Cyber-Angriffe auf Gesundheitseinrichtungen sind heute die Norm. Von Ransomware, die den Krankenhausbetrieb lahmlegt, bis hin zu Sicherheitsverletzungen, durch die sensible Patientendaten offengelegt werden, nimmt die Vielfalt und Raffinesse der Bedrohungen kein Ende.
Diese Zusammenfassung wichtiger Cyber-Sicherheitsaspekte im Gesundheitswesen soll CISOs (Chief Information Security Officers), CIOs (Chief Information Officers) und anderen Führungskräften mit Verantwortung für Technologie helfen, die Bedrohungslandschaft ihrer Branche besser einschätzen zu können, indem sie sich mit gängigen Gefahren, Best Practices und Strategien zum Schutz ihrer Organisation für das aktuelle Jahr und darüber hinaus vertraut machen.
Cyber-Sicherheit im Gesundheitswesen – eine Definition
Cyber-Sicherheit im Gesundheitswesen umfasst die Technologien, Prozesse und Abläufe, die auf den Schutz digitaler Assets vor Cyber-Risiken abzielen. Zu diesen Assets gehören elektronische Patientenakten (ePA), Patientendaten, medizinische Geräte und andere kritische Systeme zur Unterstützung der Patientenversorgung.
Das Anwendungsfeld ist sehr breit und umfasst unter anderem:
Elektronische Gesundheitsakten (eGA) und Patientendaten
Vernetzte medizinische Geräte und IoT-Geräte
Krankenhaussysteme und -netzwerke
Telemedizin-Plattformen und Technologien für die Fernbetreuung
Forschungsdatenbanken und Daten aus klinischen Studien
Effektive Cyber-Sicherheit befasst sich nicht nur mit dem Schutz von Daten, sondern hat direkte Auswirkungen auf die medizinische Betreuung der Patienten, den Ruf einer Einrichtung und die Kontinuität des Geschäftsbetriebs. Ein Sicherheitsvorfall kann Verzögerungen oder Unterbrechungen bei der Patientenbetreuung verursachen, zu finanziellen Verlusten führen und das Vertrauen in das Gesundheitssystem aushöhlen.
Gängige Cyber-Bedrohungen in Gesundheitseinrichtungen
Gesundheitseinrichtungen verlassen sich zunehmend auf digitale Systeme. Damit verbunden sind eine Reihe gängiger Cyber-Bedrohungen, die speziell auf die Schwachstellen solcher Systeme abzielen.
Bei Ransomware-Angriffen wird Organisationen der Zugang zu kritischen Daten verwehrt. Die Folge sind Störungen der Patientenbetreuung und oftmals Schäden in Millionenhöhe aufgrund von Wiederherstellungskosten und Bußgeldern. Bei erfolgreichen Phishing-Kampagnen erbeuten Angreifer Anmeldedaten, mit denen sie sich Zugang zum Netzwerk verschaffen, und Insider-Bedrohungen – ob durch Fehler, Nachlässigkeit oder böswillige Absicht – können dazu führen, dass sensible Daten von internen Personen offengelegt werden. Zusätzlich entstehen durch die steigende Nutzung vernetzter medizinischer Geräte neue Schwachstellen. So können Hacker schwache Sicherheitsvorkehrungen umgehen, um Geräte zu kompromittieren oder sich unbefugt Zugang zu verschaffen.
Diese Risiken machen deutlich, wie wichtig zuverlässig greifende Cyber-Sicherheitsmaßnahmen sind, die speziell auf das Gesundheitswesen zugeschnitten sind.
Ransomware-Angriffe: Bei einem Ransomware-Angriff verschlüsseln Akteure die Daten einer Organisation und fordern ein Lösegeld im Austausch für den Entschlüsselungsschlüssel. Aufgrund der sensiblen Natur ihrer Daten und der Notwendigkeit, ohne Verzögerung auf Patientendaten zugreifen zu können, sind Gesundheitseinrichtungen besonders anfällig für diese Art von Angriff.
Ransomware-Angriffe haben im Gesundheitswesen stark zugenommen. Allein im Jahr 2024 wurden 181 Angriffe auf Gesundheitsdienstleister beobachtet, bei denen 25,6 Millionen Datensätze betroffen waren. Die Hacker forderten im Durchschnitt ein Lösegeld in Höhe von 5,7 Millionen USD und die betroffenen Organisationen zahlten im Schnitt 900.000 USD. 2024 belief sich die durchschnittliche Lösegeldforderung auf 1,06 Millionen USD und insgesamt wurden bei 22 gemeldeten Fällen Lösegelder in Höhe von 23,2 Millionen USD gezahlt.
