Warum Krankenhäuser immer wieder Ziel von Cyberattacken werden

Wie gehen die Kriminellen in der Regel vor?

Becker: Cyberkriminelle nutzen verschiedene Methoden, um in die IT-Systeme von Krankenhäusern einzudringen. Einer der häufigsten Methoden sind sogenannte Ransomware-Angriffe. Dabei verschlüsseln die Angreifer wichtige Daten und Systeme und fordern ein Lösegeld für die Freigabe. Meist erfolgt der Angriff mit Ransomware in zwei Schritten. Im ersten Schritt werden die Systeme lediglich mit der Ransomware infiziert. Eine Verschlüsselung bleibt aber zunächst aus. Diese erfolgt in der Regel erst Wochen bis Monate später. Dadurch erreichen die Angreifer, dass auch eventuell vorhandene Backups zum Zeitpunkt der Verschlüsselung bereits infiziert und damit unbrauchbar sind. Somit haben die betroffenen Häuser praktisch keine Möglichkeit, auf schadfreie Systeme zurückzugehen.

Eine weitere, immer häufiger auftretende Methode ist Phishing. Dabei versuchen die Kriminellen, durch gefälschte E-Mails, Nachrichten oder Websites Mitarbeitende dazu zu bringen, sensible Informationen preiszugeben oder schädliche Software zu installieren. Die von den Angreifern gefälschten Nachrichten (E-Mails, SMS etc.) sehen in der Regel täuschend echt aus und sind von bekannten Absendern kaum zu unterscheiden. Diese Nachrichten erzeugen oft Dringlichkeit oder Angst und fordern die Opfer auf, auf einen gefälschten Link zu klicken oder einen schädlichen Anhang zu öffnen. Ziel ist es, sensible Daten (Passwörter, Kreditkarteninfos) zu stehlen oder Schadsoftware zu installieren. Sie nutzen psychologische Tricks, um Vertrauen zu gewinnen und unüberlegte Handlungen zu provozieren.

Ferner gibt es Malware-Infektionen. Schadprogramme wie Viren, Trojaner oder Würmer können dadurch unbemerkt in die Systeme gelangen und Schaden anrichten, Daten ausspähen oder Hintertüren für weitere Angriffe öffnen. Angreifer versuchen, Schadsoftware (Malware) unbemerkt auf das Zielsystem zu schleusen. Sobald die Malware auf dem System ist, kann sie verschiedene schädliche Aktionen ausführen, wie zum Beispiel Daten ausspähen, Systeme verschlüsseln (Ransomware), Fernzugriff ermöglichen oder das Gerät in ein Botnetz einbinden.

Nicht zuletzt ist auch Social Engineering mittlerweile an der Tagesordnung. Die Angreifer manipulieren in diesen Fällen Mitarbeitende psychologisch, um an Zugangsdaten oder sensible Informationen zu gelangen. Dies geschieht durch elektronische Kontakte wie beispielsweise über gängige Social-Media-Kanäle und Plattformen. Aber auch direkte persönliche Kontakte werden immer häufiger.

Was ist das vorrangige Ziel der Kriminellen?

Becker: Das vorrangige Ziel der Kriminellen bei Angriffen auf Krankenhäuser ist in der Regel Geld. Dies geschieht hauptsächlich durch Lösegeldzahlungen, wobei die Kriminellen beispielsweise nach einem Ransomware-Angriff hohe Summen für die Freigabe der verschlüsselten Daten und Systeme fordern. Oder aber man will Geld bekommen durch den Verkauf gestohlener Daten. Denn sensible Patientendaten können im Darknet hohe Summen einbringen und für Identitätsdiebstahl oder andere kriminelle Aktivitäten genutzt werden.

