Editorial | Cybersicherheit der Medizin
Die 11-Millionen-Euro-Schwachstelle
Missbrauchte Patientendaten, eine lahmgelegte Klinik oder ein »gehackter« Medizingerätehersteller: 11 Millionen Euro kostet ein Datenleck im Gesundheitswesen. Die GData-Studie »Cybersicherheit in Zahlen« zeigt besorgniserregend: Mit diesen Kosten liegt das Gesundheitswesen weltweit an der Spitze.
Sie lesen das Editorial der Elektronik Medical 5-2025: Hier geht's zum E-Paper.
Als wäre dieser unrühmliche Platz auf dem obersten Treppchen nicht schlimm genug, verzeichnen die digitalen Angriffe auf den Healthcare-Sektor mit einem Jahresplus von 11 Prozent auch noch massive Zuwächse. Zum Vergleich: Im Finanzwesen verursacht ein Datenleck oder Cyberangriff »nur« einen Schaden von 5,62 Millionen Euro.
Medizin und Gesundheit sind verwundbar
Zugleich wird der Gesundheitssektor als kritische Infrastruktur von Cyberkriminellen verstärkt ins Visier genommen, die Attacken auf medizinische KRITIS-Einrichtungen nehmen kontinuierlich zu. Während wir die Digitalisierung der Medizin diskutieren und vernetzte Medizingeräte zur Normalität werden, hat sich der Gesundheitssektor still und leise zur verwundbarsten Branche der digitalen Welt entwickelt.
Die Einführung der elektronischen Patientenakte hat diese Brisanz verschärft. Kaum eingeführt, wurde die Verschlüsselung vom Chaos Computer Club gehackt. Der Weckruf mit Ansage zeigt einmal mehr, wie verwundbar sensible Gesundheitsdaten sind. Internationale Vorfälle in Australien, Dänemark und Estland unterstreichen: Dies ist kein deutsches Problem, sondern eine weltweite Herausforderung der Digitalisierung der Gesundheitssysteme.
Das schwächste Glied: Der Mensch
Das eigentliche Problem sitzt jedoch nicht in den Serverschränken oder Medizingeräten, sondern dahinter: Der Gesundheitssektor weist auch die niedrigste IT-Sicherheitskompetenz auf. Nur 55,9 Prozent der Medizinfachkräfte finden sich »sehr gut« bis »gut« mit IT-Sicherheitsmaßnahmen zurecht. Noch gravierender: Lediglich 8,7 Prozent erhalten umfassende und regelmäßige Cybersicherheitsschulungen – der schlechteste Wert aller Branchen.
Mit der NIS-2-Richtlinie kommt nun der Gesetzgeber: Krankenhäuser, Praxen und Pflegeeinrichtungen ab 50 Mitarbeitenden oder 10 Millionen Euro Umsatz müssen als »wichtige Einrichtungen« ihre Cyberrisiken minimieren. Das bedeutet Investitionen in Technik, Personal und Schulungen – zusätzlich zum ohnehin bestehenden massiven Kostendruck.
Doch es bietet auch eine Chance: Die Studie macht deutlich, dass der größte Schwachpunkt nicht die Technologie, sondern der Mensch ist. Wenn nur knapp neun Prozent der Beschäftigten regelmäßig geschult werden, ist das kein technisches, sondern ein organisatorisches Versäumnis. Hier können Krankenhäuser und medizinische Einrichtungen sofort ansetzen, ohne Millionen in neue Hardware investieren zu müssen.
Digitalisierung macht Sicherheit zum Muss
Die Medizintechnikbranche steht vor einer paradoxen Situation: Je digitaler und vernetzter die Versorgung wird, desto verwundbarer wird sie. Vernetzte Medizingeräte, Telemedizin und KI-gestützte Diagnostik sind die Zukunft – aber sie brauchen ein sicheres Fundament. Bei einem Cyberangriff auf ein Krankenhaus geht es nicht nur um finanzielle Schäden, es geht um Menschenleben, wenn OP-Säle stillstehen oder medizinische Geräte ausfallen.
Die 11 Millionen Euro pro Datenleck sind nicht nur eine Zahl, sie sind ein Warnsignal. Es ist höchste Zeit, Cybersicherheit nicht als IT-Thema, sondern als medizinische Notwendigkeit zu begreifen – wer heute in sichere Elektronik, Infrastruktur und das Wissen seiner Mitarbeiter investiert, schützt damit morgen seine Patienten.
Ihre Ute Häußler
