Krankenhäuser, Labore und Arztpraxen sind heute nahezu vollständig digitalisiert. Elektronische Patientenakten, Diagnostiksysteme, radiologische Geräte, Medizintechnik und Abrechnungssoftware sind eng miteinander verknüpft. Diese Vernetzung erhöht zwar die Effizienz, macht die Einrichtungen aber zugleich besonders anfällig für Cyberangriffe. Ein erfolgreicher Angriff verursacht nicht nur finanzielle Schäden, sondern kann die Sicherheit von Patienten direkt gefährden. Internationale Vorfälle wie der Angriff auf den irischen Gesundheitsdienst HSE im Jahr 2021 oder der IT-Ausfall am Universitätsklinikum Düsseldorf 2020, der mit dem Tod einer Patientin in Verbindung gebracht wird, verdeutlichen die Tragweite. Cyberangriffe im Gesundheitswesen betreffen buchstäblich Fragen von Leben und Tod.
Wenn fehlende IT-Sicherheitsmaßnahmen zu Personenschäden führen, stehen strafrechtliche Konsequenzen im Raum. Denkbar sind Verfahren wegen fahrlässiger Körperverletzung oder fahrlässiger Tötung. Ermittlungsbehörden prüfen zunehmend auch, ob auf Leitungsebene organisatorisches Verschulden vorliegt. Von zentraler Bedeutung ist die Frage, ob ausreichende Schutzmaßnahmen ergriffen, gesetzliche Vorgaben eingehalten und funktionierende Notfallpläne eingerichtet wurden. Fehlende Vorkehrungen können strafrechtliche Mitverantwortung der Geschäftsführung begründen.
Zivilrechtlich sind die Risiken ebenfalls erheblich. Patienten können nach § 280 BGB oder Art. 82 DSGVO Schadensersatz verlangen, wenn sie durch Datenpannen oder Behandlungsverzögerungen geschädigt werden. Besonders schwer wiegen Verstöße gegen die DSGVO, die neben hohen Bußgeldern auch Ansprüche auf immaterielle Entschädigung nach sich ziehen können. Erste Sammelklagen in Folge kleinerer Datenvorfälle zeigen, dass schon geringfügige Pannen juristische Konsequenzen haben.
Als „wesentliche Einrichtungen“ unterliegen Krankenhäuser besonders strengen Pflichten. Die NIS-2-Richtlinie sowie deutsche Vorschriften wie § 75c SGB V und das BSI-Gesetz verpflichten sie zu Risikoanalysen, Schutzmaßnahmen nach dem Stand der Technik, einer Meldepflicht binnen 24 Stunden und klarer Verantwortlichkeit auf Leitungsebene. IT-Sicherheit ist damit nicht mehr eine Frage technischer Infrastruktur, sondern eine originäre Leitungspflicht. Bei Verstößen drohen Bußgelder von bis zu 10 Millionen Euro.
Die praktische Umsetzung ist schwierig. Viele Kliniken verfügen nur über begrenzte Budgets und kämpfen mit Fachkräftemangel. IT-Abteilungen sind oft unterbesetzt, obwohl gerade hier hochsensible Systeme zu schützen sind. Hinzu kommt, dass externe Dienstleister wie Medizingerätehersteller oder IT-Betreiber in die Sicherheitsarchitektur eingebunden werden müssen. Das erfordert komplexe Lieferkettenkontrollen, die kleinere Einrichtungen organisatorisch überlasten können. Gleichzeitig attackieren Ransomware-Gruppen gezielt den Gesundheitssektor, wohlwissend, dass Kliniken unter hohem Druck stehen, ihre Systeme schnell wieder in Betrieb zu nehmen. Die Frage, ob Lösegeld gezahlt werden soll, bleibt ein Dilemma: Zahlungen sind rechtlich riskant und fördern kriminelle Strukturen, doch eine Verweigerung kann Patienten gefährden.
Ein wirksames Sicherheitskonzept verlangt stabile Compliance-Strukturen. Krankenhäuser müssen Informationssicherheits-Managementsysteme nach ISO 27001 einführen, Verantwortlichkeiten klar regeln und Funktionen wie Chief Information Security Officer und Datenschutzbeauftragten besetzen. Regelmäßige Trainings, Penetrationstests und eine konsequente Meldekultur sind zwingend erforderlich. Datenschutz und IT-Sicherheit sind eng zu verzahnen, da Datenpannen meist auf technische Schwachstellen zurückzuführen sind.
Auf technischer Ebene sind Offline-Backups, segmentierte Netzwerke, Zero-Trust-Architekturen, Sensibilisierung gegen Phishing-Angriffe, wiederkehrende Notfallübungen und die enge Zusammenarbeit mit Behörden und CERTs erforderlich. Auch medizinisches Personal muss einbezogen werden: Sicherheitsmaßnahmen dürfen die Patientenversorgung nicht behindern, müssen aber robust genug sein, um auch in Krisen Bestand zu haben.
Neben diesen organisatorischen und technischen Maßnahmen ist die gesellschaftliche Dimension nicht zu unterschätzen. Patienten erwarten, dass ihre Daten geschützt sind und die Behandlung jederzeit gewährleistet bleibt. Kommt es zu Vorfällen, schadet dies nicht nur der betroffenen Einrichtung, sondern dem Vertrauen in das gesamte Gesundheitssystem.
Damit Strafrecht und Compliance wirksam ineinandergreifen, muss klar sein, dass mangelnde Organisation auf Leitungsebene strafrechtliche Verantwortung nach sich ziehen kann. Gleichzeitig bedarf es politischer Unterstützung: Förderprogramme, verbindliche Standards und branchenspezifische Leitlinien sind notwendig, damit Kliniken nicht zwischen wirtschaftlichem Druck und digitaler Bedrohung zerrieben werden. Letztlich ist Cybersicherheit im Gesundheitswesen identisch mit Patientensicherheit. Wer die Anforderungen missachtet, riskiert nicht nur Bußgelder, zivil- und strafrechtliche Verfahren, sondern im schlimmsten Fall Menschenleben.