[datensicherheit.de, 06.02.2026] „Ob E-Rezept statt Papierzettel, Video-Sprechstunde statt Praxisbesuch oder neue Diagnosemöglichkeiten mit Künstlicher Intelligenz – auch Ältere sehen digitale Gesundheitsangebote als große Chance“, meldet der Digitalverband Bitkom e.V. – demnach stehen 92 Prozent Senioren ab 65 Jahren der Digitalisierung im Gesundheitswesen nach eigenen Angaben positiv gegenüber. Grundlage der aktuellen Erkenntnisse ist demnach eine Umfrage, welche Bitkom Research im Auftrag durchgeführt hat. Hierzu seien 1.004 Personen in Deutschland ab 65 Jahren telefonisch befragt worden: Die repräsentative Befragung habe im Zeitraum der Kalenderwochen 38 bis 42 2025 stattgefunden.

Foto: Bitkom

Dr. Ralf Wintergerst: Wichtig ist, entsprechende Angebote konsequent auszubauen und Seniorinnen und Senioren, die noch unsicher in der Nutzung sind, gezielt beim Einstieg zu unterstützen!

Die Hälfte (50%) der Senioren ab 65 Jahren vereinbart Arzttermine online

Die Über-80-Jährigen seien mit insgesamt 95 Prozent positiver Einstellung sogar noch überzeugter als die jüngeren Senioren zwischen 65 und 69 Jahren mit 89 Prozent.

• „Digitale Gesundheitsangebote sind eine Grundvoraussetzung, um die Versorgung einer älter werdenden Gesellschaft zu sichern. Sie erleichtern den Zugang, ermöglichen eine engere Betreuung und eröffnen zudem neue Möglichkeiten in Diagnostik und Behandlung, während Praxen und Pflegekräfte entlastet werden“, kommentiert der Bitkom-Präsident, Dr. Ralf Wintergerst.

Die positive Einstellung der „Generation 65+“ zeige sich auch konkret an der wachsenden Offenheit, digitale Angebote von Ärzten oder Krankenhäusern zu nutzen: So vereinbare zum Beispiel die Hälfte (50%) der Deutschen ab 65 Jahren inzwischen Arzttermine online – vor fünf Jahren seien es erst 18 Prozent gewesen. Weitere 23 Prozent könnten sich dies zukünftig vorstellen.

37% der Senioren setzen auf Terminerinnerungen per SMS oder E-Mail

37 Prozent ließen sich inzwischen Terminerinnerungen per SMS oder E-Mail schicken, vor fünf Jahren seien es mit 18 Prozent gerade einmal halb so viele gewesen.

• Für weitere 47 Prozent kämen solche Terminerinnerungen derzeit grundsätzlich in Frage.

Direkt per E-Mail, Chat oder Messenger kommunizierten 19 Prozent der Älteren mit dem Arzt. Weitere 51 Prozent könnten sich vorstellen, diesen Kommunikationsweg künftig zu nutzen.

41% der Senioren ab 65 nutzen Online-Vergleichs- und Bewertungsportale für Ärzte

Etwa vier von zehn (41%) der Menschen ab 65 nutzten Online-Vergleichs- und Bewertungsportale für Ärzte. Vor fünf Jahren seien es erst zwölf Prozent gewesen. Weitere 27 Prozent könnten sich vorstellen, dies zukünftig zu tun.

• Telemedizinische Anwendungen wie Video-Sprechstunden würden bislang sehr viel seltener genutzt: Erst sechs Prozent hätten mit Video-Sprechstunden Erfahrungen gesammelt, vor fünf Jahren seien es zwei Prozent gewesen. Gleichzeitig sei das Potenzial groß: 41 Prozent der Senioren könnten sich vorstellen, sie zukünftig in Anspruch zu nehmen.

Wintergersts Fazit: „Telemedizinische Angebote wie Video-Sprechstunden oder die Kontrolle des Gesundheitszustandes aus der Ferne sparen Wege und Zeit. Wichtig ist, entsprechende Angebote konsequent auszubauen und Seniorinnen und Senioren, die noch unsicher in der Nutzung sind, gezielt beim Einstieg zu unterstützen!“

Weitere Informationen zum Thema:

bikom
Über uns

bitkom
Dr. Ralf Wintergerst: Präsident Bitkom / Vorsitzender der Geschäftsführung & Group CEO Giesecke+Devrient GmbH

datensicherheit.de, 26.01.2026
Digitalisierung der Medizin: Datenflut schwemmt auch bösartige Dateien in Systeme des Gesundheitswesens / Im Fall eines erfolgreichen Hacker-Angriffs drohen der gesamte digitale Betrieb und wesentliche operative Prozesse der medizinischen Einrichtung stark beeinträchtigt zu werden

datensicherheit.de, 26.12.2025
Digitale Vergabe wird Standard: Zwei Drittel vereinbaren Arzttermine online / Nach aktuellen Erkenntnissen des Digitalverbands Bitkom e.V. hat sich die digitale Terminvergabe in Arztpraxen etabliert und ist nunmehr fester Bestandteil im deutschen Gesundheitssystem

datensicherheit.de, 07.03.2023
Freie Ärzteschaft warnt vor schutzlosen persönlichsten Medizindaten / Freie Ärzteschaft befürchtet Begehrlichkeiten der Pharma-Forschung, Gesundheitspolitik oder -wirtschaft

[datensicherheit.de, 26.01.2026] Die Digitalisierung des Gesundheitswesens schreitet offensichtlich voran – dabei mehr Effizienz im Arbeitsalltag und bei der Kommunikation zwischen Einrichtungen und Patienten versprechend. „Jedoch birgt diese Entwicklung auch die Gefahr, dass im Fall eines erfolgreichen Hacker-Angriffs der gesamte digitale Betrieb und wesentliche operative Prozesse der medizinischen Einrichtung stark beeinträchtigt werden“, so Holger Fischer, „Director Sales EMEA Central“ bei OPSWAT, in seiner aktuellen Stellungnahme. Insbesondere Krankenhäuser stehen demnach – als Teil der Kritischen Infrastruktur (KRITIS) – im Visier von Angreifern, ob als Opfer von Cybersabotage im Auftrag feindlicher Staaten oder zur Erpressung lukrativer Lösegelder. „Wenn Menschenleben bedroht sind, setzen Cyberkriminelle darauf, dass die Opfer eher bereit sind, Lösegeld zu zahlen“, gibt Fischer zu bedenken.

Foto: OPSWAT

Holger Fischer: Regelmäßige Trainings sind unabdingbar, damit Fachkräfte über aktuelle und typische Bedrohungen, insbesondere hinsichtlich „Social Engineering“, aufgeklärt sind!

Investitionsschwerpunkt traditionell eher auf medizinischer Versorgung statt auf IT-Sicherheit

Darüber hinaus verfügten medizinische Einrichtungen über viele sensible, personenbezogene Daten, welche von Angreifern verkauft und beispielsweise für Identitätsdiebstahl, weitere Erpressungsversuche und andere kriminelle Zwecke missbraucht werden könnten.

• „Hinzu kommt, dass bei vielen Gesundheitseinrichtungen der Investitionsschwerpunkt traditionell auf der medizinischen Versorgung und wegen enger Budgets weniger auf der IT-Sicherheit lag, was den Sektor gegenwärtig noch verletzlicher für Angriffe macht als andere Branchen.“ Dabei seien für Cyberkriminelle Phishing und gestohlene Zugangsdaten die häufigste Einstiegsmethode, da sie hierdurch oft direkten Zugriff auf kritische Anwendungen erhielten.

