IT-Sicherheit & Compliance im Healthcare-Sektor: Standards, Gesetze, Best Practices

Die Digitalisierung im Gesundheitswesen bringt enorme Chancen für eine effizientere Versorgung und eine bessere Vernetzung von Einrichtungen mit sich – gleichzeitig steigen jedoch die Anforderungen an den Schutz sensibler Patientendaten und kritischer IT-Infrastrukturen.

In den vergangenen Jahren hat die Zahl der Cyberangriffe auf Kliniken, Arztpraxen und IT-Dienstleister im Gesundheitssektor deutlich zugenommen. Ransomware-Attacken, Datenlecks und gezielte Angriffe auf vernetzte Medizingeräte zeigen, wie verletzlich dieser Bereich ist – mit potenziell gravierenden Folgen für die Versorgungssicherheit.

Dieser Beitrag basiert auf den Inhalten des Vortrags von Tobias Mielke im Rahmen der Veranstaltung „Cyber Security im Gesundheitssektor – Wie Sie Patientendaten und IT-Infrastrukturen effektiv schützen“ auf gesundheit.digital.forum. Er gibt einen kompakten Überblick zu den wichtigsten gesetzlichen Anforderungen, etablierten Sicherheitsstandards und praxisnahen Maßnahmen, mit denen Einrichtungen im Gesundheitswesen ihre IT-Sicherheit nachhaltig stärken können.

Cyber-Bedrohungslage im Gesundheitswesen

Aktuelle Zahlen & Studien (BSI, EU-Reports)

Das Gesundheitswesen zählt zu den am stärksten bedrohten Sektoren, wenn es um Cyberangriffe geht. Laut einer aktuellen BSI-Studie wurden allein in Deutschland über 200 sicherheitsrelevante Vorfälle im Gesundheitsbereich registriert. Auf europäischer Ebene zeigen Berichte der EU Threat Landscape, dass rund 45 % der Angriffe im eHealth-Umfeld auf Ransomware zurückzuführen sind. In fast einem Drittel dieser Fälle kam es zusätzlich zu Datenschutzverletzungen und dem Abfluss hochsensibler Patientendaten.

Häufigste Angriffsarten

• Ransomware – Verschlüsselung von Daten mit anschließender Lösegeldforderung
• Datenlecks – unbefugter Zugriff oder Abfluss von Gesundheits- und Personendaten
• Social Engineering – Manipulation von Mitarbeitenden, um Zugang zu Systemen zu erlangen

Beispiele aus der Praxis

Die Folgen solcher Angriffe sind gravierend: In Frankreich wurden beispielsweise 61 GB sensibelster Patientendaten veröffentlicht. In anderen Fällen kam es zu Verschiebungen lebenswichtiger Operationen oder zu Verlegungen von Patient\:innen, weil IT-Systeme nicht verfügbar waren.

IT-Sicherheit ist ein Prozess, kein Zustand

Warum IT-Security kontinuierlich überprüft werden muss

IT-Sicherheit im Gesundheitswesen ist keine einmalige Maßnahme, sondern ein fortlaufender Prozess. Neue Bedrohungen entstehen täglich, gesetzliche Anforderungen entwickeln sich stetig weiter und die eingesetzte Technik verändert sich kontinuierlich. Daher müssen Sicherheitsmaßnahmen regelmäßig überprüft, angepasst und verbessert werden.

Sicherheitskultur im Unternehmen etablieren

Ein zentrales Element ist die Etablierung einer Sicherheitskultur. Diese umfasst klare Richtlinien, definierte Prozesse und das Bewusstsein aller Mitarbeitenden für ihre Rolle im Schutz von Daten und Systemen.

Rolle der Verantwortlichen (Chefsache)

Die Verantwortung für Informationssicherheit liegt nicht allein bei der IT-Abteilung – sie ist Chefsache. Die Unternehmensleitung muss die strategischen Ziele vorgeben, die notwendigen Ressourcen bereitstellen und die Einhaltung der Sicherheitsstandards aktiv überwachen. Nur so lässt sich ein dauerhaft hohes Schutzniveau gewährleisten.

