Der aktuelle State of Information Security Report von IO zeichnet das Bild eines Gesundheitssektors unter anhaltendem Druck. Organisationen sind verantwortlich für den Schutz hochsensibler Daten, die Aufrechterhaltung der ständigen Verfügbarkeit von Diensten und die Koordination komplexer klinischer, betrieblicher und Lieferanten-Ökosysteme. Wenn Sicherheitskontrollen versagen, reichen die Folgen über finanzielle Verluste hinaus und betreffen die Patientensicherheit, die Kontinuität der Dienste und das Vertrauen der Öffentlichkeit.

Die Ergebnisse des diesjährigen Berichts zeigen, dass Verantwortliche für die IT-Sicherheit im Gesundheitswesen mit steigenden regulatorischen Anforderungen, anhaltendem Personal- und Budgetmangel sowie zunehmender Abhängigkeit von Drittanbietern zu kämpfen haben. Obwohl KI-gestützte Bedrohungen deutlich zunehmen, deuten die Daten darauf hin, dass die zentralen Herausforderungen des Sektors eher struktureller Natur sind: Resilienz, Governance, Personalkapazität und die Schwierigkeit, Sicherheit und Compliance in komplexen Umgebungen zu skalieren.

Zu unseren Befragten gehörten leitende Vertreter der Cyber- und Informationssicherheit aus dem britischen und US-amerikanischen Gesundheitswesen. Ihre Antworten zeigen, wo sich die Risiken konzentrieren, wie sich Vorfälle manifestieren und welche Faktoren die Prioritäten für das kommende Jahr prägen.

Im Folgenden erläutern wir 11 wichtige Statistiken, die jeder Verantwortliche im Gesundheitswesen aus dem diesjährigen Bericht kennen sollte.

 

Wichtige Statistiken zur Informationssicherheit im Gesundheitswesen

  1. 67 % geben an, dass die Besonderheiten des Gesundheitswesens die Umsetzung effektiver Informationssicherheitsmaßnahmen besonders schwierig machen.
  2. 77 % geben an, dass die Geschwindigkeit und das Ausmaß der regulatorischen Änderungen es zunehmend schwieriger machen, die Informationssicherheitsstandards einzuhalten.
  3. Budgetbeschränkungen werden am häufigsten als Herausforderung genannt; sie betreffen 51 % der Organisationen, dicht gefolgt von einer Lücke bei den IT-Sicherheitskenntnissen (47 %).
  4. 32 % berichten von Burnout in ihren IT-Sicherheits- und Compliance-Teams, während 32 % auch mit Personalfluktuation und -bindung zu kämpfen haben.
  5. Lediglich 8 % geben an, in den letzten 12 Monaten keine Cybersicherheitsvorfälle erlebt zu haben.
  6. 55 % waren im vergangenen Jahr von einem Sicherheitsvorfall bei einem Drittanbieter oder in der Lieferkette betroffen, 20 % sogar mehrfach.
  7. Datenpannen sind nach wie vor weit verbreitet: Insgesamt berichten 37 % der Befragten von Datenschutzverletzungen, wobei Mitarbeiterdaten (30 %), Partnerdaten (28 %) und Finanzdaten (27 %) am häufigsten betroffen sind.
  8. 45 % geben an, dass die oberste Führungsebene die Einhaltung der Informationssicherheitsbestimmungen immer noch als Nebensache betrachtet, obwohl 83 % über eine klare Sicherheitsstrategie berichten und 85 % die Rechenschaftspflicht auf Vorstandsebene befürworten.
  9. 40 % nennen mangelndes Sicherheitsbewusstsein bei den Mitarbeitern als zentrale Herausforderung. Zu den häufigsten Fehlern zählen die Nutzung öffentlicher WLAN-Netze (40 %) und das Anklicken verdächtiger Links (35 %).
  10. Zeitersparnisse durch effizientere Sicherheitsprozesse sind der am stärksten genannte ROI von Compliance-Maßnahmen; 47 % der Unternehmen nennen diesen Wert.
  11. 95 % sind zuversichtlich, auf einen größeren Cybersicherheitsvorfall reagieren zu können, und 68 % geben an, dass dieses Vertrauen im letzten Jahr zugenommen hat.

