IT-Sicherheit im Gesundheitswesen: Anforderungen, Bedrohungen und Maßnahmen für Kliniken und Praxen
Alle Beiträge
Informationssicherheit

IT-Sicherheit im Gesundheitswesen: Anforderungen, Bedrohungen und Maßnahmen für Kliniken und Praxen

Veröffentlicht am 31.03.2026·10 min. Lesedauer

Inhaltsverzeichnis

Das Gesundheitswesen gehört zu den am stärksten von Cyberangriffen betroffenen Sektoren in Deutschland. Krankenhäuser, Kliniken und Arztpraxen verarbeiten hochsensible Patientendaten, betreiben lebenswichtige medizinische Systeme und unterliegen strengen regulatorischen Anforderungen. Gleichzeitig ist die IT-Infrastruktur in vielen Gesundheitseinrichtungen historisch gewachsen, unzureichend segmentiert und durch veraltete Systeme geprägt.

Die Folgen eines erfolgreichen Cyberangriffs im Gesundheitswesen können gravierend sein: vom Ausfall der Notfallversorgung über den Diebstahl von Patientendaten bis hin zu existenzbedrohenden Bußgeldern. Dieser Artikel beleuchtet die besonderen Anforderungen an die IT-Sicherheit im Gesundheitswesen, analysiert die typischen Bedrohungsszenarien und zeigt konkrete Maßnahmen für Kliniken und Praxen auf.

Das Wichtigste in Kürze:

  • Das Gesundheitswesen verarbeitet besonders schutzbedürftige Daten (Art. 9 DSGVO) – Verstöße können Bußgelder in Millionenhöhe nach sich ziehen.
  • Krankenhäuser ab 30.000 vollstationären Fällen pro Jahr gelten als KRITIS-Betreiber und müssen nachweislich angemessene IT-Sicherheitsmaßnahmen umsetzen.
  • Ransomware-Angriffe auf Kliniken haben sich seit 2020 vervielfacht – mit direkten Auswirkungen auf die Patientenversorgung.
  • Der Branchenspezifische Sicherheitsstandard (B3S) für die Gesundheitsversorgung bietet einen konkreten Umsetzungsrahmen.
  • Auch kleine Arztpraxen müssen die IT-Sicherheitsrichtlinie der KBV einhalten und angemessene technische und organisatorische Maßnahmen umsetzen.

 

Warum das Gesundheitswesen ein besonderes Ziel für Cyberangriffe ist

Die IT-Sicherheit im Gesundheitswesen steht vor einzigartigen Herausforderungen, die den Sektor zu einem besonders attraktiven Ziel für Cyberkriminelle machen.

Hoher Wert der Daten

Patientendaten gehören zu den wertvollsten Datenarten auf dem Schwarzmarkt. Ein einzelner Patientendatensatz enthält Name, Geburtsdatum, Versicherungsnummer, Diagnosen, Medikation und häufig auch Zahlungsinformationen. Diese Kombination ermöglicht Identitätsdiebstahl, Versicherungsbetrug und gezielte Erpressung. Auf dem Darknet werden Gesundheitsdaten daher deutlich höher gehandelt als etwa Kreditkartendaten.

Kritische Infrastruktur mit Zeitdruck

Krankenhäuser können ihre IT-Systeme nicht einfach abschalten, um einen Angriff einzudämmen. Der Betrieb medizinischer Geräte, die Verfügbarkeit von Patientenakten und die Kommunikation zwischen Stationen sind für die Patientenversorgung essenziell. Dieser Zeitdruck macht Gesundheitseinrichtungen besonders anfällig für Ransomware-Erpressungen: Die Bereitschaft, Lösegeld zu zahlen, ist höher, wenn Menschenleben auf dem Spiel stehen.

Heterogene und veraltete IT-Landschaft

Viele Krankenhäuser und Praxen arbeiten mit gewachsenen IT-Infrastrukturen, in denen moderne Cloud-Anwendungen neben jahrzehntealten Medizingeräten koexistieren. Legacy-Systeme, die keine Sicherheitsupdates mehr erhalten, sind keine Seltenheit. Die Integration von Medizintechnik (z. B. CT, MRT, Infusionspumpen) in das IT-Netzwerk schafft zusätzliche Angriffsflächen, da diese Geräte häufig proprietäre Betriebssysteme nutzen und nicht gepatcht werden können.

