Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Branche: Gesundheitswesen

Patientensicherheit beginnt
bei der IT-Sicherheit.

67% aller Krankenhäuser wurden 2024 von Ransomware getroffen. Wir helfen Ihnen, KRITIS-konform und NIS-2-ready zu werden - bevor der Ernstfall eintritt.

Kostenlose Erstberatung Regulatorische Pflichten
ISO 27001 zertifiziert BSI-Forschungspartner KRITIS-Erfahrung
Bedrohungslage Gesundheitswesen
Ransomware-Anteil an Healthcare-Angriffen 54%
Quelle: ENISA Health Threat Landscape
Krankenhäuser mit bekannten Schwachstellen 99%
Quelle: Forescout Research 2024
Medizingeräte mit End-of-Life-OS 60%
Quelle: FBI / Device Authority 2024
9,77M USD Ø Breach-Kosten
279 Tage bis Eindämmung

Vertrauen von Kliniken, Kommunen und Gesundheitsdienstleistern

Sicherheitsanalysen
Jahre Erfahrung
bis zum Festpreis-Angebot
festangestellte Experten

Warum Gesundheitswesen

Cyberangriffe auf Kliniken gefährden Menschenleben

Das Gesundheitswesen ist die am stärksten angegriffene Branche weltweit. Die Kombination aus lebenskritischen Systemen, vernetzter Medizintechnik und regulatorischem Druck macht IT-Sicherheit zur Überlebensfrage.

Lebenskritische Systeme

Ransomware-Angriffe erzwingen Notaufnahme-Abmeldungen, stoppen Operationen und verzögern Behandlungen. Am Universitätsklinikum Düsseldorf führte ein 13-tägiger IT-Ausfall dazu, dass eine Notfallpatientin umgeleitet werden musste - mit tödlichem Ausgang.

Vernetzte Medizintechnik

60% der vernetzten Medizingeräte laufen auf nicht mehr unterstützten Betriebssystemen. MRT, Infusionspumpen und Beatmungsgeräte können oft nicht gepatcht werden, ohne den klinischen Betrieb zu unterbrechen - und sind dennoch zunehmend mit dem Netzwerk verbunden.

Höchster Wert der Daten

Patientendaten bringen auf dem Schwarzmarkt 260-1.000 USD pro Datensatz - das Zehnfache einer Kreditkartennummer. Gesundheitsdaten verfallen nie: Sie ermöglichen Identitätsbetrug, Versicherungsbetrug und Erpressung auf unbestimmte Zeit.

Cyberangriffe auf deutsche Kliniken - eine Chronik

Jedes Jahr werden Dutzende Krankenhäuser in Deutschland angegriffen. Die Folgen: Notaufnahmen schließen, Operationen werden abgesagt, Patientendaten landen im Darknet.

Juli 2025

AMEOS Klinikgruppe

Einer der größten privaten Krankenhausbetreiber Deutschlands - über 500.000 Patienten jährlich, 50+ Standorte. Kompletter IT-Ausfall an allen deutschen Standorten. Röntgen und Laboruntersuchungen zeitweise unmöglich. Personenbezogene Daten exfiltriert. Mehrere Landesdatenschutzbehörden ermitteln.

Jan 2026

Kreisklinik Roth

Cyberangriff auf das IT-Netzwerk. Internetverbindung sofort gekappt, Notaufnahme abgemeldet, Rettungswagen umgeleitet. Krankenhaus wechselte auf Papier- und Faxbetrieb. Bayerisches LKA übernahm Ermittlungen.

Sep 2024

Wertachkliniken

Cloak-Ransomware legte beide Standorte (Bobingen & Schwabmünchen) gleichzeitig lahm. Operationen abgesagt, analoger Notbetrieb. 291 GB gestohlene Daten - darunter Bankdaten, Patientenakten und Adressen - tauchten im Darknet auf.

Sep 2020

Universitätsklinikum Düsseldorf

DoppelPaymer-Ransomware über eine Citrix-Schwachstelle. 13 Tage vollständiger IT-Ausfall. Notaufnahme gesperrt, Patientin musste nach Wuppertal umgeleitet werden - die Verzögerung endete tödlich. Erster Cyberangriff weltweit mit Todesfolge-Ermittlung.

13 Ransomware-Angriffe auf deutsche Gesundheitseinrichtungen allein in den ersten 9 Monaten 2025.
Die Frage ist nicht ob, sondern wann Ihre Einrichtung betroffen ist.

