Hackerangriffe auf Krankenhäuser

Neben den organisatorischen Herausforderungen, die ein Hackerangriff für ein Krankenhaus mit sich bringt, gefährden Cyberangriffe auf Krankenhäuser oft sogar unmittelbar die Patientenversorgung im Klinikbetrieb. Die Angriffe werden dabei immer professioneller, vor allem durch Ransomware-Kampagnen, bei denen zentrale IT-Systeme verschlüsselt und Lösegeld gefordert wird. Oftmals werden sensible Gesundheitsdaten gestohlen und im Darknet veröffentlicht oder verkauft. Solche Vorfälle erfordern nicht nur technische und organisatorische Sofortmaßnahmen, sondern auch ein rechtssicheres und fristgerechtes Vorgehen, um die daraus resultierenden umfangreichen gesetzlichen Anforderungen zu erfüllen und Haftungsrisiken von Kliniken zu minimieren.

Krankenhäuser geraten zunehmend ins Visier krimineller und staatlich gesteuerter Hacker, da sie als Teil der kritischen Infrastruktur ein besonders lohnendes Angriffsziel darstellen. Die Folgen eines Cyberangriffs sind gravierend: finanzielle Schäden in Millionenhöhe, langwierige Wiederherstellungsprozesse und erhebliche Einschränkungen in der medizinischen Versorgung – von verschobenen Operationen bis hin zum Ausfall von Notaufnahmen. In 71 % der dokumentierten Angriffe kam es zu direkten Beeinträchtigungen in der Patientenversorgung. Gleichzeitig ist das Risiko einer Offenlegung sensibler Gesundheitsdaten besonders hoch.

Das rechtliche Umfeld bei Cyberangriffen auf Krankenhäuser ist komplex. Hier greifen Datenschutzrecht, IT-Sicherheitsrecht, Strafrecht und mitunter auch zivilrechtliche Haftungsansprüche Betroffener ineinander. Die gesetzlichen Anforderungen erfordern eine gute Vorbereitung und ein systematisches und dokumentiertes Vorgehen bei der Aufdeckung und der Reaktion auf einen Cyberangriff auf Kliniken.

Im Mittelpunkt der gesetzlichen Pflichten steht das Datenschutzrecht. Krankenhäuser verarbeiten besonders schützenswerte Daten, nämlich Gesundheitsdaten im Sinne der DSGVO. Ein Datenschutzverstoß liegt vor, sobald Vertraulichkeit, Integrität oder Verfügbarkeit dieser Daten verletzt wird. Dies ist etwa der Fall, wenn Daten unerlaubt abfließen, manipuliert werden oder nicht mehr abrufbar sind.

Verschafft sich ein Angreifer unbefugten Zugang zu IT-Systemen und veröffentlicht Patientendaten im Darknet, liegt eine Verletzung der Vertraulichkeit vor. Kommt es zur Manipulation medizinischer Informationen – etwa durch das Einspeisen falscher Laborwerte oder Medikationsdaten –, ist die Integrität der Daten beeinträchtigt. Wird der Zugriff auf digitale Patientenakten durch Verschlüsselung blockiert und sind medizinische Daten oder Behandlungspläne vorübergehend oder dauerhaft nicht verfügbar, ist die Verfügbarkeit verletzt.

Sobald ein solcher Verstoß festgestellt wird, sind Kliniken verpflichtet, den Vorfall innerhalb von 72 Stunden nach Bekanntwerden der zuständigen Datenschutzaufsichtsbehörde zu melden. In der Regel müssen auch die betroffenen Patienten informiert werden. Die Frist für die Meldung beginnt bereits bei einem relevanten Verdacht, nicht erst nach vollständiger Sachverhaltsaufklärung. Werden Meldepflichten versäumt oder verspätet erfüllt, drohen Bußgelder durch die Datenschutzaufsichtsbehörden und auch erhebliche zivilrechtliche Haftungsrisiken durch die betroffenen Patienten.

Die rechtliche Gesamtverantwortung für die Meldung und Bewältigung liegt bei der Klinikleitung. Auch wenn Aufgaben an Datenschutzbeauftragte und Compliance-Teams oder die IT-Sicherheit delegiert werden können, bleibt die Organisationsverantwortung und letztlich bei der Leitungsebene.

Neben dem Datenschutzrecht greifen die Vorschriften des IT-Sicherheitsrechts. Krankenhäuser zählen zu den Betreibern kritischer Infrastruktur und müssen sicherstellen, dass sie erhebliche Vorfälle dem Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Die europäische NIS2-Richtlinie verschärft diese Pflichten nochmals, indem sie ein dreistufiges Meldeverfahren fordert.

Die Erstmeldung muss spätestens 24 Stunden nach Feststellung eines Vorfalls erfolgen. Innerhalb von 72 Stunden folgt eine detaillierte Folgemeldung, die auch eine Einschätzung des Schweregrads und der Auswirkungen enthalten muss. Spätestens einen Monat danach ist ein Abschlussbericht zu erstellen, in dem die Ursachen und die ergriffenen Maßnahmen dokumentiert werden.

Meldungen sind nicht nur dann erforderlich, wenn tatsächlich schwere Störungen eingetreten sind. Bereits die Möglichkeit eines schwerwiegenden Vorfalls kann ausreichen, um eine Meldepflicht auszulösen. Ziel der IT-Sicherheitsmeldepflicht ist ein umfassendes Risikomanagement und die Sicherstellung der Funktionsfähigkeit der Patientenversorgung als Teil der kritischen Infrastruktur.

Ein Cyberangriff auf eine Klinik kann strafrechtlich relevante Tatbestände erfüllen, etwa nach den §§ 202a ff., 303a, 303b StGB (Ausspähen und Verändern von Daten, Computersabotage) sowie § 263a StGB (Computerbetrug). Auch Datenhehlerei (§ 202d StGB) kann einschlägig sein, insbesondere bei der Weitergabe oder dem Verkauf sensibler Gesundheitsdaten. Eine frühzeitige Zusammenarbeit mit den Strafverfolgungsbehörden – etwa über die zentralen Ansprechstellen für Cybercrime (ZAC) der Landeskriminalämter – ist daher zu empfehlen.

Damit die Kommunikation mit Ermittlungsbehörden, Aufsichtsstellen und ggf. Betroffenen rechtlich sauber und strategisch sinnvoll erfolgt, ist es zudem ratsam, frühzeitig auch spezialisierte anwaltliche Unterstützung einzubinden. Dabei gilt es insbesondere, alle gesetzlichen Melde- und Mitwirkungspflichten zu erfüllen, ohne durch vorschnelle oder ungeschützte Aussagen die Rechtsposition der Klinik zu schwächen – etwa im Hinblick auf potenzielle Haftung, Bußgelder oder Regressforderungen Betroffener.

Um alle Meldepflichten und notwendigen Schritte nach einem Vorfall einhalten zu können, sollten Krankenhäuser ein umfassendes Incident-Management aufbauen. Die Rollen und Abläufe müssen klar definiert sein. Es muss festgelegt werden, wer im Ernstfall die Meldungen vornimmt und welche Abteilungen informiert werden.

Die Zusammenarbeit mit IT-Dienstleistern sollte durch vertragliche Regelungen abgesichert sein, damit im Notfall schnell und koordiniert gehandelt werden kann. Auch Cyber-Versicherungen können dabei eine Rolle spielen, denn eine sofortige Schadensmeldung ist für die Unterstützung, sowie den Versicherungsschutz essentiell. Auch die Einschaltung forensischer Spezialisten zur die Aufklärung und Beweissicherung ist zu gewährleisten.

Die gesetzlichen Meldefristen sind knapp, die Anforderungen komplex – und das Haftungsrisiko für Klinikleitungen erheblich. Eine wirksame Strategie besteht deshalb nicht allein in technischer Prävention, sondern in einer klar strukturierten und regelmäßig eingeübten Krisenorganisation, um Sanktionsrisiken und Bußgelder zu vermindern und das komplexe Stakeholder-Management für den Ernstfall vorzubereiten.

Kliniken sollten dabei Incident-Response-Teams aufbauen und die dazugehörigen Meldeprozesse üben. Die bestehenden Sicherheits- und Datenschutzprozesse müssen dabei fortlaufend an die aktuellen gesetzlichen Vorgaben angepasst werden, sodass neue gesetzliche Pflichten beachtet werden können.

Auch Verträge mit Dienstleistern und Versicherungen sollten dabei im Hinblick auf das Vorfall-Managment überprüft werden. Nach einem Vorfall ist eine gründliche Ursachenanalyse notwendig, um Erkenntnisse für künftige Schutzmaßnahmen zu gewinnen und die Prozessabläufe weiter zu optimieren.

Durch gezielte Vorbereitung und vorausschauendes Handeln können sich Krankenhäuser wirksam auf den Ernstfall einstellen. So lassen sich im Krisenfall vorhandene Ressourcen bündeln, um die Patientenversorgung rasch wiederherzustellen, rechtliche Risiken zu minimieren und wirtschaftliche Schäden abzuwenden. Die gesetzlichen Anforderungen sind hoch, doch mit klarer Organisation und durchdachten Prozessen lassen sie sich praxisgerecht und rechtssicher erfüllen.