Hohe Personalfluktuation und Schichtbetrieb

Der Schichtbetrieb, die hohe Personalfluktuation und der Einsatz von Honorarkräften und Zeitarbeitern erschweren die konsequente Umsetzung von IT-Sicherheitsmaßnahmen. Awareness-Schulungen erreichen nicht alle Mitarbeitenden gleichermaßen, und die Bereitschaft, Sicherheitsrichtlinien einzuhalten, leidet unter dem hohen Arbeitsdruck im klinischen Alltag.

 

Regulatorische Anforderungen an die IT-Sicherheit im Gesundheitswesen

Die IT-Sicherheit im Gesundheitswesen unterliegt einem komplexen regulatorischen Rahmen. Je nach Größe und Art der Einrichtung gelten unterschiedliche Vorgaben.

KRITIS-Verordnung und BSI-Gesetz

Krankenhäuser mit mindestens 30.000 vollstationären Fällen pro Jahr werden als Betreiber kritischer Infrastrukturen (KRITIS) eingestuft. Sie unterliegen den Anforderungen des BSI-Gesetzes und müssen:

  • Angemessene organisatorische und technische Vorkehrungen zur IT-Sicherheit treffen (nach dem Stand der Technik).
  • Erhebliche IT-Sicherheitsvorfälle unverzüglich an das BSI melden.
  • Die Umsetzung der Sicherheitsmaßnahmen alle zwei Jahre gegenüber dem BSI nachweisen (z. B. durch Audits, Prüfungen oder Zertifizierungen).

Mit der NIS-2-Richtlinie wird der Kreis der betroffenen Einrichtungen deutlich ausgeweitet. Künftig fallen auch kleinere Gesundheitseinrichtungen unter die erweiterten Anforderungen.

B3S – Branchenspezifischer Sicherheitsstandard

Die Deutsche Krankenhausgesellschaft (DKG) hat den Branchenspezifischen Sicherheitsstandard (B3S) für die Gesundheitsversorgung im Krankenhaus entwickelt. Dieser Standard wurde vom BSI als geeigneter Nachweis für die Umsetzung der KRITIS-Anforderungen anerkannt und definiert:

  • Konkrete Sicherheitsanforderungen für den Krankenhausbetrieb.
  • Risikobasierte Vorgehensweisen für die Maßnahmenauswahl.
  • Anforderungen an Notfallmanagement und Business Continuity.
  • Spezifische Vorgaben für den Schutz medizinischer Geräte und Systeme.

IT-Sicherheitsrichtlinie der KBV

Für die IT-Sicherheit in der Arztpraxis hat die Kassenärztliche Bundesvereinigung (KBV) eine verbindliche IT-Sicherheitsrichtlinie erlassen. Seit 2021 müssen alle vertragsärztlichen und vertragspsychotherapeutischen Praxen die darin definierten Anforderungen umsetzen. Die Richtlinie unterscheidet nach Praxisgröße:

  • Kleine Praxen (bis 5 Personen): Grundlegende Anforderungen an Virenschutz, Firewall, Zugriffssteuerung und Datensicherung.
  • Mittlere Praxen (6–20 Personen): Zusätzliche Anforderungen an Netzwerksicherheit, Endgerätemanagement und Mitarbeiterschulung.
  • Große Praxen (ab 21 Personen) und Praxen mit medizinischen Großgeräten: Erweiterte Anforderungen an Netzwerksegmentierung, Logging und Incident Management.

Datenschutz-Grundverordnung (DSGVO)

Gesundheitsdaten gelten nach Art. 9 DSGVO als „besondere Kategorien personenbezogener Daten” und unterliegen einem erhöhten Schutzregime. Die Verarbeitung ist nur unter engen Voraussetzungen zulässig, und die technischen und organisatorischen Maßnahmen müssen dem besonderen Schutzbedarf dieser Daten entsprechen. Verstöße können mit Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden.

Patientendaten-Schutz-Gesetz (PDSG)

Das Patientendaten-Schutz-Gesetz verpflichtet Krankenhäuser – unabhängig davon, ob sie als KRITIS eingestuft sind – nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur IT-Sicherheit zu treffen. Diese Pflicht gilt seit dem 1. Januar 2022 und erweitert den Adressatenkreis der IT-Sicherheitsanforderungen erheblich.

 

Typische Bedrohungsszenarien für Kliniken und Praxen

Die Cybersecurity im Krankenhaus und in Arztpraxen muss sich gegen eine Vielzahl von Bedrohungen wappnen. Die folgenden Szenarien sind in der Praxis besonders häufig und folgenreich.

