Foto: shutterstock
Cybersicherheit ist im Jahr 2025 ein allgegenwärtiges Thema. Ein Fallbeispiel aus der Praxis zeigt auf, was das für ein betroffenes Krankenhaus bedeutet - fernab jeder Theorie und Panikmache.
Cybersicherheit ist zu einer zentralen Voraussetzung für den Krankenhausbetrieb geworden. Angiffe auf digitale Infrastrukturen treffen nicht nur IT-Systeme, sondern beeinträchtigen unmittelbar die medizinische Versorgung und die organisatorische Handlungsfähigkeit. Was lange als hypothetisches Risiko galt, ist heute Teil des Alltags. Nach einer noch nicht veröffentlichten Studie von BDO und dem Deutschen Krankenhausinstitut (DKI) war bereits jedes fünfte Krankenhaus in Deutschland von Cyberkriminalität betroffen. Die Mehrheit der Einrichtungen erwartet, dass sich die Bedrohungslage in den kommenden Jahren weiter verschärfen wird.
Technische Schutzmaßnahmen wie Firewalls, Virenschutz und gesicherte Zugänge sind bei deutschen Krankenhäusern weit verbreitet. Organisatorisch bestehen jedoch Defizite: Nur wenige Häuser verfügen über eigene IT-Sicherheitsabteilungen, vielfach sind Stellen unbesetzt. Strategische Verantwortung und operative Umsetzung sind häufig getrennt, während Personal- und Budgetmangel eine durchgängige Sicherheitsarchitektur erschweren. Formale Compliance ersetzt keine Handlungsfähigkeit. Notfallübungen finden selten statt, Kommunikationsstrukturen sind kaum erprobt, und Backups oft nicht ausreichend isoliert. So bleibt die technische Abwehr vorhanden, die organisatorische Reaktionsfähigkeit jedoch begrenzt, besonders, wenn ganze Systemlandschaften ausfallen.
Zudem steigt die Abhängigkeit von externen Dienstleistern. Etwa die Hälfte der Krankenhäuser berichtet von Cybervorfällen bei Zulieferern oder Partnern. Damit reicht das Risiko weit über die eigene IT hinaus. Ein Angriff auf Labor- oder IT-Dienstleister kann denselben Effekt haben wie ein direkter Befall der Kliniksysteme.
Für das Krankenhausmanagement ergibt sich ein klares Bild: Die technische Basis ist oft recht solide, die organisatorische Widerstandsfähigkeit aber unzureichend. Cybersicherheit ist daher weniger eine Frage der IT als der Führung und Koordination.
Was aber bedeutet das konkret, was erwartet ein Krankenhaus, seine Mitarbeiterinnen und Mitarbeiter und die Verantwortlichen im Fall eines Falles?
Der Ernstfall
Das städtische Klinikum, das hier ungenannt bleiben soll, ist das führende Krankenhaus einer deutschen Mittelstadt. Als Haus der Maximalversorgung mit mehreren spezialisierten Zentren ist es als Betreiber Kritischer Infrastrukturen registriert und gilt in der Region als erste Adresse für medizinische Versorgung.
An einem gewöhnlichen Freitagnachmittag kam es dort zu einem abrupten IT-Ausfall. Innerhalb weniger Minuten versagten zentrale Systeme: Telefonie, E-Mail, das Krankenhausinformationssystem, Labor- und Radiologieanwendungen sowie die interne Kommunikation über Pager und Rufanlagen. Weder IT noch Klinikleitung konnten in der Kürze der Zeit den Umfang oder die Ursache des Problems feststellen. Was zunächst wie mehrere voneinander unabhängige Störungen wirkte, entwickelte sich rasch zu einem vollständigen Ausfall der digitalen Infrastruktur.
Die Verwaltung stand vor zentralen Fragen: Wie können laufende Behandlungen fortgesetzt werden, wenn digitale Befunde und Behandlungspläne fehlen? Kann die Notaufnahme geöffnet bleiben, oder muss sie sich abmelden? Welche analogen Strukturen sichern den Mindestbetrieb? Und vor Allem, was ist überhaupt los?
