Mitten ins Herz
Wenn Kriminelle Krankenhäuser erpressen, attackieren sie zentrale IT-Systeme, verschlüsseln sensible Patienteninformationen und versetzen so Kliniken in ein künstliches Koma. Experten fordern einen Komplettumbau der Sicherheitsarchitektur im Gesundheitswesen.
Der entscheidende Satz fällt um kurz nach zwölf Uhr mittags. „Ihr seid gehackt worden.“ Seit zwei Stunden ist die Cybercrime-Einheit der Polizei im Krankenhaus – nun steht fest: kein technischer Defekt, kein Bedienfehler, sondern ein Angriff. Drei Krankenhäuser – lahmgelegt. Patientendaten – verschlüsselt. Gesamtschaden? Unklar. Dr. Matthias Keilen, Vorstand der Bezirkskliniken Mittelfranken, weiß nicht, wie tief die Hacker schon vorgedrungen sind. „Alles war gnadenlos ungewiss“, erinnert er sich später an diesen Moment. Begonnen hatte alles fünf Stunden zuvor. Unspektakulär, fast beiläufig.
An einem Samstagmorgen betritt ein Mitarbeiter das Gelände des Bezirksklinikums im fränkischen Ansbach, rund 40 Kilometer südwestlich von Nürnberg. In gut einer Viertelstunde beginnt sein Dienst. Die kommende Schicht wird er hinter dem Tresen in der Pforte erster Ansprechpartner sein, für Patienten, Besucher und Lieferanten.
Punkt 6.45 Uhr startet er den Rechner, klickt sich durch seine Routine, versucht sich in die klinikeigene Cloud einzuloggen, wo er alle Informationen findet, um Hilfesuchenden zu helfen. Doch diesmal stimmt irgendetwas nicht. Auf dem Bildschirm erscheint eine Fehlermeldung. Kein Zugang. Wahrscheinlich wieder eins dieser typischen IT-Probleme am Wochenende, denkt er und versucht es erneut. Ohne Erfolg. Der Mann telefoniert mit seinen Kollegen in den anderen Krankenhäusern des Klinikverbundes und erfährt: Auch in Erlangen und Engelthal kommt niemand ins interne Netz. „Teilausfall der Office-Anwendungen“, vermuten die Kollegen der IT-Abteilung.
Es ist fast 8 Uhr als Matthias Keilen von dem Problem erfährt. „Zu diesem Zeitpunkt wussten wir nicht, ob es sich um eine technische Störung oder einen Krisenfall handelt“, erinnert er sich anderthalb Jahre später im Gespräch mit G+G. Ende Juli 2025 lässt er die Ereignisse noch einmal Revue passieren. Seine Schilderungen bilden mit Pressemitteilungen und Presseberichten die Grundlage für die Rekonstruktion der dramatischen Wochen in Ansbach.
Unklare Bedrohungslage
Dort entscheidet der Krisenstab am Morgen des 27. Januar 2024 schnell: „Wir schalten die Cybercrime-Einheit der Polizei ein.“ Kurz nach zehn Uhr trifft die Truppe ein. Zwei Stunden später sagt einer der Beamten: „Ihr seid gehackt worden.“ Die wichtigste Frage in diesem Moment: Welche Daten sind betroffen? Ein Hackerangriff laufe nicht so ab, wie man es sich vorstelle, erzählt Matthias Keilen. Kein „You’ve been hacked“ auf dem Bildschirm. Es beginne leise. „Mit Irritation. Und dann wächst das Chaos.“
Cyberangriffe wie in Ansbach sind keine Seltenheit. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt: Die Bedrohungslage sei „unvermindert hoch“. 2025 traf es unter anderem die AMEOS-Gruppe mit Standorten in Deutschland, Österreich und der Schweiz. Tagelang fielen Kommunikations- und Dokumentationssysteme aus. Auch die LUP-Kliniken in Ludwigslust und Hagenow wurden angegriffen. Später tauchten im Darknet vertrauliche Patientendaten wie Laborwerte und Arztbriefe auf.
