Jump directly to page content

Cybersicherheit im Gesundheitssektor

Nationale, europäische und globale Resilienz zusammendenken

SWP-Aktuell 2026/A 36, 16.07.2026, 8 Pages

doi:10.18449/2026A36

Research Areas

Der Gesundheitssektor sieht sich weltweit einer zunehmenden Bedrohung durch Cyberangriffe ausgesetzt. Das European Repository of Cyber Incidents (EuRepoC) verzeichnete zwischen 2022 und 2025 insgesamt 351 signifikante Angriffe auf Gesund­heitseinrichtungen. Diese Daten liefern erste Erkenntnisse über die Auswirkungen von und das Krisenmanagement nach Cyberangriffen auf das Gesundheits­wesen und verdeutlichen, dass solche Angriffe eine Bedrohung für die öffentliche Gesundheit und die nationale Sicherheit darstellen. Die Datenauswertung zeigt, dass es eines Schar­niers zwischen nationalen kritischen Sektoren und der europäischen bzw. der internationalen Ebene bedarf. Diese Funktion könnte der Nationale Sicherheitsrat ein­nehmen. Im Mittel­punkt steht dabei die Erstellung integrierter nationaler und inter­nationaler Lagebilder auf Basis interdisziplinärer Auswertungen. Nur so kön­nen Bedrohungen systematisch erfasst, daraus wirksame Maß­nahmen abgeleitet und der Gesundheitssektor ganzheitlich abgesichert werden.

Die fortschreitende Digitalisierung von medizi­nischen Infrastrukturen und deren Versor­gungsketten erhöht einerseits die Effizienz und Qualität der Gesundheits­versorgung, führt anderer­seits jedoch zu einer wesentlichen Aus­wei­tung der Angriffs­flächen. Die Be­drohung durch Cyber­angriffe im Gesund­heitssektor ist nicht nur eine Gefahr für die natio­nale Sicherheit, sondern be­einträchtigt die medizinische Versorgung weltweit. Cyberangriffe auf den Gesundheitssektor, darunter Kranken­häuser und Unternehmen der Gesundheits­wirtschaft, haben sich in den vergange­nen Jahren auf der ganzen Welt zu einer gravierenden sicher­heits­poli­tischen und gesellschaft­lichen Herausforderung ent­wickelt. Laut der Open-Source-Datenbank des Euro­pean Repository of Cyber Incidents ist der Gesund­heits­bereich mit weltweit 351 signifikanten Cyber­angrif­fen zwischen 2022 und 2025 einer der am stärksten be­troffenen Sektoren.

Im Gesundheitssektor manifestieren sich Cyberangriffe in Form von Ransomware-Attacken, Datendiebstahl oder gezielten Stö­rungen von Krankenhaus-IT-Systemen. Im schlimmsten Fall können diese An­griffe zu erheblichen Beeinträchtigungen der Versorgung von Patient:innen führen. Die Folgen sind potenziell lebensbedrohlich, da Behandlungs­abläufe unterbrochen, Diag­nosen verzögert oder medizinische Geräte funk­tionsunfähig werden können. Zudem gefährden Angriffe auf Gesundheitsdaten, etwa auf elektronische Akten, das Ver­trauen der Bevölkerung in staatliche Insti­tutionen. Der im Mai 2026 bekannt gewor­dene Cyberangriff auf den Abrechnungsdienstleister Unimed, bei dem die Daten von über 100.000 Privatpatient:innen deutscher Universitätsklinika entwendet wurden, illustriert dies eindrücklich.

Wie die Grenzen zwischen nationaler, europäischer und internationaler Politik sowie verschiedenen Politikfeldern ver­schwimmen, zeigte zuletzt der Cyber­angriff auf das US-Unternehmen Stryker, das Medi­zin­produkte herstellt, Mitte März 2026: Eine globale Netzwerkstörung legte das Unternehmen weltweit lahm. Der Angriff unterbrach zeitweise die Lieferung chirur­gischer Verbrauchsmaterialien und perso­nalisierter Implantate, wodurch auf der ganzen Welt Operationen verschoben werden mussten. Allein im irischen Cork konnten über 4000 Mitarbeiter vorüber­gehend ihrer Arbeit nicht mehr nachgehen. Die iranische Hackergruppe Handala er­klärte sich ver­antwortlich für diesen so­ge­nannten Wiper-Angriff, durch den Daten des Unternehmens ge­löscht wurden; er sei eine Vergeltungs­maßnahme für einen Raketenangriff vom 28. Februar 2026 ge­wesen, bei dem eine iranische Schule getroffen und mindestens 175 Menschen getötet worden waren. Dieses Bei­spiel verdeutlicht, wie schnell einzelne Vorfälle eine internationale Trag­weite bekommen können und die Ver­bindung zu Offline-Konflikten herstellen.

