Mehr Risikobewusstsein notwendig: Warum Krankenhäuser bei Cyberversicherungen unterversorgt sind

Cyberangriffe haben sich zu einer ernsthaften Bedrohung für Krankenhäuser entwickelt. Zwischen 2020 und 2024 stieg die Zahl erfolgreicher Attacken um 74 Prozent, wie eine aktuelle Auswertung des Hasso-Plattner-Instituts zeigt.[1] Die Vorfälle reichen von klassischen Ransomware-Attacken bis hin zu Erpressungsversuchen ohne Datenverschlüsselung, berichtet das Fachportal Krankenhaus-IT.[2]

Trotz dieser alarmierenden Entwicklung verfügen längst nicht alle Krankenhäuser über einen angemessenen Versicherungsschutz gegen Cyberrisiken. Dafür gibt es verschiedene Ursachen: Einige Kliniken werden von Versicherern als zu risikobehaftet eingestuft, andere bewerten die angebotenen Prämien als zu hoch oder haben sich mit dem Thema bisher nicht intensiv auseinandergesetzt.

Unterschiedliche Reifegrade bei den Einrichtungen

Insgesamt ist das Bewusstsein für Cyberrisiken in den vergangenen Jahren gestiegen. Krankenhäuser investieren vermehrt in IT- und OT-Sicherheitsmaßnahmen. Gerade kleinere Einrichtungen weisen jedoch oft erhebliche Defizite beim Schutz ihrer IT-Infrastruktur auf. Notwendige Investitionen in Technik, Personal und Prozesse bleiben hier häufig aus.

Der Druck auf Krankenhäuser nimmt zu – nicht nur wegen steigender Risiken, sondern auch durch zunehmende gesetzliche Vorgaben zur Umsetzung wirksamer Sicherheitsmaßnahmen. Die EU-Richtlinie „Network and Information Security“ (NIS-2) hätte in Deutschland bis Oktober 2024 umgesetzt sein müssen. Dies ist bislang jedoch nicht erfolgt. Experten erwarten, dass das NIS-2-Umsetzungsgesetz frühestens im Herbst 2025 in Kraft tritt.

Krankenhäuser, die unter die NIS-2-Richtlinie fallen, sind dann verpflichtet, umfassende Cybersicherheitsmaßnahmen umzusetzen, einschließlich der Einführung eines effektiven Risikomanagements. Unter die Richtlinie fallen Krankenhäuser, die als kritische Infrastrukturen oder wichtig für die öffentliche Gesundheit eingestuft werden. Betroffen sind vor allem große Krankenhäuser mit umfassenden Versorgungsaufgaben. Je nach nationaler Umsetzung können auch mittelgroße und kleinere Kliniken einbezogen werden, wenn sie in Bereichen tätig sind, die als systemrelevant gelten.

Komplexe Risikosituation in Kliniken

Krankenhäuser stehen vor besonderen Herausforderungen in der IT-Sicherheit. Sie verarbeiten hochsensible Gesundheitsdaten, die für Kriminelle besonders interessant und deutlich wertvoller sind als einfache personenbezogene Informationen. Gleichzeitig gilt ihre IT-Infrastruktur als überaus angreifbar. Neben klassischen Geräten wie PCs, Servern und Druckern sind auch zahlreiche medizinische Systeme im Einsatz, die häufig mit veralteter Software betrieben werden und dadurch zusätzliche Schwachstellen aufweisen.

Erschwerend kommt der Mangel an personellen und finanziellen Ressourcen hinzu: Viele Einrichtungen verfügen nicht über ausreichend Fachkräfte, um ihre IT-Systeme umfassend zu betreuen,
Sicherheitsüberprüfungen durchzuführen oder Mitarbeiter regelmäßig zu schulen. Ein weiteres Risiko stellen externe Dienstleister dar – sie werden zunehmend zum Einfallstor für Angriffe.

Medizintechnik als besondere Herausforderung

Während klassische IT-Produkte häufig durch marktübliche Sicherheitslösungen geschützt werden können, stellen vernetzte Medizingeräte und Betriebstechnik die Kliniken vor größere Herausforderungen. So kann es etwa vorkommen, dass ein Medizingerät ein proprietäres Betriebssystem nutzt und der Hersteller keine Installation von Virenschutzsoftware zulässt. Für Versicherer ist in solchen Fällen entscheidend, ob und wie sich das Krankenhaus mit den besonderen Risiken dieser Geräte auseinandergesetzt hat – ein wichtiger Indikator für das Sicherheitsbewusstsein der Einrichtung.

Aus Sicht eines Versicherers ist das Thema Cybersicherheit im Krankenhaus herausfordernd: Viele Kliniken können nicht transparent darlegen, wie gut ihre Cybersicherheit tatsächlich ist. Für
Versicherer ist es daher sehr schwierig, das Gefahrenpotenzial realistisch einzuschätzen, zumal die traditionelle Kalkulation auf Basis historischer Schadendaten hier nicht funktioniert.

