Cybersecurity im Gesundheitswesen: warum Hacker selten im Kapuzenpulli kommen

Es ist Montagmorgen, die Kaffeemaschine läuft, der Terminkalender ist voll, und irgendwo zwischen Laborwerten und Konsultationsnotizen erscheint eine E-Mail mit dem Betreff:
«Dringend – Befund konnte nicht zugestellt werden»
Ein kurzer Klick, und schon geht der Alltag weiter. Der Haken daran: Genau so beginnen viele Cyberangriffe.

Cyberkriminalität ist längst kein abstraktes IT-Thema mehr, sondern Realität im Schweizer Gesundheitssystem. In den vergangenen Jahren wurden mehrere Spitäler, medizinische Dienstleister und gesundheitsnahe Organisationen Opfer von Ransomware-Angriffen. Beispiele dafür sind die Vorfälle bei RADIX [1], bei der AMEOS-Gruppe [2] oder bei Vidymed [3].

Systeme waren zeitweise nicht verfügbar, Termine mussten verschoben werden, und sensible Daten tauchten im Darknet auf. Nicht, weil jemand grob fahrlässig gehandelt hätte, sondern weil Angreifer gezielt menschliche Routinen ausnutzen.

Moderne Hackerinnen und Hacker sitzen nicht im dunklen Keller und tippen wie wild Codes ein. Sie arbeiten strukturiert, analysieren öffentlich zugängliche Informationen, nutzen Social Media und greifen auf geleakte Zugangsdaten zurück. Besonders attraktiv sind medizinische Daten, da sie umfassende sensible Daten enthalten und sich kaum «zurücksetzen» lassen. Eine Kreditkarte kann man sperren. Eine Krankengeschichte jedoch nicht. Entsprechend professionell und geduldig gehen Angreifende vor.

Ein wiederkehrendes Muster aus realen Vorfällen: Der Einstieg erfolgt häufig über täuschend echt wirkende Phishing-E-Mails, angeblich von Laboren, Softwareanbietern oder sogar von Kolleginnen und Kollegen. Ein einziger Klick genügt, um im Hintergrund eine Kette von Ereignissen anzustossen, die oft erst Tage oder Wochen später zum Vorschein kommen. Dann heisst es plötzlich: «Systeme verschlüsselt. Lösegeldforderung folgt.»

Cybersecurity-Awareness beginnt bereits bei einfachen, aber entscheidenden Fragen:

Viele Angriffe arbeiten gezielt mit Druckmitteln wie Dringlichkeit oder Autorität («letzte Mahnung», «IT-Support», «dringende Sicherheitsmeldung»). Technisch sind diese Nachrichten häufig gut gemacht, sprachlich sauber formuliert und optisch kaum von legitimen E-Mails zu unterscheiden.

Cybersecurity-Awareness bedeutet weder, dass man allem Digitalen misstrauen sollte, noch, dass man IT-Expertin oder -Experte werden muss. Es geht um einen bewussten Umgang mit digitalen Werkzeugen: eine kurze Pause vor dem Anklicken, Rückfragen bei Unklarheiten und das frühzeitige Melden verdächtiger Vorfälle.

Ein weiterer unterschätzter Faktor sind Passwörter. Wiederverwendete oder einfache Passwörter gehören nach wie vor zu den häufigsten Ursachen erfolgreicher Angriffe. In Kombination mit Zugangsdaten aus früheren Datenlecks entsteht ein erhebliches Risiko – selbst wenn niemand auf einen schädlichen Link klickt. Oder um es etwas bildlicher zu formulieren: Das beste Sicherheitssystem nützt wenig, wenn der Schlüssel unter der Fussmatte liegt.

Eine zunehmend wichtige Rolle in der Cybersicherheit spielt die generative künstliche Intelligenz. Sie wird nicht nur zur Verteidigung eingesetzt, sondern auch gezielt missbraucht. Das verändert vor allem die Geschwindigkeit und die Qualität von Angriffen.

Phishing-E-Mails, die früher durch schlechte Sprache oder unlogische Formulierungen auffielen, sind heute oft stilistisch einwandfrei, kontextbezogen und personalisiert. Generative KI ermöglicht es Angreifenden, innerhalb von Sekunden glaubwürdige Nachrichten in perfektem Deutsch zu erstellen, die an Branche, Rolle oder sogar aktuelle Ereignisse angepasst sind. Der klassische «Rechtschreibfehler als Warnsignal» funktioniert damit immer seltener.

Auch im Bereich des Social Engineering setzt KI neue Massstäbe. So können Inhalte automatisiert auf Basis öffentlich verfügbarer Informationen erzeugt werden – etwa mit Bezug auf Fachthemen, Konferenzen oder bekannte Dienstleister im Gesundheitsbereich. Selbst gefälschte Audio- oder Videonachrichten (sogenannte Deepfakes) sind technisch keine Zukunftsmusik mehr, sondern kamen bereits in realen Betrugsfällen zum Einsatz.

Gleichzeitig ist KI aber nicht nur ein Werkzeug für Angreifende. Auf der Verteidigungsseite wird sie genutzt, um Anomalien zu erkennen, Phishing-Versuche automatisiert zu filtern oder verdächtige Muster in grossen Datenmengen zu identifizieren. KI kann dabei helfen, Angriffe früher zu erkennen – sie ersetzt jedoch nicht das menschliche Urteilsvermögen. Anders gesagt: KI ist wie ein sehr leistungsfähiges Stethoskop. Sie liefert wertvolle Hinweise, die Diagnose bleibt jedoch Aufgabe des Menschen.

Genau aus diesem Grund gewinnt Cybersecurity-Awareness immer weiter an Bedeutung. Wenn Angriffe glaubwürdiger, schneller und massgeschneiderter werden, ist Aufmerksamkeit kein Nice-to-have mehr, sondern ein zentraler Bestandteil der Sicherheitsstrategie.

Mit etwas Humor lässt sich dieses Thema noch greifbarer machen: Cybersecurity ähnelt der Infektionsprävention. Viele Massnahmen sind nicht spektakulär, manchmal sogar unbequem – müssen aber konsequent angewendet werden. Firewalls, Antivirenprogramme oder Updates wirken dabei wie Impfungen: wichtig und wirksam, aber nicht ausreichend, wenn grundlegende Hygieneregeln im Alltag ignoriert werden. Cybersecurity besteht aus vielen kleinen, wiederkehrenden Entscheidungen im Alltag – oft unscheinbar, aber ausschlaggebend. Genau dort liegt ihre Wirksamkeit. Technik kann vieles abfangen, doch der Mensch bleibt das entscheidende Element.

Am Ende gilt im digitalen Raum dasselbe wie in der Medizin: Prävention ist meist günstiger – und deutlich schmerzfreier – als eine Therapie.