Gesetzliche Vorgaben & regulatorische Anforderungen

Die IT-Sicherheit im Gesundheitswesen ist stark durch gesetzliche Rahmenbedingungen geprägt. Diese Vorgaben dienen dem Schutz sensibler Patientendaten und der Sicherstellung stabiler IT-Infrastrukturen. Einrichtungen und Dienstleister müssen je nach Tätigkeit, Größe und Risiko unterschiedliche Gesetze und Richtlinien beachten.

DSGVO & BDSG – Datenschutz im Gesundheitswesen

Die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) bilden die Basis für den Schutz personenbezogener Daten. Im Gesundheitswesen zählen Gesundheitsdaten zu den besonders sensiblen Kategorien und genießen daher einen erhöhten Schutz. Einrichtungen müssen technische und organisatorische Maßnahmen umsetzen, um Missbrauch, Verlust oder unbefugten Zugriff zu verhindern.

IT-Sicherheitsgesetz & KRITIS-Verordnung

Das IT-Sicherheitsgesetz legt Anforderungen an Betreiber kritischer Infrastrukturen (KRITIS) fest. Die KRITIS-Verordnung definiert Schwellenwerte, ab denen Gesundheitseinrichtungen als kritische Infrastruktur gelten – beispielsweise große Krankenhäuser oder Labore. Betroffene Einrichtungen müssen Sicherheitsvorfälle an das BSI melden und hohe technische Sicherheitsstandards einhalten.

SGB V – spezielle Anforderungen für Praxen, Krankenhäuser, Krankenkassen

Im Sozialgesetzbuch V (SGB V) sind besondere IT-Sicherheitsvorgaben für medizinische Leistungserbringer verankert. Dazu zählen u. a. verpflichtende Sicherheitsmaßnahmen für Praxen, Krankenhäuser und gesetzliche Krankenkassen nach dem Stand der Technik. Diese beinhalten z. B. Zugriffskontrollen, Verschlüsselung und regelmäßige Sicherheitsüberprüfungen.

Cloud-Regelungen (§ 393 SGB V, BSI C5 Testat)

Wer im Gesundheitswesen Cloud-Dienste einsetzt, muss besondere Vorgaben erfüllen. Nach § 393 SGB V müssen Krankenkassen und Leistungserbringer für Cloud-Lösungen u. a. ein BSI C5 Testat vorweisen. Dieses bestätigt, dass der Cloud-Anbieter strenge Sicherheits- und Compliance-Kriterien erfüllt. Neben der BSI-C5-Zertifizierung können auch gleichwertige Zertifikate wie ISO 27001 oder ISO 27001 auf Basis IT-Grundschutz anerkannt werden – oft ergänzt durch einen Maßnahmenplan zur Erlangung des C5-Testats.

NIS-2-Richtlinie – Betroffenheitsprüfung & neue Pflichten

Die NIS-2-Richtlinie ist die neue EU-weite Regelung zur Stärkung der Cybersicherheit. Sie erweitert die Liste kritischer Sektoren, zu denen auch Teile des Gesundheitswesens zählen. Einrichtungen müssen prüfen, ob sie betroffen sind („Betroffenheitsprüfung“). Wer unter die Richtlinie fällt, ist verpflichtet, umfassende Sicherheitsmaßnahmen zu implementieren, Verantwortliche zu benennen, Vorfälle zu melden und regelmäßige Risikobewertungen vorzunehmen.

Wichtige IT-Sicherheitsstandards im Healthcare-Bereich

Neben gesetzlichen Vorgaben spielen internationale und nationale Standards eine zentrale Rolle, um ein hohes Sicherheitsniveau nachweisbar zu erreichen.