Obwohl Geld das Hauptmotiv ist, sind aber auch andere Ziele in der aktuellen politischen Situation denkbar. In diesen Fällen kann man sogar eine staatsfeindliche Intention unterstellen. Das Ziel einiger Krimineller ist eine Reputationsschädigung. Schließlich kann ein erfolgreicher Cyberangriff das Vertrauen der Patienten in das Krankenhaus erheblich beeinträchtigen. Außerdem möchten immer mehr Angreifer gezielt die Gesundheitsversorgung stören. Ihr Ziel ist es, die medizinische Versorgung bewusst zu behindern oder zu sabotieren.

Was muss getan werden, damit Krankenhäuser besser geschützt sind?

Becker: Um den Schutz von Krankenhäusern vor Cyberangriffen zu verbessern, sind umfassende Maßnahmen erforderlich. Dazu gehören die Erhöhung der Investitionen in Cybersicherheit, die Implementierung robuster Sicherheitsmaßnahmen, die Entwicklung und Umsetzung umfassender Sicherheitsrichtlinien und -prozesse, regelmäßige Schulungen und Sensibilisierungsmaßnahmen für Mitarbeitende, die Durchführung regelmäßiger Sicherheitsüberprüfungen und Penetrationstests, die Entwicklung von Notfallplänen, die Verbesserung des Informationsaustauschs und der Zusammenarbeit. Außerdem sollten die Regierung und Aufsichtsbehörden gesetzliche Rahmenbedingungen und Standards für das Gesundheitswesen festlegen und deren Einhaltung kontrollieren.

Die NIS-2 Richtlinie, welche für alle Krankenhäuser Gültigkeit hat, macht hier klare Vorgaben. Insofern ist die Umsetzung der NIS-2 Richtlinie ein guter Schritt, um in Sachen Cybersicherheit die Resilienz deutlich zu erhöhen.

Welche Folgen hat ein Cyberangriff im Krankenhaus für Patientinnen und Patienten?

Becker: Ein Cyberangriff auf ein Krankenhaus kann schwerwiegende Folgen für Patientinnen und Patienten haben. In der Regel ist die medizinische Versorgung zumindest in den ersten Stunden oder sogar Tagen nach dem Angriff stark eingeschränkt oder gar nicht mehr gewährleistet. Das kann zu vielfältigen und teils lebensbedrohlichen Situationen führen. So kommt es häufig zu Verzögerungen bei Behandlungen und Operationen, da wichtige IT-Systeme ausfallen. Geplante Eingriffe müssen verschoben werden, was den Gesundheitszustand der betroffenen Personen verschlechtern kann. Auch die Notfallversorgung ist oftmals beeinträchtigt – im schlimmsten Fall funktioniert die Notaufnahme nicht mehr richtig, was bei akuten medizinischen Notfällen lebensgefährlich sein kann.

Darüber hinaus kann es zu fehlerhaften Diagnosen oder Behandlungen kommen, da der Zugriff auf elektronische Patientenakten und andere wichtige Informationen eingeschränkt oder nicht möglich ist. Das erhöht das Risiko von Fehlentscheidungen und gefährdet damit die Sicherheit der Patienten. Auch medizinische Geräte können betroffen sein – ihr Ausfall oder fehlerhafte Medikamentenverabreichungen durch fehlende Daten können direkte Gesundheitsrisiken mit sich bringen.

Ein weiterer gravierender Aspekt ist die Verletzung der Privatsphäre. Werden Patientendaten gestohlen, können sie für Identitätsdiebstahl, Betrug oder andere kriminelle Handlungen missbraucht werden. Das kann für die Betroffenen großes Leid bedeuten. Zusätzlich entstehen psychische Belastungen: Die Angst vor gesundheitlichen Folgen, Unsicherheit über die eigene medizinische Versorgung sowie Sorgen um den Schutz persönlicher Daten führen bei vielen Patientinnen und Patienten zu erheblichem seelischem Stress.

Welche Kosten und Folgekosten entstehen durch einen Cyberangriff?

