Der Angriff auf den Klinik-Abrechnungsdienstleister Unimed und der Datenabfluss bei der niedersächsischen Prüfgesellschaft Arwini haben in den vergangenen Wochen erneut gezeigt, wie stark Gesundheitsdaten ins Visier von Cyberkriminellen geraten sind. Während bei Unimed zehntausende Datensätze von Privatpatienten und Selbstzahlern betroffen sind, hat die Ransomware-Gruppe Kairos einen 2,87 Terabyte großen Datenbestand von Arwini veröffentlicht. Bereits von heise online gesichtete Dateien deuten darauf hin, dass bei Arwini zwar auch Rezept- und Abrechnungsdaten betroffen sind, ein erheblicher Teil der kompromittierten Informationen jedoch auf Arztpraxen und deren Beschäftigte zurückzuführen sein dürfte. Zudem sind nach bisherigem Kenntnisstand auch Unternehmensdaten betroffen.

Für Krankenhäuser kommen diese Vorfälle zu einem denkbar ungünstigen Zeitpunkt. Seit Ende 2025 gilt das novellierte BSI-Gesetz zur Umsetzung der europäischen NIS2-Richtlinie. Parallel trat im März 2026 das KRITIS-Dachgesetz in Kraft. Beide Regelwerke sollen die Resilienz kritischer Einrichtungen stärken, verfolgen aber unterschiedliche Schwerpunkte: Das BSI-Gesetz adressiert primär die Informationssicherheit, das KRITIS-Dachgesetz den Schutz vor physischen Gefahren und Ausfällen.

Für Manuel Atug von HiSolutions und langjährigem Berater von KRITIS-Betreibern werden die aktuellen Angriffe häufig noch falsch eingeordnet. „Security sichert das Business ab“, sagte Atug bei einem Webinar des Berufsbildungswerks Deutscher Krankenhäuser (BBDK). Cybersicherheit dürfe nicht als lästige Compliance-Aufgabe verstanden werden. Vielmehr gehe es um die Fähigkeit von Krankenhäusern, ihre medizinischen Leistungen überhaupt noch erbringen zu können. Als Beispiele führte er mehrere aktuelle Vorfälle an. Beim Angriff auf Unimed seien nicht nur Stammdaten abgeflossen. Teilweise seien auch Diagnosen, Angaben zu Erkrankungen, Behandlungen und Gesundheitsverläufen betroffen. Besonders problematisch sei dabei die starke Abhängigkeit vieler Kliniken von externen Dienstleistern.

Atug kritisierte, dass Hersteller häufig nur einmalig geprüft würden. Er verwies auf den Fall einer Klinik, die den Dienstleister bei Vertragsabschluss vor Ort geprüft habe, anschließend aber über mehr als ein Jahrzehnt keine weitere Überprüfung vorgenommen habe. Wer NIS2-konforme Risikobewertungen durchführen wolle, müsse die Sicherheit in der Lieferkette dauerhaft überwachen und regelmäßig neu bewerten.

Lieferkette wird zum Risikofaktor

Genau diese Abhängigkeiten zeigen sich auch beim Unimed-Vorfall. Die betroffenen Universitätskliniken betonen zwar übereinstimmend, dass ihre eigenen Systeme nicht kompromittiert wurden. Dennoch müssen sie nun tausende Patienten informieren. Die Universitätsmedizin Mainz meldete zuletzt 2.764 betroffene Personen. Bei 621 Patienten seien Gesundheitsdaten wie Diagnosen, Diagnosecodes oder Inhalte aus Patientenakten betroffen, in einem Fall auch Finanzdaten. Andere Universitätskliniken melden deutlich höhere Zahlen. Freiburg spricht von rund 54.000 betroffenen Datensätzen, Köln von etwa 30.000 Fällen. Der eigentliche Angriff richtete sich ausschließlich gegen den Dienstleister. Die Folgen treffen jedoch die Krankenhäuser, die nun Auskunft geben, Datenschutzbehörden informieren und das Vertrauen ihrer Patienten zurückgewinnen müssen.

Mehr Regulierung, aber nicht automatisch mehr Aufwand

„Die Betroffenheit sagt zunächst noch überhaupt nichts über den tatsächlichen Aufwand aus“, betonte Rechtsanwalt Tilmann Dittrich im Webinar. Viele Einrichtungen reagierten zunächst mit Sorge auf ihre mögliche Einstufung als wichtige oder besonders wichtige Einrichtung. Tatsächlich verlange das Gesetz jedoch kein starres Maßnahmenpaket, sondern ein angemessenes Risikomanagement. Umfang und Tiefe der Sicherheitsmaßnahmen müssten sich an Größe, Risikoexposition und Bedeutung der jeweiligen Einrichtung orientieren.

Das novellierte BSI-Gesetz unterscheidet zwischen wichtigen Einrichtungen, besonders wichtigen Einrichtungen und Betreibern kritischer Anlagen. Als wichtige Einrichtungen gelten Organisationen ab 50 Beschäftigten oder einem Jahresumsatz beziehungsweise einer Bilanzsumme von mehr als zehn Millionen Euro. Besonders wichtige Einrichtungen beginnen bei 250 Beschäftigten oder mehr als 50 Millionen Euro Umsatz.

Geschäftsleitungen geraten stärker in die Verantwortung

„Die Verantwortung bleibt bei der Geschäftsleitung“, betonte Dittrich. Die Leitung könne Aufgaben zwar delegieren, müsse aber weiterhin steuern, überwachen und kontrollieren. Genau deshalb habe der Gesetzgeber die Schulungspflicht für Geschäftsleitungen eingeführt. Bereits im Februar hatte Dittrich gegenüber heise online erklärt, die neue Haftung sei keine völlige Neuerung, sondern vor allem eine Klarstellung bestehender Organisationspflichten. Im Webinar unterstrich er diesen Gedanken erneut. Die eigentliche Herausforderung bestehe nicht darin, dass Geschäftsführer künftig selbst technische Risiken bewerten müssten. Sie müssten vielmehr sicherstellen, dass geeignete Prozesse existieren, Risiken gemeldet werden und Entscheidungen dokumentiert erfolgen.

Besonders wichtig sei dabei die organisatorische Einbindung der IT-Sicherheit. Nach Darstellung von Dittrich dürfe Cybersicherheit nicht länger als isoliertes Thema der IT-Abteilung betrachtet werden. Die gesetzlichen Vorgaben zielten ausdrücklich darauf ab, IT-Risiken zu einem Thema der Unternehmensführung zu machen.

Wer fällt überhaupt unter NIS2?

Anders als vielfach angenommen betrifft die Regulierung längst nicht nur große Universitätskliniken. Nach Einschätzung des BSI fallen Krankenhäuser grundsätzlich als Erbringer von Gesundheitsdienstleistungen unter die Regelungen. Relevant sind dabei vor allem Mitarbeiterzahl und Umsatz. Dittrich verwies darauf, dass die Frage der Betroffenheit im Gesundheitswesen deutlich komplizierter sei als in vielen anderen Branchen. Zwar seien Krankenhäuser als Gesundheitsdienstleister eindeutig erfasst. Bei zahlreichen anderen Einrichtungen komme es jedoch auf den konkreten Charakter der Tätigkeit an.

Als Beispiel nannte er Ambulanzen, Reha-Einrichtungen oder Rettungsdienste. Gerade bei ambulanten Angeboten müsse häufig im Einzelfall geprüft werden, ob tatsächlich Gesundheitsdienstleistungen im Sinne der europäischen Patientenmobilitätsrichtlinie erbracht würden. Daneben seien die komplizierten Zurechnungsregeln für Krankenhausverbünde ein häufig unterschätztes Problem. Während bei NIS2 teilweise Mitarbeiterzahlen und Umsätze verbundener Unternehmen zusammengerechnet würden, gelte bei KRITIS-Betreibern wiederum eine andere Logik. Gerade Klinikgruppen müssten deshalb ihre Betroffenheit sorgfältig prüfen.

Homöopathie nein, Rettungsdienst ja

Bei der Abgrenzung, welche Einrichtungen überhaupt als Gesundheitsdienstleister gelten, verwies Dittrich auf mehrere teils überraschende Beispiele aus den Veröffentlichungen des Bundesamts für Sicherheit in der Informationstechnik (BSI). So vertritt das BSI die Auffassung, dass Homöopathie keine Gesundheitsdienstleistung im Sinne des BSI-Gesetzes darstellt und entsprechende Einrichtungen daher nicht unter die NIS2-Regulierung fallen. Dittrich bezeichnete diese Einordnung als zumindest diskussionswürdig. Schließlich würden Hersteller homöopathischer Arzneimittel unter bestimmten Voraussetzungen unter regulatorische Vorgaben fallen können, während die eigentlichen Anbieter homöopathischer Behandlungen nach der aktuellen BSI-Auslegung nicht erfasst würden.

Noch größere Diskussionen hatte zuvor die Einordnung von Rettungsdiensten ausgelöst. Das BSI hatte zeitweise die Auffassung vertreten, Rettungsdienste seien keine Gesundheitsdienstleister. Diese Position wurde später korrigiert. Für Dittrich sprechen die besseren Argumente dafür, Rettungsdienste als Gesundheitsdienstleister einzustufen, da dort medizinisch qualifiziertes Personal unmittelbar Patienten versorgt und Leistungen zur Beurteilung, Erhaltung und Wiederherstellung des Gesundheitszustands erbracht werden. Auch bei Ambulanzen, Reha-Einrichtungen oder Pflegeangeboten komme es häufig auf die konkrete Ausgestaltung der Tätigkeit an. Die vom BSI veröffentlichten Fallbeispiele seien zwar hilfreich, ließen aber weiterhin Interpretationsspielräume offen. Gerade bei größeren Trägern und Krankenhausverbünden sei daher oft eine individuelle Prüfung erforderlich.

KRITIS-Dachgesetz bringt zusätzliche Pflichten

Für Betreiber kritischer Anlagen kommt mit dem KRITIS-Dachgesetz eine weitere Ebene hinzu. Das Gesetz verpflichtet betroffene Einrichtungen zur Risikoanalyse und Risikobewertung sowie zur Erstellung eines Resilienzplans. Dittrich machte deutlich, dass beide Regelwerke zwar ähnliche Ziele verfolgen, aber unterschiedliche Schwerpunkte setzen. Das BSI-Gesetz adressiere primär die Informationssicherheit, das KRITIS-Dachgesetz dagegen den Schutz vor physischen Gefahren und sonstigen Ausfällen. Beide Gesetze folgten inzwischen einem sogenannten All-Gefahren-Ansatz, weil sich moderne Bedrohungen häufig nicht mehr sauber in physische und digitale Risiken trennen ließen.

Für Krankenhäuser bleibt bei den KRITIS-Regelungen die bekannte Schwelle von 30.000 vollstationären Fällen pro Jahr maßgeblich. Diese Schwelle findet sich auch im Entwurf der neuen KRITIS-Verordnung wieder. Kleinere Häuser bleiben damit zunächst außerhalb des KRITIS-Regimes, können aber dennoch unter NIS2 fallen. Als problematisch bezeichnete Dittrich die teilweise unterschiedlichen Meldepflichten beider Gesetze. Inhaltlich sei häufig dasselbe gemeint, die gesetzlichen Formulierungen und Fristen seien jedoch nicht vollständig harmonisiert worden. Für Betreiber könne dadurch zusätzlicher organisatorischer Aufwand entstehen. Atug sieht im KRITIS-Dachgesetz vor allem eine notwendige Erweiterung des bisherigen Sicherheitsverständnisses. Risiken entstünden nicht ausschließlich durch Hacker. Auch Stromausfälle, Lieferengpässe, Naturereignisse oder physische Angriffe könnten die Gesundheitsversorgung gefährden. Der neue Gefahrenansatz spiegelt sich auch in den Meldepflichten wider. Künftig müssen KRITIS-Betreiber erhebliche Vorfälle grundsätzlich innerhalb von 24 Stunden melden. Zuständig wird eine gemeinsame Meldestelle von Bundesamt für Sicherheit in der Informationstechnik (BSI) und Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK).

Resilienz statt Zertifikatsdenken

Besonders kritisch sieht Atug die verbreitete Annahme, ein ISO-27001-Zertifikat oder ein ähnlicher Nachweis löse bereits alle Anforderungen. Zertifizierungen belegten vor allem, dass Prozesse definiert und eingeführt wurden. Die eigentliche Herausforderung bestehe darin, ihre Wirksamkeit dauerhaft zu überprüfen. „Wer Cybersicherheit weiterhin als rein technisches Thema der IT-Abteilung behandelt, handelt damit nicht nur fahrlässig, sondern auch rechtswidrig“, sagte Atug.

Doch zwischen den regulatorischen Anforderungen und ihrer praktischen Umsetzung klafft in vielen Häusern eine wachsende Lücke. Für zahlreiche Krankenhäuser ist Cybersicherheit längst nicht mehr nur eine Frage von Technik und Organisation, sondern zunehmend auch eine Frage der Finanzierung. Die gesetzlichen Vorgaben verlangen nicht nur Dokumentation, sondern kontinuierliche Risikoanalysen, regelmäßige Überprüfungen von Lieferanten, belastbare Notfallprozesse und eine stärkere Einbindung der Geschäftsführung in Sicherheits- und Resilienzfragen.

Gleichzeitig wächst der Druck auf die Krankenhaus-IT auch aus anderen Richtungen. Nach Angaben des Bundesverbands KH-IT fehlen vielen Häusern inzwischen die Mittel, um die durch das Krankenhauszukunftsgesetz angestoßenen Digitalisierungsprojekte dauerhaft fortzuführen. Während neue Anforderungen durch NIS2, KRITIS-Dachgesetz, elektronische Patientenakte, TI-Dienste und den Europäischen Gesundheitsdatenraum zusätzliche Investitionen erfordern, erfüllen viele Kliniken laut KH-IT bereits heute nur noch die Mindestanforderungen, um Sanktionen zu vermeiden. Projekte werden verschoben, Personal fehlt und selbst Investitionen in die IT-Sicherheit konkurrieren mit anderen dringend benötigten Ausgaben. Damit droht aus Sicht vieler Krankenhaus-IT-Verantwortlicher genau jene Resilienz zum Finanzierungsproblem zu werden, die der Gesetzgeber mit den neuen Sicherheitsvorgaben eigentlich stärken will.

(mack)

Die Funktechnik Ultrawideband (Ultrabreitband, UWB) steckt in vielen Smartphones, Autos, Trackern und einigen (Haus-)Türschlössern. Der kommende Standard IEEE 802.15.4ab soll UWB eine wesentlich höhere Reichweite bringen sowie auch genauere Ortung als der Vorgänger 802.15.4z. Trotzdem sollen neue UWB-Chips noch sparsamer mit Energie umgehen können.

Die Chipfamilie ST64UWB von STMicroelectronics setzt Neuerungen von 802.15.4ab wie Narrowband Assisted Multi Millisecond Ranging (NBA MMS) um. Das belgische Forschungszentrum IMEC hat eine Implementierung für 22-Nanometer-Fertigungstechnik entwickelt. Apple hat einige der Neuerungen von 802.15.4ab offenbar beim hauseigenen UWB-Chip U2 eingebaut, der in den AirTags 2 sowie in anderen aktuellen Apple-Produkten steckt.

Funkenergie bündeln

UWB arbeitet mit Impulsfolgen, die über einen weiten Frequenzbereich verteilt sind – daher der Name Ultrabreitband. Die mittlere Sendeleistung ist dabei dermaßen gering, dass UWB andere Funkverfahren nicht stört.

Multi Millisecond Ranging (MMS) steigert die Reichweite beziehungsweise verbessert die Signalstärke, indem UWB bestimmte Fragmente im Abstand von jeweils einer Millisekunde wiederholt. Dabei hält das Funkverfahren jedoch im Mittel das zulässige Sendeleistungsbudget ein.

Wie STMicro in einem Blog-Beitrag erklärt, steigt schon durch MMS die UWB-Reichweite um ein Mehrfaches. Dadurch funktionieren etwa drahtlose UWB-Autoschlüssel zuverlässiger, die auf einem Smartphone hinterlegt sind, auch wenn sich dieses in einer Hosentasche oder einer Tragetasche befindet.

Schmaler Zusatzkanal

Zur Steuerung der MMS-Impulse kann ein zusätzlicher Funkkanal genutzt werden, der außerhalb von UWB liegt, etwa Bluetooth Low Energy (BLE). Das nennt man Out-of-Band-MMS (OOB-MMS)

Laut STMicro verspricht aber NBA-MMS mit einem schmalbandigen Signal, das der UWB-Chip sendet, noch höhere Reichweiten. Ein Whitepaper des chinesischen Unternehmens Calterah erklärt die Funktionsweise von NBA-MMS im Detail.

Radar-Modus zur Innenraumüberwachung

Das 802.15.4ab-Protokoll beschreibt auch einen Radarmodus, bei dem der UWB-Chip die Laufzeiten der von ihm selbst ausgesendeten und reflektierten Signale misst. Dieser UWB Radar Mode kommt also ohne einen zweiten Chip aus und soll die Position eines Objekts auf 7,5 Zentimeter genau bestimmen können.

Damit eignet sich der UWB-Radarmodus auch zur Innenraumüberwachung von Fahrzeugen. Systeme für In-Cabin Sensing (ICS) beziehungsweise In-Cabin Monitoring (ICM) oder auch Driver Monitoring Systems (DMS) werden bei neuen Fahrzeugen in immer mehr Ländern zur Pflicht.

(ciw)

Ermittler haben nach dem nächtlichen Brand in einem Umspannwerk mit großflächigem Stromausfall in Reutlingen einen möglichen Brandbeschleuniger gefunden. „Es gibt Anzeichen, dass ein Brandbeschleuniger benutzt wurde“, sagte ein Sprecher des Landeskriminalamtes in Stuttgart. Am Brandort seien Spuren gesichert worden. Diese müssten nun ausgewertet werden.

Nach Auskunft von Innenminister Manuel Hagel (CDU) haben Staatsschutz und Antiterrorismuszentrum beim Landeskriminalamt in Stuttgart die Ermittlungen übernommen. Es sei eine Ermittlungsgruppe „Fischer“ gegründet worden, sagte Hagel in Reutlingen.

Eine Einsatzhundertschaft der Polizei sei nach Reutlingen verlegt worden, um Polizeipräsenz zu zeigen an kritischer Infrastruktur und den Bereichen, in denen es immer noch keinen Strom gebe. Laut Hagel waren etwa 7.600 Gebäude und rund 40.000 Menschen von dem Stromausfall betroffen. Ab wann die Stromversorgung wieder vollständig hergestellt sein wird, ist noch unklar.

Innenminister will Täter zur Rechenschaft ziehen

Das Ermittlungsverfahren wird laut Hagel mit Hochdruck verfolgt – „vor allen Dingen wegen des Verdachts der vorsätzlichen Brandlegung und der Störung öffentlicher Betriebe.“ Man ermittle ergebnisoffen in alle Richtungen. „Unsere Ermittlungsgruppe wird jeden einzelnen Stein umdrehen, und wir werden den Täter auch mit aller Härte zur Rechenschaft ziehen“, sagte Hagel.

Das Landeskriminalamt teilte mit: „Hinweise zu möglichen Tatverdächtigen oder Motiven liegen aktuell noch nicht vor. Die Ermittlungen der Spurensicherung einschließlich des Einsatzes eines Brandmittelspürhundes sowie unter Einbeziehung von Sachverständigen sind noch nicht abgeschlossen.“

Sicherheitsexperten gehen von Brandstiftung aus

Nach Einschätzung von Sicherheitsexperten könnte der Brand gezielt gelegt worden sein. Die Vorgehensweise deute auf linksextremistische Täter hin und weise Parallelen etwa zu entsprechenden Taten in Berlin auf, erfuhr die Deutsche Presse-Agentur. Hinweise auf einen möglichen Drahtzieher im Ausland gebe es nicht.

Bundesinnenminister Alexander Dobrindt sagte im ZDF: „Wir gehen davon aus, dass es sich hier aller Wahrscheinlichkeit nach um einen Brandanschlag handelt.“ Notwendige Spuren seien ermittelt worden. „Jetzt geht es darum, dass man in alle Richtungen weiter ermittelt, um die Grundlage dieses Brandanschlags und die Täter entsprechend auch zu ermitteln“, betonte der CSU-Politiker.

Zehntausende Menschen für Stunden ohne Strom

In der Nacht hatte es im Umspannwerk Reutlingen-West gebrannt, so dass dieses ausfiel und eine weitere Anlage in Mitleidenschaft zog. In der Folge waren zehntausende Menschen zeitweise zunächst ohne Strom. Auch ein Krankenhaus war betroffen. Nach Informationen der Deutschen Presse-Agentur entstand durch den Brand und den Stromausfall ein Schaden von mehreren Millionen Euro.

Am Dienstagmittag seien „nahezu alle betroffenen Privathaushalte provisorisch wieder mit Strom versorgt“ gewesen, teilte die Stadt auf ihrer Website mit, auch das Krankenhaus. „Noch nicht wieder am Netz sind derzeit rund 50 Mittelspannungskunden, die über das Umspannwerk Reutlingen-West Strom beziehen.“ Die Versorger Netze BW und FairNetz arbeiteten „mit Hochdruck“ an einer Lösung. Allerdings werde die Versorgung für die verbleibenden Gewerbebetriebe „nicht vor morgen Abend wiederhergestellt sein.“

Erinnerungen an Berliner Brandanschläge

Der Vorfall erinnert an zwei mutmaßlich linksextremistische Brandanschläge auf die Stromversorgung in Berlin. Nach dem Anschlag am 9. September 2025 auf zwei Strommasten waren zeitweise rund 50.000 Privathaushalte und rund 2.000 Gewerbebetriebe vom Stromausfall betroffen. Der Ausfall dauerte rund 60 Stunden.

Beim zweiten Anschlag am 3. Januar wurden fünf Hoch- und zehn Mittelspannungskabel auf einer Kabelbrücke zerstört. Erst am 7. Januar und damit nach rund 100 Stunden war die Stromversorgung wieder für alle Betroffenen hergestellt. Damals herrschte eisige Kälte und es lag Schnee – und der Stromausfall sorgte auch dafür, dass viele Zentralheizungen nicht mehr liefen. Tausende Berliner flüchteten zu Freunden, Bekannten und in Hotels.

(wpl)