Daher ist die Cyberversicherung nicht vergleichbar  mit anderen Versicherungssparten. Neben der unklaren Risikosituation und der zunehmenden Anzahl von Schäden kommt noch ein sogenanntes Kumulrisiko hinzu: Bei einem Hackerangriff können mehrere Krankenhäuser in verschiedenen Städten und verschiedener Trägerschaft betroffen sein, etwa wenn Kriminelle mehrere Krankenhäuser gleichzeitig angreifen oder dieselbe Software-Schwachstelle ausnutzen.

Viele Versicherer machen daher um das Thema Cyberversicherung einen großen Bogen. Aufgrund der schwierigen Voraussetzungen bieten in Deutschland daher nur wenige Anbieter Versicherungen gegen Cyberangriffe für Krankenhäuser an.

Wege zu besserer Absicherung

Damit Krankenhäuser versichert werden können, braucht es bessere Risikoanalysen, verbindliche Sicherheitsstandards und aktive Präventionsmaßnahmen. Nur dann können Versicherer auch bezahlbare Policen mit sinnvollem Schutz anbieten. Die Verzahnung von Versicherung und Risikomanagement ist im Bereich Cybersicherheit entscheidend.

Cyberversicherer stellen daher klare Anforderungen an Kliniken. Wer beispielsweise bei Anbietern wie Relyens eine Police abschließen möchte, muss bestimmte Mindeststandards in der IT-Sicherheit erfüllen. Voraussetzung ist eine grundlegende Absicherung der Systeme – etwa durch Virenschutz, Firewalls, regelmäßige Datensicherungen, ein konsequentes Update-Management sowie Zwei-Faktor-Authentifizierung.

Auch Schulungen und Sensibilisierungsmaßnahmen für Mitarbeiter gehören zum Standardprogramm. In einem gemeinsamen Risikodialog zwischen dem Versicherer und dem Interessenten wird dann das IT-Security-Level festgestellt, um ein Gefühl für die Sensibilität des Hauses und die Herausforderungen zu bekommen.

Gemeinsame Entwicklung von Sicherheitskonzepten

Versicherer erwarten von Krankenhäusern keine perfekten Lösungen oder eine vollständig modernisierte IT-Infrastruktur. Vielmehr geht es darum, Schwachstellen zu erkennen und gezielt anzugehen. Im Rahmen der Risikobewertung geben Versicherer den Krankenhäusern Hinweise, an welchen Stellen Verbesserungen möglich sind.

Die Kernaufgabe besteht darin, die IT-Systeme so abzusichern, dass der Klinikbetrieb – besonders die Patientenversorgung – auch im Krisenfall stabil aufrechterhalten werden kann oder im Krisenplan Alternativen geschaffen wurden. Voraussetzung dafür ist ein realistisches Verständnis der eigenen Risikolage sowie ein strategischer Plan, der Maßnahmen für den Ernstfall umfasst.

Ein auf Krankenhäuser spezialisierter Versicherer kann umfassende Risikomanagementmaßnahmen anbieten, die darauf abzielen, das Risiko einer Cyberattacke einzudämmen beziehungsweise die Auswirkungen eines entstandenen Schadens einzugrenzen. Grundsätzlich gibt es sechs Bereiche, die innerhalb des Cyberrisikomanagements eine Rolle spielen und für die konkrete Maßnahmen entwickelt werden können. Beispielsweise hilft eine Präsenzschulung von Führungskräften dabei, über die NIS-2-Richtlinie aufzuklären und sie damit in die Lage zu versetzen, die richtigen Entscheidungen zu treffen.

Das Thema Cybersicherheit – einschließlich Cyberversicherungen – ist im deutschen Gesundheitswesen angekommen, die praktische Umsetzung jedoch noch nicht flächendeckend ausgereift. Viele Einrichtungen befinden sich weiterhin im Entwicklungsprozess. Versicherer fordern dabei klare Fortschritte, um einen wirksamen Versicherungsschutz anbieten zu können.

Literatur

[1] Engelmann Software GmbH: Alarmsignal Cybersicherheit: Wie verwundbar ist das Gesundheitswesen? Cyberangriffe auf Krankenhäuser nehmen weiter zu. Online verfügbar unter: https://engelmann.com/de/sicherheit/cyberangriffe-krankenhaeuser/
[2] Krankenhaus-IT: Cyberangriffe auf Krankenhäuser: Strategische Neuausrichtung der IT-Landschaft und Resilienz als kritische Komponenten. In: Krankenhaus-IT Journal Online, 2025. Online verfügbar unter: www.krankenhaus-it.de/item.4068/cyberangriffe-auf-krankenhaueser-strategischeneuausrichtung-der-it-landschaft-und-resilienz-als-kritischekomponenten.html