Dem U.S. Office of the Director of National Intelligence (DNI) zufolge stieg die Anzahl der Ransomware-Angriffe 2023 rasant an. Bei Angriffen in den USA wurde eine Zunahme von 128 % beobachtet: 258 betroffene Organisationen im Vergleich zu 113 im Jahr 2022. Auch das US-amerikanische Ministerium für Gesundheit und Sozialdienste (U.S. Department of Health and Human Services; HHS) verzeichnete 2023 mehr als 630 Ransomware-Angriffe auf Gesundheitseinrichtungen weltweit – davon mehr als 460 in den USA.
Ransomware-Angriffe verursachen nicht nur finanzielle Verluste, sondern haben noch viele andere weitreichende Auswirkungen: von Störungen bei der Patientenversorgung und fehlendem Zugang zu ePAs bis hin zur Stornierung medizinischer Untersuchungen und Eingriffe. Dadurch erhöht sich die Wahrscheinlichkeit von Fehlern und sogar die Sterblichkeitsrate – von der Rufschädigung für die betroffene Einrichtung ganz zu schweigen.
Um das Risiko eines Ransomware-Angriffs zu senken, benötigen Gesundheitseinrichtungen einen mehrschichtigen Sicherheitsansatz mit regelmäßigen Daten-Backups, Schulungen für Mitarbeiter, Netzwerksegmentierung und modernen Tools für die Bedrohungserkennung und ‑abwehr.
Phishing-Kampagnen: Phishing ist ein weit verbreitetes Problem im Gesundheitswesen. Dabei versuchen Cyber-Kriminelle, Mitarbeiter in E-Mails oder anderen Nachrichten dazu zu verleiten, sensible Informationen preiszugeben oder auf schädliche Links zu klicken. Die meisten Beschäftigten im Gesundheitswesen erhalten eine große Anzahl von E-Mails und stehen unter Zeitdruck. Diese Kombination erhöht die Wahrscheinlichkeit, einem Phishing-Angriff zum Opfer zu fallen.
Bei einer HIMSS-Umfrage zur Cyber-Sicherheit im Gesundheitswesen von 2021 nannten 57 % der Teilnehmer Phishing als größtes Sicherheitsproblem. Erfolgreiche Phishing-Angriffe, bei denen Mitarbeiter entweder Anmeldedaten preisgaben oder unwissentlich Malware installierten, führten zu Datenschutzverletzungen, bei denen jeweils bis zu eine Million Datensätze betroffen waren. Eine von Paubox durchgeführte Umfrage ergab, dass Mitarbeiter ihr Sicherheitsteam nur über 5 % der erkannten Phishing-Versuche informieren.
Um zu verhindern, dass Angreifer mit Phishing Erfolg haben, sind kontinuierliche Schulungs- und Weiterbildungsmaßnahmen unerlässlich. Gesundheitseinrichtungen sollten ihr Personal regelmäßig im Erkennen von Phishing-Versuchen schulen und sie daran erinnern, verdächtige E-Mails zu melden und Best Practices in puncto E-Mail-Sicherheit einzuhalten.
Insider-Bedrohungen: Insider-Bedrohungen lassen sich auf Fehler bzw. Nachlässigkeit oder auf böswillige Absicht zurückführen. Bei versehentlichen Fällen wird die Sicherheit entweder durch Fehler beim Umgang mit Daten oder durch das Hereinfallen auf einen Phishing-Versuch kompromittiert. Böswillige Insider hingegen missbrauchen ihre Zugriffsrechte absichtlich, um Daten zu stehlen oder zu beschädigen.
Der „Costs of Insider Risks Global Report 2025“ des Ponemon Institute zeigt auf, dass die durch Insider-Risiken verursachten durchschnittlichen Gesamtkosten für das Jahr 2024 im Vergleich zum Vorjahr von 16,2 Milllionen USD auf 17,4 Millionen USD angestiegen waren. Insgesamt gab es 7.868 Vorfälle – im Schnitt 23 pro Organisation. Die Aufschlüsselung ergibt, dass 75 % der Vorfälle auf Nachlässigkeit oder Fehler zurückzuführen waren, aber 25 % waren die Folge böswilliger Insider-Angriffe.