Becker: Die Kosten und Folgekosten eines Cyberangriffs auf ein Krankenhaus können enorm sein und lassen sich oft nur schwer exakt beziffern. Dabei wird zwischen direkten und indirekten Kosten unterschieden. Zu den direkten Kosten zählen beispielsweise Lösegeldzahlungen, wenn sich das Krankenhaus entscheidet, auf die Forderungen der Angreifer einzugehen. Die genaue Höhe solcher Zahlungen ist oft unbekannt, doch allein im Jahr 2024 wurden mindestens 40 Millionen Euro gezahlt. Hinzu kommen Kosten für die Wiederherstellung der IT-Systeme, darunter Ausgaben für IT-Experten, neue Software, Hardware und die Wiederherstellung der Daten. Auch rechtliche Kosten wie Anwaltsgebühren, Gutachterhonorare und mögliche Strafzahlungen – vor allem bei Datenschutzverstößen – müssen einkalkuliert werden. Darüber hinaus entstehen Kommunikationskosten, etwa für die Information von Patienten, Angehörigen und der Öffentlichkeit.

Zu den indirekten Kosten und Folgekosten gehört insbesondere der wirtschaftliche Schaden durch Betriebsunterbrechungen. Während der Ausfallzeiten der Systeme können keine oder nur eingeschränkte medizinische Leistungen erbracht werden, was zu erheblichen Einnahmeverlusten führt. Auch ein möglicher Reputationsschaden spielt eine große Rolle: Das Vertrauen der Patienten und der Öffentlichkeit kann dauerhaft beeinträchtigt werden, was sich langfristig negativ auf die Patientenzahlen auswirkt. Zusätzlich entstehen Kosten durch Datenmissbrauch, etwa wenn gestohlene Patientendaten für Identitätsdiebstahl oder andere kriminelle Handlungen verwendet werden. Nach einem Angriff können zudem die Prämien für Cyberversicherungen deutlich steigen. Nicht zu unterschätzen sind auch die langfristigen Investitionen, die notwendig werden, um die IT-Sicherheit zu verbessern. Neue Technologien, geschultes Personal und eine verbesserte Infrastruktur verursachen weitere Ausgaben. Schließlich führt die Bewältigung des Angriffs und die Umsetzung neuer Sicherheitsmaßnahmen zu einem hohen Verwaltungsaufwand.

Kann so ein Schaden beziffert werden?

Becker: Es ist schwierig, eine genaue Summe für die durchschnittlichen Kosten eines Cyberangriffs auf ein Krankenhaus zu nennen, da diese stark vom Ausmaß des Angriffs, der Größe des Krankenhauses und den ergriffenen Maßnahmen abhängen. Schätzungen gehen jedoch von sehr hohen Kosten aus, die in die Millionen oder sogar Milliarden Euro gehen können, insbesondere wenn sensible Patientendaten betroffen sind oder die Gesundheitsversorgung erheblich beeinträchtigt wird.

Entgegen vieler anderer Produktions- und Wirtschaftsunternehmen, wo eine Leistung direkt verrechnet werden kann, können im Krankenhaus die Behandlungsleistungen am Patienten nur über dokumentierte Leistungen mittels eines Schlüssels abgerechnet werden. Das bedeutet, dass die erbrachte Dienstleistung, nämlich die Behandlung des Patienten, allein noch keine Einnahme generiert. Allein die sogenannte Kodierung ermöglicht es, die Behandlung auch abzurechnen. Dazu müssen aber IT-Infrastrukturen zur Verfügung stehen.

Im Falle eines Cyberangriffs und dem damit verbundenen Ausfall der IT kann das Krankenhaus zwar behandeln, aber nicht dokumentieren und damit auch nicht abrechnen. Diese Dokumentation muss dann, wenn die Systeme wiederhergestellt sind, nacherfasst werden. Damit wird auch ein kurzzeitiger Ausfall schnell zur finanziellen Katastrophe. In Zeiten sowieso bedrohter Existenzen kann das schnell zum finalen Todesstoß eines Krankenhauses werden.