Im April 2026 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen aktuellen Lagebericht zur Cybersicherheit im Gesundheitswesen veröffentlicht. Die Broschüre Cybersicherheit im Gesundheitswesen 2025 beleuchtet die Bedrohungslage für den Zeitraum von Oktober 2024 bis September 2025. Besonders relevant ist, dass erstmals auch Erkenntnisse zur Sicherheit digitaler Pflegedokumentationssysteme aufgenommen wurden. Der Bericht liefert damit nicht nur ein aktuelles Lagebild, sondern auch wichtige Hinweise für Pflegeeinrichtungen, Arztpraxen und weitere Leistungserbringer.

Key Takeaways: BSI-Lagebericht Cybersicherheit im Gesundheitswesen 2025

  • Im Berichtszeitraum hat das BSI 138 sicherheitsrelevante Vorfälle mit Bezug zum Gesundheitswesen dokumentiert. Gleichzeitig weist die Behörde darauf hin, dass die tatsächliche Zahl höher liegen dürfte, weil viele Einrichtungen bislang nicht meldepflichtig sind.
  • Leistungserbringer wie Krankenhäuser, Arztpraxen und Pflegeeinrichtungen gehören mit 43 Vorfällen weiterhin zu den besonders betroffenen Bereichen. Das Niveau blieb gegenüber dem Vorjahr weitgehend stabil.
  • Mit DiPS 2025 hat das BSI erstmals eine eigene Untersuchung zur Sicherheit digitaler Pflegedokumentationssysteme vorgelegt.
  • Vernetzte Medizinprodukte geraten stärker in den Fokus. Das BSI fordert, Sicherheitsprinzipien wie Security by Design und Security by Default frühzeitig in der Entwicklung zu verankern.
  • Vor allem im ambulanten Bereich bleibt die Lage lückenhaft, weil für viele Praxen und Pflegeeinrichtungen bislang keine verpflichtende Meldung von Vorfällen vorgesehen ist.
  • Mit der weiteren Umsetzung von NIS-2 dürfte sich die Datenlage verbessern. Das kann die Grundlage für gezieltere Schutzmaßnahmen im Gesundheitswesen stärken.

Wie der BSI-Bericht aufgebaut ist und warum die Dunkelziffer so wichtig ist

Für den Zeitraum vom 1. Oktober 2024 bis zum 30. September 2025 hat das BSI insgesamt 138 gesundheitsbezogene Sicherheitsereignisse ausgewertet. Als relevanter Lagebeitrag zählt jeder Vorfall, bei dem entweder eine wichtige Einrichtung des deutschen Gesundheitswesens betroffen war, Gesundheitsdaten aus Deutschland bedroht wurden oder ein ausländisches Ereignis mögliche Auswirkungen auf deutsche Interessen hatte.

Die Vorfälle wurden vier Betroffenenkategorien zugeordnet:

  • Telematikinfrastruktur (62 Vorfälle) Die größte Kategorie mit deutlichem Zuwachs gegenüber dem Vorjahr. Das BSI führt diesen Anstieg vor allem auf die intensivere Nutzung digitaler Anwendungen wie E-Rezept und elektronische Patientenakte zurück.
  • Leistungserbringer (43 Vorfälle) Dazu zählen unter anderem Krankenhäuser, Arztpraxen, Pflegeeinrichtungen und Apotheken. Gegenüber dem Vorjahreswert von 48 Fällen blieb das Niveau weitgehend stabil.
  • Hersteller und Produkte (23 Vorfälle) Gemeint sind etwa Medizinprodukte, Krankenhausinformationssysteme und Praxisverwaltungssysteme. Der Rückgang im Vergleich zum Vorjahr ist laut BSI vor allem methodisch bedingt.
  • Sonstige (10 Vorfälle) Hierunter fallen Meldungen ohne direkte Zuordnung, etwa zu regulatorischen Entwicklungen oder europäischen Vorhaben.
Infografik: BSI-Lagebericht Gesundheitswesen 2025 – Verteilung der 138 Sicherheitsvorfälle auf vier Betroffenenkategorien

Besonders wichtig ist der Hinweis des BSI, dass für viele Leistungserbringer außerhalb klassischer KRITIS-Strukturen bislang keine gesetzliche Meldepflicht für IT-Sicherheitsvorfälle besteht. Das betrifft einen großen Teil der Pflegeeinrichtungen, Arztpraxen und ambulanten Dienste. Die offizielle Statistik zeigt deshalb nur einen Teil der tatsächlichen Bedrohungslage.

Welche Bedeutung die Zahlen für Pflegeeinrichtungen und Arztpraxen haben

Unter der Kategorie „Leistungserbringer“ fasst das BSI zahlreiche Einrichtungen zusammen, darunter Krankenhäuser, ärztliche Praxen, Pflegeeinrichtungen, Apotheken und weitere Akteure des Gesundheitswesens. 43 erfasste Vorfälle innerhalb von zwölf Monaten zeigen, dass diese Gruppe dauerhaft unter Angriffsdruck steht.

Für kleinere und mittlere Einrichtungen ist vor allem ein Punkt relevant. Das BSI beschreibt Arztpraxen und andere Versorgungseinrichtungen nicht nur als direkte Angriffsziele, sondern auch als mögliche Zwischenstationen in größeren Angriffsketten. Wird eine Praxis oder Pflegeeinrichtung kompromittiert, kann sie als Zugang zu weiterführenden Systemen dienen, etwa zu Krankenhäusern, Krankenkassen oder Komponenten der Telematikinfrastruktur.

Typische Angriffsszenarien im ambulanten Umfeld sind laut Bericht insbesondere:

  • Ransomware-Angriffe, bei denen Daten verschlüsselt und Arbeitsabläufe blockiert werden
  • Diebstahl sensibler Gesundheitsdaten, die für Angreifer einen hohen wirtschaftlichen Wert haben
  • Angriffe über Lieferketten und verbundene Systeme, bei denen kleinere Einrichtungen als Einfallstor missbraucht werden

Hinzu kommt, dass Leistungserbringer, die mit NIS-2-relevanten Organisationen zusammenarbeiten, mittelbar von höheren Sicherheitsanforderungen betroffen sein können. Auch ohne direkte eigene NIS-2-Pflicht können sich über Partner, Auftraggeber oder Lieferketten neue Erwartungen an das Sicherheitsniveau ergeben.

Gerade für Einrichtungen mit begrenzten internen Ressourcen bleibt es deshalb wichtig, Risiken frühzeitig sichtbar zu machen und Schutzmaßnahmen strukturiert aufzubauen. Eine vertiefende Einordnung speziell für den Sektor bietet auch unser Beitrag zu Cybersicherheit im Gesundheitswesen.

DiPS 2025 und die neue Aufmerksamkeit für digitale Pflegedokumentation

Ein besonders interessanter Bestandteil des aktuellen Lageberichts ist die erstmalige Einordnung der Studie DiPS 2025. Dahinter verbirgt sich eine gezielte Untersuchung zur Sicherheit digitaler Pflegedokumentationssysteme. Die Studie ergänzt frühere BSI-Projekte wie CyberPraxMed, SiRiPrax, SiKIS und SiPra.

Was sich daraus für Pflegeeinrichtungen ableiten lässt

Das BSI hat nicht nur die Betriebsumgebung betrachtet, sondern ausdrücklich auch die Sicherheitseigenschaften der eingesetzten Softwareprodukte selbst. Entscheidend war die Frage, ob diese Produkte ein sicheres Betriebsumfeld unterstützen oder bestehende Schutzmaßnahmen eher schwächen.

„Erst wenn die Betriebsumgebung sicher ist, können auch die einzelnen Produkte sicher betrieben werden. Zudem müssen diese unterschiedlichen Produkte ihrerseits die Sicherheit erhöhen und dürfen keinesfalls etablierte Sicherheitsmaßnahmen untergraben."

Für den Einsatz in der Praxis bedeutet das, dass die Sicherheit von Lösungen zur digitalen Pflegedokumentation nicht allein von den Funktionen der Software abhängt. Ebenso wichtig ist, ob die Umgebung technisch sauber abgesichert ist. Ohne ein sicheres Netzwerk, klar geregelte Zugriffe und konsequentes Patch-Management können auch gute Sicherheitsfunktionen der Anwendung ihre Wirkung nicht voll entfalten.

Im Ergebnis unterstreicht der Bericht einen Grundsatz, der weit über einzelne Anwendungen hinausgeht. Sicherheit entsteht nicht allein durch den Kauf einer Software, sondern durch das Zusammenspiel von Produkt, Konfiguration, Betriebsumgebung und organisatorischen Prozessen.

Vernetzte Medizinprodukte als zunehmendes Sicherheitsrisiko

Der Bericht widmet sich außerdem ausführlich der Cyberresilienz vernetzter Medizinprodukte. Das betrifft Einrichtungen, die bereits heute mit intelligenten Pflegebetten, Notrufsystemen, Monitoren oder anderen vernetzten Geräten arbeiten.

Das BSI macht deutlich, dass sich technische Schwachstellen solcher Produkte grundsätzlich nicht stark von Schwachstellen in anderen Branchen unterscheiden. Kritisch ist jedoch die Tragweite möglicher Folgen. Im Gesundheitswesen können Sicherheitsprobleme unmittelbar die Versorgung und damit auch die Sicherheit von Menschen beeinträchtigen.

Als Reaktion darauf hat das BSI eine Handlungsempfehlung für Hersteller vernetzter Medizinprodukte veröffentlicht. Im Mittelpunkt steht die Forderung, dass Security by Design und Security by Default von Anfang an Teil der Produktentwicklung sein müssen. Für Betreiber bedeutet das, bereits bei Auswahl und Beschaffung vernetzter Geräte gezielt nach diesen Sicherheitsprinzipien zu fragen.

Für bereits eingesetzte Geräte in Pflege und Medizin gilt zugleich eine praktische Einschränkung. Viele dieser Systeme unterstützen keine klassischen Endpoint-Agents. Umso wichtiger werden Schutzmaßnahmen auf Netzwerkebene. Besonders wirksam ist hier die Kombination aus Netzwerksegmentierung und Network Detection and Response, um auffällige Kommunikation und Anomalien frühzeitig sichtbar zu machen. Wer tiefer in diesen Ansatz einsteigen möchte, findet weitere Informationen zu Network Detection and Response auf Firewalls24.de.

Warum NIS-2 die Sicht auf die ambulante Versorgung verändern kann

Der Lagebericht zeigt auch, wie begrenzt das Lagebild für die ambulante Versorgung derzeit noch ist. Viele Arztpraxen, Pflegedienste und Pflegeheime fallen aktuell weder unter die KRITIS-Regulierung noch unter bestehende Meldepflichten. Entsprechend wenige strukturierte Informationen zu IT-Sicherheitsvorfällen gelangen aus diesem Bereich an das BSI.

Mit dem NIS2UmsuCG, das am 13. November 2025 verabschiedet wurde, rechnet das BSI mittelfristig mit einer besseren Datenbasis. Dennoch bleibt ein großer Teil der ambulanten Versorgung zunächst ein Bereich mit eingeschränkter Transparenz.

Praktisch heißt das, dass für viele Pflegeheime und ambulante Pflegedienste NIS-2 nicht automatisch greift. Unabhängig davon gelten jedoch bestehende Anforderungen aus der DSGVO, insbesondere Artikel 32. Wer Gesundheitsdaten verarbeitet, muss angemessene technische und organisatorische Maßnahmen nach dem Stand der Technik umsetzen. Bei größeren Trägern sowie Einrichtungen mit besonderen Versorgungsformen, etwa in der außerklinischen Intensivpflege, sollte eine individuelle Prüfung der Betroffenheit erfolgen.

