10 Gründe, wie Ihre IT neue Kunden anziehen kann!
Mehr erfahren

IT-Sicherheit im Gesundheitswesen: Cybersicherheit für Krankenhäuser und Arztpraxen

Jonas Miedl
8 min
Aktualisiert:
4.8.25
Veröffentlicht:
5.8.25

Die fortschreitende Digitalisierung verändert den Gesundheitssektor. Kliniken und Arztpraxen nutzen elektronische Patientenakten, vernetzte Medizingeräte und cloudbasierte Arbeitsplattformen. Dadurch werden einerseits neue Möglichkeiten zur effizienteren Versorgung geschaffen, andererseits wächst der Angriffsraum für Cyberkriminelle

2023 wurden laut der Europäischen Kommission 309 schwerwiegende Cybersicherheitsvorfälle im Gesundheitswesen gemeldet. IT-Sicherheit im Gesundheitswesen ist daher weit mehr als eine technische Notwendigkeit – sie ist ein zentraler Bestandteil der Patientenversorgung und des Vertrauens in medizinische Einrichtungen.

Warum IT-Sicherheit im Gesundheitswesen wichtig ist

Moderne IT-, Kommunikations- und Telematik-Infrastrukturen bilden die Basis für klinische und administrative Prozesse. Je stärker Systeme vernetzt sind oder Medizintechnologien an externe Akteure ausgelagert werden, desto wahrscheinlicher wird ein erfolgreicher Angriff. Insbesondere historisch gewachsene System- und Software-Architekturen sind anfällig für Angriffe. Bei einem Cyberangriff werden Operationspläne verschoben, medizinische Geräte gestört oder ganze Krankenhauskomplexe lahmgelegt. 

Die EU warnt deshalb, dass Cyberbedrohungen sich gegen elektronische Patientenakten, Workflowsysteme und medizinische Geräte richten und die Versorgung gefährden können. Neben dem Schutz der Patientendaten geht es also auch darum, die Verfügbarkeit und Integrität von Systemen zu gewährleisten, damit kritische Behandlungen nicht beeinträchtigt werden.

BSI-Studie zur Cybersicherheit bei Medizinprodukten und Cyber-Angriffszenario

Für Hersteller vernetzter Medizinprodukte hat das BSI mehr als 150 Schwachstellen analysiert und festgestellt, dass viele Probleme in der begleitenden Infrastruktur liegen. Die Behörde empfiehlt, die eigenen Produkte systematisch zu überprüfen, die empfohlenen Maßnahmen umzusetzen und Methoden zur Schwachstellenanalyse in das Risikomanagement zu integrieren. 

In Ihren Handlungsempfehlungen für Krankenhäuser hat das BSI ein mögliches Cyber-Angriffszenario unter 2.2 beschrieben, das wir hier in gekürzter Fassung wiedergeben:

Cyber-Angriffsszenario bei Krankenhausinformationssystemen (KIS)

“In einem realistischen Szenario verschaffen sich Angreifende Zugang zu einem Krankenhausnetzwerk, indem sie zunächst E-Mail-Adressen von Mitarbeitenden recherchieren oder erwerben (Reconnaissance). Anschließend entwickeln sie eine Phishing-Mail mit Schadsoftware (Resource Development) und versenden diese an Zielpersonen (Initial Access). Wird der Anhang oder Link geöffnet, wird die Schadsoftware ausgeführt (Execution).

Über den infizierten Rechner können Angreifende nun Netzwerkverkehr einsehen, insbesondere zwischen KIS-Client und KIS-Server. Da KIS-Clients oft keine strikte Netzwerksegmentierung nutzen, ist das Abgreifen unverschlüsselter oder unsicher verschlüsselter medizinischer Daten möglich (Collection). Zudem könnten Zugangsdaten im Netzwerkverkehr erkannt und ausgenutzt werden (Credential Access, Privilege Escalation), um direkten Zugriff auf die KIS-Datenbank zu erlangen.

In der Folge kann es zur Datenexfiltration kommen, etwa durch Diebstahl, Verschlüsselung oder Erpressung (Exfiltration, Impact). Alternativ könnten Schwachstellen in der Softwareverteilung genutzt werden, um Schadsoftware im gesamten Krankenhausnetzwerk zu verbreiten (Lateral Movement).”

Sicherheitsherausforderungen für Krankenhäuser

Das zuvor beschriebene Szenario verdeutlicht exemplarisch, wie anfällig Krankenhäuser für gezielte Cyberangriffe sind – insbesondere aufgrund komplexer IT-Strukturen, mangelnder Segmentierung und sozialer Angriffsvektoren wie Phishing. Solche Vorfälle zeigen, welchen hohen Stellenwert IT-Sicherheit im Krankenhausumfeld einnehmen muss.

