Hackerangriffe auf Krankenhäuser: Wie können sich Krankenhäuser besser schützen?
In alarmierender Geschwindigkeit verbreiten sich Hackerangriffe auf Krankenhäuser. Allein in Deutschland stieg die Zahl erfolgreicher Cyberattacken von 2020 bis 2024 um 74%.
Im folgenden Beitrag werden die besonderen Herausforderungen, Auswirkungen, Gegenmaßnahmen sowie rechtliche Aspekte von Hackerangriffen auf Krankenhäuser und Einrichtungen im Gesundheitswesen beleuchtet.
Die Herausforderungen für Krankenhäuser
Branchenspezifische Anforderungen im Gesundheitswesen (B3S) sowie Datenschutzverordnungen sehen IT-sicherheitsrelevante Maßnahmen vor, um Einrichtungen gegen Hackerangriffe abzusichern.
Veraltete Technologien, hoch vernetzte Systeme und der Umgang mit sensiblen Daten stellen im spezifischen Umfeld Schwachstellen dar und bieten Hackern eine Angriffsfläche.
Veraltete IT-Infrastruktur
Viele Krankenhäuser nutzen veraltete Hard- und Software. In manchen Fällen laufen medizinische Geräte oder Klinikserver auf Betriebssystemen, die jahrelang nicht aktualisiert wurden. Solche veralteten Systeme weisen oft bekannte Sicherheitslücken auf und sind für Angreifer ein leichtes Spiel. Hier können moderne Lösungen wie Imprivata Enterprise Access Management gezielt ansetzen:
Durch zentralisierte Identitätsverwaltung, sichere Zugriffssteuerung und moderne Authentifizierungsmethoden wird der Zugriff auf kritische Systeme unabhängig vom Alter der Geräte abgesichert.
Komplexe Systeme und Vernetzung
Kliniken bilden aufgrund der vielen mobilen Endgeräte und Medizingeräte im “Internet of Medical Things” ein digitales Netzwerk, das nicht immer ausreichend abgesichert ist. Viele dieser Geräte können als Einfallstor dienen.
Ein infiziertes Gerät mit entsprechenden Zugangsberechtigungen genügt, um potenziell das gesamte Krankenhausnetz zu kompromittieren. Spezialisierte Sicherheits-Ansätze für Krankenhaus und Gesundheitswesen sind auf die Anforderungen und die branchenspezifischen IT-Strukturen zugeschnitten.
Imprivata Mobile Device Access bietet hier eine gezielte Lösung, um den Zugriff auf medizinische Geräte und mobile Endgeräte sicher und passwortlos zu gestalten. Dabei ist die Lösung vollständig NIS2-konform und kann in bestehende IT-Umgebungen wie Citrix, VMware oder Windows integriert werden.
Sensible Patientendaten
Informationen über Krankengeschichten, sensible persönliche Identifikationsdaten, Befunde und Medikationspläne gehören zu den Patientendaten eines Krankenhauses. Diese Gesundheitsdaten gelten per Gesetz wie der Datenschutzgrundverordnung (DSGVO) als besonders schützenswert, da gestohlene Patientendaten für Straftaten wie Identitätsdiebstahl, Versicherungsbetrug oder die Erpressung von Patienten missbraucht werden können. Das hohe Risiko erfordert ein spezialisiertes System zum Monitoring vom Zugriff auf Patientendaten.
Auswirkungen von Hackerangriffen
Neben dem unmittelbaren IT-Schaden sind vor allem die Auswirkungen auf die Patientenversorgung und die finanziellen Verluste erheblich. Ein Blick auf bekannte Vorfälle in der DACH-Region und Europa verdeutlicht die Brisanz der Bedrohungslage.
Bekannte Vorfälle
- Lukaskrankenhaus Neuss (Deutschland, 2016): Einer der ersten großen Klinik-Ransomware-Angriffe in Deutschland traf das Lukaskrankenhaus in Neuss. Hacker verschlüsselten digitale Patientendaten und Systeme, um Lösegeld zu erpressen. Die Klinik war tagelang nur eingeschränkt arbeitsfähig. Obwohl kein Lösegeld gezahlt wurde, entstand ein Schaden von rund 1 Million Euro.