Belastbare Zahlen über das gesamte Ausmaß existieren bislang nicht. Die offizielle Statistik umfasst nur Krankenhäuser mit jährlich mehr als 30.000 stationären Fällen. Diese Kliniken zählen zur kritischen Infrastruktur (KRITIS). Das BSI meldet in diesem Bereich insgesamt 141 Vorfälle für den Zeitraum vom 1. Juli 2023 bis 30. Juni 2024. Die Politik tappt weitgehend im Dunkeln. Das zeigt eine Anfrage der CDU/CSU-Bundestagsfraktion von April 2024 – allerdings noch an die vorige Bundesregierung. Höhe der wirtschaftlichen Schäden? „Keine Erkenntnisse.“ Folgen für medizinisches Personal und Patienten? „Keine Erkenntnisse.“ Ausfallzeiten? „Keine Erkenntnisse.“ Tätergruppen? „Keine Erkenntnisse.“
G+G hat mit Spezialisten für Cyberkriminalität gesprochen, darunter Experten des Chaos Computer Clubs, des Branchenverbandes Bitkom und des Hasso-Plattner-Instituts. Fazit: Während die Hacker hochprofessionell agieren, sind viele Kliniken nur unzureichend gegen Angriffe gerüstet.
Regulierung mit Lücken
Immerhin: Ende Juli 2025 verabschiedete die Koalition einen Gesetzentwurf zur Umsetzung der EU-Richtlinie NIS-2 („Network and Information Security“). Die Regelung legt einheitliche Mindeststandards für Cybersicherheit fest. So müssen Krankenhäuser Sicherheitsvorfälle innerhalb von 24 Stunden an das BSI melden. Neu ist auch, dass das Management persönlich haftet, wenn Sicherheitsvorgaben nicht eingehalten werden.
Bianca Kastl, Expertin für Digitalisierung im Gesundheitswesen beim Chaos Computer Club (CCC), kritisiert, dass das Gesetz auch nach der Novellierung Defizite aufweist. Kastl gehörte zum Team des CCC, das Ende 2024 Sicherheitslücken in der elektronischen Patientenakte (ePA) aufgedeckt hat. Im Gespräch mit G+G moniert sie, dass die strengeren NIS-2-Regeln nur für Kliniken ab einer bestimmten Mitarbeiterzahl und einem bestimmten Jahresumsatz gelten. „Aus unserer Sicht ist aber jedes Krankenhaus in der jeweiligen Region kritische Infrastruktur.“ Außerdem gebe es die Möglichkeit für Kliniken, bewusst die entsprechenden Schwellenwerte zu unterschreiten, um Kosten für die teure Cybersicherheit zu sparen.
„Rund 30 Prozent aller Kliniken in Deutschland hatten bereits mindestens einen Sicherheitsvorfall und seit 2017 steigt die Zahl der Attacken extrem an.“
Sicherheitsforscher und Leiter des Fachgebiets „Cybersecurity und Enterprise Security“ am Hasso-Plattner-Institut
Angriff auf Patientendaten
In Ansbach spitzt sich die Lage im Januar 2024 zu. Drei Stunden lang haben Polizisten die Schäden analysiert. „Dieser Angriff geht tiefer“, sagt einer der Ermittler. Gegen 15 Uhr dann die Entscheidung: Die komplette EDV wird kontrolliert heruntergefahren. Es beginnt ein Wettlauf gegen die Zeit. Während Computerspezialisten die digitale Herzkammer der Klinik in ein künstliches Koma versetzen, informiert Matthias Keilen den Verwaltungsrat, Ministerien, die Generalstaatsanwaltschaft und zwei externe IT-Firmen. Letztere schicken sofort ihre Teams. Gegen 18 Uhr präsentieren sie erste Ergebnisse. „Die Angreifer haben Patientendaten verschlüsselt“, sagt einer der Experten.
Die Bezirkskliniken Mittelfranken gehören zu den größten Gesundheitsdienstleistern Nordbayerns. Das kommunale Unternehmen vereint unter anderem zwei Pflegeheime und neun Kliniken mit insgesamt 1.700 Betten. Allein stationär behandeln Mitarbeiter jährlich rund 15.000 Patienten. Der gesamte Gesundheitssektor biete eine „enorme Angriffsfläche“ für Kriminelle, sagt Christian Dörr. Der Sicherheitsforscher leitet das Fachgebiet „Cybersecurity und Enterprise Security“ am Hasso-Plattner-Institut (HPI). „Wir haben auf der einen Seite die IT-Systeme der Krankenhäuser, die sich untereinander immer stärker vernetzen. Auf der anderen Seite sind die Arztpraxen, die eine Nachsorge der aus den Kliniken entlassenen Patienten sicherstellen – das heißt, eine zunehmende Vernetzung zwischen stationärem und ambulantem Sektor.“ Dörr und seine Kollegen arbeiten derzeit an einer Studie über IT-Sicherheit im Gesundheitssektor, die voraussichtlich im Herbst publiziert wird. „Rund 30 Prozent aller Kliniken in Deutschland hatten bereits mindestens einen Sicherheitsvorfall und seit 2017 steigt die Zahl der Attacken extrem an“, so der Informatiker.