Ransomware-Angriffe

Ransomware ist die mit Abstand größte Bedrohung für das Gesundheitswesen. Angreifer verschlüsseln Patientendaten, Krankenhaussysteme und Backups und fordern Lösegeld für die Entschlüsselung. Die Auswirkungen sind verheerend:

  • Ausfall der elektronischen Patientenakte und des Krankenhausinformationssystems (KIS).
  • Abmeldung von der Notfallversorgung und Verlegung von Patienten.
  • Wochen- bis monatelanger eingeschränkter Betrieb.
  • Millionenschäden durch Betriebsausfall, Wiederherstellung und Reputationsverlust.

Der Angriff auf die Uniklinik Düsseldorf im Jahr 2020 machte international Schlagzeilen und zeigte, dass Ransomware im Gesundheitswesen lebensgefährlich sein kann.

Phishing und Social Engineering

Phishing-E-Mails sind der häufigste Einstiegspunkt für Cyberangriffe auf Gesundheitseinrichtungen. Angreifer nutzen die hohe Arbeitsbelastung und den Zeitdruck im klinischen Alltag aus, um Mitarbeitende dazu zu verleiten, auf schädliche Links zu klicken oder Zugangsdaten preiszugeben. Besonders perfide sind gezielte Spear-Phishing-Angriffe, die sich als interne Kommunikation oder Nachrichten von Krankenkassen tarnen.

Angriffe auf vernetzte Medizingeräte

Die zunehmende Vernetzung medizinischer Geräte (Internet of Medical Things, IoMT) schafft neue Angriffsvektoren. Infusionspumpen, Patientenmonitore, bildgebende Systeme und Laborgeräte sind häufig mit dem Kliniknetzwerk verbunden, ohne über ausreichende Sicherheitsmechanismen zu verfügen. Ein kompromittiertes Medizingerät kann als Einfallstor für das gesamte Netzwerk dienen.

Insider-Bedrohungen

Nicht alle Bedrohungen kommen von außen. Unzufriedene oder nachlässige Mitarbeitende, die auf Patientendaten zugreifen, für die sie keine Berechtigung haben, oder die Daten auf ungesicherten USB-Sticks mitnehmen, stellen ein erhebliches Risiko dar. Auch die versehentliche Weitergabe von Patientendaten per E-Mail oder Fax ist ein häufiges Problem.

Supply-Chain-Angriffe

Gesundheitseinrichtungen sind in komplexe Lieferketten eingebunden: IT-Dienstleister, Softwareanbieter, Wartungsfirmen für Medizintechnik und Labordienstleister haben häufig Fernzugriffsrechte auf die IT-Infrastruktur. Ein kompromittierter Dienstleister kann als Brücke in das Netzwerk der Gesundheitseinrichtung dienen.

 

Maßnahmen für eine wirksame IT-Sicherheit im Gesundheitswesen

Eine umfassende Cybersecurity-Strategie für Krankenhäuser und Praxen umfasst technische, organisatorische und personelle Maßnahmen.

Technische Maßnahmen

Netzwerksegmentierung

Die strikte Trennung von Netzwerksegmenten ist eine der wirksamsten Maßnahmen im klinischen Umfeld. Medizintechnik, Verwaltungs-IT, Gäste-WLAN und kritische Systeme wie das KIS sollten in getrennten Netzwerksegmenten betrieben werden. So wird verhindert, dass ein kompromittiertes System die gesamte Infrastruktur gefährdet.

Endpoint Detection and Response (EDR)

Klassische Virenscanner reichen gegen moderne Bedrohungen nicht mehr aus. EDR-Lösungen ermöglichen die Erkennung und Abwehr von Angriffen in Echtzeit – auch auf Endgeräten, die nicht permanent mit dem Netzwerk verbunden sind. Für die IT-Sicherheit in der Arztpraxis sind auch einfachere Endpoint-Protection-Lösungen sinnvoll.

Backup-Strategie nach der 3-2-1-Regel

Eine robuste Backup-Strategie ist der wichtigste Schutz gegen Ransomware. Die 3-2-1-Regel fordert: drei Kopien der Daten, auf zwei verschiedenen Medientypen, davon eine Kopie außerhalb des Netzwerks (offline oder immutable). Regelmäßige Restore-Tests stellen sicher, dass die Backups im Ernstfall funktionieren.

Multi-Faktor-Authentifizierung (MFA)

Die Absicherung aller Zugangspunkte mit Multi-Faktor-Authentifizierung reduziert das Risiko kompromittierter Zugangsdaten erheblich. Im klinischen Umfeld müssen dabei die Anforderungen an schnellen Zugriff (z. B. in Notfallsituationen) mit dem Sicherheitsbedürfnis in Einklang gebracht werden – etwa durch Proximity-basierte Authentifizierung oder Tap-to-Login-Lösungen.

