Kontakt

Stellungnahme von DATATREE zum BSI-Lagebericht 2024: IT-Sicherheit im Gesundheitswesen

Nina Kill M. Sc.

Veröffentlicht am 23.04.2025 von Nina Kill M. Sc.

Im aktuellen Lagebericht zur IT-Sicherheit 2024 des Bundesamts für Sicherheit in der Informationstechnik (BSI) wird dem Gesundheitswesen eine „positive Entwicklung“ attestiert. Es heißt, das Gesundheitswesen befinde sich „auf dem richtigen Weg“ und zeige „erhöhte Sensibilität gegenüber IT-Sicherheit“ sowie eine „gesteigerte Bereitschaft zur Umsetzung entsprechender Maßnahmen“. 

Aus Sicht von DATATREE, einem Unternehmen mit Fokus auf Datenschutz und Informationssicherheit, ist diese Einschätzung jedoch kritisch zu bewerten.

1. Strukturelle Defizite bestehen weiterhin

Trotz einzelner Fortschritte in Teilbereichen wie der Telematikinfrastruktur oder Sensibilisierungsmaßnahmen beim Personal bleibt die Gesamtstruktur des Gesundheitswesens heterogen und lückenhaft. Viele kleinere Einrichtungen verfügen weder über ausreichende IT-Ressourcen noch über spezialisiertes Fachpersonal.

„Wir sehen in der täglichen Praxis, dass insbesondere kleinere Einrichtungen im Gesundheitswesen mit den grundlegenden Anforderungen der IT-Sicherheit überfordert sind.“ – Horst Wenning, Senior Consultant IT-Sicherheit, DATATREE

2. Sicherheitsvorfälle steigen weiter

Der Bericht erwähnt selbst eine hohe Zahl an Angriffen im Gesundheitswesen, darunter Ransomware-Attacken auf Krankenhäuser. Die „positiven Entwicklungen“ wirken im Licht dieser Vorfälle beschönigend.

„Sensibilisierung ist ein guter Anfang – aber ohne konkrete technische Maßnahmen ist sie wertlos.“ – Thomas Jäschke, Lead-Sicherheitsauditor und Vorstand, DATATREE

3. Fehlender Realitätsabgleich

Viele Einschätzungen im Bericht beruhen auf Selbstauskünften und Audits mit starkem Compliance-Fokus. Diese geben jedoch kaum Aufschluss über die tatsächliche Widerstandsfähigkeit gegenüber modernen Bedrohungen.

„Papier ist geduldig – aber Angreifer interessieren sich nicht für Richtlinien, sondern für Schwachstellen.“ – Magnus Welz, Bereichsvorstand Datenschutz und Informationssicherheit, DATATREE

4. Fokus auf regulatorische Erfüllung statt gelebter Sicherheit

Die Einhaltung gesetzlicher Vorgaben wie KRITIS-Verordnung oder DSGVO wird zunehmend formal erfüllt. Doch ein echtes Sicherheitsbewusstsein und die dauerhafte Umsetzung im Alltag bleiben oft aus.

„Wir beobachten regelmäßig, dass Sicherheit als Pflicht gesehen wird – nicht als Teil der Versorgung.“ – Andreas Pillen, Berater Informationssicherheit, DATATREE

5. Digitalisierung ohne adäquate Sicherheitsarchitektur

Die digitale Transformation schreitet schnell voran, aber die notwendige Sicherheitsarchitektur hinkt hinterher. Viele Anwendungen werden eingeführt, bevor Sicherheitsfragen ausreichend geklärt sind.

„Technologische Innovation ohne Sicherheitskonzept ist ein Risiko für Patienten und Einrichtungen.“ – Marcel Kaufel, Berater Informationssicherheit, DATATREE

Zusammenfassung

Die positive Einschätzung des BSI ist differenziert zu betrachten. Fortschritte sind erkennbar, aber die Sicherheitslage ist weiterhin angespannt und teils kritisch. DATATREE empfiehlt, weniger auf Selbstwahrnehmung und mehr auf echte Sicherheitsprüfungen zu setzen.