Partner Login
Security Awarness background

Wie die EU die Cybersicherheit im Gesundheitswesen verbessern will

Author: Sherry Jones / 09.04.2025 /
Home » Blog » Wie die EU die Cybersicherheit im Gesundheitswesen verbessern will

Die Europäische Kommission (EK) bittet die Sicherheit des Gesundheitswesens in die Notaufnahme.

Angesichts der alarmierenden Zunahme von Cyber-Angriffen auf Anbieter und Lieferanten im Gesundheitswesen hat die Europäische Kommission, eine Institution der Europäischen Union (EU), die Gesetze vorschlägt und die EU-Politik verwaltet, kürzlich einen einzigartigen Aktionsplan vorgestellt, der Krankenhäusern, Kliniken und anderen Unternehmen in diesem Sektor helfen soll, Cyber-Bedrohungen vorzubeugen, sie zu erkennen und darauf zu reagieren.

Der EU-Aktionsplan zum Schutz des Gesundheitswesens vor Cyberangriffen fordert unter anderem die Einrichtung eines paneuropäischen Unterstützungszentrums für Cybersicherheit, finanzielle Unterstützung für Krankenhäuser und koordinierte Strategien zur Reaktion auf Vorfälle.

„Vorsicht ist besser als Nachsicht, deshalb müssen wir Cyberangriffe verhindern“, sagte Henna Virkkunen, Vizepräsidentin der Europäischen Kommission und zuständig für technologische Souveränität, Sicherheit und Demokratie, bei der Ankündigung des Aktionsplans. „Aber wenn es doch dazu kommt, müssen wir alles in unserer Macht Stehende tun, um sie zu erkennen, schnell zu reagieren und die Schäden zu beheben.

Ein andauerndes Problem

In der gesamten westlichen Welt ist man sich seit Jahren der Notwendigkeit bewusst, sich mit den wachsenden Cyber-Bedrohungen für medizinische Systeme auseinanderzusetzen. Wenn ein Cyberangriff die Versorgung unterbricht, sind Menschenleben in Gefahr und Patienten riskieren die Offenlegung ihrer persönlichsten Daten.

„Fragen von Leben und Tod“ und eine ernsthafte Bedrohung für die internationale Sicherheit – so charakterisierte der Chef der UN-Gesundheitsorganisation in einer Rede vor dem UN-Sicherheitsrat im vergangenen Herbst die Cyber-Herausforderung im Gesundheitswesen.

Die Zahl der Cybervorfälle im Gesundheitswesen hat sich 2023 im Vergleich zum Vorjahr weltweit fast vervierfacht, wie das European Repository of Cyber Incidents herausgefunden hat. Im Jahr 2023 meldeten die EU-Mitgliedstaaten 309 schwerwiegende Cybersicherheitsvorfälle, die den Gesundheitssektor betrafen – mehr als in jedem anderen kritischen Sektor.

Feindlich gesinnte Staaten greifen täglich Gesundheitsdienstleister an, wie eine Aussage vor einem Unterausschuss des US-Repräsentantenhauses nach dem verheerenden Angriff auf Change Healthcare im Jahr 2024 zeigt.

„Wir haben keine Zeit zu verlieren“, sagte Luigi Rebuffi, Generalsekretär der Europäischen Organisation für Cybersicherheit, in einer Erklärung zur Unterstützung des EU-Aktionsplans für das Gesundheitswesen.

Cyber-Bedrohungen im Gesundheitswesen

Ransomware „besonders störend“

Insbesondere Ransomware richtet im Gesundheitswesen großen Schaden an, so der Aktionsplan: „Ransomware-Angriffe können sich besonders störend auf die Erbringung von Gesundheitsdienstleistungen auswirken und die Patientensicherheit gefährden“.

Die Liste der durch diese Angriffe verursachten schädlichen Auswirkungen ist lang und umfasst

  • Verzögerungen bei medizinischen Verfahren,
  • Überlastung der Notaufnahmen
  • und schädliche oder sogar lebensbedrohliche Unterbrechungen der Dienste.

Je stärker der Sektor digitalisiert wird, desto mehr Möglichkeiten haben Angreifer, in den Sektor einzudringen. Das Gesundheitswesen stützt sich zunehmend auf digitale Technologien wie elektronische Patientenakten (EPA), Telemedizin und KI-Diagnostik.

Mehr als drei Viertel der EU-Bürger werden laut dem Bericht über den Stand des digitalen Jahrzehnts 2024 im Durchschnitt online auf ihre elektronischen Patientenakten zugreifen können.

Weitere Technologien für das digitale Gesundheitswesen sind

  • klinische Informationssysteme,
  • Workflow-Systeme für Krankenhäuser,
  • Kostenerstattungssysteme für Behandlungen,
  • medizinische Bildgebung,
  • Diagnosegeräte,
  • und Geräte zur Patientenüberwachung.

Intensivpflege, radiologische Bildgebung, Onkologie, Kardiologie und andere spezialisierte Dienste sind in hohem Maße von digitalen Geräten abhängig und daher besonders anfällig für Cyberangriffe, heißt es im Europäischen Aktionsplan. Auch die Sicherheit der Lieferkette im Gesundheitswesen ist ein Problem.

