BSI fordert höhere Cybersicherheit für Klinikverbünde

1 Min. Lesezeit

Der Gesundheitssektor ist einer der sieben definierten kritischen Infrastruktur-Bereiche. Somit spielt die Cyber Sicherheit hier eine wichtige Rolle. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) fordert nun, dass höhere IT-Sicherheitsvorschriften für Klinikverbünde als verbindlich erklärt werden. Denn ein Befall der Netzwerke im Krankenhausverbund mit Schadsoftware kann möglicherweise die medizinische Versorgung von Patienten lahmlegen.

Seit Juli 2015 gilt das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz). Damit müssen Kliniken nachweisen, dass sie über erhöhte Sicherheitsanforderungen nach der BSI-KRITIS-Verordnung verfügen. Nach bisherigen Erkenntnisstand seien derzeit jedoch keine geplanten Angriffe auf Kliniken bekannt.

Das Wichtigste in Kürze

• Seit Juli 2015 gilt das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz).
• Deswegen ist die Voraussetzung für eine Förderung solcher Institutionen, dass jährlich mehr als 30.000 Behandlungsfälle in Kliniken kritische Infrastrukturen aufweisen.
• Das Bundesamt für Sicherheit in der Informationstechnik (BSI) fordert nun, dass höhere IT-Sicherheitsvorschriften für Klinikverbünde als verbindlich erklärt werden.
• Denn ein Befall der Netzwerke im Krankenhausverbund mit Schadsoftware kann möglicherweise die medizinische Versorgung von Patienten lahmlegen.

Was ist zu tun im Falle einer Cyberattacke auf Krankenhäuser?

Im Falle eines Cyberangriffs haben alle Kliniken Anspruch auf Hilfe der Mobile Incident Response Teams (MIRT) des BSI. Da das Gesundheitswesen zu den Bereichen mit kritischer Infrastruktur zählt, sind alle Leistungen des MIRT für Krankenhäuser kostenlos.

Telematikinfratsurktur

Die Telematikinfrastruktur soll alle Beteiligten im Gesundheitswesen wie Ärzte, Zahnärzte, Psychotherapeuten, Krankenhäuser, Apotheken, Krankenkassen miteinander vernetzen und deren Austausch beschleunigen und erleichtern.

Sie sei in jedem Fall die beste Wahl, um nach einem potenziellen Angriff sich sicher im Netz zu bewegen. Dennoch sollte nicht gezögert werden und auf professionelle Hilfe in Sachen Cyberrisiken zurückgegriffen werden und jeder Angriff stets gemeldet werden.

Wie wird man in Zukunft weiter vorgehen?

Jüngste Cyberattacken auf Krankenhäuser und andere Einrichtungen des Deutschen Roten Kreuzes (DRK) in Rheinland-Pfalz und im Saarland bestätigen die Wichtigkeit des Schutzes von Gesundheitsdaten. In Zukunft wird man sich auf Cybersicherheit mehr fokussieren, um einen erneuten Angriff schnell vermeiden zu können. Bis zum Ende des Jahres sollen Maßnahmen zur Verbesserung der IT- Sicherheit in Krankenhäusern vorgenommen werden.

Ein Sofortprogramm Bund zur IT-Sicherheit in Krankenhäusern soll zudem kleinen Kliniken Unterstützung verschaffen. Doch die Maßnahmen sind kostspielig. Deswegen ist die Voraussetzung für eine Förderung solcher Institutionen, dass jährlich mehr als 30.000 Behandlungsfälle in Kliniken kritische Infrastrukturen aufweisen.

Key Facts

KRITIS-Angriffe: Cyberangriffe auf kritische Infrastrukturen in Europa stiegen um 38 Prozent.

BSI-Meldungen: Das BSI verzeichnete 2024/2025 über 250.000 neue Malware-Varianten täglich.

Häufige Fragen

Was sind die häufigsten Cyberbedrohungen für Unternehmen?

Laut BSI-Lagebericht sind Ransomware, Phishing, DDoS-Angriffe und Supply-Chain-Kompromittierungen die häufigsten Bedrohungen. Für deutsche Unternehmen kommen regulatorische Risiken (DSGVO, NIS2) hinzu.

Wie viel sollte ein Unternehmen in Cybersicherheit investieren?

Branchenexperten empfehlen 10 bis 15 Prozent des IT-Budgets für Cybersicherheit. Deutsche Unternehmen liegen laut Bitkom im Durchschnitt bei 14 Prozent. Entscheidend ist nicht nur die Höhe, sondern die strategische Verteilung auf Prävention, Erkennung und Reaktion.

Braucht jedes Unternehmen einen CISO?

Nicht jedes Unternehmen braucht einen Vollzeit-CISO, aber jedes braucht eine klare Verantwortlichkeit für IT-Sicherheit auf Geschäftsführungsebene. KMU können auf einen externen CISO (Virtual CISO) zurückgreifen. Mit NIS2 wird die Management-Verantwortung gesetzlich verankert.

Verwandte Artikel

• secIT by Heise 2026: Die Security-Roadshow für Admins und IT-Verantwortliche
• DsiN-Jahreskongress 2026: Digitale Sicherheit in der vernetzten Gesellschaft
• Cybersec Europe 2026: Brüssels Security-Konferenz im Herzen der EU-Regulierung

Mehr aus dem MBF Media Netzwerk

• Cloud & Infrastruktur-News auf cloudmagazin.com
• IT-Strategien für Entscheider auf digital-chiefs.de

Quelle Titelbild: Pexels / Pixabay

Hier schreibt Alec Chizhik für Sie

Mehr Artikel vom Autor Alec Chizhik