Files
it-hilf-sofort/artikel-06-sicherheitsvorfaelle.html
T
Hermes Agent 4ef9957e96 feat(blog): 24 fertige Artikel von Basti + Routen-Mapping in ALICIA.md
- 6 Blog-Routen mit je 3-5 Artikeln gemappt
- Artikel als semantisches HTML mit Quellen + CTA zu /kontakt/
- Alicia muss nur in _base_template() wrappen
2026-06-25 16:15:13 +02:00

230 lines
17 KiB
HTML
Raw Blame History

This file contains ambiguous Unicode characters
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
<!DOCTYPE html>
<html lang="de">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<meta name="description" content="Der BSI-Lagebericht 2025 dokumentiert 138 sicherheitsrelevante Vorfälle im Gesundheitswesen. Pflegeeinrichtungen sind besonders betroffen doch es gibt keine Meldepflicht. Erfahren Sie, welche 5 Sofortmaßnahmen Ihre Einrichtung jetzt umsetzen sollte.">
<title>138 Sicherheitsvorfälle im Gesundheitswesen BSI-Lagebericht 2025 | IT-Hilfe-Sofort</title>
</head>
<body>
<article>
<h1>138 Sicherheitsvorfälle im Gesundheitswesen: Was der BSI-Lagebericht 2025 für Pflegeeinrichtungen bedeutet</h1>
<p class="meta">25. Juni 2026 | Lesezeit: ca. 7 Minuten</p>
<p>
<strong>Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im April 2026 seinen Lagebericht „Cybersicherheit im Gesundheitswesen 2025" veröffentlicht. Im Berichtszeitraum Oktober 2024 bis September 2025 dokumentierte das BSI 138 sicherheitsrelevante Vorfälle mit Bezug zum Gesundheitswesen.</strong> Die tatsächliche Zahl liegt mit hoher Wahrscheinlichkeit deutlich höher denn für die Mehrheit der Pflegeeinrichtungen, Arztpraxen und ambulanten Dienste besteht bislang keine gesetzliche Meldepflicht. Was der Bericht für Ihre Einrichtung bedeutet und welche fünf Sofortmaßnahmen Sie jetzt umsetzen sollten, lesen Sie in diesem Artikel.
</p>
<hr id="system-readmore" />
<h2>138 Vorfälle in 12 Monaten die offizielle Statistik</h2>
<p>
Die 138 dokumentierten Vorfälle verteilen sich auf vier Kategorien. Den größten Anteil machen Vorfälle im Umfeld der <strong>Telematikinfrastruktur (TI)</strong> aus ein Bereich, der durch die Einführung von E-Rezept, elektronischer Patientenakte (ePA) und KIM-Dienst stark an Bedeutung gewonnen hat. Die zweitgrößte Gruppe bilden die <strong>Leistungserbringer</strong> selbst: Krankenhäuser, Arztpraxen, Pflegeeinrichtungen, Apotheken und Krankenkassen.
</p>
<table>
<thead>
<tr>
<th>Kategorie</th>
<th>Anzahl Vorfälle</th>
<th>Anmerkung</th>
</tr>
</thead>
<tbody>
<tr>
<td>Telematikinfrastruktur</td>
<td><strong>62</strong></td>
<td>Deutlicher Zuwachs durch E-Rezept, ePA und KIM</td>
</tr>
<tr>
<td>Leistungserbringer</td>
<td><strong>43</strong></td>
<td>Krankenhäuser, Arztpraxen, Pflegeeinrichtungen, Apotheken, Krankenkassen</td>
</tr>
<tr>
<td>Hersteller und Produkte</td>
<td><strong>23</strong></td>
<td>Rückgang methodisch bedingt</td>
</tr>
<tr>
<td>Sonstige</td>
<td><strong>10</strong></td>
<td>Regulatorische Entwicklungen, EU-Vorhaben</td>
</tr>
</tbody>
</table>
<p>
<strong>Quelle:</strong> <a href="https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Gesundheitswesen_2025.html" target="_blank" rel="noopener">BSI Cybersicherheit im Gesundheitswesen 2025</a>
</p>
<h2>Die Dunkelziffer: Warum die echte Bedrohungslage deutlich höher ist</h2>
<p>
Das BSI selbst weist im Bericht ausdrücklich auf eine <strong>erhebliche Dunkelziffer</strong> hin. Der Grund: Für Leistungserbringer außerhalb der KRITIS-Regulierung und das ist die überwiegende Mehrheit der Pflegeeinrichtungen, Arztpraxen und ambulanten Dienste besteht <strong>keine gesetzliche Meldepflicht</strong> für IT-Sicherheitsvorfälle. Anders als Krankenhäuser ab einer bestimmten Größe oder Betreiber kritischer Infrastrukturen müssen Pflegedienste und Pflegeheime einen Cyberangriff nicht an das BSI melden.
