BSI schlägt Alarm: Software im Gesundheitswesen fällt bei Sicherheitstests durch

Drei von vier getesteten Praxissystemen sind aus dem Internet angreifbar, Pflegesoftware weist kritische Lücken auf. Das BSI schlägt Alarm – und zeigt, was für Arztpraxen, Kliniken und Pflegeeinrichtungen jetzt auf dem Spiel steht.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Mitte März 2026 Ergebnisse veröffentlicht, die jedem Praxisinhaber, Klinikgeschäftsführer und Pflegedienstleiter den Schlaf rauben sollten: Bei drei von vier getesteten Praxisverwaltungssystemen (PVS) ermöglichte die Verkettung einzelner Schwachstellen einen Angriff aus dem Internet. Bei Pflegedokumentationssystemen sah es kaum besser aus – kritische Lücken bei Verschlüsselung, Authentifizierung und Update-Mechanismen.

Wer glaubt, das sei ein rein technisches Problem für die IT-Abteilung, irrt. Wenn Patientendaten abfließen, Praxen stillstehen oder Pflegedokumentationen manipuliert werden, geht es um Patientensicherheit, Haftung und im Extremfall um Menschenleben.

Was das BSI konkret getestet hat

Das BSI hat in zwei voneinander unabhängigen Projekten die Sicherheit zentraler Software im Gesundheitswesen unter die Lupe genommen.

Im Projekt „SiPra" (Sicherheit von Praxisverwaltungssystemen) ließ das BSI vier marktgängige PVS durch die Sicherheitsfirma ERNW mittels Penetrationstests prüfen – und zwar in der Standardkonfiguration, also so, wie die Systeme typischerweise in Praxen betrieben werden. Das Ergebnis: Bei drei der vier Systeme ließen sich Schwachstellen zu Angriffsketten kombinieren, die einen Zugriff aus dem Internet ermöglicht hätten. Die Mängelliste liest sich wie ein Katalog vermeidbarer Fehler: fehlende Verschlüsselung bei der Datenübertragung, veraltete Kryptoverfahren, umgehbare Authentifizierung, PVS-Server, die direkt über das Internet erreichbar waren. Besonders brisant: Die Gelbe Liste berichtet, dass bislang keine verbindlichen IT-Sicherheitsanforderungen für Praxisverwaltungssysteme existieren – die Zertifizierung der Kassenärztlichen Bundesvereinigung (KBV) konzentriert sich auf funktionale Aspekte, nicht auf Sicherheit.

Im Projekt „DiPS" (Digitale Pflegedokumentationssysteme) untersuchte das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) drei Systeme, die in ambulanten Pflegediensten eingesetzt werden. Ergebnis: 13 Schwachstellen mit hohem oder kritischem Schweregrad. Darunter unsichere Kommunikationskanäle, schwache Authentifizierung, Installationspakete mit eingebetteten Datenbankpasswörtern und fehlende Prüfmechanismen bei Updates. Laut der heise-Berichterstattung gaben in einer begleitenden Befragung 16 von 52 Pflegediensten an, direkt über das Internet ohne VPN auf ihre Systeme zuzugreifen – 25 bestätigten, dass Hersteller oder IT-Dienstleister einen permanenten Fernzugriff auf ihr Netzwerk haben.

Beide Projekte ergänzen das bereits 2025 abgeschlossene Projekt „SiKIS" zur Sicherheit von Krankenhausinformationssystemen. Das Muster ist über alle drei Bereiche hinweg identisch: Nutzerauthentifizierung und -autorisierung sind die produktübergreifend häufigsten Problemfelder.

Warum Gesundheitsdaten ein besonderes Schutzniveau brauchen

Gesundheitsdaten gehören nach Artikel 9 der Datenschutz-Grundverordnung (DSGVO) zu den „besonderen Kategorien personenbezogener Daten". Sie genießen den höchsten Schutzstatus, den das europäische Datenschutzrecht kennt – und das aus gutem Grund.

Anders als eine gestohlene Kreditkartennummer lässt sich eine Krankengeschichte nicht sperren und neu ausstellen. Diagnosen, Therapieverläufe, psychiatrische Befunde oder Suchterkrankungen betreffen die intimste Sphäre eines Menschen. Im Darknet erzielen Gesundheitsdatensätze deshalb deutlich höhere Preise als Finanz- oder Kreditkartendaten, weil sie sich für Identitätsdiebstahl, Versicherungsbetrug oder gezielte Erpressung missbrauchen lassen.

Hinzu kommt eine Besonderheit des Gesundheitswesens: Die Daten sind nicht nur sensibel – sie sind kritisch für die Versorgung. Wenn ein Ransomware-Angriff eine Patientendatenbank verschlüsselt, stehen nicht nur Akten still, sondern im Zweifel auch Operationen, Notaufnahmen und Medikationspläne.

Was passiert, wenn die Sicherheit versagt: Reale Vorfälle

Die Risiken sind längst keine Theorie mehr. Mehrere schwerwiegende Vorfälle der vergangenen Jahre zeigen, was passiert, wenn IT-Sicherheit im Gesundheitswesen vernachlässigt wird.

Uniklinikum Düsseldorf (2020): Im September 2020 wurde die Uniklinik Düsseldorf Opfer eines Ransomware-Angriffs. Rund 30 Server wurden verschlüsselt, die Klinik musste sich von der Notfallversorgung abmelden. Eine lebensbedrohlich erkrankte Patientin konnte nicht aufgenommen werden und musste ins 30 Kilometer entfernte Wuppertal gebracht werden – sie verstarb kurz nach der verspäteten Einlieferung. Die Staatsanwaltschaft nahm Ermittlungen wegen fahrlässiger Tötung auf. Das Einfallstor: eine seit Monaten bekannte und ungepatchte Schwachstelle in einem Citrix-VPN-Gateway.

Klinikum Fürth, DRK-Südwest und weitere (2019–2020): Die Uniklinik Düsseldorf war kein Einzelfall. Bereits Anfang 2020 legten Hacker das Klinikum Fürth lahm, zuvor hatte es die DRK-Südwest in Neuwied getroffen – elf Krankenhäuser in Rheinland-Pfalz und dem Saarland waren betroffen.

WannaCry und das britische NHS (2017): Der WannaCry-Angriff traf den britischen National Health Service (NHS) massiv. Rund 20.000 Termine mussten abgesagt werden, Mitarbeiter kehrten zu Stift und Papier zurück, einzelne Notaufnahmen wurden umgeleitet.

CrowdStrike-Ausfall (Juli 2024): Auch ohne Hackerangriff kann ein einzelnes fehlerhaftes Update Krankenhäuser lahmlegen. Im Juli 2024 führte ein fehlerhaftes CrowdStrike-Update zu weltweiten IT-Ausfällen – unter anderem mussten zwei Kliniken in Lübeck und Kiel geplante Operationen absagen.

Die Zahlen untermauern den Trend: Das Gesundheitswesen ist laut Fachleuten der am stärksten betroffene Sektor unter den Kritischen Infrastrukturen (KRITIS), und die Angriffe auf Einrichtungen im Gesundheitswesen sind in den vergangenen Jahren massiv gestiegen.

Welche Strafen drohen – und wem

Die regulatorischen Konsequenzen mangelhafter IT-Sicherheit im Gesundheitswesen sind erheblich – und sie treffen nicht nur „die IT", sondern die Geschäftsleitung persönlich.

DSGVO (Artikel 83): Bei Verstößen gegen den Schutz besonderer Datenkategorien drohen Bußgelder bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes. Das ist keine theoretische Obergrenze: In den Niederlanden wurde das HAGA-Krankenhaus in Den Haag mit 460.000 Euro Bußgeld belegt, weil unberechtigte Mitarbeiter auf die Akte eines Prominenten zugreifen konnten – die Ursache waren fehlende Zugriffskontrollen und eine mangelhafte Zwei-Faktor-Authentifizierung. In Portugal musste ein Krankenhaus 400.000 Euro zahlen – ebenfalls wegen unzureichender Autorisierung. In Deutschland verhängte der rheinland-pfälzische Landesdatenschutzbeauftragte ein Bußgeld gegen die Universitätsmedizin Mainz wegen struktureller Defizite beim Patientenmanagement.

NIS2-Richtlinie: Die europäische NIS2-Richtlinie verschärft die Anforderungen nochmals deutlich. Krankenhäuser und Gesundheitseinrichtungen fallen als „wesentliche Einrichtungen" unter die Regulierung. Bei Verstößen drohen Bußgelder bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes. Entscheidend: Die Geschäftsleitung trägt ausdrücklich persönliche Verantwortung für die Einhaltung der Sicherheitsmaßnahmen.

§ 75c SGB V: Seit 2022 verpflichtet das Sozialgesetzbuch alle Krankenhäuser – nicht nur KRITIS-Häuser – zu angemessenen IT-Sicherheitsmaßnahmen nach dem Stand der Technik. Der branchenspezifische Sicherheitsstandard (B3S) der Deutschen Krankenhausgesellschaft dient als Orientierung.

Strafrechtliche Dimension: Kommt es infolge mangelhafter IT-Sicherheit zu einer Schädigung von Patienten, können neben Bußgeldern auch strafrechtliche Ermittlungen eingeleitet werden – wie der Fall Düsseldorf gezeigt hat. Die Verletzung der ärztlichen Schweigepflicht (§ 203 StGB) kann bei schuldhaftem Versagen der technischen Schutzmaßnahmen ebenfalls relevant werden.

Was Arztpraxen, Kliniken und Pflegedienste jetzt tun sollten

Die BSI-Ergebnisse machen unmissverständlich klar: Wer sich auf die Sicherheit seiner Software verlässt, ohne sie zu hinterfragen, handelt fahrlässig. Die gute Nachricht: Das BSI hat zu beiden Projekten konkrete Empfehlungskataloge veröffentlicht, die bis zum 17. Juni 2026 kommentiert werden können.

Die SiPra-Empfehlungen richten sich vor allem an Hersteller: sichere Standardkonfigurationen, serverseitig durchgesetzte Zugriffskontrollen, moderne Verschlüsselung. Die DiPS-Empfehlungen samt Checkliste richten sich an Betreiber und Nutzer ambulanter Pflegedienste – also genau an die Einrichtungen, die oft keine eigene IT-Abteilung haben.

Unabhängig davon sollten Einrichtungen im Gesundheitswesen jetzt drei Dinge prüfen: Erstens, ob die eingesetzte Software aktuelle Sicherheitspatches erhalten hat und ob Verschlüsselung auf dem Stand der Technik ist. Zweitens, ob Zugriffsrechte nach dem Need-to-know-Prinzip konfiguriert sind – also nur die Personen Zugriff auf Patientendaten haben, die sie für Diagnose, Therapie oder Pflege tatsächlich brauchen. Drittens, ob die Daten – Patientenakten, Abrechnungsinformationen, Pflegedokumentationen – sicher gespeichert und übertragen werden, und ob im Ernstfall eine schnelle Wiederherstellung möglich ist.

Sichere Cloud-Lösungen für das Gesundheitswesen: Wo SecureCloud helfen kann

Die BSI-Befunde zeigen ein strukturelles Problem: Viele Softwareprodukte im Gesundheitswesen wurden funktional gedacht, nicht sicherheitstechnisch. Die Frage, wo und wie Daten gespeichert, übertragen und geteilt werden, wird oft erst dann gestellt, wenn es zu spät ist.

SecureCloud arbeitet seit Jahren mit Unternehmen und Einrichtungen aus dem Gesundheitswesen zusammen – von Kliniken über Medizinische Versorgungszentren (MVZ) bis zu Pflegeeinrichtungen und Medizintechnikunternehmen. Unsere Cloud-Infrastruktur wird ausschließlich in Deutschland betrieben, ist BSI-C5-testiert und ISO-27001-zertifiziert. Technische oder juristische Zugriffsmöglichkeiten durch Drittstaaten bestehen nicht. Zu unseren Kunden zählt unter anderem das Bundesgesundheitsministerium.

Ob sicherer Datenaustausch mit Zuweisern und Laboren (SecureShare), revisionssichere Zusammenarbeit an sensiblen Dokumenten (SecureWork) oder digitale Signaturen für Freigabeprozesse (SecureSign) – wir unterstützen Gesundheitseinrichtungen dabei, ihre Datenhaltung souverän, DSGVO-konform und zukunftssicher aufzustellen.

Wenn Sie wissen möchten, wie sich Ihre Einrichtung absichern lässt, sprechen Sie uns an – persönlich und unverbindlich.