Digitalisierung und Vernetzung von Medizingeräten in Krankenhäusern haben die Patientenversorgung deutlich verbessert, bringen jedoch gravierende Schwachstellen mit sich, die ein erhebliches Risiko für die IT-Sicherheit und die Patientensicherheit darstellen. Laut aktuellen Studien weist jedes vierte medizinische Gerät eine Schwachstelle auf, die im Katalog der bekannten und bereits ausgenutzten Sicherheitslücken (KEV) der US-Cybersicherheitsbehörde CISA gelistet ist. Die Gefährlichkeit von Schwachstellen in Medizingeräten und Krankenhausnetzwerken wird maßgeblich durch hohe Exploit-Prediction-Scoring-Werte (EPSS) unterstrichen.

Besonders kritisch ist, dass 14 Prozent der vernetzten Geräte mit veralteten oder nicht mehr unterstützten Betriebssystemen betrieben werden, was die Angriffsfläche für Cyberkriminelle massiv erhöht. Gerade bildgebende Systeme wie Röntgen- und MRT-Geräte sowie chirurgische Apparate sind hiervon betroffen und spielen eine zentrale Rolle in der Patientenversorgung.

Ein großes Einfallstor für Angreifer sind schlecht segmentierte Netzwerke: In 22 Prozent der untersuchten Krankenhäuser sind Gastnetzwerke, die eigentlich für Patienten und Besucher gedacht sind, mit den internen Netzwerken verbunden, in denen sich sensible Medizingeräte befinden. Dadurch können Cyberkriminelle über öffentlich zugängliche WLANs auf kritische Systeme zugreifen. Besonders alarmierend ist, dass vier Prozent der chirurgischen Geräte, deren Ausfall die Versorgung akut gefährden würde, über solche unsicheren Netzwerke kommunizieren. Hinzu kommt, dass viele Geräte – etwa 66 Prozent der bildgebenden und 54 Prozent der chirurgischen Systeme – aus der Ferne erreichbar sind, was den potenziellen Schaden bei einem Angriff weiter erhöht. 

Die Verantwortung für die Absicherung dieser Systeme liegt klar bei den Betreibern, also den Krankenhäusern selbst. Sie sind verpflichtet, ein umfassendes Information Security Management System (ISMS) zu implementieren, das Richtlinien für den Umgang mit Informationen, die Vergabe von Zugriffsrechten nach dem „Minimal Need to Know“-Prinzip und klare Prozesse für den Umgang mit Sicherheitsvorfällen definiert. Dazu zählen auch regelmäßige sicherheitstechnische Kontrollen der Medizingeräte und die lückenlose Dokumentation von Wartungen und Vorfällen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt hierzu konkrete Leitfäden und Vorgaben heraus, an denen sich Krankenhäuser orientieren müssen.

Werden diese Pflichten vernachlässigt, drohen empfindliche Strafen. Bei Verstößen gegen die Betreiberpflichten, etwa wenn ein schwerwiegendes Vorkommnis nicht gemeldet oder ein unsicheres Gerät weiter betrieben wird, können Bußgelder verhängt werden. Zudem drohen zivilrechtliche Haftungsansprüche, wenn durch mangelnde IT-Sicherheit Patienten zu Schaden kommen. Die Absicherung der Krankenhaus-IT ist somit nicht nur eine technische, sondern auch eine rechtliche und ethische Verpflichtung. Nur durch konsequente Umsetzung von Sicherheitsmaßnahmen, regelmäßige Schulungen und eine klare Verantwortungszuweisung können Krankenhäuser die wachsende Bedrohung durch Cyberangriffe wirksam eindämmen und die Sicherheit von Patienten und Daten gewährleisten.

Priorisierung von Schutzmaßnahmen

Die Gefährlichkeit von Schwachstellen in Medizingeräten und Krankenhausnetzwerken wird maßgeblich durch hohe Exploit-Prediction-Scoring Werte (EPSS) unterstrichen. Das Exploit-Prediction Scoring System ist ein datengetriebenes Modell, das die Wahrscheinlichkeit bewertet, mit der eine bekannte Schwachstelle in der Praxis tatsächlich ausgenutzt wird. 

Anders als klassische Bewertungssysteme wie der CVSS, die vor allem die theoretische Schwere einer Schwachstelle einordnen, fokussiert EPSS auf die reale Bedrohungslage: Es prognostiziert, welche Schwachstellen mit hoher Wahrscheinlichkeit von Angreifern ins Visier genommen werden. In Krankenhäusern zeigt sich, dass ein erheblicher Anteil der Medizingeräte Schwachstellen mit hohen EPSS-Werten aufweist. So haben Analysen ergeben, dass etwa 11 Prozent der Patientengeräte, wie Infusionspumpen, und 10 Prozent der chirurgischen Geräte Schwachstellen mit hoher Ausnutzungswahrscheinlichkeit besitzen. Besonders kritisch ist die Lage bei Geräten, die mit veralteten oder nicht mehr unterstützten Betriebssystemen betrieben werden: Hier weisen bis zu 85 Prozent der betroffenen Geräte Schwachstellen mit hohem EPSS auf. Das bedeutet, dass diese Geräte nicht nur theoretisch angreifbar sind, sondern mit hoher Wahrscheinlichkeit tatsächlich Ziel von Angriffen werden.  

Die hohe Exploit-Prediction-Scoring-Werte verdeutlichen, dass die Gefahr nicht abstrakt ist. Angreifer fokussieren sich gezielt auf Schwach stellen, für die bereits Exploits existieren oder deren Ausnutzung besonders wahrscheinlich ist. In der Praxis führt dies dazu, dass Krankenhäuser mit einer Vielzahl an Geräten konfrontiert sind, die ein reales Einfallstor für Cyberangriffe darstellen. Die Folgen reichen von der Kompromittierung sensibler Patientendaten bis hin zur Beeinträchtigung der Patientenversorgung, etwa wenn lebenswichtige Geräte wie Infusionspumpen oder chirurgische Systeme ausfallen oder manipuliert werden.  

Das EPSS-Modell hilft dabei, die Priorisierung von Schutzmaßnahmen zu verbessern: Anstatt Ressourcen auf theoretisch gefährliche, aber praktisch irrelevante Schwachstellen zu verschwenden, können Krankenhäuser gezielt jene Schwachstellen adressieren, die mit hoher Wahrscheinlichkeit ausgenutzt werden. Dies ist angesichts der Vielzahl an täglich neu entdeckten Schwachstellen und begrenzter personeller Ressourcen essenziell für eine effektive IT-Sicherheitsstrategie im Gesundheitswesen. Die hohe Gefährlichkeit von Schwachstellen mit hohem EPSS macht deutlich, dass schnelles Handeln und gezielte Risikominimierung in Krankenhausnetz werken unabdingbar sind, um Patientensicherheit und Betriebsfähigkeit zu gewährleisten.

Quelle: Krankenhaus-IT Journal, Ausgabe 03/2025 - Stand Juni 2025

Symbolbild: Ben / AdobeStock