Ransomware-Angriffe auf Krankenhäuser: Wenn Hacker Leben

Mehr als 1.500 Cyberangriffe auf Gesundheitseinrichtungen registrierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) allein im vergangenen Jahr — und mindestens ein Dutzend davon legte den klinischen Betrieb vollständig lahm. Ransomware, also Schadprogramme, die Daten verschlüsseln und erst nach Zahlung eines Lösegelds wieder freigeben, ist längst kein abstraktes IT-Problem mehr: Sie gefährdet Menschenleben.

Wenn Server schweigen und Patienten warten

Im Herbst vergangenen Jahres traf ein Ransomware-Angriff das Universitätsklinikum Düsseldorf so hart, dass Notfallpatienten umgeleitet werden mussten. Eine Frau, die dringend medizinische Versorgung benötigte, starb auf dem Weg in ein weiter entferntes Krankenhaus — ob der Umweg kausal für ihren Tod war, blieb juristisch ungeklärt, medizinisch bleibt der Fall ein Mahnmal. In den USA starb laut einem Bericht der Vanderbilt University statistisch nachweisbar eine erhöhte Anzahl von Herzpatientinnen und -patienten in Kliniken, die gleichzeitig Opfer von Ransomware-Attacken waren. Die Datenlage verdichtet sich: Cyberangriffe auf Krankenhäuser töten.

Der aktuelle BSI-Lagebericht zur IT-Sicherheit in Deutschland widmet dem Gesundheitswesen erstmals ein eigenständiges Kapitel — ein deutliches Signal, dass die Behörde den Sektor als systemisch kritisch und strukturell untergeschützt bewertet. Die Erkenntnisse sind ernüchternd. Viele Kliniken betreiben veraltete Betriebssysteme, haben keine segmentierten Netzwerke und verfügen über keine belastbaren Backup-Strategien, die einem professionellen Angriff standhalten würden.

Wie Ransomware funktioniert — und warum Krankenhäuser leichte Ziele sind

Ransomware (von englisch „ransom" = Lösegeld) ist eine Kategorie von Schadsoftware, die nach dem Eindringen in ein Netzwerk alle erreichbaren Dateien verschlüsselt. Die Angreifer hinterlassen eine Nachricht mit Zahlungsaufforderung — meist in der Kryptowährung Bitcoin oder Monero — und einem Zeitlimit. Wird nicht gezahlt, drohen sie, sensible Daten zu veröffentlichen oder die Entschlüsselung dauerhaft zu verweigern.

Der initiale Einstieg erfolgt heute überwiegend über drei Wege: Phishing-E-Mails mit manipulierten Anhängen, kompromittierte Fernwartungszugänge (sogenannte RDP-Zugänge, Remote Desktop Protocol) und ungepatchte Sicherheitslücken in veralteter Software. Krankenhäuser sind aus mehreren Gründen besonders attraktive Ziele: Erstens sind ihre Daten hochsensibel und damit erpressungswürdig. Zweitens sind ihre IT-Abteilungen chronisch unterfinanziert — Gartner schätzt, dass Krankenhäuser im Schnitt weniger als drei Prozent ihres Jahresbudgets für IT-Sicherheit aufwenden, während der Industriedurchschnitt bei über sechs Prozent liegt. Drittens arbeiten sie im 24-Stunden-Betrieb, was Stillstand jede Stunde teurer macht und den Druck zur schnellen Lösegeldzahlung erhöht.

Hinzu kommt die gewachsene Infrastruktur: In einem modernen Klinikum sind tausende Geräte vernetzt — von MRT-Geräten über Infusionspumpen bis hin zu Aufzugssteuerungen. Viele dieser medizinischen Geräte laufen auf proprietären Betriebssystemen, die sich nicht regelmäßig aktualisieren lassen, ohne aufwendige Zertifizierungsprozesse zu durchlaufen. Das schafft dauerhaft offene Angriffsflächen.

Die Professionalisierung der Angreifer beschleunigt das Problem. Wie im Bereich der KI-gestützten Cyberkriminalität, bei der Hacker Algorithmen für automatisiertes Phishing nutzen, setzen auch Ransomware-Gruppen zunehmend auf maschinelles Lernen, um Angriffe zu skalieren und gezielter zu gestalten. Die Zeiten manuell verschickter Spam-Mails sind längst vorbei.

