Cybersicherheit im Krankenhaus: eine Aufgabe fürs Management

Krankenhäuser sind zu einem der anfälligsten Ziele für Cyberkriminalität geworden – gleichzeitig erhöht die NIS2-Richtlinie der EU den regulatorischen Druck auf die Geschäftsleitung. Vorstandsmitglieder, die Cybersicherheit nach wie vor als reines IT-Thema betrachten, setzen Krankenhäuser der Gefahr von Betriebsausfällen, rechtlicher Haftung und Reputationsschäden aus.

Für Krankenhäuser in der EU ist Cybersicherheit zu einer gesetzlichen Verpflichtung geworden. Die EU-Richtlinie NIS2 (überarbeitete Richtlinie über Netz- und Informationssicherheit) trat im Oktober 2024 in Kraft und schafft einen regulatorischen Rahmen, den Führungskräfte befolgen müssen.

Laut NIS2 sind Vorstandsmitgliede von Krankenhäusern und anderen kritischen Einrichtungen direkt und persönlich für das Niveau der Cybersicherheits-Compliance verantwortlich. Und folglich auch für etwaige Versäumnisse. Die Geschäftsleitung kann diese Verantwortung nicht mehr vollständig an Fachpersonal delegieren, da NIS2 von den Leitungsgremien verlangt, Cybersicherheitsmaßnahmen zu genehmigen, deren Umsetzung zu überwachen und Rechenschaft abzulegen.

Nichteinhaltung kann zu hohen Geldstrafen sowohl für das Krankenhaus als Organisation als auch für einzelne Mitglieder der Geschäftsleitung führen. Im schlimmsten Fall kann Führungskräften sogar die Ausübung von Leitungsfunktionen untersagt werden.

Ein Cyberangriff auf ein Krankenhaus ist kein abstrakter IT-Vorfall. Indem Daten unzugänglich und Geräte unbrauchbar gemacht werden, hat er direkte Folgen für Patientinnen und Patienten und den klinischen Betrieb. Letztendlich kann dies zu schlechteren Behandlungsergebnissen und vermehrten Komplikationen führen.

Die Kosten betreffen nicht nur die Gesundheit von Patientinnen und Patienten, sondern schlagen sich auch in der Bilanz nieder: Die durchschnittlichen finanziellen Einbußen durch Cyberangriffe im US-Gesundheitswesen beliefen sich im Jahr 2024 auf 1,47 Millionen US-Dollar. Jede vierte Organisation benötigte mehr als einen Monat, um sich von einem Ransomware-Angriff zu erholen.

Der schwerwiegendste Schaden ist der Verlust von Reputation und Vertrauen der Patientinnen und Patienten, wenn der Krankenhausbetrieb nach einem Cybersicherheitsvorfall eingeschränkt oder vorübergehend eingestellt wird.

Die Cybersicherheit im Krankenhaus versagt, wenn Technologie, Prozesse und Personal nicht aufeinander abgestimmt sind.

Auf der technischen Seite benötigen Krankenhäuser mehrschichtige Abwehrmaßnahmen – von Netzwerksegmentierung und Zugriffskontrollen bis hin zu Überwachungssystemen, die Bedrohungen in Echtzeit erkennen. Medizinische Geräte und IoMT-Geräte, elektronische Patientenakten oder von Patientinnen und Patienten mitgebrachte Geräte stellen allesamt Einfallstore dar, die systematisch und sorgfältig verwaltet werden müssen.

Sichere Prozesse sind entscheidend. Dazu gehören dokumentierte Pläne zur Reaktion auf Vorfälle, regelmäßige Sicherheitsaudits sowie klar definierte Rollen und Verantwortlichkeiten im Falle einer Sicherheitsverletzung. Dennoch führen derzeit nur 37 % der Krankenhäuser jährliche Übungen zur Reaktion auf Cybersicherheitsvorfälle durch, und nur 50 % der Organisationen im Gesundheitswesen führen regelmäßige Cybersicherheitsaudits durch.

Doch es geht nicht nur um Technologie: Auch der menschliche Faktor ist wichtig. Laut dem Bericht des Ponemon Institute aus dem Jahr 2025 nennen 35 % der Gesundheitsorganisationen "Mitarbeitende, die sich nicht an Richtlinien halten, als Hauptursache für Datenverluste oder Exfiltrationsvorfälle". Aus diesem Grund muss die Krankenhausleitung Sensibilisierungsschulungen, klare Kommunikation und eine sicherheitsbewusste Kultur in ihre Organisation integrieren, um die Resilienz zu erhöhen.

Krankenhausleitungen müssen Cybersicherheit als strategisches Managementthema betrachten und nicht als technische Nebensache. Dies kann ihre Position stärken, um ihre Einrichtung, Patientinnen und Patienten und letztlich auch sich selbst zu schützen.

Zunächst müssen Krankenhäuser durch eine formelle Analyse ermitteln, wo ihre größten Schwachstellen liegen. Auf dieser Grundlage sollte jedes Krankenhaus dort investieren, wo das operative Risiko am höchsten ist.

Außerdem müssen Krankenhäuser klare Verantwortlichkeiten für die Cybersicherheit auf Führungsebene zuweisen. Das bedeutet, eine Person zu benennen, die für die Cybersicherheit verantwortlich ist, klare Berichtswege zum Vorstand festzulegen und sicherzustellen, dass Cybersicherheit ein fester Punkt auf der Management-Agenda ist – und zwar nicht erst, nachdem bereits ein Vorfall eingetreten ist.