• security for healthcare

Im Jahr 2025 stehen Gesundheitseinrichtungen vor weit mehr als medizinischen Herausforderungen – sie müssen sich zunehmend gegen eine anhaltende Bedrohung durch Cyberangriffe behaupten. Die Pandemie hat die digitale Transformation im Gesundheitswesen erheblich beschleunigt. Viele Organisationen arbeiten jedoch noch immer daran, die Folgen der oftmals kurzfristigen und ungeplanten Digitalisierung zu bewältigen. Vernetzte Medizingeräte, cloudbasierte Patientenakten und Telemedizin haben zahlreiche neue Angriffsflächen geschaffen.

Nach Angaben des World Economic Forum (2024) verursacht kein anderer Wirtschaftssektor höhere Kosten durch Cyberangriffe als das Gesundheitswesen. Die durchschnittlichen Kosten einer Sicherheitsverletzung belaufen sich auf 10,9 Millionen US-Dollar pro Vorfall – nahezu doppelt so viel wie im Finanzsektor. Cyberangriffe gefährden heute längst nicht mehr nur die Vertraulichkeit sensibler Daten. Sie beeinträchtigen die Patientenversorgung, verzögern Behandlungen und können im schlimmsten Fall Menschenleben gefährden.

Veraltete IT-Systeme, der Fachkräftemangel und zunehmend komplexe digitale Infrastrukturen erhöhen den Handlungsdruck zusätzlich. Deshalb ist Cyber-Resilienz heute weit mehr als ein IT-Thema – sie ist eine grundlegende Voraussetzung für einen sicheren und kontinuierlichen Klinikbetrieb.

Die Schwachstelle

Die meisten Cyberangriffe auf das Gesundheitswesen zielen auf externe Dienstleister ab – also Drittanbieter, die über weitreichende Zugriffsrechte verfügen, um Wartungen und Updates an Krankenhausgeräten durchzuführen.

Diese Dienstleister verbinden sich regelmäßig mit der OT-Umgebung (Operational Technology) von Gesundheitseinrichtungen – sei es auf der medizinischen Seite (z. B. CT-Scanner, MRT-Geräte, Überwachungssysteme, Beatmungsgeräte, Infusionspumpen) oder auf der gebäudetechnischen Seite (z. B. Energiemanagement, Aufzugssteuerung, Klimaanlagen, medizinische Versorgungssysteme). Gerade diese Heterogenität der Systeme – kombiniert mit einem meist niedrigen Sicherheitsniveau der eingesetzten Verbindungstechnologien – verstärkt die damit verbundenen Cyberrisiken erheblich.

Die Rolle von OT-Technologie

Operational Technology (OT) umfasst laut Gartner „Hardware und Software, die durch direktes Überwachen und/oder Steuern physischer Geräte, Prozesse und Ereignisse Veränderungen erkennt oder herbeiführt.“

In den vergangenen Jahren hat die Automatisierung und Digitalisierung im Gesundheitswesen stark zugenommen – insbesondere bei medizinischen Geräten zur Überwachung, Nachverfolgung und Effizienzsteigerung der Versorgung. Zweifellos tragen diese OT-basierten Systeme und vernetzten Medizintechnologien dazu bei, die Versorgungsqualität zu verbessern, Kosten zu senken und Prozesse effizienter zu gestalten. Allerdings vergrößern sie jedoch gleichzeitig auch die potenzielle Angriffsfläche für Organisationen erheblich.

Die Risiken vernetzter Medizingeräte

Moderne Krankenhäuser nutzen heute medizinische Geräte wie Herzschrittmacher, Insulinpumpen und weitere Systeme, die softwaregesteuert arbeiten. Diese Geräte basieren häufig auf veralteten Betriebssystemen und werden von den Herstellern nicht regelmäßig aktualisiert – was zu zahlreichen Sicherheitslücken führt.

Ein zentrales Problem: Viele dieser Geräte weisen bereits von Haus aus erhebliche Schwachstellen auf, da Sicherheitsaspekte bei der Entwicklung oft nicht berücksichtigt wurden. Funktionen wie Datenverschlüsselung, Passwortmanagement oder Authentifizierungsmechanismen fehlen bei dieser Art von Ausrüstung meist vollständig.

In der Praxis werden medizinische Geräte in der Regel von den Herstellern bereitgestellt und betreut, wobei lokale Ansprechpartner häufig biomedizinische Ingenieure sind. Die Kompetenz liegt damit weitgehend bei den Herstellern, die regelmäßig Fernzugriff auf die Systeme benötigen, um die Services aufrechtzuerhalten. Dies führt zu geschlossenen Hard- und Software-Infrastrukturen, die aus Sicht der Cybersicherheit besonders anfällig sind.

Zudem setzen viele Hersteller nach wie vor auf veraltete Fernwartungslösungen, die kaum abgesichert sind und sich unkontrolliert im gesamten Krankenhausumfeld verbreiten. Damit umgehen sie vorhandene Sicherheitsmechanismen und setzen das gesamte IT-System erheblichen Risiken aus. Das Einschleusen gezielter Schadsoftware oder Ransomware kann so sehr schnell zur vollständigen Funktionsunfähigkeit medizinischer Geräte führen. Der Schutz dieser Systeme betrifft daher längst nicht mehr nur den Verlust von Daten oder die Entwendung sensibler Informationen – sondern kann unmittelbar zur Gefährdung von Menschenleben führen.

