Die 7 größten Cyberbedrohungen für das Gesundheitswesen — und warum deutsche Kliniken und Praxen besonders gefährdet sind

Ransomware, Cloud-Fehlkonfigurationen, Bot-Traffic, Webanwendungsangriffe, Phishing, KI-Risiken und vernetzte Medizingeräte — die Bedrohungslage im Gesundheitswesen hat sich seit der Pandemie grundlegend verändert. 

CSO Online hat die sieben größten Sicherheitsbedrohungen für den Gesundheitssektor zusammengestellt — auf Basis aktueller Studien und Experteneinschätzungen. Wir ordnen ein, was davon für deutsche Kliniken, Praxen und Gesundheitsdienstleister relevant ist.

1. Ransomware: Die existenzielle Bedrohung

Ransomware ist die größte Einzelbedrohung für das Gesundheitswesen. Angreifer haben erkannt, dass Organisationen, die lebensrettende Behandlungen durchführen, erpressbarer sind als Opfer in fast jeder anderen Branche.

Die Zahlen belegen das: Zwischen 2022 und 2023 stieg die Zahl der Ransomware-Opfer im Gesundheitswesen um 81 Prozent (laut US Office of the Director of National Intelligence). 2025 kamen weitere 30 Prozent hinzu — mit einer Verschiebung: Nicht mehr nur Kliniken und Krankenhäuser, sondern zunehmend auch Zulieferer, Softwareanbieter und Abrechnungsdienstleister werden zum Ziel.

Der Change-Healthcare-Angriff im Februar 2024 bleibt das Paradebeispiel: Die Ransomware-Attacke legte die Versicherungsabrechnung, Rezeptausgabe und Finanztransaktionen für Krankenhäuser, Kliniken und Apotheken in den gesamten USA lahm. Im Juni 2024 traf ein Qilin-Angriff auf den NHS-Pathologiedienstleister Synnovis Teile Londons — Bluttests, Diagnostik und Laborleistungen fielen aus, geplante Eingriffe mussten verschoben werden.

Im März 2026 traf es den Medizintechnikhersteller Stryker: Ein Cyberangriff — zunächst als Ransomware vermutet, später der iranischen Gruppe Handala zugeordnet — löschte geschätzt 200.000 Geräte im Rahmen einer breiteren Kampagne gegen US-amerikanische und israelische Ziele.

Besonders kritisch: Wenn elektronische Patientenakten (EPA) durch Ransomware unzugänglich werden, fehlen Behandlungsinformationen, Medikamentendosierungen und Patientenhistorien. Im schlimmsten Fall müssen Patienten in andere Einrichtungen umgeleitet werden.

2. Cloud-Schwachstellen und Fehlkonfigurationen

Die Digitalisierung hat Gesundheitsdaten in die Cloud gebracht — oft über mehrere Anbieter mit unterschiedlichen Sicherheitsstandards. 61 Prozent der Gesundheitsunternehmen gaben in einer Studie von KMS Healthcare an, in den letzten zwölf Monaten einen Cloud-basierten Cyberangriff erlebt zu haben.

Fehlkonfigurationen sind mindestens ebenso gefährlich: Der US-Krankenversicherer Blue Shield of California exponierte drei Jahre lang Mitgliedsdaten — einschließlich geschützter Gesundheitsinformationen — an Googles Werbeplattform, weil Google Analytics falsch konfiguriert war. Im März 2026 erlitt der US-Softwareanbieter CareCloud einen Breach seiner EHR-Umgebung, der 45.000 Anbieter betraf.

3. Webanwendungsangriffe

Angriffe auf Webanwendungen im Gesundheitswesen haben stark zugenommen: Cross-Site Scripting (XSS), SQL-Injection, Protokollmanipulation und Remote Code Execution gehören zu den häufigsten Vektoren. Für unterfinanzierte IT-Abteilungen in Kliniken und Praxen sind diese Angriffe technisch besonders schwer zu managen — insbesondere wenn Drittanbieter-Anwendungen und APIs die Angriffsfläche erweitern.

4. Bot-Traffic

Schadhafter Bot-Traffic macht laut dem Imperva Bad Bot Report 2025 inzwischen 37 Prozent des gesamten Internetverkehrs aus. Das Gesundheitswesen gehört zusammen mit dem Finanzsektor zu den am stärksten betroffenen Branchen. Credential-Stuffing-Angriffe gegen Patientenportale und das automatisierte Abschöpfen sensibler Gesundheitsinformationen sind reale Szenarien. KI verstärkt das Problem: Fortgeschrittene Bots zielen zunehmend auf APIs statt auf Webanwendungen.

