Das Gesundheitswesen steht unter Beschuss wie nie zuvor. 2024 verzeichnete das FBI 444 Cyberbedrohungen gegen Krankenhäuser – mehr als jeder andere kritische Infrastruktursektor. Was früher ein finanzielles Problem war, ist heute eine Frage von Leben und Tod. Ransomware-Angriffe lähmen nicht nur IT-Systeme, sondern gefährden direkt Menschenleben, wenn Beatmungsgeräte ausfallen und lebensrettende Medizintechnik blockiert wird.
Ich erkläre dir, warum Krankenhäuser zu bevorzugten Zielen geworden sind und welche dramatischen Folgen diese Angriffe haben – sowohl für Patienten als auch für das gesamte Gesundheitssystem.
Die erschreckende Realität: 389 US-Kliniken in einem Jahr angegriffen
Die Zahlen sprechen eine klare Sprache: Microsoft berichtete, dass allein im letzten Geschäftsjahr 389 US-amerikanische Gesundheitseinrichtungen erfolgreich mit Ransomware angegriffen wurden. Diese Angriffe führten zu „Netzwerkschließungen, Systemen offline, verzögerten kritischen medizinischen Operationen und verschobenen Terminen“. Die Auswirkungen beschränken sich nicht auf IT-Probleme – sie werden zu medizinischen Notfällen.
Das wahre Ausmaß wird durch konkrete Fälle deutlich: Der Angriff auf Kettering Health in Ohio im Mai 2025 zwang das Netzwerk aus über einem Dutzend medizinischen Zentren dazu, alle elektiven stationären und ambulanten Eingriffe zu stornieren. Die Ransomware-Gruppe Interlock drohte mit der Veröffentlichung gestohlener Patientendaten, falls das Krankenhaus nicht verhandeln würde. Emergency-Rooms blieben zwar geöffnet, aber das Personal musste mit deutlich eingeschränkten technischen Hilfsmitteln arbeiten.
2024 war ein Rekordjahr für Datenlecks im Gesundheitswesen: Bis Ende 2024 waren die Gesundheitsdaten von 259 Millionen Amerikanern gestohlen worden – ein neuer Rekord, der den vorherigen Rekord von 138 Millionen aus dem Vorjahr weit übertraf. Der größte Einzelvorfall war der Angriff auf Change Healthcare, eine Tochtergesellschaft der UnitedHealth Group, der die Daten von 190 Millionen Menschen betraf.
Medizingeräte als neue Angriffsziele
Die Bedrohung hat sich grundlegend gewandelt. Kevin Fu, kommissarischer Direktor für Cybersicherheit im FDA-Zentrum für Geräte und radiologische Gesundheit, warnt: „Du kannst kein sicheres und wirksames Medizingerät haben, wenn es durch Ransomware nicht verfügbar ist.“ Die Angreifer zielen heute gezielt auf vernetzte Medizingeräte ab – von CT-Scannern über Patientenüberwachungssysteme bis hin zu Infusionspumpen.
Ein erschreckendes Szenario aus der Praxis: Angreifer verschaffen sich zunächst über Phishing-E-Mails Zugang zu Krankenhausnetzwerken. Anschließend setzen sie Credential-Dumping-Techniken ein, um Privilegien zu erweitern und sich lateral zu bewegen. Das Ziel sind dann vernetzte Medizingeräte, auf denen Ransomware eingesetzt wird, die kritische Systeme wie Beatmungsgeräte und Patientenmonitore verschlüsselt.
Besonders gefährdet sind verschiedene Gerätetypen: MRI- und CT-Scanner laufen oft auf veralteten Windows-basierten Betriebssystemen und sind anfällig für bekannte Exploits wie EternalBlue. Smart-Beatmungsgeräte verwenden proprietäre Kommunikationsprotokolle, die Angreifer für Denial-of-Service-Angriffe ausnutzen können. Infusionspumpen sind über drahtlose Kommunikation mit zentralen Krankenhaus-Managementsystemen verbunden und können manipuliert werden, um falsche Dosierungen zu verabreichen.