OT-Sicherheit ist Gesundheitsschutz

Ein Angreifer, der in ein Krankenhausnetzwerk eindringt, wird unweigerlich versuchen, sich lateral im Netzwerk zu bewegen, um Informationen zu sammeln und weitere Komponenten wie Datenbanken oder Server zu kompromittieren. Daher ist es essenziell, den Zugriff privilegierter Benutzer abzusichern und Zugriffsrechte sowie mögliche Rückkopplungspfade auf Zielsystemen streng zu kontrollieren.

Aus diesem Grund muss jede Gesundheitseinrichtung, die eine OT-Lösung einführt, nicht nur überlegen, wie sich alle Geräte absichern lassen, sondern auch prüfen, welchen Schutz sie privilegierten Ressourcen jenseits der Netzwerkgeräte bietet.

Im Jahr 2025 bewegen sich Gesundheitseinrichtungen in einem deutlich stärker regulierten Umfeld der Cybersicherheit. Internationale Standards wie MITRE ATT&CK for ICS und ISA/IEC 62443 bilden heute eine wichtige Grundlage, um Sicherheitsstrategien für IT- und OT-Umgebungen aufeinander abzustimmen.

In Europa markiert insbesondere die NIS2-Richtlinie, deren Umsetzung Ende 2024 begonnen hat, einen Wendepunkt. Sie verpflichtet Gesundheitseinrichtungen dazu, ihre OT-Sicherheit zu stärken, Prozesse für die Reaktion auf Sicherheitsvorfälle auszubauen und ihre Cyber-Resilienz nachweisbar zu verbessern.

Gemeinsam stehen diese Standards und regulatorischen Vorgaben für einen grundlegenden Wandel: Weg von einer rein Compliance-orientierten Cybersicherheit, hin zu einer ganzheitlichen, proaktiven Sicherheitsstrategie, die IT und OT gleichermaßen berücksichtigt.

Angesichts der bevorstehenden Anforderungen wird die Einführung einer Privileged Access Management (PAM)-Lösung entscheidend sein, um die Sicherheit vernetzter Medizingeräte und OT-Komponenten – etwa für Energieversorgung, Gebäudesteuerung oder Aufzugsysteme – zu gewährleisten.

Allerdings stellen Herausforderungen wie die Aufrechterhaltung der Betriebsbereitschaft, bestehende Herstellergarantien und der veraltete Stand vieler OT-Geräte besondere Anforderungen, die herkömmliche PAM-Systeme oft nicht erfüllen können. Die Kompatibilität mit proprietären Protokollen und die Tatsache, dass auf medizintechnischen Geräten häufig keine Agentensoftware installiert werden kann, erschweren die Umsetzung zusätzlich.

Eine wirksame PAM-Lösung muss daher leistungsfähige Werkzeuge bereitstellen und klare Richtlinien zur Absicherung privilegierter Zugangsdaten durchsetzen. Die Protokollierung von Benutzeraktivitäten in Echtzeit sowie das automatisierte Monitoring und ggf. das Beenden von Sitzungen tragen dazu bei, Angriffe frühzeitig zu erkennen und zu verhindern. Dies ist nicht nur für die Sicherheit der Geräte und ihrer Netzwerkanbindung entscheidend, sondern auch für die Erfüllung von Compliance-Anforderungen.

Sicherheit muss integraler Bestandteil der Einführung medizinischer Geräte sein – begleitet von Change-Management-Maßnahmen und gezielter Sensibilisierung der Mitarbeitenden. Denn Angriffe auf diese Systeme nehmen nicht nur zu, sondern führen auch zu immer schwerwiegenderen Konsequenzen.

Der Lösungsansatz

WALLIX PAM – eine ganzheitliche Lösung für das Privilegienmanagement – setzt auf das Prinzip der minimalen Rechtevergabe (Least Privilege), um sicherzustellen, dass alle Benutzer – ob Mensch oder Maschine – ausschließlich auf jene sensiblen Ressourcen zugreifen können, die sie zur Ausführung einer bestimmten Aufgabe benötigen: zur richtigen Zeit, mit dem passenden Berechtigungsniveau. Dieser Ansatz folgt dem Zero-Trust-Prinzip.

Gerade im Gesundheitswesen ist es entscheidend zu erkennen, dass „Benutzer“ eines Systems nicht zwangsläufig Menschen sein müssen. Auch OT-Geräte selbst können über privilegierte Zugriffsrechte verfügen und müssen daher ebenso überwacht und gesteuert werden wie menschliche Nutzer.

Indem alle Systemkomponenten denselben PAM-Richtlinien unterliegen – also Zugriff nur auf notwendige Ressourcen, unter klar definierten Bedingungen – können IT-Administratoren potenzielle Bedrohungen durch vernetzte Medizingeräte gezielt ausschließen.

Darüber hinaus folgt die WALLIX-PAM-Lösung dem Prinzip der Security by Design: Verbindungen privilegierter Nutzer zu Systemen und Geräten werden kontrolliert und nachvollziehbar gesichert.

Möchten Sie mehr darüber erfahren, wie Sie Ihre Gesundheitseinrichtung vor den Risiken industrieller Medizintechnik schützen können? Dann kontaktieren Sie noch heute unser Expertenteam