Aus unserer Sicht ist es deshalb sinnvoll, die regulatorische Entwicklung bereits jetzt aktiv zu verfolgen. Der Bericht zeigt klar, dass der Gesetzgeber schrittweise mehr Transparenz und höhere Sicherheitsstandards im Gesundheitswesen erwartet. Wer frühzeitig handelt, reduziert nicht nur Risiken, sondern schafft auch eine bessere Ausgangsbasis für künftige Anforderungen.

Welche Maßnahmen jetzt Priorität haben sollten

Der BSI-Bericht nennt keine konkreten Produkte, beschreibt aber sehr deutlich, welche Schutzebenen im Gesundheitswesen heute unverzichtbar sind. Daraus lassen sich klare technische Prioritäten ableiten.

Infografik: Mehrschichtiges IT-Sicherheitskonzept für Leistungserbringer im Gesundheitswesen – Firewall, Endpoint, MDR, E-Mail, NDR

1. Die Betriebsumgebung zuerst absichern

Das BSI macht klar, dass sichere Software nur in einer ausreichend geschützten Umgebung zuverlässig betrieben werden kann. Für Einrichtungen im Gesundheitswesen bedeutet das vor allem, Netzwerke sauber zu segmentieren. Dabei geht es nicht um eine einzelne Maßnahme, sondern um eine tragfähige technische Grundlage. Informationen zu modernen Hardware Firewalls und ihrer Rolle in segmentierten Netzwerken können in diesem Zusammenhang hilfreich sein.

2. Typische Einfallstore gezielt absichern

Viele Angriffe beginnen mit kompromittierten Endgeräten oder E-Mails. Gerade in Einrichtungen mit begrenzten personellen Ressourcen bleiben Vorfälle dadurch oft lange unentdeckt. Ein wirksamer Schutz setzt deshalb früh an. Dazu gehören ein belastbarer Endpoint-Schutz, E-Mail-Sicherheit, klare Benutzerrechte und ein sauberes Update-Management.

3. Vernetzte Geräte über das Netzwerk absichern

Bei Medizin- und Pflegegeräten scheiden klassische Endpoint-Lösungen oft aus. In solchen Umgebungen werden Transparenz und Überwachung auf Netzwerkebene besonders wichtig. Auffällige Kommunikationsmuster sollten frühzeitig sichtbar werden, damit Risiken nicht erst im laufenden Betrieb erkannt werden, wenn bereits Störungen oder Ausfälle auftreten.

4. Kontinuierliche Überwachung etablieren

Die Bedrohungslage bleibt laut BSI angespannt. Sicherheitslücken entstehen oft genau dann, wenn keine aktive Überwachung stattfindet. Gerade kleinere und mittlere Einrichtungen können deshalb von einem Modell profitieren, bei dem Vorfälle kontinuierlich beobachtet, bewertet und bei Bedarf auch schnell eingeordnet werden. Managed Detection and Response liefert hier einen starken Ansatz, da eine 24/7-Überwachung durch ein externes SOC geboten wird.

5. Betroffenheit und Schwachstellen systematisch prüfen

Weil sich die rechtlichen Anforderungen weiterentwickeln, sollte die eigene Ausgangslage regelmäßig überprüft werden. Dazu gehören sowohl Fragen der regulatorischen Betroffenheit als auch die technische Sicht auf öffentlich erreichbare Systeme, vorhandene Schwachstellen und organisatorische Defizite. Ein strukturierter Blick auf diese Punkte erleichtert es, Maßnahmen sinnvoll zu priorisieren und Ressourcen gezielt einzusetzen.