Der WannaCry-Schock: Erste große Medizingeräte-Attacke
2017 markierte einen Wendepunkt in der Krankenhaus-Cybersicherheit. Der WannaCry-Ransomware-Angriff infizierte 1.200 Diagnosegeräte und zwang fünf britische Krankenhaus-Notaufnahmen zur Schließung und Patientenumleitung. Das FBI stuft WannaCry als den ersten Ransomware-Angriff ein, der sich gezielt gegen Schwachstellen in Medizingeräten richtete.
Die Auswirkungen waren verheerend: Der Angriff traf mindestens 81 der 236 NHS-Krankenhäuser in England sowie 603 Hausarztpraxen und 595 medizinische Praxen. Über 19.000 Termine mussten abgesagt werden. Eine internationale Untersuchung ergab, dass der Angriff aus Nordkorea stammte und möglicherweise als Vergeltung für Wirtschaftssanktionen im Zusammenhang mit dem Atomprogramm des Landes durchgeführt wurde.
WannaCry war nur der Anfang: Die Untersuchung zeigte, dass viele Medizingeräte temporär außer Betrieb genommen werden mussten, um die Ausbreitung der Malware zu verhindern. Dies verdeutlichte ein fundamentales Problem: Medizingeräte waren nie für solche Cyberbedrohungen konzipiert worden.
Tödliche Konsequenzen: Wenn Ransomware tötet
Ransomware-Angriffe auf Krankenhäuser sind keine Wirtschaftskriminalität mehr – sie sind lebensbedrohliche Verbrechen. Eine Analyse schätzt, dass zwischen 2016 und 2021 zwischen 42 und 67 Medicare-Patienten infolge von Ransomware-Angriffen starben. Eine Studie der University of California San Diego zeigte, dass Ransomware-Angriffe auf Krankenhäuser einen Spillover-Effekt verursachen: Benachbarte Krankenhäuser erleben einen Anstieg der Patienten, was zu 81% mehr Herzstillstandsfällen führt.
Ein konkreter Todesfall: Das Wall Street Journal berichtete über den ersten angeblichen Todesfall in einem Krankenhaus, der auf Ransomware zurückgeführt wird. Ein Cyberangriff von 2019 auf ein medizinisches Zentrum in Alabama beeinträchtigte angeblich den normalen Betrieb eines fötalen Herzschlagmonitors und einer Krankenschwesternstation. Der erste bekannte Todesfall durch einen Ransomware-Angriff ereignete sich im September 2020, als ein deutsches Krankenhaus einen Patienten, der kritische Versorgung benötigte, abweisen musste.
Die Ripple-Effekte sind messbar: Während Ransomware-Angriffen steigen bei nicht betroffenen Krankenhäusern die Notaufnahme-Ankünfte um 35,2%, das Patientenvolumen um 15,1%, die Wartezeiten um 47,6%, Schlaganfall-Code-Aktivierungen um 74,6% und bestätigte Schlaganfälle um 113,6%. Die Überlebensraten bei Herzstillständen außerhalb des Krankenhauses mit günstigen neurologischen Ergebnissen sanken um 88,75%.
Warum Krankenhäuser perfekte Ziele sind
Mehrere Faktoren machen Krankenhäuser zu idealen Ransomware-Zielen. Erstens hängen buchstäblich Leben in der Waagschale, wenn der Krankenhausbetrieb eingestellt wird, wodurch Krankenhäuser eher bereit sind, Lösegelder an Cyberkriminelle zu zahlen. Die sensible Natur medizinischer Informationen erhöht auch deren Schwarzmarktwert. Healthcare-Ransomware-Vorfälle führen zu einer durchschnittlichen Zahlung von 4,4 Millionen USD.