An einem Mittwochmorgen Ende Juli 2025 steht Christian Dörr in einem Seminarraum auf dem Potsdamer HPI-Campus und zeichnet mit schnellen Strichen das Schema einer Klinik-IT auf die Tafel. In den kommenden zwei Stunden wird er für G+G detailliert Schwachstellen bisheriger Krankenhaussysteme, die Vorgehensweise krimineller Hacker und Schutzmechanismen dagegen erläutern.
17 Monate zuvor, am 28. Januar 2024 in Ansbach. Tag eins nach dem Hackerangriff: Matthias Keilen, Vertreter der Unternehmensleitung, der IT-Abteilung, Staatsanwälte und Polizisten treffen sich zur Krisensitzung. Erster Tagungsordnungspunkt: Wie können wir die Patientenversorgung ohne IT sicherstellen? Ein Vorteil: Die Bezirkskliniken Mittelfranken sind spezialisiert auf die Bereiche Psychiatrie, Psychotherapie, Suchtmedizin, Geriatrie und Neurologie – klassische Felder der „sprechenden Medizin“, bei der eine direkte Arzt-Patienten-Kommunikation entscheidend ist. „Wir mussten keine Operationen verschieben, keine Intensivstation leeren“, betont Keilen. Nur die Notfallversorgung meldete die Klinikleitung zunächst ab.
Frank Becker, Software-Ingenieur, der Universitätskliniken, Medizinlabore und Arztpraxen berät, weiß, warum Krankenhäuser so oft ins Visier von Hackern geraten: „Ein Systemausfall kann gravierende Folgen haben, was die Wahrscheinlichkeit erhöht, dass Opfer Lösegeld zahlen.“ Zudem ließen sich Patientendaten für Identitätsdiebstahl verwenden. Hinzu komme: In Kliniken liege der Fokus auf der medizinischen Versorgung, wogegen in die Cybersicherheit „eher sparsam“ investiert werde.
In der sonntäglichen Krisensitzung in Ansbach nähert sich die Diskussion der Frage: verhandeln oder nicht? Die Erpresser hatten einen Link zu einer Webseite im Darknet geschickt, über den der Kontakt laufen soll. Bislang hat die Klinik nicht reagiert. Die Polizeispezialisten vermuten, dass die Kriminellen wie üblich zwischen fünf und zehn Prozent des Jahresumsatzes fordern. „Bei einem Jahresumsatz von rund 260 Millionen Euro ist das eine hohe Summe“, so Matthias Keilen. Am Ende der Sitzung sind sich alle Anwesenden einig: Mit Erpressern wird nicht verhandelt. Keine Selbstverständlichkeit.
IT-Spezialist Frank Becker sagt: „Allein 2024 wurden mindestens 40 Millionen Euro gezahlt.“ Cybersicherheitsforscher Dörr erklärt: „Die Täter sind meist sehr gut über die wirtschaftliche Lage informiert, lesen Unternehmensbilanzen oder Börsenberichte, wissen, welche Beträge die Unternehmen zahlen können.“ Polizei und Staatsanwaltschaften raten von Lösegeldzahlungen ab. Denn sie erhöhen das Risiko, erneut angegriffen zu werden. „Double Attack“, nennt das Dörr. „Die Klinik hat gezahlt, die Täter schalten die Daten frei, verschlüsseln sie aber nach einer gewissen Zeit wieder und es folgt die nächste Erpressung.“
Arbeitsalltag im Analogmodus
30. Januar 2024 – Montag, Tag zwei nach dem Hackerangriff: Matthias Keilen und sein Team besuchen alle Klinikstandorte, erläutern den Mitarbeitern ihre Strategie. „Unser Alltag muss jetzt ohne die gewohnten Systeme funktionieren“, sagt Keilen. Keine einfache Operation. Dienstpläne, Gehaltsabrechnungen, Kommunikation mit den Krankenkassen, Einkauf, Rechnungen, Bewerbungen, Ausschreibungen – alles läuft über digitale Plattformen. Normalerweise. Von nun an notieren die Beschäftigten Termine und medizinische Dokumentationen auf Papier. In der Personalabteilung tippen 25 Mitarbeiter Dienstpläne und Gehaltsabrechnungen per Hand in das abgesicherte System eines Drittanbieters. Währenddessen arbeiten 40 Spezialisten an der IT. Desktopcomputer, Drucker, Laptops, Tablets, Smartphones, Digitalkameras, medizinische Geräte – alle werden katalogisiert, nach Viren gescannt und ihre Datenspeicher anschließend gelöscht. Allmählich verstehen die Experten, wie die Hacker vorgegangen sind. Schon sechs Wochen vor der ersten Fehlermeldung hatten sich die Erpresser Zugang zu Mitarbeiteraccounts verschafft. Doch wer sind die Erpresser?