ISO 27001 – Informationssicherheits-Managementsystem (ISMS)

Die ISO 27001 ist der international anerkannte Standard für Informationssicherheits-Managementsysteme. Sie legt fest, wie Organisationen Informationssicherheit systematisch planen, umsetzen, überwachen und kontinuierlich verbessern. Für das Gesundheitswesen bietet sie eine strukturierte Grundlage, um gesetzliche Anforderungen zu erfüllen.

ISO 27701 – Datenschutz-Managementsystem (DSMS)

Die ISO 27701 ist eine Erweiterung der ISO 27001 und konzentriert sich auf den Aufbau und Betrieb eines Datenschutz-Managementsystems. Sie hilft, Datenschutzanforderungen – z. B. aus der DSGVO – systematisch umzusetzen und nachzuweisen.

ISO 27017 / ISO 27018 – Cloud-Sicherheit & Datenschutz

Diese Normen ergänzen die ISO 27001 speziell für Cloud-Dienste:

• ISO 27017: Leitfaden für Cloud-spezifische Sicherheitskontrollen
• ISO 27018: Schutz personenbezogener Daten in der Cloud

Sie sind insbesondere relevant für Einrichtungen, die Cloud-Services für Patientendaten nutzen.

Artikel-42-DSGVO-Zertifizierung

Die Artikel-42-DSGVO-Zertifizierung bestätigt die DSGVO-Konformität bestimmter Dienste. Im Gesundheitswesen ist sie u. a. verpflichtend für Anbieter von Videosprechstunden (Anlage 31b Bundesmantelvertrag-Ärzte) und digitale Gesundheitsanwendungen (DiGA) gemäß BfArM-Kriterien.

BSI C5 Testat – Cloud-Compliance im Gesundheitswesen

Das Cloud Computing Compliance Criteria Catalogue (C5) des BSI ist ein Prüf- und Zertifizierungsstandard für Cloud-Anbieter. Er spielt eine zentrale Rolle im Gesundheitswesen, da er Sicherheits- und Compliance-Anforderungen transparent macht und die Grundlage für die Cloud-Nutzung durch Krankenkassen und Leistungserbringer bildet.

Best Practices für IT-Sicherheit in Kliniken & Praxen

Neben der Einhaltung gesetzlicher Vorgaben und Standards ist es entscheidend, IT-Sicherheitsmaßnahmen im Alltag konsequent umzusetzen. Im Gesundheitswesen geht es dabei nicht nur um den technischen Schutz, sondern auch um organisatorische Prozesse und die Sensibilisierung aller Beteiligten.

Organisatorische Maßnahmen

• Sicherheitsleitlinien und -richtlinien entwickeln: Klare Vorgaben zur Nutzung von IT-Systemen, dem Umgang mit Patientendaten und zur Passwortsicherheit sind unverzichtbar.
• Verantwortlichkeiten festlegen: Benennung von Process Ownern oder Informationssicherheitsbeauftragten, die für die Umsetzung und Kontrolle der Maßnahmen zuständig sind.
• Notfallpläne erstellen: Festgelegte Abläufe für den Fall eines Cyberangriffs oder Systemausfalls, um Ausfallzeiten und Schäden zu minimieren.
• Regelmäßige Audits: Überprüfung der Wirksamkeit bestehender Sicherheitsmaßnahmen und Anpassung an neue Bedrohungslagen.

Technische Maßnahmen

• Netzwerksegmentierung: Trennung sensibler Systeme (z. B. medizinische Geräte) vom restlichen IT-Netzwerk, um die Ausbreitung von Angriffen zu verhindern.
• Multifaktor-Authentifizierung (MFA): Schutz sensibler Zugänge durch zusätzliche Sicherheitsebenen.
• Verschlüsselung: Nutzung starker Verschlüsselungsalgorithmen gemäß den BSI-Vorgaben (z. B. BSI TR-02102) für Datenübertragung und -speicherung.
• Systeme zur Angriffserkennung: Implementierung von Security Information and Event Management (SIEM), Intrusion Detection Systems (IDS) oder vergleichbaren Lösungen.
• Regelmäßige Updates und Patches: Schließen von Sicherheitslücken in Betriebssystemen, Anwendungen und Medizingeräten.