Die technische Infrastruktur verstärkt die Verwundbarkeit: Krankenhäuser nutzen oft komplexe und veraltete Infrastrukturen und verlassen sich auf eine Vielzahl von Anbietern und Legacy-Systemen, die schwer zu sichern sind. Ein Mangel an zentraler Cybersicherheit in Netzwerken erhöht die Verwundbarkeiten weiter und ermöglicht es Ransomware-Gruppen, Systeme zu infiltrieren und kaskadierende Störungen zu verursachen.
70% der Endpoints in Krankenhäusern sind keine Computer, sondern Geräte. Diese medizinischen Geräte sind oft in Fluren und Patientenzimmern zugänglich und daher nicht immer sicher. Compliance-Anforderungen erfordern manchmal, dass ältere Technologie länger im Einsatz bleibt, als sie sollte, und diese älteren Modelle verfügen typischerweise nicht über die neuesten elektronischen Sicherheitsmaßnahmen.
Die neue Generation der Angreifer
Die heutigen Cyberkriminellen sind nicht mehr die Einzeltäter von früher. Sie operieren als organisierte kriminelle Unternehmen und investieren ihre unrechtmäßigen Gewinne in die Entwicklung mächtigerer Malware und Computer-Infrastruktur, um ihre Angriffe schwerer abwehrbar und die Täter schwerer zu fassen zu machen.
Geopolitische Dimensionen verstärken die Bedrohung: Die meisten Cyberangriffe auf Gesundheitseinrichtungen werden heute nicht von einheimischen Einzelhackern durchgeführt. Ähnlich wie bei den 9/11-Angriffen operiert die große Mehrheit der Cyberkriminellen aus dem sicheren Hafen von feindlichen Nationalstaaten, die nicht mit den USA kooperieren oder diese Verbrecher an die USA ausliefern werden.
Die häufigsten Ransomware-Gruppen laut FBI-Beschwerden 2024 waren Akira, LockBit und RansomHub. Diese Gruppen nutzen hauptsächlich Social Engineering, gestohlene Zugangsdaten und die Ausnutzung ungepatchter bekannter Schwachstellen für den ersten Zugang.
Verteidigungsstrategien: Wie sich Kliniken schützen können
Eine mehrschichtige Sicherheitsstrategie ist unerlässlich. Zunächst müssen regelmäßige und sichere Backups implementiert werden, einschließlich air-gapped Backups, die physisch vom Organisationsnetzwerk isoliert sind. Diese bleiben sicher, selbst wenn Hacker die Infrastruktur kompromittieren.
Patch-Management ist kritisch, aber komplex: Die breite Palette von Technologien, auf die Krankenhäuser angewiesen sind – von EHR-Systemen bis hin zu Diagnosegeräten und vernetzten Geräten im Internet of Medical Things (IoMT) – verbessert die Patientenversorgung und operative Effizienz, führt aber auch potenzielle Schwachstellen ein. Medizingeräte und Netzwerkausrüstung erfordern einen spezialisierten Ansatz für das Patch-Management aufgrund ihrer kritischen Rolle in der Patientenversorgung.
Netzwerksegmentierung und Überwachung: In fast allen analysierten ICS Medical Advisories empfiehlt CISA Nutzern, Abwehrmaßnahmen zu ergreifen, um das Exploitationsrisiko zu minimieren, wie z.B. die Beschränkung des Systemzugangs nur auf autorisiertes Personal. Die Implementierung von Zero-Trust-Architekturen kann das Risiko lateraler Bewegungen im Netzwerk reduzieren.
Klinische Kontinuitätsplanung: Krankenhäuser müssen Downtime-Verfahren entwickeln und regelmäßig testen. Die Frage ist nicht mehr „ob“, sondern „wann“ ein Cyberangriff stattfindet. Krankenhäuser müssen planen, wie sie 30 Tage oder länger ohne ihre digitalen Systeme sicher und qualitativ hochwertige Versorgung leisten können.
Die Change Healthcare-Katastrophe: Lehren aus dem größten Angriff
Der Angriff auf Change Healthcare zeigt die verheerenden Auswirkungen auf das gesamte Gesundheitssystem. Der Ransomware-Angriff im Februar 2024 beeinträchtigte jedes Krankenhaus im Land auf die eine oder andere Weise und war der bedeutendste und folgenreichste Cyberangriff in der US-Geschichte auf das Gesundheitswesen.
Die Wiederherstellung dauerte 37 Tage: Bis zum 14. Juni – 37 Tage nach dem Start des Ransomware-Angriffs – dauerte es, bis Ascension alle elektronischen Gesundheitsdaten-Systemverbindungen wiederhergestellt und seine letzten Krankenhäuser wieder online gebracht hatte. Das Unternehmen gab etwa 130 Millionen Dollar für seine Reaktion auf diesen Angriff aus und verlor etwa 900 Millionen Dollar an Betriebseinnahmen bis zum Ende des Geschäftsjahres.
Die menschlichen Kosten: Über Nacht mussten Krankenschwestern durch Papier-Backups blättern, um die Krankengeschichte eines Patienten oder seine verschriebenen Medikamente zu sehen, während Läufer gedruckte Kopien von Scans an Operationsteams liefern mussten.
Fazit: Ein Kampf um Leben und Tod
Ransomware-Angriffe auf Krankenhäuser sind mehr als IT-Sicherheitsprobleme – sie sind Bedrohungen für die öffentliche Gesundheit und Sicherheit. Mit über 70% der Krankenhaus-Endpoints als medizinische Geräte und einer zunehmend vernetzten Infrastruktur wird die Angriffsfläche kontinuierlich größer.
Die Realität ist klar: Die Gesundheitsbranche meldete 2024 mehr Cyberbedrohungen als jeder andere kritische Infrastruktursektor. Die durchschnittlichen Kosten einer Datenverletzung betragen 4,35 Millionen Dollar, aber die menschlichen Kosten sind unermesslich. Jeder verzögerte Herzinfarkt-Patient, jede abgesagte Krebsbehandlung und jeder ausgefallene Beatmungsgerät kann über Leben und Tod entscheiden.
Der Weg nach vorn erfordert kollektive Anstrengungen: Einzelne Krankenhäuser können dieses komplexe Problem nicht allein lösen. Es bedarf einer koordinierten Antwort von Regierung, Industrie und internationalen Partnern. Die Verteidigung allein wird unsere Cyber-Gegner nicht abschrecken. Die Bundesregierung muss in die Offensive gehen und es zu einer Priorität machen, Cyberkriminelle vor dem Angriff zu stören.
Zeit zu handeln: Das Gesundheitswesen kann sich keine weiteren Change Healthcare-Katastrophen leisten. Jeder Tag ohne angemessene Cybersicherheitsmaßnahmen ist ein Tag, an dem Menschenleben gefährdet werden. Die Technologie, die uns heilen soll, darf nicht zur Waffe gegen uns werden.
Quellen
- AHA News – „Report: Health care had most reported cyberthreats in 2024“ (Mai 2025)
https://www.aha.org/news/headline/2025-05-12-report-health-care-had-most-reported-cyberthreats-2024 - CNN Politics – „Ransomware attack triggers ’system-wide‘ tech outage at large network of medical centers“ (Mai 2025)
https://www.cnn.com/2025/05/20/politics/ransomware-attack-medical-centers - IBM – „When ransomware kills: Attacks on healthcare facilities“ (März 2025)
https://www.ibm.com/think/insights/when-ransomware-kills-attacks-on-healthcare-facilities - Security Boulevard – „Exploiting Medical Devices: Attack Vectors, Cyber Threats, and Advanced Defense Mechanisms“ (Februar 2025)
https://securityboulevard.com/2025/02/exploiting-medical-devices-attack-vectors-cyber-threats-and-advanced-defense-mechanisms/ - Microsoft Security – „US Healthcare at risk: Strengthening resiliency against ransomware attacks“ (2025)
https://www.microsoft.com/en-us/security/security-insider/emerging-threats/us-healthcare-at-risk-strengthening-resiliency-against-ransomware-attacks
