IT‑Sicherheit im Gesundheitswesen: Praxisorientierter Schutzplan

IT‑Sicherheit im Gesundheitswesen: Praxisorientierter Schutzplan

Praxisleitfaden 2025: IT-Sicherheit im Gesundheitswesen erfolgreich umsetzen

Die Digitalisierung im Gesundheitssektor schreitet unaufhaltsam voran. Während vernetzte Medizingeräte, elektronische Patientenakten (ePA) und Krankenhausinformationssysteme (KIS) die Effizienz steigern und die Patientenversorgung verbessern, wächst gleichzeitig die Angriffsfläche für Cyberkriminelle. Eine robuste IT-Sicherheit im Gesundheitswesen ist daher keine Option mehr, sondern eine strategische Notwendigkeit zum Schutz von Patientendaten und zur Gewährleistung der Versorgungssicherheit. Dieser Leitfaden bietet IT-Leitungen, CISOs und Datenschutzbeauftragten einen praxisorientierten Fahrplan zur Stärkung der Cybersicherheit in ihren Einrichtungen.

Kurzzusammenfassung (TL;DR): Top 3 Empfehlungen

Für Entscheidungsträger, die schnelle und wirksame Maßnahmen zur Verbesserung der IT-Sicherheit im Gesundheitswesen suchen, sind hier die drei wichtigsten Hebel:

  • Netzwerksegmentierung konsequent umsetzen: Trennen Sie Medizingeräte-Netze (MT), operative Technologien (OT) wie Gebäudetechnik und die Büro-IT (IT) strikt voneinander. Dies begrenzt den Schaden bei einem erfolgreichen Angriff auf ein Segment und schützt kritische Systeme.
  • Security-by-Design in der Beschaffung verankern: Integrieren Sie verbindliche Sicherheitsanforderungen direkt in die Verträge mit Herstellern von Medizingeräten und Software. Fordern Sie regelmäßige Sicherheitsupdates, Patch-Management-Fähigkeiten und transparente Angaben zum Software-Lebenszyklus.
  • Realistische Notfallübungen durchführen: Simulieren Sie einen Ransomware-Angriff auf unkritische Systeme und testen Sie Ihre Backup- und Wiederherstellungsprozesse. Messen Sie die tatsächlichen Wiederherstellungszeiten (RTO) und dokumentieren Sie die Lessons Learned zur Optimierung Ihrer Notfallpläne.

Die besondere Bedrohungslage: Risiken der IT-Sicherheit im Gesundheitswesen

Gesundheitseinrichtungen sind aus mehreren Gründen ein hochattraktives Ziel für Cyberangriffe. Der unschätzbare Wert von Gesundheitsdaten (eHealth-Daten) macht sie zu einem lukrativen Gut auf dem Schwarzmarkt. Gleichzeitig führt der hohe Digitalisierungsgrad in Verbindung mit einer heterogenen und oft veralteten Gerätelandschaft zu erheblichen Schwachstellen. Ein erfolgreicher Angriff kann katastrophale Folgen haben:

  • Gefährdung der Patientensicherheit: Manipulierte Medizingeräte oder der Ausfall von IT-Systemen können die Diagnose und Behandlung direkt beeinträchtigen.
  • Betriebsunterbrechungen: Ein Ransomware-Angriff kann den gesamten Klinikbetrieb lahmlegen, was zu abgesagten Operationen und der Abweisung von Notfällen führt.
  • Datenschutzverletzungen: Der Diebstahl sensibler Patientendaten verletzt die Persönlichkeitsrechte der Betroffenen und zieht hohe Bußgelder nach der Datenschutz-Grundverordnung (DSGVO) nach sich.
  • Reputationsschaden: Ein bekannt gewordener Sicherheitsvorfall untergräbt das Vertrauen von Patienten und Partnern nachhaltig.

Die Herausforderung für die IT-Sicherheit im Gesundheitswesen besteht darin, den Schutz dieser kritischen Infrastruktur zu gewährleisten, ohne die klinischen Arbeitsabläufe zu behindern. Sicherheit muss als integraler Bestandteil der Patientenversorgung verstanden werden.

Priorisierte 7-Punkte-Checkliste für 2025

Diese Checkliste hilft Ihnen, schnell wirksame Verbesserungen umzusetzen. Sie ist nach Wirkung und Umsetzbarkeit priorisiert und direkt auf die Anforderungen des deutschen Gesundheitswesens zugeschnitten.