Sicherheit in der Lieferkette

• Prüfung externer Dienstleister: Sicherstellen, dass auch Partnerunternehmen hohe Sicherheitsstandards einhalten.
• Vertragsklauseln zu IT-Sicherheit: Vereinbarungen zu Sicherheitsmaßnahmen, Audit-Rechten und Meldepflichten bei Vorfällen.
• Absicherung von Schnittstellen: Kontrollierte und gesicherte Datenübergaben an Dritte, z. B. über verschlüsselte APIs.

Durch die Kombination aus organisatorischen, technischen und lieferkettenbezogenen Maßnahmen können Kliniken und Praxen ihre Cyberresilienz deutlich erhöhen und das Risiko schwerwiegender Sicherheitsvorfälle minimieren.

Awareness & Schulungen als Schlüssel

Technische Schutzmaßnahmen allein reichen nicht aus, um die IT-Sicherheit im Gesundheitswesen dauerhaft zu gewährleisten. Mitarbeitende sind häufig das größte Einfallstor für Angriffe – sei es durch Phishing-E-Mails, unsichere Passwörter oder unbedachtes Verhalten. Deshalb ist Awareness ein zentraler Baustein jeder Sicherheitsstrategie.

Regelmäßige Schulungen statt einmaliger Trainings

• Fortlaufende Sensibilisierung zu aktuellen Bedrohungen und Angriffsmethoden.
• Praktische Übungen wie simulierte Phishing-Kampagnen, um Reaktionen zu testen und zu verbessern.
• Rollenspezifische Trainings, z. B. für IT-Administratoren, Ärzte oder Verwaltungspersonal.

Verantwortlichkeiten festlegen

• Benennung von Sicherheitsbotschaftern oder Awareness-Beauftragten in jeder Abteilung.
• Förderung der Eigenverantwortung: Mitarbeitende müssen wissen, wie sie Vorfälle melden und sich in kritischen Situationen verhalten.

Sicherheitskultur etablieren

• IT-Sicherheit als Teil der Unternehmenskultur verankern.
• Offene Kommunikation: Fehler und Sicherheitsvorfälle dürfen nicht vertuscht, sondern müssen gemeldet und gemeinsam ausgewertet werden.

Fazit & Ausblick

Die Cyber-Bedrohungslage im Gesundheitswesen ist ernst – Ransomware, Datenlecks und Angriffe auf kritische Systeme können nicht nur finanzielle Schäden verursachen, sondern auch die Patientenversorgung gefährden. Gesetzliche Vorgaben wie DSGVO, SGB V, IT-Sicherheitsgesetz oder NIS-2 geben den Rahmen vor, internationale Standards wie ISO 27001 und BSI C5 liefern praxiserprobte Umsetzungshilfen.

Wichtig ist jedoch: IT-Sicherheit ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Technische, organisatorische und personelle Maßnahmen müssen ineinandergreifen und regelmäßig angepasst werden.

Mit einer klaren Sicherheitsstrategie, starker Führung, gut geschulten Mitarbeitenden und geprüften Partnern können Kliniken, Praxen und andere Gesundheitseinrichtungen ihre Resilienz gegenüber Cyberangriffen nachhaltig erhöhen.

Besuchen Sie die Veranstaltungsseite zur Session „Cyber Security im Gesundheitssektor – Wie Sie Patientendaten und IT-Infrastrukturen effektiv schützen“ auf gesundheit.digital.forum oder entdecken Sie weitere Fachbeiträge und Events zu Digitalisierung, Compliance und Datenschutz im Gesundheitswesen.