Von Rettungsdienst bis Klinik: Wer unter NIS2 und KRITIS fällt

Der Angriff auf den Klinik-Abrechnungsdienstleister Unimed und der Datenabfluss bei der niedersächsischen Prüfgesellschaft Arwini haben in den vergangenen Wochen erneut gezeigt, wie stark Gesundheitsdaten ins Visier von Cyberkriminellen geraten sind. Während bei Unimed zehntausende Datensätze von Privatpatienten und Selbstzahlern betroffen sind, hat die Ransomware-Gruppe Kairos einen 2,87 Terabyte großen Datenbestand von Arwini veröffentlicht. Bereits von heise online gesichtete Dateien deuten darauf hin, dass bei Arwini zwar auch Rezept- und Abrechnungsdaten betroffen sind, ein erheblicher Teil der kompromittierten Informationen jedoch auf Arztpraxen und deren Beschäftigte zurückzuführen sein dürfte. Zudem sind nach bisherigem Kenntnisstand auch Unternehmensdaten betroffen.

Für Krankenhäuser kommen diese Vorfälle zu einem denkbar ungünstigen Zeitpunkt. Seit Ende 2025 gilt das novellierte BSI-Gesetz zur Umsetzung der europäischen NIS2-Richtlinie. Parallel trat im März 2026 das KRITIS-Dachgesetz in Kraft. Beide Regelwerke sollen die Resilienz kritischer Einrichtungen stärken, verfolgen aber unterschiedliche Schwerpunkte: Das BSI-Gesetz adressiert primär die Informationssicherheit, das KRITIS-Dachgesetz den Schutz vor physischen Gefahren und Ausfällen.

Für Manuel Atug von HiSolutions und langjährigem Berater von KRITIS-Betreibern werden die aktuellen Angriffe häufig noch falsch eingeordnet. „Security sichert das Business ab“, sagte Atug bei einem Webinar des Berufsbildungswerks Deutscher Krankenhäuser (BBDK). Cybersicherheit dürfe nicht als lästige Compliance-Aufgabe verstanden werden. Vielmehr gehe es um die Fähigkeit von Krankenhäusern, ihre medizinischen Leistungen überhaupt noch erbringen zu können. Als Beispiele führte er mehrere aktuelle Vorfälle an. Beim Angriff auf Unimed seien nicht nur Stammdaten abgeflossen. Teilweise seien auch Diagnosen, Angaben zu Erkrankungen, Behandlungen und Gesundheitsverläufen betroffen. Besonders problematisch sei dabei die starke Abhängigkeit vieler Kliniken von externen Dienstleistern.

Atug kritisierte, dass Hersteller häufig nur einmalig geprüft würden. Er verwies auf den Fall einer Klinik, die den Dienstleister bei Vertragsabschluss vor Ort geprüft habe, anschließend aber über mehr als ein Jahrzehnt keine weitere Überprüfung vorgenommen habe. Wer NIS2-konforme Risikobewertungen durchführen wolle, müsse die Sicherheit in der Lieferkette dauerhaft überwachen und regelmäßig neu bewerten.

Lieferkette wird zum Risikofaktor

Genau diese Abhängigkeiten zeigen sich auch beim Unimed-Vorfall. Die betroffenen Universitätskliniken betonen zwar übereinstimmend, dass ihre eigenen Systeme nicht kompromittiert wurden. Dennoch müssen sie nun tausende Patienten informieren. Die Universitätsmedizin Mainz meldete zuletzt 2.764 betroffene Personen. Bei 621 Patienten seien Gesundheitsdaten wie Diagnosen, Diagnosecodes oder Inhalte aus Patientenakten betroffen, in einem Fall auch Finanzdaten. Andere Universitätskliniken melden deutlich höhere Zahlen. Freiburg spricht von rund 54.000 betroffenen Datensätzen, Köln von etwa 30.000 Fällen. Der eigentliche Angriff richtete sich ausschließlich gegen den Dienstleister. Die Folgen treffen jedoch die Krankenhäuser, die nun Auskunft geben, Datenschutzbehörden informieren und das Vertrauen ihrer Patienten zurückgewinnen müssen.

Mehr Regulierung, aber nicht automatisch mehr Aufwand

„Die Betroffenheit sagt zunächst noch überhaupt nichts über den tatsächlichen Aufwand aus“, betonte Rechtsanwalt Tilmann Dittrich im Webinar. Viele Einrichtungen reagierten zunächst mit Sorge auf ihre mögliche Einstufung als wichtige oder besonders wichtige Einrichtung. Tatsächlich verlange das Gesetz jedoch kein starres Maßnahmenpaket, sondern ein angemessenes Risikomanagement. Umfang und Tiefe der Sicherheitsmaßnahmen müssten sich an Größe, Risikoexposition und Bedeutung der jeweiligen Einrichtung orientieren.

Das novellierte BSI-Gesetz unterscheidet zwischen wichtigen Einrichtungen, besonders wichtigen Einrichtungen und Betreibern kritischer Anlagen. Als wichtige Einrichtungen gelten Organisationen ab 50 Beschäftigten oder einem Jahresumsatz beziehungsweise einer Bilanzsumme von mehr als zehn Millionen Euro. Besonders wichtige Einrichtungen beginnen bei 250 Beschäftigten oder mehr als 50 Millionen Euro Umsatz.

Geschäftsleitungen geraten stärker in die Verantwortung

„Die Verantwortung bleibt bei der Geschäftsleitung“, betonte Dittrich. Die Leitung könne Aufgaben zwar delegieren, müsse aber weiterhin steuern, überwachen und kontrollieren. Genau deshalb habe der Gesetzgeber die Schulungspflicht für Geschäftsleitungen eingeführt. Bereits im Februar hatte Dittrich gegenüber heise online erklärt, die neue Haftung sei keine völlige Neuerung, sondern vor allem eine Klarstellung bestehender Organisationspflichten. Im Webinar unterstrich er diesen Gedanken erneut. Die eigentliche Herausforderung bestehe nicht darin, dass Geschäftsführer künftig selbst technische Risiken bewerten müssten. Sie müssten vielmehr sicherstellen, dass geeignete Prozesse existieren, Risiken gemeldet werden und Entscheidungen dokumentiert erfolgen.

Besonders wichtig sei dabei die organisatorische Einbindung der IT-Sicherheit. Nach Darstellung von Dittrich dürfe Cybersicherheit nicht länger als isoliertes Thema der IT-Abteilung betrachtet werden. Die gesetzlichen Vorgaben zielten ausdrücklich darauf ab, IT-Risiken zu einem Thema der Unternehmensführung zu machen.

Wer fällt überhaupt unter NIS2?

Anders als vielfach angenommen betrifft die Regulierung längst nicht nur große Universitätskliniken. Nach Einschätzung des BSI fallen Krankenhäuser grundsätzlich als Erbringer von Gesundheitsdienstleistungen unter die Regelungen. Relevant sind dabei vor allem Mitarbeiterzahl und Umsatz. Dittrich verwies darauf, dass die Frage der Betroffenheit im Gesundheitswesen deutlich komplizierter sei als in vielen anderen Branchen. Zwar seien Krankenhäuser als Gesundheitsdienstleister eindeutig erfasst. Bei zahlreichen anderen Einrichtungen komme es jedoch auf den konkreten Charakter der Tätigkeit an.

Als Beispiel nannte er Ambulanzen, Reha-Einrichtungen oder Rettungsdienste. Gerade bei ambulanten Angeboten müsse häufig im Einzelfall geprüft werden, ob tatsächlich Gesundheitsdienstleistungen im Sinne der europäischen Patientenmobilitätsrichtlinie erbracht würden. Daneben seien die komplizierten Zurechnungsregeln für Krankenhausverbünde ein häufig unterschätztes Problem. Während bei NIS2 teilweise Mitarbeiterzahlen und Umsätze verbundener Unternehmen zusammengerechnet würden, gelte bei KRITIS-Betreibern wiederum eine andere Logik. Gerade Klinikgruppen müssten deshalb ihre Betroffenheit sorgfältig prüfen.

Homöopathie nein, Rettungsdienst ja

Bei der Abgrenzung, welche Einrichtungen überhaupt als Gesundheitsdienstleister gelten, verwies Dittrich auf mehrere teils überraschende Beispiele aus den Veröffentlichungen des Bundesamts für Sicherheit in der Informationstechnik (BSI). So vertritt das BSI die Auffassung, dass Homöopathie keine Gesundheitsdienstleistung im Sinne des BSI-Gesetzes darstellt und entsprechende Einrichtungen daher nicht unter die NIS2-Regulierung fallen. Dittrich bezeichnete diese Einordnung als zumindest diskussionswürdig. Schließlich würden Hersteller homöopathischer Arzneimittel unter bestimmten Voraussetzungen unter regulatorische Vorgaben fallen können, während die eigentlichen Anbieter homöopathischer Behandlungen nach der aktuellen BSI-Auslegung nicht erfasst würden.

Noch größere Diskussionen hatte zuvor die Einordnung von Rettungsdiensten ausgelöst. Das BSI hatte zeitweise die Auffassung vertreten, Rettungsdienste seien keine Gesundheitsdienstleister. Diese Position wurde später korrigiert. Für Dittrich sprechen die besseren Argumente dafür, Rettungsdienste als Gesundheitsdienstleister einzustufen, da dort medizinisch qualifiziertes Personal unmittelbar Patienten versorgt und Leistungen zur Beurteilung, Erhaltung und Wiederherstellung des Gesundheitszustands erbracht werden. Auch bei Ambulanzen, Reha-Einrichtungen oder Pflegeangeboten komme es häufig auf die konkrete Ausgestaltung der Tätigkeit an. Die vom BSI veröffentlichten Fallbeispiele seien zwar hilfreich, ließen aber weiterhin Interpretationsspielräume offen. Gerade bei größeren Trägern und Krankenhausverbünden sei daher oft eine individuelle Prüfung erforderlich.

KRITIS-Dachgesetz bringt zusätzliche Pflichten

Für Betreiber kritischer Anlagen kommt mit dem KRITIS-Dachgesetz eine weitere Ebene hinzu. Das Gesetz verpflichtet betroffene Einrichtungen zur Risikoanalyse und Risikobewertung sowie zur Erstellung eines Resilienzplans. Dittrich machte deutlich, dass beide Regelwerke zwar ähnliche Ziele verfolgen, aber unterschiedliche Schwerpunkte setzen. Das BSI-Gesetz adressiere primär die Informationssicherheit, das KRITIS-Dachgesetz dagegen den Schutz vor physischen Gefahren und sonstigen Ausfällen. Beide Gesetze folgten inzwischen einem sogenannten All-Gefahren-Ansatz, weil sich moderne Bedrohungen häufig nicht mehr sauber in physische und digitale Risiken trennen ließen.

Für Krankenhäuser bleibt bei den KRITIS-Regelungen die bekannte Schwelle von 30.000 vollstationären Fällen pro Jahr maßgeblich. Diese Schwelle findet sich auch im Entwurf der neuen KRITIS-Verordnung wieder. Kleinere Häuser bleiben damit zunächst außerhalb des KRITIS-Regimes, können aber dennoch unter NIS2 fallen. Als problematisch bezeichnete Dittrich die teilweise unterschiedlichen Meldepflichten beider Gesetze. Inhaltlich sei häufig dasselbe gemeint, die gesetzlichen Formulierungen und Fristen seien jedoch nicht vollständig harmonisiert worden. Für Betreiber könne dadurch zusätzlicher organisatorischer Aufwand entstehen. Atug sieht im KRITIS-Dachgesetz vor allem eine notwendige Erweiterung des bisherigen Sicherheitsverständnisses. Risiken entstünden nicht ausschließlich durch Hacker. Auch Stromausfälle, Lieferengpässe, Naturereignisse oder physische Angriffe könnten die Gesundheitsversorgung gefährden. Der neue Gefahrenansatz spiegelt sich auch in den Meldepflichten wider. Künftig müssen KRITIS-Betreiber erhebliche Vorfälle grundsätzlich innerhalb von 24 Stunden melden. Zuständig wird eine gemeinsame Meldestelle von Bundesamt für Sicherheit in der Informationstechnik (BSI) und Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK).

Resilienz statt Zertifikatsdenken

Besonders kritisch sieht Atug die verbreitete Annahme, ein ISO-27001-Zertifikat oder ein ähnlicher Nachweis löse bereits alle Anforderungen. Zertifizierungen belegten vor allem, dass Prozesse definiert und eingeführt wurden. Die eigentliche Herausforderung bestehe darin, ihre Wirksamkeit dauerhaft zu überprüfen. „Wer Cybersicherheit weiterhin als rein technisches Thema der IT-Abteilung behandelt, handelt damit nicht nur fahrlässig, sondern auch rechtswidrig“, sagte Atug.

Doch zwischen den regulatorischen Anforderungen und ihrer praktischen Umsetzung klafft in vielen Häusern eine wachsende Lücke. Für zahlreiche Krankenhäuser ist Cybersicherheit längst nicht mehr nur eine Frage von Technik und Organisation, sondern zunehmend auch eine Frage der Finanzierung. Die gesetzlichen Vorgaben verlangen nicht nur Dokumentation, sondern kontinuierliche Risikoanalysen, regelmäßige Überprüfungen von Lieferanten, belastbare Notfallprozesse und eine stärkere Einbindung der Geschäftsführung in Sicherheits- und Resilienzfragen.

Gleichzeitig wächst der Druck auf die Krankenhaus-IT auch aus anderen Richtungen. Nach Angaben des Bundesverbands KH-IT fehlen vielen Häusern inzwischen die Mittel, um die durch das Krankenhauszukunftsgesetz angestoßenen Digitalisierungsprojekte dauerhaft fortzuführen. Während neue Anforderungen durch NIS2, KRITIS-Dachgesetz, elektronische Patientenakte, TI-Dienste und den Europäischen Gesundheitsdatenraum zusätzliche Investitionen erfordern, erfüllen viele Kliniken laut KH-IT bereits heute nur noch die Mindestanforderungen, um Sanktionen zu vermeiden. Projekte werden verschoben, Personal fehlt und selbst Investitionen in die IT-Sicherheit konkurrieren mit anderen dringend benötigten Ausgaben. Damit droht aus Sicht vieler Krankenhaus-IT-Verantwortlicher genau jene Resilienz zum Finanzierungsproblem zu werden, die der Gesetzgeber mit den neuen Sicherheitsvorgaben eigentlich stärken will.

(mack)