  1. Asset Management etablieren: Erstellen Sie ein lückenloses Inventar aller mit dem Netzwerk verbundenen Geräte – von Servern über Workstations bis hin zu Infusionspumpen und MRTs. Nur was bekannt ist, kann geschützt werden.
  2. Strikte Netzwerksegmentierung durchsetzen: Implementieren Sie ein logisches Dreischichtenmodell (siehe Abschnitt “Technische Architektur”). Verhindern Sie direkte Kommunikation zwischen Büro-PCs und sensiblen Medizingeräten.
  3. Zugriffsrechte nach dem “Need-to-Know”-Prinzip vergeben: Implementieren Sie ein rollenbasiertes Zugriffskonzept (RBAC auf Englisch). Ein Pflegemitarbeiter benötigt keinen Zugriff auf die Server-Administration, und ein Administrator keinen unautorisierten Zugriff auf Patientendaten.
  4. Patch-Management für Medizingeräte institutionalisieren: Definieren Sie einen Prozess für die Validierung und das Einspielen von Sicherheitspatches für medizinische Geräte in Abstimmung mit den Herstellern und der Medizintechnik-Abteilung.
  5. Mehr-Faktor-Authentifizierung (MFA) für alle externen Zugänge erzwingen: Sichern Sie VPN-Zugänge, Cloud-Dienste und Fernwartungszugänge von Dienstleistern konsequent mit MFA ab.
  6. Regelmäßige Backups und Wiederherstellungstests planen: Sichern Sie alle kritischen Systeme (KIS, PACS, Labor-IT) täglich. Führen Sie mindestens quartalsweise einen Wiederherstellungstest durch, um die Funktionsfähigkeit und die Einhaltung der RTO/RPO-Vorgaben zu prüfen.
  7. Mitarbeiter-Sensibilisierung durchführen: Schulen Sie alle Mitarbeiter regelmäßig zu Phishing, Social Engineering und dem sicheren Umgang mit Daten. Die stärkste Firewall ist der informierte Anwender.

Klare Strukturen: Rollen und Verantwortlichkeiten definieren

Eine effektive IT-Sicherheit im Gesundheitswesen erfordert eine klare Zuweisung von Aufgaben. Die Verantwortung liegt nicht allein bei der IT-Abteilung. Es ist eine Gemeinschaftsaufgabe.

  • Klinikleitung/Administration: Trägt die Gesamtverantwortung. Muss die strategische Bedeutung der Cybersicherheit anerkennen, ausreichende Budgets bereitstellen und die Umsetzung von Sicherheitsrichtlinien unterstützen.
  • IT-Leitung/CISO: Entwickelt die Sicherheitsstrategie, definiert technische und organisatorische Maßnahmen (TOMs), überwacht die Systeme und leitet das Incident-Response-Team. Dient als zentraler Ansprechpartner für alle Sicherheitsfragen.
  • Datenschutzbeauftragter (DSB): Stellt sicher, dass alle Maßnahmen konform zur DSGVO und anderen relevanten Gesetzen sind. Berät bei der Verarbeitung personenbezogener Daten und ist Ansprechpartner für Aufsichtsbehörden.
  • Medizintechnik: Ist verantwortlich für den sicheren Betrieb, die Wartung und die Inbetriebnahme von Medizingeräten. Arbeitet eng mit der IT zusammen, um Geräte sicher ins Netzwerk zu integrieren und zu patchen.
  • Zulieferer und Hersteller: Sind in der Pflicht, sichere Produkte zu liefern (“Security-by-Design”), Sicherheitslücken transparent zu kommunizieren und Patches bereitzustellen. Ihre Verantwortung muss vertraglich fixiert werden.

Sicherheit von Anfang an: Beispielklauseln für Verträge

Verankern Sie Sicherheitsanforderungen bereits im Beschaffungsprozess. Fügen Sie Ihrem Standardvertragswerk für Medizingeräte und IT-Dienstleistungen die folgenden oder ähnliche Klauseln hinzu, um die Haftung zu klären und die IT-Sicherheit im Gesundheitswesen zu stärken.