In der Krankenhauskrisenplanung stehen meist zwei Szenarien im Mittelpunkt: ein Massenanfall von Verletzten oder ein Mangel an Personal, Medikamenten oder Geräten. Ein vollständiger IT-Ausfall unterscheidet sich grundlegend davon denn er trifft nicht die Versorgungsebene, sondern die technische und kommunikative Basis, auf der alle Abläufe beruhen. Ohne funktionierende Systeme lässt sich weder das Ausmaß der Lage erfassen noch können Behandlungen sinnvoll durchgeführt werden.
Die Ursache des Ausfalls wurde rasch erkennbar. Auf einigen der verbliebenen Systeme fanden sich Kopien eines Erpressungsschreiben. Die Erpresser forderten eine hohe Zahlung in Kryptowährung und drohten, die Daten dauerhaft zu zerstören aber auch zu veröffentlichen. Parallel zeigte sich, dass auch die Sicherungssysteme betroffen waren. Sämtliche Backups waren verschlüsselt, sodass keine Wiederherstellung möglich war.
Was tun?
In den ersten Stunden nach dem Ausfall richtete sich die Aufmerksamkeit vollständig auf die IT. Ärztinnen, Pflegekräfte und Verwaltung gingen von einem rein technischen Problem aus, das entsprechend gelöst werden könne. Doch der Angriff hatte sich längst zu einer organisationsweiten Krise ausgeweitet. Erforderlich gewesen wäre ein zentraler Krisenstab mit breiter Beteiligung, doch gebildet wurde lediglich ein kleines Gremium aus Verwaltungsrat und IT-Leitung. Statt einer strukturierten Lagebewertung dominierte die Erwartung, der Betrieb müsse so schnell wie möglich wiederhergestellt werden. Die Chance, die Situation zunächst ganzheitlich zu erfassen und koordiniert zu steuern, blieb ungenutzt.
Die bestehenden Krisenpläne erwiesen sich als zu eng gefasst. Sie waren auf einzelne Störungen ausgelegt, nicht auf einen flächendeckenden Infrastrukturausfall. Krisenstäbe sollten so aufgebaut sein, dass sie technische, medizinische, pflegerische, administrative und kommunikative Perspektiven zusammenführen. Damit Entscheidungen nicht nur auf Technik, sondern auf Organisationsfähigkeit beruhen gehören regelmäßige Übungen, realistische IT-Ausfallszenarien und die Einbindung des Themas in das Business-Continuity-Management dazu.
Nach mehreren Stunden erfolgloser Wiederherstellungsversuche wurde deutlich, dass die Chancen einer technischen Entschlüsselung ohne Mitwirkung der Täter verschwindend gering waren. Mit dem Ziel, wieder schnell handlungsfähig zu sein entschloss sich die Klinikleitung das Lösegeld zu zahlen. Verhandlungen mit den Angreifern wurden ohne externe Unterstützung geführt. Am Ende stand die Zahlung einer hohen siebenstelligen Summe in Kryptowährung.
Die Zahlung ruft Fragen auf: Ist rechtlich geklärt, ob die Klinik Krankenhaus zahlen darf und drohen strafrechtliche Folgen für die Leitung? Deckt die Cyberversicherung den Vorfall und in welchem Umfang? Woher solle kurzfristig die Liquidität kommen und wie lässt sich die benötigte Kryptowährung rechtssicher beschaffen und transferieren, ohne neue Risiken zu schaffen? Hinzu kommt die grundsätzliche Unsicherheit gegenüber dem Täter: Ist dieser überhaupt gewillt und in der Lage, eine vollständige Entschlüsselung zu liefern? Und lässt sich sicherstellen, dass sensible Daten anschließend nicht doch veröffentlicht oder weitergegeben werden? (Die Antwort ist „nein“!) All diese Bedenken treten hinter der verlockenden Annahme zurück, mit Zahlung lasse sich der Betrieb sofort wiederherstellen.
In unserem Beispiel, dem städtischen Klinikum, meldeten sich die Angreifer kurz nach der Zahlung mit einer Entschlüsselungsanleitung und den passenden Schlüsseln. Die Daten ließen sich wiederherstellen, und zunächst schien die Entscheidung richtig gewesen zu sein. Doch bald zeigte sich, dass die vermeintliche Lösung nur eine neue Phase der Krise einleitete. Zwar waren viele Informationen wieder zugänglich, doch die Systeme waren instabil, inkonsistent oder inaktiv. Anwendungen stürzten regelmäßig ab, Datenbanken enthielten widersprüchliche Einträge. Diagnosen, Laborwerte und Medikationspläne wichen voneinander ab. Der Versuch, den Betrieb unmittelbar wieder aufzunehmen, führte zu weiteren Komplikationen.
Die Entschlüsselung bedeutet keine Rückkehr zum Normalbetrieb. Ohne abgestimmte Wiederanlaufprozesse entsteht ein Zustand zwischen Betrieb und Stillstand: Daten sind vorhanden, aber unzuverlässig, Systeme aktiv, aber unkoordiniert. Hier zeigt sich die Bedeutung eines funktionierenden Business-Continuity-Managements. Es zielt nicht nur auf Wiederherstellung, sondern auf Handlungsfähigkeit während und nach einer Störung. Dafür braucht es erprobte Wiederanlaufpläne, die alle Bereiche einbeziehen. Schulungen und Übungen schaffen das Bewusstsein, dass die Phase nach der Entschlüsselung oft schwieriger zu bewältigen ist als der Angriff selbst.
Wenn das erste Haus am Platz zum Stillstand kommt, bleibt das nicht unbemerkt. Binnen Stunden berichten lokale und überregionale Medien über den IT-Ausfall, in sozialen Netzwerken kursieren Gerüchte über Datenverluste, gefährdete Behandlungen und angebliche Versäumnisse. Der Pressesprecher ist selbst betroffen – ohne Zugriff auf E-Mail, Telefon und Verteiler kann er weder Presseanfragen beantworten noch Mitarbeiterinnen und Mitarbeiter informieren. In der Klinik wächst die Unruhe. Ärztinnen und Ärzte, Pflegekräfte und Verwaltung werden mit Fragen von Patientinnen und Patienten sowie Angehörigen konfrontiert, ohne über gesicherte Fakten zu verfügen. In den sozialen Medien gab es die verschiedensten Schuldzuweisungen (Die IT! Die Verwaltung!) und der öffentliche Druck nehmen spürbar zu.
Erfahrungen aus ähnlichen Vorfällen zeigen, dass fehlende oder widersprüchliche Informationen leicht eine zweite Krise auslösen. Kommunikation ist in solchen Situationen keine Begleitmaßnahme, sondern Teil der Gefahrenabwehr. Erforderlich sind vordefinierte Strukturen:
● eine zentrale Kommunikationsstelle mit klaren Freigabewegen
● abgestimmte Botschaften an Personal, Öffentlichkeit und Medien
● eine enge Koordination mit Behörden.
Zur Vorbereitung gehören ein Kommunikationshandbuch mit vorbereiteten und genehmigten Textbausteinen und regelmäßige Übungen, in denen Presseanfragen und interne Informationsketten unter realistischen Bedingungen erprobt werden. Ebenso wichtig ist, dass die Pressesprecherin oder der Pressesprecher auch im Notfall über verlässliche Kommunikationswege verfügt, um die Einrichtung nach innen und außen sprechfähig zu halten.
Der Wendepunkt für die angegriffene Klinik kam in dem Moment, als dem Krisenstab klar wurde, dass die Lage mit eigenen Mitteln nicht mehr beherrschbar war. Zwar liefen erste Systeme wieder, doch niemand konnte sagen, warum der Angriff erfolgreich gewesen war oder ob die Täter noch Zugriff hatten. Der vermeintliche Fortschritt entpuppte sich als trügerisch. Daraufhin beschloss die Klinik, spezialisierte Dienstleister für IT-Forensik, juristische Beratung und Krisenkommunikation hinzuzuziehen.
Erst mit diesem Schritt beginnt die systematische Aufarbeitung des Vorfalls. Ein vorbereiteter Pool externer Partner und klare Verfahren zu ihrer Beauftragung sind unverzichtbar. Ebenso wichtig ist die Haltung der Leitungsebene: nicht selbst reparieren, sondern mit externer Objektivität handeln. Nur so kann Vertrauen zurückgewonnen werden.
Ein Incident-Response-Team nahm die Arbeit auf. Die forensische Analyse zeigte, dass der Angriff deutlich komplexer gewesen war als zunächst angenommen. Neben den bekannten Systemen waren weitere Server betroffen, und es fanden sich Hinweise auf Datenabflüsse. Mehrere dieser Funde erwiesen sich als meldepflichtig nach Datenschutzrecht.
