-
» Herausragend «
Die Verwundbarkeit medizinischer Einrichtungen durch digitale Angriffe wirft zentrale Fragen zu Strafrecht, Compliance und organisatorischen Vorkehrungen auf. Kliniken, Labore und Praxen arbeiten heute nahezu vollständig digital: Patientenakten, Diagnostiksysteme, Radiologie, Medizintechnik und Abrechnungssysteme sind miteinander vernetzt. Ein erfolgreicher Angriff kann daher nicht nur ökonomische Schäden nach sich ziehen, sondern unmittelbar die Patientensicherheit gefährden. Internationale Fälle wie die Attacke auf den irischen Gesundheitsdienst HSE im Jahr 2021 oder der Vorfall am Universitätsklinikum Düsseldorf 2020, bei dem eine Patientin aufgrund eines IT-Ausfalls starb, verdeutlichen drastisch, dass Cyberangriffe im Gesundheitswesen Fragen von Leben und Tod betreffen.
Wenn mangelnde IT-Sicherheit zu Gesundheits- oder Todesfolgen führt, können Tatbestände wie fahrlässige Körperverletzung oder fahrlässige Tötung erfüllt sein. Ermittlungsbehörden prüfen in solchen Fällen zunehmend auch organisatorisches Verschulden. Entscheidend ist, ob Klinikleitungen ausreichende Maßnahmen ergriffen, gesetzliche Vorgaben umgesetzt und funktionierende Notfallpläne vorgehalten haben. Fehlende Vorkehrungen können eine strafrechtliche Mitverantwortung der Verantwortlichen begründen.
Auch zivilrechtlich sind die Konsequenzen gravierend. Patienten können Schadensersatz nach § 280 BGB oder Art. 82 DSGVO geltend machen, wenn sie durch Datenlecks oder Behandlungsverzögerungen geschädigt werden. Besonders brisant sind Verstöße gegen die DSGVO, da hier hohe Bußgelder und immaterielle Entschädigungsansprüche drohen. Erste Sammelklagen nach kleineren Datenpannen zeigen, dass auch unspektakuläre Vorfälle erhebliche Rechtsfolgen haben können.
Krankenhäuser gelten als wesentliche Einrichtungen und müssen strenge Sicherheitsstandards erfüllen. Die Vorgaben der NIS-2-Richtlinie sowie das deutsche IT-Sicherheitsrecht verlangen Risikoanalysen, Schutzmaßnahmen nach dem Stand der Technik, Vorfallmeldungen binnen 24 Stunden und klare Verantwortlichkeiten im Management. Diese Pflichten sind in § 75c SGB V und im BSI-Gesetz verankert und machen IT-Sicherheit zu einer Leitungspflicht der Geschäftsführung. Verstöße können Bußgelder bis zu 10 Millionen Euro nach sich ziehen.
Die Umsetzung ist für viele Einrichtungen schwierig. Krankenhäuser kämpfen mit knappen Budgets und einem chronischen Fachkräftemangel. IT-Abteilungen sind oft unterbesetzt, während gleichzeitig hochsensible Systeme geschützt werden müssen. Die Einbindung externer Dienstleister verstärkt die Problematik, da auch Hersteller von Medizintechnik und IT-Dienstleister den geforderten Standards entsprechen müssen. Dies erfordert ein komplexes Lieferkettenmanagement, das kleinere Einrichtungen organisatorisch überfordert.
Hinzu kommt, dass Ransomware-Gruppen den Gesundheitssektor gezielt angreifen. Kliniken stehen unter großem Druck, den Betrieb aufrechtzuerhalten, und sind daher besonders anfällig für Lösegeldforderungen. Die Entscheidung, ob gezahlt werden soll, ist ein Dilemma: Zahlungen bergen rechtliche Risiken, etwa wegen möglicher Verstöße gegen Sanktionsregime, und fördern kriminelle Strukturen; verweigert man die Zahlung, sind Patienten gefährdet. Deshalb wird ein klarer Fokus auf Prävention und Resilienz gefordert.
Ein wirksamer Schutz erfordert den Aufbau robuster Compliance-Strukturen. Krankenhäuser müssen Informationssicherheits-Managementsysteme nach Standards wie ISO 27001 etablieren, Verantwortlichkeiten klar definieren und Funktionen wie Chief Information Security Officer und Datenschutzbeauftragten besetzen. Regelmäßige Schulungen, Penetrationstests und eine Kultur des sofortigen Meldens sind unabdingbar. Datenschutz- und IT-Sicherheits-Compliance müssen eng verzahnt sein, da Datenpannen in der Regel aus Sicherheitslücken resultieren.
Auf technischer Ebene sind Offline-Backups, segmentierte Netzwerke, Zero-Trust-Architekturen, Awareness-Programme gegen Phishing, regelmäßige Notfallübungen und die Zusammenarbeit mit Behörden sowie CERTs entscheidend. Auch medizinisches Personal muss einbezogen werden, denn Sicherheitsmaßnahmen dürfen die Versorgung nicht verzögern, müssen aber dennoch robust genug sein, um im Ernstfall zu tragen.
Neben den technischen und organisatorischen Fragen spielt auch die gesellschaftliche Dimension eine Rolle. Patienten erwarten, dass ihre Daten geschützt sind und Behandlungen zuverlässig stattfinden. Kommt es zu Datenlecks oder Ausfällen, wird das Vertrauen nicht nur in die betroffene Einrichtung, sondern in das gesamte Gesundheitssystem erschüttert.
Damit Strafrecht und Compliance wirksam ineinandergreifen, muss klar sein, dass Organisationsverschulden strafrechtliche Verantwortung nach sich ziehen kann. Gleichzeitig bedarf es politischer Unterstützung und klarer Leitlinien. Fördermittel, verbindliche Standards und branchenspezifische Vorgaben sind notwendig, um Kliniken nicht zwischen ökonomischem Druck und Cyberbedrohungen zerrieben werden zu lassen. Cybersicherheit ist im Gesundheitswesen Patientensicherheit. Wer die Anforderungen ignoriert, riskiert nicht nur strafrechtliche Verfahren, zivilrechtliche Klagen und hohe Bußgelder, sondern im schlimmsten Fall Menschenleben.