- WannaCry-Attacke (weltweit, 2017): Die globale WannaCry-Ransomware-Welle legte im Mai 2017 hunderte Krankenhäuser lahm, besonders schwer traf es den britischen National Health Service (NHS). In Großbritannien mussten routinemäßig 19.000 Termine und Operationen abgesagt werden, Notfallpatienten konnten teils nicht aufgenommen werden und Ambulanzen wurden umgeleitet.
- Universitätsklinikum Düsseldorf (Deutschland, 2020): Ein Ransomware-Angriff legte die IT der Uniklinik Düsseldorf im September 2020 vollständig lahm. Die Klinik musste sich 13 Tage lang von der Notfallversorgung abmelden, laufende Operationen abbrechen und neue Patienten abweisen. Eine Patientin verstarb nach der Verlegung; ein direkter kausaler Zusammenhang mit dem Hackerangriff konnte juristisch jedoch nicht abschließend nachgewiesen werden.
In einer bundesweiten Befragung von 2017 gaben zwei Drittel der deutschen Krankenhäuser an, bereits Opfer eines Hackerangriffs gewesen zu sein.
Konsequenzen für die Patientenversorgung
Da moderne Kliniken vollständig von IT-Systemen abhängen, führt ein Ausfall digitaler Systeme zu Beeinträchtigungen der Patientenversorgungbis hin zur kompletten Unterbrechung der medizinischen Betreuung.
Ein Vorfall wie in Düsseldorf 2020 zeigte, wie folgenreich ein Cyberangriff die Versorgung lahmlegt. In einem Szenario, das praktisch einem Notfall-Stop gleichkommt, müssen Kliniken Patienten abweisen, Operationen verschieben und auf manuelle Prozesse umstellen, welche besonders in diesem chaotischen Umfeld Fehler hervorrufen.
Finanzielle Auswirkungen
Finanzielle Auswirkungen entstehen direkt durch Kosten für IT-Forensik, Systemwiederherstellung und Betriebsausfall. In einem Szenario, in dem kein Lösegeld gezahlt wird, entstehen allein für Kommunikation, Rechtsberatung und Ausfallschäden schnell fünfstellige Beträge pro Vorfall. Wird Lösegeld gezahlt, kann dies die Summe weiter erhöhen – Hackergruppen fordern Beträge in Millionenhöhe.
Hinzu kommen indirekte Kosten: Ein Cybervorfall kann Schadenersatzzahlungen an Patienten nach sich ziehen. Auch Strafen folgen: Gemäß DSGVO können Strafzahlungen bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes des betroffenen Unternehmens betragen.
Maßnahmen zur Verbesserung der Cybersicherheit
Im Angesicht der Bedrohungslage müssen Krankenhäuser umfassende Maßnahmen ergreifen, um ihre Cybersicherheit zu verbessern. Dabei gilt es, Mensch, Technik und Organisation gleichermaßen zu schützen.
Schulung und Sensibilisierung
Das Personal eines Krankenhauses spielt in der IT-Sicherheit eine Schlüsselrolle. Viele Angriffe beginnen mit Phishing oder anderen Social-Engineering-Angriffen, die menschliche Fehler ausnutzen. Regelmäßige Schulungen und Sensibilisierungsmaßnahmen für alle Mitarbeiter sind daher essenziell.
Dazu gehört unter anderem, verdächtige E-Mail-Anhänge oder Links zu identifizieren, sichere Passwörter und 2-Faktor-Authentifizierung zu verwenden, Auffälligkeiten zu erkennen und der IT-Abteilung zu melden.
Investitionen in moderne IT-Infrastruktur
Investitionen in eine moderne, sichere IT-Infrastruktur für Krankenhäuser sind unverzichtbar, um Angreifern einen Schritt voraus zu sein. Zunächst heißt das, veraltete Systeme konsequent zu ersetzen und regelmäßig mit Sicherheits-Updates zu versorgen.
In Deutschland stellt das Krankenhauszukunftsgesetz Fördermittel für die Digitalisierung zur Verfügung, von denen mindestens 15 % explizit in IT-Sicherheit investiert werden müssen. Auch auf EU-Ebene werden durch Initiativen wie den EFRE-Fonds und Programme zur digitalen Gesundheit Gelder bereitgestellt.