Trotz der Bemühungen, gesamtgesellschaftliche Resilienz aufzubauen, fehlt es im Gesundheitssektor Politikebenen über­greifend an zweierlei: einerseits an einer systematischen Einbindung internationaler Akteure in den Informationsaustausch, andererseits an einem hierfür notwendigen Koordinierungsmechanismus. Letzteres be­deutet, es genügt nicht, Sicherheitsvorfälle nur zu melden und in einem Lagebild zu erfassen. Stattdessen braucht es ein struktu­riertes, auf internationaler Ebene angesiedeltes Monitoring der Auswirkungen von Cyberangriffen auf das Gesundheitssystem. Nur so können die Informationen bereitgestellt werden, die für das nationale bzw. lokale Krisenmanagement in den Krankenhäusern notwendig sind. Die ausschließ­liche Fokussierung auf nationale Sicherheit und damit auf nationale und EU-interne Strukturen und Kompetenzen greift folglich zu kurz, weil sie globale Synergien vernach­lässigt, die für ein effektives Gesundheits­krisenmanagement essenziell sind.

Europäische und nationale Politikinitiativen

Das Bundesamt für Sicherheit in der Infor­mationstechnik (BSI) spielt in Deutschland eine zentrale Rolle beim Schutz des Gesund­heitswesens vor Cybergefahren. Angesichts der fortschreitenden Digitalisierung und einer steigenden Zahl von Angriffen auf Krankenhäuser, Praxen und Pflegeeinrichtungen bietet das BSI umfassende Unterstützung, Standards und Handlungsempfehlungen. Das BSI hat Gesundheitseinrichtungen in Deutschland dazu aufgefordert, ihre Sicherheitsmaßnahmen und Backup-Systeme zu verstärken. Es arbeitet dabei eng mit der Europäischen Cybersicherheitsbehörde (ENISA) zusammen und sammelt Meldungen über schwerwiegende Cybervorfälle. Betreiber kritischer Infra­strukturen sind nach der Zweiten EU-Richtlinie zur Netz­werk- und Informationssicherheit (NIS‑2) ver­pflichtet, solche Vorfälle zu mel­den. Geschieht dies, besteht die Chance, dass die Verantwortung zugewiesen (Attri­bu­tion) und Strafverfahren oder auch diplo­mati­sche Reaktionen gegen Angreifer:innen ein­geleitet werden können.

Sowohl die EU als auch die Bundes­regie­rung haben in den letzten Jahren den Schutz kritischer Infrastrukturen in den Mittelpunkt vieler Gesetzesinitiativen gestellt:

Die Critical Entities Resilience Directive (CER) und die NIS‑2-Richtlinie auf EU-Ebene und die dazugehörigen nationalen Imple­mentierungsgesetze – in Deutschland das KRITIS-Dachgesetz und das nationale IT-Sicherheitsgesetz – zielen darauf ab, die Resilienz kritischer Infrastrukturen ein­schließlich des Gesundheitssektors zu stär­ken. CER und NIS‑2 verfolgen einen All­gefahren­ansatz, wobei CER physische und digitale Bedrohungen in den Blick nimmt; NIS‑2 hingegen konzen­triert sich auf die Cybersicherheit und erweitert die Meldepflichten zum Beispiel für Gesundheits­einrichtungen, um Cyber­angriffe abzuwehren. Hinzu kommt die EU Preparedness Union Strategy, die eine ganz­heitliche Krisen­vorsorge anstrebt und Früh­erken­nung, Prä­ven­tion und Reaktion auf Bedro­hungen wie Cyberangriffe oder Pan­demien umfasst. Der EU-Aktionsplan für die Cybersicherheit im Gesundheitswesen sieht Maßnahmen wie die Einrichtung eines EU-weiten Unter­stützungszentrums für Krankenhäuser sowie »Reaktionsplaybooks« vor.

Um Cybersicherheitsrisiken im Gesundheitsbereich auf nationaler Ebene effizienter abzuwehren, aber auch mit dem Ziel, das deutsche Gesundheitswesen besser auf Krieg und Katastrophen vorzubereiten, hat die deutsche Gesundheitsministerin ein spezifisches Gesundheitssicherstellungs­gesetz angekündigt. Es soll die oben genann­ten sektorenübergreifenden KRITIS-Geset­ze ergänzen. Kernaspekte des geplanten Geset­zes sind die ganzheitliche Stärkung der Resilienz des Gesundheitssektors und eine engere Kooperation mit Sicherheitsbehörden sowie der Bundes­wehr. Die Nationale Sicherheitsstrategie und der Aktionsplan Gesamtvertei­digung formulieren zudem den Anspruch, die Ziele gesamt­gesellschaft­liche Resilienz und zivil-militä­rische Zu­sam­menarbeit mit­ein­ander zu verzahnen – jedoch ist nicht klar, wie dies konkret im Gesundheits­bereich und Politik­ebenen über­greifend umgesetzt werden kann. Resilienz­aufbau und Pre­pared­ness sind zentrale Herausforderungen, wie sich in der Diskus­sion zur Reform der Nationalen Sicherheitsstrategie zeigt.

Die Überlegungen zum Schutz der kriti­schen Infrastruktur Gesund­heit werden konzeptionell bereits in Ver­bindung mit einer verstärkten zivil-militä­rischen Zu­sam­menarbeit gedacht. Johannes Backus, General­stabsarzt des Sani­tätsdienstes der Bundeswehr und Kommandeur des Kom­man­dos Gesundheits­versor­gung, versteht Resilienz in diesem Zusammenhang als Zusammenwirken aller rele­vanten Einsatz-, Verwaltungs- und Versor­gungsakteure sowie als Koordination zwischen Staat und Bevöl­ke­rung. Die Um­setzung besagter Über­legun­gen scheitert allerdings oftmals an Ressort­grenzen und mangelnder Top-down-Organi­sation durch den Nationalen Sicher­heitsrat.

So wichtig nationale Maßnahmen im Rahmen des angestrebten Konzepts der Gesamtverteidigung auch sind, gerät die europäische und internationale Zusammen­arbeit beim Schutz der kritischen Infra­struk­tur Gesundheit oft aus dem Blick. Cyber­bedrohungen ken­nen aber keine natio­nalen Grenzen und können nur durch eine grenz- und behördenübergreifende Koor­di­nierung unter Einbindung von euro­päi­schen und internationalen Partnern effek­tiv be­kämpft werden. Obwohl die EU-Strategie zur Pre­paredness national umge­setzt wer­den muss, sollte gerade auf natio­naler Ebene im Ge­sund­heitsbereich die euro­päi­sche und inter­nationale Dimension mit­gedacht wer­den, indem zum Beispiel ein systematischer Infor­mationsaustausch stattfindet.

Stand der Daten auf der Basis von EuRepoC

Cyberangriffe auf den Gesundheitssektor sind nicht nur eine Bedrohung für die natio­nale Sicherheit, sondern in erster Linie für die (globale) öffentliche Gesundheit. Eine Untersuchung von 351 signifikanten Cyber­angriffen auf den Gesundheitssektor zwi­schen 2022 und 2025 zeigt ein differenziertes Bild: Die Angriffe lassen sich auf Grund­lage ihrer Intensität, des Angriffsmusters, der Zuschreibung von Ver­antwor­tung (Attribution) und politischer Reaktionen in sechs Angriffskategorien bzw. Cluster (C0–C5) einteilen, die sich in ihren operativen Kon­sequenzen für den Betrieb der betroffenen Gesundheits­einrichtung(en) national und international deutlich unterscheiden.

Die mit insgesamt 174 Fällen am häufigs­ten ver­tretenen Kategorien C2 und C5 zielen auf Daten­diebstahl ab. Während bei Angrif­fen der Kate­gorie C5 die Motivation meist unbekannt ist, stehen hinter denen der Kate­gorie C2 kriminell motivierte Akteure, die Ransomware einsetzen, um Daten zu ver­schlüsseln und die Einrichtung anschließend zu erpressen. Trotz ihrer Häu­fig­keit haben diese Vorfälle geringe Aus­wir­kun­gen auf die ope­ra­tiven Versorgungsprozesse.

Dagegen stehen die insgesamt 137 An­griffe der Kategorien C0, C1 und C4 mit dis­ruptiven Fol­gen in Verbindung und ver­ursachen mittel- bis langfristige Ausfälle operativer Systeme: von einigen Tagen (45 Fälle) bis zu Wochen (92 Fälle). Diese Stö­run­gen im Betrieb halten im Gesundheits­sektor länger an als in anderen Sektoren. Angriffe der Kategorie C0 führen zu lang­fristigen Systemausfällen, ohne dass eine öffent­liche Zuweisung von Verantwortung mög­lich ist. Bei Vorfällen der Kategorien C1 und C4 wird Ransomware eingesetzt, wor­auf­hin eine Erpressung erfolgt (C1) bzw. was eine langfristige Störung auslöst (C4).

Die 40 Angriffe der Kategorie C3 lassen sich beschreiben als Spionage mit niedriger Inten­si­tät, wobei wenige einem staat­lichen Akteur zugeordnet wer­den können.

Interessant ist, dass auch Angriffe von eigentlichen Ransomware-Gruppen im Gesundheitssektor weniger auf die Ver­schlüs­se­lung als auf die Exfiltration von Patient:innendaten (82 Fälle) abzielen (bis­weilen sogar nur auf Letzteres). Diese per­sonenbezogenen Daten sind oft­mals noch sensibler als entwendete Daten aus anderen Sektoren und können beson­ders gut zur Erpressung der Einrichtungen be­nutzt wer­den. Dieses Ransomware-Modell be­inhal­tet Double Extortion, das heißt, die Täter steh­len Daten und verschlüsseln die Systeme, um doppelt erpressen zu können – für die Nicht-Offenlegung und für die Entschlüsselung der Daten. Wenn nicht gezahlt wird, werden Daten in der Regel veröffentlicht.

Obwohl die Behörden in diesen Fällen häufig Ermittlungen einleiten, kommt es in der Mehrheit der disruptiven Fälle weder zu einer Schuldzuweisung noch zu politischen oder weitergehenden juristischen Folgen. Problematisch ist dies in Anbetracht der Aus­wirkungen, die diese Angriffe nicht nur auf Informationssysteme, sondern auch auf die Gesundheit haben kön­nen. Angesichts dieser Daten­lage greift es zu kurz, Ransomware-Gruppen nur als Sicher­heitsbedro­hung zu betrachten – dis­ruptive Angriffe auf Gesundheitseinrichtun­gen mit Folgen für deren opera­tive Pro­zesse beein­trächtigen systematisch die öffent­liche Gesundheit.

Der Blick auf die Mikroebene

Die sechs genannten Angriffskategorien ermöglichen indirekte Rückschlüsse auf die Auswirkungen von Cyberangriffen vor Ort. Zunächst lässt sich feststellen, dass die An­griffs­ziele im Gesund­heitssektor sehr hete­ro­gen sind: Sie reichen von Krankenhäusern, Praxen, Apotheken und Medizinprodukteherstellern über Ver­sicherungen, Rettungsdienste und Pharmafirmen bis hin zu Nicht­regierungsorganisationen. Je nach betroffener Einrichtung, Methode und Weg (Angriffs­vektor) sowie Ausmaß des Angriffs (Anzahl und Typ der betroffenen Systeme und Ein­richtungen) sind die Auswirkungen auf die öffentliche Gesundheit sehr unter­schied­lich. Die Kriti­ka­lität einer Ein­rich­tung für die Gesundheitsversorgung wird an­hand von Faktoren wie Größe, Versorgungs­auftrag, Standort, Spezialisierung und (nicht) vorhandener Alter­nativen eingeschätzt.

Will man die identifizierten Cluster (C0–C5) von Cyberangriffen nach ihrer Aus­wirkung auf die Gesundheitsversorgung klassifizieren, bietet sich folgende Aufteilung an (aufsteigen­de Relevanz):

  1. Datendiebstahl/-verschlüsselung (z. B. Patient:innendaten, Versicherungs­nummern oder Bankdaten),

  2. Einschränkungen von IT-Serviceleistun­gen (z. B. Website, Terminportale oder Kommunikation),

  3. Einschränkungen operativer Programme und Dienstleistungen (z. B. Krankenhaus­informationssystem, Sterilisation, radiologische oder Laborprogramme, Blutbank).

In Kombination mit dem Wissen über die betroffene(n) Einrichtung(en) und der zeitlichen Komponente lässt sich eine Aus­sage über die spezifischen Auswirkungen auf die Gesundheitsversorgung treffen. Die EuRepoC-Daten zeigen, dass Cyberangriffe, die diagnostische (z. B. Labore oder die Radio­logie) oder operative Prozesse (z. B. Steri­li­sation, Aufnahme von Patienten, Doku­men­tation) beeinträchtigen, schwerwiegende Folgen für die Gesundheitsversorgung haben. Dies geschah 2023 am Universitätsklinikum Luigi Vanvitelli in Italien, wo es zu spür­baren Kapazitätseinschränkungen kam, weil auf manuelle Pro­zesse umgestellt wurde (C4).

Angriffe hin­gegen, die rein auf den Dieb­stahl von Pati­ent:innen­daten ab­zielen, werden häufig mit Infor­ma­tions- bzw. Ver­trau­ensverlust assoziiert. 2025 wurden zum Bei­spiel bei der britischen HCRG Care Group, die Gesundheitsdienstleistungen anbietet, sen­sible Daten ent­wen­det und teilweise ins Darknet gestellt (C2), 2023 die Daten von über einer Million Patient:innen des Medi­zin­produkte­herstel­lers Zoll gestoh­len (C1). Auch wenn Angriffe mit dem Ziel Datendiebstahl theo­retisch keine direk­ten Aus­wir­kungen auf die operative Ge­sund­heits­versor­gung haben, können auch sie die Versorgung indirekt beeinträchtigen, näm­lich wenn die ergrif­fe­nen Schutzmaßnahmen eine Tren­nung vom Netz oder das Herunterfahren be­stimmter Dienste erfor­dern. Dazu kam es 2025 beim Unternehmen Simon­Med, das 200 Radiologen an 170 Stand­orten in 11 US-Bundesstaaten be­schäftigt (C2).

Bekannte kriminelle Bedrohungs­akteure wie BianLian, Medusa, BlackCat oder Lock­Bit, die offen als Täter auftreten, über­neh­men häufig die Verantwortung für solche Ransomware-Angriffe, um die be­troffenen Einrichtungen zu erpressen. Beispielsweise wurde 2023 der Dienstleister TransForm Shared Service Organization durch das DAIXIN-Team angegriffen, was sich indirekt auf die Patientenversorgung und die Ter­min­planung in fünf Krankenhäusern in der kanadischen Provinz Ontario auswirkte (C1). 2024 musste das pharmazeutische Unter­nehmen Octapharma aus der Schweiz im Zuge eines Angriffs durch die Blacksuit-Gruppe über 150 Plasmaspende­zentren in den USA temporär schließen (C2). Obwohl Angreifer wie LockBit von sich selbst be­haupten, dass sie sich explizit nicht gegen den Gesundheitssektor richten, zeich­nen die Daten ein anderes Bild. Die häufigs­ten Angriffsziele sind neben Kranken­häu­sern vor allem größere Praxen und Dienst­leister wie Versicherungen oder Medi­zin­produkte­unternehmen. Selbst Nicht­regie­rungs­organisationen werden zur Ziel­scheibe, wie der Fall Omni Family Health (C1) zeigt.

Krankenhäuser können manchmal recht schnell auf Angriffe reagie­ren, indem sie analoge Notfallprozesse in Kraft setzen, wie Beispiele 2024 im Kran­ken­haus Lindenbrunn in Coppenbrügge (C4) und 2025 im Stell Hospital in Frankreich (C4) belegen. Zugleich gehen auch damit Einschränkungen einher, wodurch wäh­rend eines Angriffs Ter­mine oder geplante Eingriffe verscho­ben werden müssen, wie bei einem Angriff auf die Krankenhäuser in Lippstadt, Erwitte und Geseke 2024 (C4). Ob dies reine Vorsichtsmaßnahmen waren, lässt sich den öffent­lich zugänglichen Berichten nicht entnehmen. Als Heiligabend 2023 drei Krankenhäu­ser der Katholischen Hospi­tal­vereini­gung Ostwestfalen gGmbH von der Notfall­ver­sor­gung abgemeldet (C4) und 2024 bei den Wertachkliniken Bobin­gen und Schwab­münchen (C4) Opera­tionen ver­scho­ben wurden, geschah dies hingegen vor­sorg­lich. Klar ist: Mehr Transparenz über die Gefah­ren­lage ermöglicht ein stärker abge­stimm­tes Krisen- bzw. Notfallmanagement.

Wenn Krankenhäuser infolge eines Cyber­angriffs von der Notfallversorgung abge­mel­det werden, müssen Ret­tungs­wagen unter Umständen um­geleitet werden, so 2023 bei einem Angriff auf das ameri­kanische Unter­nehmen Ardent, das über 30 Kran­ken­häu­ser betreibt und zeitweise 10 Notaufnahmen abmelden musste (C4), oder 2024, als in Mailand zwei Krankenhäuser nicht mehr von Rettungswagen angefahren wur­den (C4). In ländlichen Gegenden muss in sol­chen Fällen mit deutlich längeren Trans­port­zeiten gerechnet werden, was in der Kon­se­quenz zu Patientenschäden führen kann.

Als besonders schwerwiegend sind Angriffe, die zentrale Systeme in einem Krankenhausnetzwerk oder einem Konzern der Gesundheitsversorgung betreffen. Die da­durch ausgelösten Kaskadeneffekte können die Systeme mehr als einer Insti­tution kompromittieren. Ein Beispiel hier­für ist der Angriff auf das Hipocrate-Infor­mations­system in Rumä­nien 2024, der zur Folge hatte, dass 25 Kran­ken­häuser analog weiter­arbeiten muss­ten und weitere 75 Einrichtungen sich vor­sorg­lich von der Plattform abkoppelten (C4). Auch die Be­einträchtigung von Zulieferern, Ret­tungs­diensten oder Apotheken kann er­heb­liche Auswirkungen auf die Versorgung haben. Dies zeigen der Ausfall einer Ret­tungs­leitstelle in Bozen 2025 (C0) und zwei rus­sische Apothekenketten, die 2025 etwa 1000 Filia­len vorübergehend schlossen (C0).

Solcherart Vulnerabilitäten werden in Zukunft zunehmen. Bezogen auf Deutschland liegt das daran, dass die Zentrums­medizin unter anderem im Zuge des Krankenhausversorgungsverbesserungs­gesetzes mit einer Zentralisierung von Informationssystemen einhergeht. Außer­dem ist damit zu rechnen, dass die Wieder­herstellung von Systemen nach einem Cyberangriff mit längerfristigen Leistungseinschränkungen verbunden ist. Dadurch wiederum entsteht eine Mehr­belastung alternativer Ver­sorger im Nah­bereich. Gravierende Auswirkungen hätten solche durch Cyberangriffe bedingten Leis­tungs­einschränkungen, wenn eine soge­nannte Doppellage (twin threats) vor­liegt, also zum Beispiel während eines mili­täri­schen Kon­flikts oder eines Extremwetter­ereignisses wie Hitze.

Auf Basis der getroffenen Cluster­einteilung der EuRepoC-Daten und anhand der skizzierten Folgen von Cyber­angriffen für die Gesundheitsversorgung wird deut­lich: Auch wenn sich das Angriffs­muster ähnelt, haben die Angriffe unterschiedlich disruptive Auswirkungen. Ins­gesamt wir­ken sich Angriffe, die den Clus­tern 3 oder 5 zu­geordnet werden, weniger stark auf die Gesundheitsversorgung aus als diejenigen der Cluster 0,1 und 4; die des Clusters 2 liegen in der Mitte. Jedoch können auch An­griffe innerhalb eines Clusters sehr unter­schiedlich verlaufen, sodass bisher jeweils eine Einzelfallbetrachtung erforderlich ist.

Mögliche Rolle der WHO auf der Makroebene

Die auf der Mikroebene identifizierten Cluster und Wirkungsketten haben regel­mäßig eine internationale Dimension. Der Angriff auf Stryker legte Pro­duk­tions­stand­orte in Cork, Tuttlingen und Mühlheim gleich­zeitig still, der Vorfall bei Octapharma zwang über 150 Plasmaspende­zentren zur temporären Schlie­ßung, und der Ausfall des Hipocrate-Informations­sys­tems betraf mehr als ein­hundert Einrichtungen. Cyber­angriffe auf das Gesundheits­wesen wirken damit ent­lang von Versorgungsketten, die nationale und sektorale Grenzen über­schreiten. Zur systematischen Erfassung bedarf es einer Institution mit globaler Perspektive und klini­scher Fach­expertise, die die Auswirkungen einzelner Cyber­angriffe auf die Gesundheitsversorgung in einer Gesamtschau ermitteln kann.

Die zentrale Instanz zur Koordinierung globaler Gesundheitsbemühungen und der Bewertung gesundheitlicher Risiken ist die Weltgesundheitsorganisation (WHO). Mit dem Surveillance System for Attacks on Health Care (SSA) verfügt sie bereits über ein institutionell geeignetes Modell, dessen aktuelles Mandat jedoch auf kinetische (physische) Angriffe in humanitären Not­lagen begrenzt ist. Eine Ausweitung des SSA-Mandats auf den Cyberbereich würde eine kritische Lücke schließen, da die be­stehenden sicher­heits­orientierten Register die spezifischen und mitunter grenzüberschreitenden Aus­wirkungen von Cyber­angriffen auf die Gesundheitsversorgung nicht erfassen können – ihnen fehlt die nötige Fach­expertise: EuRepoC liefert be­last­bare Infor­mationen zu Angriffsvektor, At­tri­bution und technischer Intensität, macht aber keine Angaben zur Auswirkung auf die Gesundheitsversorgung. Die Emer­gency Events Database (EM-DAT) und die Global Terrorism Database (GTD) bilden weder digitale Angriffsformen noch die fach­spezifische Kritikalität von Gesundheits­einrichtungen ab.

Das seit 2017 von der WHO betriebene SSA registriert zwar auch An­griffe, die zu einer Behinderung der Gesund­heitsversor­gung führen (»obstruction to health care delivery«), be­schränkt sich bislang jedoch auf kinetische Angriffe und nur solche in komplexen humanitären Notlagen (»com­plex humanitarian emergencies«). Allein das Krisenregister der Deutschen Arbeitsgemeinschaft Krankenhaus-Einsatz­planung (DAKEP) um­fasst Sonderlagen einschließlich IT-Vorfäl­len in Krankenhäusern, berücksichtigt aber nur Deutschland, Österreich, die Schweiz und Luxemburg; überdies erfolgt die Mel­dung durch die Einrichtung selbst und meistens erst im Nachhinein.

Werden Cyberangriffe und ihre Folgen für die Gesundheitsversorgung nicht syste­ma­tisch erfasst und bewertet, bleiben Wirkungsmuster im Cyberraum anekdotisch und Schutzstandards können nicht evidenz­basiert entwickelt werden. Des Weite­ren bleibt die politische Rechenschafts­pflicht von Staaten, von deren Gebiet Cyber­angriffe ausgehen (die also Bedrohungs­akteure steuern oder zumindest tolerieren), schwach. Angriffe global zu erfassen und zu benennen sowie ihre Folgen für die Gesundheitsversorgung zu beurteilen, ist somit nicht nur eine analy­tische, sondern gleichermaßen eine versorgungs- und sicherheitspolitische Notwendigkeit.

Die WHO könnte die existierende Lücke schließen, da sie gesundheitliche Fach­expertise und globale Reichweite vereint. Die Auswirkungen von Cyberangriffen auf den Gesundheitssektor in einer Gesamtschau auf globaler Ebene zu bewerten, ist besonders relevant, denn Konzentrations­risiken, Kaskadeneffekte und Doppellagen, die auf der Mikroebene sichtbar geworden sind (S. 4ff), entfalten ihre Wirkung grenz­überschreitend. Die WHO besitzt mit ihrem über die Regionalbüros etablierten Netz­werk die Reichweite, die diese transnatio­nale Wirkungslogik erfordert, und mit ihrer Arbeit zum Schutz von Gesundheitseinrichtungen die Legitimität, die für ein Cyber-Monitoring-Mandat unverzichtbar sind. Dass die WHO Cyberangriffe auf kritische Gesundheits­infra­struktur mittlerweile explizit als An­griffe auf Gesundheits­einrichtungen klassi­fiziert, unterstreicht diesen Ansatz.

Mit dem SSA verfügt die WHO über eine erprobte Plattform für genau diese Aufgabe des Monitorings der Auswirkungen von Cyberangriffen auf das Gesundheitssystem. Das SSA verfolgt drei eng verknüpfte Zwecke: Es macht gezielte Angriffe auf die Gesundheitsversorgung global sichtbar; es schafft eine Datengrundlage für evidenz­basierte Prävention und Schutzstandards; es etab­liert Rechenschaftspflicht, indem An­griffe auf Gesundheitseinrichtungen als solche benannt und dokumentiert werden. Diese drei Funktionen sind für Cyberangriffe ebenso relevant wie für kinetische und sind unabhängig von bewaffneten Konflikten bedeutsam.

Resolution WHA 65.20 der Weltgesundheitsversammlung, die das Mandat des SSA beschreibt, nutzt zudem einen weiten Angriffs­begriff, indem sie nur von »attacks« spricht. Nach huma­nitärem Völker­recht schließen An­griffe auf Gesund­heits­infra­struk­tur grund­sätzlich auch digi­tale Angriffe ein, denn ein Cyber­angriff, der ein Kranken­haus funk­tions­unfähig macht, unterscheidet sich in seiner Wirkung nicht grund­legend von einem phy­sischen Angriff. Die konzeptionelle Anschlussfähigkeit ist damit gegeben. Das Mandat selbst bleibt indes auf Angriffe in komplexen humani­tären Not­lagen be­schränkt. Eine Erweiterung des SSA um ein Cybermodul, das nicht an diese Voraussetzung gebunden ist, ist der nahe­liegende nächste Schritt zur Besei­ti­gung der identi­fi­zierten Lücke.

Handlungsempfehlungen

Cyberangriffe auf die Gesundheitsinfrastruk­tur sind eine systemische Bedrohung für die öffentliche Gesundheit und die nationale Sicherheit. Die Angriffe sind dis­ruptiv und die entwendeten Daten sen­sibel. Die Fälle Stryker, Octapharma und Hipo­crate belegen, dass ihre Wirkung ent­lang komplexer Versorgungsketten verläuft. Cyberrisiken für die öffentliche Gesundheit sind analog zu systemischen Risiken im Finanzsektor zu betrachten.

Angesichts der Gefährdungslage im Gesundheitsbereich sollte die Bundesregierung Cybersicherheit im Gesund­heitssektor als Thema im Nationalen Sicherheitsrat behandeln. Dieser könnte ein Zentrum von Stabs­stellen für die 18 kriti­schen Infrastrukturen einrichten, um stär­ker als Schar­nier zwischen lokaler, euro­päischer und internationaler Politikebene zu fungieren. Die spezifische sekto­rale Vulnerabilität wäre der Aus­gangs­punkt der Lagebilder und Analysen. Anders als das BSI, das primär Meldungen ent­gegen­nimmt und technische Mindeststandards setzt, oder das Bundesamt für Bevöl­ke­rungsschutz und Katastrophenhilfe (BBK), das operative Krisenvorsorge koordi­niert, läge die Funk­tion dieser Stabsstellen in der analy­tischen Interpretation und fachlichen Bewertung systemischer Risiken.

Als flankierende Maßnahme könnte die WHO durch die Weltgesundheitsversammlung mandatiert werden, offizielle Melde­daten und öffentlich zugängliche Vorfallsdaten mit ihrer Fachexpertise im Gesundheitsbereich in einem speziellen Moni­to­ring zu vereinen. Zum Beispiel könnte das SSA der WHO um ein Cybermodul erweitert werden. BSI, ENISA und die Europäische Kommission könnten ihre Erfahrungen mit interoperablen und gestaffelten Melde­systemen (DORA aus dem EU-Finanzsektor, NIS‑2) teilen, um diese Erfahrungen für die Cybersicherheit im Gesundheitssektor nutz­bar zu machen. Expertise zu methodischen Fragen könnten wissenschaftliche, inter­diszi­plinäre Open-Source-Projekte wie EuRepoC liefern.

Ein strukturiertes Monitoring der gesundheitlichen Auswirkungen von Cyber­angriffen könnte aggregiert das Ausmaß der Folgen messen, die Cyberangriffe auf die öffentliche Gesundheit haben. Dabei würden nationale Einrichtungen in ihrer jeweiligen Regulation weiterhin als Melde­hubs dienen, die WHO übernähme die weitere Auswertung. Ein Vorbild für das Vorgehen bei der Erfassung kann das System der Internationalen Atomenergiebehörde (IAEA) sein, das auf der vertrau­lichen und anonymisierten Weiterleitung von Vorfallsdaten basiert. In diesem Sinne wäre auch eine tiefergehende Analyse der konkreten und systemischen Auswirkungen auf die Gesundheitsversorgung denkbar, ohne dass Sicherheits- oder Reputations­kosten für die meldenden Staaten und Ein­richtungen entstünden. Gleichzeitig erhiel­ten die Institutionen und Regierungen als meldende Instanzen einen Vorteil, weil so eine Bewertung von national, europäisch und international gemeldeten Vorfällen ermöglicht wird, die erst eine Einschätzung der Kritikalität des eigenen Gesundheits­sektors erlaubt.

Im Finanzsektor gibt es bereits ähnliche Meldeprozesse, die über viele Jahre einge­übt sind. Als Blaupause für die Auswertung von Vorfällen durch die WHO kann die Arbeitsweise der Deutschen Bundesbank dienen. Diese analysiert als Facheinrichtung, inwiefern Cyberangriffe ein systemisches Risiko für die Stabilität des Finanz­systems darstellen. Dafür kann sie einerseits auf Meldedaten zurückgreifen, andererseits aber auch auf öffentlich ver­fügbare Vor­falls­daten, wie sie EuRepoC bereithält; dies ermöglicht einen breiten Überblick über die globale Cyber­sicher­heitslage.

Lagebilder im Bereich kritischer Infrastrukturen – und insbesondere im Gesund­heitssektor – sollten künftig fachlich wie technisch systema­tisiert bzw. interoperabel werden, um nationale, euro­päische und internationale Krisenreaktionen effektiver zu gestalten. Die Stärkung der Resilienz im Gesundheitssektor erfor­dert bei Cyber­angriffen, dass nationale, europäische und internationale Schutzmaßnahmen zusam­mengedacht werden.

Dr. Michael Bayerlein ist Senior Policy Analyst im Global Health Policy Lab (GHPL). Dr. habil. Annegret Bendiek ist Senior Fellow in der Forschungsgruppe EU / Europa und Principal Investigator im Projekt »European Repository of Cyber Incidents«. Jonas Hemmelskamp ist Datenwissenschaftler im Projekt »European Repository of Cyber Incidents«, Universität Heidelberg. Dr. med. Maik von der Forst ist Stellvertretender Leiter der Stabsstelle Krisen- und Katastrophenmanagement, Universitätsklinikum Heidelberg.

SWP

Stiftung Wissenschaft und Politik

ISSN (Print) 1611-6364

ISSN (Online) 2747-5018