Abhängigkeit von Drittanbietern und Lieferkettenrisiko

Die Abhängigkeit des Gesundheitswesens von Drittanbietern ist strukturell bedingt. Klinische Systeme, Managed IT, Cloud-Dienste, Spezialsoftware, Medizinprodukte und ausgelagerte Prozesse vergrößern die Angriffsfläche. Daher überrascht es nicht, dass die Hälfte der Befragten (50 %) die Risiken in der Lieferkette als „unzählig und unkontrollierbar“ einstuft, und die Daten zu Vorfällen bestätigen diese Befürchtung.

55 % der Gesundheitsorganisationen waren in den letzten zwölf Monaten von einem Vorfall mit einem Drittanbieter betroffen, jede fünfte (20 %) sogar mehrfach. Besonders auffällig ist die Art der Folgen. Vorfälle mit Lieferanten verursachen nicht nur zusätzlichen Aufwand im Bereich der Compliance, sondern unterbrechen die Leistungserbringung. Am häufigsten berichteten die Befragten von Verzögerungen oder Unterbrechungen der Leistungserbringung (36 %), dem Verlust wichtiger Partnerschaften oder Verträge (36 %) und vorübergehenden Betriebsstörungen (33 %). In fast einem Drittel der Fälle beendeten die Organisationen die Zusammenarbeit mit dem Lieferanten vollständig (30 %), was darauf hindeutet, dass das Vertrauen in Lieferanten zunehmend an Bedingungen geknüpft ist.

Die Erwartungen der Lieferanten steigen dementsprechend. Organisationen im Gesundheitswesen benötigen nun eine Kombination aus branchenspezifischen und allgemeinen Rahmenwerken von Partnern, darunter HIPAA (35 %), Cyber ​​Essentials (37 %), NIST (29 %) sowie ISO-Normen wie … 27001, 27701 und 42001 (jeweils 20 %). Spezialisierte Systeme wie HITRUST (23 %) und ISO 13485 (20 %) werden ebenfalls immer häufiger eingesetzt. Nur 3 % geben an, überhaupt keine Normen zu benötigen.

Die Richtung ist klar: Die Qualitätssicherung durch Dritte verlagert sich von der Sorgfaltspflicht hin zur Kontrolle der operativen Resilienz, mit strengeren Anforderungen, häufigerer Validierung und einer engeren Verknüpfung zwischen der Haltung des Lieferanten und der Notfallplanung.

Eine Umgebung mit anhaltenden Vorfällen

Eine weitere wichtige Erkenntnis des Berichts ist, dass Gesundheitsorganisationen in einem Umfeld mit häufigen Vorfällen agieren und nicht mehr nur mit vereinzelten Ereignissen konfrontiert sind. Nur 8 % geben an, in den letzten zwölf Monaten gänzlich von Cybersicherheitsvorfällen verschont geblieben zu sein. Datenpannen betrafen 37 % der Organisationen, während Phishing/Vishing (32 %), Malware-Infektionen (27 %), Cloud-Angriffe (25 %) und Netzwerkangriffe (22 %) weiterhin häufig vorkommen.

Das Ausmaß der Datenkompromittierung spiegelt die komplexen Informationsflüsse im Gesundheitswesen wider. Mitarbeiterdaten waren in 30 % der Organisationen betroffen, gefolgt von Partnerdaten (28 %), Finanzdaten (27 %), Forschungsdaten (27 %) und Produktdaten (23 %). Personenbezogene Daten (PII) wurden zwar seltener kompromittiert (20 %), ihre Auswirkungen sind jedoch unverhältnismäßig hoch.

In 75 % der Fälle von Datenschutzverletzungen zogen sich rechtliche oder behördliche Bußgelder oder Kosten nach sich, und die Hälfte (50 %) trug zur Schließung von Unternehmen oder zu einer strategischen Neuausrichtung bei. Dies verdeutlicht die besonders hohen Risiken von Datenkompromittierungen im Gesundheitswesen, wo regulatorische, reputationsbezogene und betriebliche Konsequenzen zusammentreffen.

Mit anderen Worten: Vorfälle sind keine Ausnahmefälle mehr. Sie stellen ein wiederkehrendes Betriebsrisiko dar, das im Rahmen der normalen Leistungserbringung vorhergesehen, aufgefangen und bewältigt werden muss.