Beispielklausel für die Beschaffung von Medizingeräten

“Der Auftragnehmer sichert zu, dass das gelieferte Gerät/System den aktuellen Sicherheitsstandards, insbesondere den Empfehlungen des BSI (Bundesamt für Sicherheit in der Informationstechnik) und den Anforderungen der DSGVO, entspricht. Der Auftragnehmer verpflichtet sich, für die gesamte Dauer des vereinbarten Support-Zeitraums, mindestens jedoch für 8 Jahre ab Inbetriebnahme, Sicherheitspatches für bekannte Schwachstellen innerhalb von 90 Tagen nach deren Bekanntwerden bereitzustellen. Ein detailliertes Konzept für das Patch-Management ist bei Lieferung vorzulegen. Fernwartungszugänge müssen über eine gesicherte Verbindung mit Zwei-Faktor-Authentifizierung erfolgen und dürfen nur nach expliziter Freigabe durch den Auftraggeber aktiviert werden.”

Beispielklausel für Managed Service Provider (MSP)

“Der Auftragnehmer verpflichtet sich, die verwalteten Systeme gemäß den BSI-Grundschutz-Standards zu betreiben. Er stellt dem Auftraggeber quartalsweise einen Bericht über den Sicherheitsstatus der Systeme zur Verfügung, der mindestens Informationen zu durchgeführten Updates, erkannten Sicherheitsvorfällen und dem Status der Datensicherungen enthält. Im Falle eines Sicherheitsvorfalls informiert der Auftragnehmer den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden, über Art und Umfang des Vorfalls sowie über die eingeleiteten Gegenmaßnahmen.”

Aufbau einer resilienten Infrastruktur

Eine durchdachte technische Architektur ist das Fundament einer nachhaltigen IT-Sicherheit im Gesundheitswesen.

Technische Architektur: Das Dreischichtenmodell

Eine strikte Netzwerksegmentierung ist unerlässlich. Teilen Sie Ihr Netzwerk in mindestens drei logische Zonen auf, die nur über kontrollierte Schnittstellen (Firewalls) miteinander kommunizieren dürfen:

  • Schicht 1: Büro-IT: Das Netz für Arbeitsplatzrechner, Drucker und administrative Anwendungen. Dies ist oft das Hauptziel für Phishing-Angriffe.
  • Schicht 2: Medizingeräte (MT): Ein streng abgeschirmtes Netz für alle Geräte, die direkt am Patienten eingesetzt werden (z. B. Monitore, Infusionspumpen, bildgebende Verfahren). Direkter Internetzugriff ist hier tabu.
  • Schicht 3: Operative Technologie (OT/SCADA): Ein separates Netz für die Gebäudetechnik wie Klimaanlagen, Aufzüge und Stromversorgung. Ein Ausfall hier kann den Klinikbetrieb ebenfalls empfindlich stören.

Gerätelebenszyklus und sichere Inbetriebnahme

Betrachten Sie den gesamten Lebenszyklus eines Geräts aus Sicherheitssicht: von der Beschaffung über die Inbetriebnahme und den Betrieb bis zur Ausmusterung. Vor der Einbindung ins produktive Netz muss jedes neue Gerät eine Sicherheitsprüfung durchlaufen (z. B. Port-Scan, Härtung der Konfiguration, Änderung von Standardpasswörtern).

Backup, Wiederherstellung und Metriken (RTO, RPO)

Ein funktionierendes Backup ist Ihre letzte Verteidigungslinie. Definieren Sie klare Ziele für die Wiederherstellung:

  • Recovery Time Objective (RTO): Wie lange darf ein System maximal ausfallen? (z. B. KIS: 4 Stunden)
  • Recovery Point Objective (RPO): Welcher maximale Datenverlust ist tolerierbar? (z. B. Patientendaten: 15 Minuten)

Testen Sie diese Werte regelmäßig, um sicherzustellen, dass Ihre Backup-Strategie im Ernstfall auch funktioniert.

Vorbereitet für den Ernstfall: Incident Management und Datenschutz

Vorfallmanagement: Dokumentation und Meldewege

Ein Sicherheitsvorfall ist keine Frage des “Ob”, sondern des “Wann”. Ein klar definierter Incident-Response-Plan ist entscheidend. Dieser muss enthalten:

  • Ein dediziertes Notfall-Team mit klaren Rollen.
  • Eskalationspfade und Kommunikationswege (intern und extern).
  • Technische Vorgehensweisen zur Eindämmung, Analyse und Beseitigung der Bedrohung.
  • Vorlagen für die Dokumentation und die Meldung an Behörden.