Zudem führten ungeprüfte Dateien und Datenströme aus Praxen, Laboren oder von Dienstleistern regelmäßig zu Infektionen – „wenn sie ohne Sicherheitskontrollen in Arbeitsabläufe integriert werden“. Auch veraltete und nicht segmentierte Medizingeräte dienten Hackern häufig als Türöffner, da sie selten gepatcht würden und somit einfache Angriffspunkte böten.

Cybersabotageakte auf medizinische Einrichtungen mit großem Schadenspotenzial

Jüngste Sicherheitsvorfälle im Gesundheitswesen zeigten, wie weitreichend deren Folgen sein könnten: „So folgte im Februar 2025 auf einen erfolgreichen Cybersabotageakt auf die IT-Infrastruktur der LuP-Kliniken in Ludwigslust und Hagenow, bei dem personenbezogene Daten entwendet wurden, eine Lösegeldforderung in Millionenhöhe.“

• Wenige Monate später, im Juli 2025, habe ein Hacker-Angriff auf den Krankenhaus-Konzern Ameos zu einem Komplettausfall des E-Mail-Verkehrs in verschiedenen Kliniken geführt und die digitale Kommunikation mit Hausärzten, Apotheken, Pflegediensten sowie der Röntgen-Abteilungen und Labore lahmgelegt.

Dieser Angriff habe zudem den Rettungsdienst beeinträchtigt: „So konnte eine Ameos-Klinik im Harz nicht mehr angefahren werden, da wegen der gestörten Kommunikation mit der Einsatz-App unklar war, ob ausreichend Kapazitäten für schwere Fälle vorlagen.“ Darüber hinaus hätten die Angreifer personenbezogene Daten von Patienten und Mitarbeitern erbeutet.

Cyberangriffe auf Gesundheitswesen mit ernsten medizinischen Konsequenzen für Patienten

Die Folgen eines erfolgreichen Angriffs im Gesundheitswesen könnten also weitreichend sein – verschobene und abgesagte Operationen, kein zeitnaher Zugriff auf Medikamente oder die Umleitung von Krankenfahrten könnten sich im schlimmsten Fall fatal auf Patienten auswirken.

• Zusätzlich könne die Isolation der IT-Infrastruktur aufgrund infizierter Systeme drastische finanzielle Folgen haben.

„Da Krankenkassen in diesem Fall jegliche digitale Verbindung mit den betroffenen Einrichtungen abbrechen, können diese keine Behandlungskosten mehr abrechnen, was im schlimmsten Fall zur Insolvenz führen kann.“

KIM und ePA als Herausforderungen der medizinischen Digitalisierung

Um die Vertraulichkeit sensibler Gesundheitsdaten zu gewährleisten, setzten sowohl das geschützte E-Mail-Verfahren „Kommunikation im Medizinwesen“ (KIM) als auch die flächendeckend in Deutschland einzuführende „elektronische Patientenakte“ (ePA) auf eine Ende-zu-Ende-Verschlüsselung. „Diese schützt die Inhalte auf dem gesamten Übertragungsweg – vom Sender bis zum Empfänger – und ist aus Datenschutzsicht zwingend erforderlich!“

• Jedoch führe diese Sicherheitsvorkehrung an anderer Stelle zu einem neuen Sicherheitsproblem: „Da die Inhalte bei der Ende-zu-Ende-Verschlüsselung erst im Zielsystem entschlüsselt werden, ist es nicht möglich, die übertragenen Dateien vorab auf Schadcode zu prüfen.“ Über das KIM-Verfahren könnten Anwender indes beliebige Dateientypen hochladen, wodurch das Risiko bösartiger Dateien steige. „Die ePA wandelt die Dokumente zwar in PDF/A um, mindert das Risiko aber nur teilweise, da auch dieses Format anfällig für Schadsoftware ist.“

Während also die Menge digitaler Daten im Gesundheitswesen zunehme, reichten die Sicherheitsbudgets bisher nicht aus, um das damit verbundene erhöhte Risiko zu decken. Fischer betont: „Verantwortliche müssen sich deshalb auf besonders verletzbare Angriffsflächen wie bösartige Dateien konzentrieren, um die digitale Zusammenarbeit und den Datenfluss zwischen Patienten, Ärzten, Pflegeeinrichtungen, Krankenhäusern und Krankenkassen angemessen abzusichern!“

Dateien gelangen ungeprüft direkt bis ins Zielsystem medizinischer Einrichtungen

Aufgrund der erläuterten Ende-zu-Ende-Verschlüsselung durch das KIM-Verfahren gelangten Dateien ungeprüft direkt bis in das Zielsystem medizinischer Einrichtungen, wie etwa das zentrale „Krankenhausinformationssystem“ (KIS) von Kliniken. Daher sei es entscheidend, eine tiefgehende Prüfung aller Dateien durchzuführen – eben „bevor sie durch das Fachpersonal geöffnet werden“.

• Malware könne eine einzelne Antiviren-,Engine’ (AV) leicht umgehen, da verschiedene „Engines“ auf unterschiedliche Kategorien spezialisiert seien und bestimmte Arten von Bedrohungen nicht erkennen würden. „Im Gegensatz zu herkömmlichem Single-,Engine’-Scanning kann eine Multiscanning-Lösung mehr als 30 AV-,Engines’ kombinieren, um sowohl bekannte als auch neue Bedrohungen zu entdecken. Da jede ,Engine’ verschiedene Stärken und Schwächen hat und unterschiedliche, proprietäre Algorithmen verwendet, erhöht die Kombination mehrerer ,Engines’ die Erkennungsrate erheblich.“

Zudem bestehe der Vorteil, mittels Multiscanning auch die raschere Entdeckung neuester Bedrohungen zu ermöglichen, da verschiedene Anbieter unterschiedlich schnell in der Erkennung seien.

„Zero Trust“ kann verhindern, dass sich Angreifer zwischen IT und Medizintechnik bewegen

„Als weitere Sicherheitsschicht kann eine ,emulative Sandbox’ verdächtige Dateien in Echtzeit ausführen und beobachten, um gängige Verschleierungstechniken polymorpher Malware zu enttarnen sowie noch unbekannte Zero-Day-Malware zu erkennen, die statische Schutzmaßnahmen umgeht.“ Ein sicheres File-Transfer-Gateway schütze zudem den Import externer Daten wie DICOM- und Laborbefunddaten, bevor diese in klinische Systeme gelangten.

• Ein starkes Identitäts- und Zugriffsmanagement mit Multi-Faktor-Authentifizierung (MFA) verhindere darüber hinaus, „dass Unbefugte kritische Systeme wie KIS oder PACS missbrauchen“. EDR und NDR (Endpoint / Network Detection and Response) überwachten Endpunkte sowie den Netzwerkverkehr kontinuierlich auf verdächtige Aktivitäten und könnten so helfen, Angriffe schnell zu erkennen.

Zudem sei eine konsequente Netzwerksegmentierung mit „Zero Trust“ wichtig, um zu verhindern, „dass sich Angreifer zwischen IT und Medizintechnik bewegen können“.

