Cyberangriffe auf Krankenhäuser haben 2025/26 dramatisch zugenommen. Die Folgen sind oft lebensbedrohlich. Es gibt klare Gründe, wieso Kliniken zur Hauptzielscheibe der Cyberkriminellen geworden sind.
Allein in Deutschland wurden 2025 über 120 Krankenhäuser und Klinikverbünde Opfer von Ransomware-Angriffen – ein Anstieg von 300% gegenüber 2023. Die jüngsten Attacken auf mehrere Unikliniken in Bayern und Baden-Württemberg zeigen: Das Problem wird immer akuter.
Cyberkriminelle nutzen dabei raffinierte Methoden, um in die oft mangelhaft geschützte IT-Infrastruktur der Gesundheitseinrichtungen einzudringen. Sie suchen gezielt nach der einen gut auszunutzenden Schwachstelle, um maximalen Schaden anzurichten.
Ransomware verschlüsselt Daten und blockiert IT-Systeme
KI-gestützte Angriffe werden zur Norm
Die Angriffsmethoden haben sich 2025/26 drastisch weiterentwickelt. Cyberkriminelle setzen mittlerweile KI-Tools ein, um perfekte Spear-Phishing-E-Mails zu erstellen, die kaum noch von echten Nachrichten zu unterscheiden sind. Sie analysieren LinkedIn-Profile von Ärzten und Pflegepersonal, um maßgeschneiderte Köder-E-Mails zu versenden.
Neu sind auch „Living-off-the-Land“-Angriffe: Dabei nutzen die Kriminellen bereits vorhandene, legitime Tools im Krankenhaus-System, um unentdeckt zu bleiben. PowerShell-Skripte und Windows-Systemtools werden zur Waffe umfunktioniert – und sind für Sicherheitssoftware oft unsichtbar.
Einmal im System, etablieren die Angreifer mehrere Wochen lang ihre „Persistent Access“-Infrastruktur, bevor sie zuschlagen. Sie kartieren das gesamte Netzwerk, identifizieren kritische Systeme und schaffen mehrere Hintertüren für den Fall, dass eine entdeckt wird.
Ransomware-as-a-Service boomt weiter
Das Geschäftsmodell hat sich professionalisiert: Ransomware-as-a-Service (RaaS) macht es auch technischen Laien möglich, hochkomplexe Angriffe durchzuführen. Die Banden LockBit 4.0, BlackCat Phoenix und die neue Gruppe „MedLocker“ haben sich speziell auf Gesundheitseinrichtungen spezialisiert.
Das perfide System funktioniert wie ein dunkler App-Store: Für wenige hundert Euro kaufen sich „Affiliates“ Zugang zu ausgereiften Ransomware-Paketen inklusive 24/7-Support, mehrsprachigen Erpresserbriefen und sogar Verhandlungstraining. Die Hauptbanden kassieren 20-30% Provision.
Neu ist die „Double Extortion Plus“-Masche: Neben Datenverschlüsselung und Datendiebstahl drohen die Kriminellen seit 2025 auch mit DDoS-Angriffen auf die Krankenhaus-Websites und dem gezielten Anruf bei Patienten mit gestohlenen Gesundheitsdaten.
„IoT-Geräte sind das neue Einfallstor“
Manuel Atug von der AG Kritis sieht 2026 neue Bedrohungsvektoren: „Mittlerweile hängen unzählige medizinische Geräte am Netz – von Insulinpumpen bis zu MRT-Scannern. Viele davon haben Werks-Passwörter oder bekommen nie Sicherheitsupdates.“
Besonders problematisch: Viele Kliniken wissen gar nicht, welche Geräte in ihrem Netzwerk aktiv sind. Eine 2025 durchgeführte Studie fand in deutschen Krankenhäusern durchschnittlich 40% mehr vernetzte Geräte als den IT-Abteilungen bekannt war.
Die neuen „Lateral Movement“-Techniken der Angreifer nutzen diese Schwachstellen: Sie dringen über ein schlecht gesichertes Patientenüberwachungsgerät ein und arbeiten sich dann systematisch zu den zentralen Servern vor.
Manuel Atug von der AG Kritis fordert mehr Awareness und Investment
Direkte Angriffe auf Lebenserhaltung nehmen zu
Was früher als „unwahrscheinlich“ galt, ist 2025/26 Realität geworden: Gezielte Angriffe auf lebenserhaltende Systeme. In den USA mussten bereits mehrere Intensivstationen komplett evakuiert werden, nachdem Ransomware auch Beatmungsgeräte und Dialysemaschinen lahmlegte.
Deutsche Kliniken meldeten 2025 erstmals Ausfälle von Herzschrittmacher-Programmiergeräten und Infusionspumpen durch Cyberangriffe. „Die Cyberkriminellen haben keine moralischen Hemmungen mehr“, warnt Atug. „Ihnen ist egal, ob Menschen sterben.“
Besonders gefährlich: Viele moderne Operationsroboter und bildgebende Systeme sind mittlerweile so stark vernetzt, dass ihr Ausfall ganze Behandlungsketten zusammenbrechen lässt.
Auch manche lebenserhaltende Maschinen hängen am Netz
Zero Trust wird zur Pflicht
Experten fordern deshalb einen Paradigmenwechsel: Weg vom traditionellen Perimeter-Schutz hin zu Zero-Trust-Architekturen. Dabei wird jedem Gerät und Nutzer standardmäßig misstraut – Zugriff gibt es nur nach erfolgreicher Authentifizierung und nur auf die wirklich benötigten Systeme.
Netzwerk-Segmentierung ist dabei entscheidend: Kritische Systeme wie Intensivüberwachung müssen vollständig vom allgemeinen IT-Netzwerk getrennt werden. „Air-Gapping“ – die physische Trennung wichtiger Systeme vom Internet – erlebt 2026 ein Comeback.
Moderne EDR-Systeme (Extended Detection and Response) mit KI-basierter Anomalie-Erkennung können verdächtige Aktivitäten oft schon erkennen, bevor Schäden entstehen.
NIS2 zeigt erste Wirkung – aber reicht nicht
Seit der vollständigen Umsetzung der NIS2-Richtlinie Ende 2024 hat sich die Sicherheitslage leicht verbessert. Viele Kliniken haben endlich Incident Response Teams aufgebaut und regelmäßige Penetrationstests eingeführt.
Die verschärften Meldepflichten führten dazu, dass 2025 erstmals ein realistisches Bild der Bedrohungslage entstand. Bußgelder bis 10 Millionen Euro oder 2% des Jahresumsatzes haben durchaus abschreckende Wirkung gezeigt.
Dennoch kritisiert Atug: „NIS2 ist nur der Mindeststandard. Wer sich darauf beschränkt, wird trotzdem gehackt.“ Besonders die geforderten Backup-Strategien greifen oft zu kurz: Moderne Ransomware löscht auch Backups oder wartet monatelang, bis sie sich auch dort eingenistet hat.
Fachkräftemangel verschärft die Lage
Das größte Problem bleibt der Personalmangel: 2026 sind in Deutschland etwa 15.000 Stellen für IT-Security-Experten unbesetzt – viele davon im Gesundheitswesen. „Wir brauchen dringend eine Ausbildungsoffensive“, mahnt Atug.
Manche Kliniken setzen deshalb verstärkt auf Managed Security Service Provider (MSSPs) und Security Operations Centers (SOCs) als externe Dienstleister. Das kann funktionieren – aber nur bei sorgfältiger Auswahl der Partner.
Klar ist: Cybersicherheit in Krankenhäusern ist längst eine Frage von Leben und Tod geworden. Wer jetzt nicht handelt, riskiert nicht nur Millionenschäden, sondern Menschenleben.
Zuletzt aktualisiert am 17.02.2026
