Das Gesundheitswesen im Visier von Cyberangriffen

23.06.2026

Ein Krankenhausalltag, der auf den ersten Blick völlig routiniert wirkt: Medizinische Geräte sind vernetzt, Patientendaten stehen in Echtzeit zur Verfügung und Behandlungen werden digital unterstützt.
Doch während einer laufenden Behandlung registriert das IT-Sicherheitssystem ungewöhnliche Aktivitäten im Netzwerk. Ein vernetztes Medizingerät wird zum Ausgangspunkt eines Angriffsversuchs. Ziel ist es, Zugriff auf weitere Systeme im Krankenhaus zu erhalten.
Die Sicherheitsmechanismen greifen sofort. Das betroffene Gerät wird isoliert, verdächtige Verbindungen werden unterbrochen und die Analyse des Vorfalls beginnt automatisch. Der laufende Betrieb bleibt davon zunächst unberührt.
In einem solchen Moment entscheidet sich, wie resilient eine Klinik wirklich ist. Denn die entscheidende Frage lautet nicht, ob ein Angriff erkannt wird, sondern wie gut ein Krankenhaus darauf vorbereitet ist, wenn er tatsächlich passiert.
Barbara Groll spricht mit Andreas Mangerich von Microsoft Deutschland über aktuelle Bedrohungen für Krankenhäuser und Kliniken, die Sicherheit von Medizintechnik, den Einsatz von Künstlicher Intelligenz in der Cyberabwehr und die Frage, wie Gesundheitsversorgung auch in Zukunft resilient bleiben kann.

Deshalb die regulatorischen Anforderungen, von denen Sie vorhin gesprochen haben?

Andreas Mangerich: Das ist ein regulatorischer Zielkonflikt, der den Angreifern in die Hände spielt.
Hinzu kommen proprietäre Protokolle ohne Verschlüsselung, hartkodierte Passwörter oder schlicht eine fehlende Trennung zwischen medizinischem Netz und Verwaltungsnetz. Befindet sich nur ein einziges kompromittiertes Gerät in einem solchen Netzwerk, kann es zum Brückenkopf werden, um weitere Systeme und im schlimmsten Fall das gesamte Netzwerk zu kompromittieren.

Gerade Krankenhäuser müssen rund um die Uhr funktionieren. Wie lässt sich denn unter diesen Bedingungen überhaupt ein wirksames Sicherheitsniveau aufrechterhalten?

Andreas Mangerich: Letztlich müssen wir aufhören, Sicherheit als punktuelles Projekt zu betrachten, und sie stattdessen als Daueraufgabe in den Betrieb integrieren. Wenn Abschalten keine Option ist, müssen kompensierende Maßnahmen greifen. Dazu gehören eine konsequente Netzwerksegmentierung, sodass ein verwundbares Gerät nicht gleich das gesamte Haus gefährdet, sowie ein kontinuierliches Monitoring durch ein SOC, also ein Security Operations Center, das Anomalien in Echtzeit erkennt. Ebenso wichtig ist ein risikobasierter Patch-Ansatz, bei dem Wartungsfenster mit den klinischen Abläufen verzahnt werden.

Also Patch ist das, dass ja immer wieder neue Updates kommen, neue Aktualisierungen?

Andreas Mangerich: Genau. Zentral ist letztlich das Prinzip der Resilienz, also die Fähigkeit, einen Angriff zu überstehen und nicht nur zu versuchen, ihn zu verhindern.
Dazu gehören erprobte Notfallpläne, regelmäßige Tabletop-Übungen mit der Klinikleitung sowie unveränderliche und getrennt gespeicherte Backups. Sicherheit darf nicht erst dann zum Thema werden, wenn ein Vorfall eingetreten ist. Sie muss vielmehr fest in den klinischen Alltag integriert sein, vergleichbar mit Hygienestandards.
Ganz wichtig ist dabei, dass sie von der Geschäftsführung getragen wird. Andernfalls bleibt sie eine Aufgabe der IT-Abteilung, die strukturell häufig ohnehin bereits überlastet ist.

Ist dieses Bewusstsein in den Kliniken inzwischen angekommen oder braucht es noch viel Überzeugungsarbeit?