Fazit: Ernstzunehmende Lage im Gesundheitswesen

Der BSI-Lagebericht Cybersicherheit im Gesundheitswesen 2025 liefert eine belastbare Bestandsaufnahme. 138 dokumentierte Vorfälle, eine ausdrücklich benannte Dunkelziffer, neue Erkenntnisse zu Pflegedokumentationssystemen und konkrete Anforderungen an vernetzte Medizinprodukte ergeben zusammen ein klares Bild. Der Gesundheitssektor steht dauerhaft unter Druck, während insbesondere der ambulante Bereich in den offiziellen Daten noch immer unterrepräsentiert ist.

Für Pflegeeinrichtungen, Arztpraxen und ambulante Dienste ergibt sich daraus ein klarer Handlungsauftrag: Sicherheitsmaßnahmen sollten nicht erst nach einem Vorfall auf die Agenda rücken. Wichtiger ist ein strukturiertes Vorgehen, das technische Schutzmaßnahmen, organisatorische Prozesse und regulatorische Anforderungen zusammendenkt.

Wer die Entwicklung im Gesundheitswesen realistisch bewertet, kommt kaum an der Erkenntnis vorbei, dass Cybersicherheit inzwischen ein Teil der Versorgungsstabilität ist. Genau deshalb lohnt es sich, bestehende Schutzkonzepte regelmäßig zu überprüfen, Lücken zu identifizieren und Prioritäten frühzeitig festzulegen.

Verwandte Themen

FAQ zum BSI-Lagebericht Gesundheitswesen 2025

Was macht den aktuellen BSI-Bericht für das Gesundheitswesen besonders relevant?

Der Bericht verbindet aktuelle Vorfallsdaten mit einer klaren Einordnung struktureller Schwächen. Besonders relevant ist, dass nicht nur klassische Einrichtungen wie Krankenhäuser betrachtet werden, sondern auch digitale Pflegedokumentation und vernetzte Medizinprodukte stärker in den Fokus rücken.

Warum sind kleinere Einrichtungen im Gesundheitswesen ebenfalls ein attraktives Ziel?

Kleinere Einrichtungen verfügen oft über begrenzte IT-Ressourcen und sind zugleich Teil größerer Versorgungs- und Kommunikationsstrukturen. Dadurch können sie sowohl direkt angegriffen als auch als Einstiegspunkt in weiterführende Systeme missbraucht werden.

Welche Erkenntnis steckt hinter der Studie zu digitalen Pflegedokumentationssystemen?

Die zentrale Erkenntnis lautet, dass sichere Software allein nicht ausreicht. Entscheidend ist, ob sie in einer geschützten Betriebsumgebung eingesetzt wird und vorhandene Schutzmechanismen unterstützt, statt sie unbeabsichtigt zu schwächen.

Welche Rolle spielen Netzwerksegmentierung und Sichtbarkeit im Gesundheitswesen?

Beides gehört zu den wichtigsten Grundlagen moderner Sicherheitskonzepte. Netzwerksegmentierung begrenzt die Ausbreitung von Angriffen, während Sichtbarkeit im Netzwerk hilft, ungewöhnliche Aktivitäten frühzeitig zu erkennen. Das ist vor allem bei vernetzten Geräten ohne klassischen Agenten wichtig.

Warum sollten sich auch nicht direkt regulierte Einrichtungen mit NIS-2 beschäftigen?

Weil Anforderungen an Informationssicherheit nicht nur durch direkte Regulierung entstehen. Auch Datenschutz, Zusammenarbeit mit regulierten Partnern und steigende Erwartungen entlang der Lieferkette können dazu führen, dass ein höheres Sicherheitsniveau praktisch notwendig wird.

Was ist für Einrichtungen ein sinnvoller erster Schritt nach der Lektüre des Berichts?

Sinnvoll ist zunächst eine nüchterne Bestandsaufnahme. Dazu gehören die Bewertung der eigenen Risiken, die Prüfung technischer und organisatorischer Schutzmaßnahmen sowie die Frage, welche Systeme und Prozesse für den laufenden Betrieb besonders kritisch sind.