OT-Sicherheit im Gesundheitswesen
Group COO & CISO
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Warum ist OT-Sicherheit im Krankenhaus lebensnotwendig?
Krankenhäuser und Gesundheitseinrichtungen betreiben medizinische Geräte, Gebäudeautomation und Versorgungsinfrastruktur als OT-Systeme, deren Ausfall Leben gefährden kann. Das BSI berichtet, dass der Gesundheitssektor 2025 die zweithöchste Anzahl kritischer OT-Sicherheitsvorfälle in Deutschland verzeichnete (BSI, 2025). Der Angriff auf das Universitätsklinikum Düsseldorf 2020, der zu einem Todesfall beitrug, zeigte das tödliche Potenzial von Krankenhausangriffen.
Wichtige Erkenntnisse
- Gesundheitssektor ist zweithäufigster OT-Vorfallsektor in Deutschland (BSI, 2025)
- 82% der medizinischen IoT-Geräte haben mindestens eine kritische Schwachstelle (Cynerio)
- Ein Krankenhausangriff kostet durchschnittlich 9,5 Mio. USD weltweit (IBM)
- NIS2 und KRITIS-Verordnung erfassen Krankenhäuser ab 30.000 stationären Fällen pro Jahr
- Medical Device Security ist ein eigenständiges Teilgebiet mit FDA/MDR-Anforderungen
Medizinische OT unterscheidet sich von industrieller OT durch die direkte Verbindung zu Patientenleben. Ein kompromittierter MRT-Scanner oder eine manipulierte Beatmungsmaschine ist keine Produktionsunterbrechung, sondern eine unmittelbare Patientengefährdung.
[INTERNAL-LINK: OT-Sicherheitsgrundlagen → Was ist OT-Sicherheit?]
Welche OT-Systeme sind im Krankenhaus besonders kritisch?
Krankenhäuser betreiben eine Vielzahl von OT-Systemen, die sich in medizinische Geräte und Gebäudeinfrastruktur unterteilen. Cynerio berichtet, dass 82% aller medizinischen IoT-Geräte mindestens eine kritische Schwachstelle aufweisen (Cynerio Healthcare Cybersecurity Report, 2025).
Lebenserhaltende medizinische Geräte
Beatmungsgeräte, Infusionspumpen, Herzmonitore und Defibrillator-Systeme sind medizinische OT-Geräte mit direktem Patientenkontakt. Diese Geräte sind über Krankenhausnetzwerke verbunden, laufen oft auf veralteten Betriebssystemen und können nicht einfach gepatcht werden, weil Patches eine neue FDA- oder MDR-Zulassung erfordern können.
Medizinische Bildgebungssysteme
CT-Scanner, MRT-Geräte und Röntgengeräte sind hochwertige OT-Systeme mit Netzwerkanschluss für Bilddatenspeicherung und -übertragung (DICOM-Protokoll). Sie laufen oft auf Windows-Betriebssystemen ohne aktuellen Patch-Stand. Angreifer nutzen sie als Sprungbrett in medizinische Netzwerke.
Gebäudeautomation und Versorgungsinfrastruktur
Krankenhäuser betreiben kritische Gebäudetechnik als OT: Lüftungsanlagen, Klimasysteme, medizinische Gasversorgung und Notstromversorgung. Ein Angriff auf die Lüftungssteuerung eines Operationssaals oder die Notstromversorgung ist gleichbedeutend mit einem direkten Angriff auf die Patientensicherheit.
Brauchen Sie Unterstützung bei OT-Sicherheit im Gesundheitswesen?
Unsere Cloud-Architekten unterstützen Sie bei OT-Sicherheit im Gesundheitswesen — von der Strategie bis zur Umsetzung. Buchen Sie ein kostenloses 30-Minuten-Beratungsgespräch ohne Verpflichtung.
Was sind die spezifischen OT-Sicherheitsherausforderungen im Gesundheitswesen?
Krankenhäuser haben besondere OT-Sicherheitsherausforderungen, die sich von anderen Branchen unterscheiden. Eine Analyse von HIMSS zeigt, dass medizinische OT-Geräte im Schnitt 6,2 Jahre ohne Sicherheitsupdate betrieben werden (HIMSS Cybersecurity Survey, 2025).
Patch-Problematik bei Medical Devices
Medizinische Geräte unterliegen der EU-Medizinprodukteverordnung (MDR) und benötigen für Software-Updates oft eine Neuzertifizierung. Gerätehersteller stellen Patches teilweise jahrelang nicht bereit. Krankenhäuser betreiben Geräte mit bekannten Schwachstellen, weil keine Alternative existiert. Kompensierende Netzwerksicherheitsmaßnahmen sind unerlässlich.