Andreas Mangerich: Das ist sehr unterschiedlich. Ich habe Kunden, bei denen dieses Bewusstsein bereits angekommen ist. Dort verfolgt zumindest die IT-Leitung diese Ansätze oder möchte sie verfolgen. Häufig werden solche Veränderungen jedoch durch bestehende Strukturen oder auch die eigenen Teams ausgebremst.
Damit sind wir schnell bei Themen wie Fachkräftemangel, der Frage, wie lange Mitarbeitende bereits im Unternehmen tätig sind, und wie stark in ihre Weiterbildung investiert wird. Werden die Beschäftigten kontinuierlich auf dem aktuellen Stand gehalten oder arbeiten sie seit zehn oder fünfzehn Jahren mit denselben Technologien, die sie bereits kennen?
Damit sind wir beim Thema Adoption und Change Management. Bin ich bereit, mich für neue Ansätze zu öffnen? Alles, was neu ist, erzeugt in der Regel zunächst eine Gegenreaktion.

Welche Bausteine braucht eine sichere IT-Architektur im Krankenhaus – insbesondere bei begrenzten Ressourcen?

Andreas Mangerich: Zuallererst brauche ich ein vollständiges Inventar aller Assets, also einschließlich der Medizintechnik und der OT, der Operational Technology. Denn am Ende des Tages gilt: Ich kann nur das schützen, was ich auch kenne.
Ein weiterer wichtiger Punkt ist das Thema Identität. Das ist eigentlich kein Trend mehr, sondern seit Jahren eine zentrale Anforderung. Identität muss heute als neuer Perimeter verstanden werden. Multifaktor-Authentifizierung, privilegierte Zugriffsverwaltung und das Prinzip der minimalen Rechte sind heute nicht mehr verhandelbar. Die Annahme, Benutzername und Passwort seien ausreichend, ist längst überholt.
Drittens brauchen wir eine konsequente Segmentierung nach Zero-Trust-Prinzipien, sodass kein Gerät und kein Nutzer implizit als vertrauenswürdig gelten.
Am Ende geht es meist um die Daten. Deshalb brauche ich eine robuste Backup- und Wiederanlaufstrategie mit unveränderlichen Kopien oder einer belastbaren Reversionierung der Daten. Das ist nach wie vor die wirksamste Versicherung gegen Ransomware.
Darüber hinaus brauchen wir eine 24/7-Erkennung und Reaktion auf Sicherheitsvorfälle. Kleinere Einrichtungen können das realistisch häufig nur über gemeinschaftliche oder gemanagte Modelle leisten, beispielsweise durch externe Dienstleister, kommunale SOC-Verbünde oder sektorale Kooperationen.
Ein weiterer wichtiger Punkt betrifft den Faktor Mensch. Hier geht es um konsequente Awareness-Schulungen für alle Beteiligten. Und zwar für alle: für Administratoren, Führungskräfte und Vorstände gleichermaßen. Ein erheblicher Teil aller Vorfälle beginnt auch heute noch mit einem klassischen Phishing-Angriff.
Abschließend brauchen wir cloudfähige und standardisierte Architekturen. Gerade kleinere Einrichtungen werden dadurch von Spezialwissen entlastet und können Sicherheit als skalierbaren Service nutzen. Wer mit begrenzten Ressourcen arbeitet, profitiert von Standardisierung, Automatisierung und Kooperation und nicht von Insellösungen, auf die man möglicherweise seit Jahren setzt.

Wie können medizinische Informationen sicher übermittelt und zugleich zuverlässig verfügbar gemacht werden?

Andreas Mangerich: Das ist genau die Gretchenfrage im digitalen Gesundheitswesen, weil Vertraulichkeit und Verfügbarkeit hier gleichermaßen lebenswichtig sind.
Technisch beginnt das mit einer durchgängigen Verschlüsselung, sowohl bei der Übertragung der Daten als auch im Ruhestand. Hinzu kommt ein feingranulares Berechtigungsmodell, das Informationen nur dort sichtbar macht, wo sie klinisch tatsächlich benötigt werden. Verfügbarkeit erreicht man wiederum durch redundante, geografisch getrennte Architekturen sowie durch klar definierte Wiederanlaufzeiten, die regelmäßig getestet werden müssen.
Essenziell ist am Ende aber auch eine saubere Datenklassifikation. Nicht jede Information ist gleich kritisch, aber jeder muss ihren Schutzbedarf kennen.

Welche Rolle wird Künstliche Intelligenz künftig dabei spielen, Krankenhäuser vor Cyberangriffen zu schützen?

