Zehntausende Patientendatensätze entwendet, Universitätskliniken in ganz Deutschland betroffen – und die eigentliche Schwachstelle lag nicht bei den Kliniken selbst, sondern bei einem externen Abrechnungsdienstleister. Dieser Vorfall ist kein Einzelfall. Er ist das jüngste Beispiel eines Musters, das sich durch die deutsche Wirtschaft zieht: Der Angriff kommt nicht durch die Vordertür. Er kommt über die Lieferkette.
Was diesen Fall besonders heikel macht, ist die Natur der erbeuteten Daten. Stammdaten, Rechnungsinformationen und in Teilen auch Diagnosen, Behandlungsverläufe und Gesundheitsdaten – Informationen, die sich nicht wie ein Passwort zurücksetzen lassen. Für die Betroffenen ist der Schaden dauerhaft. Für die Angreifer sind solche Datensätze auf dem Schwarzmarkt um ein Vielfaches wertvoller als gewöhnliche Zugangsdaten. Im Gesundheitswesen steht mit dem Vertrauen der Patientinnen und Patienten das höchste Gut auf dem Spiel, und genau dieses Vertrauen wurde hier verletzt.
Die Tatsache, dass die klinischen Systeme durchgehend funktionsfähig blieben, ist kein Grund zur Entwarnung. Im Gegenteil: Sie verdeckt die eigentliche Schwachstelle. Die Angriffsfläche einer Organisation endet nicht an den eigenen Systemgrenzen. Sie umfasst jeden Partner, jeden Dienstleister, jede Schnittstelle, über die sensible Daten fließen. Ein einzelner Abrechnungsdienstleister, der für zahlreiche Kliniken in Deutschland arbeitet, wird so zum Single Point of Failure für eine gesamte Branche. Der Dominoeffekt, den wir bei Angriffen auf die Fertigungsindustrie längst kennen, ist jetzt auch im Gesundheitswesen angekommen.
Besonders alarmierend ist, dass Regulierung diesen Angriff nicht verhindert hat. Universitätskliniken gehören zu den am strengsten regulierten Einrichtungen in Deutschland. DSGVO, NIS2, BSI-Vorgaben – das Regelwerk ist umfassend. Doch Compliance an den eigenen Systemgrenzen reicht nicht aus, wenn der Dienstleister dahinter zur offenen Flanke wird. Regulierung schafft Mindeststandards. Sicherheit entsteht erst, wenn diese Standards auf die gesamte Wertschöpfungskette angewendet werden.
Der Vorfall offenbart darüber hinaus ein strukturelles Problem. Warum hat ein externer Dienstleister Zugriff auf Gesundheitsdaten von zehntausenden Patienten über einen Zeitraum von bis zu zehn Jahren? Datensparsamkeit ist kein Hindernis für effiziente Prozesse, sondern ein Architekturprinzip, das den potenziellen Schaden im Ernstfall massiv begrenzt. Je weniger sensible Daten an Dritte fließen, desto kleiner ist die Angriffsfläche.
Echte Resilienz im Gesundheitswesen erfordert ein Umdenken auf mehreren Ebenen:
- Lieferantenrisiko als Chefsache:Jeder externe Partner mit Zugriff auf Patienten- oder Unternehmensdaten muss in das eigene Risikomanagement einbezogen werden. Sicherheitsaudits, vertragliche Mindeststandards und regelmäßige Überprüfungen dürfen keine Ausnahme sein.
- Zero Trust über die eigenen Grenzen hinaus:In einem vernetzten System darf keinem Akteur pauschal vertraut werden – auch nicht langjährigen Partnern. Strikte Zugriffskontrollen, Mikrosegmentierung und kontinuierliches Monitoring müssen die gesamte Datenverarbeitungskette abdecken, nicht nur die eigene Infrastruktur.
- Datensparsamkeit konsequent umsetzen:Organisationen müssen hinterfragen, welche Daten sie an Dritte weitergeben und ob der Umfang tatsächlich notwendig ist. Minimaler Datentransfer bedeutet minimalen Schaden im Ernstfall.
- Notfallpläne für Drittanbieter-Vorfälle:Krisenpläne müssen explizit das Szenario abbilden, dass nicht das eigene System, sondern ein externer Dienstleister kompromittiert wird. Der aktuelle Fall zeigt, dass zwischen Angriff und belastbarer Information Wochen vergehen können. Wer in dieser Zeit keinen Fahrplan hat, verliert die Kontrolle über die Kommunikation und das Vertrauen der Betroffenen.
Die Digitalisierung des Gesundheitswesens ist richtig und notwendig. Aber sie darf nicht schneller voranschreiten als die Absicherung der Strukturen, die sie tragen. Der Angriff auf die Unikliniken zeigt: Wer seine eigenen Mauern hochzieht, aber die Hintertür beim Dienstleister offenlässt, schützt am Ende niemanden. Cybersicherheit im Gesundheitswesen beginnt nicht beim eigenen Rechenzentrum. Sie beginnt bei der Frage, wem man seine sensibelsten Daten anvertraut und ob man deren Schutz auch tatsächlich überprüft.
Von Gerald Eid, Regional Managing Director EMEA bei Getronics.