Historisch gewachsene Software-Architekturen erhöhen die Angriffsfläche. Die EU weist darauf hin, dass sich Cyberbedrohungen gegen elektronische Patientenakten, Workflowsysteme und medizinische Geräte richten. Laut der BSI-Studie können Angreifende über Schwachstellen in der Office-Infrastruktur eines Krankenhauses einsteigen, ihre Privilegien über das Krankenhausinformationssystem (KIS) ausweiten und dort medizinische Daten abgreifen. 

Um gesetzlichen Anforderungen gerecht zu werden, sollten Krankenhäuser ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 oder BSI-IT-Grundschutz implementieren*. Das bedeutet unter anderem, Netzwerke zu segmentieren, Sicherheitsupdates zeitnah einzuspielen und Notfallpläne für Ransomware-Angriffe vorzuhalten. Eine Sicherheitsstrategie sollte zudem Schulungen für Mitarbeitende, regelmäßige Penetrationstests und die Überwachung von Drittanbietern umfassen.

Auch auf europäischer Ebene gibt es Initiativen: Der neue EU-Aktionsplan zur Cybersicherheit von Krankenhäusern und Gesundheitsdienstleistern zählt zu den Prioritäten der Kommission. Er erweitert bestehende Rechtsvorschriften, bezieht Hausärzte ein und legt den Schwerpunkt auf die Vorbeugung, Erkennung, Eindämmung und Abschreckung von Cyberbedrohungen. 

Krankenhäuser sollten diese Entwicklungen verfolgen und frühzeitig Maßnahmen einleiten, um Bußgelder und Reputationsschäden zu vermeiden.

*§ 8a BSIG verlangt von Betreibern kritischer Infrastruktur, die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von IT-Systemen, -Komponenten und -Prozessen zu gewährleisten.

Sicherheitsherausforderungen für Arztpraxen

Auch niedergelassene Arztpraxen geraten verstärkt in den Fokus der Cybersicherheit. Durch die Digitalisierung des Praxisbetriebs – etwa den Einsatz elektronischer Patientenakten, den Austausch mit Krankenkassen oder die Nutzung von Office-Plattformen wie Microsoft 365 steigt die Angriffsfläche. Die NIS2-Richtlinie weitet den Anwendungsbereich auf Gesundheitsdienstleister aus, die bislang nicht zum KRITIS-Bereich zählten (siehe regulatorischer Rahmen und Standards weiter unten). Das bedeutet, dass auch viele Praxen künftig verbindliche Informationssicherheitsmaßnahmen einführen müssen. 

Der Gesetzgeber fordert mit dem DigiG zudem, dass Praxisteams Awareness-Schulungen absolvieren (siehe regulatorischer Rahmen und Standards weiter unten).

Praktisch heißt das: Arztpraxen sollten ein ISMS aufbauen, regelmäßige Risikoanalysen durchführen und auch ihre Office-Infrastruktur absichern. Cloud-Dienste dürfen nur genutzt werden, wenn sie den strengen Anforderungen des BSI-C5 Katalogs entsprechen. Bei einem Sicherheitsvorfall müssen Praxen eine Erstanzeige an die zuständige Behörde innerhalb von 24 Stunden erstatten und nach einem Monat einen Abschlussbericht vorlegen. Technische und organisatorische Maßnahmen (TOM) umfassen Verschlüsselung, starke Authentifizierungsverfahren, sichere E-Mail-Kommunikation und regelmäßige Updates. Die Unternehmensleitung ist verpflichtet, Risiken zu managen und Ressourcen bereitzustellen.

Kleinere Praxen verfügen oft über begrenzte Ressourcen; dennoch sind sie attraktive Ziele für Cyberkriminelle, weil sensible Gesundheitsdaten wertvoll sind. Daher sollten auch Praxen externe Spezialisten in Betracht ziehen, um NIS2- und DigiG-Anforderungen zu erfüllen. 

Es empfiehlt sich frühzeitig, in geeignete Maßnahmen und gegebenenfalls externe IT-Dienstleister zu investieren, um gesetzliche Vorgaben zu erfüllen und die Informationssicherheit zu verbessern.

