht weniger. Es ist daher notwendig, digitale Resilienz als festen Bestandteil medizinischer Versorgung zu begreifen. Cybersicherheit ist kein Randthema und keine rein technische Frage. Sie ist ein entscheidender Faktor für den Schutz von Patientinnen und Patienten. Sie entscheidet darüber, ob kritische Behandlungen verfügbar bleiben und ob sensible Gesundheitsdaten vor Missbrauch geschützt werden.

Was es jetzt braucht, sind realistische, sektorspezifische Lösungen: verständliche Werkzeuge, klare Verantwortlichkeiten und eine Sicherheitskultur, die von oben getragen wird. Nur so lässt sich verhindern, dass Angriffe auf Kliniken oder Praxen die Versorgung gefährden.

Eine robuste digitale Infrastruktur ist kein Luxus. Sie ist die Grundlage für ein Gesundheitssystem, das Vertrauen verdient und auch in Krisenzeiten stabil bleibt.

Quelle: Priit Kongo