Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Krankenhaus-Cybersicherheit: KRITIS, KHZG und technische Schutzmassnahmen - Kritische Infrastruktur und IT-Sicherheitsschutz
Compliance & Standards

Krankenhaus-Cybersicherheit: KRITIS, KHZG und technische Schutzmassnahmen

Cybersicherheit im Gesundheitswesen: KRITIS-Pflichten für Krankenhäuser, paragraph 75b SGB V Massnahmen, typische Angriffsvektoren auf Kliniken (WannaCry, Duesseldorf, Vastaamo), medizinische Gerätesicherheit (FDA-Leitlinien), IT/OT-Konvergenz und konkrete Massnahmen für Healthcare-CISOs.

Jan Hörnemann Jan Hörnemann Chief Operating Officer · Prokurist
12 Min. Lesezeit
ISO 27001 Lead Auditor (PECB/TÜV) T.I.S.P. (TeleTrusT) ITIL 4 (PeopleCert) BSI IT-Grundschutz-Praktiker (DGI) Ext. ISB (TÜV) BSI CyberRisikoCheck CEH (EC-Council)

TL;DR

Seit dem DoppelPaymer-Angriff auf das Universitätsklinikum Düsseldorf 2020 - der ersten nachgewiesenen Todesursache durch einen Cyberangriff auf ein Krankenhaus - ist IT-Sicherheit im Gesundheitswesen rechtlich verbindlich geregelt: §75b SGB V verpflichtet seit 2022 alle Krankenhäuser zur Umsetzung der BSI-Mindeststandards, unabhängig vom KRITIS-Schwellenwert von 30.000 stationären Fällen jährlich. NIS2 erweitert seit Oktober 2024 die Pflichten auf kleinere Einrichtungen. Das KHZG fördert Informationssicherheit mit bis zu 15 Prozent des Gesamtbudgets. Besonders unterschätzt bleibt die medizinische Gerätesicherheit: Infusionspumpen und CT-Geräte laufen häufig auf ungepatchten Altsystemen und gehören in isolierte VLANs.

Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 52).

Inhaltsverzeichnis (6 Abschnitte)

Das Gesundheitswesen ist eines der attraktivsten Ziele für Ransomware-Gruppen: Lebenskritische Systeme erzeugen maximalen Druck zur LösegeldZahlung, Patientendaten erzielen auf dem Darknet Höchstpreise, und die IT-Sicherheit ist historisch unterfinanziert. Seit dem Angriff auf das Lukas-Krankenhaus Neuss (2016) und dem ersten todesursaechlich relevanten Angriff in Duesseldorf (2020) ist Healthcare Cybersicherheit kein akademisches Thema mehr.

Rechtlicher Rahmen: Wer muss was erfuellen?

KRITIS (BSI-Gesetz / BSIG)

Betroffene: Krankenhäuser mit mehr als 30.000 stationären Fällen pro Jahr (ca. 170 Krankenhäuser in Deutschland, Stand 2024).

Pflichten:

  • Meldepflicht bei erheblichen Störungen (72 Stunden an das BSI)
  • Sicherheitsmassnahmen nach Stand der Technik
  • Nachweis alle 2 Jahre (Prüfung, Zertifizierung oder Revision)
  • IT-Sicherheitsbeauftragten benennen

Rechtsgrundlage: BSIG § 8a, Verordnung zur KRITIS-Einstufung

§ 75b SGB V (seit 2022)

Betroffene: ALLE Krankenhäuser, unabhängig vom KRITIS-Schwellenwert.

  • Basis: BSI-Empfehlungen als Mindeststandard
  • Finanzierung: KHZG-Fördertatbestand 10 (Informationssicherheit) - bis 15 % des KHZG-Gesamtbudgets für IT-Sicherheit
  • Nachweis: alle 2 Jahre gegenüber DKG/BSI

DSGVO / GDPR

Patientendaten sind besondere Kategorien nach Art. 9 und unterliegen der höchsten Schutzklasse. Datenpannen müssen innerhalb von 72 Stunden an die Datenschutzbehörde gemeldet werden. Mit allen IT-Dienstleistern sind Auftragsverarbeitungsverträge (AVV) zu schließen.

NIS2 (seit Oktober 2024)

Gesundheitseinrichtungen gelten als “wesentliche Einrichtungen”. Auch kleinere Krankenhäuser mit weniger als 250 Mitarbeitern können betroffen sein. Gefordert werden Risikomanagement, Zulieferer-Sicherheit und Meldepflichten.

Angriffshistorie: Was tatsächlich passiert ist

2016 - Lukas-Krankenhaus Neuss (Ransomware Locky)

Der Angriff führte zu einem zehn Tage andauernden Teilausfall mit Abkehr vom digitalen Betrieb. Die Kosten beliefen sich auf rund eine Million Euro - Lösegeld wurde nicht gezahlt. Der wichtigste Lerneffekt: Phishing ist das Haupteinfallstor, und funktionierende Backups erwiesen sich als Lebensretter.