In der Vorbereitung auf vergleichbare Situationen sollte frühzeitig festgelegt werden, wie die Schnittstellen zu Aufsichtsbehörden, Versicherern und Rechtsvertretung im Krisenfall funktionieren. Die Erfahrung zeigt, dass gerade diese Koordination schnell zur größten organisatorischen Belastung werden kann. Hilfreich sind klare Zuständigkeiten und vorab definierte Kommunikationswege. Ebenso empfiehlt sich der Abschluss von Retainervereinbarungen mit qualifizierten Incident-Response-Dienstleistern, wie sie in der BSI-Liste geführt werden. Solche vertraglichen Regelungen sichern feste Ansprechpartner und garantierte Reaktionszeiten, wenn im Ernstfall jede Stunde zählt.
Kommunikation, die Fehlwahrnehmungen korrigiert und Vertrauen stabilisiert
Während die technische Aufklärung in unserem Fallbeispiel fortschritt, verlagerte sich ein Teil der Arbeit auf die öffentliche Wahrnehmung. Ein spezialisierter Dienstleister für Sentimentanalyse übernahm das Social-Media-Monitoring, das vom Incident-Response-Team empfohlen und in die laufende Krisenarbeit integriert wurde. So konnte in Echtzeit nachverfolgt werden, welche Fragen und Ängste die unterschiedlichen Betroffenen tatsächlich hatten. Falschinformationen konnten früh identifiziert werden (zum Beispiel Gerüchte über eine geschlossene Notaufnahme oder angeblich veröffentlichte Patientendaten) und deren Verbreitungskreise lokalisiert werden, sodass sie gezielt und sichtbar widerlegt wurden.
Eine solche Analyse zeigt, über welche Kanäle Patientinnen und Patienten, Angehörige aber auch Mitarbeiterinnen und Mitarbeiter ihre Informationen beziehen. Häufig sind dies soziale Medien und Messenger-Dienste, nicht die offiziellen Webseiten. Sie macht zudem sichtbar, welche Personen oder Gruppen als glaubwürdige Stimmen wahrgenommen werden und wie ihre Beiträge gezielt in die Kommunikationsstrategie eingebunden werden können. Auch strukturelle Lücken, etwa fehlende Informationen in weiteren Sprachen oder für bestimmte Zielgruppen, treten deutlich hervor und können zeitnah behoben werden. Insgesamt stärkt die Sentimentanalyse die Fähigkeit einer Einrichtung, Stimmungen zu verstehen, Fehlwahrnehmungen zu korrigieren und Vertrauen zu stabilisieren.
Nach Abschluss der forensischen Arbeiten begann für die betroffene Klinik eine Phase des geordneten Wiederaufbaus. Der unmittelbare Druck war gewichen, die Systeme wurden schrittweise neu aufgesetzt und überprüft. Ziel war ein technischer und organisatorischer Neuanfang.
In der Phase nach einem Vorfall sollte der Wiederaufbau nicht als Rückkehr zum alten Zustand verstanden werden, sondern als bewusster Neuanfang. Sie bietet die Chance, gewachsene Strukturen kritisch zu prüfen und dauerhaft zu verbessern. Dazu gehören eine Überarbeitung der Netzwerkarchitektur, klare Berechtigungskonzepte, überprüfte Backupstrategien sowie gezielte Schulungen und Awareness-Programme für alle Mitarbeitenden.
Nachbereitung als zentraler Teil der Krisenbewältigung
Mit dem Ende der akuten Krise begann die eigentliche Aufarbeitung des Vorfalls. Erst jetzt wurde deutlich, welche Entscheidungen tragfähig waren und wo Strukturen versagt hatten. Diese Nachbereitung ist kein formaler Abschluss, sondern ein zentraler Teil der Krisenbewältigung. Sie entscheidet darüber, ob eine Organisation aus einem Vorfall lernt oder denselben Weg im nächsten Ereignis erneut beschreitet.
Für die Klinik bedeutet dies, Abläufe, Kommunikationswege und technische Maßnahmen systematisch zu überprüfen: Was hat funktioniert, was nicht? Welche Prozesse müssen dauerhaft angepasst, welche Zuständigkeiten klarer definiert werden? Die Ergebnisse gehören dokumentiert – sowohl für die interne Governance als auch für externe Aufsichtsstellen.