</p>
<p>
Die offizielle Statistik zeigt deshalb nur einen Ausschnitt der tatsächlichen Bedrohungslage. Das BSI formuliert es im Bericht unmissverständlich: <strong>„Die offizielle Statistik zeigt deshalb nur einen Teil der tatsächlichen Bedrohungslage."</strong> Mit anderen Worten: Die 138 dokumentierten Vorfälle sind die Spitze des Eisbergs. Wie viele Pflegeeinrichtungen im Berichtszeitraum tatsächlich von Ransomware, Phishing oder Datenabfluss betroffen waren, weiß niemand genau weil niemand verpflichtet ist, es zu melden.
</p>
<p>
<strong>Quelle:</strong> <a href="https://firewalls24.de/blog/bsi-lagebericht-gesundheitswesen-2025-n178" target="_blank" rel="noopener">Firewalls24 Analyse des BSI-Lageberichts Gesundheitswesen 2025</a>
</p>
<h2>Pflegeeinrichtungen im Fadenkreuz auch ohne Meldepflicht</h2>
<p>
Dass Pflegeeinrichtungen besonders betroffen sind, hat mehrere Gründe. Anders als Krankenhäuser verfügen die meisten Pflegedienste und Pflegeheime über <strong>keine eigene IT-Abteilung</strong>. Firewalls sind veraltet, Software wird nicht regelmäßig aktualisiert, und für das Thema Cybersicherheit fehlen oft sowohl das Budget als auch das Bewusstsein. Genau diese Kombination macht Pflegeeinrichtungen zu einem attraktiven Ziel für Cyberkriminelle.
</p>
<p>
Die 43 Vorfälle bei Leistungserbringern im Schnitt fast vier pro Monat zeigen einen <strong>dauerhaften Angriffsdruck</strong>. Dabei sind kleinere Einrichtungen nicht nur direkte Ziele, sondern auch <strong>Einfallstore für größere Angriffsketten</strong>: Ein kompromittierter Pflegedienst kann als Sprungbrett für Angriffe auf Krankenhäuser, Krankenkassen oder die Telematikinfrastruktur dienen. Die typischen Angriffsmuster sind:
</p>
<ul>
<li><strong>Ransomware:</strong> Verschlüsselung von Patientendaten und Pflegedokumentationen, Blockade sämtlicher Arbeitsabläufe</li>
<li><strong>Phishing:</strong> Gezielte E-Mails an Pflegedienstleitungen oder Verwaltungskräfte mit dem Ziel, Zugangsdaten zu erbeuten</li>
<li><strong>Ausnutzen ungepatchter Systeme:</strong> Veraltete Softwareversionen mit bekannten Sicherheitslücken als offene Tür für Angreifer</li>
<li><strong>Lieferkettenangriffe:</strong> Kompromittierung über verbundene Systeme, Dienstleister oder Softwareanbieter</li>
</ul>
<p>
<strong>Quelle:</strong> <a href="https://aphos.de/informationen/blog/bsi-cybersicherheit-gesundheitswesen-2025" target="_blank" rel="noopener">aphos.de BSI-Lagebericht Cybersicherheit im Gesundheitswesen 2025</a>
</p>
<h2>DiPS 2025: Erstmals digitale Pflegedokumentation im Sicherheitscheck</h2>
<p>
Ein Novum im diesjährigen Lagebericht ist die <strong>DiPS-Studie 2025</strong> die erste systematische Untersuchung des BSI zur Sicherheit digitaler Pflegedokumentationssysteme. Systeme wie MediFox, Vivendi oder CareCloud sind inzwischen in den meisten Pflegeeinrichtungen im Einsatz. Das BSI hat die Produktsicherheit dieser Systeme erstmals eigenständig geprüft und nicht nur die Betriebsumgebung.
