Auf Basis der Forschungsarbeiten von Dr. iur. Dr. rer. pol. Fabian M. A. Teichmann

Es ist ein Szenario, das noch vor zehn Jahren nach Science-Fiction geklungen hätte: Ein Hacker drückt eine Taste, und eine Klinik mit hunderten von Patienten kann keine Operationen mehr durchführen, keine Laborwerte abrufen, keine Notaufnahme mehr betreiben. Heute ist es bittere Realität – und sie fordert menschliche Opfer.

Krankenhäuser gehören zu den attraktivsten Zielen für Ransomware-Angreifer weltweit. Die Gründe sind zynisch einfach: Kliniken sind auf ihre IT existenziell angewiesen, haben oft veraltete Infrastruktur, und ihr Versorgungsauftrag erzeugt maximalen Druck, schnell zu reagieren – notfalls durch Zahlung. Teichmann hat die rechtlichen, ethischen und organisatorischen Dimensionen dieser Bedrohung in mehreren Beiträgen systematisch aufgearbeitet. Die Erkenntnisse sind alarmierend.

Das Ausmaß der Bedrohung: Zahlen, die nachdenklich machen

Allein im Jahr 2022 waren drei Viertel aller Gesundheitseinrichtungen in Deutschland Opfer von Cyberangriffen. Ransomware gilt laut Bundesamt für Sicherheit in der Informationstechnik (BSI) als die aktuell größte Einzelbedrohung im Gesundheitswesen. Das BSI beschreibt die Gefährdungslage als so hoch wie noch nie (Teichmann, Cyberangriffe auf Kliniken: Patientengefährdungen, rechtliche Pflichten und ethische Herausforderungen, Ethik in der Medizin 2026, S. 1–23).

Erste Studien aus den USA deuten darauf hin, dass die Krankenhausmortalität bei einem schweren Cyberangriff um 20 bis 35 Prozent ansteigen kann – verursacht durch Behandlungsverzögerungen, den Ausfall von Überwachungssystemen und den Verlust kritischer Patientendaten. Ein Drittel aller Cyberangriffe auf Gesundheitseinrichtungen hat erhebliche oder zumindest spürbare Auswirkungen auf die Patientenversorgung: Operationen werden verschoben, Behandlungen abgebrochen, Notfallpatienten umgeleitet (Teichmann, Ethik in der Medizin 2026, S. 1–23).

Das sind keine abstrakten Statistiken. Hinter jeder dieser Zahlen stehen Menschen.

Der Fall Düsseldorf 2020: Als ein Cyberangriff zum Todesfall führte

Kein Ereignis verdeutlicht die lebensbedrohliche Dimension von Ransomware-Angriffen auf Krankenhäuser so eindringlich wie der Angriff auf die Universitätsklinik Düsseldorf im September 2020.

Angreifer hatten monatelang eine bekannte Sicherheitslücke in einer VPN-Software ausgenutzt und sich tief im Netzwerk der Klinik eingenistet. Am 10. September 2020 schlugen sie zu: Die Ransomware DoppelPaymer verschlüsselte die IT-Systeme der Klinik nahezu vollständig. Die Notaufnahme musste abgemeldet werden. Über 13 Tage lang – ein für ein Maximalversorgungskrankenhaus beispielloser Zeitraum – konnten keine Notfallpatienten aufgenommen werden. Hunderte Operationen und Eingriffe wurden abgesagt (Teichmann, Ethik in der Medizin 2026, S. 1–23).

Eine 78-jährige Frau mit einem lebensbedrohlichen Aorta-Aneurysma musste an diesem Abend an Düsseldorf vorbeigefahren werden. Der Rettungswagen brachte sie nach Wuppertal – rund 30 Kilometer weiter. Die gewonnene Zeit reichte nicht. Die Patientin starb kurz nach der Aufnahme.

Die Staatsanwaltschaft Düsseldorf leitete Ermittlungen wegen fahrlässiger Tötung ein – zum ersten Mal in Deutschland wurde geprüft, ob ein Cyberangriff kausal für einen Todesfall war. Die Ermittlungen wurden schließlich eingestellt, weil der Kausalzusammenhang nicht mit der erforderlichen Sicherheit nachgewiesen werden konnte. Die symbolische Wirkung des Vorgangs blieb dennoch: Cyberangriffe auf Krankenhäuser können Menschen töten (Teichmann, IT-Sicherheit im Krankenhaus – Neue Pflichten durch IT-SiG 2.0, KRITIS-Dachgesetz und § 391 SGB V, MedR 2025, S. 959–968).

Eine bemerkenswerte Wendung in diesem Fall: Als die Hacker erfuhren, dass sie ein Krankenhaus getroffen hatten – nicht, wie offenbar geplant, nur die übergeordnete Universität –, stellten sie freiwillig einen Entschlüsselungscode zur Verfügung und verzichteten auf ihre Lösegeldforderung. Selbst Cyberkriminelle, so zeigt dieser Fall, haben gelegentlich moralische Grenzen. Der Schaden war trotzdem längst angerichtet.

Wie Angreifer Krankenhäuser ins Visier nehmen

Ransomware-Angriffe auf Gesundheitseinrichtungen folgen einem industriell perfektionierten Muster. Hochprofessionelle Tätergruppen arbeiten arbeitsteilig: Sogenannte Initial Access Brokers verschaffen sich zunächst durch Phishing-E-Mails, ungepatchte Software oder gestohlene Zugangsdaten Zugang zu Netzwerken und verkaufen diesen Zugang im Darknet weiter. Die eigentlichen Ransomware-Operatoren übernehmen dann die Verschlüsselung und Erpressung (Teichmann, Ransomware-Angriffe auf Krankenhäuser – Strafrechtliche, Medizinrechtliche und Datenschutzrechtliche Herausforderungen, Zeitschrift für Lebensrecht 2025, S. 349–366).

Zunehmend kommt dabei die sogenannte Double Extortion zum Einsatz: Vor der Verschlüsselung werden Patientendaten exfiltriert. Die Täter drohen dann nicht nur damit, die Systeme gesperrt zu lassen, sondern auch damit, hochsensible Gesundheitsdaten zu veröffentlichen – ein Druckmittel, das selbst dann noch wirkt, wenn eine Klinik funktionierende Backups hat.

Warum sind Krankenhäuser so attraktive Ziele? Die Abhängigkeit von der IT ist existenziell und unmittelbar patientengefährdend. Viele Kliniken arbeiten mit heterogenen, teils veralteten IT-Landschaften, in denen Patches und Updates nie konsequent eingespielt wurden. Und der moralische Druck, schnell wieder funktionsfähig zu sein, macht Kliniken zu vergleichsweise zahlungsbereiten Opfern. Professionelle Angreifer kalkulieren die Lösegeldforderung deshalb bewusst so, dass sie knapp unterhalb der voraussichtlichen Kosten einer eigenständigen Datenwiederherstellung liegt (Teichmann, Zeitschrift für Lebensrecht 2025, S. 349–366).

Die rechtliche Pflichtenlage: Was Krankenhäuser heute tun müssen

Deutschland hat auf die wachsende Bedrohung mit einer erheblichen Ausweitung der gesetzlichen Sicherheitspflichten reagiert.

Größere Krankenhäuser gelten als Betreiber kritischer Infrastrukturen (KRITIS) und unterliegen dem BSI-Gesetz. Sie müssen angemessene technische und organisatorische Schutzmaßnahmen nach dem Stand der Technik ergreifen, diese alle zwei Jahre überprüfen lassen und schwerwiegende IT-Störungen unverzüglich dem BSI melden. Die Einhaltung dieser Vorgaben wird aktiv überwacht (Teichmann, MedR 2025, S. 959–968).

Seit dem 1. Januar 2022 gilt durch § 391 SGB V eine erweiterte Pflicht: Nun müssen alle Krankenhäuser – auch jene unterhalb der KRITIS-Schwelle – angemessene IT-Sicherheitsvorkehrungen nach dem Stand der Technik umsetzen und ihre Systeme mindestens alle zwei Jahre aktualisieren. Der Gesetzgeber hat dabei ausdrücklich empfohlen, sich an den KRITIS-Standards des BSI zu orientieren. Damit gilt für das gesamte Gesundheitswesen faktisch ein einheitlicher Sicherheitsanspruch (Teichmann, MedR 2025, S. 959–968).

Parallel gelten die Anforderungen der DSGVO. Patientendaten sind besonders schützenswerte Gesundheitsdaten. Kliniken, die durch einen Cyberangriff eine Datenpanne erleiden, müssen diese innerhalb von 72 Stunden der zuständigen Datenschutzaufsichtsbehörde melden und unter Umständen die betroffenen Patienten informieren. Bußgelder können bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes betragen. Erste Kliniken in Europa wurden bereits zu empfindlichen Strafen verurteilt (Teichmann, Interdisziplinäre Aspekte der IT-Sicherheit im Gesundheitswesen, medstra 2025, S. 218–222).

Haftung: Wann werden Klinikverantwortliche persönlich zur Rechenschaft gezogen?

Teichmann stellt eine für viele Klinikverantwortliche unbequeme Frage ins Zentrum: Können Geschäftsführer oder leitende Ärzte bei unzureichender IT-Sicherheit persönlich haftbar gemacht werden, wenn Patienten zu Schaden kommen?

Die Antwort ist: Ja, grundsätzlich schon. Strafrechtlich könnten Fahrlässigkeitsdelikte wie fahrlässige Tötung oder fahrlässige Körperverletzung relevant werden, wenn nachgewiesen werden kann, dass grobe Versäumnisse in der IT-Sicherheit kausal für einen Patientenschaden waren. Der Maßstab wären dabei die geltenden Sicherheitsstandards: BSI-Anforderungen, § 391 SGB V, anerkannte branchenspezifische Sicherheitsstandards. Wer bekannte Sicherheitslücken monatelang unbehoben lässt oder IT-Sicherheitsbudgets systematisch kürzt und dann einen vermeidbaren Angriff erleidet, riskiert zumindest den Vorwurf der Pflichtwidrigkeit (Teichmann, Ethik in der Medizin 2026, S. 1–23).

Zivilrechtlich greift das Prinzip der Organisationshaftung: Kliniken schulden ihren Patienten eine nach aktuellen Standards sichere Organisation des Betriebs. Dazu zählt heute auch die IT-Sicherheit. Zudem gilt unter der DSGVO eine ungünstige Beweislastregel: Das Krankenhaus muss im Streitfall nachweisen, dass es alle zumutbaren Schutzmaßnahmen ergriffen hatte. Gelingt das nicht, haftet es für immaterielle Schäden der betroffenen Patienten (Teichmann, Ethik in der Medizin 2026, S. 1–23).

Noch ist kein Klinikmanager in Deutschland wegen eines Cybervorfalls strafrechtlich verurteilt worden. Teichmann hält es jedoch für eine Frage der Zeit, bis dies geschieht. Die rechtliche Tendenz ist eindeutig: IT-Sicherheit ist Chefsache – und Untätigkeit ist keine Option mehr.

Das ethische Dilemma: Darf man Lösegeld zahlen, um Patienten zu schützen?

Ransomware-Angriffe auf Kliniken stellen Verantwortliche vor ein moralisches Dilemma von besonderer Schärfe. Einerseits raten Behörden und Experten einhellig davon ab, Lösegeld zu zahlen, weil jede Zahlung das Geschäftsmodell der Angreifer finanziert und weitere Angriffe provoziert. Andererseits stehen auf dem Spiel: Leben.

Teichmann analysiert dieses Dilemma unter Rückgriff auf die klassischen bioethischen Prinzipien – Nicht-Schaden, Wohltun, Gerechtigkeit und Autonomie (Teichmann, Ethik in der Medizin 2026, S. 1–23).

Das Prinzip Nicht-Schaden gerät in einen inneren Widerspruch: Wer nicht zahlt, lässt möglicherweise einen vermeidbaren Schaden für aktuelle Patienten zu. Wer zahlt, fördert Kriminalität und provoziert zukünftige Angriffe, die wiederum andere Patienten gefährden. Unmittelbarer, sicherer Schaden trifft auf mittelbaren, aber diffusen Schaden.

Das Prinzip Wohltun scheint zunächst für eine Zahlung zu sprechen – wenn sie tatsächlich der schnellste Weg zur Wiederherstellung des Betriebs wäre. Aber auch hier gilt: Eine Zahlung ist keine Garantie. Viele Krankenhäuser, die gezahlt haben, berichten von unvollständigen Entschlüsselungen oder gar erneuten Angriffen durch dieselbe Gruppe.

Teichmann kommt zu keiner einfachen Formel, denn die gibt es nicht. Seine Empfehlung lautet stattdessen: durch konsequente Prävention dafür zu sorgen, dass diese Entscheidung im Ernstfall gar nicht getroffen werden muss. Wer funktionierende offline Backups hat, wer Notfallpläne kennt und getestet hat, wer Systeme segmentiert hat, der ist nicht erpressbar – zumindest nicht vollständig (Teichmann, Ethik in der Medizin 2026, S. 1–23).

Was der WannaCry-Angriff auf den britischen NHS gezeigt hat

Ein internationales Referenzereignis ist der WannaCry-Angriff vom Mai 2017, der den britischen National Health Service (NHS) schwer traf. Innerhalb weniger Tage wurden tausende Termine und Operationen abgesagt; in fünf Regionen Englands konnten Notaufnahmen zeitweise keine Patienten aufnehmen, sodass Rettungswagen deutlich weitere Wege fahren mussten (Teichmann, Ethik in der Medizin 2026, S. 1–23).

Der NHS hatte den Patch, der die ausgenutzte Windows-Schwachstelle geschlossen hätte, nicht eingespielt – obwohl er seit Monaten verfügbar war. Das Ergebnis: ein nationaler Gesundheitsnotstand, der durch eine unterbliebene Routineaktualisierung hätte verhindert werden können.

Diese Lektion gilt bis heute: Die gefährlichsten Angriffe beruhen oft nicht auf hoch entwickelten Exploits, sondern auf der schlichten Ausnutzung bekannter, ungepatchter Schwachstellen. Das ist keine technische, sondern eine organisatorische und führungskulturelle Frage.

Was Krankenhausleitungen jetzt tun müssen

Teichmann entwickelt aus seinen rechtlichen und ethischen Analysen konkrete Handlungsempfehlungen (Teichmann, Ethik in der Medizin 2026, S. 1–23; ders., MedR 2025, S. 959–968).

Sicherheitsupdates müssen als höchste betriebliche Priorität behandelt werden – nicht als IT-Routineaufgabe, die im Zweifel aufgeschoben wird. Bekannte Schwachstellen dürfen nicht monatelang offen bleiben. Backups müssen nicht nur existieren, sondern offline gesichert, regelmäßig getestet und auf ihre tatsächliche Wiederherstellbarkeit geprüft werden. Notfallpläne, die einen zumindest teilweisen Klinikbetrieb ohne IT ermöglichen – Papierverfahren, redundante Kommunikationswege, regionale Ausweichkonzepte – sind keine Formalität, sondern lebensrettende Vorbereitung.

Netzwerksegmentierung ist eine der wirksamsten technischen Schutzmaßnahmen: Wenn kritische Systeme wie Intensivstationsmonitoring, Labor und Verwaltungs-IT voneinander getrennt sind, kann ein Angreifer, der eine Abteilung kompromittiert, nicht sofort die gesamte Klinik lahmlegen. Mitarbeiterschulungen zur Erkennung von Phishing und Social Engineering schließen die menschliche Lücke, die technische Maßnahmen allein nicht schließen können.

Und schließlich: Die Geschäftsführung muss diese Themen regelmäßig auf die Tagesordnung setzen. IT-Sicherheitsberichte gehören in die Vorstandssitzung, nicht nur in die IT-Abteilung.

Fazit: Patientensicherheit und IT-Sicherheit sind nicht zu trennen

Teichmanns Forschung führt zu einer klaren Schlussfolgerung: Die Sicherheit von Patienten und die Sicherheit der IT-Systeme, auf die ihre Versorgung angewiesen ist, sind nicht mehr voneinander zu trennen. Krankenhäuser, die in IT-Sicherheit investieren, investieren in Patientenschutz. Krankenhäuser, die das vernachlässigen, gefährden Menschenleben – und exponieren ihre Führungskräfte zunehmend persönlich.

Die rechtlichen Pflichten sind in Deutschland heute klar. Was fehlt, ist an vielen Stellen noch die kulturelle Verankerung: IT-Sicherheit als Chefsache, als ethische Verpflichtung, als Teil der medizinischen Fürsorgepflicht. Der Düsseldorfer Fall von 2020 war ein Weckruf. Die Frage ist, wie viele weitere Weckrufe es braucht, bis diese Botschaft überall angekommen ist.

Alle Quellenangaben beziehen sich auf veröffentlichte wissenschaftliche Beiträge von Dr. iur. Dr. rer. pol. Fabian M. A. Teichmann. Die vollständige Bibliographie ist im Publikationsverzeichnis (Stand Mai 2026) dokumentiert.