EU will Gesundheitssysteme besser gegen Cyberattacken schützen

Digitalisierung im Gesundheitswesen soll Prozesse schneller, effizienter und vernetzter gestalten. Allerdings erhöht sich durch diese Digitalisierung auch die Gefahr durch externe Angriffe von Cyberkriminellen. Die EU will nun den Schutz der sensiblen Systeme erhöhen.

Europaweit wurden im Jahr 2024 309 Angriffe auf das Gesundheitswesen registriert – mehr als auf jede sonstige „kritische Infrastruktur“: Und diese bewirken natürlich das Gegenteil der positiven Effekte der digitalen Prozesse: Durch Angriffe verschieben sich notwendige Behandlungen, Notaufnahmen werden blockiert, und im Extremfall geht es sogar um das Leben von ernsthaft Kranken oder Verletzten. Darüber hinaus werden die Systeme oft so nachhaltig beschädigt, dass aufwendige Instandsetzungsmaßnahmen notwendig sind, die nicht nur wichtige Zeit, sondern auch viel Geld kosten.

Weltweit bestätigt sich der Trend zunehmender Cyberattacken auf Gesundheits-Einrichtungen, hier signifikante Beispiele:

• Spürbares Plus an Angriffen: 2020 wurden doppelt so viele Angriffe gezählt wie noch im Jahr 2019. Dieser Trend setzt sich unvermindert fort.
• Kostenexplosion: Die Kosten, die durch Datenschutz-Vergehen im Gesundheitswesen entstehen, sind im Durchschnitt höher als in anderen sensiblen Bereichen. Eine solche Panne kostet im weltweiten Durchschnitt über 10 Millionen US-Dollar.
• Zumeist drei Typen von Attacken: Beim Blick auf das Jahr 2022 erweisen sich Ransomeware-Angriffe mit 30 Prozent als besonders verbreitet. Es folgen Vorfälle via E-Mail und Phishing-Attacken auf den Plätzen zwei und drei.
• Deutschland ebenfalls regelmäßig betroffen: Laut Ärztezeitung wurden in den Jahren 2023 und 2024 knapp 80 Prozent aller Gesundheitseinrichtungen mehr oder weniger massiv aus dem Netz attackiert. Nach einer Studie von SOTI hatten im Jahr 2024 45 % der befragten Organisationen versehentliche Datenlecks durch Mitarbeiter, 45 % hatten einen Datenverstoß von einer externen Quelle, 37 % einen DDoS-Ransomware-Angriff und 34 % vorsätzliche Datenlecks durch Mitarbeiter zu verzeichnen.

EU-Reaktion mit Vier-Säulen-Konzept

Um die sensiblen Organisationen des Gesundheitswesens künftig besser gegen Cyberkriminelle zu schützen, hat die EU-Kommission einen Plan entwickelt, der auf vier Säulen fußt, die in den kommenden Jahren europaweit umgesetzt werden und die Sicherheit maßgeblich steigern sollen.

1. Investition in Prävention
   Da es oft noch am Wissen und auch der Qualifikation Beschäftigter mangelt, beschreibt diese Säule die Schulung und Motivation der Mitarbeiter. Sie sollen lernen, ihr Bewusstsein für potenzielle Angriffe zu schärfen und Bedrohungen rechtzeitig zu erkennen. Neben klaren Leitlinien zur Umsetzung von Sicherheitsstandards, könnten sogenannte Cybersecurity-Gutscheine kleinen und mittleren Einrichtungen finanzielle Unterstützung bieten.
2. Bessere Erkennung
   Zentrales Element wird das in ganz Europa verfügbare „Cybersecurity Support Centre“, das wie ein Frühwarnsystem funktioniert und die Einrichtungen rechtzeitig auf bevorstehende Gefahren hinweist.
3. Aktive Strategien zur Abwehr
   Bei einer akuten Bedrohung geht es für eine effektive Abwehr um Minuten. In Notfall-Übungen und durch eindeutig formulierte Leitfäden sollen die Reaktionen im Falle eines Angriffs schneller und wirksamer werden.
4. Potenzielle Angreifer durch Abschreckung in den Griff bekommen
   Die sogenannte Cyber Diplomacy Toolbox – ein Instrumentarium zur Abschreckung, soll potenziellen Angreifern aufzeigen, dass ihre Attacken mit großer Wahrscheinlichkeit ihr Ziel verfehlen werden.

Schutz sensibler und gesellschaftlich relevanter Einrichtungen im Fokus

Ziel der EU ist es, den nachweislich äußerst sensiblen Gesundheitssektor deutlich besser zu schützen. Da ein funktionierendes Gesundheitswesen extrem vom Sammeln, dem Speichern und der Zurverfügungstellung zahlreicher schützenswerter Daten abhängt, müssen diese gegen den Zugriff Krimineller noch besser geschützt werden. Unterm Strich geht es um das wichtigste Gut jeder Gesellschaft im Generellen: Eine gesunde Bevölkerung und den bestmöglichen Schutz ernsthaft Erkrankter. Durch Abschreckung, frühzeitige Erkennung potenzieller Gefahren und effektive Gegenmaßnahmen im Fall eines Angriffs soll der Schutz des Gesundheitswesens signifikant verbessert werden.