Sicherheitsprotokolle und Notfallpläne
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verlangt von Krankenhäusern als KRITIS-Betreiber entsprechende Notfallwiederherstellungspläne.
Zentrale Maßnahme ist eine umfassende Datensicherung, mit der bei einem erfolgreichen Ransomware-Angriff auf saubere Back-ups zurückgegriffen und der Betrieb zügig wiederhergestellt werden kann.
Neben Back-ups und Notfallwiederherstellungsplänen braucht es klare Prozesse zur Zugriffskontrolle. Imprivata bietet hier ergänzend auch Privileged Access Management für administrative Zugänge mit Protokollierung und Echtzeit-Überwachung.
Rechtliche und regulatorische Aspekte
Die Gesundheits-IT unterliegt in Europa strengen Datenschutz- und Sicherheitsauflagen. Krankenhäuser
Datenschutz und DSGVO
Der Schutz von Patientendaten ist in der EU gesetzlich geregelt. Gesundheitsdaten zählen gemäß Art. 9 DSGVO zu den „besonderen Kategorien personenbezogener Daten“, die einen besonders hohen Schutzstatus genießen. Krankenhäuser sind daher verpflichtet, technische und organisatorische Maßnahmen zu ergreifen, welche die Vertraulichkeit, Integrität und Verfügbarkeit dieser Daten gewährleisten.
In der Schweiz gelten vergleichbare Prinzipien über das Datenschutzgesetz (DSG), in Österreich über das Datenschutzgesetz (DSG) in Kombination mit der DSGVO.
Sicherheitszertifikate und Standards
Neben dem Datenschutz rücken verstärkt IT-Sicherheitsstandards und Zertifizierungen für Krankenhäuser in den Fokus. Einrichtungen der kritischen Infrastruktur (KRITIS) fallen unter besondere Sicherheitsgesetze – in Deutschland etwa das IT-Sicherheitsgesetz und entsprechende BSI-Richtlinien.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt verbindliche Mindeststandards vor. Dazu zählen u. a. regelmäßige Risikoanalysen, der Einsatz anerkannter Sicherheitssoftware, strenge Zugriffskontrollen (z. B. 2-Faktor-Authentifizierung) und die Etablierung von Notfallkonzepten. Krankenhäuser müssen sich in diesem Zusammenhang regelmäßigen Audits unterziehen.
In Deutschland gibt es branchenspezifische Sicherheitsstandards (B3S) für den Gesundheitssektor, die vom BSI in Zusammenarbeit mit der Branche entwickelt wurden. Die Erfüllung dieser Standards wird überwacht und muss in regelmäßigen Audits nachgewiesen werden.
In der Schweiz und Österreich existieren vergleichbare Zertifizierungsmodelle, oft orientiert an internationalen Normen wie ISO/IEC 27001 (dem Standard für Informationssicherheits-Managementsysteme).
Auf europäischer Ebene verpflichtete bereits die NIS-Richtlinie (Network and Information Security) von 2016 zu Sicherheitsmaßnahmen und der Meldung schwerer IT-Vorfälle. Diese Anforderungen werden mit der neuen NIS2-Richtlinienochmals verschärft.
Cybersicherheit für Krankenhäuser wichtiger denn je
Die Zeiten, in denen IT-Sicherheit als reines „IT-Thema“ behandelt werden konnte, sind vorbei. Mit der NIS2-Richtlinie wird die Absicherung der kritischen Infrastruktur zur direkten Pflicht der Krankenhausleitung. Da die Geschäftsführung nun persönlich für die Umsetzung von Sicherheitsmaßnahmen haftet, wird die Wahl der richtigen Tools zur strategischen Entscheidung.
Lösungen wie Imprivata bieten hier einen entscheidenden Vorteil: Sie schließen nicht nur die gefährlichsten Einfallstore durch moderne Identitätsverwaltung und passwortlose Authentifizierung, sondern stellen auch die erforderliche Compliance sicher. So können Kliniken den strengen Audit-Anforderungen von BSI und DSGVO gelassen entgegensehen, während sich das medizinische Personal dank nahtloser Workflows voll auf das Wesentliche konzentrieren kann: die Patientensicherheit.