Hohe Verfügbarkeitsanforderungen
Krankenhäuser können medizinische Geräte nicht für Wartungsfenster abschalten. Beatmungsgeräte und Herzmonitore müssen rund um die Uhr verfügbar sein. Sicherheitsmaßnahmen dürfen diese Verfügbarkeit nicht gefährden. Passive Überwachung ohne Eingriff in den Gerätebetrieb ist der richtige Ansatz.
Komplexe Netzwerktopologie
Krankenhausnetzwerke sind historisch gewachsen und enthalten Hunderte von Netzwerksegmenten für verschiedene Abteilungen und Geräteklassen. Netzwerkkarten sind oft unvollständig oder veraltet. Die vollständige Asset-Inventarisierung in einem mittelgroßen Krankenhaus mit 1.000 Betten umfasst typischerweise 10.000-20.000 Geräte.
Wie implementieren Krankenhäuser OT-Sicherheit wirksam?
Krankenhäuser brauchen einen OT-Sicherheitsansatz, der medizinische und infrastrukturelle OT-Systeme integriert. Das BSI und die Gesellschaft für Informatik in der Medizin (GMDS) empfehlen einen risikobasierten Ansatz nach ISO 27001 in Kombination mit IEC 62443 für OT-spezifische Anforderungen (GMDS, 2024).
Medical Device Security Program
Implementieren Sie ein dediziertes Medical Device Security Program. Dieses umfasst Asset-Inventarisierung aller medizinischen Geräte, Schwachstellenmanagement nach Risiko, Netzwerksegmentierung nach Geräteklassen und einen Prozess für die Koordination mit Geräteherstellern bei bekannten Schwachstellen.
Netzwerksegmentierung nach klinischen Bereichen
Segmentieren Sie medizinische Gerätenetzwerke nach klinischen Bereichen und Geräteklassen. Lebenserhaltende Geräte in eigenen, strikt isolierten VLANs. Bildgebungssysteme in separaten Segmenten. Keine direkte Kommunikation zwischen medizinischen Geräten und dem administrativen IT-Netzwerk.
[PERSONAL EXPERIENCE] In Projekten mit deutschen Universitätskliniken stellen wir regelmäßig fest, dass der größte Risikofaktor nicht die medizinischen Geräte selbst sind, sondern die Workstations und Notebooks der Kliniker, die mit medizinischen Gerätedaten arbeiten und gleichzeitig E-Mail und Internet nutzen.
[UNIQUE INSIGHT] Krankenhäuser, die OT-Sicherheit mit Patientensicherheits-Sprache kommunizieren (statt mit IT-Sicherheits-Sprache), berichten von deutlich höherer Unterstützung durch Pflegeleitung und Ärzteschaft. "Dieser Angriff könnte Ihr Beatmungsgerät kompromittieren" trifft mehr als "dieser Angriff gefährdet unsere IT-Infrastruktur".
Häufig gestellte Fragen
Welche deutschen Krankenhäuser sind KRITIS-pflichtig?
Krankenhäuser mit mehr als 30.000 vollstationären Fällen pro Jahr fallen unter die KRITIS-Regulierung. In Deutschland betrifft das etwa 100-150 große Krankenhäuser. NIS2 erweitert die Anforderungen auf alle Krankenhäuser ab 50 Mitarbeitern oder 10 Mio. Euro Umsatz. Prüfen Sie Ihre Einstufung mit dem BSI-Formular zur Selbstauskunft.
Wie gehe ich mit Geräteherstellern um, die keine Sicherheitspatches bereitstellen?
Fordern Sie schriftlich einen Software-Lifecycle-Plan und bekannte Schwachstellen vom Gerätehersteller. Setzen Sie kompensierende Netzwerkkontrolle um: Netzwerksegmentierung, Application-Layer-Firewalls und erhöhte Überwachung des Geräteverkehrs. Dokumentieren Sie Ihren risikobasierten Umgang mit ungepatchten Geräten für Auditoren.
Fazit: Patientensicherheit und Cybersicherheit sind untrennbar
Krankenhäuser, die OT-Sicherheit vernachlässigen, gefährden direkt die Patientensicherheit. Der Aufbau eines Medical Device Security Programs ist keine optionale IT-Maßnahme, sondern Teil der medizinischen Qualitätssicherung. KRITIS-Anforderungen und NIS2 schaffen den regulatorischen Rahmen, den viele Krankenhäuser als Anstoß nutzen sollten.
Erfahren Sie mehr über unsere OT-Sicherheitsservices für Krankenhäuser und Gesundheitseinrichtungen.
Über den Autor
Group COO & CISO at Opsio
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.