Cybercrime trifft uns nicht. Bei uns gibt es nichts zu holen. Bisher ging‘s immer gut. In den knapp fünf Sekunden, in denen Du diese drei Sätze gelesen hast, sind weltweit knapp 1,5 Millionen Dollar Schäden durch Cyberkriminalität entstanden. Und der durchschnittliche Schaden pro Datenpanne im Gesundheitswesen liegt im Millionenbereich.
Solche Summen kommen nur zustande, da es branchenübergreifend noch immer eine besorgniserregende Fehleinschätzung der realen Gefahr gibt: Zwei Drittel der kleinen und mittelgroßen Firmen halten sich für kein Ziel. Die Zahlen zeigen allerdings, dass sie es dennoch sind. Ausfälle, Erpressung und Datenabfluss. Oft reicht eine fehlende Multi-Faktor-Authentifizierung, um alles anzuzünden.
Längst brennt es auch in der Gesundheitsbranche. Von Klinik-Notaufnahmen, die schließen müssen, bis zu Millionen gestohlener Gesundheitsdaten. Die Folgen sind real, teuer und persönlich haftungsrelevant.
Die Hälfte aller Cyberattacken trifft das Gesundheitswesen
Kurz gesagt: Ein Cybervorfall ist kein IT-Thema. Es ist ein medizinisches, betriebswirtschaftliches und rechtliches Thema. Laut ENISA entfielen 53 % der Sicherheitsvorfälle in Europa auf den Gesundheitssektor: Zwischen Januar 2021 und März 2023 waren Krankenhäuser mit 42 % die Hauptzielscheibe (ENISA, 2023). Die Zahl dürfte 2024/2025 weiter gestiegen sein.
Die EU will und muss gegensteuern. Nach Kabinettbeschluss vom 30. Juli 2025 tritt das deutsche NIS2-Umsetzungsgesetz voraussichtlich Anfang 2026 in Kraft. Die Pflichten greifen ohne Übergangsfrist. NIS2 verpflichtet Sanitätshäuser, ihre (IT)-Sicherheit massiv zu verstärken, Vorfälle zu melden und Schutzmaßnahmen nachweisbar zu machen. NIS2 fragt Dich nicht, ob Du es hast, sondern, ob Du es nachweisen kannst.
Dass NIS2 keine weitere, nervige Gängelung der EU ist, sondern auf wirklichen Schockzahlen fußt, zeigen die folgenden sieben Fakten:
Fakt 1: Ein IT-Notfall wird zur Tragödie
Ein einzelner Ransomware-Angriff kann die Patientenversorgung über Nacht zum Stillstand bringen – bis hin zur Umleitung von Notfällen und abgesagten Eingriffen.
Der bekannteste Fall, wie aus einem IT-Thema eine medizinische Tragödie wird, ist jener aus Düsseldorf im Jahr 2020: Ransomware legt die IT der Uniklinik Düsseldorf lahm. Die Notaufnahme muss aufgrund der Attacken schließen. Ein Rettungswagen, der eine 78-jährige Patientin an Bord hat, muss 32 km nach Wuppertal umgeleitet werden, weswegen sich die Behandlung um eine Stunde verzögert. Die Patientin verstirbt später. Juristisch blieb der direkte Kausalzusammenhang strittig. Betrieblich war das Risiko offenkundig.
Fakt 2: Das Gesundheitssystem ist kein zufälliges Opfer
Eigentlich ist allen klar: Das Gesundheitssystem ist kritische Infrastruktur. Ausfälle gefährden Leben. Die Schlussfolgerung von Kriminellen ist, dass die Zahlungsbereitschaft in dieser Zielgruppe steigt. Zudem setzt das Gesundheitssystem im Vergleich zu anderen Branchen auf besonders viel veraltete IT und Prozesse. Die Gesundheitsbranche kann sich schlicht am wenigsten wehren. Das baut im Falle des Falles Zeit- und Handlungsdruck auf. Die beste Kombination für unkluge Entscheidungen. Die Taktik der Gangster bietet die volle Breitseite: Phishing, Social Engineering, Malware und Ransomware. Backups kannst Du dabei vergessen. Sie sind in der Regel mitbetroffen. Am Ende geht es den Kriminellen beim Angriff auf Gesundheitseinrichtungen immer ums Eine: Gesundheits- und Patientendaten.
Fakt 3: Gesundheitsdaten sind Erpresser-Gold
Cyberkriminelle sehen Gesundheits- und Versicherungsdaten primär als Verdienstmöglichkeit. Personenbezogene Daten erzielen im Untergrund höhere Preise als Kreditkartendaten. Persönliche Informationen lassen sich nicht einfach sperren. Diese „Medical Identity Theft“ sind ideal für Folgekriminalität: Abrechnungsbetrug, Identitätsdiebstahl und Erpressung. Sanitätshäuser sind voll damit: Rezeptbilder, Diagnosen, Maßblätter, Kostenvoranschläge – genau das, was Datendiebe wollen.
Fakt 4: Datenklau wirkt sich auf Jahre aus
Nach dem ersten Treffer beginnt die zweite Kasse. Erst Gesamterpressung der Organisation. Dann Einzelerpressung von Patienten und Versicherten. Täter nutzen Leak‑Portale, E‑Mail und Messenger. Persönliche Informationen lassen sich nicht zurückholen. Sie bleiben Druckmittel. Die Polizei spricht dann von „Double/Triple Extortion“: Lösegeldforderung mittels Drohung mit Veröffentlichung. Danach folgt der „Medical Identity Fraud“: Scheingenehmigungen, Rezeptmissbrauch, Identitätsdiebstahl. Für Sanitätshäuser bedeutet das: Zuweiser wenden sich ab, Kassen stellen Rückfragen, Verträge wackeln. Jeder Tag Verzögerung kostet Umsatz und Reputation. Und das kann über Jahre so weitergehen.
Fakt 5: Durch Verschweigen eines Datenklaus stürzt die Reputation ab
Warren Buffet sagte mal: Es dauert 20 Jahre, sich eine Reputation aufzubauen und fünf Minuten, sie zu ruinieren. Fünf Minuten stammen noch aus analogen Zeiten. Cyberattacken schaffen das in fünf Sekunden. Patientendaten gestohlen und alles verschlüsselt. Mancher denkt drüber nach, sich nach Panama abzusetzen oder so zu tun als sei nichts passiert. NIS2 verpflichtet nun, so etwas zu melden. Falls nicht:
Fakt 6: Haftung rückt an die Chefetage: NIS2 macht Cybersicherheit zur Chefsache
NIS2 wird sehr persönlich. Die Umsetzung und der Nachweis ist Chefsache, nicht IT-Beiwerk. Wenn Du Geschäftsführer bist, steuerst Du Risiken, beschließt Maßnahmen, verankerst Schulungen. Kein Delegieren ins Nirgendwo. Geschäftsführung und Vorstand stehen explizit in der Pflicht. Meldepflichten greifen in Stunden (Frühwarnung, Ereignismeldung, Abschlussbericht) – ohne Übergangsfrist. Wer Angriffe nicht meldet, haftet. Nachweis statt Behauptung. Die Bußgelder werden empfindlich sein: absolute Beträge oder Prozent vom Umsatz, je nachdem, was mehr schmerzt.
Fakt 7: Ohne wirksamen Cyberschutz werden Lieferketten brechen
Hersteller, Kassen: Alle werden Nachweise wollen. Ohne NIS2-Fit kein Onboarding, kein Vertrag, kein EDI. Du wirst Begriffe hören wie ISMS & Policies, MFA überall, Patch/Vuln-Management oder Incident-Meldekette. Ohne Nachweis drohen Delisting und gesperrte Schnittstellen binnen Tagen. Umsätze werden verdampfen und die Reputation gleich mit. Wenn Du es ganz neutral betrachtest, wirst Du im Ignoranz-Modus wirtschaftlich leiden. Entweder sorgt ein Cyberangriff dafür (und der wird statistisch kommen) oder die vernachlässigte Umsetzung von NIS2. No evidence, no business.
Wer heute nachweist, versorgt morgen. Alle anderen erklären nur. Jetzt entdecken, wie GRASP NIS2 diese Horror-, in eine Erfolgsgeschichte verwandeln kann.