Zunehmender Digitalisierungsgrad birgt großes Potenzial, aber auch Herausforderungen für Schutz medizinischer Daten

Eine weitere wichtige Säule blieben Mitarbeiterschulungen: „Regelmäßige Trainings sind unabdingbar, damit Fachkräfte über aktuelle und typische Bedrohungen, insbesondere hinsichtlich ,Social Engineering’, aufgeklärt sind und wissen, wie sie sich im Notfall verhalten sollten.“

• Um dieses Wissen zu festigen und interne Schwachstellen zu erkennen, sein zudem Phishing-Simulationstrainings sinnvoll.

Fischers Fazit: „Der zunehmende Digitalisierungsgrad im Gesundheitswesen birgt großes Potenzial, stellt jedoch auch eine Herausforderung für den Schutz medizinischer Daten und kritischer operativer Prozesse dar.“ Vor dem Hintergrund enger Budgets und steigender Angriffsflut müssten deshalb besonders anfällige Angriffsflächen gehärtet werden, um Einrichtungen und sensible Patientendaten adäquat zu schützen.

Weitere Informationen zum Thema:

OPSWAT
About OPSWAT: We Protect the World’s Critical Infrastructure

Linkedin
Holger Fischer MBA / OPSWAT

datensicherheit.de, 09.07.2025
ePA-Einführung voraus – doch Gesundheitsdienstleister kämpfen noch immer mit IT-Problemen / 45 Prozent der deutschen Gesundheitseinrichtungen waren seit 2023 von einem Ransomware- oder DDoS-Angriff betroffen

datensicherheit.de, 04.04.2025
IT in Krankenhäusern: SIT-Sicherheitsstudie deckt signifikante Schwachstellen auf / SIT-Forscher fanden Schwachstellen in Informationssystemen für Krankenhäuser

datensicherheit.de, 18.06.2024
Gesundheitssektor: Cyber-Attacken an der Tagesordnung / Laut Rubrik Zero Labs 50 Prozent mehr Verschlüsselungsvorfälle nach Cyber-Angriffen

datensicherheit.de, 20.02.2024
Mangelnde Cyber-Sicherheit im Gesundheitswesen: Deutsche Krankenhäuser bringen sich untereinander in Gefahr / Proofpoint warnt: DMARC-Implementierung in deutschen Krankenhäusern noch alarmierend gering

datensicherheit.de, 07.03.2023
Freie Ärzteschaft warnt vor schutzlosen persönlichsten Medizindaten / Freie Ärzteschaft befürchtet Begehrlichkeiten der Pharma-Forschung, Gesundheitspolitik oder -wirtschaft

datensicherheit.de, 12.01.2021
Ungeschützter Online-Zugriff: 45 Millionen medizinische Bilder weltweit / Bericht „Full Body Exposure“ von CybelAngel zu unsicheren medizinischen Speichermedien veröffentlicht

datensicherheit.de, 07.01.2021
Cyberangriffe auf Krankenhäuser: Anstieg um 220 Prozent / Diese Zahl meldet Check Point Research für die vergangenen zwei Monate / Region Zentraleuropa am stärksten betroffen mit einem Anstieg 145 Prozent

[datensicherheit.de, 30.10.2025] Der PRO RETINA Deutschland e.V., eine Selbsthilfevereinigung von Menschen mit Netzhautdegenerationen, hat unter dem Motto „AI Catcher: KI-Revolution im Gesundheitswesen“ am 23. Oktober 2025 die vierte Auflage seiner „Berliner Begegnung“ in der Kaiserin-Friedrich-Stiftung in Berlin durchgeführt. Diese habe wiederum in der langjährigen Tradition der Reihe „PRO RETINA im Dialog“ gestanden. Experten aus Forschung, Medizin und der Patientenorganisation diskutierten demnach gemeinsam mit Betroffenen über Chancen, Risiken und Perspektiven des Einsatzes Künstlicher Intelligenz (KI) in der Augenheilkunde – insbesondere im Hinblick auf seltene, erblich bedingte Netzhauterkrankungen. Diese hybride Veranstaltung beleuchtete, wie der Einsatz von KI Diagnostik, Therapie und Alltagsunterstützung von Menschen mit Sehverlust verbessern kann – und welche politischen, ethischen und praktischen Rahmenbedingungen es dafür braucht. Die Experten seien sich einig, dass im Hinblick auf die Bedingungen und die internationale Wettbewerbsfähigkeit für die Forschung und Versorgung am Standort Deutschland noch erhebliches Potenzial sei.

Foto: PRO RETINA Deutschland e.V.

Podiumsdiskussion mit (v.l.n.r): Prof. Dr. Peter Krawitz (Universität Bonn), Dr. Bettina von Livonius (Augenklinik der LMU München), Dario Madani (Geschäftsführer PRO RETINA Deutschland e.V.), Dr. David Merle (University College London) und Marcel Weigand (Moderator und Gesundheitsexperte) – im Hintergrund online zugeschaltet: Dr. Frank Brunsmann (FB-Leiter „Diagnose und Therapie“ beim PRO RETINA Deutschland e.V.)

KI im Spannungsfeld zwischen Forschung und Patientenperspektive

Bereits in den Impulsvorträgen sei deutlich geworden: KI könne Ärzte entlasten, Diagnosen präzisieren und Forschung beschleunigen. Entscheidende Kriterien müssten dafür aber auch der häufig vernachlässigte konkrete Nutzen und die Auswirkungen für Patienten sein.

• „KI ist ein echter ,Gamechanger’, auch in der Versorgung der Betroffenen“, so Dario Madani, Geschäftsführer des PRO RETINA Deutschland e.V., in seiner Begrüßung.

Dr. Frank Brunsmann, Fachbereichsleiter „Diagnose und Therapie“ bei PRO RETINA, forderte sodann, dass sich Forschungsprogramme und Projekte mehr am Bedarf und Nutzen für Betroffene orientieren müssten und diese in den Forschungsprozessen auch stärker beteiligt sein sollten: „Die Stimme der Patientinnen und Patienten wird noch zu wenig gehört. Forschung darf kein Selbstzweck sein!“

KI-basierte Diagnostik kann ärztliche Entscheidungen ergänzen – nicht jedoch ersetzen

Dr. Bettina von Livonius (LMU München) stellte die Möglichkeiten und Grenzen von KI-gestützten Hilfen für Mobilität, Alltag, Unterricht und Beruf dar – dabei betonte sie, dass KI-Anwendungen Schulungen und Menschen nicht ersetzen, sondern sinnvoll in Unterricht und Trainings integriert werden könnten und so niederschwellig zugänglich sein sollten.

• Prof. Dr. Peter Krawitz (Universität Bonn) und Dr. David Merle (University College London) stellten aktuelle Forschungsergebnisse zur KI-basierten Diagnostik vor und zeigten, wie datengetriebene Systeme ärztliche Entscheidungen ergänzen, aber nicht ersetzen könnten.

Eindringlich warnte insbesondere Merle in seinem Vortrag vor menschlichem Kompetenzverlust. Krawitz machte indes deutlich, dass vor allem bei seltenen Erkrankungen die internationale Zusammenarbeit im Hinblick auf Daten wichtig sei – Deutschland sie hierbei aber mit seinen Rahmenbedingungen nicht konkurrenzfähig und können aus diesem Grunde bei internationalen Kooperationen häufig nicht mithalten.