Auch versehentliche, durch Insider verursachte Datenlecks können Bußgelder – zum Beispiel HIPAA-Geldstrafen in Höhe von bis zu 1,5 Millionen USD pro Verstoß –, Betriebsunterbrechungen und möglicherweise sogar Gefängnisstrafen von bis zu zehn Jahren nach sich ziehen.
Um Insider-Bedrohungen entgegenzuwirken, sollten Gesundheitseinrichtungen Zugriffskontrollen implementieren, Benutzeraktivitäten überwachen und regelmäßige Audits durchführen. Auch eine rollenbasierte Authentifizierung und die Durchsetzung des Least-Privilege-Prinzips können helfen, den Zugriff auf Daten so zu beschränken, dass Mitarbeiter nur die Daten einsehen können, die sie zum Ausführen ihrer Tätigkeit benötigen.
Sicherheitslücken durch medizinische Geräte: Die zunehmende Anbindung medizinischer Geräte an Krankenhausnetzwerke schafft potenzielle Einfallstore für Cyber-Kriminelle. Unbefugter Zugang zu medizinischer Ausrüstung kann der Manipulation kritischer Geräte Vorschub leisten und die Patientensicherheit gefährden.
Dem Bericht „State of Cybersecurity for Medical Devices and Healthcare Systems“ des Health Information Sharing and Analysis Center (Health-ISAC) ist zu entnehmen, dass medizinische Geräte, einschließlich Firmware und Software, zunehmend Sicherheitsrisiken ausgesetzt sind. Diese Risiken sind in erster Linie auf Sicherheitslücken mit hohem oder kritischem Schweregrad zurückzuführen, die vernetzte Geräte und Anwendungen im Gesundheitswesen betreffen.
Im Rahmen dieser Studie wurden 117 Anbieter von 966 Produkten im Zusammenhang mit in drei Klassen unterteilten Medizingeräten und IT-Anwendungen im Gesundheitswesen untersucht. Dabei wurde Folgendes festgestellt:
Medizinische Geräte der Klasse I wiesen 25 Sicherheitslücken auf.
Medizinische Geräte der Klasse II wiesen 2 Sicherheitslücken auf.
Medizinische Geräte der Klasse III wiesen 292 Sicherheitslücken auf.
IT-Anwendungen für das Gesundheitswesen wiesen 741 Sicherheitslücken auf.
Was können Einrichtungen im Gesundheitswesen also tun? Die klare Antwort lautet: Sie sollten die Cyber-Sicherheitsregelungen der FDA für medizinische Geräte befolgen und zum Beispiel regelmäßige Updates vornehmen, Schwachstellenbewertungen durchführen und Sicherheitskontrollen zum Schutz von vernetzten Geräten implementieren.
Auswirkungen von Datenschutzverletzungen im Gesundheitswesen
Datenschutzverletzungen im Gesundheitswesen und die Offenlegung persönlicher Gesundheitsinformationen und personenbezogener Daten können erhebliche Folgen für Patienten haben. Solche Vorfälle können kritische Abläufe stören, die Patientenbetreuung verzögern und Ressourcen in den betroffenen Einrichtungen belasten. Darüber hinaus verursachen sie hohe Kosten, unter anderem durch Bußgelder und Wiederherstellungsvorgänge. Ein einzelner Vorfall kann Schäden in Millionenhöhe bedeuten. So kann ein HIPAA-Verstoß bis zu 1,5 Millionen USD kosten – und eine Gefängnisstrafe mit sich bringen. Zu den Langzeitfolgen gehören der Verlust des Patientenvertrauens und ein langfristiger Rufschaden, der die Glaubwürdigkeit der Einrichtung infrage stellt.