</p>
<p>
Das zentrale Ergebnis der Studie fasst das BSI in einem Satz zusammen, den sich jede Pflegedienstleitung einprägen sollte:
</p>
<blockquote>
<p>„Erst wenn die Betriebsumgebung sicher ist, können auch die einzelnen Produkte sicher betrieben werden. Zudem müssen diese unterschiedlichen Produkte ihrerseits die Sicherheit erhöhen und dürfen keinesfalls etablierte Sicherheitsmaßnahmen untergraben."</p>
<cite> BSI, DiPS 2025</cite>
</blockquote>
<p>
Die Kernerkenntnis: <strong>Sicherheit entsteht nicht allein durch den Kauf einer Software.</strong> Sie entsteht durch das Zusammenspiel von Produkt, Konfiguration, Betriebsumgebung und organisatorischen Prozessen. Eine Pflegedokumentationssoftware, die in einer ungesicherten Netzwerkumgebung betrieben wird, ist ein Sicherheitsrisiko unabhängig davon, wie gut die Software selbst programmiert ist.
</p>
<p>
<strong>Quelle:</strong> <a href="https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Gesundheitswesen_2025.html" target="_blank" rel="noopener">BSI Cybersicherheit im Gesundheitswesen 2025 (DiPS-Studie)</a>
</p>
<h2>Vernetzte Medizinprodukte: Wenn der Blutdruckmonitor zur Sicherheitslücke wird</h2>
<p>
Ein weiterer Schwerpunkt des Lageberichts sind <strong>vernetzte Medizinprodukte</strong> von intelligenten Blutdruckmessgeräten über vernetzte Bettsensoren bis hin zu telemedizinischen Überwachungssystemen. Die technischen Schwachstellen dieser Geräte unterscheiden sich nicht grundsätzlich von denen anderer vernetzter Geräte. Der entscheidende Unterschied: <strong>Die Auswirkungen eines Angriffs sind ungleich gravierender</strong>, weil sie unmittelbar die Patientensicherheit gefährden können.
</p>
<p>
Das BSI hat eine <strong>„Handlungsempfehlung für Hersteller von vernetzten Medizinprodukten"</strong> veröffentlicht und fordert darin <strong>Security by Design</strong> und <strong>Security by Default</strong> also Sicherheit, die von Anfang an in die Produktentwicklung integriert ist und ab Werk aktiviert wird. Für Pflegeeinrichtungen als Betreiber solcher Geräte bedeutet das:
</p>
<ul>
<li>Bereits bei der <strong>Beschaffung</strong> aktiv nach Security-by-Design-Prinzipien fragen</li>
<li>Vernetzte Medizingeräte in <strong>separaten Netzwerksegmenten</strong> betreiben getrennt von Pflegedokumentation und Verwaltung</li>
<li>Da viele IoT-Geräte keine klassischen Endpoint-Agents unterstützen: <strong>Schutz auf Netzwerkebene</strong> durch Network Detection and Response (NDR)</li>
</ul>
<p>
<strong>Quelle:</strong> <a href="https://firewalls24.de/blog/bsi-lagebericht-gesundheitswesen-2025-n178" target="_blank" rel="noopener">Firewalls24 Vernetzte Medizinprodukte im BSI-Lagebericht</a>
</p>
<h2>NIS-2 und die Pflege: Was gilt und was nicht?</h2>
<p>
Die EU-Richtlinie NIS-2, die mit dem <strong>NIS2UmsuCG</strong> am 13. November 2025 in deutsches Recht überführt wurde, verbessert die Meldepflichten für betroffene Einrichtungen erheblich. Für die Pflegebranche gilt jedoch eine wichtige Einschränkung: <strong>Die Langzeitpflege ist vom Anwendungsbereich der NIS-2 ausgenommen.</strong> Ausnahmen bestehen nur für Einrichtungen der außerklinischen Intensivpflege, für Träger mit mehr als 50 Mitarbeitenden oder mit mehr als 10 Millionen Euro Jahresumsatz.
