Alarmstufe Rot für Krankenhäuser
Die BDO AG Wirtschaftsprüfungsgesellschaft (BDO) und das Deutschen Krankenhausinstitut (DKI) haben die Cybersicherheit an Krankenhäusern in Deutschland untersucht. In ihrer BDO/DKI-Studie 2025 fassen sie die Ergebnisse zusammen.
Krankenhäuser müssen dringend ihre Cybersicherheit verbessern. Das belegt eine aktuelle Studie.
Foto: smarterPix / matamnad
Befragt wurden Allgemeinkrankenhäuser ab 100 Betten. Beteiligt haben sich bundesweit insgesamt 177 Krankenhäuser, weshalb die Initiatoren der Studie die Ergebnisse als repräsentativ einstufen. Im Fokus steht die Verwundbarkeit der kritischen Infrastruktur Krankenhaus. Die Ergebnisse zeigen, dass digitale Angriffe nicht nur Daten, sondern unmittelbar die Versorgung von Patientinnen und Patienten bedrohen und daher höchste Aufmerksamkeit benötigen.
Bedrohungslage und Cybersicherheit an Krankenhäusern
Die Befragung zeigt, dass 90 Prozent der Verantwortlichen die Bedrohung für ihr eigenes Haus als hoch oder sehr hoch einschätzen. Fast niemand rechnet mit Entspannung: Die meisten Häuser erwarten in den kommenden zwei Jahren eine weitere Zuspitzung der Situation.
Auch wenn viele Angriffe den Betrieb nicht lahmlegen, sind die Auswirkungen im Ernstfall gravierend: In 19 Prozent der Fälle wurde die Behandlung von Patientinnen und Patienten massiv eingeschränkt oder war zeitweise unmöglich. In weiteren Fällen kam es zu Verzögerungen bei internen Abläufen wie Abrechnung oder Kommunikation, was die betriebliche Resilienz deutlich auf die Probe stellt. Allerdings machten die Befragten kaum eine Angabe zur Dauer der Einschränkungen.
Gesetzliche Vorgaben für Kliniken in Sachen Cybersicherheit
Rechtlich ist klar definiert, dass Krankenhäuser organisatorische und technische Vorkehrungen nach dem Stand der Technik treffen müssen, um Verfügbarkeit, Integrität und Vertraulichkeit ihrer Systeme zu sichern. Viele Einrichtungen setzen deshalb mehrere IT-spezifische Standards um, darunter BSI IT-Grundschutz, B3S Krankenhaus und ISO 27001.
Die kommende NIS‑2-Richtlinie (Network and Information Security, ein EU-Regelwerk) verschärft die Anforderungen und wird voraussichtlich rund 90 Prozent der Allgemeinkrankenhäuser ab 100 Betten betreffen. Ein Großteil der Häuser hat bereits eine Betroffenheitsanalyse gestartet oder abgeschlossen, schätzt den Anpassungsaufwand jedoch überwiegend als hoch bis sehr hoch ein und sieht damit zusätzlichen Druck auf Budgets und Personal auf sich zukommen.
Stand der IT-Sicherheit in Krankenhäusern
Auf technischer Ebene sind Basisschutzmechanismen weit verbreitet: Nahezu alle Einrichtungen nutzen Antivirensoftware und Firewalls, ergänzt um zentrale E-Mail-Scans sowie sichere Remote-Zugänge über VPN oder VDI. Getrennte Backups und Endpoint-Detection & Response-Lösungen kommen ebenfalls häufig zum Einsatz, um Angriffe früh zu erkennen und den Schaden zu begrenzen.
Komplexere Sicherheitsarchitekturen wie Intrusion-Detection- und Intrusion-Prevention-Systeme oder fein segmentierte Netze mit Network Access Control sind zwar im Aufbau, aber noch nicht flächendeckend etabliert. Defizite zeigen sich auch bei SIEM- und SOC-Strukturen, bei konsequenter Protokollauswertung oder bei E-Mail-Verschlüsselung und Notfallkommunikation, die vielerorts erst geplant sind.
Welche Maßnahmen sind noch relevant?
Organisatorisch setzen viele Kliniken auf Schulungen zu Datenschutz, Informations- und IT-Sicherheit, häufig kombiniert mit strukturiertem Patch- und Änderungsmanagement und Regeln zur Nutzung privater Endgeräte. Auch physische Zugangskontrollen und Schwachstellenscans werden in zahlreichen Häusern eingesetzt, um die Cybersicherheit an Krankenhäusern über die Technik hinaus zu stärken.
Gleichzeitig bestehen Lücken bei Business-Continuity-Management-Systemen, übergreifenden Sicherheitskonzepten und Notfallübungen für Cyberangriffe, die bislang nur in wenigen Einrichtungen Routine sind. Informationssicherheitsmanagementsysteme sind zwar bei 41 Prozent vorhanden, erreichen aber meist mittlere Reifegrade und werden erst selten kontinuierlich optimiert.
Cybersicherheit an Krankenhäusern: Verantwortung und Ressourcen
Die Verantwortung für IT-Sicherheit ist strategisch überwiegend in der Geschäftsführung und ergänzend in der IT-Abteilung verankert, operativ liegt sie fast immer bei der IT. Nur ein Teil der Häuser verfügt über eigene Abteilungen für IT-Sicherheit oder eingebundene Compliance-Strukturen, obwohl Cybersicherheit an Krankenhäusern deutlich als Querschnittsaufgabe erkennbar wird.
Personell zeigt sich ein spürbarer Engpass: Rund ein Drittel der Kliniken meldet unbesetzte Stellen im Bereich IT-Sicherheit, im Durchschnitt mehr als eine Vollzeitkraft pro Haus. Etwa 41 Prozent planen in den kommenden zwei Jahren zusätzliche Stellen, während das Budget für IT-Sicherheit 2024 im Schnitt bei 16 Prozent der IT-Investitionen liegt, mit sehr breiter Spannweite zwischen den Einrichtungen.
Mitarbeitende sensibilisieren für mehr Cybersicherheit in Kliniken
Für die Sensibilisierung der Mitarbeiterinnen und Mitarbeiter setzen die meisten Häuser auf Einweisungen in den sicheren IT‑Umgang und auf Schulungen zu IT-Risiken. Ergänzt werden diese Angebote teilweise durch Kampagnen, Berichte über kritische Vorfälle und vereinzelt durch Phishing-Simulationen oder Notfallübungen, die das Sicherheitsbewusstsein im Alltag stärken sollen.
Die Studie macht deutlich, dass eine gelebte Sicherheitskultur genauso wichtig ist wie Technik und Prozesse: Nur wenn alle Beschäftigten Angriffsformen erkennen, Meldewege kennen und im Ernstfall handlungssicher sind, kann Cybersicherheit an Krankenhäusern die Versorgung zuverlässig schützen.
Ein Beitrag von:
