-
» Herausragend «
Ransomware-Angriffe auf Gesundheitseinrichtungen haben in den letzten Jahren eine dramatische Zuspitzung erfahren. Sie stellen nicht mehr nur ein finanzielles Risiko dar, sondern gefährden unmittelbar Leben und Gesundheit. Mehrere Vorfälle verdeutlichen die Tragweite dieser Entwicklung. So führte der Angriff auf Change Healthcare im Jahr 2024 zur Exfiltration von sechs Terabyte Patientendaten und betraf über 100 Millionen Menschen. Abrechnungssysteme und Versorgungsprozesse waren monatelang lahmgelegt. In Deutschland kam es 2020 am Universitätsklinikum Düsseldorf zu einem tödlichen Zwischenfall, als eine Patientin wegen IT-Ausfällen nicht rechtzeitig behandelt werden konnte. 2023 legte ein Angriff auf ein Londoner Labor große Teile der Blutversorgung lahm. Diese Fälle zeigen, dass Ransomware längst die Patientensicherheit unmittelbar bedroht.
Die rechtlichen Grundlagen unterscheiden sich international, weisen jedoch vergleichbare Defizite auf. In den USA bildet HIPAA zwar die Basis des Datenschutzes im Gesundheitswesen, doch seine praktische Umsetzung galt lange als lückenhaft. Mit dem geplanten Health Infrastructure Security and Accountability Act (HISAA) sollen verbindliche Sicherheitsstandards eingeführt und die persönliche Verantwortung des Managements erheblich gestärkt werden. In Europa ist die NIS-2-Richtlinie maßgeblich. Sie verpflichtet Krankenhäuser und andere Gesundheitseinrichtungen zu umfassendem Risikomanagement, regelmäßigen Schulungen und strengen Meldepflichten innerhalb von 24 Stunden. Verstöße können mit Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden.
Haftungsfragen nehmen in diesem Kontext eine zentrale Rolle ein. Strafrechtlich können Vorstände und Geschäftsführer zur Verantwortung gezogen werden, wenn mangelnde IT-Sicherheitsmaßnahmen zu Patientenschäden führen. In solchen Fällen kommen Anklagen wegen fahrlässiger Körperverletzung oder gar fahrlässiger Tötung in Betracht. Zivilrechtlich drohen erhebliche Schadensersatzforderungen nach Art. 82 DSGVO, etwa wegen Vertrauensverlust, psychischer Belastungen oder materieller Schäden durch Datenlecks. Hinzu tritt die interne Haftung der Geschäftsleitung gegenüber dem eigenen Krankenhaus, wenn Bußgelder oder andere Schäden aus grober Pflichtverletzung resultieren.
Die zentrale Lehre aus den jüngsten Angriffen lautet, dass IT-Sicherheit nicht länger ein technisches Randthema ist, sondern zu den Kernaufgaben der Unternehmensführung gehört. Gesundheitseinrichtungen müssen Informationssicherheits-Managementsysteme (ISMS) nach ISO 27001 implementieren, Verantwortlichkeiten eindeutig zuweisen und interdisziplinäre Cybersecurity-Komitees einrichten, in denen Recht, IT, Datenschutz und Compliance zusammenwirken. Ebenso entscheidend ist eine gelebte Meldekultur. Mitarbeiter sollen ermutigt werden, Vorfälle unverzüglich weiterzugeben, ohne Angst vor Sanktionen haben zu müssen.
Zu den erforderlichen technischen und organisatorischen Maßnahmen gehören Netzsegmentierung, der Aufbau von Zero-Trust-Architekturen, die regelmäßige Durchführung von Penetrationstests, konsequente Updates sowie die Einrichtung von Offline-Backups. Besonders wichtig sind Awareness-Programme, da die meisten Angriffe mit Phishing beginnen. Daher müssen alle Beschäftigten für die Risiken sensibilisiert werden. Ergänzt werden diese Maßnahmen durch Notfallpläne und Krisenübungen. Nur Einrichtungen, die regelmäßig Worst-Case-Szenarien trainieren, sind im Ernstfall in der Lage, die Patientenversorgung und den Schutz sensibler Daten gleichzeitig zu gewährleisten.
Ein besonders umstrittenes Problem betrifft die Frage, ob Lösegeld gezahlt werden soll. Behörden raten dringend davon ab, da Zahlungen die Finanzierung krimineller Strukturen fördern und keine Sicherheit dafür bieten, dass Daten tatsächlich entschlüsselt oder nicht weiterverwendet werden. Gleichwohl entscheiden sich manche Einrichtungen aus schierer Verzweiflung für diesen Schritt, etwa wenn lebenswichtige Systeme betroffen sind. Die einzig nachhaltige Lösung liegt daher im Aufbau robuster Resilienzmaßnahmen: durch verlässliche Backups, redundante Systeme und eine konsequente Sicherheitsarchitektur muss verhindert werden, dass Gesundheitseinrichtungen überhaupt erpressbar werden.