Die digitale Transformation in der Pflege schreitet voran – mit ihr jedoch auch die Risiken. Immer häufiger geraten Pflegeeinrichtungen ins Visier von Cyberkriminellen. Angriffe mit Erpressungstrojanern, Datenlecks oder die Lahmlegung kompletter IT-Systeme stellen eine ernsthafte Bedrohung für die Versorgungssicherheit dar. Der Deutsche Pflegerat (DPR) schlägt nun Alarm: Die Cybersicherheit im Gesundheitswesen – insbesondere in der Pflege – sei unzureichend und müsse dringend verbessert werden.
Pflege als kritische Infrastruktur – und dennoch ungeschützt?
Längst gelten Krankenhäuser und große Versorgungszentren als kritische Infrastrukturen (KRITIS) – mit entsprechenden Sicherheitsauflagen. Für viele Pflegeeinrichtungen jedoch greifen diese Schutzmechanismen nicht, da sie häufig unterhalb der gesetzlichen Schwellenwerte für KRITIS-Einstufungen liegen. Das bedeutet konkret: Kein verpflichtender IT-Sicherheitsnachweis, keine regelmäßige Überprüfung durch Behörden, keine staatlich geförderte Unterstützung bei der Abwehr von Cyberbedrohungen.
Der DPR warnt, dass gerade kleine und mittlere Pflegeanbieter zunehmend zur Zielscheibe werden. Sie verfügen in der Regel über begrenzte finanzielle Mittel und kaum spezialisiertes IT-Personal – ideale Voraussetzungen für Hacker, um Schwachstellen auszunutzen.
Pflegeeinrichtungen im digitalen Fadenkreuz
Die Angriffe sind längst keine Theorie mehr. In den letzten Jahren häufen sich Vorfälle, bei denen Pflegeheime, ambulante Dienste oder Trägerorganisationen durch Ransomware-Attacken erpresst wurden. Betroffen waren unter anderem:
- Patientendaten, die verschlüsselt oder gestohlen wurden
- Pflegedokumentation, die stunden- oder tagelang nicht zugänglich war
- Kommunikationssysteme, die komplett ausfielen
In sensiblen Versorgungsbereichen wie der Pflege kann das fatale Folgen haben – etwa wenn Pflegekräfte nicht mehr auf Medikationspläne oder Notfallkontakte zugreifen können.
Forderungen des Deutschen Pflegerats: Struktur statt Symbolpolitik
Der Deutsche Pflegerat fordert von Politik und Trägern gezielte Maßnahmen, um die Pflege sicherer zu machen. Im Zentrum stehen drei Schwerpunkte:
| Forderung | Zielsetzung |
|---|---|
| Einbindung in KRITIS-Regelungen | Gleichstellung der Pflege mit anderen kritischen Sektoren |
| Gezielte Investitionen in IT-Sicherheit | Förderung von Infrastruktur, Wartung und Personal |
| Schulungen und Awareness-Programme | Sensibilisierung des Pflegepersonals für Cyberrisiken |
Der DPR betont dabei, dass Cybersicherheit keine einmalige Investition ist, sondern kontinuierliche Pflege und Schulung erfordert – analog zur physischen Sicherheit am Arbeitsplatz.
Gesetzliche Rahmenbedingungen: Lücken und Unsicherheiten
Aktuelle gesetzliche Initiativen wie das IT-Sicherheitsgesetz 2.0 oder die EU-weite NIS-2-Richtlinie adressieren zwar IT-Risiken im Gesundheitswesen, doch viele Pflegeeinrichtungen bleiben bisher außen vor. Der Pflegerat mahnt deshalb eine Anpassung der Schwellenwerte an – damit auch kleinere Einrichtungen von Schutzmechanismen profitieren und zur Meldung sicherheitsrelevanter Vorfälle verpflichtet werden.
Zudem fordert der DPR bundeseinheitliche Mindeststandards für die IT-Sicherheit in der Pflege – etwa in Form eines Zertifizierungsmodells, das Fördermittel an nachweisbare Schutzmaßnahmen knüpft.
Digitale Verantwortung beginnt bei der Leitung
Ein zentrales Anliegen des DPR ist die Verankerung digitaler Kompetenz in der Führungsebene. Pflegedienstleitungen und Geschäftsführungen müssten in der Lage sein, Sicherheitsbedarfe zu erkennen, IT-Dienstleister qualifiziert auszuwählen und interne Schutzkonzepte aktiv umzusetzen.
Die Digitalisierung sei kein Selbstzweck, so der Pflegerat – sie müsse mit Verantwortung, Weitsicht und dem klaren Ziel einhergehen, die Versorgungssicherheit zu stärken. Cybersicherheit sei dabei kein „technisches Extra“, sondern eine Grundvoraussetzung für funktionierende Pflege in der digitalen Zukunft.