Die gewonnenen Erkenntnisse sollten anschließend in bestehende Strukturen einfließen: in das Business-Continuity-Management, die IT-Sicherheitsstrategie, das Krisenhandbuch und die Kommunikationsplanung. Nur durch diese Integration entsteht institutionelles Lernen. Ohne sie bleibt jede Reaktion punktuell und damit unvollständig.
Der geschilderte, anonymisierte und leicht verfremdete, Fall zeigt deutlich, dass auch eine große Klinik in einer solchen Lage ohne externe Unterstützung schnell an ihre Grenzen stößt. Technische Expertise, juristische Begleitung und professionelle Kommunikationshilfe sind kein „Nice-to-have“, sondern Voraussetzungen für die Wiederherstellung der Handlungsfähigkeit. Wer in einer Krise allein bleibt, verliert wertvolle Zeit und Handlungsspielraum. Daher sollte jede Klinik, jedes Krankenhaus und jede Pflegeeinrichtung prüfen, welche internen Strukturen bestehen und wo gezielt Hilfe von außen eingebunden werden muss.
Fünf-Punkte-Plan: Orientierungsrahmen für den Aufbau einer belastbaren Sicherheits- und Krisenorganisation
Ein ISMS schafft den strukturierten Rahmen für Risikoanalysen, Verantwortlichkeiten und Prozesse. Es bindet klinische, administrative und technische Bereiche gleichermaßen ein und sorgt für nachvollziehbare Entscheidungen und priorisierte Maßnahmen. Damit wird nicht nur die Einhaltung regulatorischer Vorgaben nach BSI oder NIS-2 gewährleistet, sondern auch die Grundlage für institutionelle Handlungsfähigkeit im Krisenfall geschaffen.
Ein wirksames Sicherheitsmonitoring ist Grundlage jeder Cyberresilienz. Ein SIEM-System bündelt und korreliert sicherheitsrelevante Ereignisse, ein SOC bewertet sie kontinuierlich und leitet bei Bedarf Maßnahmen ein. Wo keine eigene Sicherheitsabteilung besteht, kann MDR als externe Dienstleistung Überwachung, Analyse und Reaktion kombinieren. Diese Strukturen schaffen Transparenz, verkürzen Reaktionszeiten und sichern eine durchgängige Erkennung und Abwehr von Angriffen.
Ein Retainervertrag mit qualifizierten Spezialisten stellt sicher, dass im Ernstfall sofort erfahrene Fachkräfte verfügbar sind. Dadurch verkürzen sich Reaktionszeiten, die forensische Qualität steigt, und Schnittstellen zu Behörden oder Versicherern sind bereits abgestimmt. Diese vertragliche Vorbereitung verhindert Improvisation in der Krise und ermöglicht eine sachgerechte und rechtssichere Aufarbeitung.
BCM sichert die Fortführung kritischer Abläufe bei IT-Ausfällen. Es definiert Ersatzprozesse, Kommunikationswege und Wiederanlaufpläne, die regelmäßig geübt und an neue Gegebenheiten angepasst werden müssen. Ein funktionierendes BCM verbindet IT, Verwaltung und Klinikbetrieb und stellt sicher, dass die Organisation auch unter widrigen Bedingungen handlungsfähig bleibt – nicht nur technisch, sondern operativ.
Nachhaltige Cybersicherheit entsteht erst, wenn strategische Führung, IT und Klinik als Einheit agieren. Gemeinsame Gremien, abgestimmte Entscheidungswege und eine Sicherheitskultur, die über reine Pflichterfüllung hinausgeht, schaffen Vertrauen und Stabilität. Die Integration von ISMS, SOC, Retainer und BCM zu einem kohärenten Modell bildet das Fundament einer belastbaren organisatorischen Resilienz.
Wer diese Elemente kombiniert, schafft nicht nur Schutz, sondern auch Orientierung. Die technische Sicherheit bleibt notwendig, reicht allein aber nicht aus, denn entscheidend ist die Fähigkeit, im Notfall geordnet zu handeln.
Anschrift der Verfasser
Prof. Dr. Alexander Schinner, Partner – Incident Response, Strategy & Governance/Tobias Kasch, Senior Manager, Cyber Incident Response, BDO Cyber Security GmbH, 01099 Dresden