Regulatorischer Rahmen und Standards

Die gesetzlichen und normativen Anforderungen an die IT-Sicherheit im Gesundheitswesen sind vielfältig. Auf europäischer Ebene gehören die Datenschutz-Grundverordnung (DSGVO), der Cyber Security Act, die CER-Richtlinie, die KI-Verordnung und die Medizinprodukteverordnung (MDR) zum Rechtsrahmen. Der Cyber Resilience Act (CRA) erweitert diesen Rahmen. 

National kommen das Bundesdatenschutzgesetz (BDSG) und das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) hinzu. Mit der NIS2-Richtlinie und dem Digital-Gesetz (DigiG) wird der Rechtsrahmen weiter verschärft. 

NIS2

NIS2 verpflichtet viele Einrichtungen, die bisher nicht zu kritischen Infrastrukturen gehörten, zu Informationssicherheitsmaßnahmen und fordert bei Sicherheitsvorfällen eine Erstanzeige innerhalb von 24 Stunden sowie einen Abschlussbericht nach einem Monat. Unternehmensleitungen müssen Risikomanagementmaßnahmen genehmigen und überwachen. 

DigiG

Das DigiG, das am 26. März 2024 in Kraft trat, will die digitale Transformation des Gesundheitswesens beschleunigen. Es integriert die elektronische Patientenakte (ePA) flächendeckend, entwickelt das E-Rezept weiter und stärkt Videosprechstunden und Telekonsultationen. Zugleich werden die bisherigen §§ 75b und 75c SGB V in die neuen §§390–391 SGB V überführt, wodurch Sicherheitsmaßnahmen und Awareness-Schulungen für Praxis- und Krankenhauspersonal verbindlich werden. Sozial- und Gesundheitsdaten dürfen zudem in der Cloud verarbeitet werden, wenn Cloud-Dienste den BSI-C5 Kriterienkatalog erfüllen.

§ 75c SGB verpflichtet Krankenhäuser seit 2022 zu angemessenen Sicherheitsmaßnahmen und verweist auf den branchenspezifischen Sicherheitsstandard B3S als Grundlage.
§392 SGB V verpflichtet Krankenkassen, den Stand der Technik einzuhalten und organisatorische sowie technische Maßnahmen zu ergreifen, um die Verfügbarkeit, Integrität und Vertraulichkeit ihrer IT-Systeme zu gewährleisten.

Fazit und Ausblick

Die IT-Sicherheit im Gesundheitswesen ist ein komplexes Zusammenspiel aus Technik, Organisation und Recht. Die steigende Zahl von Angriffen und die hohe Vernetzung machen Krankenhäuser und Arztpraxen zu lukrativen Zielen. Gleichzeitig verpflichten neue EU- und Bundesgesetze medizinische Einrichtungen dazu, ein hohes Sicherheitsniveau einzuhalten. Ein verantwortungsvolles Risikomanagement, die Umsetzung internationaler Normen wie ISO 27001 und IEC 80001 sowie kontinuierliche Awareness-Schulungen sind unerlässlich, um Patientendaten zu schützen und die Versorgung zu sichern.

Indem Sie frühzeitig investieren und die gesetzlichen Anforderungen umsetzen, schaffen Sie die Grundlage für mehr Vertrauen, Compliance und vor allem für sichere IT-Systeme im Gesundheitswesen.

Kostenloses Whitepaper holen:
25-Punkte-Checkliste für Ihre IT

IT-Strategie & IT-Sicherheit

IT-Strukturen & Datenmanagement

Jetzt Whitepaper downloaden
Kostenlose Analyse holen:
Wir überprüfen Ihre IT-Security
 100%  kostenfreier Security Check

Jetzt kostenfrei anmelden und wir überprüfen Ihr Sicherheitskonzept.

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

Fundierte Analyse mit Auswertung

Handlungsempfehlung & Beratung

Security-Check vereinbaren
Worauf warten Sie noch?

Kontaktieren Sie uns

Antwort via Live-Chat von echten Mitarbeiten
Chat öffnen
Kostenloser Beratungstermin
Termin buchen
Rufen Sie uns kurz für eine Beratung an
+49 (0) 8725 964 910
Jetzt kostenfreien IT- Security Check anfragen
Security Check
Kontaktieren Sie uns gerne per WhatsApp
WhatsApp öffnen
Senden Sie uns Ihre Anfrage per Mail
info@mdsystec.de
100% verschlüsselte Anfrage
Zertifiziert nach DIN ISO:9001 und 27001
Ein definierter Ansprechpartner
Johannes Meier, Michael Frohn, Florian Müller, Norbert Thomsen
und 100 andere Geschäftsführer vertrauen MDSYSTEC Ihre IT an.