Eine rasch eskalierende Bedrohung

Das Jahr 2023 war in der Tat ein Meilenstein für Datenschutzverletzungen im Gesundheitswesen: Bei 725 gemeldeten Verstößen wurden laut HIPAA Journal mehr als 133 Millionen Datensätze offengelegt oder weitergegeben. Im Jahr 2024 haben diese Verstöße in Umfang und Ausmaß noch zugenommen.

What the Change Healthcare Cyber Attack Means for the US Healthcare Industry

Hier einige der größten Angriffe auf den Gesundheitssektor in 2024:

  • Ransomware-Angriff auf Change Healthcare. Im Februar 2024 wurde Change Healthcare, eine Tochtergesellschaft des US-amerikanischen Krankenversicherers UnitedHealth, Opfer eines massiven Ransomware-Angriffs, der die persönlichen, finanziellen und gesundheitsbezogenen Daten von rund 100 Millionen Amerikanern kompromittierte – der größte Angriff auf geschützte Gesundheitsdaten in der Geschichte. Der Angriff legte die Bearbeitung medizinischer Anträge und Zahlungen für mehr als einen Monat lahm.
  • National Public Data (NPD)-Datenschutzskandal. Mit bis zu 2,9 Milliarden Datensätzen, von denen 170 Millionen Menschen betroffen waren, war diese Datenpanne Anfang 2024 eine der größten der Geschichte. Zu den kompromittierten Daten gehörten vollständige Namen, Sozialversicherungsnummern, Postadressen, E-Mail-Adressen und Telefonnummern. Die Sicherheitsverletzung ereignete sich, als sich ein böswilliger Akteur im Dezember 2023 Zugang zu den Systemen des Unternehmens verschaffte. Die Daten wurden zwischen April und Sommer 2024 im Dark Web veröffentlicht.
  • Das Bluttestunternehmen Synnovis wurde von der russischen Ransomware-Crew Qilin angegriffen. Die Auswirkungen auf Krankenhäuser und die Patientenversorgung im Vereinigten Königreich waren verheerend: Mehr als 1000 Operationen und Termine wurden verschoben, und fast 400 GB an privaten Daten gelangten ins Darknet.
Lesen Sie mehr über die größten Cybersicherheitsbedrohungen im Gesundheitswesen

Der EU-Aktionsplan für Cybersicherheit im Detail

Der EU-Aktionsplan für Cybersicherheit im Gesundheitswesen enthält unter anderem folgende Bestimmungen:

  • Leitlinien für Prävention, Sensibilisierung und Ressourcen. Der Plan enthält Vorschläge für Leitlinien zu Cybersicherheitspraktiken und deren Umsetzung, Gutscheine für Cybersicherheit zur finanziellen Unterstützung kleiner und mittelgroßer Krankenhäuser und Gesundheitsdienstleister sowie Ressourcen zur Sensibilisierung von Gesundheitsfachkräften – an denen es Studien zufolge derzeit mangelt.
  • Erkennung und Identifizierung von Bedrohungen. Der Plan sieht einen EU-weiten Frühwarndienst für Cyberbedrohungen vor, ein Projekt für das Cybersicherheits-Unterstützungszentrum für Krankenhäuser und Gesundheitsdienstleister, das bis 2026 abgeschlossen sein soll.
  • Schnelle Reaktion. Die Cybersicherheitsreserve der EU, die Reaktionsdienste von privaten Anbietern bereitstellt, soll auf Gesundheitsdienstleister ausgeweitet werden.

    Nationale Cybersicherheitsübungen und Playbooks würden Gesundheitsorganisationen anleiten, wie sie schnell auf Bedrohungen wie Ransomware und Cyberangriffe reagieren können, um den Schaden zu begrenzen.

    Die Kommission schlägt vor, dass die Mitgliedstaaten eine Meldepflicht für Lösegeldzahlungen einführen, um Unterstützung leisten zu können und die Strafverfolgung zu erleichtern.
  • Abschreckung. Um Angriffe von Cyber-Bedrohungsakteuren abzuschrecken, fordert der Aktionsplan den Einsatz der Cyber-Diplomatie-Toolbox, einer gemeinsamen diplomatischen Reaktion der EU, die internationale Zusammenarbeit und diplomatische Maßnahmen einsetzt, um bösartige Cyber-Aktivitäten, einschließlich Angriffe von Nationalstaaten, zu verhindern. 

Der Aktionsplan und bestehende EU-Verordnungen 

Aktionsplan weicht nicht wesentlich von den bestehenden EU-Richtlinien ab, sondern baut auf ihnen auf. Es handelt sich um eine zusätzliche Ebene, die darauf abzielt, die Sicherheit speziell in der stark betroffenen Medizinbranche zu verbessern. 