Unterbrechungen der Patientenbetreuung: Cyber-Angriffe – insbesondere Ransomware-Angriffe – können den Betrieb empfindlich stören. Unter Umständen müssen Untersuchungen oder Eingriffe verschoben oder abgesagt werden und Patienten müssen längere Wartezeiten sowie reduzierte Betreuungskapazitäten in Kauf nehmen. In schwerwiegenden Fällen müssen Einrichtungen Patienten an andere Krankenhäuser verweisen, vorübergehend schließen oder mit noch schlimmeren Folgen rechnen. Analysten der wissenschaftlichen Zeitschrift Health Services Research stellten einen Zusammenhang zwischen Datenschutzverletzungen in Krankenhäusern und der Sterblichkeitsrate bei Herzinfarkten fest. Für diese Studie wurden Krankenhäuser, in denen eine Datenschutzverletzung stattfand, mit Krankenhäusern verglichen, die nicht von einem solchen Vorfall betroffen waren – genauer gesagt, die Sterblichkeitsrate in den Jahren nach einem Krankenhausaufenthalt. Dabei wurde in den 30 Tagen nach einer Datenschutzverletzung ein Anstieg der Todesfälle um 0,23 Prozent festgestellt. Diese Zahl erhöhte sich um 0,36 weitere Prozentpunkte in den zwei Jahren nach einem Vorfall und um 0,35 Prozent in den darauffolgenden drei Jahren.
Reputationsverlust: Datenschutzverletzungen können dem Ruf einer Einrichtung erheblich schaden, da sie das Vertrauen und die Treue der Patienten untergraben. Wenn Patienten das Gefühl haben, dass ihre personenbezogenen Daten nicht ausreichend geschützt sind, lassen sie sich möglicherweise andernorts behandeln. Negative Schlagzeilen können auch dazu führen, dass wichtiges Personal abwandert – oder sich gar nicht erst bei einer Einrichtung bewirbt.
Rechts- und Compliance-Risiken: Gesundheitseinrichtungen, deren Patientendaten offengelegt werden, müssen mit rechtlichen und regulatorischen Konsequenzen rechnen, nicht zuletzt HIPAA-Strafen und -Bußgeldern, behördlichen Untersuchungen und Sammelklagen seitens betroffener Patienten. 2020 verhängte das Office for Civil Rights des U.S. Department of Health and Human Services (HHS OCR) Geldstrafen in Höhe von 13,6 Millionen USD aufgrund von HIPAA-Verstößen.
Finanzielle Verluste: Datenschutzverletzungen können erhebliche Kosten für die betroffenen Einrichtungen verursachen, zum Beispiel Bußgelder und Kosten für Gerichtsverfahren, Incident-Response-Prozesse und die Wiederherstellung. Dem IBM-Bericht „Cost of a Data Breach 2024“ zufolge verursachten Datenschutzverletzungen im Untersuchungszeitraum im Schnitt einen Schaden von 9,77 Millionen USD. Damit nahm das Gesundheitswesen auch 2024 wieder die fragwürdige Spitzenposition bei den durchschnittlichen Kosten pro Vorfall ein, die der Sektor seit 2011 belegt.
Best Practices für die Cyber-Sicherheit im Gesundheitswesen
Best Practices für die Cyber-Sicherheit spielen beim Kampf gegen moderne Angreifer, die es auf sensible Patientendaten abgesehen haben, eine fundamentale Rolle. Ohne effektive Sicherheitsmaßnahmen können sich Gesundheitseinrichtungen nicht vor den immer komplexer werdenden Angriffen schützen. Im Rahmen Ihrer Sicherheitsvorkehrungen sollten Sie daher regelmäßige Risikobewertungen, robuste Zugriffskontrollen, das Verschlüsseln von Daten, Daten-Backups, die Nutzung Cloud-nativer Schutzfunktionen, Netzwerküberwachung und Automatisierungstools erwägen.
Regelmäßige Risikobewertungen: Das regelmäßige Durchführen von Risikobewertungen ist ein wichtiger Schritt, um potenzielle Sicherheitslücken zu identifizieren und zu priorisieren. Gesundheitseinrichtungen sollten ein Inventar aller Geräte und Systeme anlegen, in denen sensible Daten gespeichert oder verarbeitet werden. Dann sollten sie die Wahrscheinlichkeit und die möglichen Auswirkungen verschiedener Bedrohungsszenarien bewerten sowie Strategien zur Risikominderung entwickeln und implementieren. Darüber hinaus ist es wichtig, Stakeholder und externe Experten bei Bedarf frühzeitig und umfassend einzubinden.
Robuste Zugriffskontrollen: Gesundheitseinrichtungen können den Schutz ihrer Daten verbessern, indem sie robuste Zugriffskontrollen wie einen Zero-Trust-Ansatz und rollenbasierte Authentifizierungsmaßnahmen implementieren. Zugriffskontrollen sorgen dafür, dass nur autorisierte Personen Zugang zu sensiblen Daten erhalten. Dadurch lässt sich das Risiko von Insider-Bedrohungen und unbefugtem Zugriff mindern.