Podiumsdiskussion zu Rahmenbedingungen für sinnvollen KI-Einsatz

In der Podiumsdiskussion, moderiert von Marcel Weigand, hob Madani die Bedeutung der KI für Menschen mit seltenen Netzhauterkrankungen hervor: „Betroffene und Ärzte können dank KI auf Augenhöhe kommunizieren. Sie ermöglicht, gemeinsam Therapie-Entscheidungen zu treffen.“

• Einig seien sich die Teilnehmer auch darin, dass der Bürokratieabbau, die bessere Förderung patientenorientierter Forschung sowie die Transparenz bei der Förderung und Durchführung bei KI-Entwicklungen und Innovationsprojekten zentrale Zukunftsaufgaben blieben, ohne die Deutschland den Anschluss verpassen könnte. Hierzulande gebe es häufig erstklassige Forschungsprojekte. Diese existierten oft unvernetzt und sogar ohne Kenntnis voneinander und würden es letztlich häufig nicht in die praxisbezogene Anwendung schaffen (Stichwort: „Translation“).

Gefordert wurde im Ergebnis von den Experten auf dem Panel unter anderem:

1. Schulungen sowohl für Mediziner als auch Patienten zur verantwortungsvollen Nutzung von KI
2. Vermeidung humaner Fähigkeitsverluste bei zunehmender Nutzung von KI
3. Abbau bürokratischer Hürden bei der Entwicklung innovativer Anwendungen und Produkten wie Hilfsmitteln – bei unbedingter Wahrung der Qualität und Sicherheit für Patienten
4. Einheitliche Klassifikation von KI-Anwendungen und Hilfsmitteln im Hinblick auf Sicherheitsanforderungen
5. Förderung translationaler Projekte – Forschung sollte effizient in die Praxis kommen und auch international wettbewerbsfähig bleiben
6. Barrierefreie Steuerung von Datenfreigaben durch Betroffene für Forschungszwecke, insbesondere mit Blick auf seltene Erkrankungen

Weitere Informationen zum Thema:

PRO RETINA
Selbsthilfevereinigung von Menschen mit Netzhautdegenerationen

PRO RETINA
Berliner Begegnung

datensicherheit.de, 27.10.2025
TU-Berlin-Studie: Menschen könnten KI-Entscheidungen verschlimmbessern / Eine neue Studie der TU Berlin zeigt auf, warum Mensch und Maschine bisher noch kein gutes Team sind

datensicherheit.de, 25.09.2025
Made in Europe: Neuroadaptive Technologie als neuartiger Ansatz erfolgreicher KI-Modelle / Bereits seit mehr als 15 Jahren erforscht Prof. Dr. Thorsten Zander an der Brandenburgischen Technischen Universität Cottbus-Senftenberg die Entwicklung neuroadaptiver Technologien

[datensicherheit.de, 14.07.2025] Getronics nimmt einen Cyberangriff auf Ameos Kliniken zum Anlass für eine Stellungnahme – dieser unterstreicht demnach die Dringlichkeit der EU-Cybersicherheitsmaßnahmen im Gesundheitswesen. Der aktuelle Hacker-Angriff auf die Ameos Klinikgruppe hat demnach seit dem 7. Juli 2025 zu erheblichen IT-Ausfällen an allen deutschen Standorten führt – dieser stehe beispielhaft für die zunehmende Bedrohung Kritischer Infrastrukturen (KRITIS) im Gesundheitswesen. Der aktuelle Fall Ameos zeige deutlich: „Cybersicherheit ist keine reine IT-Frage mehr, sondern essenziell für die kontinuierliche Patientenversorgung und den Schutz sensibler Gesundheitsdaten.“

Ameos bezeichnet Patientenversorgung als gesichert…

Die Folgen dieses Angriffs seien weitreichend und zeigten die Verwundbarkeit von Gesundheitseinrichtungen gegenüber Cyberangriffen auf.

• „Obwohl Ameos die Patientenversorgung als gesichert bezeichnet, berichten Betroffene von schwarzen Bildschirmen, beeinträchtigter Kommunikation mit Rettungsleitstellen und eingeschränkter Notfallversorgung.“

Die digitalen Dienste inklusive E-Mail-Verkehr seien seit Tagen gestört, was die Überprüfung von Behandlungsplätzen erschwere und zu verlängerten Transportwegen für Rettungswagen führe.

Fall bei Ameos Teil einer besorgniserregenden Entwicklung

Dieser Angriff unterstreiche die Relevanz des im Januar 2025 von der Europäischen Kommission vorgestellten „European Action Plan on the Cybersecurity of Hospitals and Healthcare Providers“.

• Dieser sehe einen vielschichtigen Ansatz vor – basierend auf vier Säulent: Prävention, Erkennung, Reaktion und Wiederherstellung sowie Abschreckung.

Mit 309 gemeldeten schwerwiegenden Vorfällen allein im Jahr 2023 sei der Gesundheitssektor das am häufigsten angegriffene Ziel im KRITIS-Bereich. „Der aktuelle Fall bei Ameos reiht sich in diese besorgniserregende Entwicklung ein.“

Ameos-Vorfall – EU-Aktionsplan gewinnt an Bedeutung

Vor dem Hintergrund des EU-Aktionsplans und aktueller Vorfälle seien umfassende Risikobewertungen der IT-Systeme, die Aktualisierung veralteter Software und die Verbesserung der Netzwerksicherheit unerlässlich.

• Mitarbeiterschulungen in sicheren Cyberpraktiken müssten intensiviert werden, um menschliche Fehler zu reduzieren. Ebenso wichtig seien robuste Incident-Response-Pläne mit regelmäßigen Sicherheitsübungen sowie die frühzeitige Implementierung von Frühwarnsystemen, „wie sie ab 2026 EU-weit vorgesehen sind“.

Umfassende Wiederherstellungspläne und funktionierende Backup-Systeme seien entscheidend für die Aufrechterhaltung des Klinikbetriebs im Angriffsfall.

Weitere Informationen zum Thema:

NDR, 09.07.2025
Hackerangriff auf IT-Systeme an den Ameos-Kliniken

European Commission
Public Health / European action plan on the cybersecurity of hospitals and healthcare providers

getronics
A proud history / Empowering your business since 1887

datensicherheit.de, 04.04.2025
IT in Krankenhäusern: SIT-Sicherheitsstudie deckt signifikante Schwachstellen auf / SIT-Forscher fanden Schwachstellen in Informationssystemen für Krankenhäuser

datensicherheit.de, 15.07.2021
Klinik-IT zunehmend im Visier Cyber-Krimineller / Jetzt gilt es, Geld in die Hand zu nehmen, um die IT in Krankenhäusern vor Angriffen Cyber-Krimineller zu schützen

datensicherheit.de, 15.09.2020
Düsseldorfer Universitätsklinikum: IT-System dieser KRITIS offenbar vollständig ausgefallen / Jürgen Venhorst kommentiert Vorfall und fordert besondere Vorkehrungen im Bereich der KRITIS

[datensicherheit.de, 01.06.2025] Cybernews hat laut einer eigenen Meldung vom 29. Mai 2025 ein großes Datenleck bei Unimed, einer der weltgrößten Genossenschaft für das Gesundheitswesen, entdeckt – betroffen sind demnach 14 Millionen Nachrichten zwischen Patienten und Ärzten: Zu den Daten gehörten hochgeladene Bilder, Dokumente und andere persönliche Informationen.

