Die Zahl und Schwere von Ransomware-Attacken auf medizinische Einrichtungen haben in den vergangenen Jahren deutlich zugenommen. Dabei geht es längst nicht mehr nur um wirtschaftliche Verluste oder Imageschäden: Angriffe können unmittelbar das Leben von Patientinnen und Patienten gefährden. Mehrere Vorfälle haben dies eindrücklich vor Augen geführt. So wurde beim Angriff auf Change Healthcare im Jahr 2024 ein Datenvolumen von sechs Terabyte kompromittiert, betroffen waren über 100 Millionen Menschen; Abrechnungs- und Versorgungsprozesse brachen über Monate hinweg zusammen. Bereits 2020 kam es in Deutschland zu einem tragischen Zwischenfall am Universitätsklinikum Düsseldorf, als eine Patientin aufgrund ausgefallener Systeme nicht rechtzeitig versorgt werden konnte. Ein Angriff auf ein Londoner Blutlabor im Jahr 2023 legte große Teile der Blutversorgung lahm. Diese Beispiele verdeutlichen, dass digitale Erpressung im Gesundheitssektor unmittelbar lebensbedrohliche Konsequenzen haben kann.
Die rechtliche Lage unterscheidet sich international, weist jedoch ähnliche Schwachpunkte auf. In den Vereinigten Staaten dient HIPAA seit Jahren als datenschutzrechtlicher Rahmen im Gesundheitswesen, seine praktische Umsetzung blieb jedoch lückenhaft. Abhilfe schaffen soll das geplante Health Infrastructure Security and Accountability Act (HISAA), das verbindliche Sicherheitsstandards vorsieht und die Verantwortung der Leitungsebene klarer verankert. In Europa nimmt die NIS-2-Richtlinie eine Schlüsselrolle ein. Sie verpflichtet Kliniken und andere Gesundheitseinrichtungen zu einem durchgängigen Risikomanagement, zu regelmäßigen Mitarbeiterschulungen und zu schnellen Meldungen innerhalb von 24 Stunden. Verstöße können mit Sanktionen von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes geahndet werden.
Für Führungskräfte entstehen erhebliche persönliche Risiken. Strafrechtlich können fahrlässige Körperverletzung oder gar fahrlässige Tötung im Raum stehen, wenn nachweisbar unzureichende IT-Sicherheitsmaßnahmen zu Patientenschäden führen. Zivilrechtlich drohen Ansprüche auf Schadensersatz nach Art. 82 DSGVO, beispielsweise bei Datenschutzpannen oder psychischen Belastungen infolge von Datenlecks. Zusätzlich kann eine persönliche Haftung der Geschäftsleitung gegenüber der eigenen Einrichtung entstehen, wenn grobe Pflichtverletzungen Bußgelder oder wirtschaftliche Schäden nach sich ziehen.
Die Erfahrungen zeigen deutlich, dass IT-Sicherheit nicht länger isoliert in der Technikabteilung verortet werden darf. Sie muss als integraler Bestandteil der Leitungspflichten verstanden werden. Gesundheitseinrichtungen sind gefordert, ein Informationssicherheits-Managementsystem nach ISO 27001 einzurichten, Rollen und Verantwortlichkeiten klar zu definieren und interdisziplinäre Sicherheitsgremien einzusetzen, die IT, Datenschutz, Recht und Compliance zusammenführen. Eine offene Meldekultur ist ebenso wichtig: Mitarbeitende müssen ohne Angst vor Konsequenzen auffällige Vorgänge sofort melden können.
Auf technischer Ebene sind mehrere Maßnahmen unverzichtbar: Netzwerke müssen segmentiert und nach Zero-Trust-Prinzipien aufgebaut werden, Penetrationstests sind regelmäßig durchzuführen, Updates konsequent einzuspielen und kritische Daten in Offline-Backups zu sichern. Da viele Angriffe über Phishing initiiert werden, ist Sensibilisierung der Belegschaft zentral. Ergänzend braucht es detaillierte Notfallpläne sowie Krisenübungen, in denen Abläufe im Ernstfall erprobt werden. Nur wer diese Szenarien realitätsnah durchspielt, kann sicherstellen, dass Patientensicherheit und Datenschutz auch während einer Attacke gewährleistet bleiben.
Besonders heikel ist die Frage, ob im Krisenfall Lösegeld gezahlt werden soll. Offizielle Stellen raten dringend davon ab, da Zahlungen kriminelle Strukturen stärken und keine Garantie für eine Entschlüsselung oder den Schutz sensibler Daten bieten. Dennoch greifen manche Einrichtungen aus Verzweiflung zu diesem Schritt, wenn lebenswichtige Systeme unmittelbar betroffen sind. Langfristig führt jedoch kein Weg an einer anderen Strategie vorbei: Nur durch den Aufbau robuster Strukturen – etwa redundante Systeme, gesicherte Backups und ein widerstandsfähiges Sicherheitskonzept – können Krankenhäuser verhindern, überhaupt erpressbar zu sein. Prävention und Resilienz sind damit die einzig nachhaltigen Antworten auf die Bedrohung durch Ransomware im Gesundheitswesen.