Regulatorische Anforderungen

IT-Sicherheit ist Pflicht - nicht Kür

Krankenhäuser und Gesundheitsdienstleister unterliegen einem der strengsten regulatorischen Rahmenwerke in Deutschland. Wir navigieren Sie durch den Compliance-Dschungel.

NIS-2 / NIS2UmsuCG

Erweitert den Kreis der Verpflichteten auf Kliniken ab 50 Mitarbeitern, MVZ, Reha-Einrichtungen und Medizintechnikhersteller. 24-Stunden-Meldepflicht, persönliche Geschäftsführer-Haftung, Bußgelder bis 10 Mio. EUR.

NIS-2-Leitfaden Oskar Braun Oskar Braun · Ihr Ansprechpartner

KRITIS / §8a BSIG

Krankenhäuser ab 30.000 vollstationären Fällen/Jahr müssen sich als KRITIS-Betreiber registrieren, den B3S Krankenhaus umsetzen und alle 2 Jahre den Nachweis beim BSI erbringen. Pflicht zur Angriffserkennung seit IT-SiG 2.0.

KRITIS-Beratung Chris Wojzechowski Chris Wojzechowski · Ihr Ansprechpartner

§391 SGB V

Gilt für alle Krankenhäuser, unabhängig von der Größe. Verpflichtet zur Umsetzung des Stands der Technik in der IT-Sicherheit und zur regelmäßigen Aktualisierung (mindestens alle 2 Jahre). Orientierung am B3S Krankenhaus empfohlen.

Chris Wojzechowski Chris Wojzechowski · Ihr Ansprechpartner

B3S Krankenhaus (DKG)

Der branchenspezifische Sicherheitsstandard der Deutschen Krankenhausgesellschaft (v1.2, gültig bis Nov. 2028) umfasst 200+ Einzelanforderungen - von ISMS-Aufbau über Netzwerksegmentierung bis zur Absicherung medizintechnischer Geräte.

Jan Hörnemann Oskar Braun
Jan & Oskar · Ihre Ansprechpartner

DSGVO - Gesundheitsdaten

Gesundheitsdaten sind gem. Art. 9 DSGVO eine „besondere Kategorie" personenbezogener Daten mit erhöhtem Schutzbedarf. Bußgelder bis 20 Mio. EUR oder 4% des Jahresumsatzes. Art. 32 DSGVO fordert technische und organisatorische Maßnahmen.

Chris Wojzechowski Jan Hörnemann Oskar Braun
Gesamtes Beratungsteam

KHZG & ePA/TI

Das Krankenhauszukunftsgesetz (4,3 Mrd. EUR) schreibt 15% der Fördermittel für IT-Sicherheit vor. Die ePA ist seit Oktober 2025 Pflicht - die TI-Anbindung erweitert die Angriffsfläche aller angeschlossenen Einrichtungen erheblich.

Jan Hörnemann Chris Wojzechowski
Jan & Chris · Ihre Ansprechpartner

Sie sind unsicher, welche Pflichten für Ihre Einrichtung gelten?

In einem kostenlosen 30-Minuten-Gespräch klären wir Ihren regulatorischen Status und zeigen Handlungsbedarf auf.

Compliance-Check vereinbaren

Lassen Sie uns Ihre IT-Sicherheit auf den Prüfstand stellen

Kostenlose Erstberatung. Konkrete Handlungsempfehlungen in 30 Minuten.

Erstberatung vereinbaren

Kostenlos · 30 Minuten · Unverbindlich

Unsere Leistungen für das Gesundheitswesen

Von der Schwachstellenanalyse über den ISMS-Aufbau bis zur Sensibilisierung des Klinikpersonals - alles aus einer Hand, ISO 27001-zertifiziert.

Penetration Testing

KIS, Webportale, Active Directory, externe Infrastruktur. OWASP, PTES und BSI-Leitfaden konform. Medizingeräte-Netzwerke auf Anfrage.

Details

ISMS & B3S-Beratung

ISMS-Aufbau nach ISO 27001 / BSI IT-Grundschutz. B3S-Krankenhaus-Umsetzung. Gap-Analyse, Risikobewertung, Dokumentation und Audit-Vorbereitung.

Details

Phishing-Simulation

Realistische Kampagnen für den klinischen Alltag: gefälschte Labor-Ergebnisse, Dienstplan-Updates, IT-Tickets. Messbare Verbesserung der Awareness.