2020 - Universitätsklinikum Düsseldorf (Ransomware DoppelPaymer)

Die Notaufnahme blieb 13 Tage geschlossen. Eine Patientin musste in ein anderes Krankenhaus verlegt werden - dieser Fall gilt als erste nachgewiesene Todesursache durch einen Cyberangriff auf ein Krankenhaus, wenngleich dies rechtlich umstritten bleibt. Der Angriffspunkt war eine ungepatchte Citrix-Schwachstelle (CVE-2019-19781). Die Angreifer zogen die Ransomware nach Bekanntwerden des Krankenhauses zurück.

2020 - Vastaamo (Finnland, Psychotherapie-Praxis)

Patientenakten von 40.000 Personen wurden exfiltriert und die Patienten direkt erpresst. Das Unternehmen wurde insolvent; die Datenschutzbehörde verhängte ein Bußgeld von 608.000 Euro.

2021 - Irlands HSE (National Health Service, WizardSpider/Conti)

Das gesamte nationale Gesundheitssystem lag drei Wochen lang lahm. Die Kosten überstiegen 100 Millionen Euro - Lösegeld wurde nicht gezahlt.

2024 - Arztpraxen-Dienstleister Change Healthcare (USA)

Abrechnungen für 67.000 Arztpraxen waren mehr als sechs Wochen blockiert. Die Kosten beim Mutterkonzern UnitedHealth überstiegen 1,6 Milliarden US-Dollar.

Medizinische Gerätesicherheit (Medical Device Security)

Hier liegt ein oft unterschätztes Risikopotenzial.

Typische unsichere medizinische Geräte

Viele medizinische Geräte sind vernetzt, aber nicht ausreichend geschützt:

  • Infusionspumpen - oft mit Windows XP, keine Updates mehr verfügbar
  • Röntgen- und CT-Geräte - proprietäre Betriebssysteme, selten gepatcht
  • Patientenmonitoring-Systeme - direkte Netzwerkverbindung ohne Schutzebene
  • PACS (Picture Archiving and Communication System) - DICOM-Protokoll mit bekannten Schwachstellen
  • HL7-Schnittstellen - Integration ins Krankenhaus-Informationssystem

Bekannte Schwachstellen (Beispiele)

  • CVE-2020-25183: Philips Patientenmonitor - Remote Code Execution möglich
  • CVE-2020-16238: Medtronic Pumpen - Firmware-Update ohne Authentifizierung
  • URGENT/11 (2019): 11 kritische VxWorks-Vulnerabilities in mehr als zwei Milliarden Geräten
  • Ripple20 (2020): Treck TCP/IP Stack in über 100 Millionen eingebetteten Geräten

Regulatorische Anforderungen

EU MDR (Medical Device Regulation, 2021/2022): IT-Sicherheit ist Pflichtbestandteil der Zulassung. Hersteller müssen einen PSUR (Periodic Safety Update Report) einreichen und einen Schwachstellen-Disclosure-Prozess betreiben.

FDA (USA, 2023): Neue Geräte müssen eine SBOM (Software Bill of Materials) und einen Patch-Plan mitliefern. Cybersicherheits-Anforderungen sind jetzt Zulassungskriterium.

Schutzmassnahmen für medizinische Geräte

  • Medizinische Geräte in separates VLAN isolieren (Med-Devices-VLAN)
  • Kein direkter Internetzugang für Altgeräte (Whitelist: nur DNS und NTP)
  • Network Access Control (NAC): Geräte authentifizieren sich vor dem Netzwerkzugang
  • Passives Monitoring verwenden - keine aktiven Scans auf Medizingeräte (Absturzgefahr!)
  • Asset Inventory mit Geräte-Lebenszyklen und EOL-Datum pflegen

Konkrete Schutzmassnahmen nach § 75b SGB V

Basis-Massnahmen (alle Krankenhäuser)

1. Asset Management

  • Vollständiges Inventar aller IT-Assets (Hardware, Software, Dienste)
  • CMDB-Tool einsetzen (z. B. GLPI, i-doit, Snipe-IT)
  • Kritische Assets kennzeichnen (Lebenserhaltungssysteme, KIS, PACS)

2. Patch Management

  • Kritische CVEs: Patch innerhalb von 24 Stunden nach Verfügbarkeit
  • Alle anderen Patches: innerhalb von 30 Tagen
  • Medizingeräte: Koordination mit Hersteller vor dem Einspielen (Freigabe erforderlich!)
  • Ausnahmeliste für Geräte ohne Patch-Möglichkeit führen und Kompensationskontrollen definieren

3. Privileged Access Management

  • Keine gemeinsamen Admin-Accounts
  • MFA für alle administrativen Zugänge
  • PAM-Lösung für privilegierte Zugänge (z. B. CyberArk, BeyondTrust, Wallix)
  • Session-Aufzeichnung für kritische Systeme

4. Backup und Recovery

  • 3-2-1-Backup-Strategie umsetzen
  • Offsite-Backup (mindestens Band oder Cloud)
  • Lückenloser Restore-Test: monatlich für kritische Systeme, quartalsweise für alle
  • Maximale Recovery Time Objective (RTO) definieren: KIS unter 4 Stunden, PACS unter 8 Stunden

5. Incident Response

  • IR-Plan für Krankenhäuser mit Notbetriebsplan ohne IT (Stift und Papier!)
  • Übungen: mindestens einmal jährlich als Tabletop-Exercise
  • Kommunikationsplan: Wer informiert BSI, LDI, DKG und Patienten?
  • Forensik-Dienstleister vorvertraglich vereinbaren (24/7-Erreichbarkeit)

Erweiterte Massnahmen (KRITIS-Häuser)

  1. SIEM mit Healthcare-Use-Cases (Zugriffsanomalien auf Patientenakten)
  2. Netzwerksegmentierung: Klinisch vs. Verwaltung vs. Gäste vs. Med-Devices
  3. SOC-Anbindung (intern oder MSSP) mit 24/7-Monitoring
  4. Penetrationstest: mindestens einmal jährlich, Scope umfasst alle klinischen Systeme
  5. Supply-Chain-Assessment: IT-Dienstleister und Medizingerätehersteller

Notbetriebsplanung: Wenn die IT ausfaellt

Ein unterschätztes, aber kritisches Thema. Krankenhäuser müssen auf Papierbetrieb vorbereitet sein.

Inhalte eines Notbetriebsplans

  • Eskalationskaskade: IT-Notfall → Krankenhausleitung → BSI und Strafverfolgung
  • Papierformulare: Medikamentenvergabe, Vitalzeichen-Monitoring, OP-Checklisten
  • Offline-Medikamentendatenbank: auf USB-Stick, nicht im Netz
  • Kommunikation: Ausfalltelefonnummern, Notfall-Messengerdienst (AWARE7-Empfehlung: Signal)
  • Patientenverlegung: Kapazitäten benachbarter Krankenhäuser kennen und dokumentieren

Kritische Systeme mit Offline-Fähigkeit prüfen

  • KIS (Krankenhaus-Informationssystem): Gibt es einen Notbetrieb-Modus?
  • Apotheken-System: Papier-Rezepte vorbereiten
  • Labor-Systeme: Ist Handbefundung möglich?
  • PACS: Kann eine Notfallbefundung ohne historische Bilder erfolgen?

Empfehlung: Mindestens einmal jährlich eine “Strom-aus-Übung” durchführen (planbar, vier Stunden, nicht real). Das Team lernt dabei, was funktioniert, was fehlt und was gebraucht würde.

KHZG Fördertatbestand 10 nutzen

Krankenhausstrukturfoerderung 2.0 (KHZG 2.0, Stand 2024)

Der Fördertatbestand 10: IT-Sicherheit ermöglicht den Einsatz von bis zu 15 % des gesamten KHZG-Fördervolumens für IT-Sicherheitsmaßnahmen. Die Förderquote beträgt 70 % Bundesförderung bei 30 % Eigenanteil (oder Landesanteil).

Förderfähige Maßnahmen:

  • Security Operations Center (SOC) Aufbau
  • SIEM-Systeme
  • Endpoint Detection & Response (EDR)
  • Schwachstellenmanagement-Tools
  • Penetrationstests und Sicherheitsaudits
  • Schulungen und Awareness-Massnahmen
  • Notbetriebsplanung und BC/DR
  • Identity & Access Management (IAM/PAM)

Wichtig: Die Förderung ist an die digitale Reife gekoppelt. Fördertatbestand 10 ist nur kombiniert mit anderen Digitaltatbeständen beantragbar. Antragstellung erfolgt über das Bundesamt für Soziale Sicherung (BAS). Die Mittel müssen bis Ende 2025 verausgabt sein - dies ist dringend zu prüfen.

Healthcare Cybersicherheit ist eine Frage der Patientensicherheit - nicht nur der Compliance. Krankenhäuser die jetzt investieren, schützen nicht nur Daten, sondern Menschenleben und die eigene Betriebsfähigkeit. AWARE7 unterstützt Kliniken und Gesundheitsdienstleister bei KRITIS-Compliance, Penetrationstests klinischer IT-Systeme und der Entwicklung von Incident-Response-Plaenen mit Notbetriebskonzept.

Nächster Schritt

Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.

Kostenlose Erstberatung vereinbaren Leistungen ansehen

Kostenlos · 30 Minuten · Unverbindlich

Artikel teilen

LinkedIn X E-Mail
Zertifiziert ISO 27001ISO 9001AZAVBSI

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung