Ein plötzlicher IT-Ausfall kann den Krankenhausbetrieb erheblich gefährden. Häufig stecken hinter Ausfällen jedoch IT-Angriffe.
Im Großraum Berlin gab es zuletzt mehrere Vorfälle dieser Art. Besonders gravieren, ein Cyberangriff auf die IT-Infrastruktur des Trägers Johannesstift Diakonie. Die IT von mehreren Berliner Kliniken war betroffen. Vier Notaufnahmen mussten abgemeldet und die Patientenversorgung auf Notbetrieb umgestellt werden. Viele Abläufe liefen mehrere Wochen lang auf Papier, bis die IT-Systeme wiederhergestellt konnten.
Leider handelt es sich bei diesem Vorfall nicht um einen Einzelfall, wie eine Kleine Anfrage an die letzte Bundesregierung offenlegt. Demnach gab es im Zeitraum von 2020 bis 2023 pro Jahr durchschnittlich 36,5 meldepflichtige Cyberangriffe auf größere Kliniken mit mehr als 30.000 jährlichen, vollstationären Behandlungen.
Diese Zahlen zeigen eindrücklich, welches Risiko IT-Angriffe für Krankenhäuser bergen – und stellen die Frage: Sind unsere Kliniken ausreichend vorbereitet?
Risiken: Wenn die digitale Infrastruktur versagt
Moderne Kliniken sind hochgradig digitalisiert. Fällt das IT-System aus – etwa durch technische Panne, Stromausfall oder Cyberangriff – hat das unmittelbare Auswirkungen auf die Versorgung. Digitale Patientenakten, Labor- und Radiologiesysteme, Telemetrie, OP-Planung, Kommunikation: All das steht plötzlich nicht zur Verfügung. Die Handlungsfähigkeit eines Krankenhauses kann durch einen IT-Totalausfall Wochen bis Monate lang beeinträchtigt sein. In solchen Situationen werden oft sofort Notfallmaßnahmen ergriffen – im Extremfall Schließung der Notaufnahme, Verschiebung elektiver Eingriffe, Reduzierung von Betten und Umstellung auf manuelle Prozesse. Ein IT-Ausfall ist somit nicht nur ein Technikproblem, sondern ein akutes Gefährdungsszenario für Patienten und eine Herausforderung ans Personal.
Eine Studie am Universitätsklinikum Ulm zu IT-Komplettausfällen zeigte, dass sich nur 34 % der Mitarbeiter ausreichend auf einen IT-Vorfall vorbereitet fühlten und unter Aktivierung der Notfallpläne maximal 1/3 der Versorgungsleistung zur Verfügung stand.
Wo liegen also die Schwachstellen? Zum einen in der Technik selbst: Heterogene IT-Landschaften mit Alt-Systemen und fehlenden Updates öffnen Cyberkriminellen Tür und Tor. Viele Krankenhäuser nutzen über Jahrzehnte gewachsene Systeme, die nur mit Aufwand auf den neuesten Sicherheitsstand zu bringen sind. Geräte und Netze sind oft unzureichend segmentiert – ein eingeschleuster Virus kann sich so klinikweit ausbreiten. Doch auch organisatorisch gibt es Defizite: Nicht jede Abteilung hat einen Plan B in der Schublade, wenn Computer und Telefon plötzlich ausfallen – Für kritische Prozesse und Geräte existieren keine Alternativen, wenn die IT streikt.
Die Ursache für IT-Angriffe alleine bei den Kliniken zu suchen greift jedoch zu kurz. Cyberangriffe werden immer professioneller. Selbst gut geschützte Einrichtungen können zum Ziel werden. Ist die Lösung also Akzeptanz?
Lösungen
Nein, das Ziel ist es Angriffe durch Vorbereitung einzudämmen und trotz des Vorfalls handlungsfähig zu bleiben – resilient werden.
Ein gutes Beispiel dafür ist der IT-Angriff auf das Caritas-Klinikum Dominikus im Januar 2024. Neben einer offenen und transparenten Krisenkommunikation konnte, bis auf die Notaufnahme, die Versorgung aufrechterhalten werden und die betroffenen Systeme aus vorher angelegten Backups wiederhergestellt werden.
Mehr dazu, wie Krankenhäuser ihre Resilienz gegenüber IT-Ausfällen und Cyberangriffen stärken können, lesen Sie hier: Resilienz im Gesundheitswesen