Überblick und Berichtszeitraum
Im April 2026 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen aktuellen Lagebericht zur Cybersicherheit im Gesundheitswesen veröffentlicht. Die Broschüre „Cybersicherheit im Gesundheitswesen 2025″ beleuchtet die Bedrohungslage für den Zeitraum vom 1. Oktober 2024 bis 30. September 2025.
Erstmals wurden in diesem Bericht auch Erkenntnisse zur Sicherheit digitaler Pflegedokumentationssysteme aufgenommen. Der Bericht liefert sowohl ein aktuelles Lagebild als auch wichtige Handlungshinweise für Pflegeeinrichtungen, Arztpraxen und weitere Leistungserbringer.
Zentrale Zahlen: 138 dokumentierte Sicherheitsvorfälle
Für den Berichtszeitraum hat das BSI insgesamt 138 sicherheitsrelevante Vorfälle mit Bezug zum Gesundheitswesen dokumentiert. Das BSI weist ausdrücklich darauf hin, dass die tatsächliche Zahl höher liegen dürfte, da viele Einrichtungen bislang nicht meldepflichtig sind.
Ein Vorfall gilt als relevanter Lagebeitrag, wenn mindestens eines dieser Kriterien erfüllt ist:
- Eine wichtige Einrichtung des deutschen Gesundheitswesens war betroffen
- Gesundheitsdaten aus Deutschland wurden bedroht
- Ein ausländisches Ereignis hatte mögliche Auswirkungen auf deutsche Interessen
Verteilung der Vorfälle auf vier Betroffenenkategorien
| Kategorie | Anzahl Vorfälle | Entwicklung zum Vorjahr |
|---|---|---|
| Telematikinfrastruktur | 62 Vorfälle | Deutlicher Zuwachs (Vorjahr: 28) |
| Leistungserbringer | 43 Vorfälle | Stabil (Vorjahr: 48) |
| Hersteller und Produkte | 23 Vorfälle | Rückgang (methodisch bedingt) |
| Sonstige | 10 Vorfälle | — |
Telematikinfrastruktur (62 Vorfälle)
Mit Abstand die größte Kategorie. Der Anstieg wird vor allem auf die intensivere Nutzung digitaler Anwendungen wie E-Rezept und elektronische Patientenakte zurückgeführt.
Leistungserbringer (43 Vorfälle)
Dazu zählen Krankenhäuser, Arztpraxen, Pflegeeinrichtungen und Apotheken. Das Niveau blieb gegenüber dem Vorjahr weitgehend stabil.
Hersteller und Produkte (23 Vorfälle)
Betroffen sind etwa Medizinprodukte, Krankenhausinformationssysteme und Praxisverwaltungssysteme. Der Rückgang ist laut BSI vor allem methodisch bedingt.
Die Dunkelziffer: Warum die offiziellen Zahlen nur Teil der Realität zeigen
Ein zentraler Hinweis des BSI: Für viele Leistungserbringer außerhalb klassischer KRITIS-Strukturen (Kritische Infrastrukturen) besteht bislang keine gesetzliche Meldepflicht für IT-Sicherheitsvorfälle. Das betrifft einen großen Teil der Pflegeeinrichtungen, Arztpraxen und ambulanten Dienste.
Die offizielle Statistik zeigt deshalb nur einen Teil der tatsächlichen Bedrohungslage. Das BSI geht ausdrücklich von einer erheblichen Dunkelziffer aus.
Leistungserbringer im Fokus: 43 Vorfälle in 12 Monaten
Unter der Kategorie „Leistungserbringer” fasst das BSI zahlreiche Einrichtungen zusammen: Krankenhäuser, ärztliche Praxen, Pflegeeinrichtungen, Apotheken und weitere Akteure des Gesundheitswesens. Mit 43 erfassten Vorfällen innerhalb von zwölf Monaten (im Schnitt fast vier pro Monat) ist diese Gruppe dauerhaft unter Angriffsdruck.
Wichtige Erkenntnis des BSI:
Das BSI beschreibt Arztpraxen und andere Versorgungseinrichtungen nicht nur als direkte Angriffsziele, sondern auch als mögliche Zwischenstationen in größeren Angriffsketten. Wird eine Praxis oder Pflegeeinrichtung kompromittiert, kann sie als Zugang zu weiterführenden Systemen dienen – etwa zu Krankenhäusern, Krankenkassen oder Komponenten der Telematikinfrastruktur.
Typische Angriffsszenarien im ambulanten Umfeld:
- Ransomware-Angriffe: Daten werden verschlüsselt und Arbeitsabläufe blockiert
- Diebstahl sensibler Gesundheitsdaten: Diese haben für Angreifer einen hohen wirtschaftlichen Wert
- Angriffe über Lieferketten und verbundene Systeme: Kleinere Einrichtungen werden als Einfallstor missbraucht
DiPS 2025: Erste Studie zur Sicherheit digitaler Pflegedokumentationssysteme
Interessant ist für manche vielleicht auch, die erstmalige Einordnung der Studie DiPS 2025. Dahinter verbirgt sich eine gezielte Untersuchung zur Sicherheit digitaler Pflegedokumentationssysteme. Die Studie ergänzt frühere BSI-Projekte wie CyberPraxMed, SiRiPrax, SiKIS und SiPra, welche hier grafisch dargestellt werden.
Kernergebnis der Studie:
Das BSI hat nicht nur die Betriebsumgebung betrachtet, sondern ausdrücklich auch die Sicherheitseigenschaften der eingesetzten Softwareprodukte selbst. Entscheidend war die Frage, ob diese Produkte ein sicheres Betriebsumfeld unterstützen oder bestehende Schutzmaßnahmen eher schwächen.[
Das BSI formuliert das Prinzip so:
„Erst wenn die Betriebsumgebung sicher ist, können auch die einzelnen Produkte sicher betrieben werden. Zudem müssen diese unterschiedlichen Produkte ihrerseits die Sicherheit erhöhen und dürfen keinesfalls etablierte Sicherheitsmaßnahmen untergraben.”
Praktische Bedeutung für Pflegeeinrichtungen:
Die Sicherheit von Lösungen zur digitalen Pflegedokumentation hängt nicht allein von den Funktionen der Software ab. Ebenso wichtig ist, ob die Umgebung technisch sauber abgesichert ist. Ohne ein sicheres Netzwerk, klar geregelte Zugriffe und konsequentes Patch-Management können auch gute Sicherheitsfunktionen der Anwendung ihre Wirkung nicht voll entfalten.
Vernetzte Medizinprodukte: Zunehmendes Sicherheitsrisiko
Der Bericht widmet sich ausführlich der Cyberresilienz vernetzter Medizinprodukte. Das betrifft Einrichtungen, die bereits heute mit intelligenten Pflegebetten, Notrufsystemen, Monitoren oder anderen vernetzten Geräten arbeiten.
BSI-Feststellung:
Technische Schwachstellen solcher Produkte unterscheiden sich grundsätzlich nicht von Schwachstellen in anderen Branchen. Kritisch ist jedoch die Tragweite möglicher Folgen: Im Gesundheitswesen können Sicherheitsprobleme unmittelbar die Versorgung und damit auch die Sicherheit von Menschen beeinträchtigen.
BSI-Handlungsempfehlung für Hersteller:
Das BSI hat eine „Handlungsempfehlung für Hersteller vernetzter Medizinprodukte” veröffentlicht. Im Mittelpunkt steht die Forderung, dass Security by Design und Security by Default von Anfang an Teil der Produktentwicklung sein müssen.[
Für Betreiber (Pflegeeinrichtungen und Krankenhäuser):
- Beim Einkauf vernetzter Geräte gezielt nach diesen Sicherheitsprinzipien fragen
- Viele vernetzte Geräte unterstützen keine klassischen Endpoint-Agents
- Besonders wirksam ist die Kombination aus Netzwerksegmentierung und Network Detection and Response (NDR), um auffällige Kommunikation und Anomalien frühzeitig sichtbar zu machen
NIS-2 und das Dunkelfeld der ambulanten Versorgung
Der Lagebericht zeigt, wie begrenzt das Lagebild für die ambulante Versorgung derzeit noch ist. Viele Arztpraxen, Pflegedienste und Pflegeheime fallen aktuell weder unter die KRITIS-Regulierung noch unter bestehende Meldepflichten. Entsprechend wenige strukturierte Informationen zu IT-Sicherheitsvorfällen gelangen aus diesem Bereich an das BSI.
NIS2UmsuCG (verabschiedet am 13. November 2025):
Mit diesem Gesetz rechnet das BSI mittelfristig mit einer besseren Datenbasis. Dennoch bleibt ein großer Teil der ambulanten Versorgung zunächst ein Bereich mit eingeschränkter Transparenz.
Praktische Bedeutung:
- Für die meisten Pflegeheime und ambulanten Pflegedienste gilt NIS-2 nicht automatisch
- Unabhängig davon gelten bestehende Anforderungen aus der DSGVO, insbesondere Artikel 32: Wer Gesundheitsdaten verarbeitet, muss angemessene technische und organisatorische Maßnahmen nach dem Stand der Technik umsetzen
- Bei größeren Trägern sowie Einrichtungen mit besonderen Versorgungsformen (z. B. außerklinische Intensivpflege) sollte eine individuelle Prüfung der Betroffenheit erfolgen
Fünf priorisierte Maßnahmen aus dem BSI-Bericht
Der BSI-Bericht nennt keine konkreten Produkte, beschreibt aber sehr deutlich, welche Schutzebenen im Gesundheitswesen heute unverzichtbar sind:
1. Die Betriebsumgebung zuerst absichern
Sichere Software only funktioniert in einer ausreichend geschützten Umgebung. Für Einrichtungen im Gesundheitswesen bedeutet das vor allem: Netzwerke sauber segmentieren.[aphos]
2. Typische Einfallstore gezielt absichern
Viele Angriffe beginnen mit kompromittierten Endgeräten oder E-Mails. Dazu gehören:
- Belastbarer Endpoint-Schutz
- E-Mail-Sicherheit
- Klare Benutzerrechte
- Sauberes Update-Management
3. Vernetzte Geräte über das Netzwerk absichern
Bei Medizin- und Pflegegeräten scheiden klassische Endpoint-Lösungen oft aus. Transparenz und Überwachung auf Netzwerkebene werden besonders wichtig.
4. Kontinuierliche Überwachung etablieren
Die Bedrohungslage bleibt laut BSI angespannt. Sicherheitslücken entstehen oft genau dann, wenn keine aktive Überwachung stattfindet. Managed Detection and Response (MDR) mit 24/7-Überwachung durch ein externes SOC ist besonders für kleinere und mittlere Einrichtungen sinnvoll.
5. Betroffenheit und Schwachstellen systematisch prüfen
Regelmäßige Überprüfung der eigenen Ausgangslage, einschließlich:
- Regulatorische Betroffenheit (NIS-2, DSGVO)
- Öffentlich erreichbare Systeme
- Vorhandene Schwachstellen
- Organisatorische Defizite
Fazit der Broschüre
Die BSI-Broschüre zur Cybersicherheit im Gesundheitswesen 2025 zeigt:
| Kernaussage | Beschreibung |
|---|---|
| Digitalisierung bringt Chancen und Risiken | Die Digitalisierung des Gesundheitswesens bringt große Chancen, erhöht aber zugleich die Abhängigkeit von stabiler und sicherer IT |
| Verfügbarkeit wird zentraler Sicherheitsfaktor | Besonders die Verfügbarkeit digitaler Anwendungen wird zu einem zentralen Sicherheitsfaktor |
| Dauerhafter Angriffsdruck | Der Gesundheitssektor steht dauerhaft unter Druck, während insbesondere der ambulante Bereich in den offiziellen Daten noch immer unterrepräsentiert ist |
| Handlungsauftrag für alle Einrichtungen | Sicherheitsmaßnahmen sollten nicht erst nach einem Vorfall auf die Agenda rücken. Wichtiger ist ein strukturiertes Vorgehen, das technische Schutzmaßnahmen, organisatorische Prozesse und regulatorische Anforderungen zusammendenkt |
| Cybersicherheit ist Teil der Versorgungsstabilität | Wer die Entwicklung im Gesundheitswesen realistisch bewertet, kommt kaum an der Erkenntnis vorbei, dass Cybersicherheit inzwischen ein Teil der Versorgungsstabilität ist |