Verschlüsselung

Patientendaten müssen sowohl bei der Übertragung (Transport Layer Security) als auch bei der Speicherung (Verschlüsselung at Rest) geschützt werden. Dies gilt insbesondere für mobile Endgeräte, Laptops und USB-Datenträger, die das Klinikgelände verlassen können.

Organisatorische Maßnahmen

Informationssicherheitsmanagementsystem (ISMS)

Ein systematisches ISMS nach ISO 27001 oder BSI IT-Grundschutz bildet den organisatorischen Rahmen für alle IT-Sicherheitsmaßnahmen. Es stellt sicher, dass Risiken systematisch identifiziert, bewertet und behandelt werden und dass ein kontinuierlicher Verbesserungsprozess etabliert ist.

Incident-Response-Plan

Ein dokumentierter und regelmäßig getesteter Incident-Response-Plan ist für Gesundheitseinrichtungen unerlässlich. Er definiert klare Verantwortlichkeiten, Eskalationswege und Handlungsanweisungen für verschiedene Szenarien – von einer Phishing-Attacke bis hin zu einem flächendeckenden Ransomware-Befall. Besonders wichtig: Der Plan muss auch den Notbetrieb ohne IT-Systeme regeln.

Berechtigungsmanagement

Das Prinzip der geringsten Berechtigung (Least Privilege) muss konsequent umgesetzt werden. Jede Person erhält nur die Zugriffsrechte, die für ihre aktuelle Tätigkeit erforderlich sind. Regelmäßige Berechtigungsreviews und ein strukturiertes Verfahren für das On- und Offboarding von Mitarbeitenden sind essenziell – gerade angesichts der hohen Personalfluktuation im Gesundheitswesen.

Dienstleistersteuerung

Alle externen Dienstleister mit Zugang zur IT-Infrastruktur müssen vertraglich auf die Einhaltung definierter Sicherheitsstandards verpflichtet werden. Fernwartungszugänge sind zeitlich zu begrenzen, zu protokollieren und nach Möglichkeit über Jump-Server zu kanalisieren.

Personelle Maßnahmen

Security-Awareness-Schulungen

Regelmäßige, zielgruppenspezifische Schulungen sind der wirksamste Schutz gegen Phishing und Social Engineering. Die Schulungen sollten auf die besonderen Rahmenbedingungen im Gesundheitswesen zugeschnitten sein: kurze, praxisnahe Formate, die in den Schichtbetrieb integriert werden können. Simulierte Phishing-Kampagnen helfen, das Sicherheitsbewusstsein messbar zu steigern.

Benennung eines Informationssicherheitsbeauftragten

Jede Gesundheitseinrichtung sollte einen Informationssicherheitsbeauftragten (ISB) benennen, der die IT-Sicherheitsstrategie koordiniert, als Ansprechpartner für Sicherheitsfragen dient und die Geschäftsführung regelmäßig über den Sicherheitsstatus informiert. Für KRITIS-Betreiber ist dies verpflichtend.

 

TrustSpace Profi-Tipp:Gesundheitseinrichtungen stehen vor der Herausforderung, strenge regulatorische Anforderungen mit begrenzten IT-Ressourcen in Einklang zu bringen. TrustSpaceOS bietet eine zentrale Plattform, die speziell für die effiziente Umsetzung von ISMS-Anforderungen konzipiert ist. Von der automatisierten Risikoanalyse über das integrierte Maßnahmenmanagement bis hin zur Audit-Vorbereitung – TrustSpace begleitet Krankenhäuser und Gesundheitsdienstleister auf dem Weg zur Compliance mit B3S, ISO 27001 und NIS-2. Unsere erfahrenen Berater kennen die spezifischen Herausforderungen des Gesundheitssektors und entwickeln passgenaue Sicherheitsstrategien.

 

 

IT-Sicherheit in der Arztpraxis: Besonderheiten und Praxistipps

Während Krankenhäuser häufig über eigene IT-Abteilungen verfügen, stehen niedergelassene Ärztinnen und Ärzte vor besonderen Herausforderungen bei der Umsetzung der IT-Sicherheit. Die IT-Sicherheitsrichtlinie der KBV schafft hier einen verbindlichen Rahmen, der allerdings pragmatisch umgesetzt werden muss.