Details

Live Hacking

Interaktive Vorführung für Ärzte, Pflege und Verwaltung. Wir zeigen live, wie Angreifer vorgehen - vom Phishing bis zum Ransomware-Angriff auf klinische Systeme.

Details

Schwachstellenscan

Automatisierte und manuelle Prüfung Ihrer externen und internen Infrastruktur. Kontinuierliches Monitoring als Retainer-Modell verfügbar.

Details

Individuelles Paket?

NIS-2-Umsetzung, Incident-Response-Retainer, Netzwerksegmentierung - zugeschnitten auf Ihre Einrichtung.

Bedarf besprechen

Die Digitalisierung vergrößert die Angriffsfläche

ePA, Telematikinfrastruktur, DiGA und Krankenhausreform treiben die Digitalisierung voran - und schaffen neue Einfallstore für Angreifer.

ePA für alle

Pflicht seit Okt. 2025

Telematikinfrastruktur

Tausende Einrichtungen vernetzt

DiGA-Apps

Neue Datenflüsse

4,3 Mrd. EUR KHZG

15% Pflicht für IT-Security

Die EU-Kommission hat im Januar 2025 einen Aktionsplan für Cybersicherheit in Krankenhäusern veröffentlicht und 145,5 Mio. EUR für EU-weite Maßnahmen bereitgestellt. Die Botschaft: IT-Sicherheit im Gesundheitswesen ist kein Nice-to-have mehr.

Warum AWARE7 für Ihr Krankenhaus

Was uns von anderen Anbietern unterscheidet

Reine Awareness-Plattformen testen keine Systeme. Reine Beratungskonzerne sind zu weit weg. AWARE7 verbindet beides: Wir hacken Ihre Infrastruktur und schulen Ihre Mitarbeiter — mittelstandsgerecht, persönlich, ohne Enterprise-Overhead.

Forschung und Lehre als Fundament

Rund 20% unseres Umsatzes stammen aus Forschungsprojekten für BSI, BMBF und die EU. Wir veröffentlichen CVEs, präsentieren auf internationalen Top-Konferenzen und bilden als T.I.S.P.-Schulungsanbieter Sicherheitsexperten aus. Alle Berater sind mehrfach zertifiziert - von ISO 27001 Lead Auditor bis OSCP.

Digitale Souveränität - keine Kompromisse

Alle Daten werden ausschließlich in Deutschland gespeichert und verarbeitet - ohne US-Cloud-Anbieter. Keine Freelancer, keine Subunternehmer in der Wertschöpfung. Alle Mitarbeiter sind sozialversicherungspflichtig angestellt und einheitlich rechtlich verpflichtet. Auf Anfrage VS-NfD-konform.

Festpreis in 24h - planbare Projektzeiträume

Innerhalb von 24 Stunden erhalten Sie ein verbindliches Festpreisangebot - kein Stundensatz-Risiko, keine Nachforderungen, keine Überraschungen. Durch eingespieltes Team und standardisierte Prozesse erhalten Sie einen klaren Zeitplan mit definiertem Starttermin und Endtermin.

Ihr fester Ansprechpartner - jederzeit erreichbar

Ein persönlicher Projektleiter begleitet Sie vom Erstgespräch bis zum Re-Test. Sie buchen Termine direkt bei Ihrem Ansprechpartner - keine Ticket-Systeme, kein Callcenter, kein Wechsel zwischen wechselnden Beratern. Kontinuität schafft Vertrauen.

Für wen sind wir der richtige Partner?

Mittelstand mit 50–2.000 MA

Unternehmen, die echte Security brauchen — ohne einen DAX-Konzern-Dienstleister zu bezahlen. Festpreis, klarer Scope, ein Ansprechpartner.

IT-Verantwortliche & CISOs

Die intern überzeugend argumentieren müssen — und dafür einen Bericht mit Vorstandssprache brauchen, nicht nur technische Findings.

Regulierte Branchen

KRITIS, Gesundheitswesen, Finanzdienstleister: NIS-2, ISO 27001, DORA — wir kennen die Anforderungen und liefern Nachweise, die Auditoren akzeptieren.

Mitwirkung an Industriestandards

LLM

OWASP · 2023

OWASP Top 10 for Large Language Models

Prof. Dr. Matteo Große-Kampmann als Contributor im Core-Team des weltweit führenden LLM-Sicherheitsstandards.

BSI

BSI · Allianz für Cyber-Sicherheit

Management von Cyber-Risiken

Prof. Dr. Matteo Große-Kampmann als Mitwirkender des offiziellen BSI-Handbuchs für die Unternehmensleitung (dt. Version).

