Cybersicherheit von Kliniken: Dobrindt sieht keinen Bedarf für mehr Unterstützung

Berlin – In keinem anderen Bereich der kritischen Infrastruktur wurden im zurückliegenden Jahr so viele sicherheitsrelevante IT-Störungen gemeldet wie im Gesundheitswesen. Bundesinnenminister Alexander Dobrindt (CSU) sieht jedoch keinen Grund, Krankenhäuser und andere Gesundheitseinrichtungen stärker als bisher bei der Verbesserung ihrer IT-Sicherheit zu unterstützen.

Zwar würden immer mehr Betreiber kritischer Infrastrukturen Mindestanforderungen an die Cybersicherheit erfüllen, doch bleibe die Lage angespannt, erklärte die Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI) heute in Berlin bei der Vorstellung des BSI-Lageberichts 2025.

Weiterhin seien viele digitale Systeme, Server und Online-Dienste unzureichend geschützt. So würden sie es Angreifern leicht machen, in Netzwerke einzudringen und Daten zu stehlen. Insbesondere Server seien oft falsch konfiguriert oder gänzlich ungeschützt; bekannte Sicherheitslücken würden oft zu spät oder gar nicht erkannt. „Die Angriffsfläche, die wir bieten, wird größer“, warnte Dobrindt.

Hinzu komme die Seite der Angreifenden. Zwischen Juli 2024 und Juni 2025 seien täglich im Schnitt 280.000 neue Schadprogrammvarianten entdeckt worden. Auch seien im Berichtszeitraum 950 Ransomware-Angriffe zur Anzeige gebracht worden, wobei das Dunkelfeld vermutlich um den Faktor zehn größer sei. Bei Ransomware-Angriffen blockieren Angreifer Daten, indem sie sie verschlüsseln, und fordern meist eine Gegenleistung für ihre erneute Freischaltung.

Davon seien längst nicht mehr nur große Konzerne betroffen, mahnte er, sondern vor allem kleine und mittlere Unternehmen. Zwar würden immer weniger Betroffene bei Ransomware-Angriffen das Lösegeld zahlen, das meistens verlangt werde. Dafür stiegen die bezahlten Summen. „Es wird immer teurer, sich von solchen Erpressern freizukaufen“, sagte Dobrindt.

Er wolle neue Befugnisse für Behörden schaffen, die ihnen ermöglichten, die Infrastruktur von Angreifenden zu stören oder zu zerstören – auch wenn diese im Ausland sitzen würden. Bisher würden das die rechtlichen Rahmenbedingungen nicht hergeben. Auch das BSI solle gestärkt werden, indem seine finanziellen Mittel um 65 Prozent aufgestockt werden.

Insbesondere habe auch die Bedrohung durch andere Staaten zugenommen. „Deutschland ist eines der Top-Ziele staatlicher Akteure“, betonte er. Nach den USA, Indien und Japan sei Deutschland in diesem Bereich das am vierthäufigsten angegriffene Land.

Hier stehe vor allem die kritische Infrastruktur im Fokus. „Da fühlen wir uns besonders bedroht und besonders anfällig“, räumte Dobrindt ein. So sei mittlerweile bei jedem zweiten Fall von Cyberspionage die öffentliche Verwaltung das Ziel.

Die meisten Störungen, die Betreiber kritischer Infrastrukturen meldeten, kamen indes mit 155 aus dem Gesundheitswesen, gefolgt von 153 im Energiesektor und 150 in Transport und Verkehr.

Das Gesundheitswesen sei aus Sicht der Cybersicherheit „eine sehr heterogene Landschaft“, was deren Schutz sehr anspruchsvoll mache, erklärte Plattner. Das BSI begleite das Bundesgesundheitsministerium (BMG) und die Gematik allerdings sehr eng und berate sie durchgehend.

So gebe es beim Schutz der Daten in den elektronischen Patientenakten (ePA) zwar noch Verbesserungsmöglichkeiten, allerdings könne das BSI bereits ein angemessenes Schutzniveau bescheinigen.

Die Krankenhäuser wiederum würden sich in einem besonders engen Austausch mit dem BSI befinden, weil ihnen klar sei, dass sie nicht nur im Fokus Krimineller stünden, sondern auch von politisch motivierten Tätern, betonte Dobrindt.

Zwar sei die finanzielle Lage angespannt, das gelte aber für das gesamte Gesundheitswesen, nicht nur für einen Bereich. Es sei deshalb nicht zu sehen, dass Krankenhäuser aufgrund finanzieller Schwierigkeiten auf Nachrüstung bei der Cybersicherheit verzichteten.

Vielmehr sei man sich in den Krankenhäusern der besonderen Sensibilität der gefährdeten Daten bewusst, sodass es „dort eine sehr hohe Bereitschaft für die notwendigen Investitionen gibt“, sagte Dobrindt.

„Wir dürfen nicht den Eindruck erwecken, als würde in diesem Bereich nicht massiv darauf geachtet, höchste Maßstäbe der Sicherheit anzuwenden. Genau das wird getan.“ Deshalb seien in diesem Bereich auch keine weiteren speziellen Programme vorgesehen.

lau