Cybersecurity für Healthcare & MedTech

Cyberangriffe auf Krankenhäuser sind keine abstrakten IT-Vorfälle – sie gefährden direkt die Patientenversorgung. Wenn ein Ransomware-Angriff Intensivstationen, OP-Planung und Medikamentenverwaltung zum Stillstand bringt, werden Patienten in andere Kliniken verlegt, Operationen verschoben und medizinische Entscheidungen ohne digitale Unterstützung getroffen. In Deutschland gab es bereits Fälle, in denen diese Situation eskaliert ist.

Die Angriffsfläche im Gesundheitswesen ist strukturell groß: Krankenhäuser betreiben neben klassischer IT-Infrastruktur auch medizinische Geräte (PACS, Bildgebung, Infusionspumpen, Beatmungsgeräte), die zunehmend vernetzt und teils direkt mit dem Internet oder mit klinischen Informationssystemen verbunden sind. Viele dieser Geräte laufen auf veralteten Betriebssystemen, erhalten keine Sicherheitsupdates und können nicht einfach ausgetauscht werden. Diese Legacy-Umgebung ist eine strukturelle Herausforderung, die spezifische Kompensationsmaßnahmen erfordert.

Hinzu kommt die besondere Schutzbedürftigkeit von Gesundheitsdaten: Patientendaten sind nach DSGVO besonders schutzwürdige personenbezogene Daten. Ein Datenschutzverstoß im Gesundheitswesen ist nicht nur eine Compliance-Frage, sondern eine ethische Verpflichtung gegenüber Patienten, die der Einrichtung ihre sensibelsten persönlichen Informationen anvertrauen.

Krankenhäuser ab einer bestimmten Bettenzahl gelten als KRITIS-Betreiber im Sektor Gesundheit und unterliegen den Anforderungen des BSI-Gesetzes und des KRITIS-Dachgesetzes. Das verpflichtet sie zu einem Mindestsicherheitsniveau, zur Einführung eines ISMS und zur Meldung erheblicher Sicherheitsvorfälle an das BSI. NIS2 stuft Kliniken ab 50 Mitarbeitern oder 10 Mio. Euro Umsatz als wesentliche oder wichtige Einrichtungen ein.

Die Umsetzung dieser Anforderungen in einer klinischen Umgebung erfordert besondere Sensibilität. Sicherheitsmaßnahmen dürfen die klinischen Abläufe nicht behindern – eine Zwei-Faktor-Authentifizierung, die in der IT selbstverständlich ist, kann im Schockraum eine Gefährdung darstellen. Wir kennen diese Zielkonflikte und entwickeln Sicherheitsarchitekturen, die klinische Anforderungen und Schutzziele in Balance bringen.

Für Krankenhäuser, die moderne digitale Gesundheitsservices anbieten oder an Telematikinfrastruktur angebunden sind, kommen zusätzliche Anforderungen der gematik und des SGB V hinzu. Wir koordinieren alle relevanten Anforderungen in einer integrierten Dokumentationsstruktur, die sowohl BSI-Audits als auch Krankenhausaudits standhält.

Hersteller von Medizinprodukten mit digitalen Funktionen stehen vor einer doppelten regulatorischen Herausforderung: Die EU Medical Device Regulation (MDR) stellt Anforderungen an die Sicherheit von Medizinprodukten über den gesamten Produktlebenszyklus – einschließlich Cybersicherheitsanforderungen, die im Guidance Document MDCG 2019-16 konkretisiert sind. Gleichzeitig gilt ab Dezember 2027 der Cyber Resilience Act (CRA) für alle Produkte mit digitalen Elementen, einschließlich vernetzter Medizinprodukte.

Die Anforderungen aus MDR und CRA überschneiden sich inhaltlich, unterscheiden sich aber in Terminologie und Bewertungsverfahren. Ein vernetztes Implantat oder ein diagnostisches Softwareprodukt (SaMD) muss beiden Anforderungsrahmen gerecht werden. Wir entwickeln Compliance-Programme, die den Überschneidungsbereich nutzen, um Doppelarbeit zu minimieren und dennoch beiden Anforderungen vollständig zu genügen.

Für SaMD (Software as a Medical Device) stellt die Abgrenzung zwischen MDR und CRA eine eigene Herausforderung dar: Welche Teile der Software fallen unter die MDR, welche unter den CRA? Wie sind Schwachstellenmeldepflichten zu koordinieren, wenn ENISA (CRA) und Behörden für Medizinprodukte (MDR) beide informiert werden müssen? Wir navigieren diese regulatorische Komplexität und liefern klare, umsetzbare Empfehlungen.