Deutsche Kliniken hinken bei NIS2-Umsetzung hinterher
Datenpanne an der Uniklinik Freiburg zeigt Risiken
Viele Krankenhäuser investieren in Cybersicherheit, bleiben bei NIS2 jedoch organisatorisch zurück. Ein Cyberangriff auf einen Dienstleister des Universitätsklinikums Freiburg zeigt die Risiken durch Drittanbieter und ausgelagerte Prozesse. 54.000 teils heikle Patientendaten sind betroffen.
In Deutschland mühen sich Krankenhäuser verstärkt, die seit 2023 verbindlichen NIS2-Richtlinien für IT-Sicherheit und Notfallmanagement umzusetzen. Das stellt sich als schwierig heraus. Laut einer aktuellen ESET-Studie, die zusammen mit techconsult erhoben wurde, fehlt vielerorts noch die organisatorische Reife für die Anforderungen von NIS2.
Die Umsetzung der Richtlinie entwickelt sich für Krankenhäuser zu einer zentralen Herausforderung. Laut Umfrage haben rund 36 Prozent der befragten Kliniken in den vergangenen zwölf Monaten konkrete Maßnahmen zur Umsetzung von KRITIS- oder NIS2-Vorgaben eingeleitet. Besonders aktiv sind Fachkliniken mit 46 Prozent, während Universitätskliniken mit lediglich 29 Prozent deutlich zurückliegen.
Operative Maßnahmen dominieren
Die Studie zeigt, dass Krankenhäuser vor allem operative Sicherheitsmaßnahmen priorisieren. Rund 52 Prozent führten Notfall- oder Ransomware-Übungen durch, 48 Prozent investierten in Schulungen und Awareness-Programme. Auch die Absicherung medizinischer Geräte und vernetzter IoMT-Systeme gewinnt mit 41 Prozent spürbar an Bedeutung.
Was jedoch häufig fehlt, ist die strategische Verankerung dieser Maßnahmen in Prozessen, Verantwortlichkeiten und Governance-Strukturen.
„Unsere Ergebnisse zeigen, dass viele Krankenhäuser die Zeichen der Zeit erkannt haben. Investitionen in Technik und Awareness nehmen zu. Gleichzeitig fehlt häufig noch ein ganzheitlicher Ansatz, der Prozesse, Verantwortlichkeiten und regelmäßige Übungen verbindlich festschreibt. NIS2 ist kein reines Compliance-Thema, sondern ein Belastungstest für die reale Cyber-Resilienz von Kliniken“, sagt Michael Schröder, Head of Product Marketing bei ESET.
Universitätskliniken stehen besonders unter Druck
Gerade Universitätskliniken gelten als besonders exponiert. Sie verbinden Maximalversorgung, Forschung, internationale Kooperationen und hochgradig vernetzte Infrastrukturen. Entsprechend komplex sind ihre historisch gewachsenen IT-Landschaften.
Die Studie zeigt dabei ein widersprüchliches Bild: Zwar führen Universitätskliniken überdurchschnittlich häufig Notfallübungen und externe Security-Audits durch, gleichzeitig treiben sie die formale Umsetzung regulatorischer Anforderungen langsamer voran als andere Krankenhaustypen.
NIS2 verschärft damit nicht nur die Compliance-Anforderungen, sondern erhöht auch den operativen Druck auf bestehende IT- und Sicherheitsstrukturen.
Freiburg-Vorfall zeigt Risiken externer Dienstleister
Wie real die Gefahren ausgelagerter Prozesse sind, zeigt ein aktueller Datenschutzvorfall am Universitätsklinikum Freiburg. Dort wurde ein externer Dienstleister angegriffen, der Abrechnungsleistungen für privatversicherte Patientinnen und Patienten sowie Selbstzahler übernimmt.