5. Phishing

Phishing bleibt der häufigste initiale Angriffsvektor im Gesundheitswesen. Das US Department of Health and Human Services dokumentiert, dass 18 Prozent aller gemeldeten Verstöße gegen geschützte Gesundheitsinformationen zwischen 2009 und 2021 auf Phishing oder kompromittierte E-Mail-Konten zurückgingen. Eine Studie im British Medical Journal ergab, dass rund 3 Prozent aller E-Mails an Krankenhauspersonal als verdächtig eingestuft wurden — Dutzende potenzielle Angriffsvektoren pro Tag.

6. Vernetzte Medizingeräte

Wearables, Implantate und vernetzte Medizintechnik eröffnen neue Angriffsflächen. Die Sicherheitsfirma Pen Test Partners fand, dass sie die Daten eines Insulinpumpen-Trials im öffentlichen Internet manipulieren konnten — theoretisch hätte ein Angreifer tödliche Insulindosen an rund 3.000 Studienteilnehmer verabreichen können. Die US-amerikanische FDA hat mit FD&C 524b (2023) Cybersicherheitsanforderungen für vernetzte Medizingeräte eingeführt. In Europa adressiert der Cyber Resilience Act (CRA) diese Geräteklasse zunehmend.

7. Generative KI

Laut einer Studie von Netskope (2026) entfallen 89 Prozent aller Verstöße gegen Datenrichtlinien im Kontext von KI-Nutzung auf regulierte Daten wie Patientenakten — deutlich über dem branchenübergreifenden Durchschnitt von 31 Prozent. Der Anteil der Gesundheitsmitarbeiter, die organisationsverwaltete KI-Tools nutzen, sprang 2025 von 18 auf 67 Prozent. Die Sicherheitskontrollen halten nicht Schritt: Das klinische KI-Tool Doctronic konnte laut Mindgard kompromittiert werden, um Verschreibungsempfehlungen zu manipulieren.

Was das für deutsche Gesundheitseinrichtungen bedeutet

NIS-2 und KRITIS: Krankenhäuser über der KRITIS-Schwelle müssen bereits Systeme zur Angriffserkennung (SzA) betreiben. NIS-2 erweitert den Kreis der betroffenen Einrichtungen erheblich. Wer Ransomware-Angriffe nicht innerhalb von 24 Stunden meldet, verstößt gegen geltendes Recht.

Telematikinfrastruktur (TI): Die TI verbindet Arztpraxen, Apotheken und Krankenhäuser — und schafft eine Angriffsfläche, die über die einzelne Einrichtung hinausgeht. Jede kompromittierte Praxis kann zum Einstiegspunkt für laterale Bewegung innerhalb der TI werden.

Unterfinanzierung der IT-Sicherheit: Viele Praxen und kleinere Kliniken verfügen nicht über dediziertes IT-Sicherheitspersonal. Die Verantwortung liegt beim Praxisinhaber oder einem IT-Dienstleister, der neben der Sicherheit auch den laufenden Betrieb stemmen muss.

Patientendaten sind Sonderkategorie-Daten: Nach Art. 9 DSGVO sind Gesundheitsdaten besonders schützenswert. Ein Breach zieht nicht nur technische, sondern auch regulatorische Konsequenzen nach sich — Bußgelder und Reputationsschäden können existenzbedrohend sein.

Digitalisierung ohne Sicherheitsbudget: Die Einführung der elektronischen Patientenakte (ePA), von Telemedizin und KI-gestützten Diagnosetools erhöht die Angriffsfläche — oft ohne dass die Sicherheitsarchitektur proportional mitwächst.

Fazit

Das Gesundheitswesen ist nicht einfach „auch betroffen” von Cyberkriminalität. Es ist ein bevorzugtes Ziel — weil die Daten wertvoll sind, die Erpressbarkeit hoch ist und die Verteidigung strukturell unterfinanziert ist. Die sieben Bedrohungen sind keine abstrakten Risiken. Sie sind das, was in der nächsten Klinik, der nächsten Praxis, dem nächsten Gesundheitsdienstleister passieren kann — und bereits passiert.