BSI-Studie : Cybersicherheit im Gesundheitssektor: Positive Bilanz trotz wachsender Herausforderungen
Während Cyberkriminelle verstärkt Krankenhäuser und Arztpraxen ins Visier nehmen, zieht das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine überraschend positive Bilanz zur IT-Sicherheit im Gesundheitswesen. Doch der Schein trügt: Eine genauere Analyse des aktuellen BSI-Berichts offenbart erhebliche Sicherheitslücken – und blinde Flecken bei der Überwachung von 140.000 Arztpraxen.
Die Zahlen sind alarmierend: Allein zwischen Januar und Oktober 2024 registrierte das BSI über 200 relevante Cybersicherheitsvorfälle im deutschen Gesundheitswesen. Krankenhäuser und Arztpraxen werden längst nicht mehr nur zufällig Opfer von Hackerangriffen – Cyberkriminelle wählen sie gezielt als lukrative Ziele aus. Dennoch fällt die Bewertung der IT-Sicherheit durch das BSI „grundsätzlich positiv“ aus. Wie passt das zusammen?
Medizinprodukte gut geschützt, Praxen verwundbar
Ein Blick hinter die Kulissen zeigt: Die positive Einschätzung basiert vor allem auf den streng regulierten Bereichen des Gesundheitswesens. Medizinprodukte etwa unterliegen dem Medizinproduktegesetz und werden regelmäßig auf Sicherheitslücken geprüft. Schwachstellen würden dort durch Sicherheitsanalysen frühzeitig entdeckt und geschlossen, bevor Angreifer sie ausnutzen können, lobt das BSI.
Auch die Telematikinfrastruktur, das digitale Rückgrat des Gesundheitswesens, werde intensiv überwacht. Die zuständige gematik GmbH führt monatliche Sicherheitsscans durch, testet ihre Systeme regelmäßig auf Schwachstellen und simuliert Hackerangriffe. 25 solcher Sicherheitsanalysen fanden 2024 statt – mit welchem Ergebnis, verschweigt der Bericht allerdings.
Der große blinde Fleck: 140.000 Arztpraxen
Deutlich kritischer sieht es in der ambulanten Versorgung aus. „Ein nur schwierig zu bewertender Bereich in der Digitalisierung des deutschen Gesundheitswesens ist die Sicherheit der knapp 140.000 ärztlichen und zahnärztlichen Praxen“, räumt das BSI ein. Der föderale Aufbau des Gesundheitswesens, unterschiedliche Vorkenntnisse in den Praxen und das Fehlen standardisierter Meldewege für Sicherheitsvorfälle erschweren einen umfassenden Einblick in die aktuelle Lage.
Die Vielfalt der in Praxen eingesetzten IT-Systeme hat laut BSI-Bericht zwei Seiten: Einerseits könnte diese Heterogenität verhindern, dass ein einzelner erfolgreicher Angriff automatisch viele Praxen gleichzeitig trifft. Andererseits stellt die uneinheitliche technische Ausstattung hohe Anforderungen an das IT-sicherheitstechnische Verständnis in jeder einzelnen Praxis.
Allerdings ist die Annahme, dass Vielfalt automatisch Schutz bietet, kritisch zu betrachten. Auch heterogene IT-Landschaften basieren oft auf gleichen Betriebssystemen, Standardprotokollen oder verbreiteten Software-Komponenten, die gemeinsame Schwachstellen aufweisen können. Angreifer könnten diese gezielt ausnutzen. Zudem erschwert die uneinheitliche IT-Struktur schnelle Reaktionen und die Einführung verbindlicher Sicherheitsstandards – und könnte somit zum Sicherheitsrisiko werden.
Alarmierende Befunde bei Krankenhaus-IT
Wie wichtig klar definierte Standards und verbindliche Vorgaben für die IT-Sicherheit im Gesundheitswesen sind, verdeutlicht der Bericht an anderer Stelle: So zeigt das BSI-Projekt SiKIS, dass bestehende Vorgaben für Krankenhausinformationssysteme (KIS) bisher vor allem die korrekte Funktionalität und Interoperabilität der Systeme prüfen, während Sicherheitsaspekte bei vielen Schnittstellen unzureichend spezifiziert sind. Tatsächlich wurden bei der exemplarischen Untersuchung von zwei Krankenhausinformationssystemen 32 Schwachstellen entdeckt. Solche Systeme bilden das digitale Rückgrat moderner Kliniken und sind für zentrale Abläufe der Patientenversorgung entscheidend. Sicherheitslücken in diesen Systemen könnten daher die Versorgung erheblich beeinträchtigen.
Datenbasis und Bedrohungslage: Ransomware im Fokus
Wie ernst die Bedrohungslage tatsächlich ist, belegen die Zahlen des BSI-Berichts: Die Bewertung des BSI basiert auf einer umfangreichen Datensammlung: 3.693 Beiträge mit Gesundheitsbezug wurden gesichtet, daraus 205 relevante Beiträge zu Cybersicherheitsvorfällen analysiert. Hinzu kommen 108 Meldungen mit Sicherheitsrelevanz aus dem Austausch mit der gematik. Neben allgemeinen Schwachstellen und fehlenden Spezifikationen rückt insbesondere die gezielte Bedrohung durch Ransomware-Akteure in den Fokus. Der Bericht identifiziert einen deutlichen Trend zu Ransomware-Angriffen bei Leistungserbringern wie Krankenhäusern und Arztpraxen. Internationale Beispiele zeigen, dass sich Gruppierungen wie Lockbit oder AlphV/Blackcat zunehmend auf das Gesundheitswesen konzentrieren – mit teils schwerwiegenden Folgen, wie der Angriff auf den US-Gesundheitsdienstleister Change Healthcare demonstriert.
Die im BSI-Bericht enthaltenen Ergebnisse der Studie „Evaluierung der ITSicherheitsrichtlinie in Arztpraxen“ (SiRiPrax) zeigen, dass Praxisbetreiber und -beschäftigte weitergehende Informationen zur Umsetzung und zum Verständnis der Sicherheitsanforderungen benötigen. Das im März 2024 verabschiedete Digital-Gesetz (DigiG) ergänzt die bestehenden Anforderungen an Praxisbetreiber und verpflichtet diese nun auch, das Bewusstsein der Mitarbeiter für Informationssicherheit zu stärken.
Fazit: Handlungsbedarf trotz positiver Tendenz
Für Verantwortliche im Gesundheitssektor vermittelt der BSI-Bericht eine klare Botschaft: Die positiven Entwicklungen in regulierten Bereichen dürfen nicht über die bestehenden Herausforderungen hinwegtäuschen. Es gilt, identifizierte Schwachstellen systematisch anzugehen und in IT-Sicherheit zu investieren, beispielsweise durch regelmäßige Penetrationstests, Mitarbeiterschulungen und die Etablierung von Notfallplänen. Nur so kann die digitale Transformation des Gesundheitswesens sicher gestaltet und die Versorgung der Patienten gewährleistet werden, so das BSI.