Die größten Ransomware-Gruppen im Gesundheitssektor

Hinter den Angriffen stecken häufig strukturierte kriminelle Organisationen, die wie Unternehmen operieren. Die Gruppe „LockBit" war zeitweise für über 25 Prozent aller registrierten Ransomware-Angriffe weltweit verantwortlich, bevor internationale Strafverfolgungsbehörden ihre Infrastruktur zerschlugen — ein Erfolg, der allerdings nur vorübergehend wirkte, da die Gruppe sich reorganisierte. „ALPHV/BlackCat" und „Cl0p" haben sich explizit auf den Gesundheitssektor spezialisiert. Das FBI warnte mehrfach vor der Gruppe „Hive", die allein bei US-Krankenhäusern über 100 Millionen Dollar erpresste, bevor ihre Server beschlagnahmt wurden.

Das Geschäftsmodell dahinter nennt sich „Ransomware-as-a-Service" (RaaS): Entwickler stellen die Schadsoftware bereit, „Affiliates" — also externe Partner — führen die Angriffe durch und teilen die Erlöse auf. Dieses Franchise-Modell hat die Einstiegshürde für Cyberkriminalität dramatisch gesenkt.

Aktuelle Fälle in Deutschland und Europa

Neben Düsseldorf traf es in den vergangenen zwei Jahren unter anderem das Klinikum Lippe, die Krankenhausgesellschaft Südwest und mehrere Praxissoftwareanbieter, deren Angriff nicht eine, sondern hunderte Arztpraxen gleichzeitig lahmlegte — ein sogenannter Supply-Chain-Angriff. In Irland legte der Angriff auf den nationalen Gesundheitsdienst HSE das gesamte digitale Patienten-Aktensystem lahm; die Wiederherstellung dauerte Monate und kostete nach offiziellen Angaben über 100 Millionen Euro. Frankreich erklärte Krankenhäuser nach einer Angriffswelle zur nationalen Priorität und mobilisierte ein Sonderbudget von 25 Millionen Euro für Cybersicherheit im Gesundheitswesen.

Bitkom schätzt den Gesamtschaden durch Cyberkriminalität für die deutsche Wirtschaft auf über 200 Milliarden Euro pro Jahr — der Gesundheitssektor ist dabei einer der drei am stärksten betroffenen Bereiche, neben Produktion und Finanzdienstleistungen.

Was der BSI-Bericht konkret fordert

Das BSI hat seine Empfehlungen für Krankenhäuser in einem Maßnahmenkatalog zusammengefasst, der verbindliche Mindeststandards für Betreiber kritischer Infrastrukturen (KRITIS) definiert. Ab einem bestimmten Schwellenwert — vereinfacht gesagt ab einer bestimmten Bettenzahl — gelten Krankenhäuser als KRITIS-Einrichtungen und sind gesetzlich verpflichtet, Sicherheitsaudits nachzuweisen, Angriffe zu melden und Notfallpläne vorzuhalten.

In der Praxis hapert es jedoch an der Umsetzung. Viele Häuser unterhalb der Schwellenwerte fühlen sich nicht angesprochen, obwohl auch Kreiskrankenhäuser und Reha-Kliniken längst Angriffsziele sind. Das BSI drängt deshalb auf eine Absenkung der Schwellenwerte und eine verpflichtende Basisabsicherung für alle stationären Einrichtungen.

Zu den konkreten technischen Maßnahmen zählen: Netzwerksegmentierung (die Trennung kritischer Systeme vom allgemeinen IT-Netz), regelmäßige und isolierte Backups, Zwei-Faktor-Authentifizierung für alle externen Zugänge sowie ein strukturiertes Patch-Management — also das zeitnahe Einspielen von Sicherheitsupdates. Hinzu kommt die menschliche Komponente: Schulungen für Mitarbeitende, um Phishing-Versuche zu erkennen, gelten laut BSI als eine der wirksamsten und kostengünstigsten Maßnahmen überhaupt.

IDC prognostiziert, dass die globalen Ausgaben für Cybersicherheit im Gesundheitswesen bis zum Ende des Jahrzehnts auf über 25 Milliarden Dollar jährlich anwachsen werden — ein Wachstum, das aus der Not heraus entsteht, nicht aus strategischer Weitsicht.

Die Frage der Finanzierung — und politischer Handlungsdruck

Dass viele Kliniken schlecht geschützt sind, liegt nicht allein an mangelndem Bewusstsein. Das deutsche Krankenhaussystem leidet strukturell unter chronischer Unterfinanzierung. Investitionen in IT-Sicherheit konkurrieren direkt mit Investitionen in medizinische Geräte, Personal und Gebäude. Ohne zweckgebundene Fördermittel bleibt IT-Sicherheit budgetär nachrangig.