Türöffner Mensch
Christian Dörr und sein Team beobachten tagesaktuell mehr als 100 Hackergruppen und unterscheiden zwischen verschiedenen Täterprofilen. Es gebe unzufriedene Mitarbeiter, die ihren Arbeitgeber schädigen wollen. Dann die Script-Kiddies, junge Hacker, die ihre Reputation in der Szene aufpolieren möchten. Andere verstünden sich als Aktivisten mit politischen Botschaften. Einige Akteure erzeugten im Auftrag fremder Staaten Unsicherheit. Dazu kämen Cyberterroristen, deren Ziel einfach nur Zerstörung ist.
Felix Kuhlenkamp, Bereichsleiter Sicherheitspolitik beim Digitalverband Bitkom, ist sich sicher: „Die meisten Cyberangriffe kommen aus China und Russland.“ Dahinter stünden „professionell aufgestellte organisierte Kriminalität“ und „ausländische Nachrichtendienste“, teils in Kooperation oder gegenseitiger Duldung. Die staatlich gelenkten Attacken zielten darauf, „Deutschland zu schwächen und Verunsicherung zu säen“, während Angriffe mit Verschlüsselungssoftware „oft einen monetären Ansatz“ verfolgten, so Kuhlenkamp. Doch IP-Adressen lassen sich verschleiern. Woher will man wissen, wo die Hacker sitzen? Sicherheitsexperte Dörr gibt zu: „Eine IP-Adresse hat den Integritätswert einer Postkarte – diese kann ich auch mit beliebigem Absender verschicken.“ Hacker können zunächst ein fremdes IT-System kapern und von dort ihren Angriff starten. Der Angegriffene verdächtige dann einen falschen Absender. Gewissheiten gebe es nicht, aber Wahrscheinlichkeiten. Dörr analysiert Cyberangriffe unter anderem nach der Methode TTP – Tactics, Techniques and Procedures. Tactics untersucht die übergeordneten Ziele der Angreifer, Techniques die Umsetzungsmethode und Procedures die konkrete Vorgehensweise. „Das ist wie in der realen Welt, wo Ermittler ebenfalls von Einbruchswerkzeug, Einbruchsweg und Motivation auf die Täter schließen.“
Erpressungen mit Verschlüsselungssoftware – sogenannte Ransomangriffe wie in Ansbach, folgen meist einem klaren Ablauf: Die Kriminellen versenden an Mitarbeiter Mails, die ihre Empfänger motivieren, auf präparierte Links oder Dateianhänge zu klicken (Phishing). Christian Dörr sagt: „Auswertungen zeigen, dass rund 80 Prozent der Vorfälle auf menschliches Fehlverhalten zurückgehen.“ Nach der Infektion bleibt die Schadsoftware oft unauffällig aktiv, um auch Sicherungen zu kompromittieren. In dieser Phase spioniert sie Daten aus, sucht automatisiert nach weiteren Systemen und sensiblen Informationen. IT-Experte Frank Becker erklärt: „Die Verschlüsselung erfolgt oft erst Wochen später, damit auch Sicherungskopien (Backups) infiziert sind.“
Mittlerweile ist es April 2024 in Ansbach. Drei Monate nach dem Hackerangriff laufen die wichtigsten Systeme wieder: Patientendokumentation, Mailprogramm, Dienstplanung, Abrechnung. „Unsere IT ist heute deutlich robuster als vor dem Angriff“, resümiert Klinikchef Keilen. Was erwarten Experten von einer sicheren Klinik-IT?