Andreas Mangerich: Gerade in der Cyberabwehr wird Künstliche Intelligenz die Situation in den kommenden Jahren grundlegend verändern, und zwar auf beiden Seiten.
Auf der Verteidigerseite ermöglicht sie etwas, das menschliche Analysten in dieser Geschwindigkeit heute schon gar nicht mehr leisten können. Dazu gehört das Korrelieren von Milliarden von Signalen, die weltweit täglich anfallen, das Erkennen feinster Verhaltensanomalien und auch das automatische Eindämmen von Angriffen innerhalb von Sekunden statt erst nach Stunden.
Gerade in einem Krankenhaus, wo jede Minute zählt, wird das zu einem entscheidenden Faktor. KI hilft außerdem, kleinere Einrichtungen zu entlasten, weil sie Routineaufgaben im SOC automatisiert. Dadurch kann sich das knappe und hochqualifizierte Personal auf die Fälle konzentrieren, die tatsächlich menschliche Urteilskraft erfordern. Gleichzeitig müssen wir realistisch sein. Die Angreifer nutzen dieselben Werkzeuge, etwa für hochpersonalisierte Phishing-Angriffe oder zur automatisierten Suche nach Schwachstellen. In den vergangenen Wochen wurde viel über ein neues KI-Modell des Unternehmens Anthrophic namens Mythos, berichtet. Es kann selbstständig und recht beeindruckend kritische Sicherheitslücken entdecken. Solche Systeme zeigen bereits heute, wie leistungsfähig KI in dieser Hinsicht sein kann. In diesem Bereich tut sich derzeit sehr viel.
Das Wettrennen wird sich dadurch weiter beschleunigen und nicht entspannen. Entscheidend bleibt deshalb das Prinzip Human in the Loop, also die KI als Verstärker und nicht als Ersatz für Verantwortung.
Am Ende braucht es Transparenz und Governance, damit Entscheidungen von KI-Systemen in einem so sensiblen Umfeld nachvollziehbar bleiben.

Wie könnte denn ein Krankenhaus im Jahr 2035 aussehen? Vor allem, wenn die Sicherheit wirklich von Anfang an mitgedacht wird.

Andreas Mangerich: In einem Krankenhaus des Jahres 2035, das Sicherheit konsequent verinnerlicht hat, ist die Cybersecurity vielleicht sogar unsichtbar geworden, weil sie von Anfang an überall mit eingebaut ist.
Jedes Medizingerät verfügt in einer solchen, perfekten Welt über eine sogenannte Software Bill of Materials (SBOM). Das ist im Grunde ein digitaler Beipackzettel, der die eingesetzten Softwarekomponenten über den gesamten Lebenszyklus hinweg dokumentiert. Gleichzeitig können Systeme aktualisiert werden, ohne die Zulassung der Geräte zu gefährden. Die Infrastruktur ist softwaredefiniert und segmentiert. Sie folgt konsequent den sogenannten Zero-Trust-Prinzipien. Das bedeutet, dass jede Anfrage explizit verifiziert wird, unabhängig davon, woher sie kommt.
Eine KI-gestützte Abwehr arbeitet dabei im Hintergrund. Sie erkennt Angriffe in Echtzeit und isoliert betroffene Bereiche, noch bevor klinische Prozesse beeinträchtigt werden können. 
Patientendaten fließen kontrolliert zwischen den verschiedenen Sektoren, beispielsweise zwischen Kliniken, Arztpraxen, Forschungseinrichtungen und im Austausch mit Kostenträgern. Grundlage dafür ist eine europäische Datensouveränität.

Wenn ich Sie richtig verstehe, gibt es Risiken, aber die Branche hat die Herausforderungen im Blick und arbeitet kontinuierlich an Verbesserungen.

Andreas Mangerich: Diese Risiken gibt es überall. Sie existieren im privaten Umfeld genauso wie im geschäftlichen Kontext. Die Besonderheiten des Gesundheitswesens, die wir bereits angesprochen haben, kommen natürlich noch hinzu.
Gleichzeitig sehe ich aber, dass die Verantwortlichen ihr Bestes tun, um diesen Herausforderungen zu begegnen. Aus meiner Sicht ist entscheidend, dass dieses Engagement aktiv unterstützt wird. Die Einrichtungen müssen die notwendigen Ressourcen erhalten, so wie jedes andere Unternehmen auch.
Vor allem muss Cybersicherheit zur Chefsache werden. Sie gehört in den Verantwortungsbereich der Klinikleitung und muss dort prominent ankommen.
Ich weiß, das klingt heute noch nach einer sehr ambitionierten Vision. Aber wenn wir an den Punkt kommen, an dem Sicherheit kein Projekt mehr ist, sondern eine Eigenschaft des Systems wird, so wie Hygiene heute, dann haben wir bereits einen großen Teil des Weges geschafft.

Das Interview führte Barbara Groll, Media Relations, Bayern Innovativ GmbH, Nürnberg