FinTech
Mai 24, 2026
Julia Wolf 
Ein deutscher Klinikverbund. Operationssäle dunkel. Patientenakten unerreichbar. Notfälle umgeleitet. Das ist kein Worst-Case-Szenario aus einer Übung – das ist der Normalzustand nach einem Ransomware-Angriff im Mai 2026. Und der Clou: Niemand ist wirklich überrascht.
Ende Mai 2026 trifft ein massiver Ransomware-Angriff einen deutschen Klinikverbund. Systeme verschlüsselt. IT-Infrastruktur kollabiert. OPs werden verschoben, Befunde sind nicht abrufbar, Notaufnahmen müssen Patienten in andere Häuser schicken. Das Pikante daran: Dieser Vorfall reiht sich nahtlos – Verzeihung, reibungslos – in eine Serie europäischer Attacken auf Gesundheitseinrichtungen ein, die sich seit Jahren wiederholt.
Das KommunalWiki der Heinrich-Böll-Stiftung dokumentiert für 2024 allein in Deutschland mehrere schwere Angriffe auf medizinische Einrichtungen, darunter die Wertachkliniken und die Johannesstift Diakonie. Jedes Mal dasselbe Muster. Jedes Mal dieselben Fragen. Wenig überraschend: Jedes Mal dieselben Antworten – nämlich keine befriedigenden.
Der Referenzfall bleibt das Universitätsklinikum Düsseldorf im Jahr 2020. Damals führte ein Ransomware-Angriff dazu, dass eine Notfallpatientin in ein weiter entferntes Krankenhaus umgeleitet werden musste. Sie verstarb später. Das Institut für Friedensforschung und Sicherheitspolitik Hamburg (IFSH) hat den Vorfall eingehend analysiert und beschreibt ihn als einen der folgenreichsten Cybervorfälle im deutschen Gesundheitssektor überhaupt. Der kausale Zusammenhang zwischen Angriff und Tod ist juristisch schwer zu beweisen – aber die Frage allein sollte jeden wachrütteln.
Warum ist Ransomware im Gesundheitssektor so verheerend? Die Antwort ist strukturell. Krankenhäuser können nicht einfach offline gehen. Sie können keine Wartungsfenster einplanen wie ein Online-Shop. Jede Stunde, in der ein System ausfällt, bedeutet potenziell: keine Diagnose, kein Befund, kein Eingriff.
Angreifer wissen das. Sie kalkulieren damit, dass der Zeitdruck und der Versorgungsauftrag die Bereitschaft erhöhen, Lösegeld zu zahlen – oder zumindest schnell zu kapitulieren. Hochsensible Patientendaten sind dabei ein zweiter Hebel: Moderne Ransomware-Gruppen kombinieren Verschlüsselung mit Datendiebstahl. Wer nicht zahlt, riskiert, dass Diagnosen, Medikationspläne und Operationsberichte im Darknet landen. Plot Twist: Das Lösegeld ist oft das kleinste Problem. Forensik, Systemwiederherstellung, Rechtsberatung und Reputationsschäden treiben die Gesamtkosten deutlich höher.
Die Verwundbarkeit hat außerdem technische Wurzeln. Viele Kliniken betreiben heterogene IT-Landschaften: moderne Intensivstationsmonitore neben Windows-Systemen, die seit Jahren kein Update mehr gesehen haben. Medizinische Geräte, die aus Zulassungsgründen nicht einfach gepatcht werden können. Netzwerksegmentierung? Oft mangelhaft. Zwei-Faktor-Authentifizierung für alle kritischen Zugänge? Häufig Wunschdenken. Das alles zusammen ergibt ein Angriffsprofil, das Ransomware-Gruppen gezielt ausnutzen.
Ransomware ist längst kein Hobbyprojekt einzelner Krimineller mehr. Der Gesundheitssektor steht im Fokus professioneller Gruppen, die arbeitsteilig vorgehen: Initial-Access-Broker verkaufen Zugangsdaten, Ransomware-Entwickler lizenzieren ihre Software als Ransomware-as-a-Service, Affiliate-Partner führen den eigentlichen Angriff durch. Brisant: Die Infrastruktur dahinter ist oft stabiler organisiert als die IT mancher Klinik.
Der Einstieg erfolgt meist über Phishing-Mails, gestohlene VPN-Credentials oder ungepatchte Schwachstellen in öffentlich erreichbaren Systemen. Ist der Fuß erst in der Tür, bewegen sich die Angreifer lateral durch das Netz – ruhig, methodisch, oft über Wochen unbemerkt. Erst dann schlägt die Verschlüsselung zu. Zu einem Zeitpunkt, den die Angreifer wählen. Nicht die Klinik.
Wer mehr über die konkreten Angriffsmuster und die technische Infrastruktur hinter solchen Kampagnen erfahren möchte, findet auf der Security Insider regelmäßig detaillierte Lageberichte – inklusive aktueller Tätergruppen und Angriffsvektoren.
Spätestens seit Inkrafttreten der NIS-2-Richtlinie der EU steht der Gesundheitssektor offiziell unter verschärftem Regulierungsdruck. NIS-2 stuft viele Akteure im Gesundheitswesen als Betreiber wesentlicher Einrichtungen ein und verlangt von ihnen konkrete Maßnahmen: Risikomanagement, Sicherheitskonzepte, Meldepflichten bei erheblichen Vorfällen. Die Meldepflichten sehen enge Fristen vor – erste Meldung innerhalb von 24 Stunden nach Kenntnisnahme eines erheblichen Vorfalls, ein detaillierter Bericht innerhalb von 72 Stunden.
Das klingt nach Fortschritt. Und es ist einer – auf dem Papier. Meine persönliche Einschätzung: NIS-2 ist ein notwendiger Schritt, aber kein Schutzschirm. Eine Richtlinie verhindert keinen Angriff. Sie schafft Pflichten, die erfüllt werden müssen – und deren Umsetzung Ressourcen kostet, die viele Kliniken schlicht nicht haben.
Die nationale Umsetzung von NIS-2 in deutsches Recht ist noch nicht vollständig abgeschlossen; konkrete Reichweite und Anforderungen hängen von der Einrichtungsgröße und dem Träger ab. Wer sich über den aktuellen Stand der NIS-2-Umsetzung und die konkreten Pflichten für Unternehmen informieren will, findet beim VDE eine strukturierte Übersicht der wichtigsten Anforderungen. Eines ist klar: Wer NIS-2 nur formal abhakt, ohne operative Sicherheitsmaßnahmen zu implementieren, hat die Lektion nicht verstanden.
Hier liegt der eigentliche Kern des Problems. Deutschen Kliniken fehlt es chronisch an IT-Sicherheitsbudget. Während ein DAX-Konzern eigene Security-Operations-Center betreibt und Red-Team-Übungen durchführt, kämpfen viele kommunale Krankenhäuser darum, überhaupt eine Vollzeitstelle für IT-Sicherheit zu finanzieren. Der IT-Leiter ist oft gleichzeitig für Netzwerk, Server, Endgeräte und Sicherheit zuständig. Und dann soll er auch noch NIS-2-Compliance nachweisen.
Das ist keine Kritik an den Menschen – das ist Kritik am System. Krankenhäuser sind Einrichtungen der Daseinsvorsorge. Sie werden über DRG-Fallpauschalen finanziert, die für Zytostatika und OP-Besteck kalkuliert sind, nicht für SIEM-Systeme und Penetrationstests. Investitionen in IT-Sicherheit erscheinen im Klinikbudget als Kostenfaktor ohne direkte Versorgungsrelevanz – bis der Angriff kommt. Dann ist die Relevanz schlagartig klar.
Der Bund hat mit dem Krankenhauszukunftsgesetz (KHZG) Fördermittel bereitgestellt, die auch in IT-Sicherheit fließen können. Dass viele Häuser diese Mittel abgerufen haben, ist positiv. Dass sie nicht ausreichen, um strukturelle Defizite zu beheben, ist wenig überraschend.
Ein Ransomware-Angriff auf einen Klinikverbund ist keine isolierte IT-Katastrophe. Er ist eine Kettenreaktion. Systeme fallen aus. IT-Teams arbeiten im Krisenmodus. Ärzte greifen auf Papierformulare zurück. Laborergebnisse werden telefonisch übermittelt. Das Röntgenbild auf dem Server ist unerreichbar – das physische Archiv wurde vor Jahren abgeschafft.
Parallel läuft die Forensik an: Wer hat wann was kompromittiert? Wie weit haben sich die Angreifer im Netz bewegt? Welche Daten wurden exfiltriert? Letzteres ist besonders brisant, weil Patientendaten unter die besonderen Kategorien personenbezogener Daten nach DSGVO fallen. Eine Datenpanne muss der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden gemeldet werden – parallel zur laufenden Notfallversorgung.
Gleichzeitig gilt: Nicht jeder IT-Ausfall in einer Klinik ist automatisch Ransomware. Fehlkonfigurationen, Hardwaredefekte oder andere Malware können ähnliche Symptome erzeugen. In der heißen Phase eines Vorfalls weiß oft niemand genau, womit er es zu tun hat. Diese Unsicherheit ist selbst ein Sicherheitsrisiko – weil falsche Einschätzungen zu falschen Reaktionen führen.
Erschwerend kommt hinzu, dass in vielen Klinikverbünden die Kommunikationswege im Ernstfall nicht klar definiert sind. Wer informiert die Geschäftsführung? Wer spricht mit der Aufsichtsbehörde? Wer koordiniert die Kommunikation mit Patienten und Angehörigen? Fehlen solche Eskalationspläne, entsteht in der Krise ein zweites, vermeidbares Chaos neben dem technischen. Krisenkommunikation ist dabei keine Kür, sondern Pflicht: Patienten und Einweiser, die von Betriebsausfällen erfahren, brauchen verlässliche Aussagen – auch dann, wenn die IT-Forensik noch keine abschließenden Antworten liefern kann.
Prävention allein reicht nicht. Wer glaubt, er könne einen Ransomware-Angriff durch Firewall und Virenscanner vollständig verhindern, lebt in einer anderen Realität. Die Frage ist nicht ob – sondern wann und wie gut man darauf vorbereitet ist.
Konkret bedeutet das: Offline-Backups, die tatsächlich regelmäßig getestet werden. Netzwerksegmentierung, die verhindert, dass sich Malware lateral ausbreitet. Wiederanlaufpläne, die nicht in einer Schublade verstauben, sondern geübt werden. Schulungen, die Mitarbeitende für Phishing sensibilisieren – denn der Mensch bleibt das beliebteste Einfallstor. Und Notfallprozesse, die den Betrieb auch ohne IT aufrechterhalten können.
Für Klinikverbünde mit mehreren Standorten kommt hinzu: Zentrale IT-Infrastruktur ist effizient, macht aber auch Einzelangriffe zu Verbundkatastrophen. Wer alle Häuser über ein gemeinsames Rechenzentrum vernetzt, muss dort auch den höchsten Sicherheitsstandard anlegen. Ein kompromittierter Knoten kann das gesamte Netz infizieren – das ist bei Ransomware-Gruppen bekannte Taktik.
Angesichts begrenzter Ressourcen müssen IT-Verantwortliche im Gesundheitssektor Prioritäten setzen. Einige Maßnahmen lassen sich auch mit kleinem Budget schnell umsetzen und bieten überproportionalen Schutz:
Wichtig ist dabei der Blick auf die Gesamtorganisation: IT-Sicherheit ist kein rein technisches Thema. Sie gelingt nur, wenn Geschäftsführung, Pflegeleitung, Ärzte und Verwaltung gemeinsam Verantwortung übernehmen. Ein CISO ohne Rückhalt der Führungsebene kann technische Konzepte entwickeln – umsetzen kann er sie nicht allein.
Der Blick über die Grenze zeigt: Das Problem ist strukturell europäisch. In Frankreich wurde 2021 das Hôpital de Dax von Ransomware getroffen. In Irland legte ein Angriff auf den Health Service Executive (HSE) im selben Jahr weite Teile der nationalen Gesundheits-IT lahm – mit Auswirkungen, die Wochen andauerten. In Großbritannien führte ein Angriff auf einen Labordienstleister zu massiven Engpässen in der Blutversorgung mehrerer Kliniken.
Das Muster ist überall dasselbe: Gesundheitseinrichtungen mit begrenzten IT-Budgets, heterogener Infrastruktur und hohem Zeitdruck treffen auf professionell agierende Angreifer mit klaren wirtschaftlichen Interessen. NIS-2 ist der europäische Versuch, diesem Muster mit Regulierung entgegenzuwirken. Ob das reicht, hängt von der operativen Umsetzung ab – in jedem einzelnen Haus, in jeder einzelnen IT-Abteilung.
Ich halte es für einen Fehler, NIS-2 als Ziellinie zu verstehen. Es ist ein Startschuss. Die eigentliche Arbeit beginnt danach.
An dieser Stelle lohnt ein kurzer Blick auf die Gegenseite. Kritiker der bisherigen Debatte argumentieren mitunter, die mediale Berichterstattung über Ransomware im Gesundheitssektor erzeuge eine Panikstimmung, die ihrerseits schädlich sei: Sie lenke Ressourcen auf spektakuläre Angriffe, während alltägliche Risiken wie unsichere Medikamentendatenbanken oder Fehler bei der Dateneingabe weitaus mehr Patienten gefährdeten. Außerdem, so das Argument, hätten viele Kliniken in den vergangenen Jahren erheblich in Sicherheit investiert, und die Häufigkeit erfolgreicher Angriffe sage nichts über die Häufigkeit abgewehrter Angriffe aus.
Dieses Gegenargument ist nicht vollständig falsch – aber es greift zu kurz. Erstens schließen sich alltägliche Risiken und Cyberbedrohungen nicht gegenseitig aus: Beide verdienen Aufmerksamkeit und Ressourcen. Zweitens belegt die Dokumentation erfolgreicher Angriffe gerade, dass die bisherigen Investitionen noch nicht ausreichen. Und drittens ist die Dunkelziffer abgewehrter Angriffe kein Argument gegen Prävention, sondern für sie. Die Konsequenz aus dem Gegenargument kann daher nicht Entwarnung sein, sondern nur: differenzierter hinsehen und gezielter investieren.
Ransomware im Gesundheitssektor ist kein neues Problem. Es ist ein bekanntes, dokumentiertes, analysiertes Problem. Seit dem Düsseldorfer Vorfall 2020 hat sich die Bedrohungslage nicht entspannt – sie hat sich verschärft. Die Angriffe sind professioneller geworden. Die Folgen für Patienten sind realer geworden. Die regulatorischen Anforderungen durch NIS-2 sind gestiegen.
Was fehlt, ist der dritte Teil der Gleichung: ausreichend Ressourcen für die Einrichtungen, die schützen sollen, was nicht ausfallen darf. Solange IT-Sicherheit im Klinikbudget als Luxus gilt und nicht als Grundvoraussetzung für den Versorgungsauftrag, werden die nächsten Angriffe kommen. Und die nächsten Berichte. Und die nächsten Fragen.
Die entscheidende Frage ist nicht technischer Natur: Wann entscheidet die Politik, dass Patientensicherheit und digitale Resilienz im Gesundheitswesen dasselbe Budget verdienen wie medizinische Geräte?