Personalkapazität und betriebliche Belastung

Hinter den Vorfallsdaten verbirgt sich das Bild eines Sektors, der unter anhaltendem operativem Druck steht. Budgetbeschränkungen betreffen 51 % der Gesundheitsorganisationen und stellen damit die am häufigsten genannte Herausforderung dar. Gleichzeitig berichten 47 % über einen Mangel an IT-Sicherheitskompetenzen, 32 % nennen Burnout in ihren IT-Sicherheits- und Compliance-Teams und 32 % kämpfen mit Personalfluktuation und -bindung.

Diese Belastungen werden durch die strukturelle Komplexität noch verstärkt. 37 % nennen die zunehmende Verbreitung von IT und Technologie als Herausforderung, und 33 % haben Schwierigkeiten, zu bestimmen, welche Sicherheitsprozesse sicher automatisiert werden können. Mit der wachsenden Anzahl an Tools und der Ausweitung der Verantwortlichkeiten sind Teams immer häufiger gezwungen, fragmentierte Arbeitsabläufe, sich überschneidende Dashboards und inkonsistente Daten zu verwalten.

Für Gesundheitsorganisationen, die unter ständigem Leistungsdruck stehen, bedeutet dieser Mangel an Kohärenz unmittelbare Risiken: Informationslücken, verzögerte Reaktionen und eine stärkere Abhängigkeit von individuellem Fachwissen. Langfristig ist dies kein tragfähiges Betriebsmodell.

Regulatorischer Druck und Umsetzung der Compliance

Die regulatorische Komplexität war laut unserem Bericht ebenfalls eines der prägenden Merkmale der IT-Sicherheitslandschaft im Gesundheitswesen. 77 % gaben an, dass die Geschwindigkeit und das Ausmaß regulatorischer Änderungen die Einhaltung der Vorschriften zunehmend erschweren, während 39 % die Einhaltung von Vorschriften und Normen als direkte operative Herausforderung nannten.

Die Kompetenzen sind uneinheitlich. Nur 27 % fühlen sich ausreichend gerüstet, um mit sich überschneidenden Regulierungen und Rahmenbedingungen wie beispielsweise … umzugehen. Datenschutz, NIS 2 und HIPAA, während 33 % gelegentlich externe Hilfe benötigen. Die übrigen berichten von Zeitmangel, fehlenden Fachkenntnissen oder mangelnder Unterstützung durch die Geschäftsleitung.

Diese Diskrepanz zwischen Verpflichtung und Umsetzung spiegelt sich in den Ergebnissen wider. 70 % der Organisationen haben im vergangenen Jahr mindestens eine Datenschutzstrafe erhalten, ein erheblicher Anteil davon sogar sechsstellige Beträge. Die Daten zeigen aber auch, dass die Struktur eine wichtige Rolle spielt. Jede fünfte Organisation berichtet von keinen größeren Schwierigkeiten bei der Einhaltung der Vorschriften. ISO 27001, Dies legt nahe, dass die Einhaltung von Vorschriften vorhersehbarer und weniger belastend wird, wenn Kontroll-, Nachweis- und Überprüfungsprozesse systematisiert werden.

Eine gut umgesetzte Compliance-Strategie führt zu spürbaren Vorteilen. 47 % der Befragten gaben Zeitersparnisse durch effizientere Sicherheitsprozesse an, 38 % eine verbesserte Entscheidungsfindung und 37 % reduzierte Kosten im Zusammenhang mit Sicherheitsvorfällen. Dies untermauert die These, dass sich der Wandel von einer bloßen Pflicht zu einer operativen Disziplin für Unternehmen erheblich auszahlt.

Menschliches Verhalten und eingebettetes Risiko

Das Verhalten von Mitarbeitenden birgt weiterhin vermeidbare Risiken für Gesundheitsorganisationen. 40 % nennen mangelndes Bewusstsein der Mitarbeitenden als aktuelle Herausforderung, und die gemeldeten Verhaltensweisen spiegeln diese Lücke wider. 40 % berichten, dass Mitarbeitende öffentliche WLAN-Netze für die Arbeit nutzen, 35 % berichten vom Anklicken verdächtiger Links und 32 % von der nicht genehmigten Nutzung von KI-Tools. Schwache Passwortpraktiken und ungesicherte private Geräte betreffen jeweils 28 % der Organisationen.

Diese Verhaltensweisen sind selten Ausdruck von Gleichgültigkeit. Sie spiegeln vielmehr Umgebungen wider, in denen sichere Prozesse fragmentiert, inkonsistent oder schwer nachvollziehbar sind. Wenn Sicherheitskontrollen zu Reibungsverlusten oder Verzögerungen führen, greifen die Mitarbeiter standardmäßig auf Bequemlichkeit zurück.

Im Gesundheitswesen, wo Mitarbeiter häufig Zugriff auf klinische Systeme und sensible Daten haben, wird die Integration sicherer Verhaltensweisen in den alltäglichen Arbeitsablauf ebenso wichtig wie formale Sensibilisierungsschulungen.

KI als Verstärker, nicht als zentrale Beschränkung

Künstliche Intelligenz (KI) spielt eine bedeutende Rolle in der sich abzeichnenden Bedrohungslandschaft des Gesundheitswesens. 51 % nennen KI-generierte Fehlinformationen und Desinformationen als größte Sorge, während 47 % auf KI-gestütztes Phishing verweisen. Intern befürchten 33 % den Missbrauch generativer KI-Tools, und 52 % geben zu, KI zu schnell eingeführt zu haben und nun Schwierigkeiten mit deren verantwortungsvoller Steuerung zu haben.

Gleichzeitig geben 45 % an, dass KI- und maschinelle Lerntechnologien derzeit ihre Informationssicherheitsfähigkeiten beeinträchtigen, und 63 % glauben, dass Fortschritte im Bereich der KI die traditionellen Sicherheitsrollen verwischen.

Die Daten deuten jedoch darauf hin, dass KI bestehende Schwächen verstärkt, anstatt völlig neue zu schaffen. Governance-Lücken, Personalmangel, Abhängigkeit von Drittanbietern und regulatorische Komplexität bleiben die größten Herausforderungen. KI erhöht zwar Geschwindigkeit und Ausmaß des Risikos, ersetzt aber nicht die Notwendigkeit strukturierter Kontrollen, klarer Verantwortlichkeiten und integrierter Aufsicht.

Zuversicht, Vorbereitung und der Weg in die Zukunft

Trotz hoher Vorfallzahlen und zunehmendem Druck ist das Vertrauen im Gesundheitswesen weiterhin bemerkenswert hoch. 95 % geben an, sich in der Lage zu fühlen, auf einen schwerwiegenden Cybersicherheitsvorfall zu reagieren, und 68 % berichten, dass ihr Vertrauen im letzten Jahr gestiegen ist.

Dieses Vertrauen gründet auf konkreten Fähigkeiten. Fast die Hälfte führt regelmäßig Tests zur Reaktion auf Sicherheitsvorfälle durch (47 %), 49 % haben klar definierte Rollen im Falle von Vorfällen und 42 % verfügen über dokumentierte Reaktionspläne. Viele integrieren die Reaktion in die Geschäftskontinuitäts- und Notfallwiederherstellungsmaßnahmen (33 %) und greifen auf externe Unterstützung wie Managed Security Service Provider (MSSPs) oder Rechtsberater zurück (30 %).

Die verbleibende Herausforderung ist die Kontinuität. Das Vertrauen ist am größten, wenn die Reaktion auf Vorfälle geübt wird, Lieferantenszenarien einbezogen werden und die Führungsebene vor, während und nach Vorfällen aktiv eingebunden ist.

Die diesjährigen Ergebnisse zeigen ein durchgängiges Muster: Manuelle, fragmentierte und personenabhängige Ansätze stoßen an ihre Grenzen. Gesundheitsorganisationen, die integrierte, wiederholbare Systeme für das Management von Sicherheit, Risiken und Compliance über interne Teams und Drittanbieter-Ökosysteme hinweg einführen, sind am besten gerüstet, um ihre Resilienz aufrechtzuerhalten, ohne die ohnehin schon knappen Ressourcen zu überlasten.

Lesen Sie den vollständigen Bericht zum Stand der Informationssicherheit..