Verschlüsselung und Backups von Patientendaten: Das Verschlüsseln von Patientendaten und das Erstellen regelmäßiger Backups sind zwei wichtige Schritte beim Schutz vor Datenschutzverletzungen und Ransomware-Angriffen. Um die Vertraulichkeit und Integrität der Daten zu gewährleisten, sollten sie sowohl während der Übertragung als auch im gespeicherten Zustand verschlüsselt sein. Durch regelmäßige Backups werden Daten geschützt und können nach einem Cyber-Vorfall wiederhergestellt werden.
Cloud-nativer Datenschutz: Sichere Cloud-Lösungen ermöglichen Skalierbarkeit und eine schnelle Reaktion bei der Abwehr von Bedrohungen. Darüber hinaus profitieren Gesundheitseinrichtungen von integrierten, Cloud-basierten Sicherheitsfunktionen, die dafür sorgen, dass Daten sicher gespeichert und verarbeitet werden.
Überwachen des Netzwerks auf Cyber-Bedrohungen: Eine kontinuierliche Überwachung ist unerlässlich, um Bedrohungen zeitnah zu erkennen und abzuwehren, und Einrichtungen im Gesundheitswesen sollten Lösungen für die Echtzeitüberwachung des Netzwerks nutzen, um anomale Aktivitäten zu erkennen. Zudem sollten sie sich mithilfe von Threat-Intelligence-Feeds über neue Risiken auf dem Laufenden halten und einen umfassenden Incident-Response-Plan entwickeln, um Gefahren schnell eindämmen zu können.
Identifizierung und Schutz sensibler Patientendaten: Automatisierungstools können helfen, sensible Daten zu identifizieren und zu schützen. Gesundheitseinrichtungen sollten Lösungen zur Erkennung von Daten nutzen, um geschützte Gesundheitsdaten (PHI) und personenbezogene Daten (PII) zu identifizieren. Darüber hinaus sollten sie ein zuverlässiges Framework für die Klassifizierung und Priorisierung von Daten implementieren und dem Vertraulichkeitsgrad der Daten entsprechende Sicherheitskontrollen durchsetzen.
Effektive Abwehrmaßnahmen sind ein Muss
Von Ransomware, die den Betrieb lahmlegt, über Phishing bis hin zu Insider-Bedrohungen und den damit verbundenen Datenlecks: Gesundheitseinrichtungen sind zahlreichen Gefahren ausgesetzt. Daher müssen sie wachsam bleiben, um eine Störung der Patientenbetreuung zu verhindern und das Vertrauen der Patienten zu erhalten. Best Practices wie Verschlüsselung, Zugriffskontrollen und kontinuierliche Überwachung sind eine hervorragende Möglichkeit, sich vor diesen allgegenwärtigen Risiken zu schützen.
Dabei stehen nicht nur Ihre Daten auf dem Spiel, sondern auch die medizinische Versorgung und der Ruf Ihrer Organisation in unserer vernetzten Welt. IBM zufolge verursachten Datenschutzverletzungen im Gesundheitswesen 2024 im Durchschnitt Kosten in Höhe von 9,77 Millionen USD pro Vorfall und Sophos beobachtete einen 67-prozentigen Anstieg von Ransomware. Diese Zahlen verdeutlichen, dass Handlungsbedarf besteht. Regelmäßige Risikobewertungen und Personalschulungen können helfen, Sicherheitsvorfälle, unnötige Kosten und eine Rufschädigung zu vermeiden und potenzielle Krisen in beherrschbare Situationen zu verwandeln.
Letztendlich geht es bei der Cyber-Sicherheit um wesentlich mehr als um Compliance. Es geht um die Sicherheit der Patienten und die Aufrechterhaltung des Betriebs. Das sollten Ihre Ziele für 2025 und darüber hinaus sein – sorgen Sie also dafür, dass Sie Ihre Sicherheitsstrategie regelmäßig aktualisieren, überprüfen und anpassen. Vor diesem Hintergrund stellen Gesundheitssysteme ihren Wert unter Beweis, indem sie helfen, Risiken zu mindern und (verlorenes) Vertrauen aufzubauen. Die Aussicht auf Erfolg setzt voraus, proaktiv in Menschen und in Technologie zu investieren, um eine Zukunft aufzubauen, in der das Gesundheitswesen trotz der zu erwartenden Cyber-Bedrohungen gedeiht.