Abschied von der Burgmauer
Sicherheitsforscher Dörr zieht auf der Tafel im Seminarraum einen großen Kreis um sein Klinikmodell und sagt: „Bislang funktionierte Sicherheit meist nach dem Perimeter-Modell – die gesamte Krankenhaus-IT wird von einer Firewall abgeschirmt.“ Dörr vergleicht das Prinzip mit einer Burg: „Der Wassergraben um die Festung schützt vor fremden Truppen, aber sobald diese die Barriere überwunden wurde, kann sich jeder Eindringling auf dem Gelände frei bewegen.“
Dörr plädiert deshalb für Segmentierung – überschaubare Teilsysteme werden mit eigenen Firewalls geschützt. Den Datenaustausch zwischen diesen Bereichen regeln Systeme, die nur berechtigten Personen Zugriff gewähren. Das gelinge mit einer Multi-Faktor-Authentifizierung, die über ein Passwort und ein zusätzliches Identifikationstool, etwa Fingerabdruck, Gesichtserkennung oder Handy-PIN funktioniert. Sollte ein Segment dennoch kompromittiert werden, bleibt der Schaden überschaubar. „Zero Trust“ – vertraue niemandem, überprüfe jeden Zugriff, heißt diese Weiterentwicklung des Perimeter-Modells. Dörr betont aber auch: „Der Mensch ist die beste Firewall.“
Bianca Kastl vom Chaos Computer Club setzt dagegen andere Schwerpunkte: „Auf eine Sensibilisierung der Mitarbeiter sollte man sich nicht verlassen – wichtiger sind technische Maßnahmen.“ Das Prinzip „Zero Trust“ sei sinnvoll, müsse aber an den Klinikalltag angepasst werden, um die Versorgung nicht zu gefährden. So könne zum Beispiel eine schnelle Mehrfach-Authentifizierung mit Funkchipkarten (NFC-Karten) erfolgen. Sebastian Bug vom Bayerischen Landesamt für Sicherheit in der Informationstechnik (LSI), unter anderem zuständig für den Gesundheitssektor, plädiert für verbindliche Mindeststandards für alle Einrichtungen, nicht nur für KRITIS-Kliniken: „Sicherheit darf kein Wettbewerbsfaktor sein, sondern Selbstverständlichkeit.“
Armin de Greiff ist technischer Direktor der Universitätsmedizin Essen (UME) und verantwortet die digitale Sicherheit eines der größten Krankenhäuser Deutschlands mit rund 1.700 Betten und etwa 70.000 stationären Patienten jährlich. Die UME gilt hierzulande als Vorreiter bei der Digitalisierung im Kliniksektor. De Greiff sagt im Gespräch mit G+G: „Einer der vulnerabelsten Punkte ist nach wie vor der E-Mail-Zugang.“ An der UME prüfe ein Filtersystem täglich rund 175.000 Nachrichten und lehne verdächtige Mails sofort ab. Hinzu komme die Überwachung von rund 40.000 vernetzten Geräten, etwa Infusionspumpen, Computertomografen und medizinische Informationssysteme, durch Programme, die Auffälligkeiten automatisch erkennen. Künstliche Intelligenz filtere Fehlalarme heraus, sodass nur wenige echte Verdachtsfälle blieben. Armin de Greiff betont aber auch: „Es ist eine Illusion zu glauben, Technologie allein biete jederzeit Sicherheit.“ Ebenso wichtig seien Schulungen und Phishing-Tests, die das Bewusstsein der Mitarbeiter schärften.
Am Hasso-Plattner-Institut in Potsdam sind zwei Stunden vergangen. Die Tafel hinter Christian Dörr ist bedeckt mit Skizzen, Kürzeln, Kreisen und Pfeilen. Jetzt muss er los. Ins nächste Meeting. Es geht um die Cybersicherheit. Diesmal um die Sicherheit im eigenen Haus.
500 Kilometer weiter südlich, Ende Juli 2025 in Ansbach: Klinikvorstand Matthias Keilen zieht Bilanz. „Der Angriff begann leise“, sagt er. „Doch was daraus folgte, war laut, hat unsere Strukturen dauerhaft verändert – und sicherer gemacht.“
Mitwirkende des Beitrags
Autor
Autorin
Datenschutzhinweis
Ihr Beitrag wird vor der Veröffentlichung von der Redaktion auf anstößige Inhalte überprüft. Wir verarbeiten und nutzen Ihren Namen und Ihren Kommentar ausschließlich für die Anzeige Ihres Beitrags. Ihre E-Mail-Adresse wird nicht veröffentlicht, sondern lediglich für eventuelle Rückfragen an Sie im Rahmen der Freischaltung Ihres Kommentars verwendet. Die E-Mail-Adresse wird nach 60 Tagen gelöscht und maximal vier Wochen später aus dem Backup entfernt.
Allgemeine Informationen zur Datenverarbeitung und zu Ihren Betroffenenrechten und Beschwerdemöglichkeiten finden Sie unter https://www.aok.de/pp/datenschutzrechte. Bei Fragen wenden Sie sich an den AOK-Bundesverband, Rosenthaler Str. 31, 10178 Berlin oder an unseren Datenschutzbeauftragten über das Kontaktformular.