Nach jedem Vorfall ist eine “Lessons Learned”-Analyse durchzuführen, um den Plan kontinuierlich zu verbessern.

Datenschutzaspekte: DSGVO-Fokus

Nach Art. 33 DSGVO müssen Verletzungen des Schutzes personenbezogener Daten innerhalb von 72 Stunden an die zuständige Datenschutzaufsichtsbehörde gemeldet werden, sofern ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Bei Gesundheitsdaten ist dieses Risiko fast immer gegeben. Ein sauber dokumentierter Vorfallmanagement-Prozess ist hierfür die Voraussetzung.

Nachweisbarkeit und Planung: Governance und Compliance

Auditnachweise und Prüfpfade

Um die Einhaltung von Standards wie dem BSI-Grundschutz oder der ISO 27001 nachzuweisen, ist eine lückenlose Dokumentation erforderlich. Dazu gehören Netzwerkpläne, Konfigurationsdokumente, Protokolle von Sicherheitstests und Audit-Logs. Diese Dokumente sind nicht nur für Audits wichtig, sondern auch essenziell für die Fehleranalyse und die Beweissicherung im Schadensfall.

Umsetzungsplan: 30/90/180 Tage

Strukturieren Sie Ihre Maßnahmen in einem konkreten Zeitplan:

  • Erste 30 Tage: Fokus auf Transparenz. Asset-Inventur abschließen, externe Schnittstellen identifizieren und MFA erzwingen. Notfall-Team benennen.
  • Erste 90 Tage: Fokus auf Basisschutz. Netzwerksegmentierung planen, Backup-Tests durchführen, erste Phishing-Simulation starten.
  • Erste 180 Tage: Fokus auf nachhaltige Prozesse. Patch-Management-Prozess für Medizingeräte etablieren, Verträge anpassen, rollenbasiertes Zugriffskonzept ausrollen.

Praxisbeispiele: Konkrete Maßnahmen und ihre Wirkung

Fallbeispiel 1: Ransomware-Angriff durch unsegmentiertes Netz

  • Problem: Ein Krankenhaus hatte ein flaches Netzwerk ohne Segmentierung. Ein Mitarbeiter öffnete einen Phishing-Anhang, wodurch Ransomware auf seinem PC ausgeführt wurde. Der Schädling konnte sich ungehindert auf Server und sogar einige Medizingeräte ausbreiten.
  • Maßnahme: Nach der mühsamen Wiederherstellung wurde eine strikte Netzwerksegmentierung nach dem Dreischichtenmodell eingeführt. Firewalls kontrollieren nun den Datenverkehr zwischen den Zonen.
  • Ergebnis: Bei einer späteren, ähnlichen Infektion in der Büro-IT blieb der Angriff auf dieses Segment beschränkt. KIS und Medizingeräte liefen ungestört weiter.

Fallbeispiel 2: Veraltetes MRT mit Sicherheitslücke

  • Problem: Ein MRT-Gerät lief mit einem veralteten und nicht mehr unterstützten Betriebssystem. Der Hersteller bot keine Updates an. Das Gerät war eine tickende Zeitbombe.
  • Maßnahme: Da ein Austausch kurzfristig nicht möglich war, wurde das Gerät in ein eigenes, stark isoliertes Netzwerksegment (“Quarantäne-VLAN”) verschoben. Nur die zwingend notwendige Kommunikation zum PACS-Server wurde über eine Firewall erlaubt.
  • Ergebnis: Das Restrisiko wurde minimiert. Bei der nächsten Beschaffung wurde die Vertragsklausel zur Update-Pflicht des Herstellers konsequent angewendet.

Weiterführende Ressourcen und Links

Für vertiefende Informationen zur IT-Sicherheit im Gesundheitswesen empfehlen wir die folgenden offiziellen und fachlichen Quellen:

  • Bundesamt für Sicherheit in der Informationstechnik (BSI): Bietet umfassende Leitfäden, den IT-Grundschutz-Katalog und branchenspezifische Sicherheitsstandards (B3S) für das Gesundheitswesen. Zur Webseite des BSI
  • Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD): Führender Fachverband, der praxisnahe Hilfestellungen und Empfehlungen zum Datenschutz bietet. Zur Webseite der GDD
  • Berufsverband der Datenschutzbeauftragten Deutschlands e.V. (BvD): Vertritt die Interessen von Datenschutzbeauftragten und bietet ein Netzwerk für den fachlichen Austausch. Zur Webseite des BvD