IT-Sicherheit als medizinisches Dilemma
Müssen wegen eines Hackerangriffs OPs verschoben oder vertrauliche Daten veröffentlicht werden, stehen auch das Nicht-Schaden-Prinzip, die Fürsorge und die Vertraulichkeit auf dem Spiel. Welche ethischen und rechtlichen Fragen das mit sich bringt.
Im OP der Universitätsklinik Düsseldorf war alles vorbereitet: Eine 78‑jährige Patientin mit akutem Aortenaneurysma war angekündigt. Doch plötzlich ging nichts mehr – Computer froren ein, auf die elektronischen Akten konnte nicht mehr zugegriffen werden, das Kliniknetz brach zusammen. Auch die Notaufnahme wurde aufgrund des massiven Hackerangriffs abgemeldet. Bis zur Einlieferung der Patientin in eine andere Klinik verging eine Stunde. Die Patientin starb. Der direkte Zusammenhang zum Hackerangriff ließ sich nicht nachweisen. Aber auch nicht bestreiten.
Dieser Fall aus dem Jahr 2020 führte zum ersten Mal vor Augen, dass digitale Angriffe nicht nur Daten gefährden, sondern unmittelbar Leben kosten können. Dass die Zahl der Cyberangriffe auf Einrichtungen des Gesundheitswesens immer weiter ansteigt, erscheint aus dieser Perspektive betrachtet noch mal bedrohlicher. Zumal neben kriminellen Gruppen auch staatliche Akteure und Terrororganisationen Cyberangriffe als Mittel einer hybriden Kriegsführung nutzen.
Frage nach Patientenwohlverändert noch mal alles
Legt ein Cyberangriff Versorgungsprozesse lahm, werden sie zu einem unmittelbaren Risiko für das Patientenwohl und werfen damit neuartige Verteilungskonflikte und ethische Fragen auf, wie Dr. iur. Dr. rer. pol. Fabian M. Teichmann in einem Bericht veranschaulicht. Denn Klinikleitungen kämpfen mit knappen Mitteln (s. Kasten). Umso größer ist damit das Dilemma, vor dem sie stehen: Welchen Anteil investieren wir in die IT-Sicherheit – und entziehen dieses Geld damit der unmittelbaren Patientenversorgung? Empfohlen wird, etwa 5 bis 7 % des IT-Budgets für Security aufzuwenden. Tatsächlich lag dieser Anteil in vielen Kliniken aber lange bei weit unter 1 %.
Extremer Spardruck verhindert Aufbau krisenfester Krankenhausstrukturen
Die Krankenhausstudie 2025 der BDO AG Wirtschaftsprüfungsgesellschaft und des Deutschen Krankenhausinstituts (DKI) dokumentiert eine angespannte Lage der Cybersicherheit in deutschen Krankenhäusern. 90 % der Kliniken bewerteten die Bedrohung durch Cyber-Kriminalität als hoch oder sehr hoch, jedes fünfte Krankenhaus war in den letzten drei Jahren von einem meldepflichtigen Cyber-Vorfall betroffen. Gleichzeitig gaben 70 % mangelnde finanzielle Mittel als Hemmnis bei der IT-Sicherheit an, ein Drittel der Häuser hat unbesetzte Stellen in der IT-Sicherheit. Ein Business Continuity Management (BCM), das die Aufrechterhaltung des Betriebs im Falle eines Angriffs sichert, ist nur bei 16 % der Häuser vollständig etabliert (53 % in Umsetzung). Und erst jedes zehnte Krankenhaus in Deutschland hat bislang eine realitätsnahe Cyber-Notfallübung durchgeführt.
Allein für die notwendige Cybersicherheit der Krankenhäuser sind Investitionen von 2,7 Milliarden Euro und zusätzliche Betriebskosten von 670 Millionen Euro pro Jahr erforderlich, sagt ein Gutachten des DKI und des Institute for Health Care Business.
