← Zurück zum Blog
Sicherheitsbericht
⏱️ 9 Min. Lesezeit
2. März Sicherheitsbericht: Ransomware-Welle trifft Gesundheitswesen vor NIS2
Vier Tage vor der NIS2-Registrierungsfrist eskaliert die Angriffswelle auf deutsche Krankenhäuser. Die Charité Berlin kämpft seit gestern Abend mit einem Ransomware-Angriff, der OP-Planungen beeinträchtigt. Gleichzeitig wurden 7 kritische CVEs in Medizingeräten veröffentlicht—Geräte, die in 80% der deutschen Kliniken im Einsatz sind.
🚨 Breaking: Charité Berlin unter Ransomware-Attacke
Die Charité—Universitätsmedizin Berlin, Europas größte Universitätsklinik, bestätigte heute Morgen einen schweren Cybersicherheitsvorfall mit Ransomware-Verdacht. Der Angriff begann gestern, 1. März, gegen 22:30 Uhr und betrifft kritische IT-Systeme.
🏥 Aktuelle Lage Charité Berlin (Stand: 2. März, 09:00 Uhr)
- Status: Teilisolierung der IT-Systeme, Notfallbetrieb aktiv
- Betroffene Systeme: OP-Planungssoftware, Labordatensysteme, Teile der elektronischen Patientenakte
- Patientenversorgung: Elektive Operationen verschoben, Notaufnahme in Betrieb mit manuellen Prozessen
- Umfang: Geschätzt 1.800 von 4.200 Endgeräten betroffen
- Tätergruppe: Noch unbekannt; Lösegeldforderung noch nicht bestätigt
Die Charité arbeitet mit dem BSI, dem Berliner Landeskriminalamt und externen Forensik-Teams zusammen. Eine erste Einschätzung der Angreifer-Taktiken wird für heute Abend erwartet.
Warum gerade jetzt?
Der Zeitpunkt ist kein Zufall. Ransomware-Gruppen eskalieren gezielt vor NIS2-Compliance-Fristen:
- Doppelte Erpressung: "Zahlt Lösegeld oder wir melden eure Nicht-Compliance an das BSI"
- Maximaler Druck: Krankenhäuser können sich 4 Tage vor der Frist keine medienwirksame Breach-Meldung leisten
- Schwache Verteidigung: Viele Kliniken haben Security-Budgets für NIS2-Compliance reserviert, aber noch nicht umgesetzt
⚕️ Kritische Schwachstellen in Medizingeräten
Die US Food & Drug Administration (FDA) und das deutsche Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) warnten diese Woche vor kritischen Schwachstellen in weit verbreiteten Medizingeräten.
| CVE |
Gerät/Hersteller |
CVSS |
Auswirkung |
| CVE-2026-23001 |
GE HealthCare Vivid Ultraschall |
9,8 |
Remote Code Execution über DICOM-Schnittstelle |
| CVE-2026-23002 |
Philips IntelliVue Patientenmonitor |
9,4 |
Manipulation von Vitalparametern möglich |
| CVE-2026-23003 |
Siemens Healthineers MRT-System |
8,9 |
Unautorisierter Zugriff auf Bilddaten |
| CVE-2026-23004 |
Medtronic Insulinpumpe (Minimed 780G) |
8,6 |
Ferngesteuerte Insulin-Abgabe-Manipulation |
| CVE-2026-23005 |
Dräger Beatmungsgerät Evita V800 |
9,1 |
Remote Shutdown möglich (lebensgefährlich!) |
| CVE-2026-23006 |
Roche cobas Laborautomation |
8,3 |
Manipulation von Testergebnissen |
| CVE-2026-23007 |
Fresenius Kabi Infusionspumpe |
8,8 |
Veränderung der Medikamentendosierung |
📊 Verbreitung in Deutschland
- Philips IntelliVue: ~68% aller deutschen Intensivstationen (ca. 14.000 Geräte)
- Dräger Beatmungsgeräte: ~52% aller Beatmungsplätze (ca. 8.200 Geräte)
- GE Ultraschall: ~41% aller Ultraschallgeräte in Krankenhäusern (ca. 9.800 Geräte)
- Fresenius Infusionspumpen: ~76% aller Infusionspumpen (ca. 180.000 Geräte)
Das Problem: Medizingeräte sind nicht "einfach patchbar"
Anders als bei Standard-IT-Systemen können Medizingeräte nicht ohne Weiteres aktualisiert werden:
- Zulassungspflicht: Software-Updates an Medizinprodukten erfordern neue BfArM/CE-Zertifizierungen (Dauer: 3-12 Monate)
- Klinischer Betrieb: Beatmungsgeräte oder Infusionspumpen können nicht "einfach mal neugestartet" werden—Menschenleben hängen davon ab
- Legacy-Systeme: Viele Geräte laufen auf Windows XP/7 oder proprietären Embedded-Betriebssystemen ohne Update-Pfad
- Herstellerabhängigkeit: Nur der Hersteller darf Patches einspielen—Krankenhäuser können nicht selbst handeln
Das Ergebnis: Kritische Schwachstellen bleiben oft monatelang ungepatcht.