Der Krankenhauszukunftsfonds (KHZF), der Milliarden für die Digitalisierung des Gesundheitswesens bereitstellte, enthielt erstmals eine Bedingung: Mindestens 15 Prozent der geförderten Mittel müssen in IT-Sicherheit fließen. Das ist ein Fortschritt, reicht aber nach Einschätzung von Fachleuten nicht aus, um den strukturellen Rückstand aufzuholen. Statista-Daten zeigen, dass der durchschnittliche deutsche Krankenhausbetreiber pro Bett weniger als 300 Euro jährlich für IT-Sicherheit ausgibt — ein Bruchteil des Wertes vergleichbarer Einrichtungen in den Niederlanden oder Skandinavien.

Die Vernetzung des Gesundheitswesens mit der breiteren digitalen Infrastruktur schafft weitere Abhängigkeiten. Wenn Telekommunikationsnetze ausfallen oder umgebaut werden — wie etwa bei der Abschaltung des 2G-Mobilfunkstandards durch A1 Telekom Austria, die auch ältere medizinische Fernüberwachungsgeräte betreffen kann — entstehen neue Schwachstellen, die koordinierte Antworten erfordern. Ähnliche Konsolidierungseffekte im Telekommunikationsmarkt, wie die Übernahme von Three durch Vodafone für fünf Milliarden Euro, verschieben Netzverantwortlichkeiten und können Übergangsphasen mit erhöhten Sicherheitsrisiken erzeugen.

Technologische Gegenwehr: Was wirklich hilft

Jenseits der Basismaßnahmen setzen fortschrittlichere Einrichtungen auf sogenannte „Zero Trust"-Architekturen. Das Prinzip dahinter: Kein Gerät und kein Nutzer erhält automatisch Vertrauen, nur weil er sich im internen Netzwerk befindet. Jeder Zugriff wird einzeln überprüft und protokolliert. Das klingt aufwendig — und ist es auch — reduziert aber die Ausbreitungsgeschwindigkeit von Ransomware dramatisch, wenn sie doch einmal ins Netz gelangt.

Künstliche Intelligenz spielt eine zunehmende Rolle bei der Angriffserkennung. KI-basierte Systeme analysieren kontinuierlich Netzwerkverkehr und erkennen anomale Muster — etwa, wenn ein einzelner Rechner plötzlich versucht, tausende Dateien in kurzer Zeit zu verschlüsseln — und können automatisch Isolationsmaßnahmen einleiten, bevor menschliche Analysten reagieren. Dass dieselbe Technologie von Angreifern genutzt wird, ist Teil des andauernden digitalen Wettrüstens. Innovationen wie Investitionen in Quantencomputer-Startups wie Eleqtron deuten darauf hin, dass die nächste Generation kryptografischer Sicherheit bereits heute vorbereitet werden muss — denn Quantencomputer könnten herkömmliche Verschlüsselung mittelfristig aushebeln.

Auf regulatorischer Ebene verschärft die EU-Richtlinie NIS2 (Network and Information Security) die Anforderungen an kritische Einrichtungen erheblich und zwingt auch mittelgroße Krankenhäuser, Meldepflichten und Sicherheitsstandards einzuhalten. Die Umsetzung in nationales Recht ist in Deutschland noch nicht vollständig abgeschlossen — ein weiterer Zeitverlust, den Angreifer aktiv ausnutzen.

Ähnlich wie politische Entscheidungen in anderen regulierten Bereichen — man denke etwa an die langwierigen Debatten um technische Normen im Wirtschaftsministerium beim Heizungsgesetzentwurf — zeigt sich auch bei der IT-Sicherheit im Gesundheitswesen, dass technische Notwendigkeiten und politische Umsetzungsgeschwindigkeit selten im Gleichschritt verlaufen.

Eine Frage der Priorität — nicht nur der Technik

Ransomware-Angriffe auf Krankenhäuser sind kein Naturereignis. Sie sind das kalkulierte Ergebnis struktureller Vernachlässigung, chronischer Unterinvestition und einer politischen Risikoabwägung, die IT-Sicherheit jahrelang als nachrangig behandelt hat. Der BSI-Bericht liefert die Diagnose — prä