</p>
<p>
Das bedeutet: Die meisten Pflegedienste und Pflegeheime fallen <strong>nicht direkt</strong> unter NIS-2. Dennoch sollten sie die regulatorische Entwicklung genau verfolgen aus zwei Gründen:
</p>
<ol>
<li><strong>Lieferkettenpflichten:</strong> Wer mit NIS-2-pflichtigen Einrichtungen zusammenarbeitet etwa mit Krankenhäusern oder großen Krankenkassen kann über Lieferkettenpflichten indirekt in die Verantwortung genommen werden.</li>
<li><strong>DSGVO Art. 32 gilt ohne Ausnahme:</strong> Jede Einrichtung, die Gesundheitsdaten verarbeitet, ist nach der Datenschutz-Grundverordnung zu angemessenen technisch-organisatorischen Schutzmaßnahmen nach dem aktuellen Stand der Technik verpflichtet. Das von NIS-2 geforderte Schutzniveau entspricht im Wesentlichen dem, was die DSGVO ohnehin verlangt.</li>
</ol>
<p>
<strong>Quelle:</strong> <a href="https://aphos.de/informationen/blog/bsi-cybersicherheit-gesundheitswesen-2025" target="_blank" rel="noopener">aphos.de NIS-2 und ambulante Versorgung</a>
</p>
<h2>5 Sofortmaßnahmen für Ihre Pflegeeinrichtung</h2>
<p>
Aus den Empfehlungen des BSI und den Erkenntnissen des Lageberichts lassen sich <strong>fünf konkrete Sofortmaßnahmen</strong> ableiten, die jede Pflegeeinrichtung unabhängig von ihrer Größe jetzt umsetzen sollte:
</p>
<ol>
<li>
<strong>Betriebsumgebung absichern:</strong> Segmentieren Sie Ihr Netzwerk. Pflegedokumentation, Verwaltung, IoT-Geräte und Gäste-WLAN gehören in getrennte Netzwerksegmente. Eine sauber konfigurierte Firewall ist die Grundvoraussetzung für alle weiteren Sicherheitsmaßnahmen.
</li>
<li>
<strong>Endpoint- und E-Mail-Schutz aktivieren:</strong> Phishing ist der häufigste Angriffsvektor. Setzen Sie auf KI-gestützte Erkennung, die verdächtige E-Mails erkennt, bevor sie im Posteingang Ihrer Mitarbeitenden landen. Ergänzen Sie dies durch einen aktuellen Endpoint-Schutz auf allen Geräten.
</li>
<li>
<strong>IoT-Pflegegeräte über das Netzwerk absichern:</strong> Vernetzte Blutdruckmessgeräte, Bettsensoren und andere IoT-Geräte unterstützen meist keine klassischen Sicherheits-Agents. Setzen Sie stattdessen auf <strong>Network Detection and Response (NDR)</strong>, um Anomalien im Netzwerkverkehr zu erkennen.
</li>
<li>
<strong>Kontinuierliche Überwachung etablieren:</strong> Cyberangriffe passieren nicht nur während der Bürozeiten. Ein <strong>24/7-Überwachungsdienst (Managed Detection and Response, MDR)</strong> schließt das Zeitfenster-Risiko auch für Einrichtungen ohne eigene IT-Abteilung.
</li>
<li>
<strong>Betroffenheitsprüfung und Schwachstellenanalyse durchführen:</strong> Lassen Sie individuell prüfen, ob NIS-2 auf Ihre Einrichtung anwendbar ist. Führen Sie eine externe Schwachstellenanalyse Ihrer öffentlich sichtbaren Infrastruktur durch das ist der schnellste Weg, um akute Sicherheitslücken zu identifizieren.
