Krankenhaus-Studie: Cybersicherheit scheitert an Geldmangel

Die gemeinsame Krankenhaus-Studie 2025 der BDO AG Wirtschaftsprüfungsgesellschaft und des Deutschen Krankenhausinstituts (DKI) dokumentiert eine angespannte Lage der Cyber-Sicherheit in deutschen Krankenhäusern. 90 Prozent der befragten Krankenhäuser bewerten die Bedrohung durch Cyber-Kriminalität als hoch oder sehr hoch, jedes fünfte deutsche Krankenhaus war in den letzten drei Jahren von einem meldepflichtigen Cyber-Vorfall betroffen. Aufgrund dieser Einschätzung gibt es Handlungsbedarf in den Kliniken – 70 Prozent der deutschen Krankenhäuser geben mangelnde finanzielle Mittel als Hemmnis bei der IT-Sicherheit an und ein Drittel der Häuser hat unbesetzte Stellen in der IT-Sicherheit.

Und Entspannung ist laut der Ergebnisse nicht in Sicht – 86 Prozent der Krankenhäuser erwarten eine weitere Zunahme der Bedrohungslage. Zwar sind technische Basisschutzmaßnahmen wie Antivirensoftware und Firewalls weit verbreitet, fortgeschrittene technische und organisatorische Maßnahmen, wie etwa praktische Notfallübungen, jedoch weitaus weniger. Ein Business Continuity Management (BCM), dass die Aufrechterhaltung des Betriebs auch im Falle eines Angriffs sichert, ist nur bei 16 Prozent der Häuser vollständig etabliert, 53 Prozent gaben an, es sei ‚in Umsetzung‘. Erst jedes zehnte Krankenhaus in Deutschland hat bislang eine realitätsnahe Cyber-Notfallübung durchgeführt.

„Deutsche Krankenhäuser stehen vor der Herausforderung, hochsensible Patientendaten und kritische Versorgungsprozesse gegen immer raffiniertere Angriffe zu schützen. Unsere Studie zeigt, dass zwar ein gewisser Basisschutz flächendeckend gegeben ist, es darüber hinaus aber noch deutlichen Nachholbedarf gibt. Verantwortliche müssen beispielsweise dringend realitätsnahe Notfallübungen nicht nur für medizinische Notfälle durchführen, sondern auch für Cyber-Notfälle. Auch hier gilt, dass nur Übung den Meister macht“, so Prof. Dr. Volker Penter, Healthcare-Experte bei BDO.

Einer der Gründe für die häufig noch ausbaufähige Cyber-Abwehr deutscher Krankenhäuser ist neben fehlenden personellen Ressourcen vor allem auch eine angespannte finanzielle Situation. Vor diesem Hintergrund empfiehlt die Studie einen klaren Fokus der Kliniken auf das Thema und stärkere politische Unterstützung: „Die Ergebnisse machen deutlich: Investitionen in Personal, strukturierte Notfallpläne und die Umsetzung risikoorientierter Sicherheitskonzepte sind keine reine IT-Aufgabe, sondern eine Voraussetzung für die Aufrechterhaltung der Patientenversorgung. Ebenso ist die Politik gefordert, Regularien abzubauen, die heute noch die Einführung von IT-Sicherheitsmaßnahmen erschweren“, so Dr. Karl Blum, Vorstand des DKI.

Einig sind sich BDO und DKI bei konkreten Handlungsempfehlungen für die Verantwortlichen. Auf der Liste stehen etwa die Priorisierung und Budgetierung für BCM, Notfallübungen und Reaktionsteams, der Ausbau von Informationssicherheits-Management Systemen sowie regelmäßige Schwachstellenscans/Penetrationstests. Diese dürften dabei nicht rein auf die Krankenhäuser bezogen sein, auch Dienstleister und Zulieferer, deren Cyber-Sicherheit sich oftmals unmittelbar auf die der Krankenhäuser auswirkt, müssten hier stärker in den Fokus genommen werden, so die Autoren.

Die Studie kann hier heruntergeladen werden.

Dieser Beitrag stammt aus dem KTM-Newsletter 02/2026. Melden Sie sich hier kostenlos an, um keine News aus der Branche mehr zu verpassen!