Warum Lieferketten-Angriffe zur größten Cybergefahr im Gesundheitswesen werden

Die größte Schwachstelle deutscher Kliniken liegt längst nicht mehr im eigenen Rechenzentrum. Der jüngste Cyberangriff auf mehrere Universitätskliniken zeigt, wie gefährlich externe Dienstleister für die Sicherheit sensibler Patientendaten geworden sind. Während Krankenhäuser ihre Systeme absichern, nutzen Angreifer gezielt die digitale Lieferkette – mit potenziell verheerenden Folgen für Millionen Patienten.

Gerald Eid, Regional Managing Director DACH bei Getronics ordnet die Risiken ein. Zehntausende Patientendatensätze, darunter Rechnungsinformationen, Diagnosen und Behandlungsverläufe, sind bei einem Cyberangriff auf einen externen Abrechnungsdienstleister kompromittiert worden.

Betroffen sind Universitätskliniken in ganz Deutschland – und erneut zeigt sich im aktuellen Vorfall ein Muster, das Sicherheitsexperten seit Jahren beobachten: Der Angriff erfolgt nicht direkt auf die eigentliche Organisation, sondern über einen Drittanbieter innerhalb der digitalen Lieferkette. Der Vorfall markiert eine neue Eskalationsstufe für die Cybersicherheit im Gesundheitswesen. Denn medizinische Daten gehören zu den wertvollsten Informationen im Cybercrime-Ökosystem. Anders als Passwörter oder Kreditkartendaten lassen sich Gesundheitsdaten nicht einfach austauschen oder zurücksetzen. Sie bleiben dauerhaft sensibel – und dauerhaft missbrauchbar.

Gesundheitsdaten sind die neue Hochrisiko-Währung

Für Cyberkriminelle sind vollständige Patientenprofile besonders lukrativ. Sie kombinieren persönliche Identitäten mit medizinischen Informationen und finanziellen Daten. Genau deshalb erzielen Gesundheitsdatensätze im Darknet häufig deutlich höhere Preise als klassische Zugangsdaten. Besonders kritisch: Der eigentliche Schaden entsteht nicht erst durch Systemausfälle. Obwohl die klinischen IT-Systeme weiterhin funktionsfähig blieben, wurde das Vertrauen der Patientinnen und Patienten massiv erschüttert. Denn wer sensible Gesundheitsinformationen verliert, verliert weit mehr als nur Daten – er verliert Glaubwürdigkeit.

Die Lieferkette wird zur größten Angriffsfläche

Der aktuelle Fall macht deutlich, wie stark sich die Bedrohungslage verändert hat. Die Angriffsfläche moderner Organisationen endet nicht an der eigenen Firewall. Sie umfasst sämtliche Dienstleister, Cloud-Anbieter, Schnittstellen und Partnerunternehmen, die Zugriff auf sensible Informationen erhalten. Gerade im Gesundheitswesen entsteht dadurch ein gefährlicher Dominoeffekt: Ein einziger kompromittierter Dienstleister kann gleichzeitig zahlreiche Kliniken und medizinische Einrichtungen betreffen. Was in der Industrie bereits seit Jahren zu beobachten ist, erreicht nun mit voller Wucht die kritische Infrastruktur des Gesundheitssektors.

Der eigentliche „Single Point of Failure“ liegt damit nicht mehr im Krankenhaus selbst, sondern in der zentralisierten Abhängigkeit von externen Dienstleistern.

Warum Compliance allein keine Sicherheit garantiert

Besonders alarmierend ist, dass der Angriff trotz strenger regulatorischer Vorgaben möglich war. Universitätskliniken unterliegen bereits heute umfangreichen Anforderungen – von DSGVO über BSI-Vorgaben bis hin zu NIS2-Regelungen.

Doch genau hier zeigt sich ein grundlegendes Missverständnis vieler Organisationen: Compliance ersetzt keine echte Sicherheitsstrategie. Mindeststandards schützen nur dann wirksam, wenn sie konsequent entlang der gesamten Wertschöpfungs- und Datenkette umgesetzt werden.

Sobald ein externer Partner schwächer abgesichert ist als die eigentliche Organisation, entsteht eine offene Flanke für Angreifer.

Zu viele Daten, zu lange gespeichert

Der Vorfall wirft zudem eine unbequeme Frage auf: Warum verfügen externe Dienstleister überhaupt über Gesundheitsdaten von zehntausenden Patienten – teilweise über Zeiträume von bis zu zehn Jahren? Datensparsamkeit wird in vielen Unternehmen noch immer als regulatorische Pflicht betrachtet. Tatsächlich ist sie jedoch ein zentraler Bestandteil moderner Sicherheitsarchitekturen. Denn je weniger sensible Daten gespeichert oder weitergegeben werden, desto geringer fällt der potenzielle Schaden im Ernstfall aus. Minimaler Datentransfer bedeutet deshalb nicht weniger Effizienz, sondern mehr Resilienz.

Vier Maßnahmen für mehr Cyberresilienz im Gesundheitswesen

Um vergleichbare Vorfälle künftig zu verhindern, müssen Kliniken und Gesundheitsorganisationen ihre Sicherheitsstrategie neu ausrichten:

1. Lieferantenrisiken zur Chefsache machen

Externe Partner mit Zugriff auf Patienten- oder Unternehmensdaten müssen vollständig in das Risikomanagement integriert werden. Dazu gehören verpflichtende Sicherheitsaudits, regelmäßige Prüfungen und verbindliche Sicherheitsstandards in Verträgen.

2. Zero Trust über Unternehmensgrenzen hinaus etablieren

Vertrauen darf nicht automatisch gewährt werden – auch nicht langjährigen Dienstleistern. Zugriffskontrollen, Mikrosegmentierung und kontinuierliches Monitoring müssen entlang der gesamten Datenkette greifen.

3. Datensparsamkeit konsequent umsetzen

Organisationen sollten kritisch hinterfragen, welche Informationen tatsächlich an Dritte übertragen werden müssen. Jede unnötige Datensammlung erhöht die potenzielle Angriffsfläche.

4. Notfallpläne für Drittanbieter-Angriffe entwickeln

Viele Unternehmen verfügen zwar über Incident-Response-Pläne, berücksichtigen dabei jedoch selten kompromittierte Dienstleister. Genau dieses Szenario muss künftig fester Bestandteil jeder Krisenstrategie sein – inklusive Kommunikations- und Eskalationsprozessen.

Die Digitalisierung des Gesundheitswesens bleibt alternativlos. Doch der aktuelle Angriff zeigt deutlich, dass technologische Innovation ohne ganzheitliche Sicherheitsstrategie zum Risiko werden kann.

Wer ausschließlich die eigene Infrastruktur schützt, gleichzeitig aber externen Dienstleistern weitreichenden Zugriff auf hochsensible Daten gewährt, schafft eine gefährliche Sicherheitslücke. Cybersicherheit im Gesundheitswesen beginnt deshalb nicht erst im Rechenzentrum – sondern bei der konsequenten Kontrolle der gesamten digitalen Lieferkette.