Referenzen im Gesundheitswesen & KRITIS

Live Hacking & Awareness

Klinikum Landkreis Tuttlingen

Live Hacking Show zur Sensibilisierung der Mitarbeitenden

1.000

Mitarbeitende im Klinikum

60

Minuten Live Hacking

Live Hacking & Awareness

Gelsenwasser AG

Konzernweite Cyber Security Awareness Kampagne

1.500+

Mitarbeiterinnen und Mitarbeiter

6

Monate Kampagnendauer

Zertifiziert. Forschungsbasiert. Vertrauenswürdig.

Unternehmenszertifizierungen

  • ISO 27001 - Informationssicherheit
  • ISO 9001 - Qualitätsmanagement
  • AZAV - Zugelassener Bildungsträger
  • BSI-Forschungspartner (BMBF/EU-Projekte)

Persönliche Zertifizierungen

Kostenlose Checkliste

NIS-2-Checkliste für Krankenhäuser

Prüfen Sie in 15 Minuten, welche NIS-2-Anforderungen für Ihre Einrichtung gelten und wo Handlungsbedarf besteht.

01 Betroffenheitsanalyse
02 10 Pflichtmaßnahmen im Überblick
03 Meldepflichten & Fristen
04 Geschäftsführer-Haftung

Checkliste anfordern

Erfahren Sie, ob und wie NIS-2 Ihre Einrichtung betrifft. Die Checkliste ist speziell für Krankenhäuser und Gesundheitsdienstleister konzipiert.

Mit dem Absenden stimmen Sie unserer Datenschutzerklärung zu. Kein Spam - nur die angeforderte Checkliste.

In drei Schritten zur sicheren Klinik

1

Erstberatung & Status-Check

In einem 30-minütigen Gespräch erfassen wir Ihre Ausgangslage: KRITIS-Status, bestehende Maßnahmen, regulatorische Pflichten und akuten Handlungsbedarf.

2

Analyse & Maßnahmenplan

Wir führen die vereinbarten Prüfungen durch - Pentest, Gap-Analyse, Phishing-Simulation - und liefern einen priorisierten Maßnahmenplan mit konkreten Handlungsempfehlungen.

3

Umsetzung & Nachtest

Auf Wunsch begleiten wir die Umsetzung der Maßnahmen, bauen Ihr ISMS auf und verifizieren die Wirksamkeit im Nachtest. Festpreisgarantie auf alle Leistungen.

