Cybersicherheit an Kliniken 04.02.2026, 17:30 Uhr

Alarmstufe Rot für Krankenhäuser

Die BDO AG Wirtschaftsprüfungsgesellschaft (BDO) und das Deutschen Krankenhausinstitut (DKI) haben die Cybersicherheit an Krankenhäusern in Deutschland untersucht. In ihrer BDO/DKI-Studie 2025 fassen sie die Ergebnisse zusammen.

Krankenhausbett, dass durch ein virtuelles Schloss nicht benutzbar ist.

Krankenhäuser müssen dringend ihre Cybersicherheit verbessern. Das belegt eine aktuelle Studie.

Foto: smarterPix / matamnad

Befragt wurden Allgemeinkrankenhäuser ab 100 Betten. Beteiligt haben sich bundesweit insgesamt 177 Krankenhäuser, weshalb die Initiatoren der Studie die Ergebnisse als repräsentativ einstufen. Im Fokus steht die Verwundbarkeit der kritischen Infrastruktur Krankenhaus. Die Ergebnisse zeigen, dass digitale Angriffe nicht nur Daten, sondern unmittelbar die Versorgung von Patientinnen und Patienten bedrohen und daher höchste Aufmerksamkeit benötigen.

Bedrohungslage und Cybersicherheit an Krankenhäusern

Die Befragung zeigt, dass 90 Prozent der Verantwortlichen die Bedrohung für ihr eigenes Haus als hoch oder sehr hoch einschätzen. Fast niemand rechnet mit Entspannung: Die meisten Häuser erwarten in den kommenden zwei Jahren eine weitere Zuspitzung der Situation.

Auch wenn viele Angriffe den Betrieb nicht lahmlegen, sind die Auswirkungen im Ernstfall gravierend: In 19 Prozent der Fälle wurde die Behandlung von Patientinnen und Patienten massiv eingeschränkt oder war zeitweise unmöglich. In weiteren Fällen kam es zu Verzögerungen bei internen Abläufen wie Abrechnung oder Kommunikation, was die betriebliche Resilienz deutlich auf die Probe stellt. Allerdings machten die Befragten kaum eine Angabe zur Dauer der Einschränkungen.

Gesetzliche Vorgaben für Kliniken in Sachen Cybersicherheit

Rechtlich ist klar definiert, dass Krankenhäuser organisatorische und technische Vorkehrungen nach dem Stand der Technik treffen müssen, um Verfügbarkeit, Integrität und Vertraulichkeit ihrer Systeme zu sichern. Viele Einrichtungen setzen deshalb mehrere IT-spezifische Standards um, darunter BSI IT-Grundschutz, B3S Krankenhaus und ISO 27001.

Top Stellenangebote

Zur Jobbörse
Stadt Freiburg-Firmenlogo
Ingenieur*in / Techniker*in / Meister*in Elektrotechnik als Projektleitung Stadt Freiburg
Freiburg Zum Job 
Staatliches Baumanagement Hannover-Firmenlogo
Ingenieure (m/w/d) Elektrotechnik Staatliches Baumanagement Hannover
Hannover Zum Job 
Koehler Paper-Firmenlogo
Produktionsingenieur (m/w/d) Papier Koehler Paper
Gottlob Brodbeck GmbH & Co. KG-Firmenlogo
Bauingenieur - Oberbauleiter Rohbau (m/w/d) Gottlob Brodbeck GmbH & Co. KG
Metzingen Zum Job 
Gottlob Brodbeck GmbH & Co. KG-Firmenlogo
Bauingenieur/Bautechniker - Bauleiter Rohbau (m/w/d) Gottlob Brodbeck GmbH & Co. KG
Stuttgart Zum Job 
Gottlob Brodbeck GmbH & Co. KG-Firmenlogo
Bauingenieur/Bautechniker - Bauleiter Rohbau (m/w/d) Gottlob Brodbeck GmbH & Co. KG
Metzingen Zum Job 
Brodbeck Service und Verwaltung GmbH & Co. KG-Firmenlogo
Technischer Einkäufer (m/w/d) Brodbeck Service und Verwaltung GmbH & Co. KG
Metzingen Zum Job 
Fraunhofer-Institut für Angewandte Festkörperphysik IAF-Firmenlogo
Ingenieur Mikroelektronik - Hochfrequenztechnik / Messtechnik (all genders) Fraunhofer-Institut für Angewandte Festkörperphysik IAF
Freiburg im Breisgau Zum Job 
Hirschvogel Holding GmbH-Firmenlogo
Ingenieur / Techniker als Planer Qualitätsmanagement für Kundenprojekte (m/w/d) Hirschvogel Holding GmbH
Denklingen Zum Job 
Deutsches Elektronen-Synchrotron DESY-Firmenlogo
Scientist for FPGA-based RF signal processing and control (m/f/d) Deutsches Elektronen-Synchrotron DESY
Hamburg Zum Job 
JOST-Werke Deutschland GmbH-Firmenlogo
Manager Testing & Prototyping Global | Mechanical Systems (m/w/d) JOST-Werke Deutschland GmbH
Neu-Isenburg (bei Frankfurt a. M.) Zum Job 
Landkreis Reutlingen-Firmenlogo
Leitung (w/m/d) des Kreisbauamtes Landkreis Reutlingen
Reutlingen Zum Job 
kbo-Donau-Altmühl-Kliniken gGmbH-Firmenlogo
Bautechniker (m/w/d) kbo-Donau-Altmühl-Kliniken gGmbH
Ingolstadt, Taufkirchen, Freising, Eichstätt Zum Job 
Markt Bad Abbach-Firmenlogo
Sachgebietsleitung Hochbau und Gebäudeunterhaltung (w/m/d) Markt Bad Abbach
Bad Abbach Zum Job 
RHEINMETALL AG-Firmenlogo
Verstärkung für unsere technischen Projekte im Bereich Engineering und IT (m/w/d) RHEINMETALL AG
deutschlandweit Zum Job 
Hamburg Wasser-Firmenlogo
Ingenieur Projektleitung Großprojekte Wasserwerke (m/w/d) Hamburg Wasser
Hamburg Zum Job 
Sweco GmbH-Firmenlogo
Teamleitung Verkehr & Wasser (w/m/x) Sweco GmbH
Hannover Zum Job 
Stadtwerke Strausberg GmbH-Firmenlogo
Techniker Stromnetz - Netzkoordination & Digitalisierung (m/w/d) Stadtwerke Strausberg GmbH
Strausberg Zum Job 
Logistik Stahlbau Fischer GmbH & Co. KG-Firmenlogo
Technischer Vertriebsmitarbeiter (m/w/d) im Stahlbau Logistik Stahlbau Fischer GmbH & Co. KG
Karlsruhe Zum Job 
Ministerium für Schule und Bildung Nordrhein-Westfalen-Firmenlogo
Lehrkraft (m/w/d) Ministerium für Schule und Bildung Nordrhein-Westfalen
Nordrhein-Westfalen Zum Job 

Die kommende NIS‑2-Richtlinie (Network and Information Security, ein EU-Regelwerk) verschärft die Anforderungen und wird voraussichtlich rund 90 Prozent der Allgemeinkrankenhäuser ab 100 Betten betreffen. Ein Großteil der Häuser hat bereits eine Betroffenheitsanalyse gestartet oder abgeschlossen, schätzt den Anpassungsaufwand jedoch überwiegend als hoch bis sehr hoch ein und sieht damit zusätzlichen Druck auf Budgets und Personal auf sich zukommen.

Stand der IT-Sicherheit in Krankenhäusern

Auf technischer Ebene sind Basisschutzmechanismen weit verbreitet: Nahezu alle Einrichtungen nutzen Antivirensoftware und Firewalls, ergänzt um zentrale E-Mail-Scans sowie sichere Remote-Zugänge über VPN oder VDI. Getrennte Backups und Endpoint-Detection & Response-Lösungen kommen ebenfalls häufig zum Einsatz, um Angriffe früh zu erkennen und den Schaden zu begrenzen.

Komplexere Sicherheitsarchitekturen wie Intrusion-Detection- und Intrusion-Prevention-Systeme oder fein segmentierte Netze mit Network Access Control sind zwar im Aufbau, aber noch nicht flächendeckend etabliert. Defizite zeigen sich auch bei SIEM- und SOC-Strukturen, bei konsequenter Protokollauswertung oder bei E-Mail-Verschlüsselung und Notfallkommunikation, die vielerorts erst geplant sind.

Welche Maßnahmen sind noch relevant?

Organisatorisch setzen viele Kliniken auf Schulungen zu Datenschutz, Informations- und IT-Sicherheit, häufig kombiniert mit strukturiertem Patch- und Änderungsmanagement und Regeln zur Nutzung privater Endgeräte. Auch physische Zugangskontrollen und Schwachstellenscans werden in zahlreichen Häusern eingesetzt, um die Cybersicherheit an Krankenhäusern über die Technik hinaus zu stärken.

Gleichzeitig bestehen Lücken bei Business-Continuity-Management-Systemen, übergreifenden Sicherheitskonzepten und Notfallübungen für Cyberangriffe, die bislang nur in wenigen Einrichtungen Routine sind. Informationssicherheitsmanagementsysteme sind zwar bei 41 Prozent vorhanden, erreichen aber meist mittlere Reifegrade und werden erst selten kontinuierlich optimiert.

Cybersicherheit an Krankenhäusern: Verantwortung und Ressourcen

Die Verantwortung für IT-Sicherheit ist strategisch überwiegend in der Geschäftsführung und ergänzend in der IT-Abteilung verankert, operativ liegt sie fast immer bei der IT. Nur ein Teil der Häuser verfügt über eigene Abteilungen für IT-Sicherheit oder eingebundene Compliance-Strukturen, obwohl Cybersicherheit an Krankenhäusern deutlich als Querschnittsaufgabe erkennbar wird.

Personell zeigt sich ein spürbarer Engpass: Rund ein Drittel der Kliniken meldet unbesetzte Stellen im Bereich IT-Sicherheit, im Durchschnitt mehr als eine Vollzeitkraft pro Haus. Etwa 41 Prozent planen in den kommenden zwei Jahren zusätzliche Stellen, während das Budget für IT-Sicherheit 2024 im Schnitt bei 16 Prozent der IT-Investitionen liegt, mit sehr breiter Spannweite zwischen den Einrichtungen.

Mitarbeitende sensibilisieren für mehr Cybersicherheit in Kliniken

Für die Sensibilisierung der Mitarbeiterinnen und Mitarbeiter setzen die meisten Häuser auf Einweisungen in den sicheren IT‑Umgang und auf Schulungen zu IT-Risiken. Ergänzt werden diese Angebote teilweise durch Kampagnen, Berichte über kritische Vorfälle und vereinzelt durch Phishing-Simulationen oder Notfallübungen, die das Sicherheitsbewusstsein im Alltag stärken sollen.

Die Studie macht deutlich, dass eine gelebte Sicherheitskultur genauso wichtig ist wie Technik und Prozesse: Nur wenn alle Beschäftigten Angriffsformen erkennen, Meldewege kennen und im Ernstfall handlungssicher sind, kann Cybersicherheit an Krankenhäusern die Versorgung zuverlässig schützen.

Ein Beitrag von:

  • Nina Draese

    Nina Draese hat unter anderem für die dpa gearbeitet, die Presseabteilung von BMW, für die Autozeitung und den MAV-Verlag. Sie ist selbstständige Journalistin und gehört zum Team von Content Qualitäten. Ihre Themen: Automobil, Energie, Klima, KI, Technik, Umwelt.

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.