Und die Deutsche Krankenhausgesellschaft kam anlässlich ihres Zukunftsforums in Berlin zu der Feststellung, dass die Kliniken unter den aktuellen politischen und wirtschaftlichen Rahmenbedingungen gar nicht in der Lage sind, sich resilient und krisenfest aufzustellen. Die im GKV-Sparpaket vorgesehenen Kürzungen in Höhe von insgesamt knapp 30 Milliarden Euro bis zum Jahr 2030 sowie die laufende Krankenhausreform würden weitere Häuser in die wirtschaftliche Schieflage und in Insolvenzen treiben. Und die Häuser, die unter diesen Bedingungen überleben, wären dann gezwungen, sich ausschließlich auf das unmittelbare Kerngeschäft der medizinischen Versorgung im Regelbetrieb zu konzentrieren.
Passworteingabe und Schulungen kosten Zeit
Auch im ärztlichen Klinikalltag ist dieses Spannungsverhältnis zwischen Versorgung und Cybersecurity ständiger Grund zu Ärgernis: Der neue Sicherheits-Patch legt das Stationssystem für eine Stunde lahm, die Passwortpflicht nervt im Notfallraum, die IT‑Abteilung fordert Schulungen mitten im Dienstplan. Doch jedes Umgehen solcher Vorgaben – jede gemeinsam genutzte Anmeldung, jede schnell mit USB-Stick kopierte Patientendatei – kann die Einfallspforte für die nächste Attacke sein. Strenge Sicherheitsmaßnahmen bremsen die Arbeit des medizinischen Personals – ein Verzicht auf solche Maßnahmen birgt aber eben Risiken, betont Dr. Teichmann.
Dieser Verteilungskonflikt zeige sich in Echtzeit sogar während eines Cyberangriffs. Denn ist der Virus im Netz, stehen die Verantwortlichen sehr konkret vor dem Dilemma: Nimmt man die Systeme so schnell wie möglich vom Netz, um den Angriff zu bremsen und Daten zu schützen? Oder bleibt man zunächst in Betrieb, um die laufenden Behandlungen nicht zu gefährden?
Manchmal kann jede Entscheidung falsch sein
Vor einem Dilemma mit ausschließlich schlechten Optionen stehen die Kliniken auch, wenn der Ransomangriff tatsächlich erfolgt: Zahlen sie Lösegeld, unterstützen sie kriminelle Machenschaften und möglicherweise zukünftige Angriffe. Zahlen sie nicht, riskieren sie längere Ausfallzeiten, Datenlecks und damit genauso potenzielle Schäden für Patientinnen und Patienten. Die unmittelbaren Folgen des Nichtzahlens – wozu etwa ein Monitorausfall am Intensivbett zählt und die nicht durchführbare Notfalloperation – könnten schwerer wiegen als das abstrakte Fernziel, Kriminalität langfristig nicht zu fördern, erläutert Dr. Teichmann.
Insbesondere aus den USA kommen auch Berichte, wonach Krankenhäuser im Geheimen Lösegeld bezahlen, um ihre Systeme schneller entschlüsseln zu können, weil die Datensicherungen unvollständig waren und jeder verlorene Tag Hunderte Patientinnen und Patienten gefährdete. In Deutschland ist kein konkreter Fall dieser Art bekannt – Umfragen deuten aber darauf hin, dass rund jede fünfte der betroffenen Gesundheitseinrichtungen tatsächlich Erpressungsgelder zahlt.
Im Angriffsfall ist übrigens die Klinikleitung verantwortlich – nicht der Dienstleister. Geht es also z. B. darum, Sicherheitsupdates einzuspielen, muss das Priorität haben, auch wenn der Betrieb kurzfristig dadurch gestört ist. Passiert das nicht und erfolgt dann ein Angriff über die Sicherheitslücke, muss sich die Leitungsebene hierfür rechtfertigen – wie die Erfahrung es schon gelehrt hat.
Teichmann FM. Ethik Med 2026; doi: 10.1007/s00481-025-00895-0