1. Top-Themen
  2. IT-Sicherheit & Kritis
  3. Gesundheitswesen durch Cyberangriffe geschädigt

Gesundheitswesen durch Cyberangriffe geschädigt

Veröffentlicht 06.03.2026 10:30, Kerstin Müller

Cyberangriffe haben das Gesundheitswesen auch im Jahr 2025 erheblich belastet. Allein in deutschen Krankenhäusern entstanden dadurch Schäden in zweistelliger Millionenhöhe, während sich die wirtschaftlichen Folgen weltweit längst im Milliardenbereich bewegen. Zum Vergleich: In anderen Branchen war im vergangenen Jahr rund jedes siebte Unter-nehmen der Informationswirtschaft und jedes achte des Verarbeitenden Gewerbes von Cybervorfällen betroffen.

Studien beziffern die durchschnittlichen Gesamtkosten eines schwerwiegenden Cyberangriffs im Gesundheitssektor – einschließlich IT‑Wiederherstellung, Betriebsunterbrechung, Rechtsfolgen und Reputationsverlust – auf 4,4 bis rund 11 Millionen US‑Dollar, also etwa 4 bis10 Millionen Euro. In Einzelfällen liegen dokumentierte Schäden auch in Deutschland im hohen sechs- bis siebenstelligen Bereich. Wenn Ausfälle und externe Experten eingerechnet werden, summieren sich die Verluste häufig auf 900.000 bis über 2 Millionen Euro. Der größte Kostenblock entsteht dabei durch Produktivitätsverluste und Erlösausfälle, während Lösegeldforderungen meist nur einen Teil des Gesamtschadens ausmachen.

Gleichzeitig steigen die Ausgaben für Prävention massiv. Für den Schutz vor Cyberangriffen und Sabotageakten werden in Deutschlands Krankenhauslandschaft in den kommenden Jahren zusätzliche Investitionen in Milliardenhöhe als notwendig angesehen – ein deutlicher Hinweis auf das Ausmaß des wirtschaftlichen Risikos.

EU-NIS-2-Ausgestaltung herausfordernd

Vor diesem Hintergrund verschärft die EU‑NIS‑2‑Richtlinie die Anforderungen an die Cybersicherheit. Während die erste Fassung der NIS‑Richtlinie vor allem Betreiber kritischer Infrastrukturen, etwa aus den Bereichen Energie oder Gesundheitswesen, erfasste, gilt NIS‑2 für deutlich mehr und auch kleinere Organisationen. Neben klassischen Branchen wie Chemie oder Lebensmittelproduktion werden nun auch Anbieter digitaler Dienste einbezogen. Die Richtlinie legt verbindliche Mindeststandards fest, schreibt Meldepflichten bei Sicherheitsvorfällen vor und verschärft die Sanktionen bei Verstößen.

Das deutsche Umsetzungsgesetz trat am 6. Dezember 2025 in Kraft. Betroffene Unternehmen und Einrichtungen müssen sich bis spätestens 6. März 2026 beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Zwar erkennen Verantwortliche den Nutzen der Richtlinie in Bezug auf höhere Sicherheitsstandards an, doch viele bewerten die konkrete Ausgestaltung als herausfordernd. Rund 60 Prozent der Unternehmen bemängeln den hohen administrativen Aufwand und die umfangreichen Meldepflichten; zudem halten viele die möglichen Bußgelder für überzogen.

Cyberversicherungen im Gesundheitswesen unter Druck

Auch die Cyberversicherungen im Gesundheitswesen stehen unter Druck. Einheitliche Marktpreise gibt es nicht – die Prämien hängen stark von Bettenzahl, Umsatz, Schadenhistorie und dem Reifegrad der IT‑Sicherheit ab. Branchenvertreter berichten, dass sich die Versicherungsbeiträge im Kliniksektor in den letzten Jahren teilweise verdoppelt oder verdreifacht haben, da Schadenhäufigkeit und -höhe deutlich stiegen. Für kleinere medizinische Einrichtungen, etwa große Praxen oder Medizinische Versorgungszentren (MVZ), liegen Jahresprämien bei Deckungssummen von 1 bis 2 Millionen Euro meist im unteren bis mittleren fünfstelligen Bereich. Krankenhäuser mit höherem Umsatz und kritischer Infrastruktur zahlen entsprechend mehr. Typischerweise bewegen sich die Beiträge zwischen 0,5 und 1,5 Prozent des versicherten Umsatzes – vorausgesetzt, ein solides Sicherheitsniveau mit Backup‑Konzept, Mehrfaktor‑Authentifizierung, Patchmanagement und Mitarbeiterschulungen ist nachweisbar.

Auffällig ist, dass einige Kliniken trotz der wachsenden Bedrohung weiterhin auf Cyberpolicen verzichten. Viele bewerten das Verhältnis von Prämien, Sublimits, Ausschlüssen und Eigenbehalten als wirtschaftlich nicht tragfähig – und tragen das finanzielle Risiko im Ernstfall lieber selbst.

Autor: Wolf-Dietrich Lorenz

Symbolbild: KI-Illustration, generiert mit ChatCPT/OpenAI

 


Lesen Sie mehr zum Thema "IT-Sicherheit & Kritis"

KI-Compliance im Krankenhaus: Zwischen Effizienzgewinn und Risiko
IT-Sicherheit & Kritis
GPU

KI-Compliance im Krankenhaus: Zwischen Effizienzgewinn und Risiko

Sicherheit: systemische Verwundbarkeit und strategische Implikationen
IT-Sicherheit & Kritis
IT

Sicherheit: systemische Verwundbarkeit und strategische Implikationen

BSI und Schwarz Digits vereinbaren strategische Partnerschaft für digitale Souveränität
IT-Sicherheit & Kritis
BSI

BSI und Schwarz Digits vereinbaren strategische Partnerschaft für digitale Souveränität

Cyberangriffe auf Krankenhäuser – Rechtliche Anforderungen und praktische Handlungsempfehlungen
IT-Sicherheit & Kritis
Aus der Printausgabe

Cyberangriffe auf Krankenhäuser – Rechtliche Anforderungen und praktische Handlungsempfehlungen

Mit der ISO/IEC 42001 gut gewappnet für den EU AI Act
IT-Sicherheit & Kritis
AI Act

Mit der ISO/IEC 42001 gut gewappnet für den EU AI Act

Kritis-Dachgesetz stärkt Resilienz der Krankenhäuser
IT-Sicherheit & Kritis
DKG

Kritis-Dachgesetz stärkt Resilienz der Krankenhäuser

Lesen Sie hier die neuesten Beiträge

EDL übernimmt RadCentre von Mesalvo
Aus dem Markt
RIS

EDL übernimmt RadCentre von Mesalvo

Uniklinikum Leipzig startet eigene KI-Plattform: UKL-GPT unterstützt Klinikalltag
Klinik-News
KI

Uniklinikum Leipzig startet eigene KI-Plattform: UKL-GPT unterstützt Klinikalltag

KHAG: Kompromiss zwischen Bund und Ländern mit etlichen Fragezeichen
Politik
KHAG

KHAG: Kompromiss zwischen Bund und Ländern mit etlichen Fragezeichen

Diese Webseite verwendet Cookies.   Mehr Info.      oder