Sensibelste und privateste Informationen eines Patienten könnten Cyberkriminalität ausgesetzt sein

Eine der weltweit größten Genossenschaften im Gesundheitswesen, Unimed in Brasilien, wies eine ungeschützte „Kafka“-Instanz auf, durch welche Millionen von Nachrichten zwischen Patienten und Ärzten durchgesickert sein sollen, darunter auch hochgeladene Bilder, Dokumente und andere persönliche Informationen.

Daten aus dem Gesundheitswesen gehören zu den sensibelsten und privatesten Informationen, die ein Mensch besitzt. Sie sind aber, unabhängig auch davon, wie sie behandelt werden, niemals zu 100 Prozent vor Datenlecks sicher. Unimed gilt als ein wichtiger Akteur im brasilianischen Gesundheitssektor mit schätzungsweise 15 Millionen Kunden.

Cybernews-Recherche deckt Gefährdungspotenzial auf

Laut Cybernews-Rechehttps://www.silicon.de/rche sind folgende Informationen vom Unimed-Datenleck betroffen:

• hochgeladene Bilder
• hochgeladene Dokumente
• gesendete Nachrichten
• Namen
• Telefonnummern
• E-Mail-Adressen
• Unimed-Kartennummern

Cybernews warnt vor potenziellen Gefahren dieses Datenlecks

„Daten aus dem Gesundheitswesen sind für Cyberkriminelle sehr wertvoll, da sie Identitätsdiebstahl, Versicherungsbetrug, Phishing und sogar Erpressung ermöglichen.“ In diesem Fall sei das Leck besonders schwerwiegend, da es Angreifern möglich gewesen sei, Nachrichten an Benutzer zu senden, zu löschen oder zu verändern – „was die Tür zu ernsthaften Manipulationen öffnete“.

Dieses Leck sei sehr sensibel, da es vertrauliche medizinische Informationen enthüllt habe. Angreifer könnten die durchgesickerten Details für „Diskriminierung und gezielte Hassverbrechen“ sowie für normale Cyberkriminalität wie Identitätsdiebstahl, medizinischen und finanziellen Betrug, Phishing und Betrug ausnutzen, warnen Cybernews-Forscher.

Weitere Informationen zum Thema:

cybernews, Vilius Petkauskas & Jurgita Lapienytė, 30.05.2025
Major data leak hits Unimed, 14M patient-doctor messages exposed

WIKIPEDIA
Apache Kafka

datensicherheit.de, 31.10.2024
Trinity-Ransomware: Vorfall zeigt, warum starke Sicherheitskultur unverzichtbar auch für den Gesundheitssektor ist / Häufigkeit von Cyber-Angriffen – insbesondere auf das Gesundheitswesen – nimmt zu

datensicherheit.de, 18.06.2024
Gesundheitssektor: Cyber-Attacken an der Tagesordnung / Laut Rubrik Zero Labs 50 Prozent mehr Verschlüsselungsvorfälle nach Cyber-Angriffen

datensicherheit.de, 20.02.2024
Mangelnde Cyber-Sicherheit im Gesundheitswesen: Deutsche Krankenhäuser bringen sich untereinander in Gefahr / Proofpoint warnt: DMARC-Implementierung in deutschen Krankenhäusern noch alarmierend gering

datensicherheit.de, 12.10.2023
Gesundheitswesen im Visier: Patienten leiden unter Cyber-Attacken / Cyber-Attacken haben 2022 in zwei Dritteln der Gesundheitseinrichtungen die Patientenversorgung beeinträchtigt

datensicherheit.de, 04.09.2023
2022: Drei von vier Gesundheitseinrichtungen in Deutschland Opfer von Cyber-Vorfällen / Jeder vierte Cyber-Angriff auf Gesundheitseinrichtungen mit ernsthaften Auswirkungen für Patienten

datensicherheit.de, 10.01.2023
Gesundheitswesen: IT-Sicherheit muss verbessert werden / Christoph Saatjohann erforscht an der der FH Münster Schwachstellen der medizinischen IT-Infrastruktur

[datensicherheit.de, 24.05.2024] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch den it’s.BB e.V., lädt zur nächsten „Awareness“-Veranstaltung zum Thema „KI im Gesundheitswesen: Rechtliche und technische Herausforderungen“ ein. Künstliche Intelligenz (KI) im Gesundheitswesen könne die Diagnose und Behandlung von Krankheiten enorm verbessern – bei Entwicklung und Betrieb von KI-basierten Systemen in der Medizin gebe es jedoch zahlreiche Risiken und Herausforderungen zu beachten.

Abbildung: it’s.BB e.V.

Einladung zu einer Präsenz-Veranstaltung am Donnerstag, dem 30. Mai 2024

Konkreter Use Case: KI-Einsatz für ein Diagnosesystem

Anhand eines konkreten „Use Case“ (eines Diagnosesystems) soll ein Überblick gegeben werden, welche regulatorischen, rechtlichen und technischen Anforderungen zu beachten sind – „beispielsweise in Bezug auf Sicherheit, Datenschutz und Produkthaftung, und welche Risiken für Entwickler und Betreiber bestehen“.

Weiterhin werde aufgezeigt, wie diese Anforderungen in Entwicklung und Betrieb durch geeignete technische Maßnahmen, Prozesse und Vertragsgestaltung umgesetzt, und Risiken reduziert werden könnten.

KI im Gesundheitswesen: Rechtliche und technische Herausforderungen

Donnerstag, 30. Mai 2024
von 16.00 bis 18.00 Uhr (danach „Get Together“)
Dentons Office Berlin
Markgrafenstraße 33
10117 Berlin
Anmeldung erforderlich!

Agenda (ohne Gewähr)

16.30-16.35 Uhr Begrüßung

16.35-17.50 Uhr

• „KI: eine kurze Einführung“
• „Use Case: KI basierte Screening App für Laien“
• „Regulatorische und rechtliche Anforderungen und Risiken“
• „Technische Anforderungen“
• „Juristische und technische Umsetzung der Anforderungen in Entwicklung und Betrieb“
• Zusammenfassung

17.50-18.00 Fragen / Diskussion / Abschluss

Anmeldung zur Veranstaltung:

DENTONS
Einladung zur KI-Veranstaltung mit it’s.BB e.V. / KI im Gesundheitswesen: Rechtliche und technische Herausforderungen

[datensicherheit.de, 25.03.2024] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verweist in einer aktuellen Meldung auf die problematische Lage der Cyber-Sicherheit in Arztpraxen – BSI-Studien zeigen demnach „dringenden Handlungsbedarf“ auf.

Gesundheitswesen: Cyber-Angriffe nehmen zu

Cyber-Angriffe auf das Gesundheitswesen nehmen zu – medizinische Einrichtungen würden immer häufiger das Ziel von Hacker-Angriffen. „Ein zentraler IT-Knotenpunkt unseres Gesundheitswesens ist die Telematikinfrastruktur (TI). Sie ist das Kommunikationsnetzwerk im deutschen Gesundheitssystem, wird regelmäßig kontrolliert und orientiert sich an strengen Spezifikationen.“

Die Sicherheitslage der IT-Infrastruktur von Arztpraxen in Deutschland hingegen werde bisher kaum erfasst, „obwohl sie essenziell für die Verarbeitung sensibler Daten und direkt an die TI angeschlossen sind“. Darum habe das BSI mit zwei aktuellen Studien eine Datengrundlage geschaffen, mittels derer die IT-Sicherheit von Arztpraxen schnell und nachhaltig erhöht werden könne.

SiRiPrax-Studie: Umsetzungsgrad der Richtlinie und Verbesserungspotenziale hinsichtlich Cyber-Sicherheit

In einer deutschlandweiten Umfrage habe das BSI einen Einblick in die Umsetzung der IT-Sicherheitsrichtlinie gem. § 75b SGB V in ca. 1.600 Arztpraxen gewinnen können. Die Richtlinie adressiere Voraussetzungen für die IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung und umfasse auch Anforderungen an die sichere Installation und Wartung der in der vertragsärztlichen Versorgung genutzten Komponenten und Dienste der TI. „Ziel der Befragung war es, den Umsetzungsgrad der Richtlinie zu erheben und Verbesserungspotenziale zu identifizieren.“

Lediglich ein Drittel der Befragten habe eine vollständige Umsetzung aller mit der Richtlinie vorgegebenen Schutzmaßnahmen angegeben. „Gleichzeitig ergab die Befragung, dass zehn Prozent der Arztpraxen bereits mindestens einmal von einem IT-Sicherheitsvorfall betroffen waren.“

Zusätzlich habe sich gezeigt, „dass bei der aktuellen Fassung der IT-Sicherheitsrichtlinie Optimierungsbedarf bezüglich Verständlichkeit und konkreter Hilfestellungen bei der Umsetzung bestehen“. Zudem sei festgestellt worden, dass der Einsatz eines Informationssicherheitsbeauftragten in Arztpraxen sich unmittelbar positiv auf die IT-Sicherheit auswirke.

Ergebnisse der Studie CyberPraxMed weisen auf schwerwiegende Sicherheitsmängel hin

Parallel sei in einer Auswahl von 16 Arztpraxen eine Umfrage mit dem Ziel durchgeführt worden, Cyber-Risikofaktoren und Angriffsmöglichkeiten qualitativ zu erfassen. „Dafür wurden die Netzwerkstruktur, bereits vorhandene Sicherheitsvorkehrungen und der ,Faktor Mensch’, also personelle Aspekte, in den Blick genommen.“ Die Auswahl der Arztpraxen sei nach den Kriterien des Fachgebiets, der Anzahl der und Mitarbeiter sowie der geographischen Lage erfolgt.

Im Rahmen dieses Projekts habe das BSI teils schwerwiegende Sicherheitsmängel – unzureichender Schutz vor Schadsoftware, mangelndes Patchmanagement und fehlende Back-ups – festgestellt. „So befand sich in allen untersuchten Praxen der Konnektor zur Anbindung an die TI im Parallelbetrieb zu einem gewöhnlichen Router und konnte dadurch seine Schutzwirkung nicht vollständig entfalten.“ Zudem seien in keiner der befragten Praxen sensible Patientendaten durch eine Festplattenverschlüsselung geschützt gewesen.

„Ziel des Projekts ist es, Artpraxen einen Projektbericht, der die gefundenen Schwachstellen zusammen mit einer Risikobewertung und Handlungsempfehlungen auflistet, zur Verfügung zu stellen.“ Darin enthalten sei eine Handreichung mit pragmatischen, schnell umsetzbaren Maßnahmen, deren Umsetzung Ärzten die Möglichkeit biete, ihre Praxen mit geringem Aufwand robuster gegen Cyber-Angriffe zu machen.

Viele Cyber-Sicherheitsmängel könnten schnell und ressourcenschonend behoben werden

BSI-Präsidentin Claudia Plattner kommentiert: „Die gute Nachricht ist: Viele der Sicherheitsmängel, die wir festgestellt haben, können schnell und ressourcenschonend behoben werden. Die Ergebnisse aus den Studien ermöglichen uns, die IT-Sicherheit in Arztpraxen durch pragmatischere Vorgaben gezielt zu verbessern und so die Digitalisierung des Gesundheitswesens weiter voranzutreiben. Damit uns das gelingt, brauchen wir einen festen Schulterschluss zwischen allen Akteuren.“

Gelegenheit zum direkten Austausch mit dem BSI zum Themenkomplex „Digital Health“ gebe es auf der Gesundheits-IT-Fachmesse „DMEA“ vom 9. bis 11. April 2024 in Berlin. Am Messestand 105b in Halle 06.2 sollen Interessierte die Möglichkeit haben, sich zu aktuellen BSI-Aktivitäten rund um die TI und vernetzte Medizinprodukte sowie die Cyber-Sicherheit in Arztpraxen und im Rettungswesen zu informieren.

Weitere Informationen zum Thema:

datensicherheit.de, 07.03.2023
Freie Ärzteschaft warnt vor schutzlosen persönlichsten Medizindaten / Freie Ärzteschaft befürchtet Begehrlichkeiten der Pharma-Forschung, Gesundheitspolitik oder -wirtschaft

datensicherheit.de, 05.05.2020]
Gesundheitswesen: Kontrolle über Patientendaten in Kliniken und Praxen / Die 6 größten Schwachstellen im Blick

datensicherheit.de, 28.08.2019
Awareness in Arztpraxen: Datenpannen vermeiden / Sensibilisierung ist unabdingbar, aber nur die eine Seite der Medaille

[datensicherheit.de, 12.10.2023] Die USA gelten seit vielen Jahren als Vorreiter relevanter technischer Neuerungen – und somit auch als Indikator für künftige Entwicklungen in Deutschland. Das gilt offensichtlich leider auch für den Bereich der Cyber-Kriminalität: „Insbesondere beeinträchtigen Cyber-Kriminelle inzwischen im großen Maßstab auch das Gesundheitswesen“, so das Ergebnis einer aktuellen Studie des Ponemom-Instituts im Auftrag von Proofpoint.

64% in den letzten zwei Jahren von Cyber-Angriff auf Lieferkette betroffen

Laut dieser Studie haben Cyber-Attacken im letzten Jahr (2022) in zwei Dritteln der Gesundheitseinrichtungen die Patientenversorgung beeinträchtigt. „Im zweiten Jahr in Folge haben wir festgestellt, dass Angriffe direkte negative Auswirkungen auf die Sicherheit und das Wohlergehen der Patienten haben. Unsere Ergebnisse zeigen auch, dass im Vergleich zu 2022 mehr IT- und Sicherheitsexperten ihre Organisation als anfällig für jede Art von Angriff betrachten“, berichtet Larry Ponemon, Vorsitzender und Gründer des Ponemon Institute. Diese Attacken belasteten auch die Ressourcen noch stärker als im letzten Jahr: Die finanziellen Kosten seien im Durchschnitt um 13 Prozent gestiegen und Gesundheitsinstitutionen benötigen 58 Prozent mehr Zeit, um die Auswirkungen auf die Patientenversorgung zu beheben.

Für die Studie wurden demnach 653 IT- und Sicherheitsexperten im Gesundheitswesen befragt. Sie habe ergeben, dass Angriffe auf die Lieferkette die Patientenversorgung am ehesten beeinträchtigen. Fast zwei Drittel (64%) der befragten Organisationen seien in den letzten zwei Jahren von einem Angriff auf die Lieferkette betroffen gewesen. Bei 77 Prozent dieser Unternehmen sei es infolgedessen zu einer signifikanten Störung der Patientenversorgung gekommen (ein Anstieg gegenüber 70% im Jahr 2022). „Business E-Mail Compromise“ (BEC) sei mit Abstand die Angriffsart, die am ehesten den Erfolg einer Behandlung aufgrund von Verzögerungen gefährde (71%), gefolgt von Ransomware (59%). BEC führe auch am ehesten zu vermehrten Komplikationen bei medizinischen Verfahren (56%) und einer längeren Aufenthaltsdauer (55%).

Kosten einer Cyber-Attacke: Anstieg um 13%

Bei den Kosten einer Cyber-Attacke konstatiere die Studie einen Anstieg um 13 Prozent gegenüber dem Vorjahr. Die durchschnittlichen Kosten für die von einer erfolgreichen Cyber-Attacke betroffenen Organisation hätten rund fünf Millionen US-Dollar betragen. Ryan Witt, Vorsitzender des „Healthcare Customer Advisory Board“ bei Proofpoint, kann nach eigenen Angaben den Ergebnissen der Studie zumindest einen positiven Aspekt abgewinnen: „Obwohl das Gesundheitswesen nach wie vor sehr anfällig für Cyber-Attacken ist, finde ich es ermutigend, dass die Führungskräfte der Branche verstehen, wie ein Cyber-Vorfall die Patientenversorgung beeinträchtigen kann.“

Witt zeigt sich optimistisch, dass bedeutende Fortschritte gemacht werden könnten, um Patienten vor den gesundheitlichen Gefahren in Folge solcher Angriffe zu schützen. Die Studie belege, dass sich die Organisationen des Gesundheitswesens der für sie relevanten Cyber-Risiken bereits bewusst seien. Witts abschließender Kommentar: „Jetzt müssen sie mit ihren Branchenkollegen zusammenarbeiten und die Unterstützung der Regierung in Anspruch nehmen, um eine bessere Cyber-Sicherheitslage zu erreichen – und damit die bestmögliche Patientenversorgung zu gewährleisten.“

Weitere Informationen zum Thema:

proofpoint
Threat Report / 2023 Ponemon Healthcare Cybersecurity Report

[datensicherheit.de, 09.03.2023] Laut einer aktuellen Untersuchung des Digitalverbands Bitkom besteht hinsichtlich der sogenannten Elektronischen Patientenakte (ePA) offensichtlich „noch großer Informationsbedarf“ – 79 Prozent der Deutschen wünschen sich demnach mehr Informationen. Der Bitkom sieht nach eigenen Angaben in der verbindlichen ePA-Einführung einen „Durchbruch bei der Digitalisierung des Gesundheitswesens“.

Foto: bitkom

Achim Berg: Politik und Akteure des Gesundheitswesens gemeinsam gefordert, offen und für die Breite der Gesellschaft gut verständlich zu kommunizieren!

Laut Bitkom sollte ePA-Akzeptanz innerhalb der Bevölkerung gesteigert werden

Die Bundesregierung möchte die ePA ab Ende 2024 für alle gesetzlich Versicherten in Deutschland verbindlich einführen. Bitkom-Präsident Achim Berg kommentiert: „Die verbindliche Einführung der Elektronischen Patientenakte ist ein Durchbruch bei der Digitalisierung des Gesundheitswesens. Die Elektronische Patientenakte ist das Kernstück einer digitalen Gesundheitsversorgung. Mit ihr erhalten die Versicherten einen schnellen Zugriff auf ihre medizinischen Daten und Diagnosen, Ärztinnen und Ärzte können sich ein viel besseres Bild über die Krankengeschichte ihrer Patientinnen und Patienten machen.“

Wichtig sei jetzt vor allem, dass die Akzeptanz innerhalb der Bevölkerung gesteigert werde. Aktuell könnten sich sechs von zehn Deutschen vorstellen, die ePA zu nutzen – „das ist noch zu wenig, kann aber durch gute Aufklärungsarbeit und maximale Transparenz in der Kommunikation gesteigert werden“, so Berg. Hierzu seien Politik und Akteure des Gesundheitswesens gemeinsam gefordert, offen und für die Breite der Gesellschaft gut verständlich zu kommunizieren.

Repräsentative ePA-Befragung im Bitkom-Auftrag im Oktober 2022

Eine repräsentative Befragung im Bitkom-Auftrag im Oktober 2022 habe ergeben, dass sich 59 Prozent der Menschen ab 16 Jahren in Deutschland vorstellen könnten, die ePA künftig zu nutzen. „37 Prozent können sich dies nicht vorstellen, weniger als ein Prozent nutzt sie bereits.“

Die große Mehrheit von 79 Prozent aller Deutschen möchte vor allem besser über die Vorteile sowie die Nutzung der ePA informiert werden.

Weitere Informationen zum Thema:

datensicherheit.de, 10.11.2022
EPA: Freie Ärzteschaft unterstreicht Kritik an Elektronischer Patientenakte / Ärztliche Schweigepflicht droht durch EPA-Paradigmenwechsel zum störenden Auslaufmodell zu werden

datensicherheit.de, 29.11.2021
Freie Ärzteschaft zur ePA: Geplante elektronische Patientenakte führt in die Sackgasse / Ampel-Koalitionäre zur Rücknahme der geplanten, viel kritisierten Opt-out-Option der ePA aufgefordert

datensicherheit.de, 16.02.2021
Prof. Ulrich Kelber fordert weitere Verbesserung der elektronischen Patientenakte / BfDI würde elektronische Patientenakte in jetziger Form nicht nutzen

datensicherheit.de, 07.12.2020
Elektronische Patientenakte: Souveränität der Versicherten über Gesundheitsdaten bewahren / Professor Dieter Kugelmann appelliert an Krankenkassen und Gesetzgeber, Gesundheitsdaten konsequent zu schützen

datensicherheit.de, 03.06.2009
Datenschutz-Risiken bei der elektronischen Patientenakte / Hamburger Datenschutzbeauftragter Caspar sieht die Softwarehersteller in der Pflicht

[datensicherheit.de, 10.01.2023] Die Bedrohung im sogenannten Cyber-Raum ist offenbar so hoch wie nie – zu diesem Ergebnis kommt jedenfalls das Bundesamt für Sicherheit in der Informationstechnik (BSI) 2022 im Bericht zur Lage der IT-Sicherheit in Deutschland. Davon betroffen sei zunehmend auch das Gesundheitswesen: Die Digitalisierung erhöhe dort das Risiko von Vorfällen zulasten der IT-Sicherheit. Insbesondere Krankenhäuser seien in der vergangenen Zeit bereits häufiger Opfer von Cyber-Angriffen geworden. Wie man die aktuell mehr als 200.000 medizinischen Einrichtungen in Deutschland besser schützen kann, untersucht nach eigenen Angaben der FH Münster Christoph Saatjohann, Doktorand im dortigen Labor für IT-Sicherheit. Im Fokus seiner Forschung stehen demnach unterschiedliche Aspekte – von der Telematikinfrastruktur (TI), der zentralen Plattform für digitale Anwendungen im deutschen Gesundheitswesen, über IT-Sicherheitslücken in kardiologischen Implantaten bis hin zur Entwicklung neuer Werkzeuge und Maßnahmen zur Detektion und Reaktion im Falle eines Cyber-Angriffs.

Foto: FH Münster / Jana Bade

Christoph Saatjohann untersucht, wie man Krankenhäuser und Arztpraxen besser vor Cyber-Angriffen schützen kann

Arztpraxen sollten das Thema IT-Sicherheit ernst nehmen

So habe Saatjohann gemeinsam mit Kollegen bereits mehrfach vor gravierenden Sicherheitslücken im Medizinsektor gewarnt. „Sie simulierten einen Hackerangriff und wären in mehreren Fällen in der Lage gewesen, sensible Patientenakten ohne Passwortschutz aufrufen zu können. Auf vielen Kommunikationswegen sei eine sichere Ende-zu-Ende-Verschlüsselung nach wie vor nicht gewährleistet“, meldet die FH Münster. Saatjohann kommentiert mahnend: „Klartext-E-Mails mit sensiblen Daten ohne Verschlüsselung verschicken – das geht so nicht!“

Auch ein Telefax sei heute nicht mehr datenschutzkonform, da es nicht mehr wie früher analog, sondern über das Internet verschickt werde. Bei ihrer Untersuchung hätten sie zudem festgestellt, dass die TI bei falscher Handhabung des sogenannten TI-Konnektors, dem zentralen Gerät für den sicheren Netzzugang, fehleranfällig sei. Saatjohann führt aus: „Es gab damals zwei potenzielle Sicherheitslücken: Einmal bei einer fehlerhaften Konfiguration des Praxisnetzwerks und zum anderen beim Anschluss an ein zentrales Rechenzentrum.“ Es sei wichtig, dass Praxen das Thema IT-Sicherheit ernst nehmen und für die Einrichtung und Wartung der TI-Konnektoren Experten fragen.

Über IT-Sicherheitslücken könnten einzelnen, ausgewählten Personen Schaden zugefügt werden

„Wie sicher oder eher unsicher Technik im Herzen ist, zeigte Saatjohann vergangenes Jahr in einer Studie gemeinsam mit Endres Puschner, Doktorand am Max-Planck-Institut für Sicherheit und Privatsphäre in Bochum, und weiteren Beteiligten der FH Münster sowie des Universitätsklinikums Münster (UKM).“ Die Sicherheitsforscher hätten für die Programmierung und Überwachung von implantierbaren Herzschrittmachern, Kardioverter-Defibrillatoren und Herzmonitoren genutzte Programmiergeräte und Telemonitoring-Geräte analysiert. Über die dabei aufgedeckten Lücken könnte einzelnen, ausgewählten Personen – beispielsweise Prominenten – direkt oder indirekt Schaden zugefügt werden.

Saatjohann und Puschner hätten außerdem die Datenschutz-Prozesse der Hersteller und Krankenhäuser untersucht. Aus Sicht der Patienten seien diese Prozesse „unzureichend und frustrierend“, so der FH-Doktorand. Während eines Vortrags beim virtuellen Hackertreffen „rC3“ (remote Chaos Communication Congress) hätten sie zur Veranschaulichung ein Videospiel auf einem Programmiergerät installiert – „mit dem normalerweise Herzschrittmacher in Kliniken eingestellt und verwaltet werden“.

Im Medizinsektor grundsätzlich großer Nachholbedarf im Bereich IT-Sicherheit

Im März 2022 sei das neueste Forschungsprojekt „MedMax“ gestartet worden, an welchem Saatjohann mitwirke. Unter Leitung von Prof. Dr. Sebastian Schinzel, Leiter des Labors für IT-Sicherheit an der FH Münster, und Prof. Dr. Thomas Hupperich von der WWU Münster hätten die Wissenschaftler erforscht, wie sie mithilfe datenschutzkonform gesammelter Telemetriedaten aus Krankenhäusern Cyber-Angriffe detektieren könnten. Zur Untersuchung seien Methoden des Maschinellen Lernens (ML) genutzt worden, um krankenhausspezifische Angriffsmuster und Anomalien ausfindig zu machen. Dabei bezögen sie erstmalig auch spezielle medizintechnische Kommunikationsprotokolle wie „DICOM“, „HL7“ oder „FHIR“ mit ein. Aufbauend auf Studien der Vorgängerprojekte „MediSec“ sowie „MITSicherheit.NRW“ konfrontiere das Forschungsteam Ärzte, Patienten, Pfleger und IT-Personal mit Cyber-Angriffen und analysiere ihre Reaktionen. „Es hat sich gezeigt, dass eine reine Prävention nicht mehr ausreicht“, betont Saatjohann und rät: „Wir brauchen daher effektive Tools und Maßnahmen zur Detektion und vor allem Reaktion“ – beispielhaft benennt er ein Cyber-Sicherheitstraining für alle Akteure im Gesundheitswesen.

Im Februar 2023 stehe indes der nächste Fachvortrag an – erneut gehe es darin um unsichere E-Mail-Kommunikation. Saatjohann und Fabian Ising, ebenfalls Doktorand im Labor für IT-Sicherheit, würden zum Thema „KIM: Kaos in der Medizin – Unsichere Mails in der TI“ bei einer Konferenz des „DFN-CERT“, dem „Computer Emergency Response Team“ (CERT) des Deutschen Forschungsnetzes (DFN) referieren. Im Mittelpunkt stehen dann laut FH Münster „Schwachstellen im Clientmodul der Fachanwendung Kommunikation im Medizinwesen“ (KIM). Dieses Modul solle Nachrichten beim Versand verschlüsseln und signieren sowie E-Mails beim Abruf entschlüsseln und die Signatur prüfen. Die FH-Doktoranden hätten der gematik, der nationalen Agentur für digitale Medizin und Verantwortungsträgerin der TI, bereits im Frühjahr 2022 Sicherheitslücken gemeldet. „Im Medizinsektor gibt es grundsätzlich großen Nachholbedarf im Bereich IT-Sicherheit“, so Saatjohanns Fazit und unterstreicht abschließend: „In kaum einem Bereich ist die Sicherheit von Daten und die Vermeidung unberechtigter Zugriffe so wichtig wie im Gesundheitswesen.“

Weitere Informationen zum Thema:

DFN CERT
30. DFN-Konferenz „Sicherheit in vernetzten Systemen“ / 08.-10. Februar 2023, Grand Elysée Hotel Hamburg

FH MÜNSTER
Christoph Saatjohann M.Sc.

FH MÜNSTER
MedMax

FH MÜNSTER
Kopfhörer – Der FHMS-Podcast: Hacker im Hospital: IT-Sicherheit im Bereich Medizintechnik

FH MÜNSTER, 12.05.2022
Krankenhäuser besser vor Cyberangriffen schützen / FH Münster, Ruhr-Universität Bochum und Medizintechnikunternehmen schließen gemeinsames Forschungsprojekt ab

FH MÜNSTER, 06.01.2022
„Listen to your heart“: Christoph Saatjohann spricht bei Hackerkongress über IT-Sicherheitslücken in kardiologischen Implantaten

FH MÜNSTER, 23.04.2021
Elektronische Patientenakte – sicher oder unsicher? / Christoph Saatjohann sprach in Online-Vortrag über Sicherheitsrisiken und Chancen der elektronischen Patientenakte