</li>
</ol>
<p>
<strong>Quelle:</strong> <a href="https://firewalls24.de/blog/bsi-lagebericht-gesundheitswesen-2025-n178" target="_blank" rel="noopener">Firewalls24 Konkrete Maßnahmen aus dem BSI-Lagebericht</a>
</p>
<h2>Keine Meldepflicht aber trotzdem in der Verantwortung</h2>
<p>
Dass Pflegeeinrichtungen IT-Sicherheitsvorfälle nicht melden müssen, ist auf den ersten Blick eine Erleichterung. Auf den zweiten Blick ist es ein <strong>gefährlicher blinder Fleck</strong>. Denn die fehlende Meldepflicht bedeutet nicht, dass keine Angriffe stattfinden sie bedeutet nur, dass niemand davon erfährt. Das BSI kann keine Lagebilder erstellen, keine Warnungen herausgeben und keine gezielten Schutzempfehlungen für die Pflegebranche entwickeln, wenn die Datenbasis fehlt.
</p>
<p>
Für Ihre Einrichtung bedeutet das: <strong>Verlassen Sie sich nicht darauf, dass „schon nichts passieren wird".</strong> Die 138 dokumentierten Vorfälle sind nur die sichtbare Spitze. Die unsichtbare Masse die nicht gemeldeten Angriffe auf Pflegedienste und Pflegeheime ist mit hoher Wahrscheinlichkeit um ein Vielfaches größer. Cybersicherheit ist keine optionale Zusatzleistung, sondern Teil der Versorgungsstabilität.
</p>
<h2>Fazit: Nicht ob, sondern wann</h2>
<p>
Der BSI-Lagebericht 2025 ist keine Panikmache, sondern eine nüchterne Bestandsaufnahme. 138 dokumentierte Vorfälle, eine anerkannte Dunkelziffer, eine erstmalige Untersuchung zur Sicherheit von Pflegedokumentationssystemen und klare Empfehlungen für vernetzte Medizinprodukte das ist die Realität der Cybersicherheit im Gesundheitswesen im Jahr 2025.
</p>
<p>
Die Kernbotschaft des Berichts ist eindeutig: <strong>Die Frage ist nicht, ob ein Angriff stattfindet, sondern wann.</strong> Investitionen in eine belastbare Sicherheitsarchitektur reduzieren das Risiko erheblich und schaffen die Grundlage für künftige regulatorische Anforderungen. Wer jetzt handelt, schützt nicht nur seine Daten, sondern auch seine Abrechnungsfähigkeit, seine Reputation und im Ernstfall die Gesundheit der ihm anvertrauten Menschen.
</p>
<p>
<span style="text-decoration: underline;"><strong>Quellen</strong></span>
</p>
<ol>
<li><a href="https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Gesundheitswesen_2025.html" target="_blank" rel="noopener">BSI Cybersicherheit im Gesundheitswesen 2025 (Originalbericht)</a></li>
<li><a href="https://firewalls24.de/blog/bsi-lagebericht-gesundheitswesen-2025-n178" target="_blank" rel="noopener">Firewalls24 Analyse und Bewertung des BSI-Lageberichts Gesundheitswesen 2025</a></li>
<li><a href="https://aphos.de/informationen/blog/bsi-cybersicherheit-gesundheitswesen-2025" target="_blank" rel="noopener">aphos.de BSI-Lagebericht Cybersicherheit im Gesundheitswesen 2025</a></li>
<li><a href="https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2025_Achtseiter.pdf?__blob=publicationFile&v=7" target="_blank" rel="noopener">BSI Die Lage der IT-Sicherheit in Deutschland 2025 (PDF)</a></li>
</ol>
<div class="cta">
<p><strong>Cyberangriffe treffen Pflegeeinrichtungen jeden Tag oft unbemerkt und ohne Meldung.</strong> Wir von IT-Hilfe-Sofort vermitteln Ihnen itbuddy.care die digitale Komplettlösung für Pflegedienste, Pflegeheime und Tagespflegen. Mit Hosting in Deutschland, vollständiger Ende-zu-Ende-Verschlüsselung und 24/7-Überwachung schützen wir Ihre Einrichtung vor den Bedrohungen, die der BSI-Lagebericht beschreibt. Vereinbaren Sie jetzt Ihren persönlichen Demo-Termin.</p>
<a href="/kontakt/">Jetzt Demo-Termin vereinbaren</a>
</div>
</article>
</body>
</html>