Nach Angaben des Klinikums waren die klinischen Systeme und die Patientenversorgung selbst zu keinem Zeitpunkt betroffen. Dennoch wurden Daten von rund 54.000 Patientinnen und Patienten entwendet, darunter Stammdaten wie Name, Adresse und Geburtsdatum. In rund 900 Fällen sollen zusätzlich Rechnungsdaten mit Informationen zu Diagnosen und Behandlungen abgeflossen sein. In einzelnen Fällen waren auch Kontodaten betroffen.
„Gesundheitsdaten gehören zu den sensibelsten Daten überhaupt. Ihr Diebstahl ist ein schwerwiegender Eingriff für die Betroffenen. Wir nehmen diesen Vorfall sehr ernst und fordern vom Dienstleister lückenlose Aufklärung. Parallel prüfen wir rechtliche Schritte“, sagt Prof. Dr. Frederik Wenz, Leitender Ärztlicher Direktor des Universitätsklinikums Freiburg.
Der Angriff erfolgte nach bisherigen Erkenntnissen Mitte April 2026. Nach Bekanntwerden stoppte das Klinikum die Datenübertragung an den betroffenen Dienstleister und informierte Datenschutzbehörden sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Notfallpläne oft vorhanden – aber selten realitätsnah getestet
Nahezu alle befragten Krankenhäuser verfügen inzwischen über Notfallpläne für schwere Cybervorfälle wie Ransomware-Angriffe. Entscheidend ist jedoch die Qualität der Vorbereitung.
Nur etwa jedes dritte Krankenhaus beschreibt seine Notfallkonzepte als strukturiert und regelmäßig getestet. Rund die Hälfte überprüft bestehende Krisenpläne lediglich gelegentlich.
Besonders kritisch fällt die Situation bei Universitätskliniken aus: Obwohl alle Einrichtungen über Notfallpläne verfügen, testen lediglich rund 21 Prozent diese regelmäßig. Dabei hätten erfolgreiche Cyberangriffe hier besonders weitreichende Folgen – von Einschränkungen in der Patientenversorgung bis hin zu Ausfällen in Forschung und Lehre.
NIS2 macht Lieferketten und Dienstleister zum Sicherheitsfaktor
Der Freiburger Vorfall verdeutlicht zusätzlich eine zentrale Herausforderung von NIS2: Die Richtlinie betrachtet nicht mehr nur interne Systeme, sondern zunehmend auch Dienstleister, Lieferketten und ausgelagerte Prozesse als Teil der Sicherheitsarchitektur.
Gerade im Gesundheitswesen arbeiten Kliniken mit zahlreichen externen Partnern zusammen – von Abrechnungsdienstleistern bis hin zu Cloud-, Labor- oder Medizintechnik-Anbietern. Sicherheitslücken bei Drittanbietern können dadurch unmittelbare Auswirkungen auf sensible Gesundheitsdaten haben.
Cybersecurity wird zur Voraussetzung für Versorgungssicherheit
Krankenhäuser gehören zu den sensibelsten kritischen Infrastrukturen überhaupt. Anders als in klassischen Unternehmensumgebungen können IT-Ausfälle hier direkte Auswirkungen auf die Patientenversorgung haben.
Die Kombination aus komplexen Alt-Systemen, vernetzter Medizintechnik, regulatorischem Druck, Personalmangel und steigenden Cyberbedrohungen macht die Umsetzung von NIS2 besonders anspruchsvoll.
Der Freiburger Vorfall zeigt zudem, dass selbst Kliniken mit etablierten Sicherheitsstrukturen durch externe Dienstleister verwundbar bleiben. Cyber-Resilienz endet damit nicht mehr an der eigenen Firewall, sondern umfasst zunehmend das gesamte digitale Ökosystem.
Ausführliche Informationen gibt es im ESET-Blog: https://www.eset.com/blog/de/businessthemen/compliance-und-vorschriften/nis2-im-krankenhaus-besserung-in-sicht-strukturelle-defizite-bleiben
Die Umfrage wurde von der techconsult GmbH im Rahmen einer Online-Befragung im Gesundheitswesen durchgeführt. Teilnehmer wurden gezielt vorselektiert, um eine valide Einschätzung aus Entscheiderperspektive zu gewährleisten.