Case Study: Krankenhaus stoppt Cyberangriff dank OT-Segmentierung

1 Min. Lesezeit

Ein Krankenhaus der Maximalversorgung wurde Ziel eines Cyberangriffs. Die Angreifer kompromittierten das Verwaltungsnetz, scheiterten aber an der Segmentierung zur Medizintechnik. Der Krankenhausbetrieb lief durchgehend weiter.

Das Wichtigste in Kürze

Ein Krankenhaus der Maximalversorgung wurde im Januar 2025 Ziel eines Cyberangriffs. Die Angreifer kompromittierten das Verwaltungsnetz, scheiterten aber an der Segmentierung zur Medizintechnik. Der Krankenhausbetrieb lief durchgehend weiter — ein Erfolg, der auf zwei Jahre Vorarbeit zurückgeht.

Ausgangslage

Das Krankenhaus ist ein Haus der Maximalversorgung mit 1.100 Betten und rund 4.500 Mitarbeitern. Als KRITIS-Betreiber im Gesundheitssektor steht es unter besonderer regulatorischer Aufsicht. Die IT-Infrastruktur umfasst ca. 2.500 Endpoints, 200 Server und rund 3.000 medizintechnische Geräte.

Vor zwei Jahren hatte das Krankenhaus ein Projekt zur Segmentierung gestartet: strikte Trennung von Verwaltungs-IT, klinischen Systemen und Medizintechnik in getrennte Netzwerkzonen.

Der Angriff

Der initiale Zugang erfolgte über einen kompromittierten Webmail-Zugang. Die Angreifer (vermutlich LockBit-Affiliate) bewegten sich lateral im Verwaltungsnetz und kompromittierten den Active Directory Server. Um 23:40 Uhr starteten sie die Verschlüsselung.

Was die Segmentierung verhinderte

Obwohl das Verwaltungsnetz erheblich betroffen war, blieben alle kritischen Systeme operativ:

Krankenhausinformationssystem (KIS): In eigener Zone, Zugang nur über Application Proxy
PACS (Bildgebung): Isoliertes VLAN, keine Verbindung zum Verwaltungsnetz
Medizintechnik: Beatmungsgeräte, Infusionspumpen, Monitoring in separatem OT-Segment
Notaufnahme: Eigenes Netzwerksegment mit Fallback auf Papier-Dokumentation

Wiederherstellung

Die Verwaltungs-IT wurde innerhalb von 8 Tagen aus Backups wiederhergestellt. Während dieser Zeit liefen klinische Prozesse auf den segmentierten Systemen weiter — eingeschränkt, aber funktionsfähig. Kein Patient musste verlegt werden.

Investition und Ergebnis

Das Segmentierungsprojekt hatte über zwei Jahre rund 800.000 EUR gekostet. Der verhinderte Schaden? Vergleichbare Krankenhausangriffe (Lukas-Krankenhaus Neuss, Universitätsklinikum Düsseldorf) verursachten Schäden von 5-20 Mio. EUR und wochenlange Betriebseinschränkungen.

Key Facts

Branche: Gesundheitswesen (KRITIS)

Angriffstyp: Ransomware (LockBit-Affiliate)

Betroffene Systeme: Verwaltungsnetz (AD, Fileserver, Mail)

Geschützte Systeme: KIS, PACS, Medizintechnik, Notaufnahme

Wiederherstellungszeit: 8 Tage (Verwaltung), 0 Tage (klinischer Betrieb)

Fakt: Laut Sophos waren 2024 rund 66 Prozent aller Healthcare-Organisationen von mindestens einem Ransomware-Angriff betroffen.

Fakt: Das BSI stuft den Gesundheitssektor als einen der am stärksten gefährdeten KRITIS-Bereiche ein – mit über 400 gemeldeten Sicherheitsvorfällen im Jahr 2024.

Häufige Fragen

Warum sind Krankenhäuser besonders häufig Ziel von Cyberangriffen?

Krankenhäuser haben eine niedrige Toleranz für Ausfallzeiten, veraltete IT-Systeme und eine große Angriffsfläche durch Medizintechnik. Angreifer spekulieren auf schnelle Lösegeldzahlungen, um den Patientenbetrieb nicht zu gefährden.

Was kostet eine OT-Segmentierung für ein Krankenhaus?

Je nach Größe und Komplexität zwischen 500.000 und 1,5 Mio. EUR über 2-3 Jahre. Verglichen mit den Kosten eines erfolgreichen Angriffs (5-20 Mio. EUR) ist das eine lohnende Investition.

Welche Rolle spielt die Netzwerksegmentierung bei der Absicherung medizinischer Geräte?

Medizinische Geräte laufen häufig mit veralteter Software, die nicht gepatcht werden kann. Durch Netzwerksegmentierung werden diese Geräte in isolierte Zonen getrennt, sodass ein kompromittiertes Gerät keinen Zugriff auf andere kritische Systeme erhält. In Kombination mit Monitoring der Netzübergänge entsteht eine wirksame Schutzschicht auch ohne direkte Geräte-Updates.