Grundlegende Maßnahmen für jede Praxis

  • Aktuelle Software: Betriebssysteme, Praxisverwaltungssoftware und alle Anwendungen stets auf dem neuesten Stand halten. Automatische Updates aktivieren, wo möglich.
  • Sichere Passwörter: Für jeden Dienst ein individuelles, starkes Passwort verwenden. Ein Passwort-Manager erleichtert die Verwaltung.
  • Verschlüsselte Kommunikation: E-Mails mit Patientenbezug nur über verschlüsselte Kanäle versenden. Die KIM-Dienste (Kommunikation im Medizinwesen) der gematik bieten hierfür eine sichere Lösung.
  • Regelmäßige Datensicherung: Tägliche Backups der Praxisverwaltungssoftware und aller patientenbezogenen Daten auf einem externen, verschlüsselten Datenträger.
  • Physischer Zugangsschutz: Server und Netzwerkkomponenten in abschließbaren Räumen aufbewahren. Bildschirmsperre bei Abwesenheit aktivieren.

Häufige Schwachstellen in Arztpraxen

  • Geteilte Benutzerkonten: Mehrere Mitarbeitende nutzen denselben Account – eine Nachvollziehbarkeit von Zugriffen ist damit unmöglich.
  • Ungesichertes WLAN: Offene oder schwach verschlüsselte WLAN-Netze, die Patienten und Praxis-IT im selben Segment betreiben.
  • Fehlende Verschlüsselung: Patientendaten werden unverschlüsselt auf Festplatten gespeichert – bei Diebstahl oder Verlust des Geräts ein massives Datenschutzrisiko.
  • Kein Notfallplan: Es fehlt ein dokumentierter Plan für den Fall eines IT-Ausfalls oder einer Datenpanne.

 

Fazit: IT-Sicherheit im Gesundheitswesen ist Patientensicherheit

Die IT-Sicherheit im Gesundheitswesen ist längst keine rein technische Frage mehr – sie ist ein integraler Bestandteil der Patientensicherheit. Cyberangriffe auf Krankenhäuser und Praxen gefährden nicht nur Daten, sondern im schlimmsten Fall Menschenleben. Die regulatorischen Anforderungen – von KRITIS über den B3S bis zur KBV-Sicherheitsrichtlinie – schaffen einen verbindlichen Rahmen, der konsequent umgesetzt werden muss.

Der Schlüssel zu einer wirksamen Cybersecurity im Krankenhaus und in der Arztpraxis liegt in einem systematischen Ansatz: Ein ISMS bildet den organisatorischen Rahmen, technische Maßnahmen wie Netzwerksegmentierung und MFA reduzieren die Angriffsfläche, und regelmäßige Schulungen stärken die menschliche Verteidigungslinie. Gesundheitseinrichtungen, die heute in ihre IT-Sicherheit investieren, schützen nicht nur ihre Daten und Systeme – sie sichern die Handlungsfähigkeit ihrer Organisation und das Vertrauen ihrer Patienten.

 

Sie möchten die IT-Sicherheit in Ihrer Gesundheitseinrichtung systematisch aufbauen? TrustSpace unterstützt Krankenhäuser, Kliniken und Gesundheitsdienstleister bei der Umsetzung regulatorischer Anforderungen. Mit TrustSpaceOS steuern Sie Ihr ISMS zentral, identifizieren Risiken proaktiv und bereiten sich effizient auf Audits vor – ob B3S-Nachweis, ISO 27001 Zertifizierung oder NIS-2-Compliance.

Jetzt kostenlose Erstberatung vereinbaren

Autor

Felix Mosler
Felix Mosler

Leiter Informationssicherheit

Das könnte Sie auch interessieren...

Mit TrustSpace automatisieren Sie das Management Ihrer Informationssicherheit. Ihre All-in-One Lösung für IT Compliance.

NIS-2-Meldepflicht: Fristen, Abläufe und praktische Anleitung für den Ernstfall - Blog Artikel Bild
NIS-2

NIS-2-Meldepflicht: Fristen, Abläufe und praktische Anleitung für den Ernstfall

Stefania Vetere
NIS 2 Lieferkette: Anforderungen an die Supply Chain Security und wie Unternehmen sich absichern - Blog Artikel Bild
NIS-2

NIS 2 Lieferkette: Anforderungen an die Supply Chain Security und wie Unternehmen sich absichern

Felix Mosler
NIS 2 Bußgeld und Haftung: Welche Strafen drohen und warum Geschäftsführer persönlich haften - Blog Artikel Bild
NIS-2

NIS 2 Bußgeld und Haftung: Welche Strafen drohen und warum Geschäftsführer persönlich haften

Stefania Vetere

Ihre Sicherheit beginnt hier

Automatisieren Sie Ihre IT-Compliance