Häufige Fragen zur IT-Sicherheit im Gesundheitswesen

Ein Krankenhaus gilt als KRITIS-Betreiber, wenn es den Schwellenwert von 30.000 vollstationären Behandlungsfällen pro Jahr erreicht oder überschreitet (BSI-KritisV § 6). KRITIS-Betreiber müssen sich beim BSI registrieren, den B3S Krankenhaus (branchenspezifischen Sicherheitsstandard) umsetzen und alle zwei Jahre einen Compliance-Nachweis erbringen. Auch unterhalb dieser Schwelle verpflichtet §391 SGB V alle Krankenhäuser, den Stand der Technik in der IT-Sicherheit einzuhalten.
Die NIS-2-Richtlinie (NIS2UmsuCG) erweitert die Pflichten erheblich: Nicht nur große KRITIS-Krankenhäuser, sondern auch kleinere Kliniken ab 50 Mitarbeitern, MVZ, Reha-Einrichtungen und Gesundheitsdienstleister fallen unter die neuen Anforderungen. Kernpflichten sind: 10 verpflichtende Sicherheitsmaßnahmen (u. a. Risikomanagement, Incident Response, Zugangskontrolle), Meldepflicht innerhalb von 24 Stunden, persönliche Haftung der Geschäftsführung und Bußgelder bis 10 Mio. EUR. Wir unterstützen Sie bei der Gap-Analyse und der vollständigen Umsetzung.
Der Branchenspezifische Sicherheitsstandard (B3S) für die medizinische Versorgung wurde von der Deutschen Krankenhausgesellschaft (DKG) entwickelt und vom BSI anerkannt. Die aktuelle Version v1.2 ist bis November 2028 gültig und umfasst über 200 Einzelanforderungen - von ISMS-Aufbau über Netzwerksegmentierung bis zur Absicherung medizinischer Geräte. Als ISO-27001-zertifiziertes Unternehmen begleiten wir Sie bei der Implementierung und bereiten Sie auf die BSI-Prüfung vor.
Medizinische Geräte stellen besondere Herausforderungen dar: Viele laufen auf veralteten Betriebssystemen, können nicht ohne Weiteres gepatcht werden und sind zunehmend vernetzt. Unser Ansatz umfasst: Inventarisierung und Risikoklassifizierung aller IoMT-Geräte, Netzwerksegmentierung zur Isolation kritischer Systeme, Penetration Testing speziell für Medizintechnik und die Entwicklung eines Patch-Management-Prozesses, der klinische Workflows berücksichtigt. So schaffen Sie Transparenz und Schutz, ohne den Betrieb zu beeinträchtigen.
Die durchschnittlichen Kosten eines Datenlecks im Gesundheitswesen liegen bei 9,77 Mio. USD (IBM Cost of Data Breach Report 2024) - der höchste Wert aller Branchen, seit 14 Jahren in Folge. Neben direkten Kosten (forensische Untersuchung, Wiederherstellung, Rechtsberatung, Meldepflichten) kommen indirekte Schäden hinzu: Betriebsunterbrechung, Umsatzausfall, Reputationsschaden und ggf. Bußgelder nach DSGVO (bis 20 Mio. EUR oder 4% des Jahresumsatzes). Am schwerwiegendsten: Die Gefährdung der Patientenversorgung.
Klinisches Personal ist die erste Verteidigungslinie - und häufig das Einfallstor für Social Engineering. Wir empfehlen einen dreistufigen Ansatz: (1) Realistische Phishing-Simulationen, die den klinischen Arbeitsalltag widerspiegeln (z. B. gefälschte Labor-Ergebnisse, vermeintliche Dienstplan-Updates), (2) kurze, praxisnahe Schulungseinheiten (15-20 Minuten), die in Schichtbetrieb und Stationsalltag passen, und (3) Live-Hacking-Vorführungen, die das Bedrohungspotenzial greifbar machen. Unser Klinikum-Referenzprojekt zeigt: Nach 6 Monaten sinkt die Klickrate auf Phishing-Mails um durchschnittlich 72%.
Nach dem Kick-off-Gespräch erstellen wir innerhalb von 24 Stunden ein Festpreisangebot. Ein fokussierter Pentest (z. B. KIS-Weboberfläche oder externe Infrastruktur) dauert typischerweise 5-10 Werktage, ein umfassender Infrastrukturtest inkl. Active Directory 10-20 Werktage. Wir berücksichtigen die Betriebszeiten klinischer Systeme und koordinieren Tests so, dass die Patientenversorgung nicht beeinträchtigt wird. Für 24/7-Systeme bieten wir Tests außerhalb der Hauptlastzeiten an.
Drei Dinge: Erstens kombinieren wir offensive Security (Pentests, Red Teaming), Beratung (ISMS, B3S, NIS-2) und Awareness (Phishing-Simulationen, Live Hacking) aus einer Hand - kein Zusammenspiel mehrerer Dienstleister nötig. Zweitens sind wir ISO 27001- und ISO 9001-zertifiziert und als BSI-Forschungspartner aktiv - unsere Methoden basieren auf aktueller Forschung. Drittens arbeiten ausschließlich festangestellte, zertifizierte Experten an Ihrem Projekt - keine Freelancer, keine Subunternehmer. Alle Daten bleiben in Deutschland.

Regulierung & Wissen

Relevante Regulierung für das Gesundheitswesen

Diese regulatorischen Anforderungen betreffen Kliniken, Labore und Gesundheitsdienstleister besonders — AWARE7 unterstützt bei der Umsetzung.

Regulierung

NIS-2 Richtlinie

Krankenhäuser und Labore sind als wesentliche Einrichtungen betroffen
Regulierung

KRITIS

Gesundheitseinrichtungen ab 30.000 vollstationären Fällen/Jahr
Regulierung

KRITIS-Dachgesetz

Physische Resilienz für kritische Gesundheitsinfrastruktur
Regulierung

DSGVO

Besonderer Schutz für Gesundheitsdaten nach Art. 9 DSGVO
Regulierung

ISO 27001

ISMS als Nachweis für §75c SGB V

Schützen Sie Ihre Einrichtung — proaktiv statt reaktiv

Kostenloses Erstgespräch mit einem Healthcare-Security-Experten. Konkrete Empfehlungen in 30 Minuten.

Erstberatung vereinbaren

Kostenlos · 30 Minuten · Unverbindlich

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung