Ransomware gegen Klinikdienstleister: Gesundheitsdaten als Erpressungsmittel

Mitten in der Nacht. Systeme werden dunkel. Terminplanung down, Labor down, Bildgebung down. Und auf dem Bildschirm des IT-Administrators flackert eine Nachricht: Zahlen Sie, oder die Patientendaten landen im Netz. Was Anfang Juni 2026 einen großen europäischen Klinik- und Labordienstleister traf, ist kein Einzelfall – sondern das Lehrbuchbeispiel einer Angriffskette, die seit Jahren eskaliert und für die der Gesundheitssektor strukturell anfällig bleibt.

Ransomware gegen Klinikdienstleister: Der aktuelle Vorfall im Kontext

Mitte Juni 2026 meldete ein europäischer Klinik- und Labordienstleister einen laufenden Ransomware-Angriff. Terminplanung ausgefallen. IT-Systeme heruntergefahren. Offizielle Stellungnahme: man arbeite mit Hochdruck an der Wiederherstellung. Das Pikante daran: Die Angreifer drohten gleichzeitig mit der Veröffentlichung hochsensibler Patientendaten. Double Extortion, Lehrbuchmäßig.

Verschlüsselung der Systeme allein reicht den modernen Ransomware-Gruppen schon lange nicht mehr. Sie stehlen zuerst, verschlüsseln danach. Behandlungsdaten, Diagnosen, Versicherungsinformationen – alles, was den maximalen Erpressungsdruck erzeugt. Wer nicht zahlt, sieht seine Patientendaten auf einer Leak-Site. Wer zahlt, hofft, dass die Zusage gilt. Beides ist eine Katastrophe.

Der Vorfall steht nicht allein. Laut EU-Kommission und ENISA wurden 2023 insgesamt 309 schwerwiegende Cybersicherheitsvorfälle im EU-Gesundheitswesen registriert – mehr als in jedem anderen kritischen Sektor. Davon entfielen 54 Prozent auf Ransomware-Angriffe. In 83 Prozent der Fälle ging es explizit um Lösegelderpressung. Das sind keine Schätzungen. Das ist das Ergebnis eines systematischen Monitorings über drei Jahre.

Warum Gesundheitsdaten das beliebteste Erpressungsmaterial sind

Kurze Antwort: weil sie funktionieren. Lange Antwort: weil Gesundheitsdaten in der Untergrundökonomie besonders wertvoll sind und gleichzeitig der Reputationsschaden für Kliniken existenziell wirkt. Diagnosen, Operationsberichte, psychiatrische Befunde, HIV-Status – das sind Daten, bei denen Betroffene praktisch alles täten, damit sie nicht öffentlich werden. Das wissen die Angreifer.

Hinzu kommt: Kliniken können sich keinen langen Ausfall leisten. Eine Versicherungsgesellschaft, die eine Woche keine Policen ausstellt, verliert Geld. Ein Krankenhaus, das eine Woche kein Labor, keine Bildgebung und keine Terminplanung hat, gefährdet Menschenleben. Fachbeiträge in der medizinischen Fachliteratur belegen, dass Cyberangriffe Versorgungskontinuität und Patientensicherheit unmittelbar gefährden – von der OP-Planung über die Medikamentendokumentation bis zur Diagnostik. Die Zeitperspektive der Angreifer und die der Klinik-IT klaffen dramatisch auseinander.

Plot Twist: Rund 71 Prozent der Ransomware-Angriffe auf Gesundheitsdienste hatten laut EU-Kommission direkte Auswirkungen auf die Patientenversorgung. Operationen wurden verschoben, Notfälle umgeleitet, Diagnosen verzögert. Das macht die Erpressung so effektiv. Nicht weil die IT-Abteilung schwach ist, sondern weil der Druck von außen – durch Patienten, Ärzte, Behörden – so immens schnell eskaliert.

Die technischen Lücken: Backups und Segmentierung

Das Backup-Problem: online, erreichbar, mitverschlüsselt

Backup vorhanden? Gut. Backup im selben Netzwerksegment wie die Produktivsysteme? Schlecht. Genau das ist das strukturelle Problem in vielen Klinik-IT-Landschaften. Moderne Ransomware-Gruppen suchen nach Backup-Systemen, bevor sie verschlüsseln. Netzwerkfreigaben, die für Backup-Jobs montags um drei Uhr morgens gemountet werden und danach offen bleiben – das ist kein hypothetisches Angriffsszenario, das ist Alltag in der Incident-Response-Praxis.

Fehlende immutable oder Offline-Backups sind der zweite Hauptpunkt. Unveränderliche Speicherlösungen – WORM-Bänder, Air-Gap-Systeme, write-once-Objektspeicher – sind keine Raketenwissenschaft, aber sie kosten Geld und erfordern Konzept. Beides fehlt häufig. Was dann bleibt, ist ein Backup, das der Angreifer einfach mit löscht oder verschlüsselt.

Der dritte Punkt ist noch absurder: Backups sind vorhanden, aber nie getestet. Kliniken, die monatelang sichern, ohne den Restore-Prozess jemals durchgespielt zu haben, entdecken im Ernstfall, dass ein komplexes Klinik-Informationssystem – KIS, LIS, RIS, PACS, Medizingeräte-Integration – nicht in 24 Stunden wiederhergestellt ist. Manchmal sind es Tage. Manchmal Wochen. Und in dieser Zeit läuft die Erpressung weiter.

Netzsegmentierung: Wenn alles mit allem spricht

Viele Kliniken betreiben historisch gewachsene, flach strukturierte Netzwerke. Administrationsnetz, Medizintechnik, Büro-IT, manchmal sogar Haustechnik und Gebäudeleittechnik – alles in einem großen Layer-2-Segment oder mit minimalen Firewall-Regeln zwischen den Bereichen. Was das bedeutet, wenn ein Phishing-Mail geöffnet wird oder ein Remote-Zugang kompromittiert ist: laterale Bewegung ohne großen Widerstand.

Ein Angreifer, der im Büronetz landet, findet weg ins KIS. Vom KIS in die Bildgebung. Von der Bildgebung in die Medizintechnik. Wenig überraschend, dass ganze Klinikverbünde innerhalb weniger Stunden lahmgelegt werden können, wenn einmal Fuß gefasst ist. Aktuelle Daten aus dem Februar 2026 belegen, dass deutsche Unternehmen im Schnitt 1345 Cyberangriffe pro Woche ausgesetzt sind – ein Plus von 11 Prozent gegenüber dem Vorjahr. Der Druck ist real, die Angriffsfläche bleibt groß.

Dazu kommen Legacy-Systeme. Alte PACS-Server, Medizingeräte mit eingebetteten Betriebssystemen, die aus zertifizierungsrechtlichen Gründen nicht einfach gepatcht werden können – sie existieren, sie sind vernetzt, und sie sind in vielen Fällen nicht mehr herstellerseitig mit Sicherheitsupdates versorgt. Mikrosegmentierung, strikte Firewall-Policies und Network-Access-Control sind die Antwort – aber eben auch ein erheblicher operativer Aufwand.

DSGVO, KRITIS und die Meldepflicht: Was nach einem Angriff passiert

Persönlich finde ich es bemerkenswert, wie oft Kliniken nach einem Ransomware-Vorfall in der Kommunikation zögern. Dabei ist die Rechtslage eindeutig: Bei einer Verletzung des Schutzes personenbezogener Daten – und ein Ransomware-Angriff mit Datenzugriff ist das per Definition – greift die 72-Stunden-Meldepflicht gegenüber der zuständigen Datenschutzbehörde nach DSGVO Artikel 33. Nicht optional. Nicht „nach Prüfung ob nötig“. Innerhalb von 72 Stunden.

Sind Betroffene einem hohen Risiko ausgesetzt – was bei der Erpressung mit Gesundheitsdaten regelmäßig der Fall ist – kommt nach Artikel 34 DSGVO die Pflicht zur Information der betroffenen Patienten hinzu. Das ist unangenehm, kostspielig und öffentlichkeitswirksam. Aber das Unterlassen ist teurer. DSGVO-Bußgelder bewegen sich bei schweren Verstößen im mehrstelligen Millionenbereich, und Datenschutzbehörden haben nach einer Reihe aufsehenerregender Fälle keinen Appetit mehr auf Milde.

Hinzu kommen die KRITIS-Anforderungen nach dem BSI-Gesetz für Betreiber kritischer Infrastrukturen. Große Krankenhäuser und Klinikdienstleister fallen dort in der Regel hinein und unterliegen zusätzlichen Pflichten: Meldung erheblicher Sicherheitsvorfälle, Nachweis von Mindeststandards, regelmäßige Audits. Wer Backup- und Segmentierungsstrategien vernachlässigt, riskiert nicht nur den Angriff selbst, sondern auch den Nachweis, dass die gesetzlichen Mindestanforderungen nicht erfüllt wurden. Das ist dann ein Haftungsthema.

Der EU-Aktionsplan: Struktur für ein strukturelles Problem

Die EU-Kommission hat am 15. Januar 2025 einen Aktionsplan zur Cybersicherheit von Krankenhäusern und Gesundheitsdienstleistern vorgestellt. Der Clou: Es geht nicht nur um Leitlinien auf Papier. Geplant ist ein europäisches Unterstützungszentrum für Cybersicherheit im Gesundheitswesen bei ENISA, ein Reifegradmodell mit jährlichen Health Cyber Maturity Assessments sowie ein EU-weiter Frühwarn-Abonnementdienst – letzteres bis 2026 operativ.

Besonders relevant für kleinere und mittlere Kliniken: Cybersicherheitsgutscheine sollen gezielt Häuser mit begrenztem Budget unterstützen, die bisher weder die personellen noch die finanziellen Kapazitäten hatten, ihre IT-Sicherheit ernsthaft auszubauen. Denn die Datenlage ist klar – Ransomware trifft nicht nur Universitätskliniken. Sie trifft kommunale Häuser, Reha-Einrichtungen, Labordienstleister, Praxisverbünde. Je kleiner das Haus, desto geringer sind typischerweise die Schutzmaßnahmen und desto höher ist damit die Anfälligkeit.

Ob der Aktionsplan schnell genug greift, bleibt die entscheidende Frage. Ransomware-Gruppen warten nicht auf die Implementierung von Reifegradmodellen. Kritiker merken zudem an, dass freiwillige Reifegradmodelle ohne verbindliche Mindestvorgaben und ohne wirksame Kontrollmechanismen wenig Hebelwirkung entfalten. Erst wenn Fördermittel und Vergabeprozesse systematisch an nachgewiesene Sicherheitsstandards geknüpft werden, entsteht ein echter Anreiz auch für budgetarme Träger, strukturell zu investieren. Bis dahin bleibt der Aktionsplan ein wichtiges Signal – aber kein hinreichendes Instrument.

Was Kliniken und Dienstleister jetzt tun müssen

Backups: Offline, immutable, getestet

Die Mindestanforderung lautet: mindestens eine Backup-Kopie offline, physisch getrennt vom Netzwerk oder auf unveränderlichem Speicher. Air-Gap oder WORM. Keine Netzwerkfreigaben, die dauerhaft erreichbar sind. Ergänzend: regelmäßige, dokumentierte Restore-Tests für alle kritischen Systeme – KIS, LIS, RIS, PACS. Nicht einmal im Jahr, sondern quartalsweise. Wer nicht weiß, wie lange ein vollständiger Restore dauert, weiß nicht, ob das Backup tatsächlich nützt.

Brisant ist das besonders für Klinikdienstleister, die mehrere Häuser oder Labore bedienen. Ein kompromittiertes zentrales Backup-System kann dort domino-artig komplette Verbünde treffen. Segmentierung der Backup-Infrastruktur ist kein Luxus, sondern Pflichtprogramm.

Segmentierung: Medizintechnik weg vom Büronetz

Mikrosegmentierung ist kein Projekt, das man in einer Woche umsetzt. Aber eine klare Trennung zwischen Büro-IT, Klinik-Informationssystemen und medizintechnischen Geräten ist machbar und notwendig. Strikte Firewall-Regeln zwischen den Segmenten, Network-Access-Control für Endgeräte, und Legacy-Systeme in isolierten VLANs, die keine unnötigen Verbindungen nach außen oder in andere Segmente haben. Das reduziert den Blast-Radius eines erfolgreichen Einbruchs erheblich.

Lateral Movement ist der entscheidende Hebel der Angreifer. Wer den verhindert, macht Ransomware teurer – nicht unmöglich, aber teurer. Und Angreifer sind opportunistisch. Härtere Ziele werden schneller verlassen oder bekommen niedrigere Priorität.

Incident Response: Der Plan, den niemand hat

Mein Lieblingsdetail aus der Incident-Response-Praxis: Der Plan existiert, aber niemand weiß, wo er liegt. Oder er ist veraltet. Oder er wurde nie geübt. Ein Ransomware-Angriff ist keine theoretische Situation, die man mit frischem Kopf analysiert. Er passiert um drei Uhr nachts, unter Hochdruck, mit übermüdeten Teams und einem Telefon, das nicht aufhört zu klingeln. Wer dann keinen geübten Plan hat, macht Fehler. Bezahlt Lösegeld. Löscht versehentlich Forensik-Spuren. Informiert die Behörden zu spät.

Tabletop-Übungen für Ransomware-Szenarien sind keine Spielerei, sondern das einzige Mittel, um zu prüfen, ob die Prozesse tatsächlich funktionieren. Wer ist im Krisenteam? Wer entscheidet über externe Kommunikation? Wer kontaktiert die Datenschutzbehörde? Wer sichert forensische Spuren, bevor die Wiederherstellung beginnt? Das muss vor dem Angriff klar sein.

Personal und Awareness: Die unterschätzte Angriffsfläche

Technik allein ist kein vollständiger Schutz. Der Einstieg in ein Kliniknetzwerk erfolgt in der überwältigenden Mehrzahl der Ransomware-Fälle über zwei Vektoren: kompromittierte Remote-Zugänge und Phishing-Mails. Beides ist zu einem erheblichen Teil ein menschliches Problem. Mitarbeitende in Kliniken – Pflegekräfte, Verwaltungsangestellte, medizinisches Personal – sind keine IT-Fachleute und wurden in vielen Fällen nie systematisch auf social-engineering-basierte Angriffe vorbereitet.

Eine realistische Praxis-Empfehlung: regelmäßige, kurze und rollenspezifische Awareness-Trainings, die keine stundenlangen E-Learning-Module sind, sondern konkrete Szenarien aus dem klinischen Alltag aufgreifen. Wie sieht eine Phishing-Mail aus, die vorgibt, vom KIS-Anbieter zu stammen? Was ist bei einer unerwarteten Passwortabfrage zu tun? Wer ist die erste Ansprechperson bei einem Verdacht? Diese Fragen müssen schnell und sicher beantwortet werden können – auch von jemandem, der gerade von einer Nachtschicht kommt.

Parallel dazu gehört Multi-Faktor-Authentifizierung für alle Remote-Zugänge zum absoluten Mindeststandard. VPN-Zugänge ohne MFA sind in der Klinik-IT noch immer anzutreffen und stellen eine der am einfachsten ausnutzbaren Schwachstellen dar. Angreifer kaufen gestohlene Zugangsdaten im Darknet für wenige Euro – wer dann keinen zweiten Faktor als Hürde eingezogen hat, hat faktisch eine offene Tür.

Lieferkette und Drittanbieter: Das Risiko hinter dem Risiko

Der Angriff vom Juni 2026 richtete sich gegen einen Dienstleister – also eine Organisation, die selbst als kritisches Glied in der Versorgungskette mehrerer Kliniken und Labore fungiert. Das ist kein Zufall. Supply-Chain-Angriffe gegen IT-Dienstleister im Gesundheitsbereich haben in den vergangenen Jahren erheblich zugenommen, weil ein einziger Treffer gleich Dutzende nachgelagerte Kunden trifft.

Für Kliniken bedeutet das: Das eigene Sicherheitsniveau reicht nicht aus, wenn Drittanbieter mit privilegiertem Zugang zur internen Infrastruktur unzureichend abgesichert sind. Vertragsklauseln zu Mindestsicherheitsanforderungen, regelmäßige Sicherheitsaudits bei kritischen Lieferanten und eine saubere Trennung der Zugriffspfade für externe Dienstleister sind keine Bürokratie, sondern notwendige Schutzmaßnahmen. Ransomware-Angriffe in Deutschland treffen zunehmend genau solche vernetzten Dienstleisterstrukturen, bei denen ein einzelner Einbruch kaskadenartig weitergegeben wird.

Wer als Klinik einen IT-Dienstleister mit Vollzugriff auf das KIS beauftragt, ohne dessen Sicherheitspraktiken zu kennen oder vertraglich zu regulieren, lagert de facto auch sein Risikomanagement aus – ohne das zu merken.

Die Lage: Entwarnung gibt es nicht

Ransomware-Statistiken, die auf öffentlichen Leak-Sites basieren, zeigen für Februar 2026 einen scheinbaren Rückgang. Das ist kein Anlass zur Beruhigung. Taktikwechsel der Gruppen – weniger öffentliche Leaks, mehr stille Erpressung, mehr zielgerichtete Angriffe gegen regulierte Branchen – erklären den Effekt besser als eine echte Entspannung der Lage. Der Gesundheitssektor bleibt das attraktivste Ziel: hoher Erpressungsdruck, wertvolle Patientendaten, häufig unzureichende IT-Schutzmaßnahmen und eine gesellschaftliche Funktion, die jeden Ausfall sofort politisch macht.

Der aktuelle Vorfall vom Juni 2026 ist ein weiterer Datenpunkt in einer Serie, die seit Jahren das gleiche Muster zeigt. Backup-Lücken. Segmentierungsdefizite. Double Extortion mit Gesundheitsdaten. DSGVO-Meldepflicht unter Zeitdruck. Und am Ende die Frage, ob das Lösegeld gezahlt wird – obwohl Behörden und Experten einhellig davon abraten und die Zahlung keine Garantie für Datenschutz oder funktionale Entschlüsselung bietet.

Was bleibt: Kliniken und Klinikdienstleister, die ihre Backup- und Segmentierungsstrategien noch nicht auf Ransomware-Resilienz ausgerichtet haben, spielen russisches Roulette. Die Frage ist nicht ob, sondern wann sie Ziel eines Angriffs werden – und ob sie dann in der Lage sind, ohne Lösegeld und ohne Patientendaten-Leak wieder online zu kommen. Haben Sie in Ihrem Haus oder Ihrer Organisation den letzten Restore-Test schon durchgeführt?