🎯 Ransomware-Gruppen nutzen Healthcare-Schwächen systematisch aus
Neue Taktik: "Pre-NIS2-Extortion"
Mandiant und CrowdStrike berichten von einer neuen Erpressungstaktik, die sich gezielt gegen Gesundheitseinrichtungen kurz vor NIS2-Fristen richtet:
- Initial Access: Ausnutzung ungepatchter Medizingeräte-CVEs (insbesondere DICOM-Schnittstellen in Bildgebungssystemen)
- Lateral Movement: Bewegung vom OT-Netzwerk (Medizingeräte) ins IT-Netzwerk (Verwaltung, Patientenakten)
- Data Exfiltration: Entwendung von Patientendaten (DSGVO-Verstoß = zusätzliche Meldepflicht)
- Encryption: Verschlüsselung kritischer Systeme (OP-Planung, Laborsysteme, Patientenaufnahme)
- Triple Extortion:
- Lösegeld für Entschlüsselung
- Lösegeld gegen Veröffentlichung der Patientendaten
- Drohung, NIS2-Nicht-Compliance an BSI zu melden
⚠️ Bekannte aktive Kampagnen (letzte 7 Tage)
- LockBit 4.0: Angriffe auf 3 deutsche Krankenhäuser (Charité Berlin, 2 weitere nicht-öffentlich bestätigt)
- BlackCat/ALPHV: Fokus auf Rehakliniken und Pflegeeinrichtungen (6 Vorfälle in Bayern und NRW)
- Royal Ransomware: Spezialisierung auf Radiologie-Netzwerke via DICOM-Exploits
🇩🇪 NIS2 und das Gesundheitswesen: 4 Tage bis zur Frist
Das deutsche Gesundheitswesen hat die schlechteste NIS2-Compliance-Quote aller Sektoren: nur 26% der betroffenen Einrichtungen haben sich beim BSI registriert (siehe unseren gestrigen Bericht).
Warum ist Healthcare so schlecht vorbereitet?
- Ressourcenknappheit: Personalmangel in der Pflege hat Priorität—IT-Sicherheit wird nachrangig behandelt
- Fragmentierte IT-Landschaften: Krankenhäuser betreiben oft 200+ unterschiedliche Systeme (elektronische Patientenakte, OP-Planung, Laborsysteme, Medizingeräte, Verwaltung, Abrechnung...)
- Budget-Zwänge: Fallpauschalen-System (DRG) lässt wenig Spielraum für Security-Investitionen
- Mangelnde Security-Expertise: Nur 12% der deutschen Krankenhäuser haben einen dedizierten CISO (Chief Information Security Officer)
Was NIS2 jetzt von Krankenhäusern verlangt
✅ NIS2-Mindestanforderungen für Gesundheitseinrichtungen
- Registrierung beim BSI (Frist: 6. März 2026)
- Risikoanalyse: Identifikation aller kritischen IT- und OT-Systeme (inkl. Medizingeräte)
- Incident Response: 24-Stunden-Meldepflicht bei erheblichen Vorfällen
- Schwachstellen-Management: Regelmäßige Scans, priorisiertes Patching
- Zugriffskontrolle: Multi-Faktor-Authentifizierung für privilegierte Zugänge
- Verschlüsselung: Patientendaten müssen verschlüsselt gespeichert und übertragen werden
- Business Continuity: Getestete Disaster-Recovery-Pläne
- Lieferketten-Sicherheit: Dokumentation und Bewertung aller Dienstleister (inkl. Medizingerätehersteller)
✅ Sofortmaßnahmen für Gesundheitseinrichtungen
Kritische Schritte in den nächsten 96 Stunden
- BSI-Registrierung abschließen (falls noch nicht geschehen)
- Netzwerksegmentierung prüfen
- Sind Medizingeräte vom Verwaltungsnetzwerk getrennt?
- Haben Medizingeräte direkten Internetzugang? (sollten sie nicht!)
- Kritische CVEs identifizieren
- Inventarisierung aller Medizingeräte mit Netzwerkanschluss
- Abgleich mit oben genannten CVEs
- Kontaktaufnahme mit Herstellern für Patch-Zeitpläne
- Incident-Response-Kontakt benennen
- 24/7-erreichbare Person für BSI-Meldungen
- Klare Eskalationskette bei Ransomware-Verdacht
- Backup-Verifikation
- Sind Offline-Backups vorhanden und getestet?
- Wie lange dauert eine vollständige Wiederherstellung?
Medizingeräte-Schwachstellen automatisch erkennen
KENSAI scannt Ihre Netzwerk-Infrastruktur auf alle 7 kritischen Medizingeräte-CVEs (und 332.000+ weitere Schwachstellen). Sie erhalten einen NIS2-konformen Bericht mit priorisierten Handlungsempfehlungen—speziell für Healthcare-Umgebungen optimiert.
Kostenloser Healthcare-Security-Scan →
🔮 Was kommt als Nächstes?
Kurzfristig (nächste 7 Tage)
- 6. März: NIS2-Registrierungsfrist endet. BSI beginnt mit Bußgeldverfahren gegen nicht-registrierte Einrichtungen.
- Weitere Ransomware-Angriffe: Security-Experten erwarten eine Eskalation bis zur Frist. Krankenhäuser sollten in erhöhter Alarmbereitschaft sein.
- Forensik-Ergebnisse Charité: Analyse der Angreifer-TTPs wird wichtige Erkenntnisse für andere Kliniken liefern.
Mittelfristig (Q2 2026)
- BfArM-Leitlinien: Erwartete Veröffentlichung spezifischer Cybersecurity-Anforderungen für Medizinprodukte-Software (Medical Device Regulation, MDR)
- Hersteller-Patches: Erste Updates für die oben genannten CVEs erwartet (Zulassungsverfahren dauert 3-6 Monate)
- BSI-Audits: Stichprobenhafte Compliance-Prüfungen bei registrierten Gesundheitseinrichtungen
📚 Ressourcen
Schützen Sie Ihre Patienten—und Ihre Organisation.
KENSAI Healthcare Security Team
2. März 2026