  • Der Gesundheitssektor ist bereits in der NIS2-Richtlinie der EU als „hochsensibler“ Sektor aufgeführt, der von jedem Mitgliedstaat die Verabschiedung einer nationalen Cybersicherheitsstrategie verlangt.
  • Der NIS2-Rahmen für Cybersicherheit geht Hand in Hand mit dem Cyber Resilience Act, der ersten EU- Gesetzegebung, die vorschreibt, dass alle Produkte mit digitalen Komponenten, einschließlich medizinischer Diagnose-, Behandlungs- und Überwachungsgeräte, mit einem eingebauten Cyberschutz ausgestattet sein müssen.
  • Die Kommission hat auch einen Cyber-Notfallmechanismus im Rahmen des EU-Rechtsakts zur Cybersolidarität eingerichtet, der die Solidarität und die koordinierten Maßnahmen der EU stärkt, um die zunehmenden Bedrohungen und Vorfälle im Bereich der Cyber-Sicherheit zu erkennen, sich darauf vorzubereiten und wirksam darauf zu reagieren.

Zusammen mit dem Aktionsplan sollen diese Mandate die Belastbarkeit und Sicherheit der digitalen Gesundheitsinfrastruktur vor dem Hintergrund der Einführung des Europäischen Raums für Gesundheitsdaten (EHDS) erhöhen, der am 26. März in Kraft getreten ist und den EU-Bürgern die Kontrolle über ihre Gesundheitsdaten gibt.

Was das alles für Krankenhäuser und Patienten bedeutet 

Der EU-Aktionsplan für Cybersicherheit im Gesundheitswesen macht deutlich, dass der Gesundheitssektor Unterstützung benötigt, um seine Geräte und Daten vor unerbittlichen und eskalierenden Cyberangriffen zu schützen. Der Aktionsplan fordert proaktive Maßnahmen zur Verbesserung der Cybersicherheit, von der Erkennung über die Prävention bis hin zur schnellen Reaktion.

Maßnahmen zu ergreifen, bevor Bedrohungen entstehen, ist der beste Weg, um die Daten, die Gesundheit und sogar das Leben Ihrer Patienten zu schützen. Wie die Anhörung über den Angriff auf Change Healthcare am 16. Mai gezeigt hat, steigt die Sterblichkeitsrate bei fast einem Viertel der Unternehmen nach einem Cyberangriff.

Vor allem Schulungen zur Sensibilisierung für Sicherheitsfragen können diese Risiken verringern. Mehrere Studien empfehlen die Einführung einer Sicherheitskultur in Gesundheitseinrichtungen, einschließlich umfassender Programme zur Sensibilisierung des Personals für Cybersicherheit.

„Mitarbeiterschulungen spielen eine wichtige Rolle bei der Verbesserung der Cybersicherheit“, heißt es in einem Bericht des US-amerikanischen National Center for Biotechnology Information.

IDie Einführung von Cybersicherheitsmaßnahmen bei der Einarbeitung und Schulung neuer Mitarbeiter ist laut dem Bericht unerlässlich und sollte Themen wie den Umgang mit persönlichen Gesundheitsdaten, die Sicherheit von E-Mail-Systemen und sicheres Surfen im Internet umfassen. 

Wo Sie Schulungen zum Thema CyberSicherheit finden

Es ist jedoch leichter gesagt als getan, Cyber-Awareness-Schulungen für alle Mitarbeiter einzuführen. Die Suche nach dem benötigten Material kann mühsam sein – und woher wissen Sie, dass Sie die für Ihre Branche oder Einrichtung relevanten Grundlagen abdecken? Außerdem müssen Sie die Schulung präsentieren und nachbereiten, um sicherzustellen, dass alle Mitarbeiter sie gut genug verstanden haben, um sich bei der Arbeit sicher zu verhalten.

Der Security Awareness Service von Hornetsecurity hilft Organisationen im Gesundheitswesen jeder Art und Größe, ihre Cyber-Abwehr zu stärken, indem Mitarbeiter darin geschult werden, Cyber-Bedrohungen zu erkennen und darauf zu reagieren.

Unser umfassendes Schulungsprogramm kann dabei eine wichtige Rolle spielen:

  • Ihr Krankenhaus vor Ransomware und Phishing-Angriffen zu schützen,
  • die Einhaltung der EU-Vorschriften zur Cybersicherheit zu gewährleisten
  • und menschliches Versagen – die Hauptursache für Cybervorfälle – zu reduzieren.
Security Awareness Service icon

Seien Sie Cyber-Bedrohungen im Gesundheitswesen immer einen Schritt voraus

Cyberkriminelle haben es zunehmend auf Krankenhäuser abgesehen und setzen sensible Patientendaten und sogar Menschenleben aufs Spiel. Der neue EU-Aktionsplan für Cybersicherheit im Gesundheitswesen ist ein Schritt nach vorn, aber Krankenhäuser müssen auch proaktive Maßnahmen zur Sicherung ihrer Systeme ergreifen. 

Der Security Awareness Service von Hornetsecurity ist ein einfacher und effektiver Weg, um Mitarbeiter, Ihre erste Verteidigungslinie, in sicheren Verfahren zu schulen. Vereinbaren Sie noch heute einen Termin für eine Demo und schützen Sie Ihr Unternehmen im